Il diritto alla portabilità dei dati viene introdotto nel nostro ordinamento per la prima volta dal GDPR all'art. 20 per consentire all'interessato di riutilizzare i propri dati, già oggetto di trattamento da parte di un titolare, per altri scopi. Seppure, a primo impatto, possa sembrare simile al diritto d'accesso, questo nuovo diritto ne condivide solamente le basi: il controllo da parte dell'interessato dei propri dati e la libertà di scegliere come e se farli circolare.
Questa norma riconosce, infatti, in capo al soggetto interessato, il diritto di ricevere da un titolare del trattamento i propri dati personali, allo stesso forniti, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile al fine di memorizzarli su un dispositivo proprio (o nella propria disponibilità) ed eventualmente (ma non è lo scopo indispensabile del diritto) trasferirli a un altro titolare.
L'obiettivo alla base di questa previsione è duplice: da un lato, consiste nel tentativo di agevolare il più possibile il passaggio e lo scambio dei dati da un ambiente informatico a un altro, evitando fenomeni di "lock-in" tecnologico e promuovendo di conseguenza la libera circolazione dei dati all'interno dell'UE e favorendo altresì la concorrenza tra i titolari del trattamento. Dall'altro, vi è ancora una volta la volontà di rafforzare la posizione del soggetto interessato cui i dati trattati si riferiscono, riconoscendogli un più ampio potere di controllo e di gestione sui propri dati.
Peraltro, dato che la portabilità pone una serie di vantaggi a favore dell'interessato, caricando di alcuni oneri il titolare, vengono indicate alcune condizioni necessarie per un suo regolare utilizzo (in mancanza delle quali il diritto alla portabilità non potrà essere esercitato).
È lo stesso articolo 20 ad indicare le condizioni necessarie affinché il diritto possa essere esercitato.
È richiesto, in primo luogo, che i dati personali riguardino l'interessato; devono, dunque, essere "dati personali" e non anonimi e devono essere trattati tramite strumenti automatizzati e non su supporti cartacei (scelta necessaria per favorirne la circolazione).
Il Garante, tuttavia, sottolinea anche che l'espressione "dati personali" non dev'essere intesa in senso estremamente restrittivo perché in alcuni casi, come ad esempio nei tabulati telefonici, i dati, seppur personali, potrebbero riguardare anche altri soggetti.
Il diritto alla portabilità dei dati può essere esercitato al ricorrere di due condizioni (delineate dall'art. 20, paragrafo 1):
- che i dati personali (anche sensibili) siano trattati sulla base del consenso preventivo dell'interessato oppure in esecuzione di un contratto di cui l'interessato è parte, o ancora di misure precontrattuali adottate su sua richiesta. Tale diritto non sarà quindi applicabile ai dati il cui trattamento è fondato su ragioni di interesse pubblico o sull'interesse legittimo del titolare.
- che il trattamento sia effettuato con mezzi automatizzati. Saranno esclusi quindi i dati conservati in archivi ed elenchi cartacei.
In sostanza si richiede che i dati personali, per essere portabili, siano stati forniti consapevolmente e in modo attivo da parte dell'interessato (quindi trattati sulla base del suo consenso preventivo) oppure che siano diventati oggetto di trattamento a seguito di attività da lui stesso svolte, quali la fruizione di un servizio o l'utilizzo di un dispositivo. Ciò significa che, oltre che consensualmente, i dati devono essere stati forniti dall'interessato in modo diretto (ad esempio, tramite la compilazione di un modulo) o in modo indiretto (tramite un suo comportamento attivo, come può essere l'aver creato una cronologia sul web tramite la navigazione), ma in alcun caso potranno essere richiesti dati generati esclusivamente dal titolare. In linea di massima, dovranno, ad esempio, essere rese portabili le liste di brani ascoltati tramite un servizio di streaming musicale (dati trattati per l'esecuzione di un contratto di cui l'interessato è parte), mentre dovranno essere esclusi tutti i dati che vengono creati dal titolare nell'ambito di un trattamento e che sono derivati o dedotti dai dati personali forniti dall'interessato (come la creazione di un profilo utente o i dati prodotti da un algoritmo attraverso un'attività di profilazione). Ancora, sono esclusi i dati trattati per finalità o interessi pubblici: ad esempio, gli istituti finanziari non sono tenuti ad adempiere ad una richiesta di portabilità riguardante dati trattati per gli obblighi di prevenzione e accertamento di reati finanziari o di riciclaggio.
Esercitando il proprio diritto alla portabilità dei dati gli interessati potranno dunque ricevere i dati personali trattati da un titolare e trasmetterli a un altro titolare oppure conservare tali dati su un proprio supporto personale per un uso privato o in vista di un successivo ed eventuale trasferimento a un altro titolare.
Inoltre, è prevista anche la possibilità che i dati personali siano trasmessi direttamente da un titolare a un altro. Tale onere a carico di un titolare sorge in caso di richiesta espressa dell'interessato e, si noti bene, soltanto quando tale operazione sia "tecnicamente fattibile" (art. 20, comma 2, GDPR; si veda per un approfondimento specifico il prossimo articolo).
È il titolare che riceve i dati a dover garantire la conformità del trattamento al GDPR (a partire dall'adempimento degli obblighi informativi). È importante infatti evidenziare che il titolare originario dovrà valutare i rischi specifici della portabilità e adottare idonee misure per ridurli, ma non avrà alcuna responsabilità in merito ai futuri trattamenti effettuati da altri titolari o dallo stesso interessato, il quale, tuttavia, non perderà alcun diritto nei confronti del primo titolare. Infatti, l'esercizio del diritto alla portabilità dei dati personali non dovrà pregiudicare l'esercizio di nessun altro diritto di terzi né dell'interessato stesso. Questa precisazione, con riferimento alla portabilità dei dati, viene in rilievo in particolare nel caso in cui un titolare tratti un insieme di dati che riguardano più interessati (ad esempio anche soggetti che non hanno prestato il consenso): se uno di questi interessati esercita tale diritto, l'operazione non deve pregiudicare i diritti e le libertà degli altri (in poche parole, occorrerà distinguere con attenzione i dati e non trasmettere anche quelli di altri interessati, seppur connessi). Inoltre, all'interessato che intenda esercitare questo diritto deve essere garantita, anche in seguito a tale operazione, tanto la possibilità di continuare a usufruire del servizio offerto dal titolare quanto quella di ottenere la cancellazione dei propri dati.
Cosa fare per garantirlo
Affinché la portabilità venga resa pienamente applicabile, sono richiesti comportamenti attivi allo stesso titolare, il quale, oltre a dover informare gli interessati dell'esistenza del diritto in questione (ai sensi degli artt. 13 e 14 dello stesso Regolamento), avrà anche l'onere di adottare modalità che favoriscano la trasmissione dei dati (dando, ad esempio, all'interessato la possibilità di scaricarli o di trasferirli direttamente ad un altro titolare).
I titolari dovranno innanzitutto informare gli interessati circa l'esistenza di tale diritto, fornendo loro un'adeguata informativa su questo specifico elemento, nel rispetto di quanto stabilito dagli artt. 13 e 14 del GDPR (per un approfondimento specifico al riguardo vi invitiamo a leggere i precedenti articoli di questo Speciale sul GDPR, appositamente dedicati al contenuto dell'informativa da rendere agli interessati). In particolare, l'informativa dovrà contenere un riferimento chiaro, intellegibile e specifico alla possibilità di esercitare questo diritto.
Quando un interessato decide di esercitare il diritto alla portabilità, il titolare interpellato dovrà adempiere a quanto richiesto e fornirgli gratuitamente tutte le informazioni relative all'azione intrapresa quanto prima, con una tempistica ragionevole in base al contesto di riferimento, informando però tempestivamente l'interessato e sempre nel rispetto di quanto previsto dall'art. 12 GDPR (in generale, quindi, entro un mese dalla richiesta; per approfondimenti al riguardo si veda l'articolo dedicato al diritto di accesso).
Il titolare dovrà fornire all'interessato i dati in un formato strutturato, di uso comune, leggibile meccanicamente che garantisca l'interoperabilità, ma non la compatibilità (art. 20 GDPR), affinché le applicazioni software possano identificarlo ed estrarre i dati necessari. La prima strada da seguire dovrebbe essere quella di consentire all'interessato tanto di scaricare autonomamente le informazioni quanto di trasmetterle direttamente ad un diverso titolare, ad esempio tramite un'interfaccia di programmazione di applicazioni (API); un altro strumento utile potrebbe essere individuato nel fornire un servizio di deposito e memorizzazione dei dati a disposizione degli interessati per consentire loro di semplificare il passaggio tra vari titolari. è poi consigliabile che insieme ai dati vengano forniti dal titolare quanti più metadati possibile (al livello massimo di granularità) per proteggere la semantica specifica delle informazioni. Si noti, però, che tale requisito non fa sorgere corrispettivamente in capo a coloro che diverranno successivamente titolari un obbligo di predisporre misure adeguate a supportare tale formato.
Il GDPR non fornisce ulteriori indicazioni di dettaglio sulla tipologia di formato in cui i dati devono essere trasmessi: ciascun titolare dovrà quindi premurarsi di utilizzare il formato più adeguato ad assicurare la portabilità dei dati stessi a seconda del settore specifico di attività e dello scopo dell'interoperabilità. Per superare questo gap tecnico, è stata evidenziata una opportunità nell'instaurazione di forme di collaborazione fra i produttori e le associazioni di categoria, affinché venga sviluppato un insieme condiviso di standard e formati interoperabili che permetta di rispettare i requisiti previsti dal GDPR per realizzare il diritto alla portabilità dei dati.
I titolari potrebbero, inoltre, in modo completare, sia predisporre misure idonee a consentire la trasmissione dell'intero insieme di dati sia fare ricorso a strumenti automatizzati che permettano di estrarre i dati pertinenti al contenuto specifico della richiesta di portabilità, utilizzando messaggistica sicura, server SFTP, WebAPI o WebPortal sicuri. E quest'ultima soluzione sarà tanto più opportuna quanto più siano complessi e strutturati gli insiemi di dati trattati, consentendo di estrarre determinate parti del set di dati e minimizzando il rischio di usi illeciti dei dati.
Viene, peraltro, consigliata ai titolari la predisposizione di strumenti d'identificazione per controllare che effettivamente chi richiede e riceve i dati sia l'interessato: il che non significa necessariamente dover adottare complessi strumenti di identificazione, in quanto può già essere considerato sufficiente, ad esempio, fornire il nome utente e la password, quando il trattamento è effettuato in relazione ad un account utente.
La fattibilità tecnica della trasmissione da un titolare ad un altro, condizione affinché possa essere richiesto direttamente al titolare di procedere alla trasmissione delle informazioni ad un altro titolare deve essere valutata in rapporto al caso specifico. In generale, si può ritenere che il passaggio diretto tra titolari dovrebbe avvenire quando è possibile una comunicazione sicura tra i sistemi e quando il destinatario dei dati è tecnicamente in grado di ricevere quanto trasmesso.
Gli eventuali ostacoli tecnici dovranno comunque essere comunicati e spiegati all'interessato, in quanto potrebbero determinare un rifiuto alla richiesta. Il titolare potrà, infatti, opporre un diniego alla richiesta di portabilità dei dati rivoltagli dall'interessato, soltanto qualora vi siano degli impedimenti indicati nello stesso Regolamento, ad esempio perché lo stesso ritiene che i dati non vengano trattati in modo automatizzato oppure che il trattamento effettuato sia connesso all'esercizio di poteri pubblici. In questo caso, però, lo stesso dovrà, sempre entro un termine massimo di un mese dalla ricezione della richiesta, sia indicare i motivi di tale rifiuto sia far presenta all'interessato la possibilità di fare reclamo all'autorità di controllo o di ricorrere all'autorità giudiziaria, tenendo altresì presente che rimane sempre a carico del titolare la dimostrazione della legittimità del proprio diniego.
Ogni titolare sarà infine obbligato ad informare gli utenti della possibilità di esercitare il diritto alla portabilità prima della chiusura di un account o del termine di un trattamento (al fine di non perderli definitivamente).
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it