contributo alla consultazione pubblica, di Luciano Delli Veneri e Gloria Marcoccio

Considerazioni generali

Il Regolamento 2016/679/CE (nel seguito “Regolamento”) contiene molti aspetti innovativi in ordine al trattamento dei dati personali dei quali il diritto alla portabilità, oggetto delle presenti Linee Guida in consultazione (nel seguito “LG”), costituisce un esempio rilevante. In tale ottica sicuramente sono da valutare positivamente le azioni intraprese dal WP_ART29 che, con un chiaro intento didattico, hanno predisposto, le presenti LG e che, in attesa della costituzione del EDPB, valuta necessario fornire ulteriori indicazioni per indirizzare la corretta interpretazione di una serie di aspetti che nel Regolamento hanno una certa indeterminatezza -su tutti sicuramente il tema dell’accountability ma anche quello delle “misure idonee” o della Privacy Impact Assessment, o per i quali il Regolamento specificatamente rimanda ad interventi chiarificatori del citato EDPB.

Proprio avendo a riferimento l’importanza che tali interventi rivestono al fine di creare le condizioni per una migliore comprensione degli obiettivi perseguiti dal Regolamento e delle modalità e forme con le quali dare applicazione alla normativa si ritiene necessario che vi sia la capacità di fornire indicazioni che, avendo a riferimento un reale e concreto “bilanciamento degli interessi” tra le parti, abbiano una visione oggettiva degli ambiti nei quali la normativa interviene, di tutte le correlazioni che ne derivano, e tengano in considerazione, non da ultimo, gli oneri diretti ed indiretti della regolamentazione. Venendo alle presenti LG non si può non rilevare come appaiano, in diversi aspetti, significativamente sbilanciate a favore della tutela del diritto alla portabilità dell’Interessato senza prestare la opportuna attenzione ai corrispondenti diritti del Titolare quale quali, ad esempio, quello di non doversi fare carico di attività non correlate con il proprio business al solo fine di dover “potenzialmente” soddisfare una ipotetica esigenza dell’Interessato. Parimenti appare estremamente critica la visione che permea le LG di una “estrema facilità” con la quale si da per scontato sia possibile implementare soluzioni tecnologiche per la portabilità dei dati, per rispondere a specifiche esigenze dell’Interessato, salvo poi il “divieto” per il Titolare di utilizzare tali soluzioni anche, qualora se ne presentino le potenzialità, a proprio beneficio. Da ultimo non si può non sottolineare come il diritto alla portabilità, come descritto nelle LG, appare estremamente ampio ed indeterminato sia in relazione all’oggetto –i dati personali e gli ambiti di trattamento, che ai soggetti chiamati a risponde alle istanze dell’Interessato che per il settore privato non fa differenziazioni di alcun tipo richiedendo, ad esempio, indistintamente gli stessi adempimenti da parte di “Amazon” e del piccolo sito di e-commerce locale. Infine, ma sul punto si dirà meglio nel prosieguo, si ritiene opportuno sollecitare una maggiore attenzione sugli aspetti dei costi sottesi all’esercizio dei diritti da parte dell’Interessato poiché appare del tutto incomprensibile come si possa ritenere che la predisposizione di un “servizio”, tale risulta essere la portabilità ad esempio se il Titolare deve effettuare specifiche attività per darvi esecuzione, possa, o meglio, debba essere a “costo zero” per l’Interessato che ne beneficia.

Quali dati possono esser oggetto di “portabilità”?

Nel documento sottoposto a consultazione sono indicate 3 condizioni quali parametri di riferimento per poter individuare, concretamente, quale set di dati personali possano/debbano essere forniti all’Interessato, trasferiti in un archivio da questi indicato ovvero passati ad un altro Titolare del trattamento (Titolare ricevente), rispetto alle quali si forniscono i seguenti spunti di riflessione:

First condition: personal data concerning the data subject 

Appare evidente che sono da escludere quei dati per i quali non è possibile avere certezza della loro riferibilità al soggetto che li richiede: sul punto si dirà infra con riferimento alla esigenza postulata dalle LG per la quale “data controllers must implement an authentication procedure in order to strongly ascertain the identity of the data subject requesting his or her personal data or more generally exercising the rights granted by the GDPR”;.

A parere della Scrivente, a prescindere dal fatto che in tale caso i dati potrebbero essere considerati “pseudo anonimi”, non deve essere imposto al Titolare cedente di effettuare ulteriori attività al solo scopo di cercare di accertare l’identità del richiedente la portabilità e la sua legittimazione. Appare poi particolarmente critico l’esempio riportato nelle LG in merito alla portabilità del dato di traffico laddove sembrerebbe che la portabilità debba riferirsi sia al traffico originato dall’Interessato (traffico uscente) che a quello ricevuto, e quindi originato da soggetti terzi (traffico entrante). A tal riguardo corre l’obbligo di richiamare le specifico provvedimento della DPA italiana^[1] che ha differenziato significativamente l’esercizio del diritto d’accesso al dato di traffico “entrante” dell’Interessato prevedendo che possa essere fornito solo in presenza di “indagini difensive di natura penale” proprio in ottica di bilanciamento degli interessi tra chi effettua e chi riceve la chiamata. Ipotizzare, per contro, che l’Interessato possa esercitare il diritto alla portabilità senza alcun vincolo o limite anche per il traffico ricevuto appare una violazione del principio di bilanciamento degli interessi del tutto immotivato. Inoltre, sempre avendo a riferimento il traffico telefonico, non si può ignorare che lo stesso è trattato dal Titolarità per “obblighi di legge” (in Italia le c.d. “prestazioni obbligatorie” ai sensi dell’art. 96 del D. lgs. 259/03) e che tale tipologia di dato contiene elementi informativi aggiuntivi (cella del chiamante, del chiamato, etc.) ovvero altre tipologie di traffico telefonico (i.e. chiamate non risposte, non completate, occupato, etc.) specificatamente raccolti per le finalità indicate e che sono sottoposte a stringenti vincoli in ordine al loro accesso sulla base di numerosi provvedimenti della DPA italiana^[2]. In aggiunta a quanto già segnalato non si può omettere di richiamare gli aspetti relativi alla “sicurezza” che il trattamento di tali dati richiede e che, in caso di portabilità sicuramente costituiscono un elemento di grossa criticità anche in vista delle ripercussioni che a “terzi” potrebbero derivare da una eventuale loro violazione. Infine resta da definire la profondità temporale dei dati che può/deve essere messa a disposizione dell’Interessato avendo in considerazione che, nel caso prospettato dei dati di traffico, i termini di conservazione sono significativamente diversi in funzione della finalità dei trattamenti. Il suggerimento è che quindi venga individuato un termine ragionevole del “data aging” che abbia nella dovuta considerazione la tipologia dei dati, le finalità nonché gli ambiti di trattamento. Si segnala, infine, che molti dei servizi della società dell’informazione consentono all’Interessato di accedere non solo ai dati personali forniti ma anche a quelli “generati” attraverso l’utilizzo dei prodotti e servizi prestati dal Titolare: appare in tali casi davvero poco comprensibile come sia necessario imporre al Titolare ulteriori obblighi per la messa a disposizione dei dati che l’Interessato potrebbe acquisire autonomamente. In tale senso, e a puro titolo esemplificativo, si segnala che i siti degli Operatori TLC rendono disponibile gli ultimi 6 mesi di traffico telefonico (quasi sempre esportabili in formato excel), che i browser consentono di conservare ed esportare i dati di navigazione internet, che i social network permettono di salvare i dati relativi ai propri profili, che i motori di ricerca offrono la possibilità di conservare ed esportare le ricerche effettuate, che i siti di e-commerce mantengono lo storico degli acquisti effettuati così come i fornitori di servizi di streaming (musicale e/o altro) conservano e rendono disponibile la playlist e che tali informazioni sono acquisibili agevolmente, ma soprattutto, autonomamente dall’Interessato senza richiedere l’intervento del Titolare.

Second condition: data provided by the data subject

Anche con riferimento alla esatta classificazione di quelli che le LG indicano come “dati forniti dall’Interessato” appare opportuno segnalare come il discrimine non sia di facile identificazione. Sempre prendendo spunto dall’esempio, più volte utilizzato nelle LG, relativo ad un “account” (di posta elettronica, ndr) si pongono le medesime riflessioni già espresse in merito al traffico in “entrata” poiché anche in questo caso, per le mail ricevute, dovrebbe valere un bilanciamento dell’interesse tra il mittente ed il destinatario. Per quanto riguarda, invece, quei dati che sulla base di quelli forniti dall’Interessato, sono poi “generati” attraverso i prodotti/servizi/applicazioni predisposte dal Titolare, si ritiene che non sia così semplice, come dalla lettura delle LG sembra prospettarsi, una loro esatta classificazione e differenziazione soprattutto se “the term “provided by the data subject” must be interpreted broadly, and only to exclude “inferred data” and “derived data”, which include personal data that are generated by a service provider (for example, algorithmic results)”: interpretando in forma estesa il concetto di portabilità l’Interessato potrebbe contestare, anche strumentalmente, la mancata portabilità ed il Titolare cedente si troverebbe nelle condizioni di dover dare evidenza di proprie informazioni o segreti di business al solo fine di legittimare la messa a disposizione di un set “ridotto” ovvero giustificare il proprio rifiuto alla portabilità. Si suggerisce di voler formulare delle indicazioni maggiormente rispettose anche delle prerogative dei terzi e/o del Titolare cedente.

Third condition: the right to data portability shall not adversely affect the rights and freedoms of others

Proprio la tutela dei diritti dei terzi che sono coinvolti, in genere a loro insaputa, dai rischi connessi alla portabilità dei dati appare come un tema al quale prestare la massima attenzione. Ed infatti questo aspetto, come indicato anche dalle LG, costituisce un limite da tenere in debita considerazione avendo a riferimento anche quanto indicato dal Considerando 68 del Regolamento che fissa un limite all’esercizio del diritto di portabilità ritenendo che lo stesso “non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento”. Alla luce di questo assunto appare di non facile individuazione il confine tra il diritto alla portabilità di un Interessato e la tutela, protezione e, in alcune circostanze finanche la esercibilità dei diritti dei terzi, a loro volta “Interessati”. Come già sopra indicato l’esempio della portabilità dei dati connessi al servizio mail ingloba, di fatto, anche i dati personali dei mittenti che, come nel caso del traffico telefonico in entrata, dovrebbero avere il diritto a vedersi tutelati i propri dati da rischi di violazione o trattamenti non legittimi svolti, peraltro, a loro insaputa e senza il loro consenso. In tal senso appare quindi ragionevole la previsione delle LG che sul punto recitano: “Since these data are relating to, and are created by the identifiable individual that wishes to exercise his right to data portability, data controllers should transmit the entire directory of incoming and outgoing e-mails to the data subject”, poiché in questa circostanza il trattamento, essendo destinato al “process personal data for a purely personal or household activity” non rileva ai fini del Regolamento. Se, per contro, i dati venissero trasferiti ad un diverso Titolare ricadremmo nelle condizioni sopra descritte e, a parere di chi scrive, sarebbe molto difficile poter legittimare la portabilità senza incorrere in una violazione dei diritti dei Terzi. In tale ottica anche l’ipotesi indicata dalle LG che il Titolare “should implement consent mechanisms for other data subjects involved, to ease data transmission for those cases where such parties are willing to consent, e.g. because they as well want to move their data to some other data controller. Such a situation might arise with social networks” appare davvero priva di ogni ragionevolezza poichè, oltre a rendere necessari trattamenti non strettamente connessi con le “purposes” del Titolare (ad esempio la raccolta di un ulteriore consenso, etc.) imporrebbe dei costi aggiuntivi in vista della possibilità di dover dar seguito a “potenziali richieste di portabilità” dell’Interessato, costi che naturalmente graverebbero sulla collettività degli utenti dei prodotti e servizi (il tema dei costi verrà approfondito nel seguito). Infine non si comprende come la presenza di un certo formato dei dati (modello di elaborazione e/o format di rappresentazione) frutto del know-how del Titolare non possa, o meglio, non debba costituire un valido motivo per rifiutare la portabilità in vista dei rischi di business connessi e, del pari, sembra non condivisibile che in una tale ipotesi comunque il “data controllers can transfer the personal data provided by data subjects in a form that does not release information covered by trade secrets or intellectual property rights” venendo quindi il Titolare cedente obbligato ad effettuare un trattamento ulteriore per modificare i dati e renderli disponibili per la portabilità, non potendosi comunque escludere i rischi connessi alla divulgazione del proprio know-how.

Si suggerisce di voler riconsiderare gli aspetti relativi ai possibili rischi connessi al trattamento non necessario di dati personali di terzi, in assenza dello specifico consenso, ovvero quelli relativi alla sottrazione di know-how connesso alla portabilità dei dati.

How do the general rules governing the exercise of data subject rights apply to data portability?

Per quanto attiene agli aspetti generali relativi al diritto alla portabilità non si può non evidenziare come, contrariamente a quanto viene richiesto in merito alla semplificazione dell’Informativa ed alla esigenza che la stessa sia scritta “using clear and plain language”, le indicazioni delle LG vanno in una direzione opposta prescrivendo al Titolare cedente non solo l’esigenza di dettagliare gli aspetti strettamente connessi al “diritto alla portabilità” dei dati ma richiedendo un descrizione che si deve spingere fino ad indicare, in funzione dei trattamenti, quali sarebbero i dati ai quali si applica la “portabilità” distinguendoli da quelli per i quali il diritto non è esercitabile. Inoltre il Titolare dovrebbe anche prevedere la raccolta di “un consenso” in base al quale l’Interessato autorizza -“ora pro futuro”, il Titolare a dare seguito ad una richiesta di portabilità fatta da un terzo che dovesse, in un qualche modo, includere anche dati i propri dati personali. Tali previsioni sembrano, a parere di chi scrive, non solo di difficile attuazione ma che ne fatti originano trattamenti/consensi che esulano dalle reali “purposes” perseguite dal Titolare. Parimenti contribuiscono a creare ulteriori complessità nella predisposizione dell’Informativa che, necessariamente, è destinata a diventare ancora meno comprensibile e, conseguentemente, a richiamare ancora meno di oggi, l’attenzione degli Interessati alla sua lettura. Inoltre, anche a voler ritenere realizzabile una tale struttura informativa, si renderebbero necessari continue attività di aggiornamento dell’elenco dei dati personali oggetto di portabilità in funzione dell’evoluzione dei prodotti e servizi offerti e, conseguentemente, dei trattamenti e dei dati connessi ai medesimi. A complicare ancora maggiormente la vicenda si aggiunge l’indicazione data nelle LG relativamente al “receiving data controllers” al quale è chiesto di fornire all’interessato che sta effettuando il trasferimento indicazioni circa “the nature of personal data which are relevant for the performance of their services” ipotizzando quindi che l’Interessato possa effettuare, direttamente nuovamente dovendo richiedere una ulteriore prestazione al Titolare “cedente”, una specie di sort che ripulisca il set informativo eliminando quei dati personali non necessari.

How can the data controller identify the data subject before answering his request?

Anche per ciò che riguarda l’identificazione dell’Interessato in occasione della portabilità vi sono degli elementi di criticità di non poco conto. Pensiamo proprio al servizio di mail per il quale in molte circostanze gli unici elementi informativi disponibili al Fornitore del servizio, Titolare del trattamento, potrebbero essere la sola user_id e la password create dall’utente/Interessato al momento dell’attivazione del servizio. Le LG suggeriscono, in caso di dubbio, di richiedere ulteriori dati per verificare l’identità del richiedente: nuovamente al Titolare cedente viene richiesta una attività aggiuntiva, per altro di non poco conto, e che, soprattutto, lo espone ad ulteriori possibili rischi. Per altro una tale previsione era contenuta anche nel Reg. 2013/611/CE che però, in merito alla violazione dei dati, sia nel considerando14 che nell’art. 3 c.7 pur in presenza di una situazione di ”notevole rischio al quale è esposto l’Interessato”, i cui dati sono oggetto di violazione, non prescrive per il Titolare un obbligo assoluto di dover procedere alla raccolta di dati utili a contattare direttamente quest’ultimo, ma consente l’impiego di forme alternative quali comunicazioni a mezzo stampa. Inoltre tale indicazione sembra essere in contrasto con le posizioni espresse sia dalla DPA italiana ^[3] che dallo stesso WP_Art29^[4], in ordine all’applicazione dei principi di necessità/minimizzazione, pertinenza e non eccedenza.

Si suggerisce di prevedere dei vincoli alla portabilità nel caso in cui non vi sia la possibilità di una agevole identificazione dell’Interessato potendosi considerare i dati trattati, di fatto, alla stregua di dati pseudo anonimi la cui chiave di protezione è nella disponibilità del solo Interessato.

In which cases can a data portability request be rejected or a fee charged?

Relativamente alla legittima del rifiuto da parte del Titolare cedente di fornire i dati per la portabilità vale la pena richiamare le considerazioni già sopra espresse in ordine alla non facile attività di individuazione “certa” di quali dati personali è possibile trasferire a richiesta dell’interessato. In molte circostanze, infatti, risulterà estremamente complesso espungere quei dati trasferibili ovvero trasformarli in un formato che non consenta di risalire al modello di dati e/o di funzionamento degli applicativi costituenti il know-how del Titolare che, in caso contrario, potrebbe essere utilizzato in maniera fraudolenta o, comunque, in violazione dei diritti di copyright o di privativa industriale. La fissazione di un confine da parte del legislatore o, addirittura, la possibilità che tale limite venga lasciata alla libera scelta (i. e. libero arbitrio) dell’Interessato appare del tutto irragionevole e richiede che venga posto un limite chiaro e indispensabile ai diritti di quest’ultimo a tutela degli, altrettanto meritevoli, diritti del Titolare. In caso contrario il rischio é che, al contrario della valutazione espressa dalle LG in merito ad una, ritenuta tale, situazione di predominanza del Titolare si passi ad una certa condizione di dominio dell’Interessato. Equità di trattamento che si considera venga attuata anche in riferimento alle indicazioni che il GDPR e le stesse LG danno in ordine alla esigenza che i “diritti dell’Interessato” siano sempre e comunque gratuiti -“free of charge”: senza entrare nel merito della “presunta semplicità e facilità di tale adempimento da parte del Titolare”^[5] sembra davvero inverosimile che il legislatore possa ritenere tali attività prive di costo. Per contro quello che nella realtà avverrà è che tali costi, non del tutto indifferenti e della cui entità è possibile avere un quadro certo con ragionevole semplicità, verranno sostenuti anche da quanti non avranno mai l’esigenza di effettuare la portabilità dei dati i quali contribuiranno, loro malgrado, a ripagare tali effort, a favore di quanti, invece, intenderanno farvi ricorso. Da tali riflessioni unite alla possibilità che il diritto venga “piegato a fini diversi da quelli per il quale è stato pensato”, circostanza che nell’esperienza italiana è ben nota alla DPA, deriva il suggerimento che, come ad esempio previsto in UK, venga fatta pagare una fee anche minima (€20/30) come deterrente contro utilizzi “ultronei” se non contra legem del diritto in parola.

More clear identification of the scope of applicability for the right to portability

A nostro avviso le LG dovrebbero chiarire in modo più esplicito l'effettivo campo di applicabilità di questo importante diritto, così da poter circoscrivere ai soli casi di effettiva ed evidente necessità,  il ricorso a tale diritto da parte degli Interessati e la relativa gestione da parte dei Titolari cedenti. Si eviterebbero, in tal modo, usi impropri e distorti che comportano, per tutte le parti in gioco (Titolari ed Interessati), costi ed oneri aggiuntivi ingiustificati oltre che percepibili negativamente come contributo alla sempre più montante 'burocrazia digitale'. Infatti la formulazione presente nell'Articolo 20 del Regolamento con i suoi commi 1 e 3 determina, come “trigger” per la applicabilità del diritto, che il trattamento debba essere:

1) basato sul consenso fornito dall'Interessato oppure su un contratto stipulato tra Interessato e Titolare

2) effettuato con mezzi automatizzati

3) non svolto per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri conferiti al Titolare

Questo “trigger” risulta soddisfatto, alla nostra lettura, non solo dai cosiddetti servizi della Società dell'Informazione o da quelli erogati dai fornitori di servizi di comunicazione elettroniche accessibili al pubblico, ai quali sembrerebbe potenzialmente destinato, ma anche da ambiti nei quali non appare realmente comprensibile la esigenza dell’esercizio del diritto alla portabilità. Si pensi, ad esempio, ai trattamenti condotti da un Titolare, in qualità di datore di lavoro, in relazione al rapporto in essere con un suo dipendente o collaboratore. In questi casi, di massima, il trattamento poggia sul rapporto contrattuale ovvero in alcuni casi sul consenso (esempio: consenso per  far comparire in intranet le foto di un dipendente o collaboratore) ed è svolto (nella maggior parte dei casi solo ed esclusivamente) con mezzi automatizzati: in che termini e con quale ambito di estensione si pensa di applicare ad un caso del genere il diritto alla portabilità? E se ci riferissimo ad una associazione culturale piuttosto che ad un istituto di formazione privato, e gli esempi potrebbero essere innumerevoli, quale senso ha l’applicazione della portabilità e in che termini si sostanzierebbe, quali sarebbero i dati realmente e concretamente trasferibili? L’esemplificazione può apparire paradossale ma altrettanto lo è la potenziale applicazione indistinta del diritto alla portabilità che, conseguentemente, risulta innaturalmente applicabile oltre che eccedente le effettive necessità ascrivibili alla tutela dei diritti degli Interessati.

Potrebbe allora risultare di grande utilità condurre una attività di individuazione dei confini e degli ambiti di applicabilità, indispensabile a creare le condizioni affinché il diritto alla portabilità possa dispiegare la sua efficacia rispetto a contesti, trattamenti e Titolari ragionevolmente e chiaramente individuati/individuabili.

The importance of the Controller' size in fulfilling the data portability exercise of right

Come già sopra anticipato una effettiva implementazione del diritto alla portabilità dei dati non può prescindere dal tenere nella debita considerazione l’aspetto relativo al soggetto destinatario degli obblighi -Titolare cedente, anche relativamente alla sua dimensione, sia economica che territoriale. Appare quindi del tutto irragionevole che nelle LG non sia stata posta alcuna attenzione all’aspetto della dimensione più o meno grande del Titolare avendo pur essendo ampiamente disponibili definizioni consolidate rinvenibili non solo dalle prassi commerciali ma fatte proprie da diversi provvedimenti legislativi della CE che differenziando tra piccola, media e grande impresa graduano, anche in funzione della rilevanza del soggetto destinatario, gli adempimenti richiesti. A tal proposito riteniamo che sia condivisibile da più punti di vista questa nostra constatazione: le grandi imprese possono, di massima, avere delle disponibilità oltre che mezzi e organizzazioni per implementare e gestire quanto attiene all'esercizio del diritto in oggetto; diversamente piccoli imprenditori, che offrono servizi magari innovativi nonché di interesse per utenti circoscritti ad un contesto nazionale, inevitabilmente scontano difficoltà di carattere organizzativo-economico rispetto ai significativi effort che un esercizio irragionevole ed immotivatamente esteso del diritto alla portabilità può rappresentare. Non da ultimo bisogna tenere conto anche le potenziali conseguenze ascrivibili alle rilevanti sanzioni economiche previste in caso di violazioni (fino a 20 milioni di euro ...., ai sensi dell'art. 83 del Regolamento) che, ancora una volta, sollecitano che vi sia una definizione chiara e certa non solo dei confini della portabilità ma che vi sia una ragionevole graduazione degli obblighi rispetto alle dimensioni economico-territoriali dei soggetti chiamati a darvi attuazione.

Si suggerisce pertanto che le LG possano recepire tale aspetto e fornire chiavi di lettura utili per una corretta interpretazione, anche da questo punto di vista, degli impatti complessivi del diritto alla portabilità.

How must the portable data be provided?

Ultimo aspetto, ma non meno importante, è quello relativo al format con il quale i dati devono essere messi a disposizione dell’Interessato. Sul punto si rinvia a quanto già detto sopra in merito alla fatto che, relativamente ad una gamma sempre più ampia di trattamenti e di Titolari, i dati personali siano già ampiamente disponibili per poter essere consultati liberamente e, se del caso, copiati e/o trasferiti a cura dell’Interessato. In tali situazioni si ritiene che non vi sia la necessità di prevedere alcunché avendo l’Interessato la possibilità di attivarsi autonomamente. Nel caso in cui sia davvero necessario procedere al trasferimento di dati da un Titolare ad un altro, vi sono diversi aspetti che si ritiene siano meritevoli di una più chiara e precisa definizione dei confini (lato Interessato) e dei limiti (lato Titolare). L’affermazione contenuta anche nell’abstract delle LG che dalla “ri-utilizzabilità” dei dati discenda sicuramente un beneficio per la collettività, come indicato anche dal Considerando 68 “the ability of disparate and diverse organisations to interact towards mutually beneficial and agreed common goals, involving the sharing of information and knowledge between the organisations, through the business processes they support, by means of the exchange of data between their respective ICT systems”, non può non tenere in debita considerazione gli effort connessi alla implementazione di tali soluzioni. Se si pensa, ad esempio, al solo mondo degli apparati medicali, è di tutta evidenza che il “povero” Titolare del trattamento di una Casa di Cura, se dovesse passare una lettura così ampia e priva di ostacoli alla portabilità, non sarebbe in grado di far fronte ad un simile dictat in quanto, anche avendo possibilità economiche infinite, non sarebbe in condizione, né lui direttamente né forse ad opera dei propri Fornitori, di predisporre un tracciato dati “in a structured, commonly used and machine-readable format”. D’altronde, come già sopra evidenziato, non è pensabile che la tutela di un diritto individuale possa richiedere il sacrificio dei diritti di copyright e di privativa industriale di coloro che hanno investito ingenti risorse per realizzare un invenzione, un prodotto/servizio innovativo, uno strumento particolarmente sofisticato. Né d’altronde è ipotizzabile che il software venga sviluppato sin dall’origine in un doppio formato in modo da rendere possibile la trasferibilità dei dati trattati in maniera agevole. Per altro lo stesso Considerando 68 del Regolamento chiarisce “The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible” indicando dei chiari llimiti, insuperabili, all’esercizio del diritto alla portabilità. Sempre a tal riguardo appaiono non condivisibili le indicazioni delle LG circa l’esigenza che “data portability implies an additional layer of data processing by data controllers, in order to extract data from the platform and filter out personal data outside the scope of portability” in quanto tali previsioni richiedono, per l’appunto, un ulteriore trattamento che non è tra quelli che il Titolare ha individuato e che sono necessari (principio di necessità e pertinenza) per il raggiungimento dei propri scopi e obiettivi. Sempre con riferimento a questi aspetti la ipotesi che il “Data controllers should provide as many metadata with the data as possible at the best possible level of granularity, which preserves the precise meaning of exchanged information” appare davvero eccessiva ed immotivata poiché costituisce un obbligo di non facile ed immediata eseguibilità. In ogni caso, sarebbero necessarie ingenti risorse, non solo economiche, a fronte di un beneficio potenziale individuato dalle LG nella semplificazione della circolazione dei dati e nella conseguente, ma del tutto ipotetica, possibilità che tale condizione “will therefore foster the development of new services in the context of the digital single market strategy”. Tale assunzione non presta attenzione alla possibilità che, contrariamente a quanto auspicato, il mercato reagisca negativamente ad una tale sollecitazione, limitando la spinta alla innovazione tecnologica proprio in vista dei potenziali rischi di violazione del copyright e dei diritti di privativa industriale di cui si è già dato evidenza. Appare, inoltre, davvero preoccupante la semplificazione con la quale le LG indicano nelle API (Application Programming Interface) lo strumento principe al quale fare riferimento per “semplificare” l’esercizio del diritto alla portabilità. A tal riguardo sembrano essere del tutto ignorati gli aspetti di sicurezza che questi strumenti presentano: a tal fine si richiama l’attenzione sulla survey condotta dal GPEN ^[6], che comprende 28 Autorità di tutto il mondo, tra cui la DPA italiana, che sottolinea rilevanti aspetti di criticità delle APP, in generale, richiamando l’attenzione degli utilizzatori ad un impiego attento ad alla necessità di utilizzare solo gli “store” ufficiali attraverso i quali sono distribuite, anche se questa modalità non garantisce, comunque, da possibili rischi alla sicurezza dei dati.

* * * * *

In conclusione si suggerisce al WP_ART29 che sia le LG oggi in consultazione, che le altre che dovranno essere adottate, realizzino un vero e proprio bilanciamento degli interessi il quale, partendo da un approccio pragmatico e concreto alle reali modalità che le soluzioni tecnologiche rendono disponibili, unitamente alle esigenze dei diversi soggetti coinvolti –Titolare, Responsabile, Interessato, terze parti Interessate, crei le condizioni affinché tutti possano beneficiare delle prerogative offerte dallo sviluppo della c.d. “Società dell’informazione” senza preconcetti e senza posizioni di tutela precostituite, per altro non del tutto ragionevoli e condivisibili.