COS’È?

È un diritto innovativo previsto dall’articolo 20 del Regolamento che consente all’interessato di ricevere dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli ad un altro titolare del trattamento senza impedimenti. Il diritto alla portabilità non deve essere confuso con il diritto di accesso di cui all’art. 15 del Regolamento, che potrà essere a sua volta esercitato qualora i dati forniti soddisfino solo in parte le richieste dell’interessato.

QUALI VANTAGGI PUO’ OFFRIRE?

  • facilitare il passaggio da un fornitore di servizi all’altro fungendo, quindi, da fattore di promozione della concorrenza fra i singoli fornitori (già presenti varie applicazioni sperimentali in Europa, per es. MiData, MesInfos/SelfData);
  • consentire la creazione di nuovi servizi nel quadro della strategia per il mercato unico digitale (per es. ricorrendo a un’API – Application Programming Interface);
  • offrire la possibilità di «riequilibrare» il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano.

COSA PERMETTE DI FARE?

  • ricevere dati personali trattati da un titolare e conservarli su un supporto personale in vista di un utilizzo ulteriore per scopi personali, senza trasmetterli a un altro titolare (ad es., recuperare l’elenco dei brani musicali preferiti detenuto da un servizio di musica in streaming, per scoprire quante volte si sono ascoltati determinati brani);
  • trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento (ad es., un diverso fornitore di servizi). L’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato che può, ad esempio,
  • continuare a fruire del servizio offerto dal titolare anche dopo un’operazione di portabilità;
  • esercitare il diritto di cancellazione.

QUANDO TROVA APPLICAZIONE?

Occorre siano soddisfatte tre condizioni:

  1. i dati personali devono essere trattati attraverso strumenti automatizzati (quindi sono esclusi gli archivi cartacei), sulla base del consenso preventivo dell’interessato o per l’esecuzione di un contratto di cui è parte l’interessato;
  2. i dati personali di cui si chiede la portabilità devono riguardare l’interessato ed essere quelli forniti dall’interessato consapevolmente e in modo attivo (ad es., i dati di registrazione - indirizzo postale, nome utente, età, ecc.- inseriti compilando un modulo online). Sono compresi anche i dati generati e raccolti attraverso le attività dell’utente che fruisce di un servizio o utilizza un dispositivo. Il diritto alla portabilità non si applica invece ai dati personali che sono derivati o dedotti dalle informazioni fornite dall’interessato (ad es., il profilo-utente creato analizzando i dati grezzi di un contatore intelligente), poiché non si tratta di dati forniti dall’interessato bensì creati dal titolare del trattamento, né ai dati anonimi ovvero non concernenti l’interessato. Un dato pseudonimo è senza dubbio soggetto all’esercizio del diritto di portabilità;
  3. l’esercizio del diritto alla portabilità non deve ledere i diritti e le libertà altrui. Ad es., se l’insieme dei dati trasferiti su richiesta dell’interessato contiene dati personali che riguardano altre persone fisiche, il nuovo titolare deve trattarli solo in presenza di un’idonea base giuridica.

PROBLEMI DI SICUREZZA

Il primo problema di sicurezza è legato all’identificazione dell’interessato che presenta la richiesta di portabilità. Qualora il titolare dubiti dell’identità dell’interessato, può chiedere informazioni ulteriori per conferma.

In caso di dati pseudonimizzati, i titolari possono istituire idonee procedure che permettano all’interessato di presentare una richiesta di portabilità ottenendo i dati che lo riguardano
Inoltre, la trasmissione di dati personali all’interessato può comportare problematiche in termini di sicurezza, soprattutto in termini di violazioni dei dati che possono verificarsi durante la loro trasmissione. Il titolare ha la responsabilità dell’adozione di tutte le misure di sicurezza necessarie a garantire la trasmissione sicura dei dati (es. crittografia), ma tali misure non devono avere natura ostruttiva né ostacolare l’esercizio dei diritti da parte degli utenti.

Fonte: http://www.garanteprivacy.it/portabilita