VI SPIEGHIAMO IL NUOVO DIRITTO ALLA PORTABILITA’ DEI DATI

GDPR: il nuovo diritto alla portabilità dei dati
Perchè questo diritto è così importante? L'articolo prova a spiegarlo.

Il diritto alla portabilità dei dati personali rappresenta una vera e propria dichiarazione di intenti: il GDPR vuole che i cittadini europei abbiano il totale controllo sui propri dati (art. 20).

COSA SI INTENDE PER DIRITTO ALLA PORTABILITA’ DEI DATI.

Il GDPR prevede che una persona fisica, quando fornisce dati ad un titolare (es: un servizio di streaming musicale) ha sempre il diritto di chiedere a quel titolare di raccogliere tali dati, perchè li metta su un supporto informatico di uso comune e leggibile (es. HML, JSON, CSV ecc..), in modo che il richiedente possa poi trasferirli ad un altro titolare (es: un’altra piattaforma di streaming musicale).
Peraltro, l’Unione Europea, in un’ottica di semplificazione , incoraggia anche la trasmissione diretta dei dati da un titolare ad un altro (art. 20, pgf 2 GDPR).

L’obiettivo è proprio quello di accrescere il controllo degli interessati sui propri dati personali, facilitando la circolazione, la copia o la trasmissione dei dati da un ecosistema informatico ad un altro.

ESEMPIO: al momento di comprare un nuovo iPhone, vi viene proposta un’offerta di abbonamento al servizio di streaming musicale “Apple Music”, più conveniente rispetto al vostro attuale abbonamento a “Spotify”.
Siete quindi propensi a “traslocare” nella
nuova piattaforma di streaming, ponendo fine al precedente abbonamento; l’unica remora è quella di perdere tutte le playlist che avete creato su Spotify, dopo anni e anni di selezione musicale.
In questo senso, il diritto di portabilità dei dati viene in soccorso, perchè, una volta avanzata la relativa richiesta di portabilità, il titolare (Spotify) si dovrà attivare per recuperare l’elenco delle vostre playlist, trasferendo questi dati al nuovo titolare (Apple).

Il meccanismo è simile, se non analogo, a quello previsto per la portabilità dei numeri di telefono da una compagnia telefonica all’altra: oggi, infatti, si può effetture questo passaggio senza patemi, mantenendo il proprio numero di cellulare.

QUANDO PUO’ ESSERE FATTO VALERE QUESTO DIRITTO?

Va detto, però, che il diritto alla portabilità dei dati non è assoluto, nel senso che non può essere fatto valere dall’interessato rispetto ad ogni ipotesi di trattamento dei dati.
Al riguardo, l’art. 20, pgf 1, lett. a) del GDPR, chiarisce che tale diritto trova applicazione in caso di trattamenti dei dati la cui base giuridica è:

  1. un contratto di cui è parte l’interessato.
    ESEMPIO: richiedete all’attuale titolare (IBS.it – nota librearia online) la portabilità dei dati relativi ai titoli dei libri che avete acquistato su quella piattaforma, per trasmetterli ad un altro titolare (Amazon), in modo tale che quest’ultimo possa analizzare quelle informazioni, conoscere le vostre preferenze in fatto di libri e raccomandarvi le nuove uscite che siano in linea con i vostri gusti.
  2. il consenso dell’interessato.
    ESEMPIO: se siete una fotomodella, potreste avere un interesse a richiedere la trasmissione di foto relative a una serie di shooting a cui avete partecipato, che in seguito sono state diffuse sui canali social di un sito e-commerce, dietro vostra espressa autorizzazione; il motivo potrebbe essere quello di far avere le foto alla nuova agenzia di moda per cui lavorate.

Inoltre, il diritto alla portabilità sussiste solo se il trattamento è effettuato con “mezzi automatizzati”; quindi non troverà applicazione laddove nel corso del trattamento vi sia stato, anche in minima parte, un coinvolgimento umano (si pensi ad archivi o registri cartacei, già di per sè esclusi dall’ambito di applicazione di questo diritto).

QUALI SONO I DATI PORTABILI.

Dalla norma si evince testualmente che i dati portabili sono i dati personali che riguardano l’interessato, e che questi ha fornito ad un titolare del trattamento.

Quindi, il dato portabile:

  1. deve riguardare una persona fisica: se il dato è anonimo, di certo non è portabile, perchè non è possibile ricondurlo ad un soggetto identificato o identificabile.
  2. deve essere fornito dall’interessato in modo consapevole e attivo, cioè con un atto preciso, compiuto dall’interessato (ad esempio mediante la compilazione del classico form di registazione online). Nel novero, rientrano anche i dati che derivano dall’osservazione delle attività che ha svolto l’interessato (ad esempio: la cronoligia delle ricerche che ha effettuato su un motore di ricerca). Quest’ultimi sono i cc.dd. dati di “osservazione”, che sono comunque dei dati grezzi, nel senso che non sono stati elaborati dal titolare mediante l’uso di algoritmi in grado di analizzare o prevedere aspetti personali dell’interessato.

Se riprendiamo l’esempio precedente relativo alla portabilità della playlist musicale da Spotify ad Apple Music, si dovrà concludere che l’operazione di transazione dei dati è del tutto legittima, in quanto i brani sono stati selezionati dall’interessato; quindi è lui ad averli per così dire “forniti” al titolare, per comporre il relativo elenco.

Viceversa, tutti i dati che sono stati creati dal titolare a partire da quella playlist, con l’utilzzo di algoritimi e procedure automatizzate, volte a formulare determinate raccomandazioni (es: “questo brano potrebbe piacerti sulla base dei gusti espressi con la tua playlist”, oppure “nuova musica per te in base al gradimento espresso per questo artista” ecc…) sono dati derivati o dedotti dalla playlist originaria, quindi non sono dati portabili.

Per intenderci, Spotify non sarà obbligato a trasmetterli ad Apple Music.

Il motivo è piuttosto evidentemente: con l’invio di dati “derivati” vi è il rischio di rivelare segreti industriali o un certo Know-How del titolare.

Infine, due precisazioni:

  1. dopo l’operazione di portabilità, l’interessato può comunque beneficiare del servizio offerto dal titolare che ha trasmesso i dati (ergo, potreste continuare ad ascoltare la vostra playlist sia su Spotify che su Apple Music);
  2. il titolare che deve trasmettere i dati portabili ha la responsabilità di adottare tutte le misure di sicurezza necessarie a garantire non soltanto la trasmissione sicura dei dati personali (es. crittografia end-to-end) al corretto destinatario (predisponendo misure di autenticazione forti), ma anche la tutela dei dati che rimangono nel suo sistema dopo l’operazione di portabilità.

CONCLUSIONI.

La portata di questo diritto è rilevante perchè favorisce la concorrenza tra fornitori di servizi, ma soprattutto impedisce forme di lock-in tecnologico a danno degli interessati.

Insomma, non si correrà più il rischio di restare intrappolati per anni in un ecosistema tecnologico magari vetusto o meno conveniente di un altro; anzi, sarà molto semplice accedere a nuovi servizi, mediante la trasmissione di dati, anche diretta, da un titolare ad un altro, senza costi di transazione.
La novità è tutt’altro che trascurabile, considerando i ritmi frenetici che accompagnano l’odierna evoluzione dei sistemi tecnologici ed informatici.