Il GDPR introduce all’articolo 20 il nuovo diritto alla “portabilità dei dati” per consentire agli interessati di spostare o copiare facilmente i propri dati personali da un ambiente ad un altro. Il parere del WP29 chiarisce le condizioni di applicazione e fornisce esempi concreti per spiegare le circostanze in cui si applica questo diritto.
Dal parere sembra che questo diritto sia applicabile solo se il trattamento dei dati è basato giuridicamente sul consenso della persona interessata o sulla necessità di eseguire un contratto ed è limitato ai dati personali forniti dall’interessato (compresi i dati personali che riguardano attività della persona interessata o derivanti dall’osservazione del suo comportamento, ma non da una successiva analisi di quel comportamento).
I Titolari del trattamento devono informare gli interessati sulla disponibilità del diritto di portabilità (ad esempio prima della chiusura di un account) e sono incoraggiati a garantire l’interoperabilità del formato dei dati forniti a fronte di una richiesta di portabilità. Questo ultimo aspetto riveste particolare rilevanza per il mondo IT, che sarà chiamato a rendere praticabili questi adempimenti. Per i sistemi esistenti potrebbero essere necessarie ingombranti interfacce di estrazione e normalizzazione dei dati, mentre per i sistemi ancora da realizzare sarà un tema da tenere ben presente in fase di progettazione: la privacy dovrà essere “by design”, no?