Tra i nuovi e importanti diritti introdotti dal GDPR, anche quello alla Portabilità dei dati, che costituisce un’innovazione importante ed è giusto qualificarlo come un “nuovo diritto” anche in senso sostanziale, addirittura un diritto “affacciato sul futuro”. Vediamo cosa comporta!

Con l’articolo 20 del Regolamento Ue 679/2016 si sancisce il DIRITTO ALLA PORTABILITA’. Ovvero si garantisce ad ogni persona, il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano, forniti a un titolare del trattamento, al fine di trasmettere questi ad un altro titolare del trattamento.

Tra le novità del GDPR, (non presenti nella Direttiva 95/46), c’è anche quella di introdurre per la prima volta nel nostro ordinamento giuridico, questo tipo di diritto, attraverso il quale consentire agli interessati di riutilizzare i propri dati, già oggetto di trattamento da parte di un titolare, per altri scopi. Un diritto affacciato sul futuro, perchè legato alle sfide che la rapidità dell’evoluzione tecnologica e lo sviluppo della globalizzazione comportano.

Solo in apparenza simile al diritto d’accesso, ne condivide, infatti, solo le basi: il controllo da parte dell’interessato dei propri dati e la libertà di scegliere come e se farli circolare. Anche se può sembrare una sorta di diritto di accesso rafforzato, in realtà opera in una logica e un contesto del tutto diversi. L'obiettivo, infatti, è: da un lato, agevolare il più possibile il passaggio e lo scambio dei dati da un ambiente informatico a un altro, evitando fenomeni di "lock-in" tecnologico e promuovendo di conseguenza la libera circolazione dei dati all'interno dell'UE e favorendo altresì la concorrenza tra i titolari del trattamento. Dall'altro, ancora una volta la volontà di rafforzare la posizione del soggetto interessato cui i dati trattati si riferiscono, riconoscendogli un più ampio potere di controllo e di gestione sui propri dati.

Qualsiasi richiesta di portabilità può applicarsi solo a dati personali, trattati con strumenti automatizzati, ovvero non conservati su supporti o elenchi cartacei.

Ciò significa che un dato anonimo ovvero non concernente l’interessato non ricade nell’ambito di applicazione del diritto in questione. Tuttavia, un dato pseudonimo chiaramente riconducibile all’interessato (per esempio, se l’interessato stesso fornisce il rispettivo elemento di identificazione – v. articolo 11, paragrafo 2) è senza dubbio soggetto all’esercizio del diritto alla portabilità. Il Garante, tuttavia, sottolinea anche che l’espressione “dati personali” non dev’essere intesa in senso estremamente restrittivo perché in alcuni casi, come ad esempio nei tabulati telefonici, i dati, seppur personali, potrebbero riguardare anche altri soggetti.

Per esempio, i tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP comprendono talora informazioni su terzi in rapporto alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralità di individui, l’abbonato deve avere la possibilità di ottenere tali informazioni a seguito di una richiesta di portabilità visto che i tabulati contengono (anche) dati relativi all’interessato. Se però questi stessi tabulati sono poi trasmessi a un diverso titolare del trattamento, quest’ultimo non dovrà elaborarli per finalità lesive dei diritti e delle libertà dei terzi in questione.

Per continuare, non sussiste alcun obbligo per gli istituti finanziari di ottemperare a una richiesta di portabilità relativa a dati personali che sono oggetto di trattamento nell’ambito degli obblighi di prevenzione e accertamento del reato di riciclaggio o di altri reati finanziari; allo stesso modo, il diritto alla portabilità non si applica alle informazioni di contatto di natura professionale che siano trattate nel contesto di relazioni d’impresa, se tale trattamento non si fonda sul consenso dell’interessato o su un contratto di cui quest’ultimo sia parte.

La portabilità si esercita al ricorrere di DUE CONDIZIONI:

1)che i dati siano trattati sulla base del CONSENSO PREVENTIVO dell’interessato (nei termini di cui all’articolo 6, paragrafo 1, lettera a), ovvero all’articolo 9, paragrafo 2) oppure in esecuzione di un contratto di cui è parte l’interessato, (nei termini di cui all’articolo 6, paragrafo 1), o ancora di misure precontrattuali adottate su sua richiesta. Tale diritto non sarà quindi applicabile ai dati il cui trattamento è fondato su ragioni di interesse pubblico o sull’interesse legittimo del titolare;

2) che il trattamento sia effettuato con MEZZI AUTOMATIZZATI. Saranno esclusi quindi i dati conservati in archivi ed elenchi cartacei e non si applica, conseguentemente, alla maggioranza degli archivi o dei registri cartacei.

In sostanza si richiede che i dati personali, per essere portabili, siano stati forniti consapevolmente e in modo attivo da parte dell’interessato (quindi trattati sulla base del suo consenso preventivo) oppure che siano diventati oggetto di trattamento a seguito di attività da lui stesso svolte, quali la fruizione di un servizio o l’utilizzo di un dispositivo.

Il GDPR perché la portabilità venga resa pienamente applicabile, impone comportamenti attivi ai Titolari. Innanzitutto, (ai sensi degli artt. 13 e 14 dello stesso Regolamento), dovranno informare gli interessati circa l’esistenza di tale diritto, fornendo loro un’adeguata informativa, contenente un riferimento chiaro, intellegibile e specifico alla possibilità di esercitare questo diritto. Avranno anche l’onere di adottare modalità che favoriscano la trasmissione dei dati (dando, ad esempio, all’interessato la possibilità di scaricarli o di trasferirli direttamente ad un altro titolare).

Il GDPR non fornisce, però, indicazioni di dettaglio sulla tipologia di formato in cui i dati devono essere trasmessi! Ciascun titolare dovrà, quindi, premurarsi di utilizzare il formato più adeguato ad assicurare la portabilità dei dati stessi a seconda del settore specifico di attività e dello scopo dell'interoperabilità. Per superare questo gap tecnico, è stata evidenziata una opportunità nell'instaurazione di forme di collaborazione fra i produttori e le associazioni di categoria, affinché venga sviluppato un insieme condiviso di standard e formati interoperabili che permetta di rispettare i requisiti previsti dal GDPR per realizzare il diritto alla portabilità dei dati.