Quello di cui vi parlo oggi è un nuovo diritto di tutte le persone, cioè tutti i singoli proprietari di dati personali, detti ‘interessati’. Questo nuovo diritto si chiama ‘diritto alla portabilità dei dati personali’ e se ne parla per la prima volta nel nuovo Regolamento europeo sulla protezione dei dati personali e alla libera circolazione di tali dati[1].

Prima di tutto, per chi non sappia cosa sia, il diritto alla portabilità dei dati [art 20 del Regolamento] è il diritto di ciascun interessato di

ricevere i propri dati personali

trattati da una persona o un ente che abbia la titolarità del trattamento, per questo detto ‘titolare’, al fine di conservarli per ulteriori scopi personali, senza trasmetterli a un altro titolare.

L’interessato che voglia riceverli può richiederli al titolare. Il titolare trasmetterà i dati all’interessato “in un formato strutturato, di uso comune e leggibile meccanicamente [digitalmente]”

L’interessato ha anche il diritto di

trasmettere tali dati a un diverso titolare.

E’ previsto che l’interessato possa anche inviare i propri dati così ricevuti ad un nuovo titolare.

SI APPLICA A TUTTI I TIPI DI DATI E TRATTAMENTI?

No. Possiamo chiedere di ricevere i dati personali e i dati pseudonimizzati (tramite l’utilizzo di uno pseudonimo) ma facilmente riconducibili all’interessato.

Continuiamo la scrematura. La portabilità è prevista solo per i trattamenti effettuati con “mezzi automatizzati”. Dunque sono fuori dall’ambito della portabilità registri o archivi cartacei.

Sono compresi solo i dati ‘forniti’ consapevolmente o inconsapevolmente al titolare tramite le azioni dell’interessato.

Per esempio posso richiedere l’insieme dei prodotti acquistati da un e-commerce. Posso anche ricevere la rubrica e le comunicazioni di un account personale di comunicazione istantanea. Quel che è interessante è che sono considerati dati ‘forniti’ (seppure inconsapevolmente) anche la cronologia delle ricerche effettuate da un interessato o la frequenza cardiaca registrata da un dispositivo sanitario o fitness.

Altra condizione perché l’interessato possa domandare la trasmissione dei dati in virtù della portabilità è che i dati siano trattati dal titolare perché ha ricevuto preventivamente il consenso a farlo o perché i trattamenti sono necessari per rispettare un contratto di cui l’interessato è parte. In questo modo, un titolare nell’esercizio della propria funzione pubblica o che adempia a un obbligo di legge non è tenuto a rispondere al diritto alla portabilità.

Non rientrano nell’ambito della portabilità, i dati risultanti da un’elaborazione successiva dei dati ‘forniti’ dall’interessato e messa in atto dal titolare. Per esempio non sarà possibile ricevere in portabilità tutti i dati personali derivanti da una procedura di personalizzazione, o dalla profilazione di un utente. Altri esempi di dati ‘derivati’ sono quelli ottenuti dal titolare sulla base di un algoritmo o valutazioni fornite all’interessato, come può esserlo una valutazione creditizia.

FINALITA’ DEL DIRITTO ALLA PORTABILITA’

Ora che abbiamo le idee un po’ più chiare su cosa sia la portabilità, entriamo nel merito degli scopi di questo diritto.

La portabilità dei dati intende rafforzare il controllo dell’interessato nei confronti dei suoi dati consentendogli, oltre che di conservarli per proprio conto, se lo desidera, di trasferirli in blocco a un nuovo titolare.

Infatti, l’interessato potrebbe decidere di chiudere il proprio account presso un dato servizio. In tal caso, senza il nuovo diritto, al momento della chiusura perderebbe tutti i dati personali in esso contenuti. Nello stesso modo, potrebbe invece decidere di cambiare il fornitore di un dato servizio, per esempio di posta elettronica e avere necessità di esportare e trasferire al nuovo titolare del servizio di posta elettronica scelto, tutti i contatti raccolti fino a quel momento e tutte le precedenti comunicazioni.

L’aspettativa è infatti quella di impedire forme di ‘lock-in’ tecnologico, cioè di non poter cambiare il fornitore e dover subire le sue condizioni di vendita. Dunque si auspica una libera circolazione dei dati in Ue, un aumento della concorrenza e la creazione di nuovi servizi.

ADEMPIMENTI PER I TITOLARI

Il titolare deve aggiungere all’informativa privacy[2] che fornisce all’interessato il diritto alla portabilità e deve rispondere alle richieste di portabilità dell’interessato ‘senza ingiustificato ritardo’ e comunque entro un mese dalla richiesta (prorogabile al massimo di altri due mesi per i casi più complessi).

E’ previsto il rispetto dei termini anche in caso di diniego del titolare alla portabilità, opportunamente motivato. Anche il diniego è regolamentato in modo preciso: è possibile solo se è dimostrabile il ‘carattere manifestamente infondato o eccessivo delle richieste’ di un singolo interessato.

Nell’informare l’interessato del nuovo diritto il titolare deve anche spiegare le differenze con il vicino diritto di accesso [art. 15 del Regolamento]. Le differenze possono essere schematizzate in questo modo:

Un altro adempimento per il titolare prevede che egli informi sempre l’interessato della possibilità di ricorrere al diritto alla portabilità prima della chiusura del suo account; un utile accorgimento per l’utente per non perdere importanti informazioni che lo riguardano.

FORMATI E STRUMENTI DA UTILIZZARE

Alcune indicazioni fornite dalle linee guida sulla portabilità del Gruppo di Lavoro europeo [WP art. 29] precisano che il formato può essere aperto o proprietario e non dovrà prevedere elevati costi di licenza. Il formato scelto come il migliore dovrà consentire in modo facile l’estrazione dei dati e dovrà permettere l’interoperabilità sui dati da parte del numero più ampio di organizzazioni.

E’ preoccupante il fatto che la gran parte dei software presenti sul mercato oggi non comunichino tra di loro in maniera efficace. Serviranno importanti investimenti per consentire le necessarie integrazioni di contenuti provenienti da altri servizi o applicazioni.

E’ incoraggiato lo sviluppo e l’utilizzo di Interfacce di Programmazione Applicazioni, API[3], ‘interfacce di applicazioni o servizi web resi disponibili da un titolare per consentire ad altri sistemi o altre applicazioni di connettersi e operare con i propri sistemi’.

Infine importanti misure di sicurezza, come ad esempio la crittografia[4], saranno mirate a proteggere i dati durante la trasmissione all’interessato o, quando possibile, direttamente a un nuovo titolare.

I titolari che avranno nominato un Data Protection Officer, dovranno chiedere il parere a quest’ultimo se gli strumenti informatici saranno idonei allo scopo.

[1] Regolamento generale sulla protezione dei dati (UE) 2016/679.

[2] L’Informativa privacy deve essere fornita dal titolare all’interessato sempre prima di cominciare a trattare i suoi dati. Deve includere in particolar modo i dati di contatto, le tipologie dei dati trattati, le differenti finalità per le quali li tratta, chi li tratta internamente e esternamente all’organizzazione, se è previsto il trasferimento o la diffusione dei dati e i diritti dell’interessato [artt. 13 e 14 del Regolamento].

[3] Application Programming Interface

[4] La crittografia è una tecnica di codifica di un testo per far si che questo non sia comprensibile a terzi che non possiedano la relativa chiave di codifica. In questo modo anche in caso di accesso al documento o d’intercettazione della comunicazione da persone non autorizzate, il testo rimarrà riservato.

Redazione: Dott.ssa Emanuela Menna

Fonte: Roberto Ghinolfi – ZAP DISTRIBUTION