Privacy: diritto alla portabilità dei dati
A ciascuno di noi sarà capitato di bloccarsi all’improvviso, sulla scia dell'entusiasmo compulsivo dell'acquisto di un nuovo dispositivo elettronico, in preda all'interrogativo su come trasferire i dati disponibili dal vecchio al nuovo strumento: la rubrica, l'agenda, la messaggistica; ma anche il tracciato delle nostre spese periodiche con la carta di credito oppure il nostro modello di consumo energetico possono rappresentare un ostacolo al passaggio dal vecchio al nuovo fornitore, se rischiamo di perderli, perché l'informazione per noi “vale” più del prodotto o servizio che la contiene, condizionando le nostre scelte di consumo.
Per queste ragioni il nuovo diritto alla portabilità dei dati personali, riconosciuto dal Regolamento comunitario che diventerà applicativo dal 25 maggio 2018, è un ponte lanciato tra le due sponde contigue della riservatezza e del consumo. La portabilità è il diritto dell'utente a veder trasferiti (a “portare”) i propri dati personali dalla piattaforma del precedente fornitore a quella del nuovo da lui indicato, oppure anche di riceverne copia in formato tale da poterli facilmente utilizzare in proprio.
Un importante diritto per il singolo cittadino, ma anche per l'utente consumatore che vede abbattersi alcune significative barriere alla propria libertà di scelta commerciale.
Di recente il Garante della privacy, che come le altre autorità indipendenti degli Stati membri dell'Unione siede al tavolo del Gruppo di lavoro europeo sulla protezione dei dati, ha pubblicato la versione italiana di questo materiale sul proprio sito web istituzionale. L'occasione offre lo spunto per un'analisi di dettaglio.
Caratteristiche del diritto alla portabilità
Il diritto alla portabilità costituisce un nuovo diritto riconosciuto agli interessati dal Regolamento generale sulla protezione dei dati personali, cosiddetto Gdpr (articolo 20), e che funge da complemento al diritto di accesso.
Tramite il diritto alla portabilità l'interessato può ricevere i dati personali che lo riguardano in un formato tale da consentire l'interoperabilità con altri sistemi di propria scelta (senza quindi imporre al vecchio fornitore obblighi di compatibilità tecnica). Di conseguenza, il diritto alla portabilità non presuppone necessariamente che i dati vengano trasferiti ad altro fornitore, potendo l'interessato limitarsi a conservarli su un proprio dispositivo di memorizzazione. Ciò consente al consumatore di mantenere il controllo sulle proprie informazioni e di poter scegliere se cambiare fornitore senza subire ostacoli derivanti dal trasferimento dei propri dati.
Come seconda opportunità, il diritto consente all'interessato di ottenere dal fornitore originario la trasmissione dei dati ad altro fornitore ricevente di propria scelta. Per rendere effettiva questa possibilità, il Gruppo raccomanda l'utilizzo di strumenti di trasmissione da parte del fornitore originario (ad esempio, rendendo disponibile un'Api, application programming interface) per trasferimenti sia verso il fornitore ricevente sia verso l'interessato.
Dal lato di quest'ultimo, l'operazione potrà essere effettuata avvalendosi di un sistema di archiviazione in cui riversare i dati ricevuti oppure dando mandato a una terza parte fiduciaria per le relative operazioni di conservazione dei dati e gestione dell'accesso da parte di terzi (in tal modo facilitando il passaggio dei propri dati personali da un fornitore a un altro). La responsabilità del fornitore originario include l'adozione di misure di sicurezza che attengono ad una trasmissione sicura, mentre nulla gli può essere imputato per il trattamento operato dall'interessato o dal fornitore ricevente.
Il diritto alla portabilità deve essere esplicitato nell'informativa privacy, ponendo in evidenza, in modo chiaro e conciso, la distinzione con il consanguineo diritto di accesso privacy. Il Gruppo raccomanda che il fornitore originario, anche in base al principio di correttezza, rammenti nuovamente al consumatore l'esistenza di tale diritto prima della chiusura del proprio conto (ad esempio nei rapporti bancari o con fornitori di servizi di comunicazione o di energia). L'obbligo di informativa concerne anche il fornitore ricevente il quale dovrà esplicitare al cliente le finalità del proprio utilizzo dei dati ricevuti e quali dati personali siano effettivamente rilevanti per il trattamento da lui posto in essere.
Il diritto alla portabilità può essere soddisfatto solo fintanto che il fornitore abbia in essere un trattamento di dati personali dell'interessato che soddisfi i requisiti previsti per il suo esercizio. Il soddisfacimento del diritto alla portabilità non implica un'estensione del periodo di conservazione dei dati (cioè esso può essere esercitato solo entro i limiti temporali necessari per il perseguimento da parte del fornitore dell'originario fine per cui era entrato in possesso dei dati).
Il fornitore che riceve i dati personali su indicazione dell'interessato deve accertarsi che essi siano pertinenti e non eccedenti e deve conformarsi agli altri principi e requisiti della normativa facenti capo al titolare del trattamento. Solo il perseguimento a opera del fornitore “ricevente” di una finalità analoga o compatibile con quella originaria consentirà di evitare il rischio di un “secondary use” col conseguente obbligo in capo ad esso, in caso di cambio di scopo, del rinnovo degli adempimenti di legge.
Analogamente, se l'operazione di portabilità dovesse necessariamente comportare il trasferimento al nuovo fornitore anche di dati personali di terzi (ad esempio la lista dei contatti, dati di traffico in entrata o in uscita), previa verifica di pertinenza ed essenzialità degli stessi, occorrerà che il loro utilizzo da parte dell'interessato prosegua per propri fini personali, in quanto tale finalità esula dall'ambito applicativo del Regolamento. In tal modo, il trattamento dei dati personali di terzi da parte dell'interessato non sarà soggetto alla disciplina del Gdpr e, quindi, sarà sicuramente legittimo.
Il diritto alla portabilità è legato a specifiche condizioni.
•Il trattamento originario deve trovare la propria giustificazione giuridica nel consenso dell'interessato oppure nella necessità di eseguire un contratto di cui è parte l'interessato e
•Il trattamento deve essere effettuato con mezzi automatizzati.
Oggetto del diritto alla portabilità
Il diritto alla portabilità riguarda solo i dati personali del consumatore interessato e non anche quelli di terzi; questi ultimi possono essere oggetto di portabilità solo se strettamente connessi ai dati personali dell'interessato e in quanto risultino essenziali per il soddisfacimento del diritto.
Il consumatore può ottenere la portabilità dei propri dati personali solo se sono stati forniti da lui stesso: come nel caso di dati rilasciati con interviste o compilando moduli o anche lasciando tracce con il proprio comportamento, registrate dal fornitore. Rimangono esclusi da questo ambito, invece, le informazioni desunte dal fornitore e riconducibili all'interessato: come valutazioni, risultati di algoritmi, profilazioni generate dal fornitore. Per queste ultime informazioni, pertanto, il consumatore non gode del diritto alla portabilità.
Nel dare esecuzione ad una richiesta di portabilità il fornitore “rispondente” non deve violare diritti di terzi, sia quelli relativi ad eventuali dati personali di terzi sia riguardo ad eventuali privative derivanti da diritti di proprietà industriale o intellettuale.
In parallelo, l'esercizio del diritto alla portabilità non pregiudica l'esercizio di altri diritti “privacy” riconosciuti all'interessato, tra cui quello di accesso; ognuno di questi potrà essere esercitato anche cumulativamente fintanto che il fornitore effettua il trattamento dei dati.
Il fornitore che riceve la richiesta deve identificare l'interessato come persona legittimata all'esercizio del diritto, avvalendosi di un sistema di autenticazione. Il fornitore non può esimersi dal soddisfare la richiesta che sia giuridicamente fondata, salvo che essa risulti manifestamente infondata o eccessiva (specie per il suo carattere ripetitivo). Questa eccezione va interpretata in modo restrittivo. Il riscontro, che è gratuito, va fornito entro 1 mese, estensibile a 3 mesi in caso di particolari complessità che vanno motivate all'interessato entro il primo mese.