Temi

Shape 5 Live Search

logo

L'articolo 20 del nuovo Regolamento Generale per la protezione dei dati personali (GDPR) ha introdotto un nuovo diritto per gli interessati del trattamento: il diritto alla portabilità dei dati.

 

Diritto alla portabilità

Si tratta di un diritto che differisce dal diritto all'accesso ai dati. In base all'articolo 20 del GDPR, "l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti". 

I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (art. 12.3 GDPR). In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all'interno di un servizio).

Inoltre, l'interessato ha il diritto di ottenere la trasmissione dei dati personali da un titolare ad un altro "senza ostacoli", se è tecnicamente fattibile. Il titolare del trattamento può adeguarsi alla norma o fornendo uno strumento per il download dei dati, o garantendo la trasmissione diretta dei dati ad altro fornitore. Anche il titolare ricevente i dati è soggetto a specifici obblighi, in particolare diventa il nuovo titolare e quindi deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce. Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perchè non necessari per fornire il servizio. 

Il diritto alla portabilità dei dati, quindi, non si limita ad aumentare il controllo dell'interessato sui suoi dati, ma favorisce anche la libera circolazione dei dati stimolando l'economia digitale. Garantendo il trasferimento dei propri dati da un servizio online ad un altro promuove la concorrenza tra aziende, e l'innovazione e lo sviluppo di nuovi servizi. In tal modo, infatti, l'interessato può facilmente spostare un contratto di servizi ad altro gestore senza dover fornire nuovamente tutti i suoi dati ma semplicemente chiedendo al vecchio gestore di trasportare i dati al nuovo gestore. 

Il titolare del trattamento deve informare gli interessati dell'esistenza di tale diritto, spiegando nel contempo quali dati sono soggetti alla portabilità. Ovviamente, il diritto alla portabilità dei dati non implica alcun obbligo di conservare i dati oltre il periodo stabilito dalle norme al solo fine di garantire l'esercizio della portabilità. 

Ovviamente l'esercizio di tale diritto non deve ledere i diritti e le libertà altrui, come ad esempio se la fornitura lede i diritti di proprietà intellettuale del titolare oppure espone segreti commerciali.  

 

Quando si applica la portabilità

La portabilità dei dati deve essere garantita quando:
- il trattamento dei dati è basato sul consenso (art. 6 par. 1 lett. a oppure art. 9 par. 2 lett. a) oppure su un contratto (es. lista delle canzoni acquistate da un servizio online);
- e comunque solo se il trattamento è basato su elaborazione elettronica (non cartacea quindi).
In tutti gli altri casi non si applica, come ad esempio per i trattamenti basati sui legittimi interessi

 

Quali dati

Il diritto riguarda i dati "forniti" dall'interessato. Quindi, è limitato ai soli dati personali, non si applica ai dati anonimi, ma si applica invece ai dati pseudonimi essendo questi ultimi chiaramente collegati ai dati personali.

Secondo l'interpretazione del Gruppo Articolo 29, "forniti" deve essere inteso in senso ampio, per cui il diritto non si limita ai soli dati personali comunicati dall'interessato al titolare del trattamento (es. indirizzo mail), ma si estende anche ai dati personali generati (observed) dalle attività dell'interessato (es. dati di localizzazione, storia delle ricerche, i dati di navigazione, il battito cardiaco registrato da un dispositivo). Non sono compresi, invece, i dati generati dal titolare sulla base dell'analisi dei dati forniti o raccolti dall'interessato (inferred and derived data, es. il credit score), né ovviamente i dati ottenuti da terze parti.

Invece, nell'ottica della Commissione europea tale diritto è da garantire principalmente nell'ambito delle reti sociali, e quindi con riferimento ai dati inseriti direttamente dagli utenti, con una interpretazione riduttiva del termine "forniti". 

 

Forma dei dati

L'interessato ha il diritto di ricevere, gratuitamente (tranne il rimborso delle spese, nel caso ad esempio di dati forniti su DVD e spediti), i dati in forma strutturata e leggibile da un elaboratore di dati (quindi assolutamente non in formato cartaceo), in un formato comunemente usato ("formato strutturato, di uso comune e leggibile da dispositivo automatico"). Non vi sono indicazioni sul formato, ma è ovvio che il titolare dovrà fare una valutazione di interoperabilità del formato con altri servizi. Ad esempio, un file PDF che contenga i messaggi di una casella mail è pacificamente insufficiente, non essendo il PDF elaborabile dall'interessato. 

 

Linee guida

Il Gruppo Articolo 29 ha pubblicato delle linee guida sulla portabilità dei dati fornendo chiare indicazioni su come implementare tale diritto. 

Ad esempio, in merito al trasferimento di dati a terzi, può capitare che i dati siano collegati a dati di terzi, come nel caso dei gestori di telefonia dove il traffico telefonico implica sempre il riferimento a dati di altre persone (numeri telefonici). L'interessato ha il diritto di ricevere anche tali dati, ma il WP29 ha chiarito che se i dati vengono trasferiti ad altro fornitore, questi ha l'obbligo di non processare i dati di terzi.