GDPR (S01 E05): La portabilità dei dati
Un nuovo, interessante diritto
Quando fu "presentato" il GDPR e già circolavano le prime versioni ufficiali del testo finale, grande attenzione, tra le altre cose, fu dedicata a un nuovo diritto dal nome molto significativo: portabilità.
L'idea era quella, non troppo velata, di mutuare l'esperienza che già si era fatta con i numeri telefonici - per cui si era prevista la possibilità, per gli utenti di numeri di telefono soprattutto cellulari, di "portare" il numero con sè anche quando si cambiava operatore - e di applicarla ai dati.
In questo caso, il fine di un simile diritto era la possibilità, per un utente, di "portare con sè" i dati da una piattaforma all'altra, da un servizio all'altro o, semplicemente, di scaricarsi tutti i dati e di custodirli sul proprio computer/dispositivo in attesa, un domani, di un altro servizio cui trasferirli.
Come si può immaginare, questo diritto - e il suo esercizio da parte degli interessati - coinvolgono degli aspetti tecnici e informatici molto interessanti.
Il dato, in partenza, deve essere già in un formato "non proprietario" e interoperabile o, se trattato con formati proprietari, deve essere convertito e dato all'utente in un formato che non lo vincoli a una determinata tecnologia.
Abbiamo, quindi, due rapporti di forza, direi quasi due "tensioni": da un lato chi tratta il dato può voler far "muro" e opporsi alla consegna di tutti i dati (ad esempio al termine di un rapporto contrattuale) giocando sul fatto che il formato, comunque, sarebbe inutilizzabile da terzi perchè proprietario; dall'altro, invece, il GDPR vuole proprio evitare questo.
Il dato deve essere libero di circolare, di cambiare fornitore, di passare da un servizio all'altro, e il trattamento non deve essere bloccato.
L’Articolo 20 del GDPR è la norma che introduce formalmente il diritto alla portabilità dei dati, individuandolo come un diritto che permette agli interessati di ricevere, in un formato strutturato, di uso comune e leggibile meccanicamente, i dati personali da loro forniti al titolare del trattamento e di trasmetterli a un diverso titolare senza impedimenti.
L’idea di un diritto alla portabilità dei dati, ripete spesso il Garante, è molto simile, come si diceva poco sopra, a quella che sta alla base della portabilità di un numero di telefono cellulare, per cui una persona può scegliere di mantenere lo stesso numero e di “portarselo” presso un altro gestore che offra condizioni più convenienti.
In molte infografiche e icone che descrivono questo nuovo diritto, è riportato il disegno di una persona che si è caricata in spalla tutti i suoi dati e li trascina senza problemi da un gestore (ad esempio una banca, o un provider) all’altro.
Sebbene questo nuovo diritto appaia strettamente connesso al diritto d’accesso previsto dall’originaria Direttiva sulla protezione dei dati (95/46/CE), è importante sottolineare come, invece, per molti aspetti, se ne allontani.
Innanzitutto, mentre l’esercizio del diritto di accesso è vincolato al formato che il titolare decide di utilizzare nel fornire le informazioni richieste (in altre parole: un soggetto va a domandare di accedere ai suoi dati, e i dati gli vengono forniti nel formato scelto dal titolare, basta che sia comprensibile, ovviamente, per il richiedente), il nuovo diritto alla portabilità intende promuovere il controllo degli interessati sui propri dati personali, facilitando la circolazione, la copia o la trasmissione dei dati da un ambiente informatico all’altro.
Per tale ragione è previsto che il dato sia rilasciato “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”.
In secondo luogo, il diritto alla portabilità si presenta come un’integrazione del diritto di accesso, in quanto comprende il diritto dell’interessato di ricevere un “sottoinsieme” dei dati personali che lo riguardano e di conservarli, su un supporto personale o su un disco/cloud privato, in vista di un utilizzo ulteriore per scopi personali.
Per quanto riguarda, poi, la trasmissione di tali dati da un titolare del trattamento a un altro, l’interessato può anche richiedere che essa avvenga direttamente tra i titolari, ove ciò sia tecnicamente possibile.
Così, pur non essendovi uno specifico obbligo in tal senso, si tenta di promuovere lo sviluppo di formati interoperabili tra i titolari, al fine di favorire una condivisione di dati personali in piena sicurezza e sotto il controllo dell’interessato.
Occorre anche precisare che il titolare che dia seguito alla richiesta di portabilità non è responsabile dell’osservanza delle norme in materia di protezione dei dati da parte del titolare ricevente (ad esempio: un altro provider che riceve i dati di posta elettronica dell’interessato), visto che quest’ultimo non viene da lui selezionato (non sarà quindi responsabile se capiterà, ad esempio, una violazione dei dati nel nuovo servizio scelto dall’interessato).
Al contempo, il titolare cui l’interessato si rivolge dovrebbe prevedere garanzie idonee a far sì che ogni sua attività corrisponda alle richieste dell’interessato stesso.
Considerato l’ampio ventaglio di tipologie di dati potenzialmente oggetto di trattamento, il GDPR non contiene indicazioni precise sul formato da adottare.
La scelta dovrà essere, allora, la più idonea in rapporto al singolo settore di attività ed essere sempre orientata all’obiettivo ultimo di garantire un ampio margine di portabilità. Qualora non vi siano formati di impiego comune in un determinato contesto, i titolari dovrebbero utilizzare formati aperti (ad esempio: l’XML).
La portabilità non impone al titolare alcun obbligo di conservazione dei dati per un periodo superiore al necessario, o ulteriore, rispetto a quello eventualmente specificato. Al contempo, tuttavia, essa non pregiudica l’esercizio degli altri diritti: l’interessato può, quindi, continuare a fruire e beneficiare del servizio offerto dal titolare anche dopo che sia compiuta un’operazione di portabilità, che – è bene ribadirlo – non comporta la cancellazione automatica dei dati conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione. Analogamente, l’interessato può esercitare il diritto di cancellazione (o “diritto all’oblio”) previsto dall’Articolo 17 del Regolamento.
Ai sensi del GDPR, il diritto alla portabilità dei dati presuppone che il trattamento si basi sul consenso dell’interessato oppure su un contratto di cui è parte l’interessato. Non è, invece, previsto un diritto generale alla portabilità dei dati il cui trattamento non si fondi su uno di questi due elementi.
Inoltre, tale diritto sussiste esclusivamente se il trattamento è “effettuato con mezzi automatizzati” e non si applica, di conseguenza, alla maggioranza degli archivi o dei registri cartacei.
Per quanto concerne i dati “portabili”, l’Articolo 20, Paragrafo 1, stabilisce che sono tali i dati personali che riguardano l’interessato e sono stati forniti dall’interessato a un titolare.
Con riferimento alla prima condizione, va osservato che un dato anonimo, o non relativo all’interessato, non ricade nell’ambito di applicazione del diritto in questione.
In molti casi, tuttavia, i titolari trattano informazioni contenenti dati personali relativi a una pluralità di interessati. Non è possibile, pertanto, dare un’interpretazione eccessivamente restrittiva dell’espressione “dati personali che riguardano l’interessato”.
Per esempio, i tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP comprendono, talora, informazioni su terzi in riferimento alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralità di individui, l’abbonato deve avere la possibilità di ottenere tali informazioni a seguito di una richiesta di portabilità, dal momento che essi contengono (anche) dati a lui relativi.
La seconda condizione, invece, limita l’ambito della portabilità ai dati “forniti da” un interessato.
Sono qualificabili come tali i dati forniti consapevolmente e attivamente dall’interessato (indirizzo postale, nome utente, età, etc.) e i dati osservati forniti dall’interessato attraverso la fruizione di un servizio o l’utilizzo di un dispositivo. Questa categoria comprende i c.d. “dati grezzi”, come la cronologia delle ricerche effettuate sul web, i dati relativi al traffico, quelli relativi all’ubicazione, etc.
Non sono, invece, ricompresi in tale nozione i dati inferenziali, né i dati generati dal titolare utilizzando come input i dati osservati o forniti direttamente, come ad esempio il profilo-utente creato a partire dall’analisi dei dati grezzi generati da un contatore intelligente.
L’Articolo 20, Paragrafo 4, stabilisce un’ulteriore condizione, prevedendo che l’osservanza del diritto alla portabilità non deve ledere i diritti e le libertà altrui.
Tale disposizione è intesa a evitare il recupero e la trasmissione a un nuovo titolare di informazioni contenenti i dati personali di altri interessati che a ciò non abbiano acconsentito a ciò.
Per evitare di ledere diritti e libertà dei terzi interessati, il trattamento dei dati personali in questione da parte di un diverso titolare è consentito soltanto nella misura in cui i dati rimangano nell’esclusiva disponibilità dell’utente che ne aveva richiesto la portabilità e siano utilizzati esclusivamente per finalità personali o domestiche.
Il nuovo titolare non può utilizzare i dati riferiti a terzi per le proprie finalità, né per ricavare informazioni sugli stessi e creare profili specifici; in caso contrario, è verosimile che il trattamento risulti illecito e violi il principio di correttezza. Inoltre, per ridurre ulteriormente i rischi, sarebbe opportuno che i titolari rendessero disponibili strumenti per consentire agli interessati di scegliere i dati che desiderano trasmettere e ricevere, escludendo (se del caso) i dati di altri interessati.
Ai titolari è fatta espressa raccomandazione di informare gli interessati dell’esistenza del diritto alla portabilità.
Qualora i dati personali in questione siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita nel momento in cui i dati sono ottenuti. Se, invece, i dati personali non sono stati ottenuti direttamente dall’interessato, l’Articolo 14, Paragrafo 3, prevede che l’informativa sia fornita entro un termine ragionevole e, comunque, non superiore a un mese dall’ottenimento dei dati.
Il GDPR non contiene prescrizioni specifiche rispetto all’eventuale autenticazione di un interessato che eserciti il suo diritto alla portabilità. Tuttavia, qualora il titolare nutra ragionevoli dubbi circa l’identità di questi, può chiedere informazioni ulteriori che siano tali da confermarla. Tali richieste non devono essere eccedenti, né comportare la raccolta di dati personali che non siano pertinenti o necessari. Se l’interessato fornisce effettivamente tali informazioni ulteriori, il titolare non può rifiutarsi di dare seguito alla richiesta.
Per quanto riguarda le tempistiche, in base all’Articolo 12, Paragrafo 3, il titolare fornisce informazioni all’interessato “senza ingiustificato ritardo”, e comunque entro un mese dal ricevimento dalla richiesta o, in casi di particolare complessità, entro un massimo di tre mesi, purché l’interessato venga informato delle motivazioni di tale proroga entro un mese dal ricevimento della richiesta iniziale.
I titolari che oppongono un diniego alla richiesta di portabilità devono indicare all’interessato i motivi dell’inottemperanza e la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso. I titolari devono rispettare l’obbligo di ottemperare nei termini previsti, anche in caso di diniego.
La portabilità si presenta, in conclusione, come uno dei diritti più interessanti esercitabili nella società dell’informazione.
Oltre a garantire continuità nel servizio (si pensi a un utente che per anni utilizzi un servizio di posta elettronica e voglia migrare a un altro che ritiene migliore senza perdere tutti i messaggi), aumenta la concorrenza tra fornitori di servizi, che si vedranno costretti a lavorare sulla qualità del servizio offerto per evitare la migrazione di massa degli utenti verso altre società simili.
I problemi maggiori, in un’ottica di adempimento, sorgeranno qualora i dati siano trattati con strumenti o software proprietari: sarà indispensabile uno strumento di conversione per renderli realmente “portabili” anche verso sistemi di concorrenti commerciali.