Il diritto alla portabilità dei dati personali: le novità introdotte dal GDPR

216
dati personali gdpr

Il Regolamento europeo n. 679/2016 ha introdotto il diritto alla portabilità dei dati personali prevenendo così il fenomeno del c.d. lock-in.

Per lock-in si intende la posizione di soggezione di un individuo rispetto al titolare del trattamento dati. L’art. 20 del GDPR introduce per la prima volta il diritto alla portabilità dei dati personali, cosicché l’interessato, qualora lo richieda, dovrà ricevere i propri dati dal titolare del trattamento “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”; detti dati potranno quindi essere facilmente trasmessi ad un altro titolare.

L’obiettivo perseguito dal legislatore europeo è quello di assicurare un effettivo controllo da parte dei singoli individui sui propri dati personali, attraverso il potenziamento della circolazione, della trasmissione e della copia degli stessi da un sistema informatico all’altro (come ad esempio avviene per il cambio di gestore telefonico).

La conseguenza diretta dell’applicazione di questo principio favorirà la concorrenza tra le aziende in modo da implementare lo sviluppo e l’innovazione di nuovi servizi. Considerata la portata rivoluzionaria di tale norma, il Gruppo di Lavoro Articolo 29 (WP29) ha fornito delle linee guida per chiarire sia l’ambito applicativo sia i limiti del suddetto diritto.

In primis, i presupposti imprescindibili affinché possa essere esercitato il diritto alla portabilità sono che il trattamento dei dati sia basato o sul consenso dell’interessato oppure su un obbligo contrattuale.

Il diritto alla portabilità non trova applicazione qualora il titolare agisca nell’esercizio di funzioni pubbliche né tantomeno per l’adempimento di un obbligo legale ovvero quando il trattamento sia indispensabile per l’esecuzione di un compito di interesse pubblico.

Ad esempio: nel caso di un esercente professione sanitaria, la portabilità dei dati, che sono stati acquisiti in una situazione d’urgenza, sarà esclusa. Inoltre, il diritto alla portabilità dei dati viene in essere solo quando il trattamento è “effettuato con mezzi automatizzati”, pertanto i dati acquisiti manualmente (cioè attraverso l’intervento umano) e quelli registrati su un supporto cartaceo non rientrano nell’ambito applicativo dell’art. 20 del Regolamento Europeo.

Il GDPR prevede due condizioni affinché i dati personali possano essere considerati portabili: la prima è che i dati riguardino strettamente l’interessato, la seconda è che gli stessi siano stati forniti direttamente dall’interessato al titolare del trattamento.

Per quel concerne il primo requisito vengono esclusi dall’ambito di applicazione della normativa tutti i dati anonimi o non concernenti strettamente l’interessato, con l’eccezione di quei dati collegati ad un eventuale pseudonimo, di cui lo stesso interessato abbia fornito un qualche elemento d’identificazione.

Per quanto riguarda la seconda condizione, cioè che i dati debbano essere direttamente forniti dall’interessato, il Gruppo di Lavoro Articolo 29 ha interpretato tale requisito in maniera estensiva, considerando portabili non solo i dati generati direttamente dall’interessato quali ad esempio i dati anagrafici (inseriti ad esempio in un contratto con qualche gestore telefonico), ma anche quei dati scaturiti dall’osservazione delle attività svolte dall’interessato, come ad esempio le ricerche fatte su internet oppure la cronologia della navigazione (i c.d. inferred and derived data).

Quindi, alla luce delle linee guida fornite dal Gruppo di Lavoro ex Articolo 29, nell’espressione “dati forniti dall’interessato” rientrano sia i dati forniti consapevolmente e attivamente sia quelli derivati, cioè quelli generati dal fornitore di servizi.

L’art. 20, altresì, prevede la possibilità per il singolo individuo di ottenere la trasmissione diretta e gratuita dei propri dati da un titolare all’altro, qualora fosse tecnicamente fattibile e senza impedimenti da parte del titolare del trattamento, come di fatto già avviene per la portabilità del numero di cellulare.

Il titolare del trattamento dovrà fornire i dati “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”. Nell’ipotesi di fattispecie particolarmente complesse, il termine può essere prorogato fino ad un massimo di tre mesi, purché tale proroga venga portata a conoscenza dell’interessato entro un mese dal ricevimento della richiesta iniziale.

Il titolare del trattamento che non voglia ottemperare alla richiesta di portabilità deve, ai sensi dell’art. 12 paragrafo 4 GDPR, comunicare all’interessato i motivi posti alla base del diniego e contestualmente informarlo della possibilità di proporre reclamo a un’autorità di controllo o di presentare ricorso all’Autorità Giudiziaria.

Inoltre, l’interessato ha diritto alla portabilità dei dati anche nelle ipotesi in cui li voglia conservare in previsione di un utilizzo futuro, senza necessariamente doverli trasmettere immediatamente ad un’altra azienda. In quest’ottica il diritto alla portabilità potrebbe configurarsi come perfezionamento del diritto di accesso.

Anche se la portata innovativa di questo principio garantirà maggiori tutele al consumatore, che sarà direttamente coinvolto nella gestione delle informazioni che lo riguardano, il GDPR presenta molte lacune.

Ad esempio il regolamento europeo non prevede alcun obbligo per i titolari di trattamento di verificare la qualità dei dati trasmessi e neanche di conservarli in caso di un ulteriore richiesta di portabilità; la norma prevede inoltre che i dati vengano forniti “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”, in modo da garantire l’interoperatività dei sistemi: il problema nasce dalla mancanza di uno standard condiviso dalla comunità internazionale.

La Commissione europea, per ovviare a questo gap, sta finanziando numerose iniziative di ricerca, soprattutto in campo IoT, con lo scopo di raggiungere uno standard comune per garantire l’interoperatività all’interno degli Stati membri.

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.