Portabilità dei dati personali: fisionomia di un nuovo diritto
Tra le novità introdotte dal Regolamento UE n. 2016/679 (acronimo italiano: RGPD), ossia dal cd. “Regolamento privacy europeo”, c’è il diritto alla portabilità dei dati personali.
L’istituto è stato recentemente oggetto di linee guida europee, aggiornate da ultimo il 5 aprile 2017. Di che cosa si tratta, a chi si applica, qual è il termine per adeguarsi?
Il diritto consiste nell’ottenere dal titolare del trattamento una copia dei propri dati personali in un formato strutturato di uso comune (e interoperabile), leggibile da un dispositivo automatico. Consiste altresì nel diritto che tale copia sia trasmessa direttamente a un nuovo titolare di trattamento, possibilità questa del tutto peculiare nell’attuale panorama dei diritti dell’interessato.
L’attenzione al formato interoperabile e di uso comune è funzionale all’agevole riuso dei dati. Infatti, obiettivo fondamentale appare quello di favorirne il più possibile la mobilità.
In definitiva, si assolve contemporaneamente a un’esigenza di tutela dei dati personali, poiché viene rafforzato il controllo dell’interessato, e, indirettamente, a una facilitazione della concorrenza e del libero mercato. La migrazione a un diverso fornitore di servizi è resa infatti più agevole dall’eliminazione di blocchi tecnico-giuridici, cd. “lock-in”.
Qualche esempio pratico mutuato dalle linee guida aiuta a mettere meglio a fuoco la portata applicativa del nuovo istituto.
Si potrà per esempio ottenere la portabilità di una playlist di brani musicali da un fornitore in streaming (sempre che la conservi) o il complesso strutturato dei propri dati personali conferiti in un social network (comprensivi evidentemente dei post, delle reazioni, delle fotografie, ecc.) o le email di un servizio di posta elettronica o il complesso di transazioni svolte attraverso una banca online o i libri acquistati da un fornitore in rete.
Va detto che la pretesa di ottenere una copia di questi dati personali (ma non di trasmetterla a terzi) è astrattamente azionabile già oggi attraverso il diritto d’accesso, tuttavia il nuovo diritto costituisce uno strumento dedicato, agevole, orientato all’interoperabilità, alla mobilità e al riuso.
Ad esempio, è fortemente suggerito nelle linee guida europee ai fornitori (ancorché non normativamente prescritto nel Regolamento) di dotarsi di funzioni per il download automatico dei dati strutturati o per la trasmissione sicura in streaming, di sviluppare API per la portabilità, di implementare filtri che consentano all’interessato una portabilità selettiva.
Considerato questo approccio pragmatico e tenuto conto del vasto campo di applicazione territoriale del Regolamento, tendenzialmente globale (cfr. art. 3 RGPD), il nuovo diritto sembra destinato a incidere concretamente anche sulla percezione quotidiana della tutela dei dati personali e del controllo personale su di essi.
Quanto alle condizioni per l’esercizio del nuovo diritto, esse sono più circoscritte di quelle del diritto di accesso, che continuerà peraltro a sussistere.
Ad esempio, non si potrà chiedere la portabilità alle pubbliche amministrazioni e ai soggetti che trattano i dati per obbligo di legge o nell’esercizio di pubblici poteri.
Fondamentalmente, condizione necessaria per valersi del diritto alla portabilità è che il conferimento dei dati personali sia avvenuto o in base a un contratto, anche gratuito (ad es., quello con un fornitore di webmail o di social network), o in base al consenso al trattamento dei dati personali, in definitiva perciò soltanto all’interno di rapporti su base volontaria.
Va precisato che l’obbligo giuridico di dare attuazione alla portabilità non riguarda soltanto grandi fornitori di servizi online, come negli esempi fatti, ma qualsiasi titolare di trattamento soggetto al Regolamento, dunque anche il professionista individuale o il piccolo studio, purché venga in considerazione l’utilizzo di strumenti automatizzati.
Giova notare che, per quanto ciò possa apparire incongruo, l’esistenza del diritto non comporta automaticamente l’onere di dotarsi di sistemi tecnicamente compatibili con quelli del titolare ricevente, di permettere il download o la selezione dei dati personali. Viene cioè lasciata una certa spontaneità nella concreta attuazione tecnica, pur restando fermo che va garantita l’interoperabilità dei formati e conservata la ricchezza degli elementi informativi trattati (es., non appare appropriata la conversione di email in pdf).
Forse sarebbe stato più ragionevole introdurre un obbligo di idonea dotazione tecnologica, rapportandolo tuttavia alla massa economica e organizzativa del titolare del trattamento, in modo da sgravare completamente di oneri le realtà minori ma da introdurre obblighi stringenti per strutture di grandi dimensioni.
Anche rispetto all’oggetto, ossia ai dati personali portabili, il nuovo diritto insiste su un’area più ristretta di quella su cui si esercita il diritto di accesso. In particolare sono portabili i soli dati generati direttamente dall’interessato, anche in modo involontario e non consapevole.
Sono cioè incluse tanto le informazioni che questi fornisce volontariamente (es., i campi compilati di un formulario, il contenuto di un messaggio email o di un post) quanto la traccia della sua navigazione online, la sua geolocalizzazione, la storia delle ricerche effettuate o, supponiamo, i suoi parametri corporei misurati da un dispositivo di wellness portatile.
Sono invece esclusi i dati personali elaborati da terzi o quelli valutativi. Il profilo di un consumatore estratto da un determinato fornitore non sarà dunque portabile, ma resterà accessibile comunque all’interessato valendosi dell’apposito diritto.
Va da sé che, soprattutto in realtà complesse, garantire l’attuazione efficiente del nuovo istituto della portabilità implica programmare e riorganizzare per tempo i sistemi interni, separando dati personali portabili e non, rispettare criteri di formato ed effettuare controlli di qualità su informazioni trasmesse e modalità di trasmissione.
Nelle linee guida europee è stata inoltre meglio chiarita la posizione del titolare ricevente. In particolare, è fermo il divieto, in assenza di idoneo consenso, di usare i dati ricevuti per arricchire altre informazioni eventualmente già in possesso del ricevente, per esempio informazioni su soggetti terzi o per elaborarne di nuove. Sarebbe stata gradita anche qualche riflessione sulle modalità concrete in cui il ricevente renderà informativa agli eventuali terzi interessati.
In termini di sicurezza, occorre osservare che l’estrema facilità di trasporto di un complesso di dati strutturati, che spesso riflette interi settori di relazione interpersonale esige un’adeguata protezione tecnologica, perché viene raccolta e resa mobile e facilmente fruibile (dunque anche vulnerabile) una mole strutturata di informazioni potenzialmente idonee a racchiudere porzioni significative dell’identità personale e delle coordinate di vita dell’interessato.
Da ultimo: quali sono i termini per adeguarsi al nuovo istituto? Esso dovrà essere pienamente operativo a decorrere dal 25 maggio 2018.
Alle richieste di portabilità dell’interessato il titolare del trattamento dovrà fare fronte (al più tardi) entro un mese dal ricevimento, prorogabile, con congrua motivazione, di ulteriori due, quindi entro un termine massimo (nei casi più complessi) di tre mesi. I Garanti europei richiamano comunque l’attenzione sull’osservanza di procedure celeri.
A cura di: Enrico Pelino
Enrico Pelino è avvocato del foro di Bologna, DPO e co-fondatore dello studio legale Grieco Pelino Avvocati. Da sempre cultore dell’intersezione tra diritto e tecnologia, ha conseguito un dottorato di ricerca in diritto dell’informatica presso l’Università di Bologna, e quindi collaborato con associazioni del settore. Attualmente è fellow dell’Istituto Italiano per la Privacy e la valorizzazione dei dati (IIP) e componente del comitato tecnico-scientifico di Anorc Professioni. È altresì nella lista degli Esperti costituenti il “Support Pool” dell’EDPB (European Data Protection Board). Autore di numerosi articoli in riviste specializzate in materia di diritto digitale, invited speaker in primarie conferenze, ha svolto docenze in master per università ed enti di alta formazione. Per l’editore Giuffrè ha curato e scritto, assieme a colleghi di primo livello nazionale, volumi monografici e commentari in materia di protezione dei dati personali e disciplina della società dell’informazione: Il Regolamento Privacy Europeo (2016), Codice della Disciplina Privacy (2019); Privacy e libero mercato digitale (co-autore, 2021); Digital Services Act e Digital Markets Act (2023); Codice commentato della privacy (2024).
