Siete qui: Oggi sulla stampa
Oggi sulla stampa

Portabilità dei dati garantita

Data portability pronta al via. La portabilità dei dati è uno nuovi diritti previsti dal regolamento europeo sulla privacy n. 2016/679, operativo dal 25 maggio 2018.

Assomiglia, per dare un’idea di cosa si tratti, alla portabilità del numero telefonico, ma riguarda le proprie informazioni personali.

Per esempio, un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti (o ascoltati) detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale. Potrebbe anche voler recuperare la rubrica dei contatti di posta elettronica su web, magari per costruire una lista degli invitati al proprio matrimonio, oppure ricavare informazioni sugli acquisti effettuati utilizzando varie carte di fidelizzazione per calcolare la propria impronta ecologica di carbonio.

Il diritto implica comunque una serie di adempimenti per le imprese, che devono adeguarsi anche da un punto di vista tecnologico per consentire l’esercizio di questa nuova prerogativa.

Come spiega il considerando (la premessa) n. 68 del regolamento Ue il diritto alla portabilità serve a rafforzare ulteriormente il controllo sui propri dati.

Questo obiettivo si raggiunge assegnando all’interessato il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmetterli a un altro titolare del trattamento, se tecnicamente fattibile, l’interessato dovrebbe avere il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro.

Altri esempi tratti dalle Linee guida dei Garanti europei (gruppo articolo 29) sono i seguenti: tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP, che comprendono informazioni su terzi in rapporto alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralità di individui.

Ancora un po’ di casi. Un servizio di posta elettronica via web può consentire la creazione di un registro di tutti i contatti (amici, parenti, familiari ecc.) dell’interessato.

Analogamente, un conto corrente bancario, che può contenere dati personali relativi non soltanto alle operazioni del titolare del conto, ma anche a quelle svolte da altri soggetti (che abbiano, per esempio, effettuato un bonifico a favore del titolare del conto).

Il diritto alla portabilità. Il diritto alla portabilità significa due possibili cose:

1) avere il pacchetto dei propri dati;

2) chiedere di trasmettere il pacchetto dei propri dati a un terzo.

È un po’ come la portabilità del numero di telefono da un gestore ad un altro.

Al diritto dell’interessato corrisponde il dovere dell’impresa di restituire i dati o di spedire i dati al destinatario richiesto dall’utente.

Insomma una bella comodità, ma anche un onere economico per le imprese.

Attenzione però: il diritto alla portabilità incontra una serie di limiti.

Si applica solo in presenza di alcuni presupposti e si applica solo ad alcune categorie di dati personali.

Il garante della privacy italiana spiega che il diritto alla portabilità dei dati non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati «forniti» dall’interessato al titolare.

Non rientrano tra i dati forniti dall’interessato quelli frutto della rielaborazione effettuata dall’impresa (dati derivati o inferenziali).

Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.

Il regolamento Ue. Il diritto si applica qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto. Non si applica qualora il trattamento si basa su un fondamento giuridico diverso dal consenso o contratto. Per sua stessa natura, tale diritto non può essere esercitato nei confronti dei titolari del trattamento che trattano dati personali nell’esercizio delle loro funzioni pubbliche.

Non si applica, quindi, quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non comporta l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili. Anche se i titolari del trattamento sono incoraggiati a sviluppare formati interoperabili che consentano la portabilità dei dati.

Qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati personali non deve pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del regolamento. Inoltre tale diritto non dovrebbe pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al regolamento e non implica automaticamente la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto.

Oneri per le imprese. Le imprese devono consentire la portabilità dei dati.

Il regolamento europeo spiega che è opportuno che tutti i titolari, sia coloro che «inviano» sia coloro che «ricevono» i dati, rendano disponibili strumenti per consentire agli interessati di scegliere i dati che desiderano trasmettere e ricevere escludendo (se del caso) i dati di altri interessati.

Se il volume dei dati richiesti dall’interessato rende problematica la trasmissione via internet, il titolare potrebbe valutare il ricorso a modalità alternative invece di fare affidamento sull’estensione potenziale del periodo previsto per la risposta all’interessato (massimo tre mesi). Per esempio, potrebbe ricorrere allo streaming, oppure salvare i dati su cd, dvd o altri supporti fisici, oppure ancora consentire la trasmissione diretta dei dati personali a un diverso titolare.

Sul piano tecnico, i titolari hanno due opzioni:

– trasmissione diretta dell’intero insieme di dati portabili (o di più estratti di parti del set complessivo di dati);

– utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti.

Nell’implementare i due approcci diversi e complementari sopra indicati, al fine di fornire i dati portabili volta per volta pertinenti, si possono prevedere varie metodologie: l’utilizzo di messaggistica sicura, di un server SFTP, di una WebAPI o di un WebPortal sicuri. Al fine di conservare i dati personali e consentire ai singoli titolari di accedervi e trattarli nei modi necessari, gli interessati dovrebbero avere la possibilità di utilizzare un personal data store, ossia un servizio di deposito per i propri dati personali, un sistema per la gestione delle informazioni personali o altri meccanismi basati sulla presenza di «terzi fidati» (trusted third parties).

Quanto al formato, i titolari dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio, XML, JSON, CSV ecc.) unitamente a metadati utili, al miglior livello possibile di granularità, mantenendo un livello elevato di astrazione. Pertanto, fornire all’interessato la versione in formato .pdf delle informazioni contenute nella sua casella di «posta elettronica in arrivo» sarebbe poco conciliabile con il requisito di un formato sufficientemente strutturato o descrittivo, tale da permettere con facilità il riutilizzo dei dati contenuti nella casella di posta.

Inoltre si potrebbe prevedere che i dati siano forniti in prima istanza in forma sintetica, attraverso appositi «pannelli» (dashboards) che permettano quindi all’interessato di applicare la portabilità a sottoinsiemi dei dati personali anziché alla loro totalità. L’interessato dovrebbe essere in grado di utilizzare applicazioni software per individuare, riconoscere e trattare con facilità specifici segmenti di informazione.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

«È un falso dilemma» che la Bce abbia un solo mandato e la Federal Reserve due. Anche la Banca ce...

Oggi sulla stampa

Oggi sulla stampa

Un intervento normativo finalizzato a favorire il rafforzamento patrimoniale delle società di capit...

Oggi sulla stampa

Oggi sulla stampa

Scuola e lavori pubblici, settore residenziale e miglioramento delle norme in fatto di appalti, come...

Oggi sulla stampa