Uno dei nuovi diritti degli interessati previsti dal GDPR, il Regolamento europeo in materia di trattamento di dati personali, è il cosiddetto diritto alla portabilità. Si tratta di un nuovo e innovativo diritto, previsto dall’articolo 20 del GDPR, che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad altro titolare del trattamento senza impedimenti. L’obiettivo di tale diritto è quello di accrescere il controllo degli interessati sui propri dati personali, facilitandone la circolazione, la copia o la trasmissione da un ambiente informatico all’altro.
Per l’interessato, la portabilità dei propri dati implicherà non solo di ricevere un sottoinsieme dei dati personali che lo riguardano e di conservarli in vista di un utilizzo ulteriore per scopi personali, ma anche di ottenere la trasmissione degli stessi da un titolare ad un altro, «senza impedimenti» da parte del primo. Ciò, infatti, è volto principalmente ad evitare fenomeni di dipendenza forzata dell’interessato da un determinato fornitore di servizi (il cosiddetto lock-in).
Cosa significa che “i dati devono essere forniti dall’interessato”
Affinché l’interessato possa esercitare tale diritto però, il GDPR pone tra le condizioni di base che sia stato lo stesso interessato a fornire i propri dati al titolare. In tal senso vi sono numerosi esempi di dati personali che sono “forniti” consapevolmente e attivamente da un interessato, come le informazioni inserite in un modulo di registrazione online (indirizzo postale, nome utente, età, ecc.). Con un’accezione più ampia di tale concetto, tra tali tipologie di dati rientrano anche quelli derivanti dall’osservazione delle attività svolte dall’interessato. Su tale aspetto si è espresso anche il Gruppo di Lavoro ex art. 29 (WP29). Quest’ultimo ha infatti ritenuto che la nozione di dati “forniti da” un interessato debba riferirsi anche ai dati personali osservati sulla base delle attività svolte dagli utenti, come per esempio i dati grezzi generati da un contatore intelligente o altri oggetti connessi, le registrazioni delle attività svolte, la cronologia della navigazione su un sito web o delle ricerche effettuate.
Pertanto è possibile affermare che possano rientrare in tala categoria, sia i dati che l’interessato fornisce attivamente e consapevolmente sia quelli forniti attraverso la fruizione di un servizio o l’utilizzo di un dispositivo. Alla luce di quanto sopra, l’espressione “forniti dall’interessato” dovrebbe, quindi, essere interpretata in modo estensivo escludendo unicamente “dati inferenziali” e “dati derivati”, i quali comprendono i dati personali generati da un fornitore di servizi.
*Francesca Piro, Legal Consultant di P4I – Partners4Innovation
