STRUMENTI PRIVACY

Privacy e portabilità dei dati personali: regole e strumenti per gestire le richieste degli interessati

Tra i diritti-privacy delle persone fisiche stabiliti dal GDPR, il diritto alla portabilità dei dati assume particolare rilievo: rispetto all’interessato, in quanto consente di ricevere o trasferire ad altro titolare i propri dati; rispetto al titolare del trattamento, in quanto richiede procedure dedicate e rispettose del principio privacy by design e by default

10 Dic 2019
B
Elvira Boschetti

Avvocato esperta in cybersecurity e privacy - AreaPrivacy

M
Alessandro Marano

Consulente e formatore privacy - Studio Ore9


Una delle novità introdotte dal GDPR (il Regolamento europeo sulla privacy) è il diritto alla portabilità dei dati (art.20).

Il titolare del trattamento è tenuto a informare l’interessato dei propri diritti e, qualora il trattamento dei dati sia avvenuto in modo automatizzato, a mettere a disposizione, a richiesta dell’interessato, i dati personali che riguardano quest’ultimo in un formato strutturato, di uso comune e leggibile da dispositivo automatico entro un termine massimo di 30 giorni.

Inoltre, l’interessato ha il diritto di chiedere al titolare del trattamento – cui ha conferito i dati – laddove sia tecnicamente fattibile, il trasferimento dei suoi dati ad altro titolare, senza impedimenti.

Portabilità dei dati: cosa significa e cosa implica

La richiesta di portabilità dei dati può avvenire se:

  1. il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e
  2. il trattamento sia effettuato con mezzi automatizzati.

Per facilitare lo scambio dei dati tra titolari del trattamento è opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati (nel Considerando 68).

Uno schema utile sul diritto alla portabilità è rappresentato dall’infografica del Garante, che riepiloga i principali elementi delle Linee guida sul diritto alla portabilità dei dati (WP 242 rev.01).

Queste novità hanno dato da fare ad aziende e a studi professionali, generando diversi interrogativi.

Non tratteremo in questa sede il tema del trasferimento dei dati per gli utenti professionali: per questa tematica si rinvia al Regolamento (UE) 2018/1807 (articolo 1 e 6, considerando n. 29, 30, 31).

Portabilità dei dati: come funziona

Consideriamo, di seguito, un esempio pratico: quello di un titolare del trattamento che deve gestire una richiesta di portabilità dei dati personali di un interessato.

La richiesta di portabilità dei dati determina delle attività che possono essere così schematizzate:

  • ricezione della richiesta dall’interessato. Il titolare del trattamento dovrà confermare o meno se vi è un trattamento di dati personali in corso:
  1. in caso affermativo dovrà fornire risposta all’interessato, ove siano soddisfatte le condizioni, sopra citate, per l’esercizio del diritto (consenso – contratto – mezzi automatizzati);
  2. in caso negativo potrà comunicare all’interessato che non esistono dati-trattamenti a suo nome;
  • risposta da fornire all’interessato, che include una serie di informazioni:
  1. le finalità del trattamento;
  2. le categorie di dati personali coinvolte nel trattamento;
  3. i soggetti ai quali sono stati trasferiti i dati;
  4. il periodo di conservazione dei dati;
  5. la possibilità di inoltrare un reclamo (art. 15 GDPR);
  • trasferimento diretto dei dati ad altro titolare: nel caso di trattamenti automatizzati, e dove sia tecnicamente fattibile, l’interessato ha il diritto di richiedere il trasferimento dei dati a un altro titolare.

L’esercizio del diritto alla portabilità dei dati lascia invariata la possibilità di esercitare, contestualmente o in un momento successivo alla richiesta, il diritto alla cancellazione dei dati personali; così come lascia invariata la possibilità di utilizzare il servizio offerto dal titolare dopo la richiesta di portabilità.

Il titolare del trattamento dovrà prestare particolare attenzione circa la legittimità della richiesta; per fare un esempio: in caso di una richiesta via e-mail dovrà chiedere un documento di riconoscimento all’interessato, legare alla richiesta, oppure dovrà aver adottato procedure organizzative e di sicurezza che prevedano una identificazione certa e univoca del richiedente.

Tutto ciò per limitare il rischio che i dati personali siano comunicati o diffusi a soggetti diversi dall’interessato-richiedente.

Il titolare del trattamento, in funzione della quantità di interessati coinvolti e della valutazione del numero potenziale di richieste da dover gestire, potrà avvalersi di procedure manuali o automatizzate.

Portabilità dei dati: gli strumenti

In merito alle procedure manuali dovrà essere predisposta una sequenza di azioni, una procedura, da intraprendere una volta che è stata ricevuta una legittima richiesta di portabilità o di esercizio di un altro diritto (artt. 15-22 del Regolamento).

Una possibile soluzione di tipo “automatizzata”, invece, è quella di creare un’area personale online dell’interessato, una “dashboard”, per facilitare l’esercizio dei diritti previsti dal GDPR, compresa la possibilità di esportazione autonoma dei dati personali conferiti, ad esempio tramite il download di un file PDF con tutti i dati dell’interessato.

A tale scopo, una soluzione online semplice e sicura è quella proposta dall’applicativo web AreaPrivacy, che può essere provato gratuitamente.

Conclusioni

Ricordiamo, per concludere, che per il principio cardine del GDPR di “responsabilizzazione” (o “accountability”), il titolare dovrà poter dimostrare, in caso di controlli, di aver predisposto un modello organizzativo privacy adeguato rispetto alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone fisiche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4