di Franco Pizzetti
Tra i nuovi diritti introdotti dal GDPR, anche quello alla portabilità dei dati. Cosa comporta, quali sono la logica e il contesto in cui opera e gli scenari che potranno aprirsi anche in relazione ai Big Data e alla Data Analysis. (Seconda Parte)
Perché parliamo di “nuovo diritto”
Dunque non si tratta affatto di un diritto riconosciuto a tutti gli interessati. Esso è strettamente legato ai trattamenti automatizzati tipici della società digitale, ed è per questo che costituisce una innovazione importante ed è giusto qualificarlo come un “nuovo diritto” anche in senso sostanziale.
Non si tratta di un diritto nuovissimo giacché, sia pure in termini leggermente diversi e limitatamente ai servizi della società dell’informazione, era già previsto dalla Direttiva e-privacy 2002/58/CE e successive modificazioni rispetto ai provider telefonici.
La novità, però, è che ora questo diritto può riguardare qualunque trattamento automatizzato di dati.
Tuttavia, proprio perché ora esso è così ampio, l’art. 20 fissa due limiti specifici: che i trattamenti si svolgano o sulla base del consenso ex art. 6 e 9, o sulla base del contratto. Restano esclusi i trattamenti che abbiano una diversa base di legittimità tra quelle previste dall’art. 6 e, in particolare, quelli previsti dall’art. 20, 3.
Il diritto di chiedere la portabilità dei dati impone comunque anche uno specifico onere ai titolari, che sono tenuti ad adottare modalità informatiche che si basino su formati strutturati, di uso comune e leggibili.
Limiti e ostacoli all’attuazione del diritto alla portabilità
Un onere a cui i titolari devono adempiere con attenzione anche perché si ricollega a quanto previsto dall’art. 20 paragrafo 2, che prevede il diritto dell’interessato a ottenere la trasmissione diretta dei dati personali da un titolare all’altro, “se tecnicamente fattibile”.
Il WP29, nel riconoscere che il GDPR giustamente non impone alcun formato predeterminato, raccomanda che le scelte relative siano fatte il più possibile di intesa tra stakeholders e utenti, e che associazioni di imprese omogenee promuovano il più possibile l’adozione di formati standard che agevolino l’attuazione di questo diritto.
In ogni caso il solo motivo per il quale un titolare può rifiutarsi di adempiere a quanto previsto dall’art. 20, paragrafo 2, è l’eccessiva complessità tecnica, o addirittura l’impossibilità, di trasferire i dati al titolare indicato dall’interessato.
Poiché però questa norma si collega strettamente all’obiettivo di favorire la libera circolazione dei dati e lo sviluppo dell’economia digitale si deve essere in grado di dimostrare che il mancato adempimento della richiesta non dipende dal formato adottato o dalle modalità digitali di trattamento seguite ma, caso mai, da inadeguatezza o eccessiva complessità dei sistemi digitali di coloro ai quali l’interessato ha richiesto di trasferire i dati.
Portabilità, trasmissione e cancellazione dei dati
Il diritto alla portabilità dei dati non implica affatto, però, che l’interessato indichi sempre a quale altro titolare essi debbano essere trasmessi, né comporta la richiesta di cancellazione dei dati stessi.
Si tratta di un diritto a cui l’interessato può ricorre pur restando immutato il suo rapporto col titolare.
E’ possibile infatti che tali dati possano essere utili all’interessato nell’ambito di un rapporto contrattuale per la fornitura di servizi del tutto diversi da quelli assicurati dal titolare al quale è rivolta la richiesta, così come è possibile che i dati siano chiesti da chi intenda far valere un proprio diritto, o per qualunque altro motivo.
Tuttavia, come si è già detto, il diritto alla portabilità dei dati non può essere esercitato quando il trattamento abbia una base di legittimità diversa dal contratto o dal consenso. Il che impone di ribadire ancora una volta quanto sia importante che il titolare metta a conoscenza dell’interessato, utilizzando l’informativa degli artt. 13 o 14, quale sia la base del trattamento dei suoi dati.
Il paragrafo quattro dell’art. 20 stabilisce anche che l’esercizio del diritto alla portabilità dei dati non deve ledere i diritti e le libertà altrui.
E’ questa una condizione specifica che impone un vincolo che può riguardare, a seconda dei casi, l’interessato che chieda di ricevere i propri dati in formato automatizzato, il titolare che deve adempiere a tale richiesta, il soggetto al quale eventualmente l’interessato chieda di trasmettere i dati.
A quali dati si applica la portabilità
Prima di affrontare questo tema è però opportuno precisare che l’art. 20, paragrafo primo, specifica che la portabilità si applica solo ai dati che riguardano un interessato e che sono da questi forniti a un titolare per effettuare trattamenti automatizzati sulla base del consenso o del contratto.
La questione diventa dunque cosa si debba intendere per dati personali che riguardano l’interessato, da un lato; quando essi possano essere ritenuti forniti direttamente dall’interessato stesso, dall’altro.
Ovviamente si tratta innanzitutto dei dati che l’interessato fornisce direttamente su richiesta del titolare e in ragione del consenso prestato o del contratto stipulato. E’ possibile che essi riguardino anche persone terze, come quando l’interessato autorizza a conoscere dati relativi a numeri telefonici della rubrica, messaggi trasmessi via internet o grazie a sistemi VOIP, o i mille altri casi nei quali un dato fornito da un interessato possa coinvolgere anche persone terze.
Ne deriva che, a seguito dell’esercizio del diritto alla portabilità, il titolare potrà trovarsi a dover trasmettere all’interessato, o a altro titolare da questi indicato, anche dati che, riferiti comunque al richiedente, possono riguardare persone terze.
Nello stesso quadro si colloca anche la risposta da dare alla definizione del concetto di dati forniti direttamente dall’interessato.
La tutela dei diritti e delle libertà dei terzi
Il WP29 non ha dubbi nell’affermare che tale concetto si allarga a comprendere anche i dati che il titolare acquisisce sulla base dei comportamenti di quest’ultimo, il che amplia ulteriormente la possibilità nell’ambito della portabilità siano coinvolti anche i dati di terze persone.
Il WP29 precisa in modo esplicito che comunque i dati dei terzi, pur oggetto di portabilità, non potranno essere utilizzati né dall’interessato né dall’eventuale nuovo titolare che li riceva, a meno che vi sia una base specifica, diversa e autonoma, che legittima il loro trattamento e della quale, se non coincide col consenso di cui all’art. 6 lettera a) e 9, i terzi devono essere esplicitamente informati ai sensi dell’art.14.
In altre parole, mentre la portabilità dei dati si estende anche a quelli di terzi purché direttamente connessi alla persona dell’interessato, la loro trasmissione non può, da sola, essere in alcun modo una base autonoma di legittimità del trattamento.
Dati forniti dall’interessato e inferred data
Infine, il fatto che secondo il WP29 il concetto di dati forniti direttamente dall’interessato e a questo direttamente riferibili comprenda anche tutti i nuovi dati che l’interessato genera nell’ambito del rapporto col titolare, obbliga a porsi un ultimo problema.
Ci si deve chiedere, infatti, se in questa luce i dati forniti direttamente dall’interessato siano limitati a quelli derivanti dai suoi comportamenti o dalla sua attività nell’ambito del rapporto col titolare, o ricomprendano, invece, anche quelli che il titolare ricava attraverso un’attività di Data Analysis che, utilizzando i dati dell’interessato, consenta di catalogarne comportamenti, attitudini, orientamenti: in una parola di profilarlo o di inserirlo in uno o più clusters.
Su questo punto le Linee Guida operano una distinzione sottilissima. Esse ribadiscono che tra i dati “forniti direttamente dall’interessato” sono ricompresi quelli derivanti dalla sua attività nell’ambito del rapporto col titolare. Non rientrano tra i dati forniti direttamente dall’interessato quelli derivanti da una specifica attività svolta in modo autonomo dal titolare usando sistemi di Data Analysis.
In sostanza si distingue tra dati forniti dall’interessato, compresi quelli relativi al suo comportamento, e quelli derivanti dall’analisi svolta dal titolare, che vengono definiti inferred data o, in italiano, dati “inferiti”.
Deriva da questa distinzione che i dati “creati” dal titolare non possano formare oggetto del diritto di portabilità proprio perché non sono “forniti direttamente dall’interessato”, anche se possono essere a lui riferiti o riferibili.
In sostanza i dati “creati” dal titolare non sono oggetto del diritto di portabilità proprio perché non sono “forniti direttamente dall’interessato”, anche se possono essere a lui riferiti o riferibili.
Una distinzione che in linea di principio è condivisibile ma che potrà dare luogo a non piccole difficoltà applicative nei casi in cui sia difficile individuare la differenza tra dati prodotti direttamente dall’ interessato coi suoi comportamenti e dati, che pure riguardandolo, sono frutto di una autonoma analisi del titolare.
L’obbligo di considerare diversamente i dati forniti direttamente dall’interessato anche con i suoi comportamenti (dati che sono oggetto di portabilità) e quelli che pur riferendosi a lui, sono frutto di una autonoma analisi del titolare (e dunque non sono oggetto di portabilità), apre a uno scenario amplissimo, direttamente connesso anche ai trattamenti relativi ai Big Data e basati sulla Data Analysis.
Il trattamento automatizzato e i grossi interessi in gioco
Queste riflessioni hanno infine un raccordo diretto con un altro “nuovo diritto”, quello relativo al trattamento automatizzato con il Gdpr, senza intervento umano, di dati relativi a persone fisiche, compresa la profilazione e confermano che i “nuovi diritti” sono strettamente connessi non solo al rafforzamento della tutela dei dati personali, ma anche allo sviluppo dell’economia digitale.
Sono in ballo interessi economici rilevantissimi e la tutela di diritti di primario livello quali la proprietà intellettuale degli algoritmi e la tutela del valore di impresa, che devono trovare un equilibrio non solo con la tutela dei dati ma anche con altri diritti, anche economici, di pari valore, come la libertà di concorrenza che è sottesa al diritto alla portabilità dei dati in quanto finalizzata anche a facilitare la scelta tra fornitori diversi del medesimo servizio.
Per questo è ragionevole dire che il diritto alla portabilità dei dati non è solo un “nuovo diritto” ma un anche, e soprattutto, un diritto “affacciato sul futuro”.
Intervento di Franco PIZZETTI, Professore ordinario di Diritto Costituzionale all’Università di Torino, già presidente dell’Autorità Garante per la Privacy dal 2005 al 2012