DATA PORTABILITY

Il diritto alla portabilità, introdotto dall’articolo 20 del Regolamento 679/2016, costituisce una delle principali innovazioni contenute nel GDPR.

Il diritto alla portabilità è in grado di trasformare radicalmente sia il rapporto tra cittadini ed imprese, sia la competizione tra aziende nella “data driven economy”.

Esperti di diritto, economia e nuove tecnologie collaborano per fornire a cittadini ed imprese strumenti e soluzioni adeguate alle proprie necessità.

DATA PORTABILITY

Il diritto alla portabilità, introdotto dall’articolo 20 del Regolamento 679/2016, costituisce una delle principali innovazioni contenute nel GDPR.

Il diritto alla portabilità è in grado di trasformare radicalmente sia il rapporto tra cittadini ed imprese, sia la competizione tra aziende nella “data driven economy”.

Esperti di diritto, economia e nuove tecnologie collaborano per fornire a cittadini ed imprese strumenti e soluzioni adeguate alle proprie necessità.

Per maggiori informazioni fornisci i tuoi dati:



L’art. 20 del GDPR – definizione di data portability

Il diritto alla portabilità permette a qualunque interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali forniti ad un titolare ed, eventualmente, di trasmetterli senza impedimenti ad altro titolare.

 

Tale nuovo diritto faciliterà dunque la possibilità di ricevere, memorizzare e far circolare i propri dati, per scopi sia personali che commerciali, senza impedimenti di natura tecnologica o legale da parte dei titolari.

 

L’implementazione del diritto alla portabilità comporta per le aziende un’attenta valutazione sulle problematiche legali e tecnologiche necessarie al pieno rispetto del nuovo Regolamento privacy, in particolare in relazione alle modalità di autenticazione e trasferimento, alle tempistiche, alla tutela dei diritti e delle libertà dei terzi, alla qualità e quantità dei dati trasmessi; allo stesso tempo, tale nuovo diritto apre la possibilità a nuovi modelli di business in grado di modificare fortemente le relazioni fra aziende e la competitività nel settore dei dati.

Cosa dicono le autorità?

In questa sezione troverete aggiornamenti sulle principali decisioni, linee guida ed interpretazioni fornite dalle autorità nazionali ed internazionali sul tema del diritto alla portabilità.


Article 29 Working Party

Scarica le Guidelines

http://ec.europa.eu/newsroom/document.cfm?doc_id=44099 

Scarica le FAQ

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_annex_en_40854.pdf)

 

Le autorità garanti europee


– Garante per la protezione dei dati personali (IT)

– Information Commissioner’s Office (UK)
(https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/)

Tutele

La tutela dei diritti dei terzi

Il GDPR prevede che la portabilità dei dati non leda i diritti e le libertà altrui. I confini di tale limitazione potranno variare a seconda dell’interpretazione delle autorità garanti europee e dei processi legali e tecnologici.
Tuttavia, nelle sue linee guida, l’Article 29 Working Party ha già fornito utili criteri ed esempi da tenere in considerazione. In particolare, ha specificato che la portabilità dei dati non debba ledere l’esercizio degli altri diritti privacy garantiti dal GDPR, come il diritto all’informazione o all’accesso.
Quando i dati riguardano anche altri soggetti, è necessario individuare una corretta base giuridica per il trasferimento ed occorre che l’utilizzo di tali dati sia comunque conforme ai principi di informazione, legittimità e limitazione degli scopi.

La tutela dell'interessato

Il GDPR richiede che l’interessato sia informato in maniera chiara, trasparente e concisa circa l’esistenza del diritto alla portabilità; è inoltre raccomandato che il titolare del trattamento spieghi le differenze tra tipologie di dati, evidenziando quali possano essere oggetto del diritto alla portabilità e quali oggetto del diritto all’accesso.
L’Article 29 Working Party sostiene inoltre la necessità di informare sulla portabilità dei dati in fase di chiusura di account degli interessati, dando modo agli stessi esercitare con chiarezza e tempestività i propri diritti.

 

Il GDPR non contiene indicazioni precise sulle modalità di identificazione del soggetto che richiede la portabilità dei dati; l’articolo 12(2) prevede tuttavia che il titolare possa rifiutare il trasferimento solo qualora sia in grado di dimostrare di non poter identificare l’interessato. In tale condizione, è previsto dall’articolo 11(2) che l’interessato possa fornire altri dettagli per favorire la propria indicazione e dall’articolo 12(6) che il titolare stesso possa richiedere ulteriori informazioni per procedere ad autenticare l’interessato.

E’ dunque necessario che le aziende implementino procedure di identificazione, ove non siano già in grado di assicurare l’autenticazione sicura di chi eserciti i propri diritti privacy.

Le tempistiche e le modalità di risposta dei titolari del trattamento

Il GDPR prevede un tempo limite di adempimento pari ad un mese, che può essere esteso fino a tre mesi nel caso di operazioni particolarmente complesse (ad esempio per la mole di dati o per le modalità del trasferimento), a condizione che dei motivi di tale ritardo sia data informazione chiara e trasparente all’interessato.

Nel caso di rifiuto a procedere alla portabilità, il titolare, secondo quanto stabilito dall’articolo 12(4) del GDPR e coerentemente rispetto agli obblighi di informazione introdotti dal Regolamento privacy, è tenuto a darne informazione all’interessato, evidenziando anche la possibilità di ricorrere all’autorità garante competente.