Sicurezza

Il diritto alla portabilità dei dati

banner tom s legal 813643fc24538e60ff074e8dea9719c67

Il nuovo Regolamento generale sulla protezione dei dati personali (che diventerà operativo dal 2018) prevede, tra le tante novità, un nuovo e peculiare diritto in capo all'interessato (colui che subisce il trattamento dei dati): il diritto alla portabilità dei dati personali. Abbiamo chiesto un parere al Dott. Luigi Dinella dello Studio Legale Fioriglio Croari.

La cosiddetta portabilità dei dati, nata con il Regolamento Generale sulla Protezione dei Dati Personali che la prevede all'articolo 20, rappresenta uno strumento che, secondo le intenzioni del legislatore Comunitario, nei prossimi anni servirà a favorire una maggiore e più semplice circolazione dei dati tra più titolari del trattamento (coloro che effettuano il trattamento dei dati), ma il tutto nel pieno e consapevole controllo da parte dell'interessato.

Depositphotos 114282836 l 2015 © maxkabakov
Foto: © maxkabakov / Depositphotos

Seppure a primo impatto possa sembrare simile al diritto d'accesso, questo nuovo diritto ne condivide solamente le basi per poi espandersi e fornire una più vasta serie di poteri all'interessato.

Nell'articolo andrò ad analizzare cosa s'intende per portabilità dei dati e quali sono le condizioni affinché l'interessato possa avvalersi di questo diritto. Nell'analisi terrò anche conto delle indicazioni fornite dal Garante della Privacy per facilitare la comprensione del nuovo istituto.

La portabilità dei dati e gli oneri del titolare

Grazie al nuovo diritto alla portabilità dei dati l'interessato avrà il potere di richiedere a un titolare del trattamento tutti i dati da lui forniti, per poi effettuare egli stesso un trattamento (conservando e memorizzando i dati ricevuti in vista di un utilizzo futuro) oppure per trasferirli a un altro titolare ai fini di un nuovo trattamento (senza alcun impedimento).

Analizzando il contenuto della norma, possiamo riconoscerle due finalità. In primo luogo si punta a favorire una più semplice circolazione dei dati personali all'interno del territorio dell'UE e una maggiore concorrenza tra i titolari. Tuttavia è evidente anche lo scopo di fornire maggiori poteri all'interessato in modo da riequilibrare il suo ruolo (sempre di svantaggio rispetto a quello del titolare). Tramite tale procedura, in altre parole, si vuole a favorire il controllo e la gestione diretta sui propri dati da parte dell'interessato.

Affinchè la portabilità venga resa pienamente applicabile sono richiesti comportamenti attivi allo stesso titolare, il quale oltre a dover informare gli interessati dell'esistenza del diritto in questione, avrà anche l'onere di adottare modalità che favoriscano la trasmissione dei dati (dando ad esempio all'interessato la possibilità di scaricarli o di trasferirli direttamente a un altro titolare.

Una volta attivato questo diritto il Garante precisa che il titolare originario non avrà alcuna responsabilità in merito ai futuri trattamenti effettuati da altri titolari o dallo stesso interessato, il quale tuttavia non perderà alcun diritto nei confronti del primo titolare (i suoi diritti resteranno pienamente attivi anche dopo l'esercizio del diritto di portabilità).

Il titolare poi non potrà opporsi alla richiesta di trasmissione dei dati (a meno che non vi siano impedimenti indicati nello stesso Regolamento): dovrà trasmetterli senza ritardo e in ogni caso non oltre 30 giorni dalla richiesta effettuata dall'interessato.

Ogni titolare sarà inoltre obbligato a informare gli utenti della possibilità di esercitare il diritto alla portabilità prima della chiusura di un account o del termine di un trattamento (al fine di non perderli definitivamente). Viene, infine, consigliata dal Garante ai vari titolari la creazione di strumenti d'identificazione tramite account per controllare che effettivamente chi riceve i dati sia l'interessato.

Le condizioni per l'esercizio del diritto

Dato che la portabilità pone una serie di vantaggi a favore dell'interessato, caricando di alcuni oneri il titolare, vengono indicate alcune condizioni necessarie per un suo regolare utilizzo (in mancanza delle quali il diritto alla portabilità non potrà essere esercitato).

Depositphotos 20236409 l 2015 © talitha it
Foto: © talitha it / Depositphotos

È lo stesso articolo 20 a indicare le condizioni necessarie affinchè il diritto possa essere esercitato. In primo luogo è richiesto che i dati personali riguardino l'interessato; devono dunque essere "dati personali" e non anonimi e devono essere trattati tramite strumenti automatizzati e non su supporti cartacei (scelta necessaria per favorirne la circolazione).

Il Garante tuttavia sottolinea anche che l'espressione "dati personali" non dev'essere intesa in senso estremamente restrittivo perché in alcuni casi – come ad esempio nei tabulati telefonici – i dati, seppur personali, potrebbero riguardare anche altri soggetti. Come seconda condizione è richiesto che i dati siano stati forniti dall'interessato in modo consapevole.

Oltre che consensualmente, i dati devono essere stati forniti dall'interessato in modo diretto (ad esempio tramite la compilazione di un modulo) o in modo indiretto (tramite un suo comportamento attivo, come può essere l'aver creato una cronologia sul web tramite la navigazione), ma in alcun caso potranno essere richiesti dati generati esclusivamente dal titolare (come può esserlo la creazione di un profilo utente).

Inoltre l'esercizio del diritto alla portabilità non deve ledere diritti e libertà di terzi soggetti: quest'ipotesi potrebbe verificarsi quando vengono trasferiti a un altro titolare dati riguardanti anche soggetti che non hanno prestato il consenso (in questo caso verrebbero violate le disposizioni dello stesso Regolamento): i dati riguardanti i terzi devono rimanere nell'esclusiva disponibilità dell'interessato che ne ha richiesto la portabilità e che potrà, dunque, utilizzarli solo per finalità personali.

Infine, il terzo comma dell'articolo 20 indica un'ipotesi in cui il diritto alla portabilità non può essere esercitato per la peculiarità dei dati trattati: ogni volta in cui il trattamento sia stato svolto dal titolare per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare, e nel caso in cui il trattamento sia necessario per l'adempimento di un obbligo legale.