DATA PORTABILITY: NUOVI ADEMPIMENTI PREVISTI PER LE IMPRESE

27 Novembre 2017

L’art. 20 del GDPR introduce il nuovo diritto di portabilità dei dati: secondo tale diritto, “l’interessato ha diritto di ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano, forniti ad un titolare del trattamento ed ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”.

Il diritto alla portabilità dei dati, dunque, favorisce la libera circolazione dei dati personali nell’UE e garantisce la concorrenza tra i Titolari del trattamento dei dati, purché non leda i diritti e le libertà altrui.

 

CHE COSA SI INTENDE PER PORTABILITA’ DEI DATI

Un esempio, per capire meglio il contenuto di questo diritto, è tratto dalle Linee – Guida sul diritto alla “portabilità dei dati” del Gruppo di Lavoro Articolo 29:
Un interessato potrebbe voler recuperare l’elenco dei brani musicali preferiti (o ascoltati) detenuto da un servizio di musica in streaming, per scoprire quante volte ha ascoltato determinati brani o stabilire cosa acquistare o ascoltare su un’altra piattaforma di musica digitale. Potrebbe anche voler recuperare la rubrica dei contatti di posta elettronica su web, magari per costruire una lista degli invitati al proprio matrimonio, oppure ricavare informazioni sugli acquisti effettuati utilizzando varie carte di fidelizzazione per calcolare la propria impronta ecologica di carbonio.

In questo contesto, le imprese dovranno porre in essere tutta una serie di adempimenti, partendo innanzitutto dall’adeguamento tecnologico.
A questo proposito, il Gruppo dei Garanti Europei ha indicato che “sarebbe buona prassi che i titolari di trattamento iniziassero a mettere a punto gli strumenti che faciliteranno l’esercizio del diritto alla portabilità, per esempio, strumenti per il download dei dati e API (interfacce di programmazione di applicazioni)”.
Ovviamente al diritto dell’interessato previsto dall’art. 20 del GDPR, corrisponde l’obbligo per le imprese di trasmettere i dati al richiedente o di spedirli al destinatario richiesto dall’utente.

COSA PERMETTE DI FARE

Il Garante della protezione dei dati personali si è interessato di questa importante novità e, per fare chiarezza, ha pubblicato una interessante infografica.

Secondo il Garante, la portabilità darà diverse possibilità:

  • facile passaggio da un fornitore di servizi all’altro;
  • facile ricezione dei propri dati da un Titolare del trattamento senza doverli necessariamente trasmettere ad un altro Titolare;
  • proseguimento della fruizione di un servizio offerto dal titolare anche dopo un’operazione di portabilità;
  • esercizio del diritto di cancellazione (diritto all’oblio) DEI DATI ai sensi dell’art 17 del GDPR;
  • creazione di nuovi servizi nel quadro della strategia europea per il mercato unico digitale;
  • riequilibrio nel rapporto tra interessati e titolari del trattamento.

QUANDO SI APPLICA?

Perché sia possibile la portabilità, devono ricorrere alcune condizioni rispetto ai dati:

  • devono essere stati forniti direttamente dall’interessato (secondo il Gruppo di Lavoro ex art. 29, sono compresi anche i dati personali generati da un fornitore di servizi, escludendo solo i dati inferenziali e quelli derivati);
  • devono essere chiaramente riferibili all’interessato (quindi sono da escludere i dati anonimi);
  • devono essere trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui l’interessato è parte;
  • devono essere trattati attraverso strumenti automatizzati (sono quindi da escludere gli archivi e registri cartacei);
  • devono essere stati forniti consapevolmente e in modo attivo dall’interessato (per es. i dati di registrazione inseriti compilando un modulo online, come indirizzo postale, nome utente, età, ecc.).

La portabilità si può applicare anche ai dati osservati forniti dall’interessato attraverso la fruizione di un servizio o l’utilizzo di un dispositivo (per es: la cronologia delle ricerche effettuate dall’interessato, i dati relativi al traffico, i dati relativi all’ubicazione, dati grezzi come la frequenza cardiaca registrata da dispositivi sanitari o di fitness).

Non si applica invece ai «dati inferenziali» né ai «dati derivati» (per es.: l’esito di una valutazione concernente la salute di un utente).

I dati portabili devono essere forniti in un formato «interoperabile», cioè in un formato che ne permetta il riutilizzo. I titolari potranno utilizzare formati di impiego comune, se già esistenti, oppure utilizzare formati aperti (es. XML), sviluppando formati interoperabili e strumenti informatici che consentano di estrarre i dati pertinenti.

 

COSA CAMBIA PER LE AZIENDE?

Per far fronte all’esercizio di tale diritto, le imprese dovranno sicuramente far fronte ad un onere economico e consentire la portabilità dei dati attraverso due possibili vie:

  • trasmissione diretta dell’intero insieme di dati portabili;
  • utilizzo di un supporto online (streaming) oppure di supporti esterni (CD, DVD, USB ecc.), nel caso in cui la trasmissione via internet potesse risultare problematica.

 

Fonte: [GarantePrivacy]

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci