Il diritto alla portabilità dei dati rappresenta una delle novità del GDPR e nasce con l’obiettivo specifico di accrescere il controllo degli interessati rispetto ai propri dati personali.
La portabilità, infatti, favorisce la libera circolazione dei dati personali all’interno dello Spazio Economico Europeo e la concorrenza tra titolari del trattamento, inserendosi nel quadro più ampio della strategia per un mercato unico digitale. Approfondiamo il tema.
Indice degli argomenti
La normativa
La portabilità dei dati è disciplinata dall’art. 20 GDPR e consente in concreto all’interessato (solitamente il cliente o il dipendente) di ottenere una copia o il trasferimento dei dati personali che egli stesso ha fornito al titolare del trattamento (l’azienda) sulla base del consenso o del contratto stipulato, “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”: si tratta di fatto della trasmissione di dati da un ambiente informatico ad un altro.
L’interessato può chiedere al titolare del trattamento l’invio dei dati oggetto di portabilità direttamente ad un altro titolare.
Si pensi, ad esempio, all’utente di un’applicazione digitale per l’ascolto di musica in streaming: l’esercizio del diritto alla portabilità dei dati consentirebbe all’utente di “ritrovare” la propria playlist all’interno del proprio account aperto presso un nuovo operatore.
Un altro esempio è dato dal registro di contatti di un account di posta elettronica: l’utente potrebbe richiedere il trasferimento del proprio registro di contatti presso il nuovo e-mail provider.
Come opera la portabilità
A supporto della piena comprensione di questo nuovo diritto, l’Art. 29 Working Party ha adottato nel dicembre 2016 ed emendato nel maggio 2017 le Linee Guida sulla portabilità dei dati, dalle quali si evincono i seguenti obblighi in capo al titolare:
- identificare l’interessato che avanza una richiesta di portabilità;
- individuare nel concreto la tipologia di dati oggetto di portabilità;
- adottare di misure tecniche organizzative che consentano il trasferimento dei dati da un ambiente informatico ad una altro nei termini previsti dall’art. 12 comma 2 del regolamento.
Il trasferimento dei dati all’interessato o al titolare designato, infatti, deve avvenire senza ingiustificato ritardo, entro un mese dalla richiesta di portabilità. Il termine può essere prorogato di due mesi nei casi in cui l’esercizio del diritto risulti particolarmente oneroso.
Identificazione dell’interessato
Innanzitutto, il titolare deve accertare l’identità della persona che chiede la portabilità dei propri dati attraverso un’adeguata procedura di autenticazione.
A seconda del servizio richiesto, l’identificazione può essere già ragionevolmente assicurata attraverso procedure di registrazione on-line, solo a seguito delle quali l’utente beneficia del servizio richiesto: ad esempio, visione di contenuti in streaming, acquisto di beni o servizi attraverso piattaforma di vendita on line, home banking o home insurance.
L’accesso tramite autenticazione (nome utente e password) all’area riservata dell’utente dovrebbe ragionevolmente ritenersi adeguata ad accertare l’identità del richiedente, relegando la richiesta di ulteriore documentazione ai seguenti casi, solo esplicativi:
- autenticazione rafforzata in caso di trattamento di dati di salute o finanziari;
- copia di documenti di identità solo nei casi previsti dall’art. 12 comma 2 ovvero quando il titolare non è in grado di identificare l’interessato.
A tal riguardo le linee guida precisano che “la possibilità riconosciuta al titolare di chiedere informazioni ulteriori per accertare l’identità dell’interessato non può comportare richieste eccedenti, né la raccolta di dati personali che non sono pertinenti o necessari per rafforzare il legame fra l’interessato e i dati personali oggetto di richiesta”.
I dati oggetto di portabilità
I dati personali oggetto di portabilità devono rispettare tre condizioni:
- devono riguardare l’interessato, quindi devono essere chiaramente riconducibili all’interessato quale utente del servizio rispetto al quale viene richiesta la portabilità;
- devono essere stati forniti dall’interessato, pertanto, devono essere riconducili all’attività effettivamente svolta dall’utente rispetto all’utilizzo del servizio, (es. tabulato telefonico, messaggistica interpersonale, attività social, elenco libri acquistati, elenco brani musicali ascoltati, elenco film o serie tv viste);
il diritto alla portabilità non deve ledere i diritti e le libertà altrui: ciò rileva principalmente quando i dati che riguardano l’attività svolta dall’utente coinvolgono necessariamente soggetti terzi es. numeri di telefono contattati e presenti a livello di tabulato telefonico, destinatari di messaggistica interpersonale, beneficiari di bonifici bancari.
Come si trasferiscono i dati oggetto di portabilità
Le misure tecniche organizzative a supporto del trasferimento richiesto dal cliente dovranno necessariamente tenere in considerazione la situazione specifica: la scelta della modalità di trasmissione dei dati, in ottica di accountability, spetta al titolare, deve necessariamente tenere conto della “fattibilità tecnica”: il considerando 68 del Regolamento precisa che il titolare non è chiamato ad adottare o mantenere sistemi di trattamento tecnicamente compatibili” con quelli di un altro titolare.
Le linee guida art. 29 WP suggeriscono due diversi approcci di trasferimento dati:
- trasmissione diretta dell’intero insieme di dati portabili;
- utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti.
Le metodologie di trasmissione suggerite riguardano principalmente: messaggistica sicura, sevrer SFTP, webAPI o webPortal sicuri. Il titolare del trattamento può consentire il download delle informazioni attraverso una funzionalità implementata direttamente all’interno dell’area riservata utente, il quale può procedere con il download in autonomia.
Quando la mole di dati è considerevole o in caso di sistemi complessi o di grandi dimensioni, il titolare potrà mettere a disposizione dell’utente (o del nuovo titolare indicato dall’utente) un’interfaccia di programmazione di applicazioni (API), dove, una volta inserite le credenziali di sicurezza (per consentire l’accesso solo agli aventi diritto), verrà messo a disposizione il file richiesto per la sua trasmissione cifrata all’interno dell’ambiente informatico individuato dall’interessato.
A prescindere dalla misura organizzativa prescelta, il titolare del trattamento dovrà tenere traccia degli accessi e dei download effettuati, anche al fine di popolare il registro delle richieste di accesso ai dati degli interessati ed illustrare chiaramente all’interno dell’informativa sul trattamento dei dati personali le modalità di esercizio del diritto alla portabilità.
