Osservatorio Privacy

Portabilità dei dati: linee guida e prime precisazioni a riguardo

| 15/02/2017 13:24


Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli
AssistenzaLegalePremium.it


Recentemente sono state pubblicate dal "Article 29 Data Protection Working Party" le linee guida sul nuovo diritto dell'interessato alla portabilità dei propri dati, introdotto dall'art. 20 del Regolamento europeo 679/2016. Tale articolo prevede che "l'interessato il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati ad un altro titolare del trattamento senza impedimenti da parte del primo titolare".

Un primo diritto dell'interessato è dunque quello di ricevere tutti i dati personali di cui il titolare del trattamento è in possesso per conservarli e utilizzarli per uso personale: in questo modo si dà la possibilità a ciascun soggetto di ottenere tutta una serie di informazioni sul proprio conto che possono essere riutilizzate in maniera autonoma. Ad esempio si potrebbe richiedere ad una piattaforma di musica online quante volte si è ascoltato un determinato brano o una determinata playlist, così da poter riutilizzare tali informazioni nel modo che si desidera.

Il secondo diritto garantito all'interessato è poi quello di trasmettere tali dati personali e informazioni ad un altro titolare del trattamento, senza impedimenti da parte del primo titolare. Si cerca in tal modo di limitare il più possibile il rischio di "lock in": i dati in possesso di un titolare possono essere trasmessi ad un altro titolare, potenzialmente concorrente. Ciò permette ai soggetti interessati di spostare, copiare e trasmettere i propri dati in maniera molto semplice e comoda. Vi è di più: nel punto 2 dell'articolo 20 GDPR e nel relativo considerando 68, viene riconosciuto, se tecnicamente fattibile, il diritto dell'interessato di ottenere una trasmissione diretta dei propri dati personali da un titolare del trattamento all'altro, evitando, quindi, l'intervento in prima persona del soggetto interessato.

I diritti in questione possono essere effettivamente garantiti attraverso l'implementazione di nuove misure e/o servizi da parte dei titolari dei dati. Ad esempio potrebbero essere offerti un servizio di download dei dati e un servizio di "spedizione" dei medesimi verso altre piattaforme. Inoltre, sarà scrupolo del titolare ricevente utilizzare solamente quei dati necessari al raggiungimento delle proprie finalità del trattamento: non devono infatti essere trattati dati non rilevanti e non in linea con i nuovi scopi del trattamento, perfino laddove i dati superflui siano parte di un "pacchetto dati" unico e molto ampio. Tali dati in eccesso, tuttavia trasmessi e dunque in possesso del nuovo titolare, devono essere da quest'ultimo distrutti o comunque cancellati il prima possibile.

Naturalmente il diritto alla portabilità non pregiudica gli altri diritti previsti dal GDPR: richiedere la portabilità dei dati non significa che il primo titolare debba automaticamente smettere di effettuare il loro trattamento in base alle finalità per cui li aveva raccolti. Ciò vuol dire inoltre che lo stesso dovrà comunque garantire all'interessato anche tutti gli altri suoi diritti (ad esempio il diritto alla cancellazione ecc…).

Il diritto alla portabilità è però soggetto a determinate condizioni. L'interessato infatti può esercitarlo solamente quando:

1.I dati personali riguardano l'interessato: dati anonimi o pseudonimizzati non possono essere ottenuti dall'interessato esercitando il diritto alla portabilità.

2.I dati personali devono essere stati forniti dall'interessato ("provided by data subject"). Rientrano sicuramente nel significato di "provided by" tutti i dati che l'interessato ha di sua spontanea volontà comunicato al titolare del trattamento, come ad esempio i dati circa nome, indirizzo, mail e simili che vengono forniti attraverso la compilazione di form. Sono poi da considerare come forniti dall'interessato anche tutti gli altri dati "grezzi" di cui il titolare è in possesso per il semplice fatto che il soggetto interessato ha fatto uso del servizio o della device offerti dal titolare del trattamento (ad esempio la cronologia di quello che si è fatto, i dati di geolocalizzazione, di salute, di allenamento…).
Non rientrano nel significato di dati "provided by" tutti gli "inferred data" e i "derivated data" ovvero quelle informazioni analizzate, derivate o ricavate dal fornitore di servizi, come ad esempio tutti i dati ottenuti attraverso l'applicazione di algoritmi. Tali dati non rientrano nel novero di quelli soggetti al diritto alla portabilità e, quindi, il titolare del trattamento non è tenuto a consegnarli né all'interessato, né tantomeno ad un eventuale altro titolare del trattamento.

3.L'ultima condizione riguarda un bilanciamento di diritti: il diritto alla portabilità non deve ledere i diritti e le libertà altrui: laddove un certo insieme di dati personali riguardi ad esempio più di un interessato, il diritto di ricevere i dati personali non deve pregiudicare i diritti e le libertà degli altri. Infine sono ricompresi tra i diritti e le libertà altrui anche tutti i segreti aziendali e le proprietà intellettuali, in particolare la protezione dei software attraverso i copyright.
Le linee guida prevedono poi che i titolari del trattamento, per rendere effettivo il diritto alla portabilità, debbano informare gli interessati dell'esistenza di tale nuovo diritto, sincerandosi che capiscano di che tipo di diritto si tratta, quali dati riguarda e quali sono i suoi limiti. In particolar modo è raccomandato ai titolari del trattamento di ricordare agli interessati l'esistenza di tale nuovo diritto in momenti particolari, quale può essere ad esempio la procedura di chiusura dei propri account.

Infine il Working Party sottolinea come il titolare debba adempiere ai propri doveri senza ingiustificato ritardo e, in ogni caso, entro un mese dal momento in cui gli è pervenuta la richiesta (solo in casi complessi i mesi possono essere tre). Il titolare ha l'obbligo di rispondere sempre alle richieste che gli vengono fatte, anche in caso di rifiuto: non può quindi rimanere in silenzio in nessuna occasione.