GUIDA NORMATIVA

Portabilità dei dati: ecco gli impatti sui sistemi aziendali e come gestirli

Fra i nuovi diritti introdotti dal GDPR vi è quello sulla portabilità dei dati. Ma tale diritto è veramente innovativo e, in particolare, la sua implementazione è veramente così impegnativa? Ecco come ottemperare correttamente a questo importante adempimento

18 Feb 2022
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Il GDPR ha introdotto, fra i nuovi diritti, quello sulla portabilità dei dati. La motivazione di tale scelta è abbastanza comprensibile e ricalca una tendenza che in settori specifici, come quello delle banche (con la portabilità dei prodotti) è in atto da anni: si vuole favorire la concorrenza permettendo agli utenti di un servizio di cambiare fornitore senza avere il problema di poter trasferire i propri dati.

Ma tale diritto è veramente innovativo e, in particolare, la sua implementazione è veramente così impegnativa? Facciamo chiarezza.

Diritto alla portabilità dei dati: la lettura del GDPR

L’articolo 20 del GDPR, Diritto alla portabilità dei dati, prevede al comma 1:

1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Inoltre, lo stesso articolo impegna il titolare del trattamento a inoltrare i dati verso un altro titolare, ma ovviamente lo impegna anche nell’essere pronto a ricevere dati da altri titolari; questo secondo aspetto non verrà considerato in questo articolo.

2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.

Il diritto di cui all’articolo 20 non è assoluto, ma è condizionato, per quanto attiene alla tipologia di dati per i quali è possibile chiedere il trasferimento, da una serie di condizioni:

a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e

b) il trattamento sia effettuato con mezzi automatizzati.

Quanto è innovativo il diritto alla portabilità dei dati

Al riguardo si sono spese molte parole su quando quindi sia effettivamente possibile chiedere la portabilità dei dati e quali dati siano effettivamente “portabili”.

È evidente che il tentativo di inquadrare e limitare il più possibile tali dati è legato all’ipotetico impego tecnico ed economico necessario per poter soddisfare tale diritto.

Ma è proprio così? È così innovativo tale diritto?

In realtà, per quanto attiene la comunicazione dei dati direttamente all’interessato o ad un altro titolare del trattamento il nuovo diritto, dal punto di vista prettamente tecnico e organizzativo, non introduce alcuna reale innovazione.

Il GDPR prevede infatti, all’articolo 15 Diritto di accesso dell’interessato, che:

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento.

In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

In altre parole, a differenza dell’articolo 20 che limita la trasmissione di dati all’interessato (o ad altro titolare del trattamento) di un sottoinsieme dei dati trattati dal titolare, l’articolo 15 prescrive che il titolare trasmetta all’interessato tutti i suoi dati, senza alcuna eccezione.

Inoltre, anche nel caso dell’articolo 15 tali dati devono essere forniti solitamente in un formato elettronico di uso comune.

Per quale motivo, quindi, si perde tempo a definire quali dati l’interessato ha diritto di ottenere ai sensi dell’art. 20, visto che in ogni caso ai sensi dell’art. 15 un titolare del trattamento deve comunque comunicarli tutti?

Se un titolare deve implementare qualche misura tecnica od organizzativa per adeguarsi all’art. 20 (ad eccezione della definizione del formato di comunicazione dei dati) da evidenza del fatto che non è in grado di rispondere alle richieste dell’articolo 15.

Ma a differenza dell’articolo 20 che è innovativo, l’articolo 15 esiste ormai, nelle sue varie formulazioni, da 25 anni.

Come adeguarsi al GDPR

Il tema del presunto adeguamento al GDPR è stato ripreso più volte in precedenti miei articoli e quindi non verrà ulteriormente approfondito. Si ricorda unicamente che parlare di adeguamento quando una prescrizione normativa è in vigore da decine di anni è decisamente controproducente per il Titolare e, a tutti gli effetti, un’autodenuncia.

La 675/96 recitava:

Art. 13. Diritti dell´interessato

1. In relazione al trattamento di dati personali l´interessato ha diritto:

a) di conoscere, mediante accesso gratuito al registro di cui all´articolo 31, comma 1, lettera a), l´esistenza di trattamenti di dati che possono riguardarlo;

b) di essere informato su quanto indicato all´articolo 7, comma 4, lettere a), b) e h); c) di ottenere, a cura del titolare o del responsabile, senza ritardo:

1) la conferma dell´esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile dei medesimi dati e della loro origine, nonché della logica e delle finalità su cui si basa il trattamento; la richiesta può essere rinnovata, salva l´esistenza di giustificati motivi, con intervallo non minore di novanta giorni;

Mentre per quanto attiene il D.lgs. 196/03 la normativa recitava:

Art. 7. Diritto di accesso ai dati personali ed altri diritti

1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

Quindi, se tutti questi articoli e in particolare l’articolo 15 del GDPR prescrivono che l’interessato possa accedere a tutti i suoi dati per quale motivo preoccuparsi ed attrezzarsi per poterne fornirne solo un sottoinsieme?

È evidente che se anche in base all’articolo 20 si forniscono tutti i dati che riguardano l’interessato sicuramente non si rischia di fare delle scelte, relativamente ad un sottoinsieme di dati, che in ogni caso potrebbero essere contestate.

Nella comunicazione dei dati personali all’interessato va ricordato che sia per l’articolo 15, sia per l’articolo 20, sono fatti salvi i diritti di terzi e quindi è necessario evitare di comunicare informazioni che riguardino soggetti diversi rispetto all’interessato che ha richiesto il diritto di accesso; questo è particolarmente evidente ad esempio, nel caso in cui il diritto di accesso riguardi dati video registrati.

L’articolo 20 prescrive che il formato con cui devono essere comunicati i dati deve essere strutturato, di uso comune e leggibile da dispositivo automatico, ma nulla vieta che tale formato sia utilizzato anche per comunicare i dati ai sensi dell’articolo 15.

Quanto sopra evidenzia che se si è effettivamente in grado di rispondere alle richieste dell’articolo 15, si è in grado di rispondere all’articolo 20. Quindi, nulla di innovativo.

Ma quali sono i dati a cui può accedere un interessato ai sensi dell’articolo 15? Come già anticipato tutti quelli che lo riguardano.

In realtà, l’elenco di tali dati è oggetto di comunicazione all’interessato ben prima della sua richiesta ai sensi dell’articolo 15.

Infatti sebbene l’informativa rilasciata all’interessato ai sensi dell’articolo 13 non obbliga il titolare del trattamento a indicare quali siano le singole tipologie di dati trattati, essendo questi raccolti direttamente presso l’interessato, questi ne conosce in gran parte la natura.

L’informativa rilasciata all’interessato ai sensi dell’articolo 14 riguarda viceversa tutte le altre tipologie di dati che riguardano l’interessato trattate dal titolare del trattamento.

Tutti quelli cioè elaborati direttamente dal titolare del trattamento o quelli raccolti presso terzi e quindi che non siano stati ottenuti presso l’interessato.

L’articolo 14 richiede che siano indicate nelle informative almeno le categorie di dati personali che lo riguardano.

In realtà, è molto difficile che un titolare del trattamento non tratti contemporaneamente dati sia raccolti presso l’interessato, sia elaborati direttamente o raccolti presso terzi, per cui normalmente viene rilasciata una sola informativa ai sensi degli articoli 13 e 14.

Conclusioni

Dal punto di vista prettamente normativo non è previsto in alcuna parte della normativa che sia formalizzato l’elenco dei dati trattati; nemmeno il Registro delle attività di trattamento prevede che siano elencati analiticamente i dati trattati.

Tuttavia senza una dettagliata mappatura dei dati trattati, e della loro collocazione, non si è in grado di rispettare le prescrizioni previste non solo dal GDPR, ma dalla 675/96, di ben 25 anni fa.

Si tratta quindi di uno dei numerosi adempimenti, non esplicitamente richiesti, in assenza del quale non è possibile rispettare la normativa.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3