Il diritto alla portabilità: analisi e applicazioni di un diritto innovativo

Due degli obiettivi principali del Regolamento (UE) n. 2016/679[1] (di seguito “GDPR”) riguardano la necessità di accrescere il controllo degli interessati sui propri dati personali e di favorire la libera circolazione dei dati stessi per progredire ulteriormente nella realizzazione del mercato unico digitale in Europa[2]. La piena espressione di questi aspetti si riscontra negli articoli del Capo III del GDPR, dedicati proprio ai diritti dell’interessato, tra cui spicca in particolare il diritto alla portabilità, una delle novità più rilevanti introdotte dal GDPR e che rappresenta uno strumento determinante per gestire, riutilizzare e trasmettere in piena autonomia i propri dati personali.

Per comprendere al meglio questa novità è opportuno leggere attentamente il testo dell’art. 20, il quale specifica nel primo comma che:

l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti […][3]

Viene prevista la possibilità che l’interessato desideri ricevere i propri dati personali precedentemente forniti ad un titolare del trattamento per conservarli in supporti di memorizzazione personali in vista di un utilizzo ulteriore[4] oppure per trasmetterli ad un altro titolare del trattamento. In merito alla conservazione, si pensi al caso in cui un interessato desideri ottenere la propria lista di contatti di posta elettronica per costruire una lista di invitati al proprio matrimonio: in questa situazione i dati vengono conservati in dispositivi di proprietà dell’interessato[5]. Per quanto riguarda la trasmissione dei dati, si consideri invece che l’interessato potrebbe voler ricevere la lista dei suoi contatti di posta elettronica per creare un nuovo account e-mail presso un altro provider di servizi di posta elettronica. Per quanto riguarda quest’ultimo caso, il primo comma dell’art. 20 specifica che nell’eventualità in cui l’interessato trasmetta i dati personali ad un altro titolare, il titolare del trattamento che ha fornito i dati non deve creare impedimenti alla trasmissione stessa. Un impedimento, attraverso il quale il titolare originario impedisce o rallenta la trasmissione dei dati, può essere finanziario, come la richiesta di un corrispettivo per fornire i dati richiesti, oppure tecnico, come l’eccessiva complessità insita nel recupero dei dati richiesti[6].

Il diritto alla portabilità trova applicazione solo se il trattamento si basa sul consenso dell’interessato o su un contratto di cui è parte lo stesso: le altre basi giuridiche, di cui all’art. 6, comma 1 o di cui all’art. 9, comma 2 del GDPR[7], non sono conciliabili con la portabilità dei dati. Inoltre, il trattamento deve essere effettuato con mezzi automatizzati, escludendo quindi il trattamento di dati con archivi o registri cartacei. Si pensi a titolo esemplificativo alla predetta lista di contatti di posta elettronica: il diritto alla portabilità è pienamente azionabile in funzione del contratto che disciplina il rapporto tra interessato e provider del servizio e-mail e anche in funzione del trattamento automatizzato che il provider realizza per erogare il servizio.

Da specificare infine che l’esercizio del diritto alla portabilità non pregiudica nessuno degli altri diritti dell’interessato[8] previsti dal GDPR. Infatti, il terzo comma dell’art. 20 specifica come il diritto di cui all’art. 17[9] (diritto alla cancellazione dei dati) sia comunque esercitabile, chiarendo implicitamente che una richiesta di portabilità dei dati non comporta la cancellazione automatica degli stessi. L’interessato può quindi continuare a fruire dei servizi offerti dal titolare anche dopo il compimento di un’operazione di portabilità[10].

L’interoperabilità

Per approfondire ulteriormente il diritto alla portabilità, è fondamentale introdurre il concetto di formato interoperabile, indicato esplicitamente nel Considerando 68 del GDPR[11]. In particolare, nel citato Considerando i titolari del trattamento vengono incoraggiati a sviluppare formati interoperabili che consentano la portabilità dei dati[12].

L’interoperabilità è definita come la “capacità di due o più sistemi, reti, mezzi, applicazioni o componenti, di scambiare informazioni tra loro e di essere poi in grado di utilizzarle”[13]. Un formato è interoperabile se consente lo scambio di dati tra diversi sistemi e se è comprensibile dai sistemi stessi. Pertanto, per consentire all’interessato tanto di scaricare autonomamente le informazioni quanto di trasmetterle direttamente ad un diverso titolare, è opportuno che i dati vengano ricevuti dall’interessato o dai titolari del trattamento in un formato comprensibile con il minimo sforzo dai sistemi.

L’art. 20 del GDPR specifica i tre requisiti minimi che intendono facilitare l’interoperabilità di un formato di dati[14]: nello specifico, il formato deve essere “strutturato”, “di uso comune” e “leggibile da dispositivo automatico”. Un formato è strutturato nel momento in cui i dati sono organizzati in modo tale che esista una relazione strutturale esplicita nel modo in cui gli stessi sono memorizzati su un disco del computer[15] (per esempio, l’organizzazione dei dati in colonne e righe in un foglio di calcolo Excel). Inoltre, il formato deve essere di uso comune, quindi, ampiamente utilizzato e consolidato. Si consideri tuttavia che un formato comunemente utilizzato non è necessariamente strutturato: il PDF (Portable Document Format) per esempio è uno dei formati più utilizzati al mondo, ma non è strutturato, perché si limita a rendere visualizzabili documenti di testo e immagini[16]. Infine il formato deve poter essere letto da dispositivo automatico. In questo caso si fa riferimento a dati strutturati che possono essere letti ed elaborati automaticamente da un dispositivo (per esempio un computer) attraverso formati di uso comune tra cui CSV, JSON o XML[17].

Quali dati sono portabili?

I dati che possono essere oggetto di una richiesta di portabilità vengono definiti nel primo comma dell’art. 20 e sono i dati che “riguardano” l’interessato e quelli “forniti” ad un titolare dall’interessato stesso.

In primo luogo, qualsiasi richiesta di portabilità può applicarsi solo a dati personali[18], quindi dati che riguardino l’interessato. Si fa qui riferimento alla definizione di dato personale, secondo cui è tale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”[19]. Da ciò nascono due considerazioni necessarie per approfondire l’ambito di applicazione materiale del diritto alla portabilità:

• i dati anonimi, cioè informazioni che non sono più riferibili in nessun modo ad una persona identificata o indentificabile, non ricadono nell’ambito di applicazione della portabilità, in considerazione del fatto che anche il Considerando 26[20] nega l’applicazione dei principi di protezione dei dati personali alle informazioni anonime;
• i dati pseudonimi, cioè informazioni che non possono essere attribuite ad un interessato senza l’utilizzo di informazioni aggiuntive, ricadono invece nell’ambito di applicazione della portabilità in quanto si tratta comunque di dati personali, perché essi potrebbero comunque essere attribuiti ad una persona fisica mediante l’utilizzo di ulteriori informazioni. Per esempio, un elemento di identificazione fornito dallo stesso interessato proprio per esercitare il diritto alla portabilità, come previsto nell’art. 11, comma 2 del GDPR[21], renderebbe identificabile la persona fisica che esercita il diritto.

In secondo luogo i dati devono essere forniti dall’interessato ad un titolare. In questo caso non si intendono solo i dati forniti volontariamente, come per esempio i dati identificativi inseriti in un form, ma anche quelli forniti mediante la fruizione di un servizio o l’utilizzo di un dispositivo[22], come per esempio la cronologia delle ricerche effettuate in un motore di ricerca, i log di accesso oppure i dati raccolti attraverso il tracciamento e la registrazione dell’interessato[23] (si pensi ad uno smartwatch che misura anche la frequenza cardiaca).

Non ricadono invece nell’ambito di applicazione del diritto alla portabilità i dati che sono “creati” dal titolare del trattamento sulla base dei dati forniti dall’interessato. Si fa qui riferimento ai dati inferiti[24], che vengono ricavati dai titolari attraverso un’autonoma attività di analisi che consente loro di catalogare i comportamenti, le attitudini e gli orientamenti dell’interessato[25], con l’obiettivo di creare un profilo dello stesso[26].

Per quanto riguarda infine i dati di terzi, cioè quelli relativi ad altri interessati, il quarto comma dell’art. 20 precisa che l’esercizio del diritto alla portabilità “non deve ledere i diritti e le libertà altrui”. Ciò comporta che non è consentito ricevere e trasmettere ad un nuovo titolare informazioni che contengono dati personali di altri interessati, i quali non hanno acconsentito a questo specifico trattamento, in quanto si configurerebbe una lesione dei loro diritti[27]. Per evitare una tale situazione il nuovo titolare del trattamento non deve utilizzare i dati di terzi per proprie finalità, mantenendo quindi gli stessi nell’esclusiva disponibilità dell’interessato. Si pensi al caso in cui un interessato intenda creare un nuovo account e-mail presso un nuovo provider di servizi: l’interessato ha necessità di trasferire i messaggi in entrata e in uscita, comprendenti necessariamente dati riferiti a terzi tra cui i dati di contatto, ma questi devono rimanere nell’esclusiva disponibilità dell’interessato e devono essere utilizzati per finalità personali e domestiche[28]. Infatti, se per esempio il titolare ricevente utilizza il registro contatti dell’interessato per finalità di marketing, si configura chiaramente una lesione dei diritti se non è stata presentata adeguata informativa ai sensi dell’art. 14 del GDPR[29] e se non è stato chiesto ai terzi il consenso a questo nuovo trattamento.

La trasmissione diretta dei dati e il Data Transfer Project

L’opportunità di trasmettere i dati ad un altro titolare del trattamento, di cui al primo comma dell’art. 20, viene approfondita nel secondo comma del citato articolo: infatti, viene prevista la possibilità che l’interessato possa “ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile”. La trasmissione diretta permette di agevolare l’interessato nell’esercizio del diritto alla portabilità in quanto viene eliminata la mediazione dello stesso nel trasferimento dei dati. L’interessato infatti non è costretto a ricevere i suoi dati per poi trasferirli ad un altro titolare, ma il trasferimento avviene direttamente tra i due titolari, sempre che la trasmissione diretta non si dimostri eccessivamente complessa a livello tecnico o addirittura impossibile[30][31]. Per comprendere a pieno questa interessante possibilità, si consideri una delle applicazioni concrete per realizzare una trasmissione diretta dei dati personali tra i titolari del trattamento: il Data Transfer Project[32].

Il Data Transfer Project (di seguito “DTP”) è un’iniziativa open source che ha l’obiettivo di incoraggiare la partecipazione di numerosi fornitori di servizi con il fine di creare, migliorare e ottimizzare un ecosistema dedicato alla portabilità dei dati. L’iniziativa intende ridurre i limiti infrastrutturali sia per i fornitori di servizi che per gli utenti, consentendo la trasmissione diretta dei dati service-to-service, fornendo strumenti per un’implementazione semplificata[33].
Il progetto nasce grazie ad una partnership tra Google, Facebook, Microsoft e Twitter e viene presentato ufficialmente il 20 luglio 2018 con la pubblicazione di un white paper dal titolo “Data Transfer Project Overview and Fundamentals”[34]. Il DTP è costruito su un ecosistema di “Adattatori di dati” (Data Adapters) e di “Adattatori di autenticazione” (Authentication Adapters). Questi “adattatori” esistono al di fuori dell’infrastruttura principale di un fornitore di servizi e possono essere scritti dal fornitore stesso o da terze parti che desiderano abilitare il trasferimento dei dati da e verso un fornitore.

I Data Adpters sono stringhe di codice che traducono l’infrastruttra principale di un fornitore in modo tale da renderla compatibile con l’ambiente DTP. Ciò che viene effettivamente “tradotto” sono le API (Application Programming Interface)[35] dei fornitori di servizi, già disponibili pubblicamente. Per API, cioè interfacce di programmazione di applicazioni, si intendono set di strumenti, procedure o protocolli che i titolari rendono disponibili per consentire ad altri sistemi o applicazioni di connettersi e operare con i propri sistemi. I programmatori quindi sfruttano questi strumenti per facilitare l’interazione tra sistemi distinti. Nell’ambiente DTP i Data Adapters lavorano in coppia: un Data Adapter si occupa di esportare e tradurre l’API di un fornitore in un formato standard (per esempio, nel caso di trasferimento di fotografie, il formato potrebbe essere il JPEG), l’altro invece importa e traduce il formato standard ottenuto nell’API del fornitore ricevente[36].

Gli Authentication Adapters invece sono stringhe di codice che traducono il sistema di autenticazione di un fornitore di servizi (richiamando le API rese disponibili) nel sistema di autenticazione utilizzabile da DTP. Gli utenti quindi possono autenticare i propri account prima di trasferire i dati da o verso un altro provider[37]. Il sistema più utilizzato dalla maggior parte dei fornitori (tra cui Google) è OAuth[38] (Open Authorization), uno standard di autenticazione online open source che consente ad un utente di dare l’accesso alle sue informazioni archiviate nei sistemi di un determinato service provider ad un altro servizio senza tuttavia condividere le sue credenziali (username e password)[39]. In altre parole, è ciò che permette per esempio a Twitter di inviare e condividere tweet nell’account Facebook di un utente senza utilizzare la password di Facebook oppure ciò che permette a LinkedIn di utilizzare la lista dei contatti gestita da un altro fornitore (per esempio Gmail) per inviare richieste di collegamento.

L’ecosistema di “adattatori” del DTP consente quindi il trasferimento di dati tra due fornitori di servizi utilizzando i meccanismi di autorizzazione degli stessi e permettendo a ciascun fornitore di mantenere il controllo sulla sicurezza del proprio servizio. Il Data Transfer Project è un progetto in continuo sviluppo e rappresenta di fatto una concretizzazione dei principi esposti nel GDPR in merito alla portabilità dei dati in quanto ha l’obiettivo di agevolare la trasmissione diretta dei dati tra diversi titolari del trattamento.

Prospettive per il futuro

Il diritto alla portabilità deve essere considerato come uno strumento fondamentale per riequilibrare i rapporti tra titolari del trattamento e interessati, per favorire la nascita di nuovi servizi, di cui il Data Transfer Project è un ottimo inizio, e per facilitare sempre più il passaggio da un fornitore di servizi all’altro. Tuttavia, la sfida maggiore per il futuro è fare in modo che i titolari del trattamento comprendano ed consentano un agevole esercizio del diritto alla portabilità per garantire al contempo una sempre maggiore libera circolazione dei dati personali e un sempre maggiore controllo degli interessati sui dati personali a loro riferiti.

 

[1] Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, qui consultabile:

[2] Per approfondire: Consiglio europeo e Consiglio dell’Unione Europea, Mercato unico digitale in Europa, https://www.consilium.europa.eu/it/policies/digital-single-market/

[3] V. supra n. 1, art. 20.

[4] Gruppo di lavoro articolo 29, Linee guida sul diritto alla portabilità dei dati, p. 5, https://www.privacyitalia.eu/wp-content/uploads/2018/12/wp242rev01_it.pdf

[5] V. supra n. 4, p. 5.

[6] V. supra n. 4, p. 17.

[7] V. supra n. 1, art. 6 e art. 9.

[8] V. supra n. 4, p. 7.

[9] V. supra n. 1, art. 17.

[10] V. supra n. 4, p. 8.

[11] V. supra n. 1, Considerando 68.

[12] V. supra n. 4, p. 5.

[13] Enciclopedia Treccani, interoperabilità, http://www.treccani.it/enciclopedia/interoperabilita_%28Enciclopedia-della-Scienza-e-della-Tecnica%29/

[14] V. supra n. 4, p. 19.

[15] Open Data Handbook – Glossario, Structured data, http://opendatahandbook.org/glossary/en/terms/structured-data/

[16] Open Data Handbook – Glossario, PDF, http://opendatahandbook.org/glossary/en/terms/pdf/

[17] Di seguito una breve descrizione dei formati CSV, JSON e XML:

• Comma Separated Values (CSV) è un formato standard utilizzato per l’importazione e l’esportazione di una tabella di dati. I dati sono rappresentati in un file di testo semplice, con virgole che separano i campi su ogni riga.
• JavaScript Object Notation (JSON) è un formato adatto all’interscambio di dati tra applicazioni client/server. È altamente leggibile dalla macchina e ragionevolmente leggibile dall’uomo, inoltre è indipendente dalla piattaforma e dal linguaggio di programmazione ed è quindi un formato popolare per lo scambio di dati tra programmi e sistemi.
• eXtensible Markup Language (XML) è un linguaggio di markup che definisce un insieme di regole per la codifica dei documenti in un formato che sia leggibile dall’uomo e leggibile dalla macchina; inoltre è un linguaggio indipendente dal tipo di piattaforma hardware e software su cui viene utilizzato. In quanto linguaggio di markup è composto da istruzioni definite tag o marcatori che descrivono la struttura e la forma di un documento. L’XML permette quindi di rappresentare un qualsiasi tipo di documento indipendentemente dalle finalità applicative.

[18] V. supra n. 4, p. 10.

[19] V. supra n. 1, art. 4, punto 1.

[20] V. supra n. 1, Considerando 26.

[21] V. supra n. 1, art. 11, comma 2.

[22] V. supra n. 4, p. 11.

[23] Ibid.

[24] Inferiti è il participio passato di inferire che significa trarre un giudizio o una conclusione partendo da una determinata premessa o dalla constatazione di un fatto (Enciclopedia Treccani).

[25] F. Pizzetti, Portabilità dei dati nel GDPR: cosa significa e cosa implica questo nuovo diritto, 13 luglio 2018, https://www.agendadigitale.eu/sicurezza/portabilita-dei-dati-nel-gdpr-cosa-significa-e-cosa-implica-questo-nuovo-diritto/

[26] L’art. 4, punto 4 del GDPR definisce la profilazione come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

[27] V. supra n. 4, p. 12.

[28] Ibid.

[29] V. supra n. 1, art. 14.

[30] V. supra n. 25.

[31] Nel caso in cui il trasferimento diretto ad un altro titolare su richiesta dell’interessato si dimostri tecnicamente complesso e quindi non realizzabile, si applica l’art. 12, comma 4 del GDPR (v. supra n. 1) che determina l’obbligo del titolare del trattamento di informare “l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”.

[32] Sito ufficiale: datatransferproject.dev, https://datatransferproject.dev/

[33] Data Transfer Project, Data Transfer Project Overview and Fundamentals, 20 luglio 2018, p. 3, https://datatransferproject.dev/dtp-overview.pdf

[34] Ibid.

[35] Per API (Application Programming Interface), in italiano “interfacce di programmazione di applicazioni”, si intendono set di strumenti, procedure e protocolli che i titolari rendono disponibili per consentire ad altri sistemi o applicazioni di connettersi e operare con i propri sistemi. I programmatori sfruttano questi strumenti per sviluppare software o facilitare l’interazione tra sistemi distinti.

[36] V. supra n. 33, p. 9.

[37] V. supra n. 33, p. 10.

[38] Sito ufficiale: oauth.net, https://oauth.net/

[39] P. Paganini, Protocollo OAuth, 14 ottobre 2014, http://blog.bit4id.com/protocollo-oauth/