GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
16/IT
WP 242 rev. 01
Linee guida sul diritto alla portabilità dei dati
Adottate il 13 dicembre 2016
Versione emendata e adottata in data 5 aprile 2017
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Il Gruppo di lavoro è stato istituito in virtù dell'articolo 29 della direttiva 95/46/CE. È l'organo consultivo indipendente dell'UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva 2002/58/CE.
Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e Stato di diritto) della Commissione europea, direzione generale Giustizia e consumatori, B -1049 Bruxelles, Belgio, ufficio MO59 05/35.
Sintesi
L’articolo 20 del regolamento generale sulla protezione dei dati introduce il nuovo diritto alla portabilità dei dati, che per molti aspetti si differenzia dal diritto di accesso pur essendo a quest’ultimo strettamente connesso. Il diritto alla portabilità dei dati permette agli interessati di ricevere i dati personali da loro forniti al titolare del trattamento, in un formato strutturato, di uso comune e leggibile meccanicamente, e di trasmetterli a un diverso titolare. L’obiettivo ultimo è accrescere il controllo degli interessati sui propri dati personali.
Consentendo la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, il diritto alla portabilità rappresenta anche uno strumento importante a supporto della libera circolazione dei dati personali nell’UE e in favore della concorrenza fra i titolari. Questo nuovo diritto faciliterà il passaggio da un fornitore di servizi all’altro e potrà, quindi, favorire la creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale.
Nel parere si offrono indicazioni sull’interpretazione e sull’attuazione del diritto alla portabilità dei dati introdotto dal regolamento generale sulla protezione dei dati. L’obiettivo è analizzare questo nuovo diritto e il suo ambito di applicazione, chiarendo le condizioni di applicabilità alla luce della base legale del trattamento (consenso dell’interessato o adempimento di obblighi contrattuali) nonché nell’ottica della limitazione relativa ai dati personali forniti dall’interessato stesso. Nel parere si offrono anche esempi concreti e criteri illustrativi dei diversi contesti di applicazione. Al riguardo, il Gruppo di lavoro “Articolo 29” ritiene che il diritto alla portabilità dei dati si configuri rispetto ai dati forniti consapevolmente e in modo attivo dall’interessato nonché rispetto ai dati personali generati dalle attività svolte dall’interessato. Questo nuovo diritto non può essere svuotato di contenuto limitandolo ai dati personali che sono comunicati direttamente dall’interessato, per esempio compilando un modulo online.
Sarebbe buona prassi che i titolari del trattamento iniziassero a mettere a punto gli strumenti che faciliteranno l’esercizio del diritto alla portabilità – per esempio, strumenti per il download dei dati e interfacce di programmazione di applicazioni. A loro spetta garantire che i dati personali siano trasmessi in un formato strutturato, di uso comune e leggibile meccanicamente, e li si dovrebbe invitare a garantire l’interoperabilità dei formati con cui i dati vengono messi a disposizione in ottemperanza a una richiesta di portabilità.
Il parere intende, inoltre, facilitare la comprensione da parte dei titolari del trattamento degli obblighi loro incombenti e presenta una serie di raccomandazioni relative a migliori prassi e agli strumenti che possono essere d’ausilio nell’osservanza del diritto alla portabilità dei dati. Infine, nel parere si raccomanda al mondo imprenditoriale e alle associazioni di settore di collaborare in vista della definizione di un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto alla portabilità dei dati.
I. Introduzione
L’articolo 20 del regolamento generale sulla protezione dei dati (RGPD) introduce il nuovo diritto alla portabilità dei dati. Tale diritto consente all’interessato di ricevere i dati personali forniti a un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Il diritto in questione è soggetto a determinate condizioni e mira a promuovere la libertà di scelta degli utenti, il loro controllo sui trattamenti e i loro diritti.
L’esercizio del diritto di accesso previsto dalla direttiva sulla protezione dei dati (95/46/CE) è vincolato al formato che il titolare decide di utilizzare nel fornire le informazioni richieste. Il nuovo diritto alla portabilità intende promuovere il controllo degli interessati sui propri dati personali, facilitando la circolazione, la copia o la trasmissione dei dati da un ambiente informatico all’altro (che si tratti dei propri sistemi, dei sistemi di soggetti terzi fidati, o di quelli di un diverso titolare del trattamento).
Il diritto in questione offre anche la possibilità di “riequilibrare” il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano(1).
Seppure il diritto alla portabilità possa fungere da fattore di promozione della concorrenza fra i singoli servizi proprio perché facilita il passaggio da un servizio all’altro, il RGPD disciplina il trattamento dei dati personali e non la concorrenza fra imprese. In particolare, l’articolo 20 non limita il novero dei dati portabili a quelli necessari o utili per il transito da un servizio all’altro(2).
La portabilità dei dati è un diritto nuovo; tuttavia, esistono o sono all’esame già oggi altre forme di portabilità in differenti ambiti normativi – per esempio, in rapporto alla risoluzione contrattuale, al roaming nei servizi di comunicazione, e all’accesso transfrontaliero ai servizi(3). Potranno esservi interazioni sinergiche fra le diverse forme di portabilità se implementate in modo congiunto, seguite persino da effetti positivi per i singoli; al contempo, occorre prudenza nell’individuare possibili analogie.
Il presente parere offre indicazioni ai titolari del trattamento ai fini di un aggiornamento delle prassi, delle procedure e delle strategie adottate e chiarisce il significato della portabilità dei dati in modo da permettere agli interessati un utilizzo efficiente di questo nuovo diritto.
II. Quali sono le componenti principali del diritto alla portabilità dei dati?
Il RGPD definisce il diritto alla portabilità dei dati come segue (articolo 20, paragrafo 1):
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti […]
- Il diritto di ricevere dati personali
In primo luogo, la portabilità dei dati comprende il diritto dell’interessato di ricevere un sottoinsieme dei dati personali che lo riguardano trattati da un titolare, e di conservarli in vista di un utilizzo ulteriore per scopi personali. Tale conservazione può avvenire su un supporto personale o su un cloud privato, senza comportare necessariamente la trasmissione dei dati a un altro titolare del trattamento.
In questo senso, il diritto alla portabilità costituisce un’integrazione del diritto di accesso. Un aspetto specifico della portabilità consiste nel suo essere uno strumento con cui gli interessati possono facilmente gestire e riutilizzare dati personali in piena autonomia. I dati in questione devono essere ricevuti “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. Per esempio, un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti (o ascoltati) detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale. Potrebbe anche voler recuperare la rubrica dei contatti di posta elettronica su web, magari per costruire una lista degli invitati al proprio matrimonio, oppure ricavare informazioni sugli acquisti effettuati utilizzando varie carte di fidelizzazione per calcolare la propria impronta ecologica di carbonio(4).
- Il diritto di trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento
In secondo luogo, l’articolo 20, primo paragrafo, dà agli interessati il diritto di trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento “senza impedimenti”. I dati possono essere trasmessi direttamente da un titolare all’altro su richiesta dell’interessato, e ove ciò sia tecnicamente possibile (articolo 20, paragrafo 2). In questo senso, il considerando 68 promuove lo sviluppo di formati interoperabili da parte dei titolari così da consentire la portabilità dei dati(5), ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili(6). Tuttavia, il RGPD vieta ai titolari di creare ostacoli alla trasmissione dei dati.
In sostanza, questa componente del diritto alla portabilità configura per gli interessati la possibilità non soltanto di ottenere e riutilizzare i dati forniti a un titolare del trattamento, bensì anche di trasmettere questi dati a un diverso fornitore di servizi (appartenente allo stesso o a un diverso settore di attività). L’aspettativa è che, oltre ad ampliare il margine di controllo dei consumatori impedendo forme di “lock-in” tecnologico, il diritto alla portabilità dei dati promuova l’innovazione e la condivisione di dati personali fra titolari del trattamento in piena sicurezza e sotto il controllo dell’interessato(7). Il diritto alla portabilità può favorire la condivisione controllata e limitata delle informazioni personali fra più soggetti e, quindi, arricchire l’esperienza dell’utente nella fruizione di determinati servizi(8). La portabilità, inoltre, può favorire la trasmissione e il riutilizzo di dati personali fra più servizi di interesse per il singolo utente.
- Titolarità del trattamento
La portabilità dei dati garantisce il diritto di ricevere dati personali e di trattarli secondo la volontà dell’interessato(9).
I titolari che danno seguito a richieste di portabilità nei termini di cui all’articolo 20 non sono responsabili del trattamento effettuato dal singolo interessato o da un’altra società che riceva i dati in questione. Essi agiscono per conto dell’interessato, anche se i dati personali sono trasmessi direttamente a un diverso titolare. In questo senso, il titolare che dia seguito alla richiesta di portabilità non è responsabile dell’osservanza delle norme in materia di protezione dei dati da parte del titolare ricevente, visto che quest’ultimo non viene da lui selezionato. Al contempo, il titolare cui l’interessato si rivolge dovrebbe prevedere garanzie idonee a far sì che ogni sua attività corrisponda alle richieste dell’interessato stesso; per esempio, potrebbe stabilire procedure atte a garantire che le categorie di dati personali trasmessi corrispondano in pieno a quelle che l’interessato desidera siano trasmesse. A tal fine, si potrebbe chiedere conferma all’interessato prima di procedere alla trasmissione, oppure in un momento antecedente quando viene prestato il consenso iniziale al trattamento ovvero viene perfezionato il contratto.
I titolari che ottemperano a una richiesta di portabilità non hanno alcun obbligo specifico di verificare la qualità dei dati prima di trasmetterli. Naturalmente i dati in questione dovrebbero già rispettare i requisiti di esattezza e aggiornamento conformemente ai principi fissati nell’articolo 5, paragrafo 1, del RGPD. Inoltre, la portabilità non impone al titolare alcun obbligo di conservazione dei dati per un periodo superiore al necessario ovvero ulteriore rispetto a quello eventualmente specificato(10). Soprattutto, non impone alcun obbligo ulteriore di conservazione dei dati personali al solo scopo di adempiere a una potenziale richiesta di portabilità.
Qualora i dati personali oggetto della richiesta di portabilità siano trattati da un responsabile, il contratto stipulato con quest’ultimo ai sensi dell’articolo 28 del RGPD deve prevedere l’obbligo di assistere “il titolare del trattamento con misure tecniche e organizzative adeguate (…) nel dare seguito alle richieste di esercizio dei diritti dell’interessato”. Pertanto, il titolare è tenuto a implementare procedure specifiche, in collaborazione con gli eventuali responsabili del trattamento, al fine di rispondere a richieste di portabilità. In presenza di contitolari del trattamento, le responsabilità attribuite a ciascun contitolare con riguardo alla gestione delle richieste di portabilità dovranno essere specificate con chiarezza in uno strumento contrattuale.
Inoltre, il titolare ricevente(11) è tenuto a garantire che i dati forniti siano pertinenti e non eccedenti rispetto al nuovo trattamento svolto. Per esempio, in caso di una richiesta di portabilità rivolta a un servizio di posta elettronica via web, se la richiesta serve all’interessato per recuperare i messaggi di posta elettronica inviandoli a una piattaforma di archiviazione, quest’ultima (il nuovo titolare) non ha necessità di trattare le informazioni di contatto dei soggetti con cui l’interessato ha scambiato messaggi. Se le informazioni non sono pertinenti rispetto alle finalità del nuovo trattamento, allora non devono essere conservate o trattate. A ogni modo, i titolari riceventi non sono tenuti ad accettare e trattare i dati personali trasmessi a seguito di una richiesta di portabilità. Analogamente, se l’interessato chiede che informazioni sulle proprie operazioni bancarie siano trasmesse a un servizio di supporto della gestione patrimoniale, il titolare ricevente non ha necessità di accettare la totalità di tali informazioni o di conservare tutti i dettagli delle operazioni in questione una volta effettuatane la categorizzazione ai fini del nuovo servizio. In altri termini, i dati accettati e conservati dovrebbero essere esclusivamente quelli necessari e pertinenti con riguardo al servizio fornito dal titolare ricevente.
Il soggetto “ricevente” assume il ruolo di titolare nei riguardi dei dati personali in questione ed è tenuto all’osservanza dei principi fissati nell’articolo 5 del RGPD. Ne deriva che il “nuovo” titolare ricevente deve specificare con chiarezza le finalità di ogni nuovo trattamento prima che sia formulata la richiesta di trasmissione diretta dei dati portabili, conformemente con i requisiti di trasparenza fissati all’articolo 12 del regolamento(12). Come per qualunque altra operazione di trattamento svolta sotto la sua responsabilità, il titolare dovrà applicare i principi di cui all’articolo 5 del RGPD – quali liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, integrità e riservatezza, conservazione limitata e responsabilizzazione(13).
I titolari dovrebbero predisporre quanto necessario per facilitare l’esercizio del diritto alla portabilità da parte dei rispettivi interessati. I titolari possono, inoltre, decidere se accettare dati da un interessato, ma non sono obbligati a farlo.
- Diritto alla portabilità e altri diritti degli interessati
L’esercizio del diritto alla portabilità dei dati (o di qualsiasi altro diritto ai sensi del RGPD) non pregiudica nessuno degli altri diritti. L’interessato può continuare a fruire e beneficiare del servizio offerto dal titolare anche dopo che sia compiuta un’operazione di portabilità. La portabilità non comporta la cancellazione automatica dei dati(14) conservati nei sistemi del titolare, e non incide sul periodo di conservazione previsto originariamente per i dati oggetto di trasmissione. L’interessato può esercitare i diritti riconosciuti dal RGPD fintanto che prosegue il trattamento effettuato dal titolare.
Allo stesso modo, se l’interessato intende esercitare il diritto di cancellazione (“diritto all’oblio” ai sensi dell’articolo 17), il titolare non può procrastinare o negare tale diritto facendo valere l’esercizio del diritto alla portabilità dei dati.
Qualora l’interessato valuti che i dati personali richiesti in base al diritto alla portabilità non soddisfano che in parte le sue necessità, si dovrà dare pienamente seguito a eventuali successive richieste di dati personali formulate sulla base del diritto di accesso di cui all’articolo 15 RGPD.
Inoltre, qualora il diritto dell’UE o del singolo Stato membro preveda, con riguardo a un diverso settore, una qualche altra forma di portabilità dei dati in oggetto, nel dar seguito a una richiesta di portabilità fondata sul RGPD occorrerà tener conto anche delle condizioni fissate nelle specifiche disposizioni di settore. In primo luogo, se risulta evidente dalla richiesta presentata dall’interessato che questi intende esercitare non già i diritti previsti dal RGPD, bensì esclusivamente i diritti riconosciutigli in base alla diversa legislazione di settore, le disposizioni sulla portabilità introdotte dal RGPD non troveranno applicazione alla specifica richiesta(15). Se, d’altro canto, la richiesta è mirata a ottenere la portabilità di cui alle disposizioni del RGPD, l’esistenza di altre norme specifiche nei termini sopra descritti non inficia in alcun modo l’applicazione generale del principio di portabilità dei dati nei riguardi del singolo titolare ai sensi del regolamento. Viceversa, occorrerà valutare caso per caso se e in che misura tali diverse normative incidano sul diritto alla portabilità dei dati di cui al RGPD.
III. Quando trova applicazione il diritto alla portabilità dei dati?
- A quali trattamenti può applicarsi il diritto alla portabilità dei dati?
Per assicurare l’osservanza del RGPD, i titolari devono disporre di una base legale inoppugnabile ai fini del trattamento di dati personali.
Ai sensi dell’articolo 20, paragrafo 1, lettera a), del RGPD, il diritto alla portabilità dei dati presuppone che il trattamento si basi:
- sul consenso dell’interessato (nei termini di cui all’articolo 6, paragrafo 1, lettera a), ovvero all’articolo 9, paragrafo 2, lettera a) in caso di dati sensibili); oppure
- su un contratto di cui è parte l’interessato, nei termini di cui all’articolo 6, paragrafo 1, lettera b).
A titolo esemplificativo, i titoli dei libri acquistati da un fornitore online o la lista dei brani musicali ascoltati attraverso un servizio di streaming musicale sono, in linea di principio, dati personali che ricadono nel campo di applicazione della portabilità in quanto sono trattati per l’esecuzione di un contratto di cui è parte l’interessato.
Il regolamento non prevede un diritto generale alla portabilità dei dati il cui trattamento non si fondi sul consenso o su un contratto(16). Per esempio, non sussiste alcun obbligo per gli istituti finanziari di ottemperare a una richiesta di portabilità relativa a dati personali che sono oggetto di trattamento nell’ambito degli obblighi di prevenzione e accertamento del reato di riciclaggio o di altri reati finanziari; allo stesso modo, il diritto alla portabilità non si applica alle informazioni di contatto di natura professionale che siano trattate nel contesto di relazioni d’impresa, se tale trattamento non si fonda sul consenso dell’interessato o su un contratto di cui quest’ultimo sia parte.
Relativamente ai dati dei dipendenti, il diritto alla portabilità trova applicazione, in via generale, solo se il trattamento si basa su un contratto di cui l’interessato (il dipendente) è parte. In molti di questi casi è difficile ipotizzare che il consenso sia prestato liberamente, a causa dello squilibrio di poteri esistente fra datore di lavoro e suoi dipendenti(17). D’altro canto, alcuni trattamenti riferiti alla gestione delle risorse umane si fondano sull’interesse legittimo, ovvero sono necessari per adempiere a specifici obblighi di legge in materia di lavoro. In pratica, il diritto alla portabilità nel contesto della gestione del personale potrà indubbiamente trovare applicazione con riguardo a determinati trattamenti (per esempio, in rapporto alla gestione stipendi, o ai servizi di mobilità interna), ma in molte altre situazioni occorrerà procedere caso per caso così da verificare se siano soddisfatte tutte le condizioni cui soggiace il diritto alla portabilità dei dati.
Infine, il diritto alla portabilità dei dati sussiste esclusivamente se il trattamento è “effettuato con mezzi automatizzati” e non si applica, conseguentemente, alla maggioranza degli archivi o dei registri cartacei.
- Quali dati personali devono essere portabili?
Ai sensi dell’articolo 20, paragrafo 1, sono portabili i dati personali che
- riguardano l’interessato, e
- sono stati forniti dall’interessato a un titolare.
Inoltre, l’articolo 20, paragrafo 4, stabilisce che l’osservanza del diritto alla portabilità non deve ledere i diritti e le libertà altrui.
Prima condizione: dati personali che riguardano l’interessato
Qualsiasi richiesta di portabilità può applicarsi solo a dati personali. Ciò significa che un dato anonimo(18) ovvero non concernente l’interessato non ricade nell’ambito di applicazione del diritto in questione. Tuttavia, un dato pseudonimo chiaramente riconducibile all’interessato (per esempio, se l’interessato stesso fornisce il rispettivo elemento di identificazione – v. articolo 11, paragrafo 2) è senza dubbio soggetto all’esercizio del diritto alla portabilità.
In molti casi i titolari trattano informazioni contenenti dati personali relativi a una pluralità di interessati; non è possibile, pertanto, dare un’interpretazione eccessivamente restrittiva dell’espressione “dati personali che riguardano l’interessato”. Per esempio, i tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP comprendono talora informazioni su terzi in rapporto alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralità di individui, l’abbonato deve avere la possibilità di ottenere tali informazioni a seguito di una richiesta di portabilità visto che i tabulati contengono (anche) dati relativi all’interessato. Se però questi stessi tabulati sono poi trasmessi a un diverso titolare del trattamento, quest’ultimo non dovrà elaborarli per finalità lesive dei diritti e delle libertà dei terzi in questione – si veda infra, terza condizione.
Seconda condizione: dati forniti dall’interessato
La seconda condizione limita l’ambito della portabilità ai dati “forniti da” un interessato.
Si possono citare numerosi esempi di dati personali che sono “forniti” consapevolmente e attivamente da un interessato, come le informazioni inserite in un modulo di registrazione online (indirizzo postale, nome utente, età, ecc.). Cionondimeno, nel novero dei dati “forniti da” un interessato rientrano anche quelli derivanti dall’osservazione delle attività svolte da tale interessato. Pertanto, il Gruppo di lavoro ritiene che, per dare pieno riconoscimento alla portata di questo nuovo diritto, la nozione di dati “forniti da” un interessato debba riferirsi anche ai dati personali osservati sulla base delle attività svolte dagli utenti, come per esempio i dati grezzi generati da un contatore intelligente o altri oggetti connessi(19), le registrazioni delle attività svolte, la cronologia della navigazione su un sito web o delle ricerche effettuate.
Non appartengono a quest’ultima categoria i dati generati dal titolare (utilizzando come input i dati osservati o forniti direttamente), per esempio il profilo-utente creato a partire dall’analisi dei dati grezzi generati da un contatore intelligente.
Si può operare una differenziazione fra le varie categorie di dati in rapporto alla rispettiva origine per stabilire se si applichi il diritto alla loro portabilità. Le categorie seguenti sono classificabili fra i dati “forniti dall’interessato”:
- dati forniti consapevolmente e attivamente dall’interessato: indirizzo postale, nome utente, età, ecc.;
- dati osservati forniti dall’interessato attraverso la fruizione di un servizio o l’utilizzo di un dispositivo. Questa categoria comprende, per esempio, la cronologia delle ricerche effettuate dall’interessato, dati relativi al traffico, dati relativi all’ubicazione nonché altri dati grezzi come la frequenza cardiaca registrata da dispositivi sanitari o di fitness.
Viceversa, i dati inferenziali e derivati sono creati dal titolare sulla base dei dati “forniti dall’interessato”. Per esempio, l’esito di una valutazione concernente la salute di un utente o il profilo creato nell’ambito di disposizioni in materia finanziaria e di gestione del rischio (per esempio, al fine di attribuire uno score creditizio o di ottemperare a normativa antiriciclaggio) non possono essere considerati, di per sé, dati “forniti dall’interessato”. Anche se questi dati fanno parte, in certi casi, del profilo di cui è in possesso il titolare e sono dedotti o derivati dall’analisi di dati forniti dall’interessato (per esempio attraverso le attività da questi compiute), essi non sono generalmente annoverati fra i “dati forniti dall’interessato” e, pertanto, esulano dal campo di applicazione di questo nuovo diritto(20).
In linea di principio e alla luce delle finalità sottese al diritto alla portabilità dei dati, l’espressione “forniti dall’interessato” deve essere interpretata in modo estensivo escludendo unicamente “dati inferenziali” e “dati derivati”, i quali comprendono i dati personali generati da un fornitore di servizi (per esempio, i risultati prodotti da un algoritmo). Il titolare può escludere i suddetti dati inferenziali e dovrebbe, invece, ricomprendervi tutti gli altri dati personali forniti dall’interessato attraverso gli strumenti messi a disposizione dal titolare stesso(21).
Pertanto, l’espressione “forniti da” si riferisce ai dati personali relativi ad attività compiute dall’interessato o derivanti dall’osservazione del comportamento di tale interessato, con esclusione dei dati derivanti dalla successiva analisi di tale comportamento. Viceversa, tutti i dati personali che siano creati dal titolare nell’ambito di un trattamento, per esempio attraverso procedure di personalizzazione o finalizzate alla formulazione di raccomandazioni, o attraverso la categorizzazione o profilazione degli utenti, sono dati derivati o dedotti dai dati personali forniti dall’interessato e non ricadono nell’ambito del diritto alla portabilità.
Terza condizione: il diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui
Per quanto riguarda i dati personali relativi ad altri interessati:
La terza condizione è intesa a evitare il recupero e la trasmissione a un nuovo titolare di informazioni contenenti i dati personali di altri interessati che a ciò non hanno acconsentito, qualora sia verosimile che tali dati siano trattati secondo modalità in grado di ledere i diritti e le libertà dei terzi interessati in questione (articolo 20, paragrafo 4, del RGPD)(22).
La lesione di cui sopra si configurerebbe, per esempio, se la trasmissione dei dati da un titolare all’altro impedisse a soggetti terzi di esercitare i diritti di cui godono in quanto interessati ai sensi del RGPD – come il diritto di informativa, accesso, ecc.
L’interessato che innesca il processo di trasmissione dei propri dati a un altro titolare presta a quest’ultimo il consenso al trattamento dei dati oppure stipula un nuovo contratto con tale titolare. Se i dati portabili contengono informazioni personali riferite a terzi, occorre individuare un diverso fondamento di liceità per il loro trattamento: per esempio, il titolare cui sono trasmessi i dati può perseguire un interesse legittimo (ai sensi dell’articolo 6, paragrafo 1, lettera f)), in particolare se il trattamento effettuato dal nuovo titolare mira alla prestazione di un servizio all’interessato per consentirgli di trattare dati personali nell’ambito di attività esclusivamente personali o familiari. I trattamenti instaurati dall’interessato nell’ambito di attività personali e che riguardino e potenzialmente incidano su soggetti terzi restano sotto la sua esclusiva responsabilità nella misura in cui non siano in alcun modo decisi dal titolare.
Per esempio, un servizio di posta elettronica via web può consentire la creazione di un registro di tutti i contatti (amici, parenti, familiari, ecc.) dell’interessato. Poiché si tratta di dati relativi a e creati da la persona fisica identificabile che desidera esercitare il proprio diritto alla portabilità, il titolare dovrebbe trasmettere all’interessato l’intero contenuto del registro con i messaggi in entrata e in uscita.
Analogamente, un conto corrente bancario può contenere dati personali relativi non soltanto alle operazioni del titolare del conto, ma anche a quelle svolte da altri soggetti (che abbiano, per esempio, effettuato un bonifico a favore del titolare del conto). È improbabile che si configuri una lesione dei diritti e delle libertà dei terzi interessati a seguito della trasmissione al titolare del conto corrente bancario delle informazioni relative a tale conto in seguito a una richiesta di portabilità – purché nei due casi sopra citati i dati siano utilizzati per le stesse finalità, ossia come informazioni utilizzate dal solo interessato per contattare i terzi suddetti, oppure per disporre di un registro delle operazioni compiute dall’interessato sul suo conto corrente bancario.
Viceversa, i diritti e le libertà dei terzi in questione non saranno rispettati se il nuovo titolare utilizzerà i dati personali per altre finalità – per esempio, se titolare ricevente utilizza i dati personali di altri soggetti indicati nel registro dei contatti dell’interessato per finalità di marketing.
Ne deriva che, per evitare di ledere diritti e libertà dei terzi interessati, il trattamento dei dati personali in questione da parte di un diverso titolare è consentito soltanto nella misura in cui i dati rimangano nell’esclusiva disponibilità dell’utente che ne aveva richiesto la portabilità e siano utilizzati esclusivamente per finalità personali o domestiche. Il “nuovo” titolare che ha ricevuto tali dati (anche direttamente, se così chiede l’utente) non può utilizzare i dati riferiti a terzi per le proprie finalità – per esempio, per proporre offerte di marketing e servizi ai suddetti terzi, o per arricchire il profilo dei terzi interessati e ricostruire il loro contesto sociale a loro insaputa e senza il loro consenso(23). Né può utilizzarli per ricavare informazioni sui terzi in oggetto e creare profili specifici, anche se già ne detiene i dati personali. In caso contrario, è verosimile che il trattamento risulti illecito e violi il principio di correttezza, soprattutto se i terzi in questione non ricevono informativa e non sono in grado di esercitare i diritti loro riconosciuti in quanto interessati dal trattamento.
Inoltre, per ridurre ulteriormente i rischi a carico di altri interessati i cui dati siano passibili di portabilità, è opportuno che tutti i titolari – sia coloro che “inviano” sia coloro che “ricevono” i dati – rendano disponibili strumenti per consentire agli interessati di scegliere i dati che desiderano trasmettere e ricevere escludendo (se del caso) i dati di altri interessati.
Sarebbe anche opportuna l’implementazione da parte dei titolari di meccanismi per la prestazione del consenso da parte di altri interessati coinvolti nell’esercizio della portabilità, in modo da facilitare la trasmissione dei loro dati qualora anch’essi siano favorevoli – per esempio, se anch’essi intendono trasferire i propri dati a un diverso titolare del trattamento. Un caso del genere potrebbe ben presentarsi con le reti di socializzazione (social networks), ma spetta ai titolari decidere quale buona prassi implementare.
Per quanto riguarda dati soggetti a diritti di proprietà intellettuale o informazioni commerciali riservate:
I diritti e le libertà altrui sono menzionati all’articolo 20, paragrafo 4. Pur se non direttamente connesso alla portabilità, si può ritenere che ciò comprenda anche “il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software”. Tuttavia, benché sia opportuno tenere conto dei diritti in questione prima di rispondere a una richiesta di portabilità, “tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni”. Inoltre, il titolare non dovrebbe respingere una richiesta di portabilità a motivo della violazione di un altro diritto contrattuale – per esempio, a causa dell’esistenza di morosità o di un contenzioso commerciale con l’interessato.
Il diritto alla portabilità dei dati non comporta il diritto di abusare dei dati fino a configurare prassi scorrette ovvero in violazione dei diritti di proprietà intellettuale.
Tuttavia, l’esistenza di un rischio potenziale per l’attività imprenditoriale non può, isolatamente e in quanto tale, costituire fondamento per il diniego della richiesta di portabilità: i titolari possono trasmettere i dati personali forniti dagli interessati in un formato tale da non rivelare informazioni commerciali riservate o soggette a diritti di proprietà intellettuale.
IV. Come trovano applicazione rispetto alla portabilità dei dati le norme generali che disciplinano l’esercizio dei diritti degli interessati?
- Quali informazioni devono essere fornite preventivamente agli interessati?
Per rispettare il nuovo diritto alla portabilità dei dati, i titolari devono informare gli interessati dell’esistenza di tale diritto. Qualora i dati personali in questione siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita “nel momento in cui i dati personali sono ottenuti”. Se, invece, i dati personali non sono stati ottenuti direttamente dall’interessato, il titolare deve fornire l’informativa nei termini previsti dagli artt. 13, paragrafo 2, lettera b) [sic], e 14, paragrafo 2, lettera c) del RGPD.
“Qualora i dati personali non siano stati ottenuti presso l’interessato”, l’articolo 14, paragrafo 3, prevede che l’informativa sia fornita entro un termine ragionevole e comunque non superiore a un mese dall’ottenimento dei dati, in occasione della prima comunicazione con l’interessato ovvero al momento della comunicazione dei dati a terzi(24).
Nel fornire le informazioni necessarie, i titolari devono aver cura di distinguere il diritto alla portabilità da altri diritti. In particolare, il Gruppo di lavoro “Articolo 29” raccomanda ai titolari di spiegare con chiarezza la differenza fra le categorie di dati che un interessato può ricevere attraverso l’esercizio del diritto alla portabilità anziché del diritto di accesso.
Inoltre, il Gruppo di lavoro raccomanda ai titolari di informare sempre dell’esistenza del diritto alla portabilità prima che gli interessati procedano alla chiusura di un account. In tal modo gli utenti potranno avere contezza dei propri dati personali e trasmetterli con facilità a un proprio dispositivo ovvero a un altro fornitore di servizi prima della rescissione del contratto.
Infine, il Gruppo di lavoro raccomanda ai titolari “riceventi” di fornire agli interessati un’informativa completa sulla natura dei dati personali pertinenti ai fini della prestazione del rispettivo servizio. Oltre a costituire il fondamento della correttezza del trattamento, ciò permetterà agli utenti di ridurre i rischi per i terzi interessati e di evitare inutili duplicazioni di dati personali anche ove non siano coinvolti altri interessati.
- Come fa il titolare a identificare l’interessato prima di rispondere a una sua richiesta?
Il RGPD non contiene prescrizioni specifiche rispetto all’eventuale autenticazione di un interessato. Cionondimeno, l’articolo 12, paragrafo 2, del regolamento stabilisce che il titolare non può rifiutarsi di dar seguito alla richiesta di esercizio dei diritti avanzata da un interessato (compreso il diritto alla portabilità dei dati), salvo che il trattamento di dati personali persegua uno scopo che non rende necessaria l’identificazione dell’interessato e il titolare possa dimostrare di non essere in grado di identificare l’interessato. Tuttavia, in casi del genere l’interessato stesso può fornire informazioni ulteriori ai fini della propria identificazione da parte del titolare – come prevede l’articolo 11, paragrafo 6. L’articolo 12, paragrafo 2, stabilisce, inoltre, che qualora il titolare nutra ragionevoli dubbi circa l’identità dell’interessato, può chiedere informazioni ulteriori per confermarne l’identità. Se l’interessato fornisce effettivamente tali informazioni ulteriori che ne consentono l’identificazione, il titolare non può rifiutarsi di dar seguito alla richiesta. Se dati e/o informazioni raccolti online sono collegati a pseudonimi o identificativi unici, i titolari possono istituire idonee procedure così da permettere all’interessato di presentare una richiesta di portabilità ottenendo i dati che lo riguardano. In ogni caso, i titolari devono prevedere una procedura di autenticazione in modo da stabilire con certezza l’identità dell’interessato che chiede i propri dati personali o, più in generale, chiede di esercitare i diritti riconosciutigli dal RGPD.
In molti casi procedure del tipo sopra descritto sono già in essere. Spesso gli interessati devono superare una fase di autenticazione prima di stipulare un contratto con il titolare o di prestare il consenso al trattamento. Ne deriva che i dati personali utilizzati per la registrazione dell’interessato possono essere utilizzati anche ai fini dell’autenticazione di tale interessato in rapporto all’esercizio della portabilità(25).
In casi del genere la necessità di identificare preventivamente l’interessato può imporre la richiesta di una prova giuridicamente valida della sua identità; tuttavia, non sempre occorre una verifica di questo tipo al fine di stabilire una connessione fra i dati e la persona cui i dati si riferiscono, poiché tale connessione non ha niente a che fare con l’identità ufficiale o giuridicamente provata della persona in questione. In sostanza, la possibilità riconosciuta al titolare di chiedere informazioni ulteriori per accertare l’identità dell’interessato non può comportare richieste eccedenti né la raccolta di dati personali che non sono pertinenti né necessari al fine di rafforzare il legame fra interessato e dati personali oggetto della richiesta.
In molti casi procedure di autenticazione del tipo sopra descritto sono già in essere. Per esempio, spesso si utilizza un nome utente e una password per consentire all’utente di accedere ai propri dati negli account di posta elettronica, sulle piattaforme social, o in molti altri servizi – che in certi casi gli utenti scelgono di utilizzare senza rivelare il nome per esteso e la propria identità.
Se il volume dei dati richiesti dall’interessato rende problematica la trasmissione via Internet, il titolare potrebbe valutare il ricorso a modalità alternative invece di fare affidamento sull’estensione potenziale del periodo previsto per la risposta all’interessato (massimo tre mesi)(26). Per esempio, potrebbe ricorrere allo streaming, oppure salvare i dati su CD, DVD o altri supporti fisici, oppure ancora consentire la trasmissione diretta dei dati personali a un diverso titolare (come prevede l’articolo 20, paragrafo 2, del regolamento, se tecnicamente possibile).
- Qual è la tempistica per ottemperare a una richiesta di portabilità?
In base all’articolo 12, paragrafo 3, il titolare fornisce “informazioni relative all’azione intrapresa” all’interessato “senza ingiustificato ritardo” e comunque “entro un mese dal ricevimento dalla richiesta” ovvero, in casi di particolare complessità, entro un massimo di tre mesi, purché l’interessato venga informato delle motivazioni di tale proroga entro un mese dal ricevimento della richiesta iniziale.
I titolari che gestiscono servizi della società dell’informazione dispongono probabilmente di migliori strumenti per ottemperare a queste richieste in tempi estremamente ridotti. Per venire incontro alle aspettative degli utenti, è buona prassi indicare la tempistica normalmente applicabile alla gestione delle richieste di portabilità informandone gli interessati.
I titolari che oppongono un diniego alla richiesta di portabilità devono indicare all’interessato, ai sensi dell’articolo 12, paragrafo 4, “[de]i motivi dell’inottemperanza e [del]la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale” al più tardi entro un mese dal ricevimento della richiesta.
I titolari devono rispettare l’obbligo di ottemperare nei termini previsti, anche in caso di diniego. In altri termini, l’inattività non è ammessa qualora un titolare riceva una richiesta di portabilità.
- In quali casi è possibile opporre diniego a una richiesta di portabilità o addebitare un contributo per ottemperarvi?
L’articolo 12 vieta al titolare di addebitare oneri all’interessato per la fornitura dei dati personali, salvo dimostrare il carattere manifestamente infondato o eccessivo delle richieste “in particolare per il loro carattere ripetitivo”. Nel caso di servizi della società dell’informazione specializzati nel trattamento automatizzato di dati personali, il ricorso a sistemi automatizzati quali le interfacce di programmazione di applicazioni (API, Application Programming Interfaces)(27) può facilitare le interazioni con l’interessato e, quindi, ridurre gli oneri potenzialmente derivanti da richieste aventi carattere ripetitivo. Dovrebbero dunque essere molto rari i casi in cui il titolare potrà giustificare il diniego delle informazioni richieste, anche in caso di richieste multiple.
Inoltre, per determinare se una richiesta sia eccessiva, non è corretto tenere conto dei costi complessivamente generati dalle procedure introdotte per rispondere a richieste di portabilità. In realtà, l’articolo 12 del regolamento guarda alle richieste presentate da un singolo interessato, e non già al numero complessivo di richieste ricevute dal singolo titolare. Ne consegue che i costi legati all’implementazione del sistema di risposta a richieste di questo tipo non devono essere imputati agli interessati né assunti a giustificazione del diniego di una richiesta di portabilità.
V. In che modo devono essere messi a disposizione i dati portabili?
- Quali sono gli strumenti che il titolare dovrebbe predisporre al fine di fornire i dati richiesti?
L’articolo 20, paragrafo 2, del RGPD prevede che gli interessati hanno il diritto di trasmettere i dati a un diverso titolare senza impedimenti da parte del titolare cui li hanno forniti.
Gli impedimenti in questione possono consistere in ostacoli di natura giuridica, tecnica o finanziaria con cui il titolare evita o rallenta l’accesso, la trasmissione o il riutilizzo da parte dell’interessato o di un diverso titolare. Per esempio, potrebbe trattarsi della richiesta di un corrispettivo per fornire i dati richiesti, dell’indisponibilità di formati interoperabili o dell’accesso a un’API o al formato in cui i dati vengono forniti, dell’eccessiva complessità insita nel recupero della totalità dei dati richiesti o dell’eccessiva lunghezza del periodo necessario a tale scopo, dell’offuscamento deliberato dei dati in oggetto, o di vincoli settoriali specifici e ingiustificati o eccessivi in termini di standard o accreditamenti richiesti(28).
Inoltre, l’articolo 20, paragrafo 2, obbliga il titolare a trasmettere i dati portabili direttamente a un diverso titolare “se tecnicamente fattibile”.
La fattibilità tecnica della trasmissione da un titolare all’altro, sotto il controllo dell’interessato, deve essere valutata caso per caso. Il considerando 68 chiarisce i limiti di ciò che è “tecnicamente fattibile”, specificando che “non dovrebbe comportare l’obbligo per i titolari di adottare o mantenere sistemi di trattamento tecnicamente compatibili”.
L’aspettativa è che il titolare trasmetta i dati personali in un formato interoperabile, ma ciò non configura alcun obbligo in capo agli altri titolari di supportare tale formato. Pertanto, la trasmissione diretta dei dati da un titolare all’altro potrebbe avvenire se è possibile instaurare una comunicazione fra due sistemi, in modo sicuro(29), e se il sistema ricevente è tecnicamente in grado di ricevere i dati in ingresso. Qualora impedimenti di ordine tecnico precludano la trasmissione diretta, il titolare deve illustrarne l’esistenza agli interessati poiché, in caso contrario, la sua decisione sarà nei fatti analoga a un diniego di intervento nei confronti della richiesta formulata dall’interessato (articolo 12, paragrafo 4).
Sul piano tecnico, i titolari dovrebbero esplorare e valutare due approcci diversi e complementari per mettere a disposizione degli interessati o di altri titolari dati che siano portabili:
- trasmissione diretta dell’intero insieme di dati portabili (o di più estratti di parti del set complessivo di dati);
- utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti.
Il secondo approccio sarà forse preferibile per quei titolari che hanno a che fare con insiemi complessi e di grandi dimensioni, in quanto permette di estrarre quelle parti del set di dati che sono pertinenti per l’interessato nel contesto della sua specifica richiesta, può favorire la minimizzazione del rischio, e probabilmente consente il ricorso a meccanismi di sincronizzazione dei dati(30) – per esempio, nel contesto di comunicazioni regolari fra titolari del trattamento. Si tratta di un approccio forse più idoneo a garantire l’osservanza delle norme da parte del “nuovo” titolare, e potrebbe configurare una buona prassi per ridurre i rischi in termini di privacy da parte del titolare iniziale.
Nell’implementare i due approcci diversi e complementari sopra indicati, al fine di fornire i dati portabili volta per volta pertinenti, si possono prevedere varie metodologie: l’utilizzo di messaggistica sicura, di un server SFTP, di una WebAPI o di un WebPortal sicuri. Al fine di conservare i dati personali e consentire ai singoli titolari di accedervi e trattarli nei modi necessari, gli interessati dovrebbero avere la possibilità di utilizzare un personal data store, ossia un servizio di deposito per i propri dati personali, un sistema per la gestione delle informazioni personali(31) ovvero altri meccanismi basati sulla presenza di “terzi fidati” (trusted third parties).
- Qual è il formato previsto per i dati?
Il RGPD pone in capo ai titolari del trattamento l’obbligo di fornire i dati personali richiesti dall’interessato in un formato che ne consenta il riutilizzo. Più in particolare, l’articolo 20, paragrafo 1, del regolamento stabilisce che i dati personali devono essere forniti “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. Nel considerando 68 si chiarisce ulteriormente che il formato in questione dovrebbe essere interoperabile, termine la cui definizione(32) nell’UE è la seguente:
la capacità di organizzazioni diverse e disparate di interagire in vista di obiettivi comuni concordati e reciprocamente vantaggiosi, ricorrendo alla condivisione di conoscenze e informazioni tra le organizzazioni, per mezzo dei processi aziendali che su di esse si basano, tramite lo scambio di dati fra i rispettivi sistemi TIC.
I termini “strutturato”, “di uso comune” e “leggibile da dispositivo automatico” costituiscono requisiti minimi che intendono facilitare l’interoperabilità del formato dei dati messi a disposizione dal titolare. In tal senso, si tratta di specificazioni dello strumento da utilizzare, mentre l’interoperabilità è l’obiettivo finale.
Nel considerando 21 della direttiva 2013/37/UE(33),(34) si rinviene la seguente definizione dell’espressione “leggibile meccanicamente” [machine readable nel testo inglese]:
un formato di file strutturato in modo tale che le applicazioni software possano agevolmente identificarlo, riconoscerlo ed estrarne dati specifici. I dati codificati in file strutturati in un formato leggibile meccanicamente sono dati leggibili meccanicamente. I formati leggibili meccanicamente possono essere aperti o proprietari; possono essere standard formali o meno. I documenti codificati in un formato di file che limita il trattamento automatico, poiché l’estrazione dei dati in essi contenuti non è possibile o non avviene con facilità, non dovrebbero essere considerati documenti in formato leggibile meccanicamente. Gli Stati membri dovrebbero, se del caso, promuovere l’impiego di formati aperti leggibili meccanicamente.
Considerato l’ampio ventaglio di tipologie di dati potenzialmente oggetto di trattamento da parte di un titolare, il RGPD non contiene indicazioni specifiche sul formato dei dati personali da fornire agli interessati. I formati più idonei saranno diversi in rapporto ai singoli settori di attività e verosimilmente già oggi esistono formati adeguati; la scelta del formato dovrebbe essere sempre orientata all’obiettivo ultimo di consentire l’interpretabilità e di offrire all’interessato un ampio margine di portabilità. In tal senso, non si potrebbe ritenere adeguato l’impiego di un formato soggetto a costosi vincoli di licenza.
Nel considerando 68 si chiarisce che “Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili”. Ciò significa che la portabilità intende produrre sistemi interoperabili, non sistemi compatibili(35).
I dati personali dovrebbero essere messi a disposizione in un formato con un livello elevato di astrazione rispetto a qualsiasi formato a uso interno o proprietario. In sostanza, la portabilità dei dati comporta un ulteriore livello di trattamento da parte dei titolari, al fine di estrarre i dati dalla piattaforma filtrando le informazioni personali che non ricadono nell’ambito della portabilità quali i dati dedotti o quelli connessi alla sicurezza di un sistema. In tal modo, i titolari sono spinti a individuare in precedenza, a monte, i dati che, nei rispettivi sistemi, ricadono nell’ambito del diritto alla portabilità. Questo trattamento aggiuntivo sarà da ritenersi accessorio rispetto al trattamento principale, poiché non è effettuato per conseguire una ulteriore finalità definita dal titolare.
Qualora non vi siano formati di impiego comune in un determinato settore di attività o in un determinato contesto, i titolari dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio: XML, JSON, CSV, ecc.) unitamente a metadati utili, al miglior livello possibile di granularità, mantenendo un livello elevato di astrazione. In tal senso, si dovrebbero utilizzare idonei metadati così da descrivere con precisione il significato delle informazioni oggetto di transazione. I metadati dovrebbero essere sufficienti a consentire la funzionalità e il riutilizzo dei dati, ovviamente senza rivelare segreti industriali. Pertanto, fornire all’interessato la versione in formato .pdf delle informazioni contenute nella sua casella di “posta elettronica in arrivo” sarebbe poco conciliabile con il requisito di un formato sufficientemente strutturato o descrittivo, tale da permettere con facilità il riutilizzo dei dati contenuti nella casella di posta. I dati relativi alla posta elettronica dovrebbero essere messi a disposizione dell’utente in un formato che garantisca l’integrità di tutti i metadati in modo da consentirne l’effettivo ed efficace riutilizzo. In tal senso, nella scelta del formato, il titolare dovrebbe valutare in che modo tale formato ostacoli o incida sul diritto dell’interessato al riutilizzo dei dati forniti. Se il titolare è in grado di offrire più opzioni all’interessato quanto al formato preferito per i dati personali portabili, dovrebbe essere prevista anche un’informativa perspicua sugli effetti prodotti dalle singole opzioni. D’altro canto, non è possibile fondare legittimamente il trattamento di ulteriori metadati esclusivamente sul presupposto di una loro necessità o utilità ai fini dell’adempimento di un’eventuale richiesta di portabilità.
Il Gruppo di lavoro sostiene con forza la ricerca di forme di collaborazione fra i produttori e le associazioni di categoria al fine di sviluppare un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto alla portabilità dei dati. Questa sfida è stata raccolta anche dallo European Interoperability Framework (EIF), che ha elaborato un approccio condiviso all’interoperabilità pensato per i soggetti che
intendano prestare servizi pubblici in modo congiunto. Limitatamente al suo ambito di applicazione, questo schema specifica una serie di elementi comuni comprendenti un lessico condiviso, concetti, principi, politiche, linee-guida, raccomandazioni, standard, specifiche e prassi(36).
- Come gestire insiemi estesi o complessi di dati personali?
Il RGPD non spiega come gestire la risposta a richieste di portabilità in presenza di insiemi estesi o strutturalmente complessi di dati né quando si presentino altre problematiche tecniche che comportino potenziali difficoltà per i titolari o gli interessati.
Resta comunque essenziale che il singolo abbia la possibilità di comprendere appieno l’ambito concettuale e la struttura di fondo dei dati personali che il titolare sarebbe in grado di mettere a sua disposizione. Per esempio, si potrebbe prevedere che i dati siano forniti in prima istanza in forma sintetica, attraverso appositi “pannelli” (dashboards) che permettano quindi all’interessato di applicare la portabilità a sottoinsiemi dei dati personali anziché alla loro totalità. Il titolare dovrebbe fornire un quadro d’insieme “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (si veda l’articolo 12, paragrafo 1, del regolamento) così che l’interessato sappia sempre con chiarezza quali dati scaricare o trasmettere a un diverso titolare in rapporto a una specifica finalità. Per esempio, l’interessato dovrebbe essere in grado di utilizzare applicazioni software per individuare, riconoscere e trattare con facilità specifici segmenti di informazione.
Come sopra ricordato, un possibile approccio alla gestione delle richieste di portabilità consiste nel mettere a disposizione degli interessati una API adeguatamente sicura e documentata. In tal modo i singoli interessati avrebbero la possibilità di chiedere al titolare la portabilità dei propri dati personali attraverso programmi sviluppati in proprio o da terzi, ovvero di consentire ad altri (anche a un diverso titolare) di presentare tali richieste per loro conto come previsto dall’articolo 20, paragrafo 2, del regolamento. Utilizzando API accessibili dall’esterno per consentire l’accesso ai dati sarebbe forse possibile prevedere anche un sistema di accesso maggiormente sofisticato, che consenta ai singoli di presentare richieste successive effettuando un download completo dei dati ovvero soltanto delle modifiche intervenute dopo l’ultimo download – senza che tali richieste ulteriori comportino oneri per il titolare.
- Come garantire la sicurezza dei dati portabili?
In via generale, il titolare deve garantire la “adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” – come previsto dall’articolo 5, paragrafo 1, lettera f), del RGPD.
Tuttavia, anche la trasmissione di dati personali all’interessato può comportare problematiche in termini di sicurezza.
Come fa il titolare a garantire che i dati personali siano forniti in modo sicuro al destinatario corretto?
Considerato che la portabilità mira a trasportare dati personali all’esterno del sistema informativo del titolare, la fase di trasmissione può essere fonte di rischio per i dati portabili – soprattutto in termini di violazioni dei dati che possono verificarsi durante la loro trasmissione. Il titolare ha la responsabilità dell’adozione di tutte le misure di sicurezza necessarie a garantire non soltanto la trasmissione sicura dei dati personali (attraverso la crittografia end-to-end) al destinatario corretto (attraverso misure di autenticazione “forte”), ma anche la permanente tutela dei dati personali che rimangono nel suo sistema, nonché procedure trasparenti per la gestione di eventuali violazioni dei dati(37). In tal senso, i titolari dovrebbero valutare i rischi specificamente legati alla portabilità dei dati e adottare idonee misure di mitigazione del rischio.
Le misure suddette potrebbero comprendere quanto segue: se è già necessario procedere all’autenticazione dell’interessato, il ricorso a ulteriori informazioni di autenticazione (per esempio, un segreto condiviso) o a un ulteriore fattore di autenticazione (per esempio, una password monouso); se vi sono motivi per sospettare una compromissione dell’account, la sospensione o il congelamento della trasmissione; in caso di trasmissione diretta da un titolare all’altro, si dovrebbe ricorrere a meccanismi di autenticazione delegata, per esempio l’autenticazione tramite token.
Tali misure di sicurezza non devono avere natura ostruttiva e non devono ostacolare l’esercizio dei diritti da parte degli utenti (per esempio, a causa di costi ulteriori).
Come aiutare gli utenti a conservare i dati personali nei propri sistemi in modo sicuro?
Una volta recuperati i propri dati personali da un sistema online, esiste sempre il rischio che gli utenti li conservino in sistemi meno sicuri di quello di partenza. L’interessato che chiede di ricevere informazioni ha la responsabilità di individuare le misure corrette al fine di garantire la sicurezza dei dati personali nel proprio sistema. Tuttavia, dovrebbe essere sensibilizzato al riguardo in modo da adoperarsi per tutelare le informazioni ricevute. Quale prassi consigliata, il titolare potrebbe anche raccomandare l’impiego di idonei formati, strumenti di crittografia e altre misure di sicurezza al fine di facilitare l’interessato in questa impresa.
Fatto a Bruxelles il 13 dicembre 2016
Per il Gruppo di lavoro,
La Presidente
Isabelle FALQUE-PIERROTIN
Versione emendata e adottata in data 5 aprile 2017
Per il Gruppo di lavoro
La Presidente
Isabelle FALQUE-PIERROTIN
NOTE:
(1) L’obiettivo primario del diritto alla portabilità è potenziare il controllo dei singoli sui dati personali che li riguardano assicurando agli interessati un ruolo attivo nell’ecosistema delle informazioni.
(2) Per esempio, il diritto alla portabilità può consentire alle banche di fornire servizi aggiuntivi, sotto il controllo dell’utente, attraverso l’impiego di dati personali raccolti inizialmente nel quadro della fornitura di servizi energetici.
(3) Si veda l’agenda della Commissione europea per il mercato unico digitale: https://ec.europa.eu/digital-agenda/en/digital-single-market, in particolare il primo pilastro della relativa strategia denominato “Migliorare l’accesso online ai beni e ai servizi digitali”.
(4) In questi casi il trattamento effettuato dall’interessato può ricadere nell’ambito delle attività per fini personali o familiari – se rimane interamente soggetto al controllo del solo interessato – oppure può essere svolto da un soggetto terzo per conto dell’interessato. In quest’ultima evenienza il soggetto terzo deve essere considerato un autonomo titolare del trattamento anche al solo fine della conservazione dei dati, e dovrà quindi rispettare i principi e gli obblighi previsti nel RGPD.
(5) Si veda anche la sezione V.
(6) Pertanto, occorrerà prestare particolare attenzione al formato dei dati trasmessi in modo da garantire che i dati siano riutilizzabili dall’interessato o da un diverso titolare con un minimo sforzo. Si veda anche la sezione V.
(7) Si vedano varie applicazioni sperimentali in Europa, per esempio MiData nel Regno Unito o MesInfos/SelfData di FING in Francia.
(8) I benefici (e i rischi) legati alla combinazione di dati personali provenienti dai diversi ambiti di attività di una persona emergono con evidenza in rapporto alla cosiddetta “quantificazione del sé” e all’Internet delle Cose – si pensi all’associazione di informazioni sulla forma fisica, le attività svolte e l’apporto calorico per delineare un quadro più organico, riunito in un singolo file, delle abitudini di vita di un interessato.
(9) Il diritto alla portabilità non si limita ai dati personali utili e pertinenti ai fini della prestazione di servizi analoghi da parte di soggetti concorrenti del titolare.
(10) Nell’esempio sopra riportato, se un titolare non conserva traccia dei brani musicali riprodotti da un utente, questi dati personali non potranno essere inclusi fra i dati portabili a seguito della relativa richiesta.
(11) Cioè il titolare che riceve dati personali a seguito di una richiesta di portabilità presentata dall’interessato a un altro titolare.
(12) Inoltre, il nuovo titolare dovrebbe astenersi dal trattare dati personali che non siano pertinenti, e il trattamento dovrebbe limitarsi ai dati necessari per le nuove finalità anche se i dati personali in questione fanno parte di un più ampio insieme di dati trasmessi attraverso una procedura di portabilità. I dati personali che non risultano necessari per le finalità perseguite dal nuovo trattamento devono essere cancellati quanto prima.
(13) Una volta ricevuti dal titolare, i dati personali trasmessi nell’ambito dell’esercizio del diritto alla portabilità possono essere considerati dati “forniti” dall’interessato e possono, quindi, essere ritrasmessi in base a tale diritto, nella misura in cui siano soddisfatte le altre condizioni applicabili (base legale del trattamento, …).
(14) Si veda l’articolo 17 del RGPD.
(15) Per esempio, se la richiesta presentata dall’interessato mira specificamente a permettere a un fornitore di servizi di informazione sui conti di accedere ai movimenti sul proprio conto corrente bancario, per le finalità di cui alla direttiva 2 sui servizi di pagamento (PSD2), tale accesso dovrebbe essere consentito in base alle disposizioni della suddetta direttiva.
(16) Si vedano il considerando 68 e l’articolo 20, paragrafo 3, del RGPD. Questi ultimi stabiliscono che la portabilità non sussiste qualora il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ovvero qualora il titolare agisca nell’esercizio di funzioni pubbliche o per l’adempimento di un obbligo legale. Ne deriva che un titolare non è tenuto a prevedere procedure di portabilità in casi del genere. Tuttavia, è buona prassi mettere a punto meccanismi che consentano di rispondere in modo automatico a richieste di portabilità alla luce dei principi che disciplinano tale diritto. Per esempio, si pensi a un servizio di matrice governativa che consenta di scaricare con facilità le dichiarazioni dei redditi pregresse. Sulla portabilità quale buona prassi in caso di trattamenti fondati sul presupposto della necessità al fine di tutelare un interesse legittimo, e sulle procedure istituite in tal senso su base volontaria, si vedano le pagine 47 e 48 del parere 6/2014 del Gruppo di lavoro sull’interesse legittimo (WP217).
(17) Si veda, sul punto, il parere 8/2001 del Gruppo di lavoro del 13 settembre 2001 (WP48).
(18) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_it.pdf
(19) Potendo ottenere i dati derivanti dall’osservazione delle sue attività, l’interessato disporrà anche di un quadro più completo delle modalità implementative seguite dal titolare quanto all’ambito dei dati osservati e potrà scegliere con cognizione di causa quali dati fornire per ottenere un servizio analogo, oltre ad apprezzare in quale misura sia rispettato il suo diritto alla privacy.
(20) Cionondimeno, l’interessato può sempre esercitare il “diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali” nonché informazioni riguardanti “l’esistenza di decisioni automatizzate, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4 e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”, in base all’articolo 15 del RGPD (relativo al diritto di accesso).
(21) Ivi compresi tutti i dati osservati con riguardo all’interessato nel corso delle attività per le cui finalità i dati sono raccolti – per esempio, l’anagrafica delle operazioni svolte o i log di accesso. Anche i dati raccolti attraverso il tracciamento e la registrazione dell’interessato (come nel caso di un’app che registri la frequenza cardiaca o dei dispositivi utilizzati per tracciare le abitudini di navigazione) dovrebbero essere annoverati fra quelli “forniti” dall’interessato benché non siano trasmessi in modo attivo o consapevole.
(22) In base al considerando 68 del RGPD, “[q]ualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati personali non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento”.
(23) Un social network non dovrebbe arricchire il profilo degli iscritti utilizzando dati personali trasmessi da un interessato nell’esercizio del diritto alla portabilità, senza rispettare il principio di trasparenza e verificare di disporre di un’idonea base legale con riguardo a tale specifico trattamento.
(24) L’articolo 12 prevede che i titolari forniscano “le comunicazioni […] in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
(25) Per esempio, se il trattamento è effettuato in rapporto a un account utente, fornire il nome utente e la password utilizzati a tale scopo può bastare per identificare l’interessato.
(26) V. articolo 12, paragrafo 3.
(27) Per API, o interfacce di programmazione di applicazioni, si intendono interfacce di applicazioni o servizi web che i titolari rendono disponibili per consentire ad altri sistemi o applicazioni di connettersi e operare con i propri sistemi.
(28) Alcuni ostacoli possono insorgere legittimamente, per esempio in quanto connessi ai diritti e alle libertà altrui di cui all’articolo 20, paragrafo 4, ovvero alla sicurezza dei sistemi del titolare. Spetta al titolare giustificare la legittimità di tali ostacoli e il fatto che non si tratti di impedimenti ai sensi dell’articolo 20, paragrafo 1.
(29) Tramite comunicazione autenticata con il livello necessario di cifratura.
(30) I meccanismi di sincronizzazione possono favorire il rispetto degli obblighi generali fissati nell’articolo 5 del RGPD, in base al quale i “dati personali sono (…) esatti e, se necessario, aggiornati”.
(31) Per quanto riguarda i sistemi per la gestione di informazioni personali (PIMS), si veda, per esempio, il parere 9/2016 del GEPD, disponibile qui: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-10-20_PIMS_opinion_EN.pdf
(32) Articolo 2 della decisione n. 922/2009/CE del Parlamento europeo e del Consiglio, del 16 settembre 2009, relativa a soluzioni interoperabili per le amministrazioni pubbliche europee (ISA) (GU L 260 del 3.10.2009, pag. 20).
(33) Recante modifiche della direttiva 2003/98/CE sul riutilizzo dell’informazione del settore pubblico.
(34) Il glossario UE (http://eur-lex.europa.eu/eli-register/glossary.html) fornisce ulteriori indicazioni sulle aspettative connesse alle nozioni cui si fa riferimento nelle presenti linee-guida, quali “leggibile meccanicamente”, “interoperabilità”, “formato aperto”, “standard” e “metadato”.
(35) Lo standard ISO/IEC 2382-01 definisce l’interoperabilità come segue: “La capacità di comunicare, eseguire programmi o trasferire dati fra diverse unità funzionali in una modalità che richiede all’utente conoscenze minime o nulle delle caratteristiche peculiari di tali unità”.
(36) Fonte: http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf.
(37) Conformemente alla direttiva (UE) 2016/1148 relativa a misure per un livello elevato comune di sicurezza delle reti e dei sistemi informativi nell’Unione.
Fonte: Garante per la Protezione dei dati - Linee guida sul diritto alla portabilità dei dati
LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233