Affinché la portabilità venga resa pienamente applicabile, sono richiesti comportamenti attivi allo stesso titolare, il quale, oltre a dover informare gli interessati dell’esistenza del diritto in questione (ai sensi degli artt. 13 e 14 dello stesso Regolamento), avrà anche l’onere di adottare modalità che favoriscano la trasmissione dei dati (dando, ad esempio, all’interessato la possibilità di scaricarli o di trasferirli direttamente ad un altro titolare).
I titolari dovranno innanzitutto informare gli interessati circa l’esistenza di tale diritto, fornendo loro un’adeguata informativa su questo specifico elemento, nel rispetto di quanto stabilito dagli artt. 13 e 14 del GDPR (per un approfondimento specifico al riguardo vi invitiamo a leggere i precedenti articoli di questo Speciale sul GDPR, appositamente dedicati al contenuto dell’informativa da rendere agli interessati). In particolare, l’informativa dovrà contenere un riferimento chiaro, intellegibile e specifico alla possibilità di esercitare questo diritto.
Quando un interessato decide di esercitare il diritto alla portabilità, il titolare interpellato dovrà adempiere a quanto richiesto e fornirgli gratuitamente tutte le informazioni relative all’azione intrapresa quanto prima, con una tempistica ragionevole in base al contesto di riferimento, informando però tempestivamente l’interessato e sempre nel rispetto di quanto previsto dall’art. 12 GDPR (in generale, quindi, entro un mese dalla richiesta; per approfondimenti al riguardo si veda l’articolo dedicato al diritto di accesso).
Il titolare dovrà fornire all’interessato i dati in un formato strutturato, di uso comune, leggibile meccanicamente che garantisca l’interoperabilità, ma non la compatibilità (art. 20 GDPR), affinché le applicazioni software possano identificarlo ed estrarre i dati necessari. La prima strada da seguire dovrebbe essere quella di consentire all’interessato tanto di scaricare autonomamente le informazioni quanto di trasmetterle direttamente ad un diverso titolare, ad esempio tramite un’interfaccia di programmazione di applicazioni (API); un altro strumento utile potrebbe essere individuato nel fornire un servizio di deposito e memorizzazione dei dati a disposizione degli interessati per consentire loro di semplificare il passaggio tra vari titolari. è poi consigliabile che insieme ai dati vengano forniti dal titolare quanti più metadati possibile (al livello massimo di granularità) per proteggere la semantica specifica delle informazioni. Si noti, però, che tale requisito non fa sorgere corrispettivamente in capo a coloro che diverranno successivamente titolari un obbligo di predisporre misure adeguate a supportare tale formato.
Il GDPR non fornisce ulteriori indicazioni di dettaglio sulla tipologia di formato in cui i dati devono essere trasmessi: ciascun titolare dovrà quindi premurarsi di utilizzare il formato più adeguato ad assicurare la portabilità dei dati stessi a seconda del settore specifico di attività e dello scopo dell’interoperabilità. Per superare questo gap tecnico, il Gruppo di Lavoro europeo denominato “Articolo 29” nelle linee guida dedicate a questo argomento ha posto l’attenzione sulla necessità che fra i produttori e le associazioni di categoria si instaurino delle forme di collaborazione “al fine di sviluppare un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto alla portabilità dei dati”, sollecitando la predisposizione di apposite soluzioni.
I titolari potrebbero, inoltre, in modo completare, sia predisporre misure idonee a consentire la trasmissione dell’intero insieme di dati sia fare ricorso a strumenti automatizzati che permettano di estrarre i dati pertinenti al contenuto specifico della richiesta di portabilità, utilizzando messaggistica sicura, server SFTP, WebAPI o WebPortal sicuri. E quest’ultima soluzione sarà tanto più opportuna quanto più siano complessi e strutturati gli insiemi di dati trattati, consentendo di estrarre determinate parti del set di dati e minimizzando il rischio di usi illeciti dei dati.
Viene, peraltro, consigliata ai titolari la predisposizione di strumenti d’identificazione per controllare che effettivamente chi richiede e riceve i dati sia l’interessato: il che non significa necessariamente dover adottare complessi strumenti di identificazione, in quanto può già essere considerato sufficiente, ad esempio, fornire il nome utente e la password, quando il trattamento è effettuato in relazione ad un account utente.
La fattibilità tecnica della trasmissione da un titolare ad un altro, condizione affinché possa essere richiesto direttamente al titolare di procedere alla trasmissione delle informazioni ad un altro titolare deve essere valutata in rapporto al caso specifico. In generale, si può ritenere che il passaggio diretto tra titolari dovrebbe avvenire quando è possibile una comunicazione sicura tra i sistemi e quando il destinatario dei dati è tecnicamente in grado di ricevere quanto trasmesso.
Gli eventuali ostacoli tecnici dovranno comunque essere comunicati e spiegati all’interessato, in quanto potrebbero determinare un rifiuto alla richiesta. Il titolare potrà, infatti, opporre un diniego alla richiesta di portabilità dei dati rivoltagli dall’interessato, soltanto qualora vi siano degli impedimenti indicati nello stesso Regolamento, ad esempio perché lo stesso ritiene che i dati non vengano trattati in modo automatizzato oppure che il trattamento effettuato sia connesso all’esercizio di poteri pubblici. In questo caso, però, lo stesso dovrà, sempre entro un termine massimo di un mese dalla ricezione della richiesta, sia indicare i motivi di tale rifiuto sia far presenta all’interessato la possibilità di fare reclamo all’autorità di controllo o di ricorrere all’autorità giudiziaria, tenendo altresì presente che rimane sempre a carico del titolare la dimostrazione della legittimità del proprio diniego.
Ogni titolare sarà infine obbligato ad informare gli utenti della possibilità di esercitare il diritto alla portabilità prima della chiusura di un account o del termine di un trattamento (al fine di non perderli definitivamente).
