Il Garante per la protezione dei dati personali richiama l’attenzione degli operatori sulle finalità e l’impatto del nuovo diritto alla portabilità dei dati, alla luce delle linee guida del gruppo di lavoro, stante l'art. 29 in materia.
Il Garante per la protezione dei dati personali con una brochure informativa illustra la definizione, l’impatto, l’ambito di applicazione e quali sono i vantaggi del diritto alla portabilità dei dati. Il diritto alla portabilità dei dati costituisce un diritto innovativo previsto dall’art. 20 del Regolamento UE 2016/679 che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad un altro titolare del trattamento senza impedimenti. Il nuovo diritto alla portabilità è finalizzato a promuovere il controllo degli interessati sui propri dati personali, facilitando la circolazione, la copia o la trasmissione dei dati da un ambiente informatico all’altro. Il diritto alla portabilità mira, infatti, primariamente a facilitare il passaggio da un fornitore di servizi all’altro e funge, quindi, da fattore di promozione della concorrenza fra i singoli fornitori proprio perché facilita il transito degli utenti dall’uno all’altro di tali fornitori. Il diritto alla portabilità consentirà di creare nuovi servizi nel quadro della strategia per il mercato unico digitale. Il diritto alla portabilità costituisce, secondo il parere del gruppo dei Garanti europei, la possibilità di riequilibrare il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano. La brochure del Garante privacy in materia ha il merito di illustrare in termini chiari cosa consentirà di fare il diritto alla portabilità dei dati ricevere dati personali trattati da un titolare e conservarli su un supporto personale in vista di un utilizzo ulteriore per scopi personali, senza trasmetterli a un altro titolare ad es., recuperare l’elenco dei brani musicali preferiti detenuto da un servizio di musica in streaming, per scoprire quante volte si sono ascoltati determinati brani trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento ad es., un diverso fornitore di servizi . Condizioni. Il Garante ci ricorda che il diritto alla portabilità trova applicazione quando sono soddisfatte tre condizioni 1.i dati personali devono essere trattati attraverso strumenti automatizzati quindi sono esclusi gli archivi cartacei , sulla base del consenso preventivo dell’interessato o per l’esecuzione di un contratto di cui è parte l’interessato 2.i dati personali di cui si chiede la portabilità devono riguardare l’interessato ed essere quelli forniti dall’interessato consapevolmente e in modo attivo ad esempio, i dati di registrazione - indirizzo postale, nome utente, età, ecc. - inseriti compilando un modulo online . Sono compresi anche i dati generati e raccolti attraverso le attività dell’utente che fruisce di un servizio o utilizza un dispositivo. Il diritto alla portabilità non si applica invece ai dati personali che sono derivati o dedotti dalle informazioni fornite dall’interessato ad esempio il profilo-utente creato analizzando i dati grezzi di un contatore intelligente , poiché non si tratta di dati forniti dall’interessato bensì creati dal titolare del trattamento. 3.l’esercizio del diritto alla portabilità non deve ledere i diritti e le libertà altrui. Ad es., se l’insieme dei dati trasferiti su richiesta dell’interessato contiene dati personali che riguardano altre persone fisiche, il nuovo titolare deve trattarli solo in presenza di un’idonea base giuridica. Portabilità e accesso. Le linee guida del Gruppo di lavoro art. 29 sottolineano come il diritto alla portabilità si differenzi dal diritto di accesso ai dati pur essendo quest’ultimo strettamente connesso ed evidenziano come l’esercizio del diritto di accesso previsto dalla direttiva sulla protezione dei dati 95/46/CE sia, a differenza del diritto alla portabilità, vincolato al formato che il titolare decide di utilizzare per fornire le informazioni richieste. Le linee guida del Gruppo art. 29 approfondiscono il profilo degli strumenti per la portabilità e specificano che i titolari sono chiamati a offrire diverse modalità di realizzazione del diritto alla portabilità dei dati. Per esempio, dovrebbero consentire all’interessato di scaricare direttamente i dati, ma anche di trasmettere i dati direttamente a un altro titolare ad esempio attraverso il ricorso a un’API Application Programming Interface , interfaccia di programmazione di un’applicazione . Gli interessati potrebbero anche voler ricorrere a servizi di deposito e memorizzazione dei dati personali o a un terzo fiduciario, in modo da conservare i dati mettendoli a disposizione di singoli titolari di trattamento in base a quanto necessario così da semplificare il trasferimento dei dati da un titolare all’altro. Obbligo di informazione. Le linee guida richiamo l’attenzione degli operatori sull’obbligo di informare gli interessati dell’esistenza del diritto alla portabilità dei dati nei termini previsti dagli artt. 13, paragrafo 2, lett. b e 14, paragrafo 2, lett. c del regolamento europeo. I titolari devono fornire i dati personali all’interessato senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta iniziale. Le linee guida suggeriscono come buona prassi di riportare la tempistica normalmente applicabile alla gestione delle richieste di portabilità e di informare, sul punto, gli interessati. Nel caso di diniego alla richiesta di portabilità i titolari devono indicare i motivi dell’inottemperanza e la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale. Le linee guida evidenziano come i titolari dovrebbero prevedere una procedura di autenticazione in modo da stabilire con certezza l’identità dell’interessato che chiede i propri dati personali. Le linee guida sottolineano come i titolari dovrebbero fornire, unitamente ai dati, quanti più metadati possibili al migliore livello possibile di granularità, così da preservare la semantica specifica delle informazioni oggetto di scambio. Le linee guida richiamano l’attenzione degli operatori sulle misure di sicurezza necessarie a garantire la trasmissione sicura dei dati personali per esempio attraverso la crittografia al destinatario corretto. Il diritto alla portabilità costituisce una profonda sfida sia per le imprese sia per gli stessi cittadini che dovrebbero essere sensibilizzati sull’impiego di idonei formati e opportune misure di crittografia al fine di tutelare egli stesso i dati ricevuti a seguito di una richiesta di portabilità.