La portabilità dei dati personali acquisisce, nell’attuale “società dell’informazione”, un ruolo non secondario, considerata l’importanza rivestita dai flussi di dati nello sviluppo di ogni settore produttivo e commerciale.
Come sappiamo, i dati – che fino a non molto tempo fa costituivano semplicemente uno strumento funzionale ai traffici commerciali – sono oggi divenuti essi stessi merci e, a tutti gli effetti, beni economici con un proprio intrinseco valore.
Nell’era del web, dell’IoT, dei social network e dei big data, i dati vengono raccolti in grande quantità, digitalizzati, aggregati, combinati, studiati e, soprattutto, venduti e sfruttati economicamente o per altre finalità.
In questo contesto, l’Unione Europea ha correttamente individuato nel diritto alla portabilità uno strumento importante a supporto della libera circolazione dei dati che può favorire in modo significativo la concorrenza nell’economia digitale: questo nuovo diritto intende, infatti, facilitare il passaggio da un fornitore di servizi all’altro, favorendo la creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale.
Nello specifico, l’art. 20 del GDPR prevede che l‘interessato ha diritto di ricevere in un formato:
- strutturato;
- di uso comune;
- leggibile da dispositivo automatico,
i dati personali che lo riguardano forniti ad un titolare del trattamento, senza impedimenti da parte di quest’ultimo; il GDPR prevede addirittura che, se tecnicamente possibile, l’interessato possa ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro.
Il diritto alla portabilità dei dati presuppone che il trattamento:
- si basi sul consenso dell’interessato o
- si basi su di un contratto (ad esempio i titoli dei libri acquistati on-line o la lista delle canzoni ascoltate dall’interessato);
- sia effettuato con mezzi automatizzati (sono esclusi, quindi, archivi e registri cartacei).
Al di fuori di queste ipotesi, non vi è diritto alla portabilità: così, ad esempio, le informazioni assunte ex lege nell’ambito degli obblighi previsti dalla normativa antiriciclaggio non sono soggette alla disciplina dell’art. 20 GDPR.
Il 5 aprile 2017 il WP29 è intervenuto sull’argomento, pubblicando le proprie linee guida (rinvenibili sul sito del Garante Italiano) dove ha evidenziato la problematica – ma cruciale – tematica della interoperabilità dei sistemi: è, infatti, fondamentale che gli operatori trasmettano i dati all’interessato in un formato che permetta il riutilizzo.
Il Legislatore Europeo vuole, così, impedire pratiche di lock-in tecnologico, vietando ai titolari del trattamento di introdurre ostacoli di natura tecnica, giuridica o finanziaria al libero trasferimento.
Ricordo, inoltre, che il diritto alla portabilità non comporta necessariamente la cancellazione automatica dei dati da parte del titolare originario né incide sul periodo di conservazione degli stessi.
Anzi. Se l’interessato chiede la cancellazione dei dati, il titolare non può procrastinare o rifiutare tale richiesta, invocando il diritto alla portabilità dei dati ma, secondo il WP29, qualora l’interessato comunichi di voler chiudere un account, il titolare ha l’obbligo di informare specificatamente l’interessato che, prima della chiusura, può esercitare il proprio diritto alla portabilità, trasferendo i propri dati.
Il WP29 ribadisce, inoltre, che gli unici dati oggetto del diritto alla portabilità sono solamente quelli “forniti dall’interessato”, suggerendo, al riguardo, un’interpretazione estensiva che comprenderebbe:
- i dati forniti consapevolmente e attivamente dall’interessato;
- i dati osservati forniti da un interessato attraverso l’utilizzo di un servizio o l’utilizzo di un dispositivo (in questa categoria ricadrebbero, ad esempio, i dati relativi alla cronologia di ricerche, al traffico, all’ubicazione dell’interessato, etc.)
Il WP29 sottolinea, inoltre, che, nell’informativa rilasciata agli interessati, il titolare del trattamento deve evidenziare il diritto alla portabilità dei dati, distinguendolo chiaramente da quello di accesso e precisando che tale diritto è gratuito.
Secondo alcuni “il diritto alla portabilità richiede significativi oneri e costi in capo agli operatori economici di settore e necessita, per essere adeguatamente assicurato, di un’effettiva e corposa attività di adeguamento delle prassi aziendali”.
Come in altri settori dove tale diritto è stato già da tempo introdotto, è prevedibile che, soprattutto inizialmente, vi possano essere imprenditori tentati di creare complicazioni o ritardi, soprattutto di natura tecnica, per ostacolare l’agevole esercizio di questo nuovo diritto introdotto dal GDPR, allo scopo di frenare gli effetti concorrenziali della norma.
Conosciamo, però, piuttosto bene gli effetti positivi riscontrati nei settori in cui è stata introdotta la portabilità di un servizio/prodotto e quale aiuto possa dare all’imprenditore che si affaccia sul mercato con un prodotto innovativo o meno costoso.
Speriamo, pertanto, che le resistenze allo sviluppo di formati interoperabili abbiano vita breve e che i consumatori possano al più presto avere maggiore libertà di scelta, che si traduce, in conclusione, in servizi migliori a costi inferiori per lo svolgimento delle nostre attività.