Portabilità dei dati personali

Portabilità dei dati personali

L'articolo 20 del Regolamento Generale per la protezione dei dati personali (GDPR) ha introdotto un nuovo diritto per gli interessati al trattamentodei dati persopnali: il diritto alla portabilità dei dati.

 

Diritto alla portabilità

Si tratta di una sorta di integrazione del diritto di accesso ai dati, ma ne differisce in quanto "l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti". I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (art. 12.3 GDPR). 

Inoltre, l'interessato ha il diritto di ottenere la trasmissione dei dati personali da un titolare ad un altro "senza ostacoli", se è tecnicamente fattibile. Il titolare del trattamento può adeguarsi alla norma sia fornendo uno strumento per il download dei dati, che garantendo la trasmissione diretta dei dati ad altro fornitore. Anche il titolare ricevente i dati è soggetto a specifici obblighi, in quanto diventa il nuovo titolare e pertanto deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce. Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perchè non necessari per fornire il servizio. 

Il diritto alla portabilità dei dati, quindi, non si limita ad aumentare il controllo dell'interessato sui suoi dati, ma contribuisce a favorire la libera circolazione dei dati stimolando l'economia digitale. Garantendo il trasferimento dei propri dati da un servizio online ad un altro promuove la concorrenza tra aziende, l'innovazione e lo sviluppo di nuovi servizi. In tal modo, infatti, l'interessato può facilmente spostare un contratto di servizi ad altro gestore senza dover fornire nuovamente tutti i suoi dati ma semplicemente chiedendo al vecchio gestore di trasferire i dati. In tal modo si favorisce l'interoperabilità dei servizi, impedendo il formarsi di fenomeni di lock-in (blocco all'interno di un servizio). 

Il titolare del trattamento deve informare gli interessati dell'esistenza di tale diritto, spiegando nel contempo quali dati sono soggetti alla portabilità. Ovviamente, il diritto alla portabilità dei dati non implica alcun obbligo di conservare i dati oltre il periodo stabilito dalle norme al solo fine di garantire l'esercizio della portabilità. 

Infine, l'esercizio di tale diritto non deve ledere i diritti e le libertà altrui, come ad esempio se la fornitura lede i diritti di proprietà intellettuale del titolare oppure espone segreti commerciali.  

 

Quando si applica la portabilità

La portabilità dei dati deve essere garantita quando:
- il trattamento dei dati è basato sul consenso (art. 6 par. 1 lett. a oppure art. 9 par. 2 lett. a) oppure su un contratto (es. lista delle canzoni acquistate da un servizio online);
- e comunque solo se il trattamento è basato su elaborazione elettronica (non cartacea quindi).
In tutti gli altri casi non si applica, come ad esempio per i trattamenti basati sui legittimi interessi. Il diniego da parte del titolare dovrà essere espresso nel termine di un mese e dovranno essere precisati i motivi del rifiuto, nonché la possibilità di ricorrere all'autorità giudiziaria o presentare reclamo all'Autorità di controllo. In quest'ultimo caso sarà il titolare a dover dimostrare la legittimità del proprio rifiuto. 

 

A quali dati si applica

Il diritto riguarda i dati "forniti" dall'interessato. Quindi, è limitato ai soli dati personali, non si applica ai dati anonimi, ma si applica invece ai dati pseudonimi essendo questi ultimi chiaramente collegati ai dati personali.

Secondo l'interpretazione del Gruppo Articolo 29, "forniti" deve essere inteso in senso ampio, per cui il diritto non si limita ai soli dati personali comunicati dall'interessato al titolare del trattamento (es. indirizzo mail), ma si estende anche ai dati personali generati (observed) dalle attività dell'interessato (es. dati di localizzazione, storia delle ricerche, i dati di navigazione, il battito cardiaco registrato da un dispositivo). Non sono compresi, invece, i dati generati dal titolare sulla base dell'analisi dei dati forniti o raccolti dall'interessato (inferred and derived data, es. il credit score), né ovviamente i dati ottenuti da terze parti.

Invece, nell'ottica della Commissione europea tale diritto è da garantire principalmente nell'ambito delle reti sociali, e quindi con riferimento ai dati inseriti direttamente dagli utenti, con una interpretazione riduttiva del termine "forniti". 

 

Formato dei dati

L'interessato ha il diritto di ricevere, gratuitamente (tranne il rimborso delle spese, nel caso ad esempio di dati forniti su DVD e spediti), i dati in forma strutturata e leggibile da un elaboratore di dati (quindi assolutamente non in formato cartaceo), in un formato comunemente usato ("formato strutturato, di uso comune e leggibile da dispositivo automatico"). Non vi sono indicazioni sul formato, ma è ovvio che il titolare dovrà fare una valutazione di interoperabilità del formato con altri servizi. Ad esempio, un file PDF che contenga i messaggi di una casella mail è pacificamente insufficiente, non essendo il PDF elaborabile dall'interessato. 

Un formato comune è il Comma Separated Values (CSV) file, cioè un file nel quale i dati sono separati da virgole. Si tratta di un formato di scambio dati supportato da molti software. 

 

Linee guida

Il Gruppo Articolo 29 ha pubblicato delle linee guida sulla portabilità dei dati fornendo chiare indicazioni su come implementare tale diritto. 

Ad esempio, in merito al trasferimento di dati a terzi, può capitare che i dati siano collegati a dati di terzi, come nel caso dei gestori di telefonia dove il traffico telefonico implica sempre il riferimento a dati di altre persone (numeri telefonici). L'interessato ha il diritto di ricevere anche tali dati, ma il WP29 ha chiarito che se i dati vengono trasferiti ad altro fornitore, questi ha l'obbligo di non processare i dati di terzi.