Data portability: gli aspetti più rilevanti dell’aggiornamento alle linee guida del WP 29

Avv. Flaviano Sanzari

Il Working Party 29, organismo creato tra le autorità della protezione dei dati personali degli stati membri dell’Unione Europea con lo scopo di armonizzare l’applicazione della normativa in materia di trattamento dei dati personali, in data 5 aprile 2017 ha provveduto ad aggiornare le linee guida in materia di portabilità dei dati, il nuovo diritto contenuto nel regolamento europeo n. 679/2016.

Il documento, dopo una breve introduzione in cui si evidenziano gli scopi del nuovo diritto, ovvero quello di riequilibrare i rapporti di forza tra consumatori e imprese, promuovendo altresì, pur se non in maniera esplicita, una maggior concorrenza tra gli operatori del mercato, illustra gli elementi principali della data portability, quando si applica, le modalità concrete in cui tale diritto può essere esercitato, e, infine, le modalità con cui i data controller devono fornire i dati.

Il primo elemento che viene preso il considerazione è il diritto dell’interessato a ricevere l’insieme dei suoi dati personali, posseduti dal data controller, sia per archiviarli su supporto proprio, sia su altro cloud privato. In alte parole, ciò che viene in rilievo è come la trasferibilità ad altro controller sia solo una delle opzioni disponibili.

Infatti, il richiedente, oltre ad aver diritto a ricevere i dati in un formato strutturato in modo comune e intellegibile per inviarli ad un nuovo controller (“in a structured, commonly used and machine-readable format”), alternativamente ha il diritto di riceverli direttamente egli stesso, qualora volesse trattarli personalmente (per i più diversi scopi).

Passando alla disamina legata al controllo sui i dati, le linee guida specificano che i dati vengono trasferiti come richiesti ed in quanto tali, senza riguardo allo scopo per cui vengono richiesti. Corollario di questa considerazione è che il data controller che adempie all’invio dei dati, successivamente non è più responsabile per quello che l’interessato o il nuovo data controller intendono farne (rimanendo, ovviamente, responsabile dei dati se ne conserva copia, la data portability non comportando l’obbligo di cancellazione dei dati trasferiti).

Altro punto importante, nel caso di trasferimento ad altro controller, consiste nell’obbligo posto a carico del primo controller di verificare la genuinità della richiesta ricevuta, nel senso della provenienza e della tipologia di dati richiesti, ad esempio prevedendo delle procedure di verifica, da attivare sia prima che dopo, qualora il consenso all’operazione sia già stato preventivamente dato o il contratto finalizzato. Da questo punto di vista, sembrerebbe che le linee guida vadano incontro ad eventuali problemi tecnici dei data controller, suggerendo l’apposizione di una specifica clausola in tal senso nei termini di servizio, probabilmente in modo da permettere maggior libertà d’azione al data controller dal punto di vita tecnologico.

Proseguendo nella disamina delle linee guida, viene evidenziato come il data controller non sia gravato da particolari obblighi sulla data retention al fine di permettere la data portability. Detto in altri termini, quest’ultima non va a modificare la durata della prima: quando scade il periodo per il quale è possibile detenere il dato, questo va cancellato senza obbligo di conservarlo per permettere l’esercizio del diritto in discussione; né, quindi, tale eventualità può essere usata coma giustificazione per prolungare il trattamento.

Né il trasferimento dei dati può avvenire con pregiudizio degli altri diritti dell’interessato, ivi compresi quelli previsti dal nuovo regolamento stesso. Ad esempio, l’esercizio della portabilità non prevede la cessazione automatica del rapporto tra il soggetto richiedente e il primo data controller, potendo l’interessato continuare ad utilizzare i servizi del primo data controller, ivi comprese tutte le facoltà in tema di privacy (accesso ai dati, loro modifica, etc..).

Poiché la data portability non prevede, di per sé, la cancellazione dei dati dell’utente (non interferendo, come accennato sopra, con la durata del trattamento), quest’ultimo, per questo scopo, dovrà esercitare il diritto all’oblio cui all’art. 17 del regolamento. A quest’ultima richiesta, peraltro, non si potrà opporre la previsione della data portability come scusa per prolungare la data retention.

Passando ai casi in cui si applica il diritto alla portabilità, si evidenzia che questo diritto riguarda tutte le ipotesi in cui il trattamento avvenga sulla base del consenso o in esecuzione di un contratto. Ad esempio, il titolo di un libro acquistato on line costituisce un dato trattato in virtù di un contratto e, pertanto, passibile di portabilità. Invece, i trattamenti effettuati in virtù di obblighi legali, quali, ad esempio, in virtù della normativa antiriciclaggio, non sono soggetti alla portabilità.

Quanto all’individuazione dei dati personali che ricadono sotto la data portability, il primo requisito è che si tratti di dati riguardanti l’utente che ne faccia richiesta, anche nell’ipotesi di dati ceduti sotto pseudonimo, qualora facilmente associabili al richiedente. Con l’espressione “provided by”, peraltro, non si intendono solo i dati forniti direttamente dall’utente, ma anche quelli derivanti dall’osservazione della sua attività (ad esempio, le ricerche su internet).

Dal punto di vista tecnico, le linee guida pongono in evidenza l’esistenza di una best practice consistente nella implementazione, nelle piattaforme digitali, di tool in grado di permettere all’utente di decidere quali dati trasferire e quali no.

In tema di informativa che il data controller deve fornire all’interessato, è previsto che esso fornisca una informativa sull’esistenza del diritto alla portabilità, sia nel caso che i dati vengano forniti dall’utente stesso, sia quando i dati di quest’ultimo arrivino da altre fonte e quest’ultimo eserciti i propri diritti in qualità di interessato. Quanto alle tempistiche, è previsto un termine massimo di un mese (prorogabile fino a tre nei casi di richieste complesse) per soddisfare le richieste degli interessati.

Quanto alla dimensione dei dati da inviare direttamente al richiedente, qualora la loro trasmissione via rete sia difficoltosa per la loro quantità, le linee guida ipotizzano l’utilizzo di sistemi fisici (quali dvd, etc..), o in alternativa l’invio diretto al nuovo data controller se scelto.

Quanto al formato in cui i dati devono essere trasferiti, al richiedente o al nuovo data controller, il regolamento impone che siano trasferiti in un formato riutilizzabile, senza ulteriori specificazioni, lasciando ai data controller ed, in definitiva ,allo stato della tecnologia ed al settore di riferimento presente al momento della richiesta il compito di scegliere.

In conclusione, si può dire che il WP 29, con queste linee guida, mette a disposizione degli operatori del settore una serie d’indicazioni di natura pratica, ancorate a basi giuridiche, ovvero di natura più propriamente empirica, al fine di promuovere l’effettivo esercizio e consolidamento di tale diritto da parte degli interessati, auspicando che si vada nella direzione di una apertura del mercato.