Il Regolamento generale sulla protezione dei dati (RGPD) prevede, all’art. 20, una nuova facoltà in favore dell’interessato, ovvero il diritto alla portabilità dei suoi dati: si tratta invero di un diritto strettamente connesso a quello di accesso e che si concretizza nella possibilità per ciascun soggetto di ricevere dal Titolare del trattamento le informazioni rese allo stesso, in formato leggibile e di uso comune (facilitando così la trasmissione e la copia).
Le finalità perseguite afferiscono da un lato, alla necessità di assicurare un controllo sul dato personale e dall’altro, ad incentivare la libera circolazione delle informazioni nell’ambito dell’Unione europea, anche per favorire la concorrenza tra gli operatori economici che vi svolgono attività di impresa. Il diritto alla portabilità del dato renderà infatti più agevole il passaggio degli utenti da un fornitore di servizi all’altro, incentivando la creazione ed il rafforzamento del mercato unico digitale.
Allo scopo di chiarire il significato e l’ambito di applicazione di questa innovativa facoltà, anche nell’ottica di renderne effettivo l’esercizio, il Gruppo Articolo 29 (WP29) ha emanato, lo scorso 13 dicembre 2016, un apposito parere.
In particolare, il WP29 ha ritenuto che tale diritto sorga in tutte quelle ipotesi nelle quali l’interessato abbia fornito, in modo consapevole, le sue informazioni personali al Titolare, nonché nel caso in cui quest’ultimo le abbia raccolte autonomamente (ad esempio attraverso le attività poste in essere dall’interessato stesso): la funzione peculiare è infatti proprio quella di ristabilire l’equilibrio tra il potere del Titolare e quello dell’interessato nella gestione dell’informazione personale.
Il diritto in commento si compone, in realtà, di due, differenti, profili: da un lato quello che si concretizza nel ricevere i dati, nel copiarli e conservarli su un supporto anche per finalità diverse che non implichino la trasmissione ad un altro fornitore di servizi, dall’altro quello di effettuare quest’ultima operazione, ovvero di conferire il dato ad un differente Titolare. La prima declinazione del diritto costituisce un’integrazione, un’implementazione del diritto di accesso.
Da un punto di vista tecnico, invece, il fornitore dovrebbe organizzare, all’interno della propria realtà imprenditoriale, modalità che gli consentano di far scaricare le informazioni direttamente all’interessato, rendendolo in tal caso autonomo nel concreto esercizio delle sue facoltà. A tal fine il WP29 suggerisce l’adozione dei c.d. “API”, Application Programming Interface, ovvero un’interfaccia di programmazione di un’applicazione in grado di consentire a differenti applicazioni di connettersi e di operare con i propri sistemi.
Il diritto alla portabilità potrebbe incidere su altri obblighi che la legge impone al Titolare: si fa, in particolare, riferimento all’onere di conservazione delle informazioni. Il Gruppo Articolo 29 ha sul punto sottolineato come, una volta raggiunti gli scopi del trattamento, il fornitore non dovrà conservare il dato ai fini della portabilità, bensì sarà legittimato a cancellarlo. Nello steso modo il soggetto che riceverà i dati oggetto di esercizio di questo diritto, dovrà trattarli nel limite in cui gli stessi siano necessari per rendere il servizio richiesto: varranno quindi i consueti principi di pertinenza e non eccedenza.
Ai fini poi della concreta attuazione del diritto di portabilità, lo stesso art. 20 del RGPD precisa che il trattamento deve basarsi sul consenso dell’interessato o su un contratto stipulato da quest’ultimo con il fornitore del servizio.
Infine il WP29 raccomanda ai Titolari di predisporre un format standard e delle procedure condivise che siano in grado di soddisfare correttamente ed in tempi celeri le richieste degli interessati.