Diritto alla portabilità dei dati

I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (art. 12.3 GDPR).

In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all'interno di un servizio).

Disposizione normativa

Il diritto alla portabilità dei dati è stato introdotto dal Regolamento europeo 679/2016 all’art. 20, il quale afferma che:

1. L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

a) il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b);

b) il trattamento sia effettuato con mezzi automatizzati.

2. Nell'esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile [...]

I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (art. 12.3 GDPR). In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all'interno di un servizio).

Il diritto alla portabilità, in poche parole, è il diritto di ricevere i dati da parte di un titolare del trattamento al quale sono stati precedentemente forniti, per poterli scambiare in un formato strutturato e comune, promuovendo la libera circolazione.

In tal modo, infatti, l'interessato può facilmente spostare un contratto di servizi ad altro gestore senza dover fornire nuovamente tutti i suoi dati ma semplicemente chiedendo al vecchio gestore di trasportare i dati al nuovo gestore.

I dati soggetti alla portabilità

Il diritto riguarda i dati "forniti" dall'interessato. Quindi, è limitato ai soli dati personali, non si applica ai dati anonimi, ma si applica invece ai dati pseudonimi essendo questi ultimi chiaramente collegati ai dati personali.

Quando si applica la portabilità

La portabilità dei dati deve essere garantita quando il trattamento dei dati è basato sul consenso oppure su un contratto di prestazione di servizio.

Importante sottolineare che è possibile la portabilità soltanto se il trattamento è basato su elaborazione elettronica (non cartacea).

In tutti gli altri casi non si applica, come ad esempio per i trattamenti basati sui legittimi interessi.

Requisiti per l'interoperabilità

Il considerando 68 sottolinea l’importanza di sviluppare dei formati interoperabili da parte dei titolari, per consentire la portabilità dei dati, ma allo stesso tempo, non implicano l’obbligo di introdurre sistemi di trattamento tecnicamente compatibili.

In particolare, l’articolo 20 del GDPR al comma uno, evidenzia quelli che sono i tre requisiti minimi per facilitare l’interoperabilità di un formato di dati, e dunque i dati devono essere in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

Obbligo del Titolare del trattamento ricevente

Il titolare ricevente dei dati trasmesse è soggetto a specifici obblighi, in particolare diventa il nuovo titolare e quindi deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce.

Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perché non necessari per fornire il servizio.

Perché il diritto alla portabilità può essere inteso come un diritto incompleto?

L’articolo 20 del GDPR al comma 2 stabilisce che gli interessati hanno il diritto di ottenere che un titolare possa trasmettere i propri dati ad un diverso titolare senza impedimenti.

Gli impedimenti che il titolare potrebbe utilizzare per stoppare o rallentare il processo, possono essere di natura giuridica, tecnica, o finanziaria.

Si prevede la possibilità di utilizzare due approcci per dare la possibilità agli interessati di utilizzare il diritto alla portabilità. Primo fra tutti, è la possibilità di ottenere una trasmissione diretta dell’intero insieme di dati; secondo strumento, invece, è l’utilizzo di applicazioni automatizzate che permettano l’estrazione dei dati pertinenti.

Il vero problema, difatti, è che il diritto dell'interessato di trasmettere o ricevere dati personali che lo riguardano non comporta l'obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento dei dati tecnicamente compatibili e ciò rende parziale e non completo il diritto alla portabilità.

Proprio su tale punto, Google, Facebook, Twitter e Microsoft, hanno collaborato per creare un’applicazione, Data Transfer Project, che ha il fine ultimo di strutturare un ecosistema dedicato alla portabilità dei dati.

Il Regolamento, inoltre, non contiene delle indicazioni specifiche sul formato dei dati da fornire per esercitare il diritto alla portabilità. La diversità tra i settori di attività, rende difficile trovare dei formati idonei a garantire la portabilità. Se non vi sono formati comuni in un determinato contesto, allora, i titolari dovrebbero utilizzare dei file in formati aperti (es. XML) per favorire la libera circolazione e non creare impedimenti alla portabilità.

Il tema della portabilità è legato al concetto di proprietà del dato. Quando si dà il consenso al trattamento dei dati, verosimilmente si perde parte della proprietà.

Facciamo un esempio: se inizialmente sono io (persona fisica ipotetica) il “proprietario” dei dati personali, nel momento in cui li fornisco, dietro consenso scritto, ad un titolare del trattamento, i “proprietari” diventano due, e se li volessi trasferire ad un altro titolare del trattamento, diventeremmo tre proprietari in quanto non si applica l’articolo 17 del GDPR (Diritto alla cancellazione ed all’oblio).

Il comma quattro dell’articolo 20 del GDPR stabilisce che non devono essere lese le libertà altrui. Thomas Jefferson diceva:“Chi riceve un'idea da me, ricava conoscenza senza diminuire la mia; come chi accende la sua candela con la mia riceve luce senza lasciarmi al buio. Condizione che può riguardare: l’interessato che vuole ricevere i propri dati in formato automatizzato; il titolare che deve adempiere a tale richiesta; ed il soggetto al quale i dati sono trasmessi.

Esempio Facebook

Per comprendere questa definizione facciamo il più classico degli esempi, ossia Facebook. Nel momento in cui una persona si iscrive a Facebook, dà il consenso al trattamento dei dati, Facebook si appropria dei dati e li conserva in quanto titolare del trattamento. Utilizzando il social, si condividono foto, stati, pensieri, e sono tutti tracciati e conservati da Facebook.

Cosa succede se si vogliono prendere quei dati e trasferirli ad un’altra parte? La domanda che ci dobbiamo porre è, sono io il proprietario di quei dati o è Facebook (nella persona del legale rappresentante)?

La risposta sembrerebbe scontata e ovvia, tutti siamo portati a pensare, in prima battuta, che il proprietario dei dati è la persona che li ha forniti a Facebook, ma siamo sicuri che Facebook la pensi così?

Esempio Smartphone - Android versus Apple

Altro esempio che ci fa capire come il Diritto alla portabilità sia incompleto, è il caso degli smartphone. Se utilizziamo uno smartphone Android, Google mi dà la possibilità di trasferire la mia rubrica, le mie foto, e tutti i miei dati su qualunque altro dispositivo, mentre se utilizziamo uno smartphone Apple, allora questa funzione non è più disponibile, ma possiamo trasferirli solo su dispositivi dello stesso genere.

Conclusione

L’amara conclusione che possiamo trarre è che già adesso non siamo più proprietari dei nostri dati. Oggi è già possibile sapere quando una persona ha effettuato una telefonata, dove si trovava quando l’ha effettuata, e questo anche dopo mesi o anni, magari quando il cellulare utilizzato non esiste più.

Perché? Perché i nostri dati spesso sono tracciati e possono essere conservati sia in ambito privato che pubblico sfruttando le potenzialità sempre maggiori della Rete.

Oggi ci sono tutte le premesse per poter parlare di una società del controllo e se non stiamo attenti lo spettro degli scenari apocalittici immaginati in molti libri rischia di divenire realtà.

Sei interessato ad approfondire il tema della portabilità dei dati nella tua attività? I nostri consulenti privacy sono a tua disposizione! Contattaci al più presto!

Sei o vuoi diventare titolare di trattamento? Scegli la più completa formazione offerta dal Regolamento 679, disponibile anche nel formato e-learning!

Scopri subito la nostra soluzione Privacy Facile
e trova la versione più adatta alle tue esigenze

SCOPRI