GDPR 2016/679 – Il diritto alla portabilità del dato come libera scelta dell’Interessato

Il Nuovo Regolamento Europeo ribadisce una serie di diritti in capo all’interessato:

• il diritto di accesso
• il diritto di rettifica
• il diritto alla cancellazione (più noto come diritto all’oblio)
• il diritto di limitazione del trattamento
• il diritto di opposizione al trattamento

e il nuovo introdotto dall’Art 20: il diritto alla portabilità dei dati.

Il controllo da parte dell’interessato dei propri dati e la libertà di scegliere come e se farli circolare, costituiscono i temi caldi centrali del Regolamento per la Protezione dei Dati GDPR oltre ad essere la cornice di senso comune a tutti i diritti introdotti dalla 679 del 2016.

Nella fattispecie, il diritto alla portabilità del dato consente all’interessato di ricevere i dati personali forniti ad un titolare in “un formato strutturato, di uso comune e leggibile da un dispositivo automatico e di trasmetterli ad un titolare diverso senza impedimenti” ed eventualmente di riutilizzarli per altri scopi. È prevista anche la possibilità che i dati personali siano trasmessi direttamente da un titolare ad un altro su richiesta espressa dell’interessato.

A quali condizioni può essere esercitato il diritto alla portabilità?

Il nuovo diritto può essere esercitato se:

• i dati personali riguardano necessariamente l’interessato
• i dati personali derivano da un trattamento tramite strumenti automatizzati

Sono portabili quei dati forniti tramite consenso consapevole, esplicito ed inequivocabile e in un formato comune (xls, csv, xlm, ecc.). Tuttavia, non sono portabili in alcun modo tutti quei dati creati dal titolare nell’ambito di un trattamento e derivati dai dati personali forniti dall’interessato («dati inferenziali» o «dati derivati»).

Quali obblighi spettano al Titolare che tratta dati “portabili”?

In capo al titolare l’onere di garantire:

• l’adempimento degli obblighi informativi
• la valutazione dei rischi specifici della portabilità
• l’adozione di misure tecniche e/o organizzative adeguate a garantire il suddetto diritto dell’interessato

Il titolare che ha ceduto i dati non avrà alcuna responsabilità in merito ai futuri trattamenti effettuati da altri titolari o dallo stesso interessato. L’esercizio di questo diritto non pregiudica nessuno degli altri diritti dell’interessato, nei confini del contratto instaurato con il titolare, relativamente sia alla continuazione del servizio offerto sia all’eventuale esercizio del diritto di cancellazione del dato.

In riferimento a quanto detto, il GDPR non ha carattere prescrittivo bensì indica alcune condizioni necessarie in mancanza delle quali il diritto alla portabilità non potrà essere esercitato dall’Interessato. In alcun modo vuole rallentare l’agire delle imprese bensì fornire delle linee di confine entro le quali le aziende possano trovare le misure organizzative adeguate e realizzabili al proprio interno al fine di garantire questo diritto oggi più che mai ritenuto fondamentale.

Quali obiettivi intende perseguire il legislatore con il diritto alla portabilità?

L’impegno legislativo del nuovo Regolamento si muove nella direzione di:

• supportare la libera circolazione dei dati personali nell’UE
• facilitare il passaggio da un fornitore di servizio all’altro
• favorire la creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale
• incentivare un insieme condiviso di standard e formati in linea con il diritto alla portabilità

Il GDPR, complessivamente, ha il pregio di aver facilitato l’esercizio dei diritti dell’interessato che forse, prima di questo intenso lavoro di unificazione della normativa europea, venivano trascurati o spesso ignorati.