Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

PRIVACY

Portabilità dati in cerca di standard: le condizioni per aprire il mercato

Il diritto introdotto dal GDPR punta a spingere la concorrenza dando agli utenti la possibilità di gestire le proprie informazioni. Ecco tutti i passaggi previsti per una corretta applicazione e i nodi interpretativi

13 Feb 2020
Arianna Ciracò

Avvocato, Privacy&GDPR Expert, DPO


Il diritto alla portabilità dei dati è una norma di carattere innovativo, introdotta per la prima volta con il regolamento europeo 2016/679 (art.20) per rispondere all’esigenza di approntare nuove forme di tutela dell’identità personale a seguito dell’avvento di internet e al diffondersi dei servizi della società dell’informazione.

L’art.20 del GDPR mira a tutelare i dati personali, incrementando il potere di controllo dell’interessato, ma è anche una norma a favore della libera circolazione, con potenziali effetti anti lock-in. In particolare, la previsione riconosce all’interessato il diritto di ricevere, in un formato strutturato di uso comune e leggibile da dispositivi automatici, i dati personali che lo riguardano e da lui forniti ad un titolare del trattamento. In tal modo l’interessato potrà ricevere i dati e memorizzarli su un dispositivo nella propria disponibilità, in vista di un successivo utilizzo personale. Ciò esprime la volontà del legislatore europeo di agevolare la gestione diretta e consapevole dei dati da parte degli utenti.

La norma consente, altresì, all’interessato di trasmettere i propri dati ad altro titolare, senza subire impedimenti da parte del primo. In questo meccanismo si sostanzia la libertà di circolazione, di copia e di trasferimento dei dati da un ambiente informatico all’altro.

Infine, il legislatore riconosce la possibilità che l’interessato ottenga la trasmissione diretta dei propri dati da un titolare all’altro, sempre che ciò sia tecnicamente fattibile.

Portabilità dei dati, ambiti di applicazione

L’ambito di applicazione della portabilità è circoscritto ai trattamenti automatizzati (quindi non si applica agli archivi o registri cartacei) ed ai soli trattamenti basati sul consenso ovvero sul contratto. Possono essere oggetto di trasmissione i dati forniti dall’interessato in modo diretto (quali quelli forniti in occasione della compilazione di un form) o indiretto (ad esempio per la fruizione di un servizio); non ricadono nella portabilità i dati inferenziali e derivati, poiché frutto di una rielaborazione spesso automatica[1] effettuata dal titolare sulla base dei dati forniti dall’interessato (ad esempio valutazioni o punteggi sull’affidabilità creditizia).

Le faq allegate alle linee guida in materia rammentano ai titolari l’obbligo di informare gli interessati in forma chiara, trasparente, facilmente accessibile ed in modo intellegibile e di indicare loro quali categorie di dati possono essere oggetto di tale diritto. Inoltre, quale migliore prassi, i titolari dovrebbero rendere agli interessati un’informativa completa sulla natura dei dati personali pertinenti ai fini della prestazione del rispettivo servizio.

Inoltre, la portabilità deve lasciare impregiudicati gli altri diritti previsti agli artt. da 15 a 22. Così, l’esercizio pregresso o successivo del diritto in commento non può essere utilizzato dal titolare quale giustificazione di un rifiuto o del ritardo nel dare seguito ad eventuali richieste di cancellazione dei dati, di opposizione o di accesso.[2] E’ bene che il titolare sappia che la portabilità non comporta la cancellazione automatica dei dati conservati nei propri sistemi, né incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione.

Le procedure preliminari da attivare

Già da questo inquadramento generale si comprende quanto sia importante realizzare un assetto organizzativo che consenta al titolare di prendere in carico, gestire e rispondere alle richieste degli interessati ed all’esercizio dei diritti. Proprio l’art.12 del regolamento impone ai titolari di adottare “misure appropriate” a tal fine. Pertanto, in attuazione del principio di accountability, il titolare dovrebbe elaborare procedure interne (e tenerne traccia) che conferiscano effettività ai principi del Gdpr e che siano idonee a garantire una esaustiva evasione delle richieste avanzate.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Pertanto, l’elaborazione di una procedura è il punto di partenza. In primo luogo, in essa dovranno essere indicati il o i soggetti interni alla organizzazione cui demandare la gestione delle istanze. Sarà, quindi, opportuna la determinazione di un referente (appositamente indicato nell’organigramma privacy e debitamente incaricato, in forza del combinato disposto di cui agli artt.29 Gdpr e 2-quaterdecies d.lgs 196/2003), cui attribuire la gestione delle richieste di esercizio dei diritti. Laddove il titolare abbia provveduto alla nomina del DPO, quest’ultimo potrà essere contattato dagli interessati per tutte le questioni relative al trattamento dei loro dati (art.38.4 Gdpr).

Dal momento che il regolamento impone al titolare di assicurarsi che il DPO sia tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati riferiti all’organizzazione, qualora l’esercizio di un diritto avvenga mediante una richiesta pervenuta ad un soggetto interno, essa dovrà essere trasmessa al DPO. Il consiglio è quello di documentare l’esatta ricezione delle comunicazioni, sia interne che esterne, mediante l’adozione di soluzioni tecnologiche che consentano alle parti di essere in grado di dimostrare il compimento di ogni singola azione. Sul punto si ricorda che in ambito telematico trova applicazione la disciplina di cui all’art.45 CAD[3].

In secondo luogo, il titolare dovrà individuare gli indirizzi telematici (o fisici) ove l’interessato dovrà far pervenire eventuali richieste, le tempistiche per la loro evasione, le informazioni necessarie ai fini della identificabilità dell’interessato. A tale ultimo riguardo, per contemperare, da un lato, l’esigenza di esatta identificazione e, dall’altra, il rispetto dei principi di necessità, pertinenza e non eccedenza, il titolare dovrà individuare quali dati o informazioni garantiscano l’identificazione del richiedente. A tal fine sarebbe opportuno elaborare una procedura di autenticazione in modo da stabilire con certezza l’identità del soggetto che effettua la richiesta.

Nello specifico caso della portabilità sarà, inoltre, opportuno che il titolare effettui, sin da subito, un data mapping per avere consapevolezza delle categorie di dati che possono costituire oggetto del diritto in parola e delle categorie di trattamenti, alla luce di quanto anticipato in ordine all’ambito di applicazione della norma.

Portabilità: la fase operativa

Compiute queste operazioni preliminari, di fronte ad una richiesta di portabilità, il titolare potrebbe fornire un riscontro per fasi, per far comprendere all’interessato che l’organizzazione ha preso in carico la sua richiesta e che si sta occupando di evaderla. A tal fine è consigliabile che il titolare tenga un registro delle richieste di esercizio dei diritti, in modo che, nel corso di evasione della pratica, egli abbia sotto controllo l’iter e, una volta evasa, sia in grado di dimostrare l’adempimento, sia in punto di modalità esecutive che di tempistiche utilizzate. Il registro sarà, altresì, importante per documentare gli eventuali dinieghi alle richieste di esercizio dei diritti. Infatti, in caso di inottemperanza, il titolare ha l’onere di informare senza ritardo l’interessato (e al più tardi entro un mese dal ricevimento della richiesta), indicando i motivi e la possibilità di proporre reclamo ad un’autorità di controllo e di proporre ricorso giurisdizionale.

Passando agli aspetti di carattere tecnico operativo, il WP29 chiarisce che il riscontro all’esercizio della portabilità dovrà avvenire mediante lo stesso strumento con cui gli interessati hanno effettuato la richiesta, fornendo tutte le informazioni relative all’azione intrapresa, senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta (salva la possibilità di proroga in casi eccezionali).

Le faq allegate alle linee guida precisano, inoltre, che i titolari del trattamento dovrebbero, in primo luogo, offrire agli interessati la possibilità di effettuare direttamente il download delle informazioni mettendo a disposizione degli stessi interessati un’interfaccia di programmazione di applicazioni. Inoltre, i titolari dovrebbero fornire, unitamente ai dati, quanti più metadati possibile ed al miglior livello di granularità, in modo da preservare la semantica specifica delle informazioni oggetto di scambio.

Come “restituire” i dati al cittadino

Il WP29 aggiunge che “i titolari dovrebbero esplorare e valutare due approcci diversi e complementari per mettere a disposizione degli interessati o di altri titolari dati che siano portabili: la trasmissione diretta dell’intero insieme di dati portabili (o di più estratti di parti del set complessivo di dati) o l’utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti. Nell’implementare i due approcci diversi e complementari sopra indicati, al fine di fornire i dati portabili volta per volta pertinenti, si possono prevedere varie metodologie: l’utilizzo di messaggistica sicura, di un server SFTP, di una WebAPI o di un WebPortal sicuri. Al fine di conservare i dati personali e consentire ai singoli titolari di accedervi e trattarli nei modi necessari, gli interessati dovrebbero avere la possibilità di utilizzare un personal data store, ossia un servizio di deposito per i propri dati personali, un sistema per la gestione delle informazioni personali ovvero altri meccanismi basati sulla presenza di ‘terzi fidati’”.

Infine, come anticipato, la disposizione consente all’interessato di richiedere al titolare il trasferimento diretto dei dati ad altro titolare, salvo il limite della fattibilità tecnica. Tale ultima condizione è inscindibilmente connessa al tema del formato dei dati ed al concetto di interoperabilità, che viene evidenziato nel considerando 68[4] e non nella norma. Tale circostanza conduce gli interpreti ad interrogarsi se le caratteristiche indicate dall’art. 20 (formato strutturato, di uso comune e leggibile da dispositivi automatici) debbano essere integrate dal requisito in parola. Il WP29 svolge, su tale punto, un’approfondita analisi, affermando chiaramente che l’interoperabilità debba rappresenta l’obiettivo ultimo. E, a riprova di ciò, afferma che “il Gruppo di lavoro sostiene con forza la ricerca di forme di collaborazione fra i produttori e le associazioni di categoria al fine di sviluppare un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto alla portabilità dei dati”.

Sul tema è meritevole di segnalazione il Data Transfer Project lanciato nel 2018 grazie ad una partnership tra Apple, Facebook, Google, Microsoft e Twitter, i quali hanno pubblicato un “white parer” reperibile al seguente indirizzo: https://datatransferproject.dev/dtp-overview.pdf.

L’intento perseguito è quello di creare un servizio open source, una piattaforma per consentire la portabilità in modo che gli interessati, attraverso il suo utilizzo, possano facilmente trasferire i propri dati tra diversi providers di servizi. I partecipanti al programma credono che la portabilità e la interoperabilità dei sistemi siano centrali per realizzare l’innovazione. Inoltre, rendere più semplice la scelta tra i servizi da parte degli individui facilita la concorrenza, consentendo loro di provare nuovi servizi individuando l’offerta più adatta alle loro esigenze.

Cos’è il Data Transfer Project

Sul sito si legge, infatti: “Individuals should be able to easily transfer their files and data directly between online service providers. Data Transfer Project (DTP) extends data portability beyond downloading a copy of your data from your service provider, to providing consumers the ability to directly transfer data in and out of any participating provider. Data Transfer Project is an open source initiative to encourage participation of as many providers as possible. DTP will enhance the data portability ecosystem by reducing the infrastructure burden on both service providers and users which should in turn increase the number of services offering portability. The protocols and methodology of DTP enable direct, service-to-service data transfer with streamlined engineering work[5]”.

Da un punto di vista operativo, il DPT è costituito da “un ecosistema di adattatori di dati (data adopters) e di adattatori di autenticazione (authentication adopters): essi esistono al di fuori dell’infrastruttura principale di un fornitore di servizi e possono essere scritti dal fornitore stesso o da terze parti che desiderano abilitare il trasferimento dei dati da e verso un fornitore”. In sostanza i data adopters sono stringhe di codice che permettono di realizzare la compatibilità tra il sistema del fornitore e l’ambiente DTP. Mentre gli authentication adopters sono anch’essi stringhe di codice, le quali consentono di tradurre un sistema di autenticazione di un fornitore nel sistema utilizzabile da DPT[6].

Il DTP appare, dunque, un buon esempio di applicazione pratica dei principi del Gdpr. Si tratta di capire se e in che misura progetti del genere verranno adottati dai titolari del trattamento e da quali categorie di titolari. Ciò poiché è sempre importante ricordare che la norma nasce con l’obiettivo di incentivare la concorrenza, dunque, maggior diffusione avranno progetti del genere, maggior effettività potrà essere garantita al diritto alla portabilità.

Note

  1. Per un’ampia disamina sul tema si vedano le linee guida n.242/2012 del Working Party 29 sul diritto alla portabilità
  2. Passaggio riportato nelle Faq allegate alle linee guidWP29 n.242/2012
  3. Art.45 c.2 CAD “Il documento informatico trasmesso per via telematica si intende spedito dal mittente se inviato al proprio gestore, e si intende consegnato al destinatario se reso disponibile all’indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore”.
  4. Cfr. Considerando 68: “Per rafforzare ulteriormente il controllo sui propri dati è opportuno anche che l’interessato abbia il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmetterli a un altro titolare del trattamento. È opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. Tale diritto dovrebbe applicarsi qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto. Non dovrebbe applicarsi qualora il trattamento si basi su un fondamento giuridico diverso dal consenso o contratto. Per sua stessa natura, tale diritto non dovrebbe essere esercitato nei confronti dei titolari del trattamento che trattano dati personali nell’esercizio delle loro funzioni pubbliche. Non dovrebbe pertanto applicarsi quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili. Qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati personali non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento. Inoltre tale diritto non dovrebbe pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al presente regolamento e non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto. Ove tecnicamente fattibile, l’interessato dovrebbe avere il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro”.
  5. “Le persone dovrebbero essere in grado di trasferire facilmente i propri file e dati tra i fornitori di servizi online in modo diretto. Il Data Transfer Project (DTP) estende il diritto alla portabilità consentendo ai consumatori la possibilità di trasferire direttamente i dati in entrata ed in uscita da qualsiasi fornitore partecipante, oltre a consentire di scaricare una copia dei dati dal proprio fornitore di servizi. Il progetto Data Transfer è un’iniziativa open source per incoraggiare la partecipazione del maggior numero possibile di provider. DTP migliorerà l’ecosistema della portabilità dei dati riducendo l’onere dell’infrastruttura sia per i fornitori di servizi che per gli utenti, il che dovrebbe a sua volta aumentare il numero di servizi che consentono la portabilità. I protocolli e la metodologia di DTP consentono il trasferimento diretto dei dati da servizio a servizio con un lavoro di ingegneria semplificato”
  6. Davide Stefanello Iusitinere https://www.iusinitinere.it/il-diritto-alla-portabilita-analisi-e-applicazioni-di-un-diritto-innovativo-20798

@RIPRODUZIONE RISERVATA

Articolo 1 di 4