x

x

Il diritto alla portabilità dei dati

Il diritto alla portabilità dei dati
Il diritto alla portabilità dei dati

Abstract

L’articolo 20 del Regolamento generale sulla protezione dei dati ha introdotto nel nostro ordinamento un diritto individuale innovato e di ampia portata: il diritto alla portabilità. Il presente lavoro ha l’obiettivo di analizzare la portata e le principali caratteristiche di questo nuovo diritto. In particolare, gli obiettivi perseguiti dal Regolamento mediante l’introduzione dell’articolo 20; i casi esclusi dall’esercizio del diritto alla portabilità; le informazioni da fornire all’interessato; la fattibilità tecnica richiesta, ex articolo 20 comma 2 bis GDPR per la trasmissione diretta dei dati e le modalità ed i tempi di trasmissione.

La portabilità dei dati di carattere personale consente agli utenti, ai dipendenti e, in generale a qualunque persona i cui dati sono trattati, di recuperare i propri dati personali in un formato strutturato, di uso comune, leggibile da un dispositivo automatico ed interoperabile, al fine di conservarli su un proprio supporto o un cloud privato in vista di un utilizzo ulteriore per scopi personali ovvero di trasferirli ad un altro titolare.

La portata e le caratteristiche del diritto alla portabilità sono notevoli, pertanto, di seguito se ne analizzeranno i principali aspetti, in particolare:

- gli obiettivi perseguiti dal Regolamento mediante l’introduzione dell’articolo 20;

- i casi esclusi dall’esercizio del diritto alla portabilità;

- le informazioni da fornire all’interessato;

- la fattibilità tecnica richiesta, ex articolo 20 comma 2 bis GDPR, per la trasmissione diretta dei dati;

- le modalità ed i tempi di trasmissione.

 

Obiettivi

In base alle linee guida del Gruppo di lavoro ex articolo 29 Direttiva 95/46  gli obiettivi della innovativa previsione si riassumono nei seguenti punti:

- facilitare il più possibile il passaggio e lo scambio dei dati da un ambiente informatico ad un altro, evitando fenomeni di “lock-in” tecnologico e promuovendo la libera circolazione dei dati all'interno dell'UE e favorendo altresì la concorrenza tra i titolari del trattamento;

- consentire la creazione di nuovi servizi nel quadro della strategia dell’Ue per il mercato unico digitale;

- offrire la possibilità di «riequilibrare» il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti di controllo spettanti agli interessati in rapporto ai dati personali che li riguardano.

Casi di esclusione

Il Regolamento esclude l’esercizio del diritto in presenza di un interesse pubblico, in particolare quando il trattamento dei dati personali è necessario per l'adempimento di un obbligo legale ovvero l’esecuzione di un dovere cui è tenuto il titolare del trattamento.

Il diritto non può essere altresì esercitato quando abbia ad oggetto i dati derivati ed i dati inferenziali, vale a dire quei dati creati dal titolare sulla base delle informazioni “fornite dall’interessato”. Si tratta ad esempio, di quelle informazioni che hanno consentito, in ambito creditizio, la creazione di un profilo utente cui attribuire uno score creditizio.

Non sono oggetto del diritto alla portabilità i dati anonimi (viceversa lo sono i dati pseudonimizzati riconducibili all’interessato, ad esempio, attraverso la messa a disposizione da parte dello stesso del rispettivo elemento di identificazione) né i dati oggetto di un trattamento che non sono stati acquisiti mediante consenso dell’interessato o un contratto (ad esempio, le informazioni di contatto di natura professionale che siano trattate nel contesto di relazioni d’impresa).

In sintesi, il diritto alla portabilità può essere esercitato se i dati personali sono stati forniti in modo consapevole e attivo da parte dell'interessato (attraverso la manifestazione preventiva del suo consenso, ovvero sono diventati oggetto di trattamento a seguito di attività da lui svolte, quali la fruizione di un servizio o l'utilizzo di un dispositivo e sempre che siano trattati attraverso strumenti automatizzati (sono quindi esclusi gli archivi e registri cartacei ed, in generale, ogni dato trattato mediante intervento umano).

 

Le informazioni da fornire all’interessato

Al fine di garantire l’esercizio della portabilità, grava sul titolare l’obbligo, ex articoli 13 e 14 GDPR, di informare gli interessati dell'esistenza del diritto in questione. Qualora i dati siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita “nel momento in cui i dati personali sono ottenuti”; se, invece, i dati personali non sono stati ottenuti direttamente dall’interessato, il titolare deve fornire l’informativa nei termini previsti dal GDPR, in particolare, ai sensi dell’articolo 14, paragrafo 3, entro un termine ragionevole e comunque non superiore a un mese dall’ottenimento dei dati.

Ai sensi degli articoli de quo l’informativa dovrà essere “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.

Inoltre, ogni titolare sarà obbligato ad informare gli utenti della possibilità di esercitare il diritto alla portabilità prima della chiusura di un account o del termine di un trattamento (al fine di non perderli definitivamente).

Ad ogni modo, l’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato, che potrà:

  • continuare a fruire del servizio offerto dal titolare anche dopo un’operazione di portabilità;
  • esercitare il diritto di cancellazione, ai sensi dell’articolo 17 del regolamento.

 

La fattibilità tecnica richiesta, ex articolo 20 comma 2 bis GDPR, per la trasmissione diretta dei dati

Il Regolamento consente, quando tecnicamente possibile e su richiesta dell’interessato, la trasmissione diretta dei dati dell’utente da un titolare del trattamento ad un altro.

È dunque prioritario per le aziende predisporre un procedimento interno che consenta di rispondere in modo celere ed efficace alle richieste di trasferimento dati.

La fattibilità tecnica dovrà essere valutata con riferimento alle singole fattispecie, tenendo presente che il passaggio diretto delle informazioni è ammesso solo quando la comunicazione tra i sistemi sia sicura ed il destinatario dei dati sia tecnicamente in grado di riceverle.

È, inoltre, escluso che i dati frutto di una rielaborazione da parte del titolare del trattamento o, ancora, quelli relativi a segreti industriali, ad informazioni riservate siano oggetto dell’obbligo di trasmissione.

Pertanto, onde evitare che sia attribuito un vantaggio ad un’impresa concorrente non previsto dal diritto ala portabilità, è necessario che i titolari del trattamento si dotino di un sistema di data managment che selezioni adeguatamente i dati da trasferire. Per estrarre dai database solo alcune parti del set di dati, i Garanti europei consigliano la creazione di sistemi che consentano di scaricare autonomamente le informazioni e di trasmetterle direttamente ad un diverso titolare o, ancora, di mettere a disposizione dell’interessato un servizio di deposito e memorizzazione dei dati. Gli esperti sottolineano la necessità di consentire altresì la trasmissione, insieme ai dati, della maggiore quantità possibile dì metadati, per proteggere la semantica specifica delle informazioni utente.

Le modalità ed i tempi di trasmissione

Il legislatore europeo non detta prescrizioni specifiche circa le modalità di trasmissione, lasciando una certa discrezionalità ai diversi players del mercato. La soluzione idonea a tutti i contesti non è univoca, ciò che è fondamentale è che il trasferimento avvenga in modo sicuro, tenendo conto che il titolare che lo effettua ne è responsabile sino a quando i dati non sono presi in carico dal titolare ricevente.

Non sono altresì fornite indicazioni circa il formato in cui i dati devono essere trasmessi: ciascun titolare dovrà utilizzare un formato interoperabile ed adeguato a seconda del settore in cui opera. Per superare i futuri gap tecnici, il Gruppo dei garanti europei consiglia di “instaurare forme di collaborazione tra i produttori e le associazioni di categoria, affinchè venga sviluppato un insieme condiviso di standard e formati interoperabili che permettano di rispettare i requisiti  previsti dal gdpr per realizzare il diritto alla portabilità”.

 Con riferimento alla tempistica per ottemperare ad una richiesta di portabilità, l’articolo 12 dispone che il titolare fornisce le “informazioni relative all’azione intrapresa” dall’interessato “senza ingiustificato ritardo” e comunque “entro un mese dal ricevimento dalla richiesta” ovvero, in casi di particolare complessità, entro il termine massimo di tre mesi, purché l’interessato venga informato delle motivazioni di tale proroga entro un mese dal ricevimento della richiesta iniziale.

In presenza degli impedimenti indicati dal Regolamento, ad esempio qualora il trattamento sia connesso all’esercizio di pubblici poteri ovvero sussistano ostacoli di natura tecnica, giuridica, o finanziaria, la richiesta dell’interessato potrà essere respinta.

Il diniego dovrà essere espresso entro il termine massimo di un mese e dovranno essere indicati  all’interessato i motivi del rifiuto nonché la possibilità di ricorrere all’autorità giudiziaria ovvero presentare reclamo all’autorità di controllo. In quest’ultimo caso, opererà un’inversione dell’onere della prova di talché sarà compito del titolare dimostrare la legittimità del proprio diniego.

Una volta che i dati siano stati correttamente trasmessi, sarà compito del titolare ricevente garantirne la conformità al Regolamento, in particolare che i dati a lui forniti siano pertinenti e non eccedenti rispetto al nuovo trattamento svolto e che l'interessato sia stato informato con chiarezza delle finalità di tale nuovo trattamento.