Il diritto alla portabilità dei dati (art. 20 del GDPR) rappresenta una delle maggiori novità: gli interessati possono ricevere i propri dati personali, da loro precedentemente forniti ad un titolare del trattamento, e trasmetterli a loro volta ad un diverso titolare.

Il diritto alla portabilità dei dati presuppone che il trattamento si basi sul consenso dell’interessato o su un contratto di cui è parte l’interessato.
Ad esempio, i titoli di libri acquistati da un fornitore on line o la lista dei brani musicali ascoltati attraverso un servizio di streaming musicale sono, in linea di principio, dati personali che ricadono nel campo di applicazione della portabilità in quanto sono trattati per l’esecuzione di un contratto di cui è parte l’interessato.

📲 Quali sono i dati sono portabili?
Sono portabili i dati personali che riguardano l’interessato e sono stati da questo forniti a un titolare, compresi i dati osservati sulla base delle attività svolte dagli utenti- es. la cronologia della navigazione su un sito web o delle ricerche effettuate online. Sono invece esclusi i dati inferenziali e i dati derivati, cioè quelli generati dal titolare nell’ambito del trattamento -es: procedure di personalizzazione, categorizzazione, profilazione degli utenti).

📒 Quali strumenti deve predisporre il titolare per fornire i dati richiesti?
Il diritto alla portabilità riconosce agli interessati il diritto di trasmettere i dati a un diverso titolare senza impedimenti da parte del titolare a cui li hanno precedentemente forniti, cioè senza che ponga ostacoli di natura tecnica, giuridica e finanziaria (come ad esempio la richiesta di un corrispettivo).
Il titolare è obbligato a trasmettere i dati portabili direttamente a un diverso titolare “se tecnicamente fattibile”, ma non ad adottare o mantenere sistemi di trattamento tecnicamente compatibili.
La trasmissione diretta dei dati da un titolare all’altro deve avvenire solo se è possibile instaurare una comunicazione fra i due sistemi in modo sicuro; in caso contrario, è necessario informarne l’interessato.

Due sono gli approcci che il titolare deve valutare per mettere i dati a disposizione dell’interessato o di altri titolari:

  • Trasmissione diretta dell’intero insieme di dati portabili (o di più estratti di parti del set complessivo dei dati)
  • Utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti

📚In che formato devono essere predisposti i dati?
Il GDPR non fornisce indicazioni specifiche sul formato dei dati personali da fornire agli interessati, ma lo definisce “strutturato”, “di uso comune” e “leggibile da dispositivo automatico”. Si tratta dunque di requisiti minimi che intendono facilitare l’obiettivo dell’interoperabilità e di offrire all’interessato un ampio margine di portabilità dei propri dati.