In relazione all’introduzione del GDPR, il Garante per la protezione dei dati personali ha pubblicato sul proprio sito (https://www.garanteprivacy.it) una serie di guide che intendono offrire un panorama delle principali problematiche che imprese e soggetti pubblici devono tenere presenti per la piena applicazione del regolamento entrato in vigore il 25 maggio 2018.

Attraverso raccomandazioni specifiche vengono suggerite alcune azioni fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge). Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.

L’articolo 20 del regolamento generale sulla protezione dei dati introduce il nuovo diritto alla portabilità dei dati, che per molti aspetti si differenzia dal diritto di accesso pur essendo a quest’ultimo strettamente connesso. Il diritto alla portabilità dei dati permette agli interessati di ricevere i dati personali da loro forniti al titolare del trattamento, in un formato strutturato, di uso comune e leggibile meccanicamente, e di trasmetterli a un diverso titolare. L’obiettivo ultimo è accrescere il controllo degli interessati sui propri dati personali.

Consentendo la trasmissione diretta dei dati personali da un titolare del trattamento
all’altro, il diritto alla portabilità rappresenta anche uno strumento importante a supporto della libera circolazione dei dati personali nell’UE e in favore della concorrenza fra i titolari.

Questo nuovo diritto dovrebbe facilitare il passaggio da un fornitore di servizi all’altro e potrebbe favorire la creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale.

Nel parere espresso dal Garante si offrono indicazioni sull’interpretazione e sull’attuazione del diritto alla portabilità dei dati introdotto dal regolamento generale sulla protezione dei dati con l’obiettivo di analizzare questo nuovo diritto e il suo ambito di applicazione, chiarendo le condizioni di applicabilità alla luce della base legale del trattamento (consenso dell’interessato o adempimento di obblighi contrattuali) nonché nell’ottica della limitazione relativa ai dati personali forniti dall’interessato stesso.

Nel documento si ritiene che il diritto alla portabilità dei dati si configuri sia rispetto ai dati forniti consapevolmente e in modo attivo dall’interessato sia rispetto ai dati personali generati dalle attività svolte dall’interessato. Questo nuovo diritto non può essere svuotato di contenuto limitandolo ai dati personali che sono comunicati direttamente dall’interessato, per esempio compilando un modulo online.

Un interessante articolo del Prof. Franco Pizzetti, ordinario di Diritto Costituzionale presso la Facoltà di Giurisprudenza Università di Torino pone l’accento sulla differenza tra dati direttamente forniti dall’utente e inferred data ovvero dati prodotti dal fornitore del servizio come frutto di un’attività di data analysis per catalogarne i comportamenti, le attitudini e gli orientamenti ovvero per creare dei cluster di utenti. L’articolo arriva alla conclusione che i dati “forniti direttamente dall’interessato” sono ricompresi solo quelli derivanti dalla sua attività nell’ambito del rapporto col titolare e non rientrano tra i dati forniti direttamente dall’interessato quelli derivanti da una specifica attività svolta in modo autonomo dal titolare usando sistemi proprietari di analisi dati.

Deriva da questa distinzione che i dati “creati” dal titolare non possano formare oggetto del diritto di portabilità proprio perché non sono “forniti direttamente dall’interessato”, anche se possono essere a lui riferiti o riferibili.

I titolari del trattamento ovvero i responsabili dei siti/servizi che utilizziamo ogni giorno dovrebbero comunque mettere a punto strumenti per rendere fattivo l’esercizio del diritto alla portabilità attraverso ad esempio strumenti di semplice utilizzo per il download dei dati e interfacce applicative a disposizione di terze parti.

Sarebbe utile che il mondo imprenditoriale e le associazioni di settore trovino il modo di collaborare per definire  in tempi  rapidi un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto alla portabilità dei dati.