di Franco Pizzetti
La portabilità dei dati è uno dei nuovi e importanti diritti introdotti con il GDPR. I “nuovi diritti” sono legati alle sfide che la rapidità dell’evoluzione tecnologica e lo sviluppo della globalizzazione comportano per la protezione dei dati personali (Considerando 6).
Proprio allo scopo di far fronte a queste nuove sfide e sviluppo delle tecnologie il Regolamento individua questi “nuovi diritti”, non presenti nella Direttiva 95/46. Uno di questi, su cui finora non si è posta abbastanza attenzione, è appunto quello della portabilità dei dati.
Che cos’è il diritto alla portabilità dei dati con il GDPR
Il diritto alla portabilità dei dati consente a chiunque sappia che i suoi dati sono oggetto di trattamenti automatizzati compiuti dal titolare del trattamento, o col suo consenso o per contratto, di chiedere che i dati da lui forniti siano trasmessi, senza impedimenti, o a sé stesso o ad altro titolare da lui indicato, utilizzando un formato “strutturato, di uso comune e leggibile da dispositivo automatico”.
Assolve a due scopi:
- aumentare il controllo dell’interessato sui suoi dati;
- facilitare la loro trasmissione ad un altro titolare.
Vediamo di seguito di che si tratta e l’impatto che può avere su noi tutti.
I “nuovi diritti” introdotti dal GDPR
Fra i nuovi diritti del GDPR merita elencare:
- il diritto alla cancellazione disciplinato dall’art. 17, che si estende al dovere del titolare, che abbia resi pubblici dati personali, di adottare misure ragionevoli, anche tecniche, per informare chi sta trattando tali dati della richiesta di cancellare qualsiasi link, copia o riproduzione;
- il diritto di limitazione del trattamento di cui all’art. 18, nel caso in cui l’interessato non chieda la cancellazione né si opponga al trattamento ovvero quando l’interessato possa averne bisogno anche oltre le finalità del titolare;
- il diritto di opporsi in qualunque momento, per motivi connessi alla propria situazione particolare, a trattamenti fondati su alcune specifiche basi di legittimità, quali la necessità di eseguire compiti di interesse pubblico o connessi all’esercizio di pubblici poteri del titolare del trattamento, ovvero sul legittimo interesse (cfr. art.21 e richiamo a art. 6, paragrafo 1, lettere e) ed f).
Sono tutti “nuovi diritti” che si comprendono bene solo se si tiene conto di quanto previsto dall’art. 1 e dai Considerando 6 e 7, che chiariscono oltre ogni ragionevole dubbio che il Regolamento ha un triplice obiettivo:
- innalzare la tutela del diritto di cui all’art. 8 della Carta di Nizza;
- favorire la libera circolazione dei dati;
- stimolare lo sviluppo dell’economia digitale consolidando la fiducia dei cittadini.
Ciascuno dei diritti indicati, infatti, apre nuove frontiere alla tutela dei dati personali, consentendo all’interessato un’ampia tastiera di possibilità al fine di rafforzare la propria tutela, estendendola anche alle nuove forme di circolazione dei dati nella società digitale (il nuovo diritto alla cancellazione) o per modulare le richieste sulla base delle sue esigenze specifiche (il diritto alla limitazione dei trattamenti e il diritto di opposizione). In altre parole, grazie ai “nuovi diritti”, l’interessato non è più costretto nelle maglie, ormai diventate troppo rigide, del tradizionale diritto di accesso, di rettifica e di cancellazione dei dati come definiti nella Direttiva 95/46. Non a caso, del resto, anche il diritto di accesso è nel GDPR assai più dettagliato di quanto non accadesse nella Direttiva e si estende anche a specifiche richieste nei casi in cui i dati non sono raccolti presso l’interessato o con riguardo ai trattamenti automatizzati con effetto decisionale.
L’analisi dei nuovi diritti non può tuttavia essere fatta in modo astratto e meccanico, quasi che il risultato del Regolamento consista essenzialmente nell’aver aumentato “l’arsenale dei diritti”.
Nuovi diritti e legittimità dei trattamenti
Il riconoscimento di molti di essi in capo all’interessato dipende dalle basi di legittimità dei trattamenti invocate dal titolare. Cosi, ad esempio, il diritto alla portabilità dei dati sussiste solo se i dati sono trattati col consenso dell’interessato (art.6, 1, lettera a) o sulla base di un contratto (art. 6,1, lettera b). Esso è, invece, escluso se il trattamento avviene per l’esecuzione di un compito pubblico o connesso all’esercizio di pubblici poteri (art. 20,3). Di qui la connessione strettissima fra “nuovi diritti” e obbligo di dare all’interessato informative che rendano esplicita la base di legittimità del trattamenti, e lo scopo ultimo in cui, richiamando i Considerando già citati, deve essere inquadrata la nuova normativa.
I “nuovi diritti” non sono, per loro natura, a “portata generica e generale”. Al contrario: sono diritti mirati a presidiare aspetti essenziali della tutela dei trattamenti di dati personali in un quadro che intende stimolare e favorire lo sviluppo della società digitale.
Diritto alla portabilità dei dati, finalità e condizioni
Tra questi “nuovi diritti” un posto centrale è occupato da quello relativo alla portabilità dei dati di cui all’art. 20, al quale è dedicata questa riflessione che tiene conto anche delle Linee Guida adottate dal Working Party il 5 aprile 2017 (WP n. 242 rev.01).
A prima vista potrebbe sembrare che il diritto alla portabilità dei dati sia una sorta di diritto di accesso rafforzato, ma in realtà opera in una logica e un contesto del tutto diversi.
Leggendo questa disposizione, un normale cittadino può chiedersi quanto ampia sia la quantità delle informazioni che, trattate in modo automatizzato, possano essere da lui richieste o che egli può chiedere di trasferire ad altri titolari.
In particolare può pensare che sia possibile ottenere non solo i dati che lui stesso ha forniti, anche in ragione dei comportamenti tenuti nel corso del rapporto col titolare, ma anche le valutazioni che quest’ultimo abbia fatto utilizzando tali informazioni e i risultati valutativi ai quali è pervenuto.
In sostanza può pensare di potere avere anche gli eventuali elementi valutativi che indichino se lui è considerato un cattivo pagatore o se è stato catalogato tra i malati ad alto rischio, o se, in virtù dei suoi comportamenti di guida, è stato considerato da una assicurazione o da altro soggetto che trattati e analizzi legittimamente questi dati, come un guidatore particolarmente pericoloso. Alla stessa maniera, per contro, potrebbe pensare di ottenere anche le valutazioni fatte dal titolare che lo riguardino in modo positivo, per esempio attestandone la qualità di buon pagatore, o quella di bravo guidatore, o quella di malato a basso rischio di malattie.
Ovvio che se le cose stessero in questo modo il diritto alla portabilità dei dati assumerebbe un rilievo molto forte, perché consentirebbe non solo di avere in formato elettronico di uso comune tutti i dati che riguardano una persona, o che questa ha fornito o prodotto nell’ambito del suo rapporto col titolare, ma di avere anche i risultati delle attività di analisi da quest’ultimo svolte, spesso sopportando anche oneri molto rilevanti.
Aspetto, questo, che renderebbe l’attivazione di tale diritto e le risposte da dare particolarmente onerose per i titolari, non solo in ragione dell’obbligo di utilizzare formati di uso comune nel comunicare i dati ma anche, e soprattutto, perché li obbligherebbe a rendere note valutazioni frutto di analisi basate spesso sul ricorso a tecniche Big data e di Data analysis che costituiscono anche un patrimonio di impresa, e talvolta anche il frutto di opere intellettuale, o dell’ingegno, di rilevante valore quali sono gli algoritmi.
L’esercizio di questo diritto potrebbe diventare così anche una via per favorire la crescita di startup che, avvalendosi della portabilità dei dati esercitata a loro favore da parte di clienti di imprese più strutturate e più avanti nell’analisi dei dati a fini valutativi, potrebbero accelerare di molto, e con risparmi elevatissimi, la loro capacità competitiva.
In realtà, invece, il diritto alla portabilità dei dati, pur nuovo e chiaramente orientato a favorire la massima circolazione dei dati, e quindi lo sviluppo della società digitale e la concorrenza, non arriva fino a questo punto. Esso incontra, infatti, alcuni limiti specifici che giova analizzare da vicino, anche tenendo conto del quadro complessivo dei diritti previsti dal Regolamento.
Da un lato, aumenta il controllo degli interessati sui loro dati perché consente non solo di conoscere quali siano quelli trattati dal titolare (diritto di accesso) ma anche, e soprattutto, di ricevere i dati richiesti in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.
Inoltre, l’esercizio di questo diritto consente di chiedere che, senza alcun impedimento, i dati siano trasferiti a un altro titolare, indicato dall’interessato.
E’ evidente dunque che esso ha almeno due finalità importanti:
- aumentare il controllo dell’interessato sui suoi dati;
- facilitare la loro trasmissione ad un altro titolare.
Questa seconda finalità è particolarmente importante al fine di favorire la libera circolazione dei dati e lo sviluppo dell’economia digitale anche favorendo la concorrenza fra i diversi fornitori di servizi.
Va sottolineato anche, però, che questo diritto può essere esercitato a due condizioni.
- La prima, che il trattamento dei dati di cui si chiede la portabilità sia basato sul consenso di cui all’art. 6, paragrafo 1, lettera a) e art. 9, lettera a) ovvero su un contratto;
- La seconda, il trattamento sia effettuato con mezzi automatizzati.
Intervento di Franco PIZZETTI, Professore ordinario di Diritto Costituzionale all’Università di Torino, già presidente dell’Autorità Garante per la Privacy dal 2005 al 2012
to be continued