L’articolo 20 del nuovo Regolamento Generale per la protezione dei dati personali (GDPR) ha introdotto il nuovo diritto per gli interessati del trattamento ossia il diritto alla portabillità dei dati.
Tale diritto differisce dal diritto di accesso ai dati, che garantisce l’obbligo per il titolare del trattamento o per il responsabile nominato di comunicare i dati all’interessato in forma intellegibile, estrapolandoli degli archivi, dalle banche dati, degli atti o dai documenti che li contengano. Quest’ultimo può essere esercitato nei confronti del titolare del trattamento sia pubblico sia privato e non è soggetto ai limiti posti dalla legge per l’accesso ai documenti amministrativi.
Il diritto alla portabilità dei dati aumenta il controllo dell’interessato sui suoi dati e favorisce la libera circolazione dei dati, stimolando l’economia digitale.
Ai sensi e per gli effetti dell’articolo 20 “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento ed ha il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte del titolare cui li ha forniti”. I dati devono essere forniti “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stesso” (art. 12.3 GDPR). In tal modo, è possibile spostarsi da un fornitore di servizi ad un altro senza blocchi all’interno di un servizio.
Entrando più nel dettaglio, l’interessato, con tale diritto, può ottenere la trasmissione dei dati personali da un titolare all’altro senza ostacoli. Ovviamente tale operazione deve essere fattibile.
Ciò comporta che il titolare debba fornire uno strumento per il download dei dati o garantire la trasmissione diretta dei dati ad altro fornitore.
Il titolare che riceve i dati ha, poi, dei precisi obblighi. Deve, innanzitutto, garantire che i dati non siano eccessivi rispetto ai servizi forniti.
I dati
I dati oggetto del sopra richiamato articolo di legge devono riguardare gli interessati e devono essere, quindi, dati personali, trattati con strumenti automatizzati e non su supporti cartacei (tutti i dati conservati in archivi ed elenchi cartacei sono dunque esclusi). I dati personali, poi, possono riguardare anche altri soggetti (come ad es. tabulati telefonici). Al paragrafo 1 è stabilito che i dati personali devono essere trattati sulla base del consenso preventivo dell’interessato oppure in esecuzione di un contratto di cui l’interessato è parte.
È richiesto che i dati per essere portabili devono essere stati forniti consapevolmente dall’interessato (sulla base del consenso preventivo) oppure diventati oggetto di trattamento in modo diretto (ad es. tramite la compilazione di un modulo) o in modo indiretto (tramite, per esempio, l’aver creato una cronologia sul web mediante la navigazione), ma in alcun caso potranno essere richiesti dati generati esclusivamente dal titolare.
Ad esempio, potranno essere rese portabili le liste di brani ascoltati tramite un servizio di streaming musicale (dati trattati per l’esecuzione di un contratto di cui l’interessato è parte), mentre dovranno essere esclusi tutti i dati che vengono creati dal titolare nell’ambito di un trattamento e che sono derivati o dedotti dai dati personali forniti dall’interessato (come la creazione di un profilo utente o i dati prodotti da un algoritmo attraverso un’attività di profilazione).
Ancora, sono esclusi i dati trattati per finalità o interessi pubblici: ad esempio, gli istituti finanziari non sono tenuti ad adempiere ad una richiesta di portabilità riguardante dati trattati per gli obblighi di prevenzione e accertamento di reati finanziari o di riciclaggio.
Cosa fare per garantire il diritto alla portabilità dei dati
Affinché la portabilità venga resa applicabile sono richiesti comportamenti attivi al titolare:
- Deve informare gli interessati dell’esistenza del diritto in esame (ai sensi degli artt. 13 e 14 del GDPR);
- Deve adottare modalità che favoriscano la trasmissione dei dati, dando all’interessato la possibilità di scaricarli o trasferirli;
- Fornire un’adeguata informativa nel rispetto di quanto stabilito dagli artt. 13 e 14 GDPR.
Adempimenti del titolare
Quando l’interessato decide di esercitare il diritto alla portabilità, il titolare dovrà adempiere alla richiesta, fornendogli gratuitamente tutte le informazioni relative all’azione entro un tempo ragionevole (solitamente entro un mese dalla richiesta – art. 12 GDPR).
Il titolare dovrà fornire all’interessato i dati in un formato strutturato, di uso comune, leggibile meccanicamente che garantisca l’interoperabilità, ma non la compatibilità (art. 20 GDPR), affinché le applicazioni software possano identificarlo ed estrarre i dati necessari.
Dovrà, poi, consentire all’interessato tanto di scaricare autonomamente le informazioni quanto di trasmetterle direttamente ad un diverso titolare, ad esempio tramite un’interfaccia di programmazione di applicazioni (API); un altro strumento utile potrebbe essere individuato nel fornire un servizio di deposito e memorizzazione dei dati a disposizione degli interessati per consentire loro di semplificare il passaggio tra vari titolari.
Insieme ai dati dovrà fornire quanti più metadati possibile (al livello massimo di granularità) per proteggere la semantica specifica delle informazioni.
