Temi

Shape 5 Live Search

logo

L'articolo 20 del nuovo Regolamento Generale per la protezione dei dati personali (GDPR) ha introdotto un nuovo diritto per gli interessati del trattamento: il diritto alla portabilità dei dati.

Questo diritto è diverso dal diritto all'accesso ai dati, e consente agli interessati di ricevere, dal titolare del trattamento, "i dati personali che lo riguardano forniti ad uin titolare del trattamento" in modo che possa trasmetterli ad un altro titolare del trattamento (ad esempio, un'altra azienda). Il diritto alla portabilità dei dati è previsto, quindi, al fine di garantire il trasferimento dei propri dati da un servizio online ad un altro, così assicurando da un lato un maggiore controllo sui propri dati da parte degli individui, e dall'altro una maggiore concorrenza tra aziende e quindi promuovendo l'innovazione e lo sviluppo di nuovi servizi.

Il titolare del trattamento deve informare gli interessati dell'esistenza di tale diritto, spiegando nel contempo quali dati sono soggetti alla portabilità. I dati non possono essere forniti se ciò lede diritti del titolare o di terzi, come ad esempio se la fornitura lede i diritti di proprietà intellettuale del titolare oppure espone segreti commerciali.

 

Quali dati

Il diritto riguarda i dati "forniti" dall'interessato. Quindi, è limitato ai soli dati personali, non si applica ai dati anonimi, ma si applica invece ai dati pseudoanonimi essendo questi ultimi chiaramente collegati ai dati personali. Secondo l'interpretazione del Gruppo Articolo 29, "foniti" deve essere inteso in senso ampio, per cui il diritto non si limita ai soli dati personali comunicati dall'interessato al titolare del trattamento (es. indirizzo mail), ma si estende anche ai dati personali generati dalle attività dell'interessato (es. dati di localizzazione, storia delle ricerche, i dati di navigazione, il battito cardiaco registrato da un dispositivo). Non sono compresi, invece, i dati generati dal titolare sulla base dell'analisi dei dati forniti o raccolti dall'interessato (es. il credit score), né ovviamente i dati ottenuti da terze parti.
Invece, nell'ottica della Commissione europea tale diritto è da garantire nell'ambito delle reti sociali, e quindi con riferimento ai dati inseriti direttamente dagli utenti, con una interpretazione riduttiva del termine "forniti". 

Ovviamente, il diritto alla portabilità dei dati non implica alcun obbligo di conservare i dati oltre il periodo stabilito dalle norme al solo fine di garantire l'esercizio della portabilità. 

L'interessato ha il diritto di ricevere, gratuitamente (tranne il rimborso delle spese, nel caso ad esempio di dati forniti su compact disc e spediti), i dati in forma strutturata e leggibile da un elaboratore di dati (quindi assolutamente non in formato cartaceo), in un formato comunemente usato ("formato strutturato, di uso comune e leggibile da dispositivo automatico"). Un file PDF che contenga i messaggi di una casella mail è pacificamente insufficiente, non essendo il PDF elaborabile dall'interessato. 

Sempre in base all'articolo 20, l'interessato ha il diritto di trasmettere i dati personali da un titolare ad un altro "senza ostacoli". I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (art. 12.3 GDPR). In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all'interno di un servizio). 
Il titolare del trattamento può adeguarsi alla norma o fornendo uno strumento per il download dei dati, o garantendo la trasmissione diretta dei dati ad altro fornitore. Anche il titolare ricevente i dati è soggetto a specifici obblighi, in particolare diventa il nuovo titolare e quindi deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce. Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perchè non necessari per fornire il servizio. 

 

Quando si applica la portabilità

La portabilità dei dati deve essere garantita solo nel caso in cui il trattamento dei dati è basato sul consenso oppure sulla necessità contrattuale (es. lista delle canzoni acquistate da un servizio online), e comunque solo se il trattamento è basato su elaborazione elettronica (non cartacea quindi), in tutti gli altri casi non si applica, come ad esempio nel caso di trattamento basato sui legittimi interessi

 

Linee guida

Il Gruppo Articolo 29 ha pubblicato delle linee guida sulla portabilità dei dati fornendo chiare indicazioni su come implementare tale diritto. 

Ad esempio, in merito al trasferimento di dati a terzi, può capitare che i dati siano collegati a dati di terzi, come nel caso dei gestori di telefonia dove il traffico telefonico implica sempre il riferimento a dati di altre persone (numeri telefonici). L'interessato ha il diritto di ricevere anche tali dati, ma il WP29 ha chiarito che se i dati vengono trasferiti ad altro fornitore, questi ha l'obbligo di non processare i dati di terzi.