Il GDPR garantisce ad ogni persona, i c.d. interessati, il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano, forniti a un titolare del trattamento, al fine di trasmettere questi ad un altro titolare del trattamento.
Ai sensi dell’articolo 20, paragrafo 1, lettera a) del GDPR, il diritto alla portabilità dei dati presuppone che il trattamento si basi:
sul consenso dell’interessato (nei termini di cui all’articolo 6, paragrafo 1, lettera a), ovvero all’articolo 9, paragrafo 2, lettera a) in caso di dati sensibili); oppure
su un contratto di cui è parte l’interessato, nei termini di cui all’articolo 6, paragrafo 1, lettera b).
Il regolamento non prevede un diritto generale alla portabilità dei dati il cui trattamento non si fondi sul consenso o su un contratto.
Per esempio, non sussiste alcun obbligo per gli istituti finanziari di ottemperare a una richiesta di portabilità relativa a dati personali che sono oggetto di trattamento nell’ambito degli obblighi di prevenzione e accertamento del reato di riciclaggio o di altri reati finanziari; allo stesso modo, il diritto alla portabilità non si applica alle informazioni di contatto di natura professionale che siano trattate nel contesto di relazioni d’impresa, se tale trattamento non si fonda sul consenso dell’interessato o su un contratto di cui quest’ultimo sia parte.
Infine, il diritto alla portabilità dei dati sussiste esclusivamente se il trattamento è “effettuato con mezzi automatizzati” e non si applica, conseguentemente, alla maggioranza degli archivi o dei registri cartacei.
Qualsiasi richiesta di portabilità può applicarsi solo a dati personali. Ciò significa che un dato anonimo ovvero non concernente l’interessato non ricade nell’ambito di applicazione del diritto in questione. Tuttavia, un dato pseudonimo chiaramente riconducibile all’interessato (per esempio, se l’interessato stesso fornisce il rispettivo elemento di identificazione – v. articolo 11, paragrafo 2) è senza dubbio soggetto all’esercizio del diritto alla portabilità.
In molti casi i titolari trattano informazioni contenenti dati personali relativi a una pluralità di interessati; non è possibile, pertanto, dare un’interpretazione eccessivamente restrittiva dell’espressione “dati personali che riguardano l’interessato”. Per esempio, i tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP comprendono talora informazioni su terzi in rapporto alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralità di individui, l’abbonato deve avere la possibilità di ottenere tali informazioni a seguito di una richiesta di portabilità visto che i tabulati contengono (anche) dati relativi all’interessato. Se però questi stessi tabulati sono poi trasmessi a un diverso titolare del trattamento, quest’ultimo non dovrà elaborarli per finalità lesive dei diritti e delle libertà dei terzi in questione - si veda la terza condizione.
L’ambito della portabilità è relativo esclusivamente ai dati “forniti da” un interessato.
Si possono citare numerosi esempi di dati personali che sono “forniti” consapevolmente e attivamente da un interessato, come le informazioni inserite in un modulo di registrazione online (indirizzo postale, nome utente, età, ecc.). Nell’insieme dei dati “forniti da” un interessato rientrano anche quelli derivanti dalla rilevazione delle informazioni prodotte a seguito dell’utilizzo di un prodotto/servizio e/o in esecuzione di un contratto. Pertanto, il WP 29, (WP 242 - Linee guida sul diritto alla portabilità dei dati), ritiene che, per dare pieno riconoscimento alla portata di questo nuovo diritto, la nozione di dati “forniti da” un interessato debba riferirsi anche ai dati personali osservati sulla base delle attività svolte dagli utenti, come per esempio i movimenti generati durante l’impiego di un CC bancario oppure tutti gli acquisti registrati.
Non appartengono a quest’ultima categoria i dati generati dal Titolare o Responsabile del Trattamento (utilizzando come input i dati osservati o forniti direttamente), per esempio il profilo-utente creato a partire dall’analisi dei dati grezzi generati da un contatore intelligente.
Hai un dubbio o un problema su questo argomento?
Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni
Non condivideremo mai la tua email con nessuno.