Il diritto alla portabilità dei dati personali è stato presentato come il grimaldello utile a scardinare le posizioni dominanti nei diversi versanti del mercato digitale (ammesso che ve ne sia uno unico, tema all’attenzione di studiosi e regolatori antitrust di mezza Europa), e a consentire ai consumatori l’esercizio di sovranità, prevenendo il fenomeno del cosiddetto lock-in.
E in effetti questo nuovo diritto è tra le maggiori – se non la maggiore – innovazione introdotta nell’ordinamento comunitario dal Regolamento europeo 679/2016 sulla protezione dei dati personali (su questo è tornato di recente il gruppo dei Garanti Privacy UE). Non c’è prassi, non c’è esperienza, né tradizione e men che meno giurisprudenza che chiarisca come e quando i consumatori hanno il diritto di chiedere ai fornitori di servizi – titolari del trattamento – i propri dati personali “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”, per poterli trasmettere “a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti”.
Quando e a quali condizioni si può esercitare il diritto alla portabilità dei propri dati? L’articolo 20 del Regolamento prevede innanzitutto che esso possa esercitarsi soltanto ove il trattamento riguardi dati personali comuni o speciali sulla base del consenso dell’interessato, ovvero sia necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali.
Ciò, ad esempio, conduce ad escludere la portabilità dei dati personali trattati da un esercente una professione sanitaria nel contesto di una prestazione emergenziale erogata a tutela dell’incolumità fisica dell’interessato, ma non impedisce a quest’ultimo di richiedere la portabilità dei medesimi dati personali ove siano confluiti nel dossier sanitario formato dall’ospedale che lo ha avuto in cura, sulla base di un suo specifico consenso.
Si nota, evidentemente, un restringimento dell’ambito di applicazione del diritto a quei dati direttamente e volontariamente forniti dal soggetto interessato, contrariamente a quanto era stato suggerito in sede legislativa, ad esempio, dal Garante Europeo per la Protezione dei dati personali.
In secondo luogo, i dati sono portabili qualora “il trattamento sia effettuato con mezzi automatizzati”, e in quest’ottica va escluso ogni intervento umano nel trattamento medesimo. Ma se dei dati personali vengono trattati all’inizio con strumenti automatizzati – si pensi ad esempio al caricamento di un cv su un sito specializzato nell’intermediazione di offerta e domanda di lavoro – e successivamente arricchiti attraverso l’intervento umano – ad esempio tramite il lavoro di un professionista delle risorse umane che crea una scheda profilata dal candidato, quale conseguenza si può trarre, in diritto? Ci si chiede cioè se l’intervento umano successivo faccia perdere il carattere di “automazione” all’intero trattamento, escludendo dunque che l’interessato possa successivamente reclamare la portabilità della scheda dedicatagli ad altro sito; ovvero se, in via gradata, tale intervento escluda solamente la portabilità di quei dati “derivati” dai dati originariamente forniti dall’interessato; se si segue questa lettura, che sembra in linea con quanto suggerito dal Gruppo di lavoro Articolo 29 nelle sue Linee guida sulla portabilità dei dati, allora il cv sarebbe ovviamente portabile, mentre la scheda arricchita del candidato no.
Il nuovo istituto pone problematiche interessanti, sia sul piano fattuale che giuridico, nella zona grigia creata dall’intersezione tra diritto e tecnica.
Si pensi al requisito, previsto dalla norma, secondo cui i dati vanno forniti “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. Il formato RDF (Resource Description Framework) sviluppato dal Consorzio W3C per la codifica, lo scambio e il riutilizzo di metadati strutturati e l’interoperabilità semantica tra applicazioni, è ad esempio, un formato strutturato e leggibile da dispositivo automatico. Non è, tuttavia, di uso comune, al contrario del più comune formato PDF, che tutti conosciamo, che è di uso comune ma non è strutturato. E’ evidente dunque che il diritto alla portabilità dei dati dipenderà in maniera importante dall’esistenza di standard che garantiscano l’interoperabilità tra sistemi, come chiarito di nuovo dal Gruppo di lavoro Articolo 29, nelle citate Linee Guida.
Ciò ha due conseguenze.
La prima riguarda i titolari del trattamento, che in un modo o nell’altro dovranno attrezzarsi per garantire l’interoperabilità tra sistemi.
La seconda riguarda la comunità scientifica, gli standard makers e i policy makers, che dovranno presto trovare uno standard, o più standard per settori diversi, capaci di garantire l’interoperabilità. In quest’ottica la Commissione Europea sta finanziando delle iniziative di ricerca, soprattutto in campo IoT come il progetto Create-IoT, che hanno tra i vari obiettivi quello di trovare standard per l’interoperabilità da diffondere in Europa. Altre iniziative in tal senso, sempre a livello europeo, si muovono nel solco del Regolamento 1025/2012, secondo il quale la Commissione Europea potrebbe emettere un mandato specifico alle ESO (European Standardisation Organizations) per sviluppare uno standard armonizzato a livello europeo. Ad oggi, una tale richiesta ufficiale non è stata ancora formulata.
Inoltre, il Regolamento prevede anche che gli interessati abbiano il diritto di ottenere la trasmissione di dati personali direttamente da un titolare all’altro, un po’ come per i numeri di telefono quando si cambia operatore, “se tecnicamente fattibile”. Qui di nuovo emerge l’importanza degli standard per il concreto esercizio della portabilità, con l’importante quanto non chiarissima precisazione del considerando 68 del Regolamento, secondo cui questo “non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili”. L’interoperabilità, non la compatibilità tra sistemi è dunque il fine dichiarato dalla norma, come rimarcato anche dal Gruppo di lavoro Articolo 29. Ciò in ogni caso pone i titolari di fronte alla necessità di perimetrare le aree di trattamento suscettibili di “subire” richieste di portabilità e lavorare sui propri sistemi IT per garantirne la fattibilità sul piano tecnico.
Infine, si potrà contestualmente chiedere la portabilità dei propri dati e la cancellazione dei medesimi, a condizione che ricorrano i presupposti previsti per la cancellazione, e sempre che portarsi dietro i propri dati non voglia dire violare i dati altrui, oppure diritti di proprietà intellettuale o industriale di terzi. Una prescrizione, quest’ultima, che richiederà attente valutazioni in concreto, volta per volta, da parte dei titolari del trattamento.
A metà del guado della finestra di adeguamento concessa dal Regolamento al mercato, il diritto alla portabilità dei dati personali rimane tra gli istituti giuridici meno conosciuti, e riflette un tentativo del legislatore di condizionare la tecnica tramite il diritto, invertendo un paradigma che ha finora funzionato nel verso opposto. Serviranno ancora degli anni per sapere se l’obiettivo è stato raggiunto.
