27 Settembre 2019

Diritto alla portabilità dei dati e concorrenza tra imprese

LUCA VISCONTI

Immagine dell'articolo: <span>Diritto alla portabilità dei dati e concorrenza tra imprese</span>

Abstract

Il diritto alla portabilità dei dati personali è stato introdotto dal Regolamento GDPR. Si tratta di un’innovazione che ha l’obbiettivo di aumentare il controllo dell’interessato sui propri dati e favorirne la libera circolazione e, contestualmente, incrementare la concorrenza tra le imprese, stimolando quindi l’economia digitale.

***

Cos’è

Il diritto alla portabilità dei dati contenuto nell’art. 20 del GDPR stabilisce che l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.

I dati devono essere forniti "senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa".

È importante precisare che non tutti i dati possono essere richiesti dall’interessato, ma solo quelli la cui base giuridica è rappresentata dal consenso (art. 6 par. 1 lett. a oppure art. 9 par. 2 lett. A) o dall’esecuzione di un contratto.

Nei confronti dei dati trattati, ad esempio, per motivi di legittimo interesse del titolare, non sarà possibile esercitare il diritto alla portabilità.

L’interessato può, inoltre, chiedere al titolare del trattamento di inviare i dati direttamente ad un altro titolare. Ciò favorisce il libero scambio di dati e la concorrenza tra imprese, evitando di creare fenomeni di lock-in all’interno di un servizio.

L’articolo 20 non limita il novero dei dati portabili a quelli necessari o utili per il transito da un servizio all’altro, come precisato all’interno delle linee guida emanate dal WP29. 

Sarà in capo al titolare del trattamento stabilire come permettere all’interessato l’esercizio del diritto, comunicandolo all’interno delle informazioni sul trattamento dei dati personali fornite ex art. 13 GDPR e predisponendo, magari, un modulo di richiesta.

Per quanto riguarda la responsabilità del titolare, egli non è chiamato a verificare la correttezza del trattamento del titolare che riceve i dati. Il suo compito sarà esclusivamente quello di trasferire i dati e adempiere alla richiesta dell’interessato. Il titolare dovrà, però, verificare che i dati oggetto di comunicazione siano effettivamente quelli che l’interessato intende trasmettere. A tal fine, si potrebbe chiedere conferma all’interessato prima di procedere alla trasmissione, oppure in un momento antecedente quando viene prestato il consenso iniziale al trattamento ovvero viene perfezionato il contratto.

 

Quali sono i vantaggi derivanti dall’esercizio del diritto alla portabilità per un’azienda digitale

 E’ ben noto che i dati personali sono una risorsa fondamentale per lo sviluppo di un business e la loro analisi costituisce il core business di numerose realtà innovative. Per incrementare l’efficienza di un’intelligenza artificiale, inoltre, è necessario inserire quanti più dati è possibile al suo interno, come un database, d’altronde, ha più valore quanti più dati ha al suo interno.

Esempio

Sfruttando il diritto alla portabilità dei dati, un’azienda potrebbe invitare i suoi utenti a trasferire i dati personali ceduti negli anni ad altre aziende, a trasferirli nel proprio database per migliorare i servizi offerti o alimentare e perfezionare un’eventuale intelligenza artificiale.

In questo modo, quindi, anche un’azienda appena nata ha la possibilità di incrementare rapidamente il proprio database e migliorare l’esperienza ai propri clienti.

 

Comunicato Garante 1 agosto 2019

Il 1 agosto 2019 L’Autorità Garante per la Protezione dei Dati Personali ha emanato un comunicato stampa esprimendo delle perplessità in ordine ad un’applicazione che prometteva dei guadagni ai suoi utenti in cambio della cessione dei dati personali conferiti ad altre aziende sfruttando il diritto alla portabilità, e invitando il Comitato Europeo per la protezione dei dati personali (EDPB) a esprimersi in tal senso. Sebbene non abbia agito con un provvedimento o una sanzione, il Garante italiano con tale azione ha inteso esplorare e approfondire l’utilizzo del diritto alla portabilità interrogandosi sulla corretta applicazione dello stesso da parte della società, con l'ulteriore complicazione determinata dall'esercizio di tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità.

L'altro aspetto segnalato dal Garante nel comunicato riguarda il delicato tema della "commerciabilità" dei dati, causata dall'attribuzione di un vero e proprio controvalore al dato personale.

“Nel frattempo, - continua il Garante - i soggetti privati che riceveranno le richieste di portabilità dei dati da parte di "Weople" dovranno operare nel rispetto del principio di accountability stabilito dal Regolamento Ue e valutare se ottemperare alle richieste o motivare un eventuale rifiuto.”

Altri Talks