Che cosa si intende quando si parla di diritto alla portabilità dei dati e quali sono le sue applicazioni. Quale trattamento spetta al proprietario delle informazioni e come queste devono essere trasmesse ad altri titolari: il rapporto della portabilità con altri diritti e le sue componenti interne.
Nell’era contemporanea i dati personali hanno assunto sempre più importanza, diventando un fattore cruciale da tutelare e difendere. Al fine di consentire una più facile gestione e trasmissione delle informazioni personali di ogni cittadino europeo, l’articolo 20 del regolamento (Ue) 2016/679 ha introdotto il cosiddetto diritto alla portabilità dei dati che permette al soggetto interessato di ricevere i dati personali forniti da un titolare e trasmetterli ad un altro titolare del trattamento senza nessun tipo di impedimento. Tali informazioni dovranno essere rese in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Si tratta, dunque, di un innovativo diritto della persona che garantisce e promuove la concorrenza tra titolari e la libertà di scelta degli utenti, oltre ad agevolare la circolazione e il trasferimento dei dati da un servizio online ad un altro.
Cos’è il diritto alla portabilità dei dati
Con il diritto di portabilità dei dati viene facilitato il passaggio degli utenti da un servizio digitale all’altro, in modalità che consentono di poter porre in essere diverse situazioni:
- anzitutto con la portabilità è possibile ricevere i dati personali trattati da un titolare e conservarli su un supporto personale o un cloud privato in vista di un utilizzo ulteriore per scopi personali, senza trasmetterli necessariamente ad un altro titolare. L’esempio classico in tal senso è rappresentato dalla volontà dell’utente di recuperare l’elenco dei brani musicali preferiti ascoltati su un servizio di musica in streaming per scoprire quante volte si sono ascoltate determinate canzoni;
- trasmettere dati personali da un titolare del trattamento a un altro titolare, come un diverso fornitore dello stesso servizio.
Si specifica inoltre che, anche con l’esercizio del diritto alla portabilità dei dati, l’utente non pregiudica nessun altro diritto a lui garantito. Può infatti continuare a beneficiare del servizio offerto dal titolare anche dopo un’operazione di portabilità, così come esercitare il proprio diritto di cancellazione.
I vantaggi offerti dal diritto di portabilità dei dati
Dopo aver appreso cosa si intende quando si fa riferimento al diritto di portabilità dei dati, è possibile tracciare un elenco degli evidenti vantaggi ad esso correlati basandosi su quanto affermato dal Garante per la protezione dei dati personali. Più nello specifico, tale diritto:
- agevola il passaggio da un fornitore di servizi all’altro;
- consente la creazione di nuovi servizi nel quadro della strategia dell’Ue per il mercato unico digitale;
- offre la possibilità di riequilibrare il rapporto tra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano.
L’applicazione del diritto di portabilità dei dati
In tema di applicazione del diritto di portabilità dei dati, iniziamo col dire che questo deve essere garantito nei casi in cui i dati:
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
- siano riferibili in maniera chiara all’interessato e non siano dunque anonimi;
- vengano trattati sulla base del consenso preventivo dell’interessato o di un contratto dallo stesso sottoscritto;
- siano trattati e trasferiti attraverso strumenti automatizzati. Non si applicherà dunque il diritto di portabilità a quei dati conservati in archivi e registri cartacei;
- siano stati forniti in maniera consapevole e attiva da parte dell’interessato.
Rientrano inoltre tra i casi in cui è applicabile il diritto di portabilità, quei dati generati dall’interessato attraverso la fruizione di un servizio o l’utilizzo di un dispositivo. L’esempio può essere la cronologia delle ricerche on line svolte dall’interessato, i dati relativi al traffico on line o dati grezzi come la frequenza cardiaca registrata da dispositivi sanitari o di fitness.
Non rientrano invece nell’applicabilità del diritto alla portabilità i dati inferenziali e quelli derivati, come possono essere quelli riferiti all’esito di una valutazione concernente la salute di un utente.
Si ricorda infine che, per essere applicabile, il diritto di portabilità:
- non deve in alcun modo ledere i diritti e le libertà;
- deve prevedere dei dati forniti in un formato interoperabile, ovvero che ne consenta il riutilizzo. È opportuno dunque che i dati vengano trasferiti sfruttando formati comuni e aperti che consentano ai riceventi di poter estrarre le informazioni necessarie.
Per permettere una migliore comprensione di cosa sia il diritto di portabilità dei dati e di come lo stesso possa essere applicato, si riporta di seguito un esempio riportato sul “sito della Commissione europea”. Supponiamo che un paziente di una clinica privata in Belgio decida di trasferirsi in un’altra clinica in Germania. In tale caso, grazie al diritto di portabilità dei dati, il paziente ha la facoltà di chiedere alla clinica belga che dispone di file elettronici di fornirgli i dati personali in un formato strutturato leggibile da un dispositivo automatico. Questi dati verranno poi trasmessi alla clinica tedesca. II formato dei dati trasferiti deve essere, come detto, di uso comune, come ad esempio Xml, Json, Csv, e garantire un facile utilizzo delle informazioni.
Gli elementi che compongono la portabilità dei dati
Il diritto alla portabilità dei dati viene spesso inteso come una sorta di integrazione a quello di accesso, rettifica e cancellazione dei dati e, come sostenuto dal gruppo di lavoro “Articolo 29” in materia di protezione dei dati personali della Commissione europea, può essere scomposto in alcuni componenti principali:
-
- il diritto di ricevere i dati personali che riguardano il soggetto. Il ricevente può conservarli su un supporto personale o su un cloud privato, per poi utilizzarli a proprio piacimento per altri scopi personali. Si sottolinea ancora una volta che la richiesta dei propri dati ai fini della conservazione non implica necessariamente la trasmissione degli stessi;
- il diritto di trasmettere i dati personali da un titolare del trattamento ad un altro su richiesta specifica dell’interessato. Ecco dunque che, dove tecnicamente possibile, deve essere garantito senza impedimenti il trasferimento tra i titolari di un trattamento. I titolari, nel garantire questo diritto, devono “sviluppare formati interoperabili che consentano la portabilità dei dati”, così come riportato dal “Considerando 68 della Commissione europea”. Se ne deduce che, malgrado i titolari non abbiano l’obbligo di introdurre o mantenere sistemi tecnicamente compatibili, il Regolamento generale sulla protezione dei dati, Gdpr, vieta loro di creare ostacoli alla trasmissione dei dati;
- il diritto al trattamento dei dati secondo le volontà dell’interessato. Questo vuol dire che i titolari che danno seguito alla richiesta di portabilità dell’utente non sono responsabili del trattamento effettuato, ma agiscono per conto dell’interessato. Se ne deduce che non sono responsabili delle norme in materia di protezione dei dati da parte del titolare ricevente. Si ricorda, inoltre, che i titolari che danno seguito alla richiesta di portabilità dei dati non sono tenuti a verificare la qualità dei dati prima di trasmetterli, così come non sono obbligati a conservare i dati per un periodo di tempo superiore a quello eventualmente specificato. Infine non è previsto per i titolari nessun obbligo di ulteriore conservazione dei dati personali solo per adempiere ad una potenziale richiesta futura di portabilità. Per quanto riguarda invece il titolare ricevente, questo ha l’obbligo di garantire che i dati ricevuti siano pertinenti al nuovo trattamento, senza risultare però eccedenti. Inoltre, assumendo il ruolo di titolare, è tenuto ad osservare i principi stabiliti all’articolo 5 del Gdpr che prevede che i dati ricevuti siano trattati:
- “in modo lecito, corretto e trasparente nei confronti dell’interessato”;
- “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”;
- “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”;
- “esatti e, se necessario, aggiornati”;
- “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”;
- “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.
La portabilità in relazioni agli altri diritti sui dati
In chiusura è importante sottolineare che il diritto alla portabilità dei dati non ne pregiudica nessun altro. Ecco dunque che un utente che chiede al titolare di un servizio la portabilità non è soggetto, in automatico, alla cancellazione dei propri dati e, tale scelta, non incide sul periodo di conservazione previsto originariamente per i dati trasmessi. Anche in caso di trasferibilità, infatti, l’interessato può esercitare il diritto di cancellazione senza che il titolare possa procrastinarlo o negarlo.