Portabilità dei dati
L'articolo 20 del nuovo Regolamento Generale per la protezione dei dati personali (GDPR) ha introdotto un nuovo diritto per gli interessati del trattamento: il diritto alla portabilità dei dati.
Questo diritto è diverso dal diritto all'accesso ai dati, e consente agliinteressati di ricevere, dal titolare del trattamento, "i dati personali che lo riguardano forniti ad un titolare del trattamento" in modo che possa trasmetterli ad un altro titolare del trattamento (ad esempio, un'altra azienda). Il diritto alla portabilità dei dati è previsto, quindi, al fine di garantire il trasferimento dei propri dati da un servizio online ad un altro, così assicurando da un lato un maggiore controllo sui propri dati da parte degli individui, e dall'altro una maggiore concorrenza tra aziende, promuovendo in tal modo l'innovazione e lo sviluppo di nuovi servizi.
Il titolare del trattamento deve informare gli interessati dell'esistenza di tale diritto, spiegando nel contempo quali dati sono soggetti alla portabilità. I dati non possono essere forniti se ciò lede diritti del titolare o di terzi, come ad esempio se la fornitura lede i diritti di proprietà intellettuale del titolare oppure espone segreti commerciali.
Quali dati
Il diritto riguarda i dati "forniti" dall'interessato. Quindi, è limitato ai soli dati personali, non si applica ai dati anonimi, ma si applica invece ai dati pseudoanonimi essendo questi ultimi chiaramente collegati ai dati personali. Secondo l'interpretazione della nostra società, "forniti" è inteso in senso ampio, per cui il diritto non si limita ai soli dati personali comunicati dall'interessato al titolare del trattamento (es. indirizzo mail), ma si estende anche ai dati personali generati (observed) dalle attività dell'interessato (es. dati di localizzazione, storia delle ricerche, i dati di navigazione, il battito cardiaco registrato da un dispositivo).
Non sono compresi, invece, i dati generati dal titolare sulla base dell'analisi dei dati forniti o raccolti dall'interessato (inferred and derived data, es. il credit score), né ovviamente i dati ottenuti da terze parti.
Invece, nell'ottica della Commissione europea tale diritto è da garantire principalmente nell'ambito delle reti sociali, e quindi con riferimento ai dati inseriti direttamente dagli utenti, con una interpretazione riduttiva del termine "forniti".
Non sono compresi, invece, i dati generati dal titolare sulla base dell'analisi dei dati forniti o raccolti dall'interessato (inferred and derived data, es. il credit score), né ovviamente i dati ottenuti da terze parti.
Invece, nell'ottica della Commissione europea tale diritto è da garantire principalmente nell'ambito delle reti sociali, e quindi con riferimento ai dati inseriti direttamente dagli utenti, con una interpretazione riduttiva del termine "forniti".
Ovviamente, il diritto alla portabilità dei dati non implica alcun obbligo di conservare i dati oltre il periodo stabilito dalle norme al solo fine di garantire l'esercizio della portabilità.
L'interessato ha il diritto di ricevere, gratuitamente (tranne il rimborso delle spese, nel caso ad esempio di dati forniti su compact disc e spediti), i dati in forma strutturata e leggibile da un elaboratore di dati (quindi assolutamente non in formato cartaceo), in un formato comunemente usato ("formato strutturato, di uso comune e leggibile da dispositivo automatico"). Non vi sono indicazioni sul formato, ma è ovvio che il titolare dovrà fare una valutazione di interoperabilità del formato con altri servizi. Ad esempio, un file PDF che contenga i messaggi di una casella mail è pacificamente insufficiente, non essendo il PDF elaborabile dall'interessato.
Sempre in base all'articolo 20, l'interessato ha il diritto di trasmettere i dati personali da un titolare ad un altro "senza ostacoli". I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa" (art. 12.3 GDPR). In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all'interno di un servizio).
Il titolare del trattamento può adeguarsi alla norma o fornendo uno strumento per il download dei dati, o garantendo la trasmissione diretta dei dati ad altro fornitore. Anche il titolare ricevente i dati è soggetto a specifici obblighi, in particolare diventa il nuovo titolare e quindi deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce. Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perchè non necessari per fornire il servizio.
Il titolare del trattamento può adeguarsi alla norma o fornendo uno strumento per il download dei dati, o garantendo la trasmissione diretta dei dati ad altro fornitore. Anche il titolare ricevente i dati è soggetto a specifici obblighi, in particolare diventa il nuovo titolare e quindi deve garantire che i dati non siano eccessivi rispetto al servizio che fornisce. Ad esempio, potrebbe essere necessario non elaborare parte dei dati appunto perchè non necessari per fornire il servizio.
Quando si applica la portabilità
La portabilità dei dati deve essere garantita solo nel caso in cui il trattamento dei dati è basato sul consenso oppure sulla necessità contrattuale (es. lista delle canzoni acquistate da un servizio online), e comunque solo se il trattamento è basato su elaborazione elettronica (non cartacea quindi), in tutti gli altri casi non si applica, come ad esempio nel caso di trattamento basato sui legittimi interessi.
Linee guida
Ad esempio, in merito al trasferimento di dati a terzi, può capitare che i dati siano collegati a dati di terzi, come nel caso dei gestori di telefonia dove il traffico telefonico implica sempre il riferimento a dati di altre persone (numeri telefonici). L'interessato ha il diritto di ricevere anche tali dati, ma se i dati vengono trasferiti ad altro fornitore, questi ha l'obbligo di non processare i dati di terzi.
- Ultimo aggiornamento il .
- —