GDPR e portabilità dei dati: nuovo rischio per le imprese?
di Giacomo ContiSarah Ungaro Scarica in PDFUn possibile fattore di promozione della concorrenza ma con apposite misure tecniche e organizzative
L’articolo 20 del Regolamento Generale sulla Protezione dei Dati (GDPR) introduce il nuovo diritto alla portabilità dei dati. Il rilievo della novità risulta ancora maggiore se si considera che è di immediata applicazione, con la conseguenza che gli operatori economici ed ogni altro soggetto che tratta i dati personali devono adeguare la propria organizzazione aziendale al fine di garantire la possibilità agli interessati di richiedere ed ottenere la portabilità dei propri dati.
La portabilità del dato è finalizzata, infatti, non solo a promuovere il controllo degli interessati sui propri dati personali, ma anche a favorire la circolazione, la copia o la trasmissione dei dati da un ambiente informatico all’altro e di facilitarne il passaggio da un fornitore di servizi all’altro.
La possibilità di portare i propri dati è infatti, nell’ottica del legislatore europeo, un fattore di promozione della concorrenza, soprattutto del mercato dei servizi digitali, in quanto facilita la migrazione dei dati degli utenti da un operatore economico all’altro.
Le linee-guida sul diritto alla “portabilità dei dati” sono, infatti, chiare nell’indicare come suo obiettivo ultimo quello di accrescere il controllo degli interessati sui propri dati personali.
Il diritto alla portabilità rappresenta, quindi, anche uno strumento importante a supporto della libera circolazione dei dati personali nell’UE e diretto a favorire la concorrenza, facilitando il passaggio da un fornitore di servizi all’altro e portando alla creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale.
In cosa consiste, in sintesi, il diritto alla portabilità?
In base al nuovo diritto, dunque, l’interessato avrà la facoltà di richiedere i dati personali trattati da un titolare su un formato strutturato, di uso comune e leggibile da dispositivo automatico di sua scelta, oltre che di conservare i dati richiesti su un supporto personale e di trasmetterli a un altro titolare del trattamento di sua scelta senza impedimenti.
Il GDPR stabilisce alcuni requisiti per l’esercizio del diritto alla portabilità: innanzitutto, che il trattamento dei dati sia basato sul consenso dell’interessato o su un contratto di cui è parte l’interessato stesso. In secondo luogo, i dati oggetto di portabilità devono essere dati personali che riguardano l’interessato (con alcune limitazioni nel caso in cui tali dati riguardino anche dati personali di soggetti terzi, soprattutto per quanto riguarda i trattamenti che il nuovo titolare può porre in essere), in quanto il diritto alla portabilità non deve ledere diritti e libertà altrui e, infine, devono essere dati “forniti” dall’interessato.
Sebbene la formulazione letterale possa dunque far ritenere tale diritto applicabile ai soli dati forniti consapevolmente e attivamente dall’interessato, i Garanti Europei evidenziano che invece questo deve essere ritenuto esercitabile anche per i dati “osservati forniti dall’interessato attraverso la fruizione di un servizio o l’utilizzo di un dispositivo”. La categoria dei dati “forniti dall’interessato”, secondo le linee-guida citate, deve essere intesa in senso estensivo, e quindi deve ricomprendere anche tipologie di dati come i log di accesso, i dati di navigazione, la cronologia delle ricerche effettuate, i brani musicali ascoltati da un servizio di musica in streaming, ad esclusione dei soli “dati inferenziali” e “dati derivati”, che invece sono creati, dedotti o derivati dall’analisi dal titolare del trattamento sulla base dei dati forniti dall’interessato.
Quali ricadute in termini organizzativi ed economici comporterà garantire tale diritto alla portabilità dei dati?
A differenza del diritto di accesso che può essere standardizzato con facilità e necessita di un’organizzazione minimale da parte del titolare, il diritto alla portabilità richiede significativi oneri e costi in capo agli operatori economici di settore e necessita, per essere adeguatamente assicurato, di un’effettiva e corposa attività di adeguamento delle prassi aziendali.
Prima di analizzare l’attività di compliance che questo nuovo adempimento chiede di realizzare, occorre approfondire le ricadute a livello organizzativo che l’adempimento di questo nuovo obbligo impone in capo ai titolari.
Per rispettare il nuovo diritto alla portabilità dei dati, infatti, i titolari devono innanzitutto informare gli interessati dell’esistenza di tale diritto, aggiornando l’informativa ai sensi di quanto previsto dagli artt. 13, paragrafo 2, lettera b), e 14, paragrafo 2, lettera c) del GDPR.1 che il titolare deve fornire “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”.
Per esempio, si potrebbe prevedere che i dati siano forniti in prima istanza in un formato sintetico, attraverso appositi “pannelli” (dashboards) che permettano all’interessato di applicare la portabilità a sottoinsiemi dei dati personali anziché alla loro totalità.
Emerge, quindi, come sia indispensabile aggiornare la propria informativa privacy che deve essere integrata in modo tale da rendere gli interessati edotti del nuovo diritto alla portabilità accordati dal GDPR .
Gli adempimenti più significativi ed onerosi che i titolari dovranno adottare riguardano, tuttavia, il profilo sostanziale. Il GDPR vuole assicurare, infatti, che l’esercizio del suddetto diritto sia effettivo e, infatti, l’art. 12, paragrafo 3, stabilisce espressamente che il titolare fornisce i dati personali all’interessato “senza ingiustificato ritardo” e comunque “entro un mese dal ricevimento dalla richiesta” ovvero, in casi di particolare complessità, entro un massimo di tre mesi, purché l’interessato venga informato delle motivazioni di tale proroga entro un mese dal ricevimento della richiesta iniziale.
I tempi estremamente ridotti previsti dalla normativa europea impongono, quindi, ai titolari che gestiscono servizi della società dell’informazione di disporre di sufficienti capacità tecniche per ottemperare alle future richieste di portabilità.
Per venire incontro alle aspettative degli utenti potrebbe, quindi, essere buona prassi quella di indicare la tempistica normalmente applicabile alla gestione delle richieste di portabilità informandone preventivamente gli interessati.
Il GDPR non spiega, infatti, come gestire la risposta a richieste di portabilità in presenza di insiemi estesi o strutturalmente complessi di dati né quando si presentino altre problematiche tecniche che comportino potenziali difficoltà per i titolari o gli interessati e, pertanto, è bene che ogni titolare inizi a studiare, sin da subito, le prassi aziendali che ritiene più corrette.
In argomento, poi occorre considerare l’adozione delle necessarie misure tecnologiche per assicurare tale diritto: in proposito, il Gruppo dei Garanti Europei ha suggerito che “sarebbe buona prassi che i titolari di trattamento iniziassero a mettere a punto gli strumenti che faciliteranno l’esercizio del diritto alla portabilità – per esempio, strumenti per il download dei dati e API (interfacce di programmazione di applicazioni)”.
Proprio ai titolari spetta, infatti, l’obbligo di garantire che i dati personali siano trasmessi in un formato strutturato, di uso comune e leggibile meccanicamente. In questo frangente, i titolari dovrebbero altresì garantire l’interoperabilità dei formati con cui i dati vengono messi a disposizione in ottemperanza ad una richiesta di portabilità.
È a rischio il know how delle imprese relativo all’organizzazione e allo sfruttamento delle potenzialità circa i dati personali conferiti ed acquisiti?
Da ultimo, l’aspetto più delicato è quello afferente, senza alcun dubbio, alla tutela del know how dell’azienda che tratta i dati personali oggetto della richiesta di portabilità: nel momento in cui i dati vengono rilasciati su formato strutturato vi è, infatti, il rischio che vi sia la divulgazione accidentale di segreti industriali e di know how del titolare.
Al riguardo l’art. 20 ultimo comma del GDPR specifica come il diritto alla portabilità non debba arrivare a ledere diritti e libertà altrui.
Il Gruppo dei Garanti Europei ha, peraltro, precisato come il concetto di diritti e libertà altrui di cui all’art. 20, paragrafo 4, possa riferirsi anche a “diritti o libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software” riferendosi all’art. 63 del GDPR.
Tuttavia tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni in quanto, se il titolare tratta una notevole quantità d’informazioni riguardanti l’interessato, il primo dovrebbe aver la facoltà di poter richiedere che il secondo precisi, prima che siano fornite, le attività di trattamento cui la richiesta si riferisce. Il diritto alla portabilità dei dati non può comportare, infatti, il diritto di terzi di abusare dei dati fino a configurare prassi scorrette ovvero in violazione dei diritti di proprietà intellettuale.
Benché sia quindi opportuno tenere conto dei diritti in questione, prima di rispondere a una richiesta di portabilità, “tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni”; d’altro canto, l’esistenza di un rischio potenziale per l’attività imprenditoriale non può, isolatamente e in quanto tale, costituire fondamento per il diniego della richiesta di portabilità.
Anche in considerazione della delicatezza di tali profili, dunque, è indispensabile che i titolari adottino procedure e predispongano misure tecniche e organizzative che permettano di ottemperare alla richiesta di portabilità dei dati degli interessati idonee al contempo ad evitare il rischio di rivelazione di informazioni commerciali riservate o diritti di proprietà intellettuale.