I dati devono essere forniti “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” (art. 12.3 GDPR).
In tal modo le persone possono spostarsi da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all’interno di un servizio).
Disposizione normativa
Il diritto alla portabilità dei dati è stato introdotto dal Regolamento europeo 679/2016 all’art. 20, il quale afferma che:
1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); b) il trattamento sia effettuato con mezzi automatizzati. 2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile […] |
Il diritto alla portabilità, in poche parole, è il diritto di ricevere i dati da parte di un titolare del trattamento al quale sono stati precedentemente forniti, per poterli scambiare in un formato strutturato e comune, promuovendo la libera circolazione.
I dati soggetti alla portabilità
Il diritto riguarda i dati “forniti” dall’interessato. Quindi, è limitato ai soli dati personali, non si applica ai dati anonimi, ma si applica invece ai dati pseudonimi essendo questi ultimi chiaramente collegati ai dati personali.
Quando si applica la portabilità
La portabilità dei dati deve essere garantita quando il trattamento dei dati è basato sul consenso oppure su un contratto di prestazione di servizio.
Requisiti per l’interoperabilità
Obbligo del Titolare del trattamento ricevente
Perché il diritto alla portabilità può essere inteso come un diritto incompleto?
Gli impedimenti che il titolare potrebbe utilizzare per stoppare o rallentare il processo, possono essere di natura giuridica, tecnica, o finanziaria.
Il vero problema, difatti, è che il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non comporta l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento dei dati tecnicamente compatibili e ciò rende parziale e non completo il diritto alla portabilità.
Proprio su tale punto, Google, Facebook, Twitter e Microsoft, hanno collaborato per creare un’applicazione, Data Transfer Project, che ha il fine ultimo di strutturare un ecosistema dedicato alla portabilità dei dati.
Il Regolamento, inoltre, non contiene delle indicazioni specifiche sul formato dei dati da fornire per esercitare il diritto alla portabilità. La diversità tra i settori di attività, rende difficile trovare dei formati idonei a garantire la portabilità. Se non vi sono formati comuni in un determinato contesto, allora, i titolari dovrebbero utilizzare dei file in formati aperti (es. XML) per favorire la libera circolazione e non creare impedimenti alla portabilità.
Il tema della portabilità è legato al concetto di proprietà del dato. Quando si dà il consenso al trattamento dei dati, verosimilmente si perde parte della proprietà.
Facciamo un esempio: se inizialmente sono io (persona fisica ipotetica) il “proprietario” dei dati personali, nel momento in cui li fornisco, dietro consenso scritto, ad un titolare del trattamento, i “proprietari” diventano due, e se li volessi trasferire ad un altro titolare del trattamento, diventeremmo tre proprietari in quanto non si applica l’articolo 17 del GDPR (Diritto alla cancellazione ed all’oblio).
Il comma quattro dell’articolo 20 del GDPR stabilisce che non devono essere lese le libertà altrui. Thomas Jefferson diceva:“Chi riceve un’idea da me, ricava conoscenza senza diminuire la mia; come chi accende la sua candela con la mia riceve luce senza lasciarmi al buio. Condizione che può riguardare: l’interessato che vuole ricevere i propri dati in formato automatizzato; il titolare che deve adempiere a tale richiesta; ed il soggetto al quale i dati sono trasmessi.
Esempio Facebook
Cosa succede se si vogliono prendere quei dati e trasferirli ad un’altra parte? La domanda che ci dobbiamo porre è, sono io il proprietario di quei dati o è Facebook (nella persona del legale rappresentante)?
La risposta sembrerebbe scontata e ovvia, tutti siamo portati a pensare, in prima battuta, che il proprietario dei dati è la persona che li ha forniti a Facebook, ma siamo sicuri che Facebook la pensi così?
Esempio Smartphone – Android versus Apple
Altro esempio che ci fa capire come il Diritto alla portabilità sia incompleto, è il caso degli smartphone. Se utilizziamo uno smartphone Android, Google mi dà la possibilità di trasferire la mia rubrica, le mie foto, e tutti i miei dati su qualunque altro dispositivo, mentre se utilizziamo uno smartphone Apple, allora questa funzione non è più disponibile, ma possiamo trasferirli solo su dispositivi dello stesso genere.
Conclusione
L’amara conclusione che possiamo trarre è che già adesso non siamo più proprietari dei nostri dati. Oggi è già possibile sapere quando una persona ha effettuato una telefonata, dove si trovava quando l’ha effettuata, e questo anche dopo mesi o anni, magari quando il cellulare utilizzato non esiste più.
Sei interessato ad approfondire il tema della portabilità dei dati nella tua attività? I nostri consulenti privacy sono a tua disposizione! Contattaci al più presto!