Art. 20 GDPR — Diritto alla portabilità dei dati

Commento

Logica e finalità della portabilità

L'art. 20 GDPR riconosce il diritto alla portabilità dei dati: l'interessato può ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano e che ha fornito a un titolare, e può trasmetterli a un altro titolare senza impedimenti. È diritto di matrice anti-lock-in: serve a evitare che l'interessato resti prigioniero di una piattaforma per la difficoltà tecnica di trasferire i propri dati altrove. Si applica a trattamenti basati su consenso (art. 6, par. 1, lett. a) o contratto (lett. b) e effettuati con mezzi automatizzati. Il considerando 68 ne sottolinea la funzione pro-concorrenziale.

Ambito di applicazione (par. 1)

Il par. 1 fissa l'ambito: il diritto si applica ai dati personali forniti dall'interessato. La nozione di dati forniti è interpretata estensivamente dall'EDPB nelle linee guida 4/2017: include dati forniti consapevolmente (form, registrazione) e dati osservati durante l'uso del servizio (search history, location, log di attività). Esclusi sono i dati derivati dalla profilazione e dai modelli algoritmici (es. scoring, segmenti analitici): questi vanno accessi ex art. 15 ma non sono portabili. La distinzione è cruciale per piattaforme che generano valore dall'analisi dei comportamenti.

Trasmissione diretta tra titolari (par. 2)

Il par. 2 prevede che l'interessato abbia il diritto di ottenere la trasmissione diretta dei dati personali da un titolare a un altro, ove tecnicamente fattibile. Il titolare che riceve la richiesta non può opporre rifiuto su basi commerciali: deve fornire i dati in formato strutturato (JSON, CSV, XML) e, dove tecnicamente fattibile, trasmetterli direttamente all'altro titolare. La fattibilità tecnica è valutata in concreto: per servizi maturi (banche con PSD2, energia con switching, telco con MNP) l'interoperabilità è sviluppata; per servizi nascenti, può richiedere implementazione.

Limiti e bilanciamento (par. 4)

Il par. 4 prevede che il diritto alla portabilità non leda i diritti e le libertà altrui. È regola di bilanciamento simile all'art. 15, par. 4: se i dati forniti dall'interessato includono dati di terzi (es. contatti in rubrica, conversazioni con altri utenti), il titolare può limitare la portabilità o richiedere garanzie. La CGUE ha confermato che la portabilità non può tradursi in trasferimento di dati di terzi a piattaforme che essi non hanno scelto. Il bilanciamento si traduce in redazione (redaction) o pseudonimizzazione dei dati di terzi.

Formato strutturato e interoperabilità

Il formato strutturato richiede tre requisiti: strutturato (dati organizzati in modo logico), di uso comune (formato non proprietario, ampiamente riconosciuto), leggibile da dispositivo automatico (machine-readable). JSON, CSV, XML soddisfano questi requisiti; PDF e immagini di documenti no. L'EDPB ha sollecitato sviluppo di standard di interoperabilità settoriali. Per i dati finanziari, la PSD2 ha sviluppato API standardizzate; per la sanità, FHIR è standard emergente. La portabilità è quindi tecnologia oltre che diritto: richiede investimenti in API e schemi dati.

Coordinamento con altri diritti

Il diritto alla portabilità si coordina con accesso (art. 15): la portabilità è subset specifico dell'accesso, limitato ai dati forniti e ai trattamenti su consenso/contratto, ma con esigenza di formato strutturato. Si coordina con cancellazione (art. 17): l'interessato può chiedere portabilità + cancellazione (export e poi cancellazione). Si coordina con l'art. 22: la portabilità non si estende ai modelli decisionali automatizzati né ai dati derivati.

Regola pratica e checklist operativa

Compliance art. 20: (i) mappare quali trattamenti rientrano (consenso/contratto + automatizzati); (ii) implementare export in formato strutturato per ciascun servizio; (iii) sviluppare API di interoperabilità con standard settoriali; (iv) redaction per dati di terzi; (v) integrare con dashboard self-service; (vi) tracciare le richieste. È leva pro-concorrenziale.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.