Come molti sapranno, di recente ricorreva il terzo anniversario dall’entrata in effetto del Regolamento Europeo per la Protezione dei Dati Personali (GDPR). Nonostante il tempo trascorso e gli impegni profusi per raggiungere e mantenere la conformità, la maturità di molte aziende nella messa in opera di processi di compliance è ancora lontana dall’essere ottimale. Ciò, a mio avviso, è dovuto principalmente a errori di impostazione iniziale delle attività di adeguamento, che hanno successivamente influenzato anche tutta la successiva gestione della conformità. Tra tutti i diritti istituiti dal GDPR, c’è il diritto alla portabilità dei dati, che avrebbe dovuto essere, nelle intenzioni dei legislatori, uno dei princìpi cardine del Digital Single Market.
La costruzione della conformità GDPR di un’azienda
Nella costruzione della conformità GDPR di un’azienda, il progetto complessivo iniziale avrebbe dovuto considerare tutti gli aspetti organizzativi, tecnici, di processo e di risorse, gli aspetti legali, e quelli operativi, tenendo anche conto della situazione esistente e del contesto operativo, ma anche delle prevedibili evoluzioni successive in ambito tecnologico e organizzativo.
Ciò avrebbe richiesto, in assenza di esperienze di messa a norma nel GDPR, almeno una solida conoscenza di base della normativa, e altrettanto solidi skills multidisciplinari, sia organizzativi sia tecnici, in ambito di Data Protection, all’epoca anche difficilmente reperibili sul mercato, in relazione alla scarsità di risorse con tali qualifiche, e all’elevato numero delle richieste.
L’inesperienza delle fasi iniziali di progettazione quindi, per molte aziende, forse più di quante siano disposte ad ammetterlo, ha avuto un grosso impatto sulla qualità dell’adeguamento iniziale a GDPR.
A ciò si è unita spesso a un’eccessiva frammentazione delle attività di adeguamento, suddivise tra vari dipartimenti o unità organizzative senza rispettare la logica “end to end” del GDPR, cioè senza rispettare la necessaria visione multidisciplinare e di insieme, e ciò ha avuto come logica conseguenza la creazione di tanti pezzi di un “puzzle” difficili poi da rimettere assieme, se non addirittura la creazione di binari paralleli su cui le organizzazioni hanno proceduto in maniera indipendente, e spesso anche disomogenea.
Molte sanzioni legate a data breach
Inoltre, l’irrogazione di sanzioni GDPR rilevanti legate a data breach, ma anche a poco appropriate gestioni di dati personali legate ad attività di marketing, ha portato a concentrare l’attenzione delle aziende sulla messa in sicurezza dei dati personali, e sulla gestione dei consensi raccolti da parte degli utenti, creando sbilanciamenti delle misure adottate a sfavore di altri requisiti altrettanto importanti che avrebbero dovuto invece rendere facilmente fruibili dalle persone i nuovi diritti creati da GDPR.
In molti, infatti, hanno trascurato le misure tecniche organizzative per mettere in grado l’interessato di esercitare tutti i propri diritti, come ad esempio la possibilità di fare opt-out da servizi non desiderati, o di bloccare il trasferimento dei propri dati all’estero, anche quando i servizi fossero gestiti dal Titolare presso fornitori esterni, anche in cloud.
Assistiti dal fatto che i consumatori, sostanzialmente non supportati da campagne informative pubbliche, non hanno ancora sviluppato una piena consapevolezza delle opportunità concesse dal GDPR, e pertanto le richieste in merito all’esercizio di tali diritti, sono tuttora in un numero molto modesto rispetto al potenziale.
I nuovi diritti ai quali le aziende non sembrano essersi adeguate
Solo per citarne alcuni, di seguito una breve lista dei nuovi diritti su cui le aziende non sembrano essersi adeguatamente strutturate durante l’adeguamento al GDPR:
- Correttezza ed esattezza dei dati (rettifica); rettifica tempestiva dei dati
- Portabilità dei dati
- Diritto di accesso ai dati personali che lo riguardano
- Diritto a essere avvisato in caso di data breach, anche potenziale
- Diritto alla portabilità di dati
- Cancellazione dei dati
- Diritto all’oblio
Tutti questi nuovi diritti sono molto importanti, non solo il diritto alla portabilità dei dati, che avrebbe dovuto essere, nelle intenzioni dei legislatori, uno dei princìpi cardine del Digital Single Market e che mi sembra utile fare riemergere dal silenzio in cui sembra essere precipitato.
Portabilità dei dati personali
Come già detto in precedenza, forse molti hanno perso di vista uno degli obiettivi fondanti del Regolamento Europeo per la Protezione dei Dati Personali, cioè quello di essere una norma che, andando di pari passo con le evoluzioni tecnologiche e sostenendo lo sviluppo delle infrastrutture digitali, dovrebbe consentire in futuro la creazione e lo sviluppo di un mercato unico digitale europeo, soggetto a normative e trattamento dei dati uniformi nello Spazio Economico Europeo.
È del tutto prevedibile, infatti, che con lo sviluppo di nuove tecnologie, l’estensione dell’IoT (Internet of Things) e la digitalizzazione sempre più spinta, saremo di fronte a un aumento impressionante delle tipologie e dei volumi di dati scambiati tra i vari sistemi, ma anche a disposizione del mercato, per nuove applicazioni che li tratteranno.
La crescita principale è attesa anche e soprattutto per i dati non strutturati, come quelli derivanti da IoT, ma anche per lo sviluppo di nuove tecnologie avanzate, come 5G, che prevede uno scambio imponente di traffico dati per la governance delle comunicazioni dei vari apparati radio con i vari endpoint su tutti i vari canali, con l’obiettivo di aumentare notevolmente la quantità e la velocità di dati trasmessa ma allo stesso tempo, diminuire i tempi di latenza.
I risultati raggiunti saranno eccezionali, e la combinazione di tecnologie 5G e IoT, e l’integrazione sempre più “nativa” di intelligenza artificiale per migliorare la governance di tali tecnologie e dei servizi sovrastanti, favoriranno la diffusione di nuovi modelli di business.
Nei nuovi modelli di business, il diritto alla portabilità dei dati è uno degli elementi chiave per consentire all’utente di muoversi all’interno del Digital Single Market, e di poter cambiare facilmente il fornitore di un servizio, così come, ad esempio, la singola appliance IoT, riutilizzando i propri dati già immessi in precedenza, con una sostituzione “trasparente” o almeno molto facilitata.
È evidente che la portabilità dei dati è uno dei fattori che può favorire la competizione all’interno del Digital Single Market, affrontando il problema del vendor lock-in dovuto all’attuale scarsa maturità della trasferibilità dei dati personali dell’utente.
Inoltre, può consentire al mercato non solo di crescere, favorendo sempre l’ingresso di nuovi fornitori o produttori, ma anche di dispiegare i propri benefici verso gli utenti, che potrebbero beneficiare di scelte più ampie e di maggiori opportunità, e in caso di sana competizione, anche minori costi.
La portabilità dei dati secondo GDPR
Il diritto alla portabilità dei dati, previsto dall’Art. 20 del GDPR, nasce per fornire un controllo agli interessati sui propri dati personali, particolarmente importante anche per la crescente digitalizzazione di affari, commercio, società, tempo libero, acquisti, etc., e dà loro il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo informatico, i dati personali che li riguardano e che hanno fornito, direttamente o indirettamente all’organizzazione del titolare del trattamento.
In sostanza, l’interessato ha diritto al trasferimento dei propri dati dal sistema informatico del titolare ai propri.
Inoltre, nel caso di cambio di fornitura in un servizio prestato, gli interessati hanno anche il diritto di trasferire i propri dati personali a un nuovo titolare del trattamento, senza che vi siano ostacoli da parte del precedente.
Quali sono i dati personali per cui si ha il diritto alla portabilità?
Il diritto alla portabilità dei dati non consente all’interessato di ottenere tutti i dati che lo riguardano in possesso del Titolare del trattamento, ma si limita a permettergli di ottenere tutti i dati che lui ha fornito, o immesso nel servizio durante l’utilizzo.
Le linee guida WP29 identificano quindi due categorie di dati personali che si considerano forniti al titolare del trattamento, e quindi soggetti al diritto alla portabilità dei dati:
- dati personali forniti direttamente e consapevolmente dall’interessato;
- dati monitorati dal Titolare del trattamento sui sistemi forniti, in base ai quali l’interessato fornisce indirettamente dati personali durante l’utilizzo di un servizio, o l’utilizzo di un dispositivo, di un endpoint e così via.
Pertanto, si ha diritto alla portabilità dei dati relativi all’interessato anche quando ricavati o monitorati dal dispositivo, come ad esempio la posizione, o i dati tracciati da dispositivi indossabili, contatori intelligenti e altri dispositivi connessi (IoT), registri delle attività, cronologia dell’utilizzo e della ricerca del sito Web, ecc.
Invece, i dati dedotti o ricavati da essi, come ad esempio il punteggio o i risultati di valutazioni fatti dal Titolare del trattamento, ad esempio sullo stato di salute in base al monitoraggio cardiaco, generalmente non rientrano nel diritto alla portabilità dei dati.
Condizioni per esercitare il diritto alla portabilità dei dati
Come detto in precedenza, il diritto alla portabilità dei dati non riguarda però la totalità dei dati in possesso del Titolare del trattamento, ma solo una parte, in particolare solo nel caso in cui questi siano detenuti dal titolare del trattamento in base al consenso dell’interessato, o perché detenuti in forza di un contratto per l’esecuzione di un servizio.
Inoltre, ciò può avvenire a patto che tali dati personali siano trattati con strumenti automatizzati, quindi sostanzialmente che i dati siano disponibili in formato digitale.
L’interessato può quindi ricevere i dati richiesti in un formato strutturato, comunemente usato e leggibile da una macchina su cui può memorizzarli o utilizzarli.
Nel contesto del cambio di una fornitura di alcuni servizi o applicazioni, che richiede il trasferimento di dati tra un Titolare del trattamento a un altro, il Titolare originario deve tentare il passaggio diretto dei dati al nuovo, almeno quando ciò sia tecnicamente fattibile, come previsto dall’Art. 20 paragrafo 2 del GDPR.
Il diritto alla portabilità e sfide tecnologiche
A causa della mancanza di raccomandazioni specifiche, i fornitori di soluzioni tecnologiche, in particolare IoT, sono incerti sui requisiti il cui adempimento sarebbe necessario per la conformità al GDPR, in particolare sui meccanismi per facilitare il riutilizzo e il livello di riutilizzabilità che deve essere assicurato.
Il trasferimento, per esempio delle email, deve comprendere anche i metadati relativi, per consentire un riutilizzo efficace. Fornire le email in formato pdf non può essere considerato come sufficiente, perché tale formato non consente il riutilizzo dei dati.
Inoltre, dovendo poter fornire al cliente una copia di tutti i dati personali che si hanno e la possibilità di trasferire tali i dati ad altri, incluse le informazioni fornite durante l’utilizzo del servizio o di un dispositivo (dati sulla posizione o battito cardiaco da un fitness tracker), si potrebbe trattare di una raccolta di dati particolarmente grande.
Pertanto, rispondere a una richiesta di portabilità dei dati può richiedere molto tempo e molti sforzi, e comportare costi rilevanti per chi non abbia adottato un rigido approccio di privacy by design per la progettazione dei propri sistemi.
Il diritto alla portabilità dei dati e ai dati personali di terzi
Occorre tenere presente che, a volte, accade che il set di dati personali di un interessato possa contenere i dati personali di altri.
Ciò può succedere, ad esempio, qualora un utente dei social media, voglia trasferire la lista di contatti su un social media differente.
In questo caso, quando questi dati sono trasmessi a un altro titolare del trattamento, il nuovo titolare può ricevere dati personali non appartenenti alla persona che vuole esercitare il suo diritto alla portabilità dei dati.
L’articolo 20 stabilisce infatti che il diritto alla portabilità dei dati non può ledere i diritti e le libertà altrui, pertanto in tal caso il diritto alla portabilità dei dati non si applicherebbe se gli interessati i cui dati di contatto dovrebbero essere trasferiti facessero opposizione. E in tal caso, la situazione non sarebbe semplice da gestire.
Inoltre, considerando la finalità del trattamento, il titolare che abbia ricevuto i dati in forza della richiesta di portabilità dei dati, non può riutilizzare i dati delle persone in modo diverso dai fini della propria piattaforma o del servizio prestato.
Conclusioni
In definitiva, puntare sullo sviluppo dei nuovi diritti per gli utenti, e in particolare alla portabilità dei dati consentirà anche alle stesse aziende di beneficiare grandemente dello sviluppo del mercato digitale, atteso proprio perché la maggiore facilità di accesso, o di cambiamento del fornitore, invoglierà molto di più gli utenti a utilizzare nuovi servizi e prodotti digitali, aiutando a ridurre la barriera di diffidenza che alcuni utenti ancora hanno nei confronti di essi.
Allo stesso tempo, il mercato potrà attrarre più investimenti da società che vogliono investire in una situazione di forte crescita.
Il Titolare del trattamento ha tutto l’interesse a cercare di essere efficiente, ottemperando alla richiesta senza indebito ritardo e comunque entro un mese dal ricevimento della richiesta, come richiesto dalla legge, per trasformare l’obbligo in un vantaggio competitivo. Magari implementando una procedura che consenta di gestire le richieste di portabilità dei dati e accompagnandola con servizi aggiuntivi, che mettano in buona luce l’organizzazione, ad esempio garantendo una maggiore sicurezza dei dati nel trasferimento.
Meglio se accompagnata da un’interfaccia user-friendly coinvolgente e che offra maggiore trasparenza comprensione e controllo sui propri dati rispetto ad altri concorrenti.
Tutto ciò genererà i presupposti per un ritorno del cliente in un secondo tempo, possibile in un mercato digitale che diventerà più dinamico, ma in più, proprio per la possibilità di recedere facilmente dalle proprie scelte, l’azienda sarà facilitata anche nel trovare anche nuovi clienti, invogliati a scegliere la propria organizzazione invece che quella di altri concorrenti.