GDPR: Che cos’è il diritto alla portabilità dei dati (Guida al GDPR 3.5)

Il diritto alla portabilità dei dati viene introdotto nel nostro ordinamento per la prima volta dal GDPR all’art. 20 per consentire all’interessato di riutilizzare i propri dati, già oggetto di trattamento da parte di un titolare, per altri scopi

(“1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e il trattamento sia effettuato con mezzi automatizzati. 2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. 3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. 4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.”). Seppure, a primo impatto, possa sembrare simile al diritto d’accesso, questo nuovo diritto ne condivide solamente le basi: il controllo da parte dell’interessato dei propri dati e la libertà di scegliere come e se farli circolare.

Questa norma riconosce, infatti, in capo al soggetto interessato, il diritto di ricevere da un titolare del trattamento i propri dati personali, allo stesso forniti, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile al fine di memorizzarli su un dispositivo proprio (o nella propria disponibilità) ed eventualmente (ma non è lo scopo indispensabile del diritto) trasferirli a un altro titolare.

L’obiettivo alla base di questa previsione è duplice: da un lato, consiste nel tentativo di agevolare il più possibile il passaggio e lo scambio dei dati da un ambiente informatico a un altro, evitando fenomeni di “lock-in” tecnologico e promuovendo di conseguenza la libera circolazione dei dati all’interno dell’UE e favorendo altresì la concorrenza tra i titolari del trattamento. Dall’altro, vi è ancora una volta la volontà di rafforzare la posizione del soggetto interessato cui i dati trattati si riferiscono, riconoscendogli un più ampio potere di controllo e di gestione sui propri dati.

Peraltro, dato che la portabilità pone una serie di vantaggi a favore dell’interessato, caricando di alcuni oneri il titolare, vengono indicate alcune condizioni necessarie per un suo regolare utilizzo (in mancanza delle quali il diritto alla portabilità non potrà essere esercitato).

È lo stesso articolo 20 ad indicare le condizioni necessarie affinché il diritto possa essere esercitato.

È richiesto, in primo luogo, che i dati personali riguardino l’interessato; devono, dunque, essere “dati personali” e non anonimi e devono essere trattati tramite strumenti automatizzati e non su supporti cartacei (scelta necessaria per favorirne la circolazione).

Il Garante, tuttavia, sottolinea anche che l’espressione “dati personali” non dev’essere intesa in senso estremamente restrittivo perché in alcuni casi, come ad esempio nei tabulati telefonici, i dati, seppur personali, potrebbero riguardare anche altri soggetti.

Il diritto alla portabilità dei dati può essere esercitato al ricorrere di due condizioni (delineate dall’art. 20, paragrafo 1):

  1. che i dati personali (anche sensibili) siano trattati sulla base del consenso preventivo dell’interessato oppure in esecuzione di un contratto di cui l’interessato è parte, o ancora di misure precontrattuali adottate su sua richiesta. Tale diritto non sarà quindi applicabile ai dati il cui trattamento è fondato su ragioni di interesse pubblico o sull’interesse legittimo del titolare.
  2. che il trattamento sia effettuato con mezzi automatizzati. Saranno esclusi quindi i dati conservati in archivi ed elenchi cartacei.

In sostanza si richiede che i dati personali, per essere portabili, siano stati forniti consapevolmente e in modo attivo da parte dell’interessato (quindi trattati sulla base del suo consenso preventivo) oppure che siano diventati oggetto di trattamento a seguito di attività da lui stesso svolte, quali la fruizione di un servizio o l’utilizzo di un dispositivo. Ciò significa che, oltre che consensualmente, i dati devono essere stati forniti dall’interessato in modo diretto (ad esempio, tramite la compilazione di un modulo) o in modo indiretto (tramite un suo comportamento attivo, come può essere l’aver creato una cronologia sul web tramite la navigazione), ma in alcun caso potranno essere richiesti dati generati esclusivamente dal titolare. In linea di massima, dovranno, ad esempio, essere rese portabili le liste di brani ascoltati tramite un servizio di streaming musicale (dati trattati per l’esecuzione di un contratto di cui l’interessato è parte), mentre dovranno essere esclusi tutti i dati che vengono creati dal titolare nell’ambito di un trattamento e che sono derivati o dedotti dai dati personali forniti dall’interessato (come la creazione di un profilo utente o i dati prodotti da un algoritmo attraverso un’attività di profilazione). Ancora, sono esclusi i dati trattati per finalità o interessi pubblici: ad esempio, gli istituti finanziari non sono tenuti ad adempiere ad una richiesta di portabilità riguardante dati trattati per gli obblighi di prevenzione e accertamento di reati finanziari o di riciclaggio.

Esercitando il proprio diritto alla portabilità dei dati gli interessati potranno dunque ricevere i dati personali trattati da un titolare e trasmetterli a un altro titolare oppure conservare tali dati su un proprio supporto personale per un uso privato o in vista di un successivo ed eventuale trasferimento a un altro titolare.

Inoltre, è prevista anche la possibilità che i dati personali siano trasmessi direttamente da un titolare a un altro. Tale onere a carico di un titolare sorge in caso di richiesta espressa dell’interessato e, si noti bene, soltanto quando tale operazione sia “tecnicamente fattibile” (art. 20, comma 2, GDPR; si veda per un approfondimento specifico il prossimo articolo).

È il titolare che riceve i dati a dover garantire la conformità del trattamento al GDPR (a partire dall’adempimento degli obblighi informativi). È importante infatti evidenziare che il titolare originario dovrà valutare i rischi specifici della portabilità e adottare idonee misure per ridurli, manon avrà alcuna responsabilità in merito ai futuri trattamenti effettuati da altri titolari o dallo stesso interessato, il quale, tuttavia, non perderà alcun diritto nei confronti del primo titolare. Infatti, l’esercizio del diritto alla portabilità dei dati personali non dovrà pregiudicare l’esercizio di nessun altro diritto di terzi né dell’interessato stesso. Questa precisazione, con riferimento alla portabilità dei dati, viene in rilievo in particolare nel caso in cui un titolare tratti un insieme di dati che riguardano più interessati (ad esempio anche soggetti che non hanno prestato il consenso): se uno di questi interessati esercita tale diritto, l’operazione non deve pregiudicare i diritti e le libertà degli altri (in poche parole, occorrerà distinguere con attenzione i dati e non trasmettere anche quelli di altri interessati, seppur connessi). Inoltre, all’interessato che intenda esercitare questo diritto deve essere garantita, anche in seguito a tale operazione, tanto la possibilità di continuare a usufruire del servizio offerto dal titolare quanto quella di ottenere la cancellazione dei propri dati.

Fonte: dirittodellinformatica.it

Related Articles