Prendi il controllo: il diritto alla portabilità dei dati personali nel GDPR

Una delle novità più interessanti introdotte dal GDPR riguarda il diritto alla portabilità dei dati personali che, nel quadro di attuazione del digital single market, intende promuoverne e potenziarne la circolazione tra diversi provider di servizi online.

Il diritto alla portabilità rappresenta uno strumento straordinario sia per gli interessati, che vedono potenziate le loro facoltà di controllo sui propri dati, sia per i provider, che possono beneficiare del nuovo sistema introdotto dal GDPR per competere sul mercato.

Ma quali sono i nodi cruciali che i Titolari devono considerare nell’ambito dell’adeguamento al GDPR?

In cosa consiste il diritto alla portabilità?

L’articolo 20 GDPR dispone che:

l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti […]

Il diritto alla portabilità si sostanzia dunque in due distinte facoltà per l’interessato: quella di ricevere i propri dati personali per conservarli su sistemi privati e quella di trasmettere i dati ricevuti ad un altro Titolare del trattamento “senza impedimenti“, cioè a dire senza che il Titolare dal quale i dati provengono possa creare ostacoli alla trasmissione (quali sistemi di lock-in).

La trasmissione dei dati personali direttamente tra Titolari del trattamento è obbligatoria se “tecnicamente fattibile”, non comportando cioé l’obbligo di adottare o mantenere sistemi di trattamento tecnicamente compatibili.

Quali sono i dati personali portabili?

L’art. 20(1) GDPR dispone che il diritto alla portabilità riguarda solamente i dati che riguardano l’interessato o che siano stati forniti da quest’ultimo e trattati sulla base (i) del consensodell’interessato o (ii) di un contratto del quale l’interessato è parte.

Il diritto alla portabilità, inoltre, presuppone che il trattamento venga “effettuato con mezzi automatizzati”, non trovando applicazione con riferimento ad archivi o registri cartacei.

L’art. 20(4) GDPR prevede infine una regola generale a chiusura del sistema del diritto alla portabilità, sancendo che esso “non deve ledere i diritti e le libertà altrui”.

Quali sono, a livello generale, gli adempimenti per conformarsi alla normativa?

Per adeguarsi alle disposizioni in materia di portabilità, ciascun Titolare del trattamento deve:

– implementare procedure specifiche volte a consentire e facilitare agli interessati l’esercizio il diritto alla portabilità. È di fondamentale importanza disciplinare in maniera puntuale i doveri e le responsabilità degli eventuali Responsabili del trattamento che, ai sensi dell’articolo 28 GDPR, devono essere contrattualmente obbligati ad assistere “il titolare del trattamento con misure tecniche e organizzative adeguate (…) nel dare seguito alle richieste di esercizio dei diritti dell’interessato”;

– definire contrattualmente, in caso di contitolarità del trattamento, le responsabilità attribuite a ciascun contitolare in relazione a ciascuna richiesta di portabilità;

– adattare le proprie informative indicando espressamente, tra i diritti dei quali l’interessato deve essere informato, anche quello alla portabilità dei dati.

Quali sono le tempistiche che il Titolare del trattamento deve rispettare per dare seguito alle richieste di portabilità degli interessati?

Come previsto dall’articolo 12(3) GDPR, anche in caso di esercizio del diritto alla portabilità il Titolare deve fornire le “informazioni relative all’azione intrapresa […] senza ingiustificato ritardo […] entro un mese dal ricevimento della richiesta”, oppure entro tre mesi in casi di particolare complessità.

Quale formato deve essere utilizzato per il trasferimento dei dati?

L’articolo 20(1) GDPR dispone che i dati devono essere forniti “in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.

Il GDPR non fornisce alcuna previsione espressa circa il formato da utilizzare per la portabilità dei dati personali. Tuttavia, le linee guida del WP29 (ora EDPB) suggeriscono l’adozione di formati aperti di impiego comune (ad es. XML, JSON, CVS, etc.), unitamente a metadati utili, al miglior livello di granularità e con un elevato livello di astrazione.

Quali misure di sicurezza deve adottare il Titolare del trattamento per la trasmissione dei dati?

È specifico onere del Titolare adottare tutte le misure di sicurezza necessarie a garantire la trasmissione corretta e sicura dei dati personali (ad esempio, utilizzando modalità di autenticazione “forte” e implementando un sistema di crittografia end-to-end).

Il Titolare deve, inoltre, implementare tutte le misure di mitigazione del rischio che si dovessero rendere necessarie in relazione al caso concreto (quali ad esempio, il congelamento della trasmissione in caso di sospetta compromissione dell’account, o meccanismi di autenticazione tramite token in caso di trasferimento da un Titolare all’altro).

Quali sono le sanzioni in caso di inosservanza?

Fermo restando il risarcimento del danno e le misure di divieto di trattamento di dati personali fino a che non si sia posto rimedio alla situazione di non conformità, il mancato rispetto delle previsioni in materia di diritto alla portabilità può comportare l’irrogazione di una sanzione amministrativa fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Marco Galli