L’art. 20 del GDPR si occupa di definire le basi del diritto alla portabilità dei dati, uno dei diritti di cui più si è discusso dall’entrata in vigore del nuovo Regolamento UE.
Sostanzialmente, la norma prevede che “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”.
In tale primo comma la norma contiene, in realtà, due diritti quasi distinti e non necessariamente conseguenti:
- il primo, consente all’interessato di ricevere i dati che lo riguardano e costituisce un’integrazione del diritto di accesso di cui all’art. 15: ben potrebbe, infatti, l’interessato richiedere i propri dati al fine di farne un uso personale o familiare;
- il secondo, consente di richiedere che tali dati siano trasmessi ad un altro titolare del trattamento, fatti salvi gli eventuali limiti tecnici che non consentano al titolare di adempiere alla richiesta.
In tal senso, dunque, il GDPR mira ad invogliare i titolari a creare sistemi che possano agilmente comunicare fra loro, facilitando la circolazione dei dati, in piena linea coi principi che da sempre hanno fondato le susseguenti normative in tema di circolazione e protezione dei dati, personali e non. Si statuisce espressamente, infatti, al Considerando 68, che “è opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati”.
Ciò premesso, ne deriva che il diritto alla portabilità assolve a due scopi fondamentali (come evidenziato dal Prof. Franco Pizzetti nel suo articolo “Portabilità dei dati nel GDPR: cosa significa e cosa implica questo nuovo diritto”, cui la scrivente rimanda per ulteriori approfondimenti):
- aumentare il controllo dell’interessato sui suoi dati, consentendo allo stesso non solo di accedere ai propri dati ma anche di riceverli in un formato che ne consenta la semplice leggibilità e l’utilizzo;
- facilitare la loro trasmissione ad un altro titolare, anche tramite l’adozione di formati standard che consentano un’attuazione più semplificata di questo diritto.
Indice degli argomenti
I dati oggetto della portabilità
Oggetto della richiesta di portabilità, ai sensi dell’art. 20 GDPR, possono essere solo i dati raccolti dal titolare sulla base, rispettivamente:
- del consenso dell’interessato, ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a);
- di un contratto, ai sensi dell’articolo 6, paragrafo 1, lettera b).
Non sono ricompresi nella sfera di applicazione del diritto alla portabilità tutti i dati forniti dall’interessato per l’esecuzione di trattamenti che non sono effettuati con mezzi automatizzati (a titolo esemplificativo, dati conservati e trattati in formato cartaceo e raccolti in archivi fisici).
Occorre evidenziare come la norma in esame specifichi che l’interessato potrà richiedere soltanto “i dati personali che lo riguardano forniti a un titolare del trattamento”, escludendo, dunque, dall’ambito di applicazione del diritto alla portabilità sia i dati anonimi, ovvero informazioni che non sono più riferibili in nessun modo ad una persona identificata o identificabile, sia i dati generati dal titolare, ossia dati che il titolare ha ottenuto estrapolando informazioni dai dati forniti dall’interessato (come i dati inferenziali e derivati, tra i quali rientrano i risultati prodotti da un algoritmo).
Ricadono, invece, nell’ambito di applicazione della portabilità i dati pseudonimi, ovvero tutte le informazioni che possono essere attribuite all’interessato con l’utilizzo di informazioni aggiuntive, proprio in virtù della loro “riconducibilità” ad un soggetto specifico.
Per quanto riguarda i dati di terzi, cioè relativi ad altri interessati, l’art. 20 c. 4 specifica che l’esercizio, da parte propria, del diritto alla portabilità, non può in alcun modo ledere i diritti e le libertà altrui: ciò si traduce, in concreto, nell’impossibilità, per il nuovo titolare del trattamento presso cui i dati sono trasferiti, di utilizzare i dati di terzi per finalità differenti da quelle per le quali sono stati originariamente conferiti.
Ne deriva che, riassumendo, per evitare di ledere diritti e libertà dei terzi interessati, il trattamento di suddetti dati personali da parte di un diverso titolare è consentito soltanto nella misura in cui i dati rimangano nell’esclusiva disponibilità dell’utente che ne ha originariamente richiesto la portabilità e siano utilizzati esclusivamente per finalità personali o domestiche.
Il “nuovo” titolare che ha ricevuto tali dati (anche direttamente, se così chiede l’utente) non può utilizzare i dati riferiti a terzi per finalità proprie – per esempio, per proporre offerte di marketing e servizi ai suddetti terzi, o per arricchire il profilo dei terzi interessati e ricostruire il loro contesto sociale a loro insaputa e senza il loro consenso, né può utilizzarli per ricavare informazioni sui terzi in oggetto o per creare profili specifici, anche se già ne detiene i dati personali.
Finalità di utilizzo ultronee di tali dati dovranno essere oggetto di apposita informativa ex art. 14 GDPR e, ove necessario, di separata raccolta del consenso.
Portabilità dei dati: come richiederla
In via preliminare, il titolare, per poter concretamente rendere possibile l’esercizio del diritto alla portabilità dei dati, deve innanzitutto informare correttamente gli interessati della possibilità di far valere tale diritto, secondo quanto previsto dagli artt. 13-14 GDPR.
Successivamente, nel momento in cui l’interessato decida di esercitare il diritto alla portabilità dei dati, il titolare dovrà adempiere alla richiesta gratuitamente ed in tempi ragionevoli (mediamente, un mese).
Al fine di favorire e semplificare l’esercizio del diritto alla portabilità, si richiede ai titolari del trattamento di offrire agli interessati la possibilità di effettuare il download dei dati, o la trasmissione degli stessi a diverso titolare, tramite “canali privilegiati”, ovverosia soluzioni informatiche che, tramite l’utilizzo di una interfaccia di programmazione di applicazioni, di snellire il processo di selezione dei dati e successiva conservazione/trasmissione da parte del richiedente.
Nella fase di esecuzione della richiesta di portabilità, il titolare potrà (più correttamente, dovrà) anche implementare delle procedure di identificazione dell’interessato, anche con richiesta di dati ulteriori a quelli già in possesso, onde evitare l’erronea ed illecita fuoriuscita di dati nei confronti di soggetti che potrebbero farne un uso illecito.
L’implementazione di apposite procedure consentirà al titolare di rispondere alle richieste di portabilità in breve tempo anche nel caso in cui i dati personali siano trattati da un responsabile del trattamento ai sensi dell’art. 28 GDPR, o da contitolari del trattamento.
In tal caso, nel contratto o nell’accordo di contitolarità dovrà essere ben chiaro, sin da subito, quali siano le responsabilità ed i compiti imputabili ad ognuna delle parti nel processo di gestione delle richieste di portabilità.
Ad ogni modo, ove l’adempimento della richiesta di portabilità sia eccessivamente difficoltoso, o impossibile, il titolare potrà rifiutarsi di eseguire quanto previsto dall’art. 20 GDPR.
Dall’altra parte, il titolare che riceve i dati è tenuto ad implementare delle procedure che garantiscano che i dati forniti dai nuovi utenti siano pertinenti e non eccedenti le finalità del trattamento posto in essere, procedendo allo “scarto” di tutti quei dati che non risultino necessari per l’esecuzione del servizio che intende fornirsi.
Viceversa, l’utilizzo di tali dati, come già accennato, configurerebbe un’ipotesi di trattamento illecito, in piena violazione dei principi fondanti la normativa sul trattamento dei dati personali, ivi incluso il principio di correttezza, da ritenersi violato ove i terzi interessato non siano posti nelle condizioni di poter esercitare i diritti loro riconosciuti né correttamente informati.
Portabilità, trasmissione e cancellazione dei dati
È opportuno evidenziare, in chiusura, come l’esercizio del diritto alla portabilità dei dati non comporti in alcun modo la compressione degli altri diritti garantiti dal GDPR.
In particolar modo, la portabilità non può andare ad inficiare il diritto alla cancellazione dei dati: al titolare, infatti, non si impone alcun obbligo di conservazione dei dati per un periodo superiore a quello necessario o specificamente previsto al sol fine di adempiere ad una potenziale richiesta di portabilità.
Allo stesso modo, qualora l’interessato eserciti il diritto all’oblio di cui all’art. 17 GDPR, non potrà essergli opposto il diritto alla portabilità dei dati al sol fine di respingere la richiesta.
La portabilità non comporta, altresì, l’automatica cancellazione dei dati dai sistemi del titolare cui la richiesta è avanzata, né preclude il successivo esercizio del diritto di accesso ai sensi dell’art. 15 GDPR, qualora l’interessato abbia necessità di recuperare dati ulteriori rispetto a quelli oggetto dell’articolo in esame.
Ricapitolando, l’interessato può esercitare tutti i diritti riconosciuti dal GDPR nell’arco di prosecuzione del trattamento.
Conclusioni
Il diritto alla portabilità dei dati, ove correttamente interpretato e applicato, rappresenta dunque non solo una sfida (per le difficoltà tecniche spesso legate all’impossibilità di comunicazione fra sistemi applicativi differenti) ma una preziosa opportunità per l’intero mercato unico digitale, a vantaggio non solo degli utenti, che potranno beneficiare di una trasmissione più semplificata, ma anche della concorrenza fra i titolari, la cui crescita tecnologica, operativa ed organizzativa è in tal modo garantita e stimolata.
