De conformidad con el artículo 23 del RGPD, la legislación de la UE o de los Estados miembros puede restringir el alcance de determinados derechos de los interesados para salvaguardar ciertos objetivos, a saber:
- La seguridad nacional;
- La defensa;
- Seguridad pública
- La prevención, investigación, detección o persecución de delitos o la ejecución de sanciones penales;
- Otros objetivos importantes de interés público general de la UE o de un Estado miembro;
- La protección de la independencia judicial y los procedimientos;
- La prevención, la investigación, la detección y el enjuiciamiento de las infracciones deontológicas de las profesiones reguladas;
- Una función de control, inspección o regulación vinculada, aunque sea ocasionalmente, al ejercicio de la autoridad oficial en los casos mencionados (salvo la protección de la independencia judicial y de los procedimientos);
- La protección del interesado o de los derechos y libertades de otros; o
- La ejecución de las reclamaciones de derecho civil
Para que cualquier restricción sea legal, el artículo 23.1 del RGPD aclara que debe estar prevista en una medida legislativa, referirse a los derechos del único interesado y a las correspondientes obligaciones consagradas en los artículos 5, 12-22 y 34 del RGPD, respetar la esencia de los derechos y libertades fundamentales, y ser una medida necesaria y proporcionada en una sociedad democrática.
Como explica el SEPD, la condición de respetar la esencia de los derechos y libertades fundamentales significa que las restricciones no pueden ser tan amplias e intrusivas que vacíen estos derechos y libertades de su contenido básico.[1] En cuanto a los requisitos de necesidad y proporcionalidad, el SEPD señala que el primero se satisface en la medida en que el objetivo de interés general se identifique con suficiente detalle. De este modo, será posible evaluar si la medida restrictiva es necesaria. En cuanto a su carácter proporcional, significa que la medida legislativa debe ser adecuada para alcanzar los objetivos legítimos.[2]
Posteriormente, el artículo 23.2 del RGPD establece que las medidas legislativas que restringen los derechos del interesado y las obligaciones del responsable del tratamiento deben incluir, en su caso:
- Los fines del tratamiento o las categorías de tratamiento;
- Las categorías de datos personales;
- El alcance de las restricciones introducidas;
- Las salvaguardias para evitar el abuso o el acceso o la transferencia ilegal;
- La especificación del controlador o de las categorías de controladores;
- Los plazos de conservación y las garantías aplicables teniendo en cuenta la naturaleza, el alcance y los fines del tratamiento o de las categorías de tratamiento;
- Los riesgos para los derechos y libertades de los interesados; y
- El derecho de los interesados a ser informados sobre la restricción, a menos que ello pueda ser perjudicial para el objetivo de la misma.
En sus directrices, el SEPD también aclara que “el responsable del tratamiento debe documentar la aplicación de restricciones en casos concretos manteniendo un registro de su aplicación”,[3] en cumplimiento del principio de responsabilidad (véase el “principio de exactitud” en la sección “Principios” de la parte II de estas directrices). Este registro debe contener las razones aplicables a las restricciones, qué motivos de entre los enumerados en el artículo 23, apartado 1, del RGPD se aplican, su calendario, así como el resultado de la prueba de necesidad y proporcionalidad.
- Comité Europeo de Protección de Datos, Directrices 10/2020 sobre restricciones en virtud del artículo 23 del RGPD, adoptadas el 15 de diciembre de 2020, p. 10, disponibles en: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/guidelines-102020-restrictions-under-article-23_en [último acceso: 15.09.2021]. ↑
- Ibid ↑
- Ibidem, p. 14 ↑