Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

i nuovi diritti

Portabilità dei dati nel GDPR: cosa significa e cosa implica questo nuovo diritto

Tra i nuovi diritti introdotti dal GDPR, anche quello alla portabilità dei dati. Vediamo cosa comporta, quali sono la logica e il contesto in cui opera e gli scenari che potranno aprirsi anche in relazione ai big data e alla data analysys

13 Lug 2018

Franco Pizzetti

professore ordinario di Diritto Costituzionale - Facoltà di Giurisprudenza Università di Torino


La portabilità dei dati è uno dei nuovi e importanti diritti introdotti con il GDPR. I “nuovi diritti” sono legati alle sfide che la rapidità dell’evoluzione tecnologica e lo sviluppo della globalizzazione comportano per la protezione dei dati personali (Considerando 6).

Proprio allo scopo di far fronte a queste nuove sfide e sviluppo delle tecnologie il Regolamento individua questi “nuovi diritti”, non presenti nella Direttiva 95/46. Uno di questi, su cui finora non si è posta abbastanza attenzione, è appunto quello della portabilità dei dati. 

Che cos’è il diritto alla portabilità dei dati con il Gdpr

Il diritto alla portabilità dei dati consente a chiunque sappia che i suoi dati sono oggetto di trattamenti automatizzati compiuti dal titolare del trattamento, o col suo consenso o per contratto, di chiedere che i dati da lui forniti siano trasmessi, senza impedimenti, o a sé stesso o ad altro titolare da lui indicato, utilizzando un formato “strutturato, di uso comune e leggibile da dispositivo automatico”.

Assolve a due scopi:

  • aumentare il controllo dell’interessato sui suoi dati
  • facilitare la loro trasmissione ad un altro titolare

Vediamo di seguito di che si tratta e l’impatto che può avere su noi tutti.

I “nuovi diritti” introdotti dal GDPR

Fra i nuovi diritti del Gdpr merita elencare:

  • il diritto alla cancellazione disciplinato dall’art. 17, che si estende al dovere del titolare, che abbia resi pubblici dati personali, di adottare misure ragionevoli, anche tecniche, per informare chi sta trattando tali dati della richiesta di cancellare qualsiasi link, copia o riproduzione;
  • il diritto di limitazione del trattamento di cui all’art. 18, nel caso in cui l’interessato non chieda la cancellazione né si opponga al trattamento ovvero quando l’interessato possa averne bisogno anche oltre le finalità del titolare;
  • il diritto di opporsi in qualunque momento, per motivi connessi alla propria situazione particolare, a trattamenti fondati su alcune specifiche basi di legittimità, quali la necessità di eseguire compiti di interesse pubblico o connessi all’esercizio di pubblici poteri del titolare del trattamento, ovvero sul legittimo interesse (cfr. art.21 e richiamo a art. 6, paragrafo 1, lettere e) ed f).

Sono tutti “nuovi diritti” che si comprendono bene solo se si tiene conto di quanto previsto dall’art. 1 e dai Considerando 6 e 7, che chiariscono oltre ogni ragionevole dubbio che il Regolamento ha un triplice obiettivo:

  • innalzare la tutela del diritto di cui all’art. 8 della Carta di Nizza;
  • favorire la libera circolazione dei dati;
  • stimolare lo sviluppo dell’economia digitale consolidando la fiducia dei cittadini.

Ciascuno dei diritti indicati, infatti, apre nuove frontiere alla tutela dei dati personali, consentendo all’interessato un’ampia tastiera di possibilità al fine di rafforzare la propria tutela, estendendola anche alle nuove forme di circolazione dei dati nella società digitale (il nuovo diritto alla cancellazione) o per modulare le richieste sulla base delle sue esigenze specifiche (il diritto alla limitazione dei trattamenti e il diritto di opposizione). In altre parole, grazie ai “nuovi diritti”, l’interessato non è più costretto nelle maglie, ormai diventate troppo rigide, del tradizionale diritto di accesso, di rettifica e di cancellazione dei dati come definiti nella Direttiva 95/46. Non a caso, del resto, anche il diritto di accesso è nel GDPR assai più dettagliato di quanto non accadesse nella Direttiva e si estende anche a specifiche richieste nei casi in cui i dati non sono raccolti presso l’interessato o con riguardo ai trattamenti automatizzati con effetto decisionale.

L’analisi dei nuovi diritti non può tuttavia essere fatta in modo astratto e meccanico, quasi che il risultato del Regolamento consista essenzialmente nell’aver aumentato “l’arsenale dei diritti”.

Nuovi diritti e legittimità dei trattamenti

Il riconoscimento di molti di essi in capo all’interessato dipende dalle basi di legittimità dei trattamenti invocate dal titolare. Cosi, ad esempio, il diritto alla portabilità dei dati sussiste solo se i dati sono trattati col consenso dell’interessato (art.6, 1, lettera a) o sulla base di un contratto (art. 6,1, lettera b). Esso è, invece, escluso se il trattamento avviene per l’esecuzione di un compito pubblico o connesso all’esercizio di pubblici poteri (art. 20,3). Di qui la connessione strettissima fra “nuovi diritti” e obbligo di dare all’interessato informative che rendano esplicita la base di legittimità del trattamenti, e lo scopo ultimo in cui, richiamando i Considerando già citati, deve essere inquadrata la nuova normativa.

I “nuovi diritti” non sono, per loro natura, a “portata generica e generale”. Al contrario: sono diritti mirati a presidiare aspetti essenziali della tutela dei trattamenti di dati personali in un quadro che intende stimolare e favorire lo sviluppo della società digitale.

Diritto alla portabilità dei dati, finalità e condizioni

Tra questi “nuovi diritti” un posto centrale è occupato da quello relativo alla portabilità dei dati di cui all’art. 20, al quale è dedicata questa riflessione che tiene conto anche delle Linee Guida adottate dal Working Party il 5 aprile 2017 (WP n. 242 rev.01).

A prima vista potrebbe sembrare che il diritto alla portabilità dei dati sia una sorta di diritto di accesso rafforzato, ma in realtà opera in una logica e un contesto del tutto diversi.

Leggendo questa disposizione, un normale cittadino può chiedersi quanto ampia sia la quantità delle informazioni che, trattate in modo automatizzato, possano essere da lui richieste o che egli può chiedere di trasferire ad altri titolari.

In particolare può pensare che sia possibile ottenere non solo i dati che lui stesso ha forniti, anche in ragione dei comportamenti tenuti nel corso del rapporto col titolare, ma anche le valutazioni che quest’ultimo abbia fatto utilizzando tali informazioni e i risultati valutativi ai quali è pervenuto.

In sostanza può pensare di potere avere anche gli eventuali elementi valutativi che indichino se lui è considerato un cattivo pagatore o se è stato catalogato tra i malati ad alto rischio, o se, in virtù dei suoi comportamenti di guida, è stato considerato da una assicurazione o da altro soggetto che trattati e analizzi legittimamente questi dati, come un guidatore particolarmente pericoloso. Alla stessa maniera, per contro, potrebbe pensare di ottenere anche le valutazioni fatte dal titolare che lo riguardino in modo positivo, per esempio attestandone la qualità di buon pagatore, o quella di bravo guidatore, o quella di malato a basso rischio di malattie.

Ovvio che se le cose stessero in questo modo il diritto alla portabilità dei dati assumerebbe un rilievo molto forte, perché consentirebbe non solo di avere in formato elettronico di uso comune tutti i dati che riguardano una persona, o che questa ha fornito o prodotto nell’ambito del suo rapporto col titolare, ma di avere anche i risultati delle attività di analisi da quest’ultimo svolte, spesso sopportando anche oneri molto rilevanti.

Aspetto, questo, che renderebbe l’attivazione di tale diritto e le risposte da dare particolarmente onerose per i titolari, non solo in ragione dell’obbligo di utilizzare formati di uso comune nel comunicare i dati ma anche, e soprattutto, perché li obbligherebbe a rendere note valutazioni frutto di analisi basate spesso sul ricorso a tecniche Big data e di Data analysis che costituiscono anche un patrimonio di impresa, e talvolta anche il frutto di opere intellettuale, o dell’ingegno, di rilevante valore quali sono gli algoritmi.

L’esercizio di questo diritto potrebbe diventare così anche una via per favorire la crescita di startup che, avvalendosi della portabilità dei dati esercitata a loro favore da parte di clienti di imprese più strutturate e più avanti nell’analisi dei dati a fini valutativi, potrebbero accelerare di molto, e con risparmi elevatissimi, la loro capacità competitiva.

In realtà, invece, il diritto alla portabilità dei dati, pur nuovo e chiaramente orientato a favorire la massima circolazione dei dati, e quindi lo sviluppo della società digitale e la concorrenza, non arriva fino a questo punto. Esso incontra, infatti, alcuni limiti specifici che giova analizzare da vicino, anche tenendo conto del quadro complessivo dei diritti previsti dal Regolamento.

Da un lato, aumenta il controllo degli interessati sui loro dati perché consente non solo di conoscere quali siano quelli trattati dal titolare (diritto di accesso) ma anche, e soprattutto, di ricevere i dati richiesti in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.

Inoltre, l’esercizio di questo diritto consente di chiedere che, senza alcun impedimento, i dati siano trasferiti a un altro titolare, indicato dall’interessato.

E’ evidente dunque che esso ha almeno due finalità importanti:

  • aumentare il controllo dell’interessato sui suoi dati;
  • facilitare la loro trasmissione ad un altro titolare.

Questa seconda finalità è particolarmente importante al fine di favorire la libera circolazione dei dati e lo sviluppo dell’economia digitale anche favorendo la concorrenza fra i diversi fornitori di servizi.

Va sottolineato anche, però, che questo diritto può essere esercitato a due condizioni.

  • La prima, che il trattamento dei dati di cui si chiede la portabilità sia basato sul consenso di cui all’art. 6, paragrafo 1, lettera a) e art. 9, lettera a) ovvero su un contratto;
  • La seconda, il trattamento sia effettuato con mezzi automatizzati.

Perché parliamo di “nuovo diritto”

Dunque non si tratta affatto di un diritto riconosciuto a tutti gli interessati. Esso è strettamente legato ai trattamenti automatizzati tipici della società digitale, ed è per questo che costituisce una innovazione importante ed è giusto qualificarlo come un “nuovo diritto” anche in senso sostanziale.

Non si tratta di un diritto nuovissimo giacché, sia pure in termini leggermente diversi e limitatamente ai servizi della società dell’informazione, era già previsto dalla Direttiva e-privacy 2002/58/CE e successive modificazioni rispetto ai provider telefonici.

La novità, però, è che ora questo diritto può riguardare qualunque trattamento automatizzato di dati.

Tuttavia, proprio perché ora esso è così ampio, l’art. 20 fissa due limiti specifici: che i trattamenti si svolgano o sulla base del consenso ex art. 6 e 9, o sulla base del contratto. Restano esclusi i trattamenti che abbiano una diversa base di legittimità tra quelle previste dall’art. 6 e, in particolare, quelli previsti dall’art. 20, 3.

Il diritto di chiedere la portabilità dei dati impone comunque anche uno specifico onere ai titolari, che sono tenuti ad adottare modalità informatiche che si basino su formati strutturati, di uso comune e leggibili.

Limiti e ostacoli all’attuazione del diritto alla portabilità

Un onere a cui i titolari devono adempiere con attenzione anche perché si ricollega a quanto previsto dall’art. 20 paragrafo 2, che prevede il diritto dell’interessato a ottenere la trasmissione diretta dei dati personali da un titolare all’altro, “se tecnicamente fattibile”.

Il WP29, nel riconoscere che il GDPR giustamente non impone alcun formato predeterminato, raccomanda che le scelte relative siano fatte il più possibile di intesa tra stakeholders e utenti, e che associazioni di imprese omogenee promuovano il più possibile l’adozione di formati standard che agevolino l’attuazione di questo diritto.

In ogni caso il solo motivo per il quale un titolare può rifiutarsi di adempiere a quanto previsto dall’art. 20, paragrafo 2, è l’eccessiva complessità tecnica, o addirittura l’impossibilità, di trasferire i dati al titolare indicato dall’interessato.

Poiché però questa norma si collega strettamente all’obiettivo di favorire la libera circolazione dei dati e lo sviluppo dell’economia digitale si deve essere in grado di dimostrare che il mancato adempimento della richiesta non dipende dal formato adottato o dalle modalità digitali di trattamento seguite ma, caso mai, da inadeguatezza o eccessiva complessità dei sistemi digitali di coloro ai quali l’interessato ha richiesto di trasferire i dati.

Portabilità, trasmissione e cancellazione dei dati

Il diritto alla portabilità dei dati non implica affatto, però, che l’interessato indichi sempre a quale altro titolare essi debbano essere trasmessi, né comporta la richiesta di cancellazione dei dati stessi.

Si tratta di un diritto a cui l’interessato può ricorre pur restando immutato il suo rapporto col titolare.

E’ possibile infatti che tali dati possano essere utili all’interessato nell’ambito di un rapporto contrattuale per la fornitura di servizi del tutto diversi da quelli assicurati dal titolare al quale è rivolta la richiesta, così come è possibile che i dati siano chiesti da chi intenda far valere un proprio diritto, o per qualunque altro motivo.

Tuttavia, come si è già detto, il diritto alla portabilità dei dati non può essere esercitato quando il trattamento abbia una base di legittimità diversa dal contratto o dal consenso. Il che impone di ribadire ancora una volta quanto sia importante che il titolare metta a conoscenza dell’interessato, utilizzando l’informativa degli artt. 13 o 14, quale sia la base del trattamento dei suoi dati.

Il paragrafo quattro dell’art. 20 stabilisce anche che l’esercizio del diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui.

E’ questa una condizione specifica che impone un vincolo che può riguardare, a seconda dei casi, l’interessato che chieda di ricevere i propri dati in formato automatizzato, il titolare che deve adempiere a tale richiesta, il soggetto al quale eventualmente l’interessato chieda di trasmettere i dati.

A quali dati si applica la portabilità

Prima di affrontare questo tema è però opportuno precisare che l’art. 20, paragrafo primo, specifica che la portabilità si applica solo ai dati che riguardano un interessato e che sono da questi forniti a un titolare per effettuare trattamenti automatizzati sulla base del consenso o del contratto.

La questione diventa dunque cosa si debba intendere per dati personali che riguardano l’interessato, da un lato; quando essi possano essere ritenuti forniti direttamente dall’interessato stesso, dall’altro.

Ovviamente si tratta innanzitutto dei dati che l’interessato fornisce direttamente su richiesta del titolare e in ragione del consenso prestato o del contratto stipulato. E’ possibile che essi riguardino anche persone terze, come quando l’interessato autorizza a conoscere dati relativi a numeri telefonici della rubrica, messaggi trasmessi via internet o grazie a sistemi VOIP, o i mille altri casi nei quali un dato fornito da un interessato possa coinvolgere anche persone terze.

Ne deriva che, a seguito dell’esercizio del diritto alla portabilità, il titolare potrà trovarsi a dover trasmettere all’interessato, o a altro titolare da questi indicato, anche dati che, riferiti comunque al richiedente, possono riguardare persone terze.

Nello stesso quadro si colloca anche la risposta da dare alla definizione del concetto di dati forniti direttamente dall’interessato.

La tutela dei diritti e delle libertà dei terzi

Il WP29 non ha dubbi nell’affermare che tale concetto si allarga a comprendere anche i dati che il titolare acquisisce sulla base dei comportamenti di quest’ultimo, il che amplia ulteriormente la possibilità nell’ambito della portabilità siano coinvolti anche i dati di terze persone.

Il WP29 precisa in modo esplicito che comunque i dati dei terzi, pur oggetto di portabilità, non potranno essere utilizzati né dall’interessato né dall’eventuale nuovo titolare che li riceva, a meno che vi sia una base specifica, diversa e autonoma, che legittima il loro trattamento e della quale, se non coincide col consenso di cui all’art. 6 lettera a) e 9, i terzi devono essere esplicitamente informati ai sensi dell’art.14.

In altre parole, mentre la portabilità dei dati si estende anche a quelli di terzi purché direttamente connessi alla persona dell’interessato, la loro trasmissione non può, da sola, essere in alcun modo una base autonoma di legittimità del trattamento.

Dati forniti dall’interessato e inferred data

Infine, il fatto che secondo il WP29 il concetto di dati forniti direttamente dall’interessato e a questo direttamente riferibili comprenda anche tutti i nuovi dati che l’interessato genera nell’ambito del rapporto col titolare, obbliga a porsi un ultimo problema.

Ci si deve chiedere, infatti, se in questa luce i dati forniti direttamente dall’interessato siano limitati a quelli derivanti dai suoi comportamenti o dalla sua attività nell’ambito del rapporto col titolare, o ricomprendano, invece, anche quelli che il titolare ricava attraverso un’attività di data analysis che, utilizzando i dati dell’interessato, consenta di catalogarne comportamenti, attitudini, orientamenti: in una parola di profilarlo o di inserirlo in uno o più clusters.

Su questo punto le Linee Guida operano una distinzione sottilissima. Esse ribadiscono che tra i dati “forniti direttamente dall’interessato” sono ricompresi quelli derivanti dalla sua attività nell’ambito del rapporto col titolare. Non rientrano tra i dati forniti direttamente dall’interessato quelli derivanti da una specifica attività svolta in modo autonomo dal titolare usando sistemi di Data analysis.

In sostanza si distingue tra dati forniti dall’interessato, compresi quelli relativi al suo comportamento, e quelli derivanti dall’analisi svolta dal titolare, che vengono definiti inferred data o, in italiano, dati “inferiti”.

Deriva da questa distinzione che i dati “creati” dal titolare non possano formare oggetto del diritto di portabilità proprio perché non sono “forniti direttamente dall’interessato”, anche se possono essere a lui riferiti o riferibili.

In sostanza i dati “creati” dal titolare non sono oggetto del diritto di portabilità proprio perché non sono “forniti direttamente dall’interessato”, anche se possono essere a lui riferiti o riferibili.

Una distinzione che in linea di principio è condivisibile ma che potrà dare luogo a non piccole difficoltà applicative nei casi in cui sia difficile individuare la differenza tra dati prodotti direttamente dall’ interessato coi suoi comportamenti e dati, che pure riguardandolo, sono frutto di una autonoma analisi del titolare.

L’obbligo di considerare diversamente i dati forniti direttamente dall’interessato anche con i suoi comportamenti (dati che sono oggetto di portabilità) e quelli che pur riferendosi a lui, sono frutto di una autonoma analisi del titolare (e dunque non sono oggetto di portabilità), apre a uno scenario amplissimo, direttamente connesso anche ai trattamenti relativi ai Big Data e basati sulla Data analysis.

Il trattamento automatizzato e i grossi interessi in gioco

Queste riflessioni hanno infine un raccordo diretto con un altro “nuovo diritto”, quello relativo al trattamento automatizzato con il Gdpr, senza intervento umano, di dati relativi a persone fisiche, compresa la profilazione e confermano che i “nuovi diritti” sono strettamente connessi non solo al rafforzamento della tutela dei dati personali, ma anche allo sviluppo dell’economia digitale.

Usi automatizzati di dati personali, le nuove tutele per gli utenti

Sono in ballo interessi economici rilevantissimi e la tutela di diritti di primario livello quali la proprietà intellettuale degli algoritmi e la tutela del valore di impresa, che devono trovare un equilibrio non solo con la tutela dei dati ma anche con altri diritti, anche economici, di pari valore, come la libertà di concorrenza che è sottesa al diritto alla portabilità dei dati in quanto finalizzata anche a facilitare la scelta tra fornitori diversi del medesimo servizio.

Per questo è ragionevole dire che il diritto alla portabilità dei dati non è solo un “nuovo diritto” ma un anche, e soprattutto, un diritto “affacciato sul futuro”.

 

Articolo 1 di 3