Sistemi di identificazione e interoperabilità: sono questi gli aspetti principali che le aziende, che trattano i dati personali in modo automatizzato, devono valutare all’atto della predisposizione delle procedure interne per il soddisfacimento delle richieste di portabilità dei dati avanzate ai sensi dell’art. 20 del GDPR.
All’interessato, infatti, è stato riconosciuto non solo il diritto di ricevere dal titolare del trattamento i dati personali da lui stesso forniti, ma anche e, soprattutto, il diritto di richiedere che i dati forniti vengano direttamente trasmessi da un titolare all’altro.
Vediamo quindi come operare nel caso in cui l’azienda, titolare del trattamento, venga interpellata con richiesta di portabilità avanzata da un interessato.
Indice degli argomenti
Le risposte alle richieste di portabilità dati
Va innanzitutto premesso che soltanto le aziende che trattano i dati personali forniti dagli interessati in modo automatizzato, e non con meri registri cartacei, sono tenute a dare seguito alle richieste di portabilità dati.
Il trattamento dei dati personali, inoltre, deve trovare la sua base legale nel consenso dell’interessato ai sensi dell’art. 6, par. 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), del GDPR ovvero su un contratto con lo stesso stipulato ai sensi dell’articolo 6, paragrafo 1, lettera b), del GDPR.
Non sono tenute a dare risposta alle richieste di portabilità, invece, le aziende che trattano i dati personali nell’esercizio delle loro funzioni pubbliche.
La verifica dell’identità dell’interessato
La prima operazione da effettuare è individuare un sistema di identificazione che consenta all’azienda interessata dalla richiesta di verificare che il soggetto richiedente sia l’effettivo soggetto interessato cui i dati personali si riferiscono. Potrebbe non bastare, infatti, la previsione di un nome utente e password per soddisfare il dovere gravante sul titolare di individuare sistemi di protezione che garantiscano la sicurezza dei dati.
Sarebbe opportuno a tal proposito rafforzare tali sistemi di identificazione, ad esempio, con l’introduzione di One Time Password o domande segrete, che, comunque, non richiedano che l’interessato fornisca ulteriori dati personali non necessari o irrilevanti ai fini della richiesta di portabilità. Non si richiede, infatti, che l’interessato all’atto della richiesta dia prova della sua identità legale, soprattutto, allorquando il trattamento dei suoi dati non abbia richiesto ab origine tali informazioni.
La manifesta infondatezza o eccessività
Ricevuta la richiesta e confermata l’identità dell’interessato, l’azienda titolare del trattamento, dovrà esaminare la richiesta avanzata, valutando se la stessa possa ritenersi manifestamente infondata o eccessiva, perché, ad esempio ripetitiva.
Nel caso di manifesta infondatezza, potrà rifiutare la richiesta, avendo però l’obbligo di darne un’esplicita e dettagliata motivazione, così come sancito dall’art. 12, par. 5, GDPR e ribadito dal WPArt.29, che sottolinea come the data controller cannot remain silent when it is asked to answer a data portability request. È bene ricordare, però, che il titolare del trattamento non può ritenere eccessiva la richiesta avanzata dall’interessato in considerazione del numero complessivo di richieste ricevute anche da parte di altri interessati.
I dati che possono essere rilasciati
Nel caso in cui sia stata ritenuta fondata la richiesta di portabilità, il titolare del trattamento, ovvero, il responsabile del trattamento, potrà analizzare nel merito la richiesta, procedendo individuazione dei dati richiesti dall’interessato. È bene evidenziare, però, che l’art. 20 del GDPR non ha riconosciuto un diritto generale alla portabilità, potendo essere trasferiti o all’interessato o ad altro titolare del trattamento, non tutti i dati personali trattati dall’azienda e riferibili al soggetto, ma solamente i dati da lui direttamente forniti al titolare.
Dati Forniti
Cosa deve essere ricompreso nel concetto di dati forniti? È evidente che nei dati forniti vi siano ricompresi tutte quelle informazioni rilasciate consapevolmente dall’interessato nel momento in cui ha acconsentito al trattamento dei suoi dati da parte dell’interessato ovvero tutte quelle notizie rilasciate all’atto della stipula di un contratto (indirizzo postale, nome utente ecc…).
Analogamente devono ritenersi forniti i dati c.d. osservati, ossia i dati raccolti dal titolare quale conseguenza della fruizione del suo servizio o utilizzo di un suo dispositivo da parte dell’interessato. Pensiamo alla cronologia dei luoghi visitati, delle ricerche effettuate attraverso il motore di ricerca, o ancora, alle ore di sonno registrate da un’applicazione telefonica.
Esuleranno, invece, dall’obbligo di trasferimento all’interessato o ad altro titolare, quei dati che sebbene riferibili all’interessato non sono stati da lui direttamente o indirettamente forniti, in quanto frutto della elaborazione dello stesso titolare del trattamento. Attraverso i dati forniti ed i dati osservati, infatti, al titolare del trattamento è consentito effettuare un analisi sulle caratteristiche, abitudini, interessi del soggetto fruitore del servizio o del dispositivo da lui offerto, che sebbene concorrano a definire il profilo dell’interessato non possono rientrare propriamente nella categoria dei dati forniti. Tali dati cc.dd. inferenziali e derivati sono, infatti, il risultato delle deduzioni automatizzate operate dal titolare del trattamento, che, pertanto, rientrano nel suo esclusivo patrimonio conoscitivo. Questi non ha in alcun modo l’obbligo di comunicarle all’interessato o anche a terzi titolari del trattamento, suoi ipotetici concorrenti.
Dati relativi a terzi
Sebbene l’esercizio del diritto alla portabilità non debba ledere i diritti e le libertà altrui, si ritiene possano essere trasmessi all’interessato anche dati inerenti terze persone allorquando siano strettamente legati a quelli concernenti l’interessato. Pensiamo ai tabulati telefonici, alla cronologia della posta elettronica, ai messaggi vocali registrati, alle rubriche telefoniche, al registro operazioni di un conto corrente bancario, è evidente che in tali dati siano contenuti anche i dati dei terzi interlocutori dell’interessato, ma ciò non potrà di certo comportare un rifiuto al trasferimento dei dati da parte dell’interessato.
Nel caso in cui i dati riferibili a terzi vengano trasmessi ad altro titolare, però, è escluso che quest’ultimo li possa utilizzare per proprie finalità di marketing o anche per analizzare le loro abitudini andando ad arricchire o addirittura a creare ex novo all’interno dei propri database un profilo del terzo, del tutto ignaro ed inconsapevole del trattamento dei suoi dati personali.
Come fornire i dati richiesti all’interessato o ad altro titolare
Una volta individuati i dati richiesti, l’azienda dovrà procedere al trasferimento all’interessato o ad altro titolare, adoperando modalità che consentano all’interessato di conservarli su un supporto personale o un cloud privato in vista di un utilizzo ulteriore per scopi personali, ovvero che permettano al nuovo titolare del trattamento di riutilizzarli nell’ambito del servizio offerto all’interessato.
La normativa europea richiede infatti che i dati vengano trasferiti in formati strutturati, di uso comune, leggibile meccanicamente che garantiscano l’interoperabilità tra i vari sistemi adoperati dai diversi titolari. La scelta, innanzitutto, è quella di tramettere direttamente i dati oppure di servirsi di un automated tool dal quale estrarre i dati. Tale ultima opzione è preferibile se si tratta di un considerevole volume di dati ed è comunque consigliabile, in via generale, per minimizzare il rischio di violazione della privacy all’atto del trasferimento/ricevimento dei dati.
Si potrebbe, inoltre, pensare di mettere direttamente a disposizione dei propri utenti un servizio di deposito e memorizzazione o ancora utilizzare un API (Application Programming Interface) che consenta di spostare foto, calendari, posta elettronica, contatti telefonici, da un titolare all’altro. Quali possono essere i formati con i quali trasferire i dati? Il GDPR non indica dettagliatamente il formato elettronico da adoperare per la trasmissione dei dati, auspicando, però, vengano avviati processi di standardizzazione dei formati ovvero vengano adottati sistemi tra loro interoperabili, senza però che ciò comporti l’obbligatoria adozione di sistemi compatibili.
Certamente è inopportuno fornire i dati in formato PDF, dovendosi preferire formati aperti di uso comune quali XML, JSON, CSV, che consentano l’utilizzo e la manipolazione dei dati letti automaticamente dai sistemi riceventi. Ciò che comunque deve essere assolutamente evitato è il vendor lock-in: l’azienda che ha ricevuto la richiesta non può certo rifiutare o meglio ostacolare il trasferimento dei dati ad una sua concorrente, onde incorrere in una violazione del GDPR.
Tuttavia, è possibile che l’azienda trasmittente rinvenga delle difficoltà di natura tecnica che non consentano il trasferimento da un titolare all’altro, perché ad esempio il nuovo titolare non è dotato di un sistema in grado di leggere i dati trasmessi e non sono stati ancora individuati formati interoperabili tra tali sistemi. In tal caso, l’azienda è tenuta a dare pronta comunicazione degli ostacoli tecnici all’interessato e rifiutare la richiesta, ovvero, potrebbe scegliere di trasferire i dati al solo interessato.
La posizione del titolare all’atto del trasferimento dei dati
L’azienda che risponde ad una richiesta di portabilità agisce come mandante dell’interessato senza alcuna responsabilità sull’uso che ne fa il singolo o sul trattamento dell’altra società che riceve i dati. Ciò nonostante, l’azienda che effettua il trasferimento ha necessità di tutelare la propria posizione prevedendo sistemi di garanzia del suo operato. In altri termini, prima di procedere al trasferimento l’interessato deve validare l’operazione, confermando che i dati individuati siano effettivamente i dati che intenda ricevere ovvero trasferire ad altri.
Non si richiede, inoltre, che il titolare controlli la qualità dei dati trasmessi che si presuppongono, comunque, conformi ai requisiti della esattezza e aggiornamento. Tuttavia, è necessario che garantisca la sicurezza nel trasferimento dei dati ovvero nella ulteriore conservazione degli stessi considerando che la portabilità dei dati non comporta l’automatica cancellazione degli stessi ai sensi dell’art. 17 del GDPR.
Se l’azienda ha previsto la nomina di un responsabile del trattamento dati è opportuno che nel contratto vengano dettagliatamente definite le responsabilità di ciascuno in merito alle richieste di portabilità avanzate in merito a dati gestiti dal responsabile e le modalità di cooperazione tra i vari soggetti coinvolti.
La posizione del titolare ricevente
Il titolare ricevente è tenuto a garantire che i dati forniti, da lui accettati e conservati, siano pertinenti e non eccedenti rispetto alle finalità del suo trattamento. Non ha necessità di trattenere informazioni che non siano funzionali al servizio da lui offerto, soprattutto quando si tratti di dati terzi interessati. In altre parole, il nuovo titolare è chiamato al rispetto dei principi generali di cui all’art. 5 del GDPR, quali la liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, integrità e riservatezza, conservazione limitata e responsabilizzazione.
Termine entro cui dare seguito alle richieste di portabilità
L’azienda è tenuta ai sensi dell’art. 12 del GDPR a rispondere entro un mese dalla richiesta, o, comunque, entro un termine ragionevole tenuto conto del caso particolare. Il termine standard di un mese può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
Tendenzialmente l’azienda non può imporre costi e oneri all’interessato a meno che non risulti ragionevole un contributo spese per i costi amministrativi sostenuti per fornire i dati.
