Regolamento - 27/04/2016 - n. 679 art. 20 - Diritto alla portabilità dei datiDiritto alla portabilità dei dati 1. L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: a) il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e b) il trattamento sia effettuato con mezzi automatizzati. 2. Nell'esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile. 3. L'esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l'articolo 17. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. 4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui. InquadramentoLa portabilità costituisce una delle novità di maggior rilievo dell'intero complesso dei diritti riconosciuti dal Regolamento rispetto all'assetto normativo previgente. Oggetto del diritto è la pretesa riconosciuta all'interessato di ricevere dal titolare del trattamento complessi di dati personali in formato strutturato, di uso comune e leggibile da sistemi automatici, e altresì di ottenerne la trasmissione diretta ad altro titolare. In definitiva, costituisce un notevole potenziamento del diritto di controllo dell'interessato sui propri dati personali (e sulla loro circolazione), come del resto espressamente indicato in apertura del considerando 68. Appare concettualmente uno sviluppo del diritto di accesso, come precisato a pagina 5 delle linee guida sul diritto in commento, elaborate dall'ex WP29 (Gruppo di lavoro 29) e successivamente fatte proprie dall'EDPB, il comitato delle autorità di controllo dell'Unione. Il diritto alla portabilità registra comunque una completa autonomia dal diritto di accesso, anche nella ratio: a ben guardare, infatti, non risponde soltanto a esigenze connesse con la tutela dei dati personali, ma anche a ragioni di libera circolazione delle informazioni nello spazio dell'Unione e di facilitazione del loro riutilizzo. Costituisce quindi uno di quegli istituti in cui sono saldate virtuosamente ragioni di tutela della concorrenza a ragioni di protezione della sfera informativa riguardante la persona, che trovano recente espressione, sia pure con inquadramento e prospettiva assai diversi, quella cioè di contenere abusi della posizione di gatekeeper, nel Digital Markets Act, o DMA, reg. (UE) 2022/1925. La portabilità rafforza giuridicamente le possibilità di scelta tra più fornitori, permettendo all'interessato di superare vincoli che lo legano a un titolare di trattamento, dunque il fenomeno anche noto come “vendor lock-in”, vale a dire la dipendenza forzata da un determinato soggetto del mercato, attenuando lo squilibrio tra le parti, dall'altro, e per le stesse ragioni, la portabilità ha un'evidente valenza pro-concorrenziale e anti-monopolistica, eliminando barriere tecniche e giuridiche nella competizione tra fornitori di servizi. Si pensi per esempio al caso dell'interessato che voglia migrare il complesso strutturato delle informazioni contenute nel suo profilo di un social network verso un diverso fornitore. La sussistenza del diritto alla portabilità e l'uso di formati comuni per la codifica dei dati personali può consentire concretamente l'operazione, fatta salva (v. infra) la compatibilità tra il sistema mittente e quello ricevente. Il diritto in parola è dunque strettamente legato al concetto di interoperabilità, e a quello connesso di preservazione della struttura informativa. A mente del considerando 68, «è opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati». La tutela ricononosciuta dall'art. 20 GDPR acquista evidentemente rilievo rispetto a trattamenti di notevole volume e complessa struttura informativa. Non a caso, esigenze di portabilità erano già emerse all'attenzione dell'ex Gruppo di lavoro 29 nell'opinione 5/2012 relativa al cloud computing, § 3.4.3.6, sia pure, in quel contesto, nell'ottica – diversa da quella in commento – di pretesa del titolare del trattamento (non dunque dell'interessato) nei confronti del responsabile fornitore di tecnologia cloud. «L'aspettativa è che, oltre ad ampliare il margine di controllo dei consumatori impedendo forme di “lock-in” tecnologico, il diritto alla portabilità dei dati promuova l'innovazione e la condivisione di dati personali fra titolari del trattamento in piena sicurezza e sotto il controllo dell'interessato. Il diritto alla portabilità può favorire la condivisione controllata e limitata delle informazioni personali fra più soggetti e, quindi, arricchire l'esperienza dell'utente nella fruizione di determinati servizi. La portabilità, inoltre, può favorire la trasmissione e il riutilizzo di dati personali fra più servizi di interesse per il singolo utente» (LG Port., 6). «Il diritto in questione offre anche la possibilità di “riequilibrare” il rapporto fra interessati e titolari del trattamento tramite l'affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano» (LG Port., 4). Formato: strutturato, di uso comune e leggibile da dispositivo automatico«L'aspettativa è che il titolare trasmetta i dati personali in un formato interoperabile, ma ciò non configura alcun obbligo in capo agli altri titolari di supportare tale formato. Pertanto, la trasmissione diretta dei dati da un titolare all'altro potrebbe avvenire se è possibile instaurare una comunicazione fra due sistemi, in modo sicuro, e se il sistema ricevente è tecnicamente in grado di ricevere i dati in ingresso» (LG 18). L'ex Gruppo di lavoro 29 (oggi EDPB) caldeggiava inoltre nelle citate linee guida per «quei titolari che hanno a che fare con insiemi complessi e di grandi dimensioni» l'utilizzo «di uno strumento automatizzato che consenta l'estrazione dei dati pertinenti», ossia solo quelle parti del set di dati che siano realmente utilizzabili dalla piattaforma ricevente» (ibidem). Condizioni e limiti per la portabilitàL'esercizio del diritto alla portabilità è subordinato alla presenza di alcune condizioni e registra alcuni specifici limiti. Innanzitutto, sono portabili solo i dati personali trattati sulle basi giuridiche dal consenso al trattamento, ai sensi degli artt. 6.1.a) e 9.2.a) GDPR, o del consenso contrattuale ai sensi dell'art. 6.1.b). Ciò esclude nella regolarità dei casi dal novero dei titolari di trattamento soggetti alla portabilità le pubbliche amministrazioni, che possono utilizzare la base “consenso” solo in ipotesi marginali. Ulteriore condizione è che venga in considerazione un trattamento automatizzato, il che impedisce l'applicazione dell'istituto a trattamenti manuali. Questa condizione è del resto logica e coerente con la necessità che i dati personali circolino tra sistemi informatici, la portabilità riguardando la struttura e la rappresentazione dei dati: il diritto in parola è cioè necessariamente legato alla natura informatica dell'ambiente di trattamento. Quanto ai limiti, oggetto del diritto alla portabilità possono essere soltanto dati personali «forniti» dall'interessato, il che esclude l'ampia casistica dei dati inferiti, ossia creati dal titolare del trattamento a partire dalle informazioni raccolte presso l'interessato. I dati personali inferiti potranno comunque essere oggetto di diritto di accesso ai sensi dell'art. 15 GDPR, ma in questo caso non potrà esserne pretesa la trasmissione in un formato strutturato. Ulteriore limite, precisato al paragrafo 4 dell'articolo in commento, è quello di «non ledere i diritti e le libertà altrui». Il limite va colto in relazione ai dati cd. “pluripersonali”, v. commento subart. 4.1) GDPR: la portabilità (come altri diritti) può infatti avere ad oggetto informazioni riguardanti contemporaneamente più persone fisiche individuabili, ad es. tipicamente il mittente e il destinatario di una comunicazione elettronica. Giova notare che l'esercizio della portabilità non lede ipso facto i terzi interessati “portati” unitamente ai dati personali loro collegati, la lesione dei diritti di costoro costituendo piuttosto un'eventualità estrema, da valutare con cautela caso per caso. Diversamente, ne risulterebbe frustrato l'esercizio stesso della portabilità in tutte le situazioni di tipo relazionale, coinvolgenti cioè altri soggetti. Chiarisce l'ex Gruppo di lavoro 29 che «la lesione [...] si configurerebbe, per esempio, se la trasmissione dei dati da un titolare all'altro impedisse a soggetti terzi di esercitare i diritti di cui godono in quanto interessati ai sensi del RGPD – come il diritto di informativa, accesso, ecc» (LG Port., 12). I dati «forniti» dall'interessato non vanno intesi esclusivamente come quelli attivamente e consapevolmente resi dall'interessato, ma anche come quelli osservati: «[... I]l Gruppo di lavoro ritiene che, per dare pieno riconoscimento alla portata di questo nuovo diritto, la nozione di dati “forniti da” un interessato debba riferirsi anche ai dati personali osservati sulla base delle attività svolte dagli utenti, come per esempio i dati grezzi generati da un contatore intelligente o altri oggetti connessi, le registrazioni delle attività svolte, la cronologia della navigazione su un sito web o delle ricerche effettuate [...]. Viceversa, i dati inferenziali e derivati sono creati dal titolare sulla base dei dati “forniti dall'interessato”. Per esempio, l'esito di una valutazione concernente la salute di un utente o il profilo creato nell'ambito di disposizioni in materia finanziaria e di gestione del rischio (per esempio, al fine di attribuire uno score creditizio o di ottemperare a normativa antiriciclaggio) non possono essere considerati, di per sé, dati “forniti dall'interessato”. [...P]ertanto, esulano dal campo di applicazione di questo nuovo diritto» (LG Port., 10-11). «In molti casi i titolari trattano informazioni contenenti dati personali relativi a una pluralità di interessati; non è possibile, pertanto, dare un'interpretazione eccessivamente restrittiva dell'espressione “dati personali che riguardano l'interessato”. Per esempio, i tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP comprendono talora informazioni su terzi in rapporto alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralità di individui, l'abbonato deve avere la possibilità di ottenere tali informazioni a seguito di una richiesta di portabilità visto che i tabulati contengono (anche) dati relativi all'interessato» (LG Port., 10). Cancellazione e portabilitàAi sensi dell'art. 20, par. 3 GDPR la portabilità non pregiudica l'esercizio del diritto di cancellazione, portabilità e cancellazione costituiscono cioè diritti fra loro autonomi, non diversamente da accesso e cancellazione. Pertanto, l'interessato che, ottenuta la portabilità dal titolare, intenda anche ottenere la cancellazione dei dati personali ha l'onere di azionarla autonomamente, nei casi in cui è consentita. Detto altrimenti, la portabilità determina soltanto una duplicazione dei dati personali. La cancellazione è espressamente esclusa quando i dati personali siano legittimamente conservati dal titolare, ad esempio per finalità di documentazione contrattuale ed esercizio dei relativi diritti. Cfr. considerando 68: l'esercizio del diritto alla portabilità dei dati personali «non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l'interessato forniti da quest'ultimo per l'esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all'esecuzione di tale contratto»». La portabilità costituisce anche uno strumento per “portare in salvo” i propri dati personali nel caso in cui la loro cancellazione sia disposta dal titolare del trattamento. Si pensi alla cessazione di un servizio o all'esclusione dell'interessato da un servizio, decise dal titolare (nelle ipotesi in cui ciò sia consentito). L'interessato non può evidentemente imporre una conservazione dei propri dati al titolare (eccettuati i casi in cui sia esperibile il diritto alla limitazione), ciò essendo incompatibile con il ruolo decisorio di quest'ultimo, né potrebbe imporgli responsabilità di custodia ulteriore. In tali casi, appare congruo che il titolare del trattamento, prima di procedere alla cancellazione dei dati personali, ricordi con ragionevole anticipo all'interessato la possibilità di esercitare il diritto alla portabilità e fare salvo in tal modo il proprio patrimonio informativo. Appare un'applicazione del generale principio di accountability. Stessa condotta dovrebbe essere osservata quando l'interessato si accinga a cessare la fruizione di un servizio. «Il Gruppo di lavoro raccomanda ai titolari di informare sempre dell'esistenza del diritto alla portabilità prima che gli interessati procedano alla chiusura di un account. In tal modo gli utenti potranno avere contezza dei propri dati personali e trasmetterli con facilità a un proprio dispositivo ovvero a un altro fornitore di servizi prima della rescissione [sic, n.d.a.] del contratto» (LG Port., 15). BibliografiaBattelli-D'Ippolito, Il diritto alla portabilità dei dati personali, in Tosi (a cura di), Privacy digitale: Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, Milano, 2019, cap. VI; Bianchi, Il diritto alla portabilità dei dati, in Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE n. 679/2016 e al d.lgs. n. 101/2018, Milano 2019, cap. X; Pelino, in Bolognini-Pelino - Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, cap. IV, § B.5); Riccio-Pezza, Portabilità dei dati personali e interoperabilità, in Cuffaro-D'Orazio-Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 397 e ss. |
