GDPR: Che cos’è il diritto alla portabilità dei dati (Guida al GDPR 3.5)

Il diritto alla portabilità dei dati viene introdotto nel nostro ordinamento per la prima volta dal GDPR all’art. 20 per consentire all’interessato di riutilizzare i propri dati, già oggetto di trattamento da parte di un titolare, per altri scopi (“1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora: il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e il trattamento sia effettuato con mezzi automatizzati. 2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. 3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. 4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.”). Seppure, a primo impatto, possa sembrare simile al diritto d’accesso, questo nuovo diritto ne condivide solamente le basi: il controllo da parte dell’interessato dei propri dati e la libertà di scegliere come e se farli circolare.

Questa norma riconosce, infatti, in capo al soggetto interessato, il diritto di ricevere da un titolare del trattamento i propri dati personali, allo stesso forniti, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile al fine di memorizzarli su un dispositivo proprio (o nella propria disponibilità) ed eventualmente (ma non è lo scopo indispensabile del diritto) trasferirli a un altro titolare.

L’obiettivo alla base di questa previsione è duplice: da un lato, consiste nel tentativo di agevolare il più possibile il passaggio e lo scambio dei dati da un ambiente informatico a un altro, evitando fenomeni di “lock-in” tecnologico e promuovendo di conseguenza la libera circolazione dei dati all’interno dell’UE e favorendo altresì la concorrenza tra i titolari del trattamento. Dall’altro, vi è ancora una volta la volontà di rafforzare la posizione del soggetto interessato cui i dati trattati si riferiscono, riconoscendogli un più ampio potere di controllo e di gestione sui propri dati.

Peraltro, dato che la portabilità pone una serie di vantaggi a favore dell’interessato, caricando di alcuni oneri il titolare, vengono indicate alcune condizioni necessarie per un suo regolare utilizzo (in mancanza delle quali il diritto alla portabilità non potrà essere esercitato).

È lo stesso articolo 20 ad indicare le condizioni necessarie affinché il diritto possa essere esercitato.

È richiesto, in primo luogo, che i dati personali riguardino l’interessato; devono, dunque, essere “dati personali” e non anonimi e devono essere trattati tramite strumenti automatizzati e non su supporti cartacei (scelta necessaria per favorirne la circolazione).

Il Garante, tuttavia, sottolinea anche che l’espressione “dati personali” non dev’essere intesa in senso estremamente restrittivo perché in alcuni casi, come ad esempio nei tabulati telefonici, i dati, seppur personali, potrebbero riguardare anche altri soggetti.

Il diritto alla portabilità dei dati può essere esercitato al ricorrere di due condizioni (delineate dall’art. 20, paragrafo 1):

  1. che i dati personali (anche sensibili) siano trattati sulla base del consenso preventivo dell’interessato oppure in esecuzione di un contratto di cui l’interessato è parte, o ancora di misure precontrattuali adottate su sua richiesta. Tale diritto non sarà quindi applicabile ai dati il cui trattamento è fondato su ragioni di interesse pubblico o sull’interesse legittimo del titolare.
  2. che il trattamento sia effettuato con mezzi automatizzati. Saranno esclusi quindi i dati conservati in archivi ed elenchi cartacei.

In sostanza si richiede che i dati personali, per essere portabili, siano stati forniti consapevolmente e in modo attivo da parte dell’interessato (quindi trattati sulla base del suo consenso preventivo) oppure che siano diventati oggetto di trattamento a seguito di attività da lui stesso svolte, quali la fruizione di un servizio o l’utilizzo di un dispositivo. Ciò significa che, oltre che consensualmente, i dati devono essere stati forniti dall’interessato in modo diretto (ad esempio, tramite la compilazione di un modulo) o in modo indiretto (tramite un suo comportamento attivo, come può essere l’aver creato una cronologia sul web tramite la navigazione), ma in alcun caso potranno essere richiesti dati generati esclusivamente dal titolare. In linea di massima, dovranno, ad esempio, essere rese portabili le liste di brani ascoltati tramite un servizio di streaming musicale (dati trattati per l’esecuzione di un contratto di cui l’interessato è parte), mentre dovranno essere esclusi tutti i dati che vengono creati dal titolare nell’ambito di un trattamento e che sono derivati o dedotti dai dati personali forniti dall’interessato (come la creazione di un profilo utente o i dati prodotti da un algoritmo attraverso un’attività di profilazione). Ancora, sono esclusi i dati trattati per finalità o interessi pubblici: ad esempio, gli istituti finanziari non sono tenuti ad adempiere ad una richiesta di portabilità riguardante dati trattati per gli obblighi di prevenzione e accertamento di reati finanziari o di riciclaggio.

Esercitando il proprio diritto alla portabilità dei dati gli interessati potranno dunque ricevere i dati personali trattati da un titolare e trasmetterli a un altro titolare oppure conservare tali dati su un proprio supporto personale per un uso privato o in vista di un successivo ed eventuale trasferimento a un altro titolare.

Inoltre, è prevista anche la possibilità che i dati personali siano trasmessi direttamente da un titolare a un altro. Tale onere a carico di un titolare sorge in caso di richiesta espressa dell’interessato e, si noti bene, soltanto quando tale operazione sia “tecnicamente fattibile” (art. 20, comma 2, GDPR; si veda per un approfondimento specifico il prossimo articolo).

È il titolare che riceve i dati a dover garantire la conformità del trattamento al GDPR (a partire dall’adempimento degli obblighi informativi). È importante infatti evidenziare che il titolare originario dovrà valutare i rischi specifici della portabilità e adottare idonee misure per ridurli, ma non avrà alcuna responsabilità in merito ai futuri trattamenti effettuati da altri titolari o dallo stesso interessato, il quale, tuttavia, non perderà alcun diritto nei confronti del primo titolare. Infatti, l’esercizio del diritto alla portabilità dei dati personali non dovrà pregiudicare l’esercizio di nessun altro diritto di terzi né dell’interessato stesso. Questa precisazione, con riferimento alla portabilità dei dati, viene in rilievo in particolare nel caso in cui un titolare tratti un insieme di dati che riguardano più interessati (ad esempio anche soggetti che non hanno prestato il consenso): se uno di questi interessati esercita tale diritto, l’operazione non deve pregiudicare i diritti e le libertà degli altri (in poche parole, occorrerà distinguere con attenzione i dati e non trasmettere anche quelli di altri interessati, seppur connessi). Inoltre, all’interessato che intenda esercitare questo diritto deve essere garantita, anche in seguito a tale operazione, tanto la possibilità di continuare a usufruire del servizio offerto dal titolare quanto quella di ottenere la cancellazione dei propri dati.

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it