Il 25 maggio 2018 sarà un giorno cruciale per l’Unione Europea. In tutti i Paesi membri verrà applicato il Regolamento europeo in materia di protezione dei dati personali. Tante sono le novità contenute del testo, tra queste l’introduzione del responsabile della protezione dei dati (RPD) o il Data Protection Officer (DPO) – qui l’identikit, il ruolo e la responsabilità di questa nuova figura.
Il diritto alla portabilità dei dati è un altro aspetto chiave del regolamento sancito nell’articolo 20, paragrafo 1:
“L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti…”
Qual è l’obiettivo del diritto alla portabilità dei dati?
La portabilità dei dati sostanzialmente permette agli interessati di ottenere e riutilizzare i “propri” dati per i propri scopi e attraverso servizi diversi. In questo senso, facilita la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti. L’aspettativa è che, oltre ad ampliare il margine di controllo dei consumatori impedendo forme di lock-in tecnologico, il diritto alla portabilità dei dati promuova l’innovazione e la condivisione di dati personali fra titolari del trattamento in piena sicurezza e sotto il controllo dell’interessato
Cosa è possibile ottenere esercitando il diritto alla portabilità?
In primo luogo, si ha il diritto di ricevere dati persona li (“in un formato strutturato, di uso comune e leggibile meccanicamente”) trattati da un titolare e di memorizzarli su un dispositivo nella propria disponibilità in vista di un successivo utilizzo personale, senza trasferirli a un diverso titolare. Si tratta, dunque, di un diritto che facilita la gestione diretta dei propri dati personali. In secondo luogo, si ha il diritto di trasmettere i propri dati personali da un titolare a un diverso titolare “senza impedimenti”. Si tratta, dunque, di un diritto che facilita per gli interessati la circolazione, la copia o il trasferimento di dati personali da un ambiente informatico all’altro.
A quali strumenti è consigliabile ricorrere per dare seguito a richieste di portabilità?
I titolari dovrebbero, in primo luogo, offrire agli interessati la possibilità di effettuare direttamente il download delle informazioni; in secondo luogo, dovrebbero consentire agli interessati la trasmissione diretta di queste informazioni a un diverso titolare, per esempio, mettendo a disposizione degli interessati un’API (interfaccia di programmazione di applicazioni). Gli interessati potrebbero anche voler ricorrere a servizi di deposito e memorizzazione dei dati personali o a un terzo fiduciario, in modo da conservare i dati mettendoli a disposizione di singoli titolari di trattamento in base a quanto necessario così da semplificare il trasferimento dei dati da un titolare all’altro.
In che misura un titolare ha la responsabilità dei dati trasferiti o ricevuti a seguito dell’esercizio del diritto alla portabilità?
I titolari che danno seguito a richieste di portabilità non sono responsabili del trattamento effettuato dal singolo interessato o da un’altra società che riceva i dati in questione. D’altra parte, il titolare che riceve i dati è tenuto a garantire che i dati a lui forniti siano pertinenti e non eccedenti rispetto al nuovo trattamento svolto, che l’interessato sia stato informato con chiarezza delle finalità di tale
L’esercizio del diritto alla portabilità dei dati produce effetti sull’esercizio degli altri diritti di cui godono gli interessati?
L’esercizio del diritto alla portabilità dei dati (come di ogni altro diritto ai sensi del regolamento) lascia impregiudicati tutti gli altri diritti. L’interessato può esercitare i propri diritti fintanto che il titolare tratta i dati. Per esempio, l’interessato può continuare a usufruire del servizio offerto dal titolare anche dopo aver esercitato il diritto alla portabilità dei dati. Allo stesso modo, se intende chiedere la cancellazione dei dati, opporsi al trattamento o accedere ai propri dati personali, l’esercizio pregresso o successivo del diritto alla portabilità non è utilizzabile dal titolare quale giustificazione di un rifiuto o del ritardo nel dare seguito a tali richieste. La portabilità non comporta la cancellazione automatica dei dati conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione a seguito dell’esercizio del diritto alla portabilità.
- L’infografica realizzata dal Garante per la protezione dei dati personali
Quando trova applicazione il diritto alla portabilità dei dati?
Occorre che siano soddisfatte le tre condizioni indicate di seguito. In primo luogo, i dati personali devono essere trattati, attraverso strumenti automatizzati (quindi escludendo gli archivi cartacei), sulla base del consenso preventivo dell’interessato o per l’esecuzione di un contratto di cui è parte l’interessato. In secondo luogo, i dati personali di cui si chiede la portabilità devono riguardare l’interessato ed essere quelli forniti dall’interessato. Il WP29 raccomanda ai titolari di non interpretare l’espressione “dati personali che riguardano l’interessato” in modo eccessivamente restrittivo, qualora vi siano dati personali di terzi all’interno di un insieme di dati che riguardano l’interessato e sono stati forniti da quest’ultimo, e che l’interessato utilizza per scopi personali. Ne sono un esempio, tipicamente, i tabulati telefonici, che contengono le chiamate in entrata e quelle in uscita, oppure il prospetto dei movimenti sul proprio conto corrente bancario, in cui sono riportati anche gli accrediti effettuati da soggetti terzi. Si può ritenere che un dato personale sia fornito dall’interessato se quest’ultimo lo “fornisce” consapevolmente e in modo attivo: è il caso, per esempio, dei dati di registrazione (indirizzo postale, nome utente, età, ecc.) inseriti compilando un modulo online. Tuttavia, la definizione comprende anche i dati generati e raccolti attraverso le attività dell’utente che fruisce di un servizio o utilizza un dispositivo. Viceversa, il diritto alla portabilità non si applica ai dati personali che sono derivati o dedotti dalle informazioni fornite dall’interessato (per esempio, il profilo -utente creato analizzando i dati grezzi di un contatore intelligente), poiché non si tratta di dati forniti dall’interessato bensì creati dal titolare del trattamento. In terzo luogo, l’esercizio del diritto alla portabilità non deve ledere i diritti e le libertà altrui. Per esempio, se l’insieme dei dati trasferiti su richiesta dell’interessato contiene dati personali che riguardano altre persone fisiche, il nuovo titolare dovrebbe trattare tali dati solo in presenza di un’idonea base giuridica. È questo il caso di un trattamento che sia svolto direttamente dall’interessato nell’ambito di attività esclusivamente personali o domestiche.
Come informare gli interessati di questo nuovo diritto?
I titolari devono informare gli interessati dell’esistenza del diritto alla portabilità “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. A questo proposito, il WP29 raccomanda ai titolari di illustrare con chiarezza la differenza fra le categorie di dati che un interessato può ricevere esercitando il diritto alla portabilità anziché il diritto di accesso, e di informare gli interessati specificamente in merito all’esistenza del diritto alla portabilità prima di chiudere un account, così da permettere loro di recuperare e conservare i propri dati personali. Inoltre, i titolari che ricevono dati portabili su richiesta dell’interessato possono, quale migliore prassi, fornire agli interessati un’informativa completa sulla natura dei dati personali pertinenti ai fini della prestazione del rispettivo servizio.
Come fa il titolare a identificare l’interessato prima di rispondere a una sua richiesta?
Il WP29 raccomanda ai titolari di mettere in atto procedure idonee a consentire agli interessati di presentare una richiesta di portabilità e di ricevere i dati personali che li riguardano. I titolari devono prevedere una procedura di autenticazione in modo da stabilire con certezza l’identità dell’interessato che chiede i propri dati personali o, più in generale, chiede di esercitare i diritti riconosciutigli dal RGPD.
Qual è la tempistica per rispondere a una richiesta di portabilità?
L’art. 12 vieta al titolare di addebitare oneri all’interessato per la fornitura dei dati personali, salvo dimostrare il carattere manifestamente infondato o eccessivo delle richieste “in particolare per il loro carattere ripetitivo”. In via generale, appare molto improbabile che il fatto di dover rispondere a richieste plurime di portabilità comporti un onere eccessivo per un fornitore di servizi della società dell’informazione o di analoghi servizi online, specializzato nei trattamenti automatizzati di dati personali. In casi del genere, il WP29 raccomanda di definire una tempistica ragionevole che tenga conto dello specifico contesto, informandone gli interessati.
In che modo devono essere messi a disposizione i dati portabili?
I dati personali devono essere trasmessi in un formato strutturato, di uso comune e leggibile meccanicamente. Queste specifiche, relative alla modalità di trasmissione, intendono garantire l’interoperabilità dei formati messi a disposizione dai titolari, che rappresenta l’obiettivo ultimo. Tuttavia, ciò non significa che i titolari debbano dotarsi di sistemi compatibili. Inoltre, i titolari dovrebbero fornire, unitamente ai dati, quanti più metadati possibile al miglior livello possibile di granularità, così da preservare la semantica specifica delle informazioni oggetto di scambio.
Tenuto conto della molteplicità di categorie di dati potenzialmente oggetto di trattamento, il RGPD non contiene indicazioni specifiche per i titolari quanto al formato dei dati personali da fornire agli interessati. La scelta del formato più idoneo dipenderà dallo specifico settore di attività e probabilmente esistono già oggi formati adeguati allo scopo; in ogni caso, la scelta dello specifico formato deve essere ispirata all’obiettivo ultimo dell’interoperabilità. Il WP29 sostiene con forza la ricerca di forme di collaborazione fra i produttori e le associazioni di categoria al fine di sviluppare un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto alla portabilità dei dati.