Il Regolamento UE 2016/679 (di seguito indicato anche come RGPD), che troverà applicazione dal 25 maggio 2018, introduce il diritto alla portabilità dei dati.
In cosa consiste?
Il diritto alla portabilità consente all’interessato di ricevere, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano, forniti a un titolare del trattamento, e di trasmettere tali dati a un altro titolare senza impedimenti (cfr. art. 20 RGPD).
- Il diritto di ricevere i propri dati personali
Il diritto alla portabilità dei dati comprende in primo luogo il diritto dell’interessato di ricevere i dati personali che lo riguardano, forniti a un titolare, e di conservarli in vista di un utilizzo ulteriore.
Sono molteplici i casi in cui un soggetto potrebbe avere interesse ad esercitare un tale diritto.
Così, riprendendo gli esempi riportati nelle Linee Guida del Gruppo di lavoro art. 29 sulla portabilità dei dati, “un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti (o ascoltati) detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale. Potrebbe anche voler recuperare la rubrica dei contatti di posta elettronica su web, magari per costruire una lista degli invitati al proprio matrimonio, oppure ricavare informazioni sugli acquisti effettuati utilizzando varie carte di fidelizzazione per calcolare la propria impronta ecologica di carbonio”.
Esercitando il diritto alla portabilità, l’interessato ha dunque la possibilità di ottenere i dati che lo riguardano, in un formato che – secondo quanto indicato nel citato art. 20 del Regolamento UE 2016/679 – deve essere “strutturato, di uso comune e leggibile da dispositivo automatico”.
Il Regolamento, tenendo conto della molteplicità di categorie di dati potenzialmente oggetto di trattamento, non contiene indicazioni specifiche per i titolari quanto al formato dei dati personali da fornire agli interessati. La scelta dipenderà dallo specifico settore di attività e dovrà in ogni caso essere ispirata all’obiettivo ultimo dell’interoperabilità (cfr. considerando 68 GDPR).
- Il diritto di trasmettere i dati ad altro titolare del trattamento
Il diritto alla portabilità dei dati comprende inoltre il diritto di trasmettere dati personali a un altro titolare del trattamento senza impedimenti da parte del titolare cui i dati erano stati forniti.
In base a quanto previsto dall’art. 20, paragrafo 2, del Regolamento europeo di prossima applicazione, se tecnicamente fattibile, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro.
Come indicato nelle Linee Guida del Gruppo dei Garanti europei, “l’aspettativa è che, oltre ad ampliare il margine di controllo dei consumatori impedendo forme di “lock-in” tecnologico, il diritto alla portabilità dei dati promuova l’innovazione e la condivisione di dati personali fra titolari del trattamento in piena sicurezza e sotto il controllo dell’interessato”.
Il Regolamento vieta ai titolari di impedire la trasmissione dei dati.
Come indicato nelle Linee Guida del Gruppo dei Garanti europei, il riferimento è a qualsiasi ostacolo di natura giuridica, tecnica o finanziaria con cui il titolare potrebbe evitare o rallentare l’accesso, la trasmissione o il riutilizzo da parte dell’interessato o di un diverso titolare.
Per esempio, potrebbe trattarsi della richiesta di un corrispettivo per fornire i dati richiesti, dell’indisponibilità di formati interoperabili o dell’accesso a un’API o al formato in cui i dati vengono forniti, dell’eccessiva complessità insita nel recupero della totalità dei dati richiesti o dell’eccessiva lunghezza del periodo necessario a tale scopo, dell’offuscamento deliberato dei dati in oggetto, o di vincoli settoriali specifici e ingiustificati o eccessivi in termini di standard o accreditamenti richiesti.
Quando è possibile esercitare tale diritto
Chiarito che il diritto alla portabilità dei dati consiste nella possibilità, per gli interessati, di ottenere e riutilizzare i dati forniti a un titolare e di trasmettere questi dati a un diverso fornitore di servizi (appartenente allo stesso o a un diverso settore di attività), occorre chiedersi quando concretamente sia però possibile esercitare tale diritto.
Come espressamente previsto dall’art. 20 del Regolamento europeo in materia di protezione dei dati personali di prossima applicazione, il diritto alla portabilità dei dati personali può essere esercitato, purché non leda diritti e libertà altrui, qualora il trattamento sia effettuato con mezzi automatizzati e se il trattamento dei dati si basa sul consenso o su un contratto di cui è parte l’interessato.
Perché sia possibile esercitare il diritto alla portabilità dei dati occorre dunque che sussistano le seguenti condizioni:
- Trattamento effettuato con mezzi automatizzati
I dati di cui si intende richiedere la portabilità devono essere trattati con mezzi automatizzati, dovendosi quindi escludere l’applicazione di tale diritto rispetto ai dati contenuti nella maggioranza degli archivi o registri cartacei.
- Trattamento basato sul consenso dell’interessato o contratto di cui è parte l’interessato
Il trattamento dei dati oggetto della richiesta di portabilità deve basarsi sul consenso dell’interessato (da intendersi quale manifestazione di volontà libera, specifica, informata e inequivocabile) oppure deve avvenire a fronte del contratto di cui è parte l’interessato (si pensi alla lista dei brani musicali ascoltati attraverso un servizio di streaming musicale aderito online), rimanendo invece esclusa l’applicazione di tale diritto nel caso in cui il cui trattamento si fondasse su una diversa condizione di liceità rispetto a quelle richiamate nell’art. 20 del RGPD.
- Dati personali relativi all’interessato
Sono portabili i soli dati personali che riguardano l’interessato – espressione che, secondo il Gruppo di lavoro art. 29, non deve però essere interpretata in senso eccessivamente restrittivo, in quanto l’interessato deve poter ottenere i dati che si riferiscono alla sua persona anche nel caso in cui gli stessi siano trattati, come spesso accade, insieme a informazioni che si riferiscono a terzi (così ad esempio nel caso di tabulati telefonici riferiti a un abbonato che comprendono talora informazioni su terzi in rapporto alle chiamate in entrata e in uscita).
- Dati forniti dall’interessato
La richiesta di portabilità deve essere limitata ai dati che siano stati forniti dall’interessato, con ciò dovendosi intendere – secondo quanto precisato nelle Linee Guida dei Garanti già citate – sia l’ipotesi in cui le informazioni siano state conferite in modo consapevole e attivo (ad esempio attraverso la compilazione di un form su un sito web) sia il caso in cui i dati siano ricavati dalla fruizione di un servizio o dall’utilizzo di un dispositivo (si pensi ai dati relativi all’ubicazione nonché ad altri dati grezzi, come la frequenza cardiaca registrata da dispositivi sanitari o di fitness).
Cosa devono fare i titolari fin d’ora
I titolari che ricadono nel campo di applicazione di questo diritto devono iniziare a predisporre quanto necessario per garantire l’effettivo esercizio del diritto alla portabilità, individuando fin d’ora le categorie di dati trattati che potrebbero essere oggetto di richiesta e degli interessati che dovranno essere informati dell’esistenza del nuovo diritto, pianificando l’adozione delle misure necessarie a produrre i dati richiesti in un formato interoperabile (secondo le indicazioni fornite nel considerando 68 del GDPR e nelle linee-guida del Gruppo “Articolo 29”) e definendo le procedure interne idonee a gestire le richieste nei termini di legge (cfr. art. 12 paragrafo 3 del Regolamento).
Per chi volesse approfondire il tema, si rinvia ai contenuti riportati nel sito web del Garante privacy alla pagina raggiungibile tramite il seguente link.