Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

Diritto alla portabilità dei dati, come applicarlo e come esercitarlo

Il GDPR prevede che gli interessati abbiano diritto alla portabilità dei dati, cioè a ricevere dal titolare del trattamento i propri dati in un formato leggibile e strutturato: ecco come concretizzare questa indicazione

09 Gen 2020
R
Alessandro Rossini

Avvocato, esperto di compliance aziendale, nuove tecnologie e privacy


La portabilità dei dati personali prevista all’art. 20 del GDPR è uno dei nuovi diritti riconosciuti dalla normativa europea agli interessati. Nello specifico, con portabilità dei dati si intende – in termini generali – la possibilità di ricevere dal titolare del trattamento, cui si abbia fornito i propri dati personali, tali dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Vediamo, nel concreto, come è possibile per gli interessati esercitare il proprio diritto alla portabilità dei dati personali.

Limiti e vantaggi del diritto alla portabilità dei dati

Tale diritto incontra alcuni limiti:

  • la base giuridica del trattamento posto in essere dal titolare che riceva una richiesta di portabilità deve essere il consenso dell’interessato ai sensi dell’art. 6, co. 1, lettera a) o dell’art. 9, co. 2, lettera a) oppure l’esecuzione di misure pre-contrattuali o contrattuali secondo la lettera b) dell’art. 6 GDPR;
  • il trattamento dei dati richiesti deve essere effettuato con mezzi automatizzati;
  • la richiesta non deve ledere i diritti e le libertà di terzi.

Riguardo a come gli interessati possono esercitare il diritto, il discorso andrebbe affrontato sotto due aspetti principali: come identificare l’interessato e quando un terzo può agire per conto dell’interessato.

Senza dubbio l’interessato ha diritto di agire personalmente per azionare il diritto di portabilità. Ma come può farsi identificare dal titolare per poter azionare una richiesta di portabilità, così come per qualsiasi altro diritto previsto dal GDPR? Sul punto ritengo sia corretto rifarsi alle Linee Guida sul diritto alla portabilità dei dati del WP29[1] in cui, dopo aver ricordato come non vi siano indicazioni specifiche nel GDPR sul punto, si afferma che «i dati personali utilizzati per la registrazione dell’interessato possono essere utilizzati anche ai fini dell’autenticazione di tale interessato in rapporto all’esercizio della portabilità», e si prosegue ricordando come non sempre sia necessario verificare l’identità ufficiale o giuridicamente provata dell’interessato, evitando di effettuare richieste eccessive.

In altri termini, se per attivare un servizio e il relativo trattamento di dati personali un titolare chiede determinate informazioni personali identificative agli interessati, salvo in cui non si rientri nell’art. 11 GDPR o il titolare nutra ragionevoli dubbi sull’identità del richiedente, quelle stesse informazioni di registrazione dovrebbero essere idonee a identificare l’interessato.

Inoltre, il titolare dovrebbe predisporre metodi di autenticazioni effettivamente utilizzabili dagli interessati, evitando complicazioni non strettamente necessarie per identificare gli interessati (ad esempio obbligando un interessato a creare un profilo su una piattaforma ad hoc creata on-line per poter esercitare i propri diritti quando il rapporto con il titolare nasce e prosegue nel mondo fisico senza strumenti informatici lato interessato).

Alcuni titolari hanno predisposto dei moduli di esercizio del diritto di portabilità in cui chiedono oltre ai dati identificativi ulteriori informazioni non necessarie – quali il motivo della richiesta, come hanno avuto il primo contatto con il titolare ecc. – senza individuare i dati necessari da quelli facoltativi e tradendo, in parte, lo spirito con cui dovrebbero permettere agli interessati l’esercizio di un proprio diritto… anzi approfittandone per raccogliere ulteriori dati. Altra prassi è quella di richiedere sempre la fotocopia di un documento di identità all’interessato, individuando tale adempimento come unico metodo sicuro per verificare l’identità del richiedente.

Anche tale modalità non è sempre quella corretta, come recentemente ricordato anche dall’autorità garante austriaca che, in un suo provvedimento[2], ha ricordato come il GDPR non preveda l’obbligo dell’interessato di rivelare la propria identità al momento della richiesta di informazioni.

Solo qualora il titolare abbia dubbi fondati, che dovranno essere esposti caso per caso, potrà chiedere ulteriori informazioni per identificare il richiedente: un titolare non può, in linea di massima, esigere la presentazione di un documento di identità, dovendo essere tale richiesta successiva alla valutazione effettuata per ogni singola richiesta.

Più controversa, almeno apparentemente, è la possibilità che sia un terzo ad agire per conto dell’interessato. Il Garante per la protezione dei dati personali ha, infatti, coinvolto l’European Data Protection Board per valutare il servizio di intermediazione nell’esercizio della portabilità dei dati proposto da una società italiana, indicando come l’esercizio a mezzo delega potesse essere una complicazione nella valutazione del servizio stesso.

Tuttavia la normativa nulla prevede in merito ad eventuali limitazioni circa la delegabilità dell’esercizio dei propri diritti in tema di tutela dei dati personali. Quando il legislatore europeo ha ritenuto di limitare alcune attività a soggetti specifici, ha esplicitamente indicato modalità e soggetti autorizzati, come ad esempio all’art. 80 del GDPR.

Rifacendoci al brocardo latino che recita ubi lex vòluit dìxit, ubi nòluit tàcuit, si dovrebbe ritenere che non avendo vietato la delegabilità del diritto di portabilità, il legislatore europeo abbia inteso permetterla. Le stesse linee guida in tema di portabilità chiariscono come un terzo possa esercitare il diritto di portabilità a nome dell’interessato: trattando dell’implementazione di API sicure e documentate per favorire la portabilità, si specifica come in tal modo ancora più facilmente gli interessati potrebbero agire direttamente oppure «potrebbe consentire ad altri (anche a un diverso titolare) di presentare tali richieste per loro conto come previsto dall’articolo 20, paragrafo 2 del regolamento».

In tal senso alcune autorità garanti si sono già ulteriormente espresse positivamente: l’autorità inglese ha ribadito che il GDPR non vieta tale facoltà e che quindi un interessato possa preferire demandare a terzi l’esercizio dei suoi diritti[3] mentre l’autorità irlandese ha ulteriormente specificato che un titolare del trattamento non dovrebbe irragionevolmente rifiutarsi di parlare con un terzo delegato, evidenziando come i dati identificativi richiesti all’interessato dovrebbero essere sufficienti a permettere al delegato di farsi identificare come soggetto idoneo a rappresentare l’interessato: se il titolare ritiene che fare delle domande di sicurezza all’interessato per poterlo identificare sia sufficiente, tale ragionamento dovrebbe estendersi anche al delegato, mentre chiedere un’autorizzazione firmata dell’interessato potrebbe essere una richiesta eccessiva[4].

A chi trasmettere i dati

L’art. 20 del GDPR chiarisce che l’interessato abbia diritto a ricevere i dati personali che lo riguardano – sempre nei limiti accennati in premessa – direttamente dal titolare del trattamento. Inoltre, il regolamento prevede al secondo comma dell’art. 20 che l’interessato possa richiedere – se tecnicamente fattibile – l’invio diretto dei propri dati personali direttamente ad un altro titolare, limitandosi la responsabilità del titolare originario a garantire l’effettiva soddisfazione dell’interessato e al contemperamento degli ulteriori obblighi di tutela:

  • verso terzi,
  • dei propri segreti industriali e di know-how aziendale,
  • di eventuale ulteriore normativa specifica applicabile al settore in cui il titolare originario opera.

Pertanto la sindacabilità da parte del titolare originario in merito all’utilizzo successivo dei dati personali dovrebbe essere esclusa, non avendo questi alcuna responsabilità circa il successivo trattamento effettuato dall’interessato o dal nuovo titolare ricevente, come ricordato anche dall’European Data Protection Board nelle linee guida citate in tema di portabilità.

Quale inciso rispetto a quanto sopra, ritengo utile evidenziare che:

  • l’esercizio di portabilità non pregiudica gli altri diritti dell’interessato: un titolare che dovesse affermare che a seguito dell’esercizio del diritto di portabilità i dati trasmessi saranno successivamente cancellati, di fatto, limiterebbe l’esercizio di un legittimo diritto agli interessati, minando gravemente il senso dell’art. 20 del GDPR;
  • la scelta di negare la trasmissione di alcuni dati sostenendo la tutela del know-how aziendale dovrebbe essere puntualmente giustificata, anche alla luce del fatto che con know-how aziendale dovrebbe intendersi qualcosa di segreto, suscettibile di una valutazione economica, sostanziale e individuato[5].

Quali dati possono essere oggetto di portabilità

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Il diritto di portabilità, come detto sopra, si applica ai dati personali forniti al titolare quando la base giuridica utilizzata per tale trattamento sia il consenso e l’esecuzione di misure precontrattuali richieste dall’interessato o per l’esecuzione di un contratto di cui l’interessato sia parte, quando tali trattamenti siano svolti con mezzi automatizzati.

Perciò si deve ritenere che l’interessato possa richiedere tutti i propri dati personali – anche particolari dato il richiamo alla base giuridica di cui all’art. 9, co. 2 lett. a) del GDPR – nel rispetto dei vincoli sopra richiamati oltre che di quanto di seguito esposto. Dato personale, così come definito dall’art. 4 del GDPR, è «qualsiasi informazione riguardante una persona fisica identificata o identificabile».

Le già citate linee guida in tema di portabilità meglio puntualizzando come per dati personali oggetto di portabilità debbano intendersi tutti quei dati forniti attivamente dall’interessato – ad esempio compilando dei moduli – nonché tutti quei dati osservati sulla base dell’attività dell’interessato. In altri termini, quando un titolare osserva delle informazioni mettendole in correlazione a degli interessati – anche mediante pseudonimizzazione – si sta trattando di dati personali che l’interessato può richiedere mediante il diritto di portabilità; le successive valutazioni svolte dal titolare, invece, potrebbero escludersi.

Rifacendoci all’esempio proposto nelle linee guida, si può convenire che l’elenco di tutti i brani musicali presenti in un servizio di streaming online non siano dati personali, ma lo diventino nel momento in cui il servizio di streaming dovesse correlarli ad uno specifico utente.

L’ulteriore valutazione circa il profilo dell’utente sulla base dei brani da questi ascoltati sarebbe sì un dato personale, ma non dovrebbe essere oggetto di portabilità.

Qualora tra i dati richiesti dall’interessato vi siano anche dati terzi, bisogna fare attenzione a rispettare il divieto di ledere diritti e libertà altrui, previsto dal co. 4 dell’art. 20 del GDPR, che non dovrà tramutarsi in un automatico diniego di richieste di portabilità qualora vi siano anche dati personali di terzi.

Sarebbe piuttosto da preferire una soluzione che permettesse all’interessato di confermare la volontà di richiedere tali dati – qualora il fornirli non leda in maniera significativa i diritti e le libertà dei terzi – magari predisponendo sistemi di consenso alla portabilità da parte dei terzi coinvolti.

In ogni caso, anche senza consenso dei terzi, alcuni dati personali potranno essere forniti all’interessato o direttamente ad un nuovo titolare, che dovrà rispettare la coerenza della finalità del trattamento originario o la sua finalità di utilizzo meramente personale.

Anche su questo aspetto l’accountability dei vari soggetti coinvolti è fondamentale: tutti gli attori devono responsabilizzarsi e giustificare le scelte effettuate, senza che tale attività di valutazione sfoci in un sindacato di legittimità indebito delle attività di altri titolari e degli interessati stessi (la richiesta della portabilità della casella di posta elettronica sicuramente conterrà dati personali anche di terzi, ma se finalizzata all’utilizzo di gestori alternativi sarebbe lecita.

Il titolare originario, avendo correttamente informato l’interessato, non dovrebbe rifiutare una richiesta in tal senso temendo – immotivatamente – trattamenti illeciti da parte del gestore alternativo scelto dall’interessato).

In merito al formato dei dati da trasmettere, i dati devono essere in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Le linee guida in materia specificano come interpretare questa indicazione normativa: non si tratta di garantire la compatibilità con i sistemi informatici del titolare ricevente, ma garantire che i dati trasmessi siano standardizzati con sistemi aperti e corredati di metadati puntuali che ne permettano la comprensione.

Su questo tema stanno nascendo diversi consorzi e associazioni che hanno quale obiettivo quello di proporre standard aperti e condivisi per agevolare l’interscambio di dati, pertanto sarà interessante vederne i futuri sviluppi.

Certamente la futura condivisione di standard non potrà essere usata per giustificare oggi il mancato rispetto normativo: l’invio di screenshot in formato JPEG dei dati personali di un interessato forniti allo stesso nel momento in cui abbia richiesto la portabilità è sicuramente censurabile come modalità, sebbene qualche titolare stia operando in questo modo.

Tempistiche e costi

In merito alle tempistiche di evasione delle richieste di portabilità, spesso si parla di un limite di un mese di tempo elevabile a tre mesi complessivi per riscontrare eventuali richieste. Tuttavia l’art. 12, co. 3 del GDPR impone di dare riscontro «senza ingiustificato ritardo», individuando solo residualmente il termine di un mese eventualmente prorogabile di ulteriori due mesi.

Una gestione tempestiva delle richieste sarebbe auspicabile, oltre che in linea con le richieste del legislatore europeo. Anche in tal senso, prevedere sistemi di automazione (magari integrando API per facilitare l’interscambio di dati) parrebbe essere una strada vincente nel medio periodo.

Anche in relazione agli eventuali costi da addebitare agli interessati, l’art. 12 citato vieta l’addebito di costi, salvo la dimostrazione – incombente sul titolare – del carattere manifestamente infondato o ripetitivo delle richieste.

Naturalmente la valutazione in merito alla natura eccessiva delle richieste deve essere valuta nel caso concreto e riferita al singolo interessato, mai al numero complessivo di interessati che hanno esercito i loro diritti, come chiarito anche nelle linee guida in tema di portabilità.

Conclusioni

Il diritto alla portabilità dei dati personali è un diritto giovane, che ancora sta cercando di trovare pieno riconoscimento nella pratica quotidiana.

Tuttavia il GDPR è oramai applicato da un anno e mezzo, dunque è necessario che i titolari predispongano degli strumenti idonei per garantire l’esercizio anche di questo diritto. Alcuni problemi sono ancora aperti: recentemente – durante un incontro con gli stakeholders in tema di esercizio dei diritti previsti dal GDPR organizzato dall’European Data Protection Board – diversi rappresentanti di società chiamate ad applicare il GDPR hanno evidenziato dei problemi applicativi e dei dubbi su come effettivamente permettere l’esercizio dei diritti degli interessati.

Ad alcuni di questi dubbi potrebbe essere possibile dare risposta già sulla base delle linee guida esistenti e delle posizioni dei garanti europei, come – ad esempio – sul tema dell’identificazione degli interessati nel momento in cui questi vogliano esercitare un loro diritto, di cui ho provato a dare un breve cenno poco sopra.

Nel futuro il concetto di portabilità del dato sarà ancora più importante, come ricordato anche nelle “Linee guida e raccomandazioni di policy” per i Big Data pubblicate a luglio congiuntamente dall’Autorità Garante della Concorrenza e del Mercato, dal’Autorità per le Garanzie nelle Comunicazioni e dal Garante per la Protezione dei Dati Personali, che suggeriscono l’estensione del meccanismo della portabilità a dati ulteriori rispetto a quelli personali, “prevedendo una disciplina della portabilità dei dati, che favorisca lo sviluppo della competizione nei vari ambiti di valorizzazione economica del dato e, di conseguenza, una più efficace tutela del consumatore-utente”[6].

Sarà fondamentale proseguire cercando di utilizzare un approccio pragmatico rispetto alla gestione dei dati personali avendo cura, da un lato, di tutelare effettivamente gli interessati e rispettare la normativa e, dall’altro, di applicare scelte logiche e sostenibili nell’affrontare le problematiche che dovessero emergere, senza preconcetti e con la consapevolezza che nuovi diritti talvolta richiedono nuove e coraggiose soluzioni per poterli garantire effettivamente.

NOTE

[1] WP 242 rev.01 del Working Party 29, avallate dall’European Data Protection Board con l’Endorsement 1/2018

[2] Decisione dell’autorità garante austriaca DSB-D123.901/0002-DSB/2019 del 31.7.2019

[3] ICO – Guide to the General Data Protection Regulation (GDPR), FAQ What about requests made on behalf of others?

[4] DPC – ‘Can I talk to the account-holder?’ – Contacting organisations on behalf of someone else

[5] Cfr. in tal senso, tra gli altri, l’art. 98, comma 1 D.Lgs. n. 30/2005 e l’art. 1, co. 1 lett. i) del Regolamento CE n. 772/2004

[6] “Linee guida e raccomandazioni di policy” per i Big Data pubblicate dall’Autorità Garante della Concorrenza e del Mercato, dall’Autorità per le Garanzie nelle Comunicazioni e dal Garante per la Protezione dei Dati Personali

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4