LA PORTABILITÀ DEI DATI NEL NUOVO REGOLAMENTO EUROPEO 2016/679.
Un nuovo dovere a carico dei titolari di trattamenti di dati personali ed un nuovo diritto previsto a favore degli interessati: vediamone il contenuto, i presupposti, le modalità di attuazione.
Perché occorre parlare di portabilità dei dati e conoscerne il contenuto?
Si avvicina ormai il 25 maggio 2018, data di applicazione in tutti gli Stati membri dell’UE, del Regolamento europeo 2016/679 (o anche GDPR) relativo al trattamento e alla circolazione dei dati personali. Varie le novità introdotte dalla nuova normativa europea che occorre conoscere, sia che si stia dalla parte della persona fisica a cui i dati personali si riferiscono (che acquisisce dei nuovi diritti), sia che trattiamo - per finalità varie - dati personali ricevuti (con speculari nuovi doveri). Tra le novità, una delle principali è sicuramente il “diritto alla portabilità dei dati”, delineato, in particolare, dai considerando 68 e 73 e dall’art.20 del GDPR, chiariti dalle Linee Guida del 13 dicembre 2016 (modificate il 5 aprile 2017), c.d. documento WP 242 (elaborate dal Gruppo di lavoro Europeo denominato WP 29) alla cui lettura integrale, comunque, rinvio (reperibili così come il Regolamento, sul sito del Garante Privacy italiano).
Che cosa è la portabilità dei dati nel GDPR?
In linea generale, la portabilità dei dati è il diritto di un soggetto di ottenere la restituzione dei propri dati personali forniti ad un’azienda o ad un fornitore di servizi on line e di trasmetterli ad un diverso fornitore (social network, fornitori di servizi internet,….) ovvero di chiedere la trasmissione dei dati direttamente da un titolare ad un altro. L’art.20 del GDPR, in particolare, stabilisce che il diritto alla portabilità dei dati è composto da due elementi.
Il primo aspetto della portabilità è “il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano”. Come chiarito dalle Linee guida WP 242, tale conservazione può avvenire su un supporto personale o su un cloud privato, senza comportare necessariamente la trasmissione dei dati a un altro titolare del trattamento. Sempre le WP 242 ci fanno l’esempio dell’interessato che potrebbe voler recuperare l’elenco dei brani musicali preferiti (o ascoltati) detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale; oppure che potrebbe voler recuperare la rubrica dei contatti di posta elettronica su web, magari per costruire una lista degli invitati al proprio matrimonio.
Il secondo elemento della portabilità è “il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”. Sotto questo secondo profilo, il comma 2 dell’art.20 specifica che l’interessato ha “il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.”. Come precisato dalle Linee guida WP 242 su questo punto, il considerando 68 del GDPR promuove lo sviluppo di formati interoperabili da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Pertanto, sempre secondo le Linee guida, occorrerà prestare particolare attenzione al formato dei dati trasmessi in modo da garantire che i dati siano riutilizzabili dall’interessato o da un diverso titolare con un minimo sforzo. Questo aspetto della portabilità dei dati vuole consentire all’interessato di trasmettere i suoi dati a un diverso fornitore di servizi (appartenente allo stesso o a un diverso settore di attività).
Qual è la ratio della portabilità dei dati?
Ce lo dice con chiarezza il considerando 68 del GDPR, che indica la ratio nel “rafforzare ulteriormente il controllo degli interessati sui propri dati”, idea ribadita nelle Linee Guida WP 242. Queste ultime aggiungono anche che “consentendo la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, il diritto alla portabilità rappresenta anche uno strumento importante a supporto della libera circolazione dei dati personali nell’UE e in favore della concorrenza fra i titolari. Questo nuovo diritto faciliterà il passaggio da un fornitore di servizi all’altro e potrà, quindi, favorire la creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale.”.
Quali sono i presupposti del diritto alla portabilità dei dati (e del correlativo dovere)? A quali trattamenti si applica la portabilità dei dati?
Il GDPR indica due presupposti.
Sotto un primo profilo, per rispondere, occorre fare una premessa. Il trattamento dei dati personali, nel GDPR, perché sia lecito, deve basarsi su uno di questi presupposti: il consenso rilasciato dall’interessato; o un contratto; o un obbligo legale; oppure la salvaguardia di interessi vitali dell’interessato o di altra persona fisica; o lo svolgimento di compiti di interesse pubblico connesso all’esercizio di pubblici poteri; oppure, infine, un legittimo interesse del titolare. Il Regolamento europeo non prevede, invero, un diritto generale alla portabilità dei dati di tutti i trattamenti di dati, qualunque sia il loro fondamento tra questi indicati. Al contrario, all’art.20, co.1 prevede che, ai fini della portabilità dei dati, il trattamento si deve essere fondato sul consenso o su un contratto (dunque una delle prime due ipotesi di legittimità su citate). Dunque, ad esempio, ci dicono le Linee guida WP 242 che non sussiste alcun obbligo per gli istituti finanziari di ottemperare a una richiesta di portabilità relativa a dati personali oggetto di trattamento nell’ambito degli obblighi di prevenzione e accertamento del reato di riciclaggio o di altri reati finanziari.
Per quanto attiene al secondo presupposto, il diritto alla portabilità dei dati sussiste esclusivamente se il trattamento è “effettuato con mezzi automatizzati” e non si applica, conseguentemente, alla maggioranza degli archivi o dei registri cartacei.
Quali dati personali devono essere portabili?
Sempre l’art.20 del GDPR ci dice che devono essere portabili i dati personali che “riguardano” l’interessato (quindi, ad esempio, un dato anonimo non ricadrebbe nella fattispecie) e che sono stati da lui “forniti a un titolare del trattamento” (l’WP 242 fa l’esempio delle informazioni inserite in un modulo di registrazione online, come l’indirizzo postale, il nome utente, l’età, ecc., ma anche dei dati derivanti dall’osservazione delle attività svolte da tale interessato, quali, ad esempio, la cronologia della navigazione su un sito web o delle ricerche effettuate; mentre non appartengono a quest’ultima categoria i dati generati dal titolare, utilizzando come input i dati osservati o forniti direttamente, per esempio il profilo-utente creato a partire dall’analisi dei dati grezzi generati da un contatore intelligente).
Vi è qualche altra condizione della portabilità?
La risposta deve essere affermativa, perchè a norma dell’ultimo comma dell’art.20 GDPR - con un’espressione, invero, perlomeno vaga - il diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui. Sul punto, ad esempio, il WP 242 ci dice che il “nuovo” titolare che ha ricevuto dati personali, a seguito della loro portabilità, non può utilizzare i dati riferiti a terzi per le proprie finalità – per esempio, per proporre offerte di marketing e servizi ai suddetti terzi, o per arricchire il profilo dei terzi interessati e ricostruire il loro contesto sociale a loro insaputa e senza il loro consenso
Come si applica concretamente il diritto alla portabilità? Con quale tempistica il titolare deve provvedere? Qual è il formato previsto per i dati?
Innanzitutto, gli articoli 13 e 14 del GDPR prescrivono che i titolari del trattamento di dati personali devono informare gli interessati dell’esistenza di tale diritto e l’WP 242 afferma che, nel dare l’informativa, i titolari devono aver cura di distinguere il diritto alla portabilità da altri diritti (ad esempio il diritto di accesso). Espressamente l’art.20, co.3 GDPR afferma che il diritto alla portabilità dei dati lascia impregiudicato il diritto alla loro cancellazione previsto all'art. 17 del medesimo Regolamento.
Quanto alla tempistica, in base all’articolo 12, paragrafo 3 GDPR, il titolare fornisce “informazioni relative all’azione intrapresa” all’interessato “senza ingiustificato ritardo” e comunque “entro un mese dal ricevimento dalla richiesta” ovvero, in casi di particolare complessità, entro un massimo di tre mesi, purché l’interessato venga informato delle motivazioni di tale proroga entro un mese dal ricevimento della richiesta iniziale.
Il WP 242 suggerisce che “il ricorso a sistemi automatizzati quali le interfacce di programmazione di applicazioni (API, Application Programming Interfaces) può facilitare le interazioni con l’interessato e, quindi, ridurre gli oneri”.
I dati, poi, devono essere trasmessi, a norma dell’art.20 GDPR, “senza impedimenti da parte del titolare cui li hanno forniti” (impedimenti che potrebbero essere rappresentati, secondo il WP, ad esempio, dalla richiesta di un corrispettivo per fornire i dati richiesti, dall’indisponibilità di formati interoperabili, ….). Inoltre, l’articolo 20, paragrafo 2, obbliga il titolare a trasmettere i dati portabili direttamente a un diverso titolare “se tecnicamente fattibile”. Il WP 242 chiarisce che sul piano tecnico, i titolari dovrebbero esplorare e valutare due approcci diversi e complementari per mettere a disposizione degli interessati o di altri titolari dati che siano portabili: - trasmissione diretta dell’intero insieme di dati portabili (o di più estratti di parti del set complessivo di dati); - utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti. Per implementare questi due approcci, il WP suggerisce, poi, varie metodologie, cui rinvio.
Quanto al formato previsto per i dati, l’articolo 20, paragrafo 1, del GDPR stabilisce che i dati personali devono essere forniti “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. Nel considerando 68 si chiarisce ulteriormente che il formato in questione dovrebbe essere “interoperabile”. Come chiarito dalle Linee guida WP 242, l’interoperabilità – peraltro lì meglio definita - è l’obiettivo finale, mentre i termini “strutturato”, “di uso comune” e “leggibile da dispositivo automatico” sono specificazioni dello strumento da utilizzare; e ancora, “qualora non vi siano formati di impiego comune in un determinato settore di attività o in un determinato contesto, i titolari dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio: XML, JSON, CSV, ecc.) unitamente a metadati utili, al miglior livello possibile di granularità, mantenendo un livello elevato di astrazione”.
Ulteriore aspetto, ma non meno importante, da tenere in considerazione è quello della sicurezza della trasmissione dei dati, che il titolare del trattamento deve garantire, valutando i rischi specificamente legati alla portabilità dei dati e adottando idonee misure di mitigazione del rischio (che il WP 242 individua in via esemplificativa quale suggerimento).
Sono previste sanzioni nel caso di violazione della portabilità?
A norma dell’art.83, comma 5 GDPR la violazione dei diritti degli interessati (ivi compreso, quindi, quello alla portabilità dei dati) potrebbe dare luogo a sanzioni amministrative pecuniarie fino a euro 20.000.000,00, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (salvi, comunque, naturalmente, i criteri generali di graduazione delle sanzioni). Non si tratta, dunque, di un obbligo da prendere in scarsa considerazione.
In conclusione. Un’ultima riflessione pare doverosa, che rappresenta anche un auspicio conclusivo del Gruppo di lavoro art.29 che ha redatto le citate Linee Guida: la concreta piena realizzazione del diritto dipenderà dalla elaborazione di standard e formati che garantiscano l’interoperabilità tra sistemi, quale risultato della collaborazione tra i produttori e le associazioni di categoria. Inoltre, da ultimo, si osservi che il legislatore italiano, con la Legge di bilancio 27.12.2017, n.205, al comma 1021, ha previsto che, al fine di adeguare l’ordinamento interno al regolamento europeo, “il Garante per la protezione dei dati personali, con proprio provvedimento da adottare entro due mesi dalla data di entrata in vigore della presente legge: …. b) disciplina le modalità di verifica, anche attraverso l'acquisizione di informazioni dai titolari dei dati personali trattati per via automatizzata o tramite tecnologie digitali, della presenza di adeguate infrastrutture per l'interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, sia ai fini della portabilità dei dati ai sensi dell'articolo 20 del regolamento RGPD, sia ai fini dell'adeguamento tempestivo alle disposizioni del regolamento stesso; ….”. Alla data di chiusura del presente articolo siamo in attesa e staremo a vedere gli sviluppi.