I diritti privacy non dovrebbero mai subire delle restrizioni - sostiene il Comitato dei Garanti UE - ma nelle ipotesi di pressione del sistema articolo 23 certe limitazioni sarebbero necessarie. Tuttavia, tali restrizioni possono essere ammissibili solo se assunte con le adeguate garanzie a bilanciamento della privazione dei diritti privacy.
La restrizione sebbene indispensabile necessaria non può essere applicata ove non abbia superato il test di proporzionalità. Sono le misure di proporzionalità che bilanciano e rendono tollerabile la privazione. Così di fronte alla comunicazione necessaria dei dati di salute in stato di pandemia oppure quando vengono raccolti e conservati i dati delle comunicazioni elettroniche nella lotta alla criminalità dobbiamo chiederci ci sono delle misure di bilanciamento proporzionali? Misure come la limitazione della durata temporale della restrizione, come il controllo diretto del Garante, come strumenti a disposizione dell’interessato per tutelarsi da eventuali abusi, come una relazione sulla valutazione dei rischi o addirittura una DPIA. Le restrizioni non conformi rischiano la scure del potere di disapplicazione della legge nelle mani del Garante interno, vero sole di tutta la procedura. La ratio e il quadro normativo delle restrizioni ex articolo 23 GDPR L’articolo 23 GDPR trova la propria ratio nell’apposizione di limitazioni alle limitazioni. In sostanza, si vuol dire che sebbene si ammettano delle restrizioni ciò non significa che questo sia normale ma costituisce un’eccezione che come tale può darsi soltanto per i motivi tassativi stabiliti dal paragrafo 1 dell’articolo 23 GDPR. Si vuol dire altresì che nonostante la limitazione dei diritti privacy, gli obblighi del titolare del trattamento permangono in termini di accountability e quindi occorre che costituisca un Registro della restrizione o delle restrizioni applicate corredato con le prove attestanti le corrette modalità di trattamento. La ratio insomma è che anche nell’eccezione della restrizione il GDPR dev’essere applicato fedelmente. Le restrizioni, oltre a inquadrarsi nell’articolo 52 della Carta UE, trovano il relativo perimetro normativo negli articolo 12-22 GDPR diritti privacy e 34 GDPR comunicazione data breach e nell’art 5 GDPR accountability . Il tutto allocato nell’alveo esplicativo del considerando 73 GDPR “ 73 Il diritto dell'Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle decisioni basate sulla profilazione, nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro, tra cui un interesse economico o finanziario rilevante dell'Unione o di uno Stato membro, per la tenuta di registri pubblici per ragioni di interesse pubblico generale, per l'ulteriore trattamento di dati personali archiviati al fine di fornire informazioni specifiche connesse al comportamento politico sotto precedenti regimi statali totalitari o per la tutela dell'interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali”. I principi dell’articolo 23 GDPR, la Carta dei Diritti Fondamentali UE e la Convenzione UE sui Diritti dell’uomo L’articolo 52 della Carta dei Diritti Fondamentali UE e l’articolo 8 della Convenzione dei Diritti dell’uomo devono costituire le guide nell’applicazione dell’articolo 23 GDPR. Pertanto, la limitazione dei diritti privacy viene ammessa a condizione che la norma restrittiva sia chiara, precisa e prevedibile in modo da salvaguardare lo stato di diritto e la democrazia. Non devono esserci zone di ombra, di indeterminatezza che possano “rubare” agli interessati i propri diritti. Impossibile dunque ammettere formule come “fino a quando durerà lo stato di emergenza” i termini di durata della restrizione devono essere indicati “a partire da e fino a” una certa data. I motivi che possono giustificare le restrizioni devono essere predeterminati e ben stigmatizzati dalla disposizione normativa statuendo che tali limitazioni dei diritti privacy siano possibili solo in casi tassativi di fronte alla prevalenza di funzioni pubbliche es. sicurezza e difesa nazionale o sicurezza pubblica o interessi generali pubblici es. sanità o libertà altrui. Precisa ulteriormente il Comitato che non basta trovarsi in uno dei casi tassativi previsti per giustificare la restrizione. Occorre altresì che nel contenuto della norma restrittiva sia ben spiegato lo scopo che ci si attende di raggiungere con la limitazione. Neppure l’esplosione di una pandemia sebbene appartenga all’elenco dei casi/motivi tassativi - osserva il Comitato dei Garanti - costituisce di per sè una motivazione ammissibile per le limitazioni ove la norma restrittiva non spieghi lo scopo che ci si attende di raggiungere con la restrizione in modo chiaro, preciso e prevedibile dagli interessati articolo 8 par. 2 Convenzione europea dei diritti dell’uomo . Le restrizioni sono attuabili dunque solo con un’attività normativa e con un’attività normativa che abbia le caratteristiche sopra ricordate. Merita inoltre approfondire il concetto di “attività normativa” inteso dal legislatore europeo. Secondo il considerando 41 GDPR per attività normativa “ non deve intendersi necessariamente un atto legislativo adottato da un parlamento, fatti salvi i requisiti previsti dall'ordinamento costituzionale dello Stato membro interessato”. In proposito nella nota n.8 delle Linee Guida, il Comitato cita la giurisprudenza delle Corti UE “nella Corte europea dei diritti dell'uomo, 14 settembre 2010, Sanoma Uitgevers BV c. Paesi Bassi, EC ECHR 2010 0914JUD003822403, al paragrafo 83 si dice che «Inoltre, per quanto riguarda le parole “in conformità con la legge” e “prescritti dalla legge” che compaiono negli articolo 8-11 della Convenzione, la Corte osserva di aver sempre inteso il termine “legge” nel suo senso “sostanziale”, non in quello “formale” ha incluso sia il diritto scritto , che comprende le promulgazioni di statuti di rango inferiore e le misure regolamentari adottate da organismi di regolamentazione professionale nell'ambito di poteri normativi indipendenti loro delegati dal Parlamento, sia il diritto non scritto. Per “diritto” si deve intendere sia il diritto statutario sia il “diritto giurisprudenziale”. Insomma, la “legge” è la norma in vigore così come l'hanno interpretata i tribunali competenti». Sulla nozione di previsto dalla legge , i criteri elaborati dalla Corte europea dei diritti dell'uomo dovrebbero essere utilizzati come suggerito nelle opinioni dell'avvocato generale della CGUE nelle cause riunite C‑203/15 e C‑698/15, Tele2 Sverige AB, ECLI EU C 2016 572, punti 137-154 o nella causa C-70/10, Scarlet Extended, ECLI EU C 2011 255, punto 99”. La restrizione deve osservare il rispetto della essenza dei diritti e delle libertà fondamentali ovvero la limitazione non deve essere tale da annullare, da svuotare la sostanza stessa della posizione giuridica soggettiva ecco perchè la misura non deve essere irreversibile. Se l'essenza del diritto è compromessa, la restrizione si considera illegittima e qui si ferma tutto il processo senza considerazioni ulteriori. Se invece l’essenza viene rispettata, allora si procede nel processo valutativo e quindi si verifica se la limitazione sia necessaria ovvero non esiste nessun’altra misura meno invasiva in grado di “salvare” la situazione. Una volta appurata la necessità della misura occorre stabilirne il perimetro applicativo secondo il criterio della proporzionalità in virtù di un apposito test. L’articolo 52 Carta Diritti Fondamentali UE stabilisce infatti che “1 eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. Il test di necessità e di proporzionalità Una volta superato il test di necessità nessun’altra misura può risolvere la questione , occorre procedere al test di proporzionalità. Secondo il principio di proporzionalità, il contenuto della misura legislativa non può eccedere quanto strettamente necessario per salvaguardare gli obiettivi elencati nell'articolo 23, paragrafo 1, lettere da a a j , GDPR. La restrizione deve quindi essere idonea a conseguire gli obiettivi legittimi perseguiti dalla normativa di cui trattasi e non eccedere i limiti di quanto è opportuno e necessario per conseguire tali obiettivi. Secondo la giurisprudenza della CGUE, l'articolo 23 del GDPR non può essere interpretato come atto a conferire agli Stati membri il potere di ledere il rispetto della vita privata, in deroga all'articolo 7 della Carta, né ad alcuna delle altre garanzie ivi sancite. In particolare, il potere conferito agli Stati membri dall'articolo 23, paragrafo 1, GDPR può essere esercitato solo nel rispetto del requisito di proporzionalità, secondo il quale deroghe e limitazioni in materia di protezione dei dati personali devono applicarsi solo nella misura in cui sono strettamente necessarie. La CGUE, sentenza del 6 ottobre 2020, La Quadrature du net e altre cause riunite C-511/18, C-512/18 e C-520/18, ECLI EU C 2020 791, al punto 212 sostiene che «l'articolo 23, paragrafo 1 GDPR , letto alla luce degli articoli 7, 8 e 11 e dell'articolo 52 1 della Carta, deve essere interpretato nel senso che osta a una normativa nazionale che imponga che i fornitori di accesso ai servizi di comunicazione pubblica online e i fornitori di servizi di hosting conservino, in via generale e indiscriminata, i dati personali relativi a tali servizi». Tuttavia, ove siano adottate misure correttive in grado di bilanciare secondo proporzionalità, tali restrizioni dei diritti privacy possono ammettersi. Tali misure di proporzionalità possono individuarsi nell’imposizione di periodi di tempo limitati nell’imposizione di garanzie atte ad introdurre il controllo diretto del Garante locale sull’applicazione della restrizione nell’imposizione di misure a disposizione degli interessati per tutelarsi da eventuali abusi. Sempre la CGUE 6 ottobre 2020, La Quadrature du net nelle Conclusioni stabilisce infatti altresì che “l’articolo 15, paragrafo 1, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta dei diritti fondamentali, non osta a misure legislative che consentano, a fini di salvaguardia della sicurezza nazionale, il ricorso a un’ingiunzione che imponga ai fornitori di servizi di comunicazione elettronica di procedere a una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione, e che possa essere oggetto di un controllo effettivo, da parte di un giudice o di un organo amministrativo indipendente, la cui decisione sia dotata di effetto vincolante, diretto ad accertare l’esistenza di una di tali situazioni nonché il rispetto delle condizioni e delle garanzie che devono essere previste, e detta ingiunzione possa essere emessa solo per un periodo temporalmente limitato allo stretto necessario, ma sia rinnovabile in caso di persistenza di tale minaccia [e tali misure devono garantire], mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi”. Ricapitolando la Corte di Giustizia stabilisce che il diritto dell'UE osta a una normativa nazionale che imponga a un fornitore di servizi di comunicazione elettronica di effettuare la trasmissione o la conservazione generale e indiscriminata di dati relativi al traffico e all'ubicazione allo scopo di combattere la criminalità in generale o di salvaguardare la sicurezza nazionale. Tuttavia, in situazioni in cui uno Stato membro si trova ad affrontare una grave minaccia per la sicurezza nazionale che si rivela reale, presente o prevedibile, tale Stato membro può derogare all'obbligo di garantire la riservatezza dei dati relativi alle comunicazioni elettroniche richiedendo, mediante provvedimenti legislativi, la conservazione generale e indiscriminata di tali dati ma per un periodo limitato nel tempo allo stretto necessario. Tale interferenza con i diritti fondamentali deve però essere accompagnata da garanzie principio di proporzionalità effettive ed essere esaminata da un tribunale o da un'autorità amministrativa indipendente. Una misura di restrizione dovrebbe essere supportata da prove che descrivano il problema che deve essere affrontato da tale misura, come sarà affrontato da essa e perché le misure esistenti e meno invasive non possono affrontarlo in modo sufficiente. È inoltre necessario dimostrare come qualsiasi interferenza o restrizione proposta soddisfi effettivamente obiettivi di interesse generale dello Stato e dell'UE o la necessità di proteggere i diritti e le libertà altrui. La restrizione dei diritti alla protezione dei dati dovrà concentrarsi su rischi specifici. Ad esempio, se le restrizioni contribuiscono alla tutela della salute pubblica in uno stato di emergenza, l'EDPB ritiene che le restrizioni debbano essere strettamente limitate nell'ambito ad esempio, per quanto riguarda lo scopo, i diritti dell'interessato o le categorie di responsabili del trattamento interessate e nel tempo. In particolare, deve essere limitato al periodo dello stato di emergenza. I diritti dell'interessato possono essere limitati ma non negati. Una norma restrittiva, per capire come bilanciare in senso proporzionale, deve sempre presupporre la valutazione dei rischi. Il Comitato osserva che l’obiettivo di questa valutazione dei rischi per i diritti e le libertà degli interessati è duplice. Da un lato, fornisce una panoramica del potenziale impatto delle restrizioni sugli interessati. Dall'altro, fornisce elementi per la verifica della necessità e della proporzionalità delle restrizioni. A questo proposito e, se del caso, dovrebbe essere presa in considerazione una valutazione d'impatto sulla protezione dei dati DPIA . Non è sempre obbligatorio eseguire una DPIA, ma è sempre indispensabile vagliare i rischi concreti per gli interessati come ad esempio una profilazione errata che porta a discriminazioni e/o a una riduzione della dignità umana e/o a un impatto maggiore sui gruppi vulnerabili come i bambini o le persone con disabilità . Tale valutazione dev’essere inclusa nei considerando o nella relazione esplicativa della normativa. La misura rivoluzionaria il Garante disapplica la legge Tra le misure a garanzia per bilanciare la privazione dei diritti privacy, la previsione della disapplicazione della norma restrittiva scorretta da parte del Garante costituisce senza dubbio la misura rivoluzionaria. La Commissione europea, in qualità di custode dei trattati, ha il dovere di monitorare l'applicazione del diritto primario e derivato dell'UE e di assicurarne l'applicazione uniforme in tutta l'UE, anche adottando misure laddove le misure nazionali non sarebbero conformi al diritto dell'UE. Inoltre, secondo il principio di supremazia del diritto dell'Unione, l'obbligo di disapplicazione della normativa nazionale contraria al diritto dell'Unione spetta non solo ai giudici nazionali, ma anche a tutti gli organi dello Stato chiamati, nell'ambito dell'esercizio dei rispettivi poteri, ad applicare il diritto dell'Unione comprese le autorità amministrative e quindi compreso anche il Garante nazionale. A seconda degli sviluppi di questa disposizione, avremo un legislatore non protagonista dei pressure test del sistema, dominato invece dal Garante nazionale grazie alla scure del potere di disapplicazione. Tanto ciò è vero che il diritto di proporre reclamo all’Autorità di controllo articolo 77 GDPR non può essere sottoposto a restrizioni. Le restrizioni riguardano infatti il diritto all'informazione trasparente articolo 12 GDPR , il diritto all'informazione articolo 13 e 14 GDPR , il diritto di accesso articolo 15 GDPR , il diritto di rettifica articolo 16 GDPR , il diritto alla cancellazione articolo 17 GDPR , diritto alla limitazione del trattamento articolo 18 GDPR , l’obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento articolo 19 GDPR , il diritto alla portabilità dei dati articolo 20 GDPR , il diritto di opposizione articolo 21 GDPR , il diritto a non essere soggetto a un processo decisionale individuale automatizzato articolo 22 GDPR ma non riguardano il diritto di reclamo. Si pensi inoltre al ruolo centrale rivestito dal Garante interno nella procedura di elaborazione di una norma restrittiva anche a livello di potere consultivo. Ai sensi dell'articolo 36, paragrafo 4, del GDPR, qualora siano adottate restrizioni a livello degli Stati membri, le Autorità di controllo devono essere consultate prima dell'adozione della misura legislativa che deve essere adottata da un parlamento nazionale, o di una misura normativa basata su tale provvedimento legislativo che prevede la limitazione dei diritti degli interessati ai sensi dell'articolo 23 GDPR. Inoltre, è compito delle Autorità fornire consulenza su misure legislative relative alla protezione dei diritti e delle libertà delle persone rispetto al trattamento dei dati personali, ai sensi dell'articolo 57 1 c GDPR. Se le Autorità non sono debitamente consultate, possono emettere di propria iniziativa ai sensi dell'articolo 58 3 b GDPR pareri al parlamento nazionale, al governo dello Stato membro o, in conformità con il diritto dello Stato membro, anche ad altre istituzioni o organi nei confronti del pubblico su qualsiasi questione relativa alla protezione dei dati personali. I casi e i motivi tassativi delle restrizioni ex articolo 23 GDPR I motivi delle restrizioni costituiscono dei casi tassativi al di fuori dei quali è vietata qualsiasi restrizione. L’articolo 23 GDPR elenca i motivi al paragrafo n.1. Sicurezza e difesa nazionale, sicurezza pubblica. articolo 23, par.1, lett. a -b -c Una limitazione ai diritti dell'interessato può avere come obiettivo da salvaguardare la sicurezza nazionale e/o la difesa degli Stati membri nonchè la sicurezza pubblica che include la protezione della vita umana, specialmente in risposta a disastri naturali o provocati dall'uomo. Prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. articolo 23, par.1, lett. d In alcuni casi, fornire informazioni agli interessati oggetto di indagine potrebbe compromettere il successo di tale indagine. Pertanto, la limitazione del diritto all'informazione o di altri diritti dell'interessato può essere necessaria ciò è rilevante, ad esempio, nel quadro dell'antiriciclaggio. Tuttavia, le informazioni omesse devono, conformemente alla giurisprudenza della CGUE, essere fornite quando non esiste più la possibilità che mettano a repentaglio l'indagine in corso. Ciò significa che un avviso specifico su misura sulla protezione dei dati dovrebbe essere fornito all'interessato il prima possibile, indicando i diversi diritti come l'accesso, la rettifica, ecc. Altri importanti obiettivi di interesse pubblico generale.articolo 23, par.1, lett. e Altri obiettivi di interesse pubblico generale dell'Unione o di uno Stato membro possono individuarsi in importanti interessi economici o finanziari, comprese le questioni monetarie, di bilancio e fiscali, la sanità pubblica e la sicurezza sociale. Ad esempio un'amministrazione fiscale diretta può imporre restrizioni ai diritti di accesso dell'interessato quando è sottoposto a un'indagine condotta dall'amministrazione fiscale nell'ambito dei suoi obblighi legali, nella misura in cui tale accesso metterebbe a repentaglio l’indagine. Tuttavia, tale restrizione dovrebbe essere limitata al tempo necessario per l'indagine specifica e dovrebbe essere revocata non appena l'amministrazione fiscale chiuda l'indagine. L'interessato dovrebbe essere informato senza indugio e informato delle motivazioni contenute nella decisione del titolare del trattamento e della data a partire dalla quale può esercitare nuovamente il diritto di accesso. Dovrebbero inoltre essere garantite adeguate garanzie come ad esempio un accesso indiretto - quando previsto dal diritto nazionale - in modo da garantire che un'Autorità indipendente possa verificare la liceità del trattamento. Tutela dell'indipendenza giudiziaria e dei procedimenti giudiziari.articolo 23, par.1, lett. f L'articolo 23, paragrafo 1, lettera f , del GDPR prevede inoltre la necessità di limitare alcuni diritti degli interessati o gli obblighi del titolare del trattamento, al fine di tutelare l'indipendenza della magistratura e i procedimenti giudiziari. Prevenzione, indagine, individuazione e perseguimento delle violazioni dell'etica per le professioni regolamentate. articolo 23, par.1, lett. g Si tratta di violazioni dell'etica per le professioni regolamentate, come ad esempio per i medici e gli avvocati. Funzione di monitoraggio, ispezione o regolamentazione connessa all'esercizio dei pubblici poteri. articolo 23, par.1, lett. h Le restrizioni in questi casi attengono all’esercizio ispettivo o di controllo nei casi già indicati. Tutela dell'interessato o dei diritti e delle libertà altrui. articolo 23, par.1, lett. i Si può illustrare una restrizione a tutela dei diritti e delle libertà altrui con l'esempio di un'indagine amministrativa e/o di un procedimento disciplinare o di un'indagine su accuse di molestie sul posto di lavoro. In tal caso, un provvedimento legislativo può prevedere che la persona oggetto di un'indagine o di un procedimento disciplinare possa subire una limitazione del suo diritto di accesso, qualora l'identità di una presunta vittima o testimone non possa essere rivelata al fine di tutelarla da ritorsioni. Viceversa anche la vittima o il testimone può vedere limitato il proprio diritto di accesso per rispettare i diritti alla privacy e alla protezione dei dati della persona oggetto di un'indagine o di un procedimento disciplinare. Esecuzione di rivendicazioni di diritto civile.articolo 23, par.1, lett. j Si prevede anche l'esecuzione di azioni di diritto civile come motivo di limitazione. Mentre l'articolo 23 1 j GDPR consente limitazioni per proteggere gli interessi individuali di una potenziale parte in causa, l'articolo 23 1 f GDPR consente limitazioni per proteggere i procedimenti giudiziari stessi e le norme procedurali applicabili. Come dev’essere costruita la norma restrittiva? articolo 23, par.2 GDPR Dopo aver descritto i motivi e i casi tassativi al paragrafo n.1, l’articolo 23 GDPR al paragrafo n.2 descrive gli elementi che devono costituire la norma inerente alla restrizione. La norma deve indicare - le finalità del trattamento o le categorie di trattamento - le categorie di dati personali - la portata delle restrizioni introdotte - le garanzie per prevenire abusi o accessi o trasferimenti illeciti - le indicazioni del titolare o delle categorie di titolari - i periodi di conservazione e le garanzie applicabili tenendo conto della natura, dell'ambito e delle finalità del trattamento o delle categorie di trattamento - i rischi per i diritti e le libertà degli interessati - il diritto degli interessati di essere informati della restrizione, a meno che ciò non possa pregiudicare lo scopo della restrizione. Il diritto di essere informato sulla restrizione e l’esercizio dei diritti privacy residui L'articolo 23 2 h GDPR afferma che, a meno che non possa essere pregiudizievole per lo scopo della restrizione, gli interessati devono essere informati della restrizione. Ciò significa che di norma gli interessati dovrebbero essere informati della limitazione del loro diritto all'informazione. A tal fine può essere sufficiente un'informativa generale sulla protezione dei dati. Ad esempio, quando un interessato chiede specificamente di esercitare un particolare diritto in un momento molto delicato di una determinata indagine amministrativa, l'interessato dovrebbe, se possibile, essere informato dei motivi della limitazione. Tuttavia, se la comunicazione all'interessato dei motivi della restrizione comporta l'annullamento dell'effetto della restrizione ossia ostacolerebbe gli effetti preliminari dell'indagine , tali informazioni potrebbero non essere divulgate. Possono essere adottate restrizioni per proteggere le indagini. In tal caso, le restrizioni devono rimanere necessarie e proporzionate e, a tal fine, il titolare del trattamento dovrebbe effettuare una valutazione per verificare se informare l'interessato della restrizione sia pregiudizievole per lo scopo della restrizione. In altre parole, in circostanze straordinarie, ad esempio nelle fasi molto preliminari di un'indagine, se l'interessato richiede informazioni se è indagato, il titolare del trattamento potrebbe decidere di non concedere tali informazioni in quel momento. Il titolare del trattamento dovrebbe revocare le restrizioni non appena le circostanze che le giustificano vengano meno. Se gli interessati non sono ancora stati informati delle restrizioni prima di quel momento, dovrebbero esserlo al più tardi quando la restrizione viene revocata. Durante l'applicazione di una restrizione, gli interessati possono essere autorizzati a esercitare tutti i loro diritti che non sono limitati. Al fine di valutare quando la restrizione può essere revocata parzialmente o integralmente, un test di necessità e proporzionalità può essere eseguito più volte durante l'applicazione di una restrizione. Il Registro delle Restrizioni e l’accountability del titolare del trattamento Alla luce del principio di responsabilità articolo 5, paragrafo 2, del GDPR e sebbene non faccia parte delle registrazioni richieste ai sensi dell'articolo 30 del GDPR, è buona prassi che il titolare del trattamento documenti l'applicazione delle restrizioni su casi concreti tenendo un registro delle restrizioni applicate. Tale registrazione dovrebbe includere i motivi della restrizione, la sua tempistica e l'esito del test di necessità e proporzionalità. Le registrazioni dovrebbero essere rese disponibili su richiesta dell’Autorità di controllo. Nel caso in cui il titolare del trattamento abbia nominato un responsabile della protezione dei dati RPD , quest’ultimo dovrebbe essere informato - almeno in via generale - senza indebito ritardo ogni volta che i diritti dell'interessato sono limitati in conformità con il provvedimento legislativo. Il DPO dovrebbe avere accesso ai record associati e a qualsiasi documento relativo al contesto di fatto o giuridico in cui si verifica la restrizione. Dovrebbe essere documentato anche il coinvolgimento del DPO nell'applicazione delle restrizioni.