{"id":2746,"date":"2017-04-17T14:59:00","date_gmt":"2017-04-17T12:59:00","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2746"},"modified":"2017-04-17T14:59:00","modified_gmt":"2017-04-17T12:59:00","slug":"data-portability","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/04\/17\/data-portability\/","title":{"rendered":"LA PORTABILIT\u00c0 DEI DATI"},"content":{"rendered":"

Riportano le linee guida sulla portabilit\u00e0 da poco emesse dal WP29:<\/p>\n

L\u2019articolo 20 del regolamento generale sulla protezione dei dati (RGPD) introduce il nuovo diritto alla portabilit\u00e0 dei dati. Tale diritto consente all\u2019interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Il diritto in questione \u00e8 soggetto a determinate condizioni e mira a promuovere la libert\u00e0 di scelta degli utenti, il loro controllo sui trattamenti e i diritti dei consumatori.<\/em><\/p>\n

In realt\u00e0 tale diritto introdotto dal GDPR pu\u00f2 essere una fonte rilevante di rischio sia per gli interessati, che possono veder sottrarre al proprio controllo una grande quantit\u00e0 di dati che li riguardano, sia per i titolari, chiamati a mettere in atto misure di sicurezza non indifferenti, in aggiunta all\u2019impegno richiesto per permettere all\u2019interessato\u2026<\/p>\n

\u2026di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento\u2026<\/em><\/p>\n

\u00c8 evidente che in tale contesto, come evidenziato dal WP29, possono esserci problemi di sicurezza, ad esempio durante la trasmissione dei dati.<\/p>\n

Ancor pi\u00f9 importante \u00e8 il fornire i dati richiesti esclusivamente a chi ne ha diritto, cio\u00e8 al vero interessato.<\/p>\n

Diventa quindi fondamentale la capacit\u00e0 del titolare di identificare in modo assolutamente corretto e certo l\u2019interessato che chiede di avere una copia dei propri dati o che chieda di trasferirli ad altro titolare.<\/p>\n

Al riguardo le linee guida del WP29 riportano le seguenti indicazioni:<\/p>\n

Come fa il titolare a identificare l\u2019interessato prima di rispondere a una sua richiesta? <\/em><\/strong><\/p>\n

Il RGPD non contiene prescrizioni specifiche rispetto all\u2019eventuale autenticazione di un interessato. Cionondimeno, l\u2019art. 12, paragrafo 2, del regolamento stabilisce che il titolare non pu\u00f2 rifiutarsi di dar seguito alla richiesta di esercizio dei diritti avanzata da un interessato (compreso il diritto alla portabilit\u00e0 dei dati), salvo che il trattamento di dati personali persegua uno scopo che non rende necessaria l\u2019identificazione dell\u2019interessato e il titolare possa dimostrare di non essere in grado di identificare l\u2019interessato. Tuttavia, in casi del genere l\u2019interessato stesso pu\u00f2 fornire informazioni ulteriori ai fini della propria identificazione da parte del titolare \u2013 come prevede l\u2019art. 11, paragrafo 2. L\u2019art. 12, paragrafo 2, stabilisce, inoltre, che qualora il titolare nutra ragionevoli dubbi circa l\u2019identit\u00e0 dell\u2019interessato, pu\u00f2 chiedere informazioni ulteriori per confermarne l\u2019identit\u00e0. Se l\u2019interessato fornisce effettivamente tali informazioni ulteriori che ne consentono l\u2019identificazione, il titolare non pu\u00f2 rifiutarsi di dar seguito alla richiesta. Se dati e\/o informazioni raccolti online sono collegati a pseudonimi o identificativi unici, i titolari possono istituire idonee procedure cos\u00ec da permettere all\u2019interessato di presentare una richiesta di portabilit\u00e0 ottenendo i dati che lo riguardano.<\/strong> In ogni caso, i titolari devono prevedere una procedura di autenticazione in modo da stabilire con certezza l\u2019identit\u00e0 dell\u2019interessato che chiede i propri dati personali o, pi\u00f9 in generale, chiede di esercitare i diritti riconosciutigli dal RGPD. <\/em><\/p>\n

In molti casi procedure di autenticazione del tipo sopra descritto sono gi\u00e0 in essere. Per esempio, spesso si utilizza un nome utente e una password per consentire all\u2019utente di accedere ai propri dati negli account di posta elettronica, sulle piattaforme social, o in molti altri servizi \u2013 che in certi casi gli utenti scelgono di utilizzare senza rivelare il nome per esteso e la propria identit\u00e0.<\/em><\/p>\n

Fra i dati la cui errata comunicazione potrebbe comportare un rischio elevato per l\u2019interessato potrebbero esserci, leggendo le linee guida, quelli legati ai rapporti bancari:<\/p>\n

Analogamente, se l\u2019interessato chiede che informazioni sulle proprie operazioni bancarie siano trasmesse a un servizio di supporto della gestione patrimoniale<\/strong>, il nuovo titolare non ha necessit\u00e0 di conservare la totalit\u00e0 di tali informazioni una volta effettuatane la categorizzazione.<\/em><\/p>\n

In realt\u00e0 questo esempio, introdotto dal WP29, deve essere valutato per quanto attiene il reale diritto di accesso e di trasportabilit\u00e0 dei dati da parte dell\u2019interessato, alla distinzione che la normativa italiana attribuisce ai dati e ai documenti bancari.<\/p>\n

Vanno infatti distinti gli accessi ai dati bancari (regolati dalla normativa privacy) dall\u2019accesso ai documenti bancari (regolati dalla normativa bancaria), come del resto chiaramente riportato sullo stesso sito dell\u2019Autorit\u00e0 Garante:<\/p>\n

http:\/\/www.garanteprivacy.it\/web\/guest\/home\/docweb\/-\/docweb-display\/docweb\/3557649<\/a><\/p>\n

della quale riporto i punti principali:<\/p>\n

    \n
  1. In<\/em><\/strong> cosa consiste il diritto di accedere ai propri dati bancari?<\/em><\/strong><\/li>\n<\/ol>\n

    Il diritto di accedere ai propri dati bancari consiste nella possibilit\u00e0 di conoscere tutti i dati personali contenuti nei documenti in possesso dell’istituto di credito presso il quale si ha un conto corrente, un deposito titoli, ecc.<\/em><\/p>\n

      \n
    1. Il titolare di un conto corrente pu\u00f2 chiedere alla banca gli estratti conto relativi a un dato periodo, facendo riferimento alla legge sulla privacy?<\/em><\/strong><\/li>\n<\/ol>\n

      No. Gli estratti conto sono documenti bancari che vanno richiesti sulla base del Testo Unico Bancario e non del Codice della privacy.<\/em><\/p>\n

        \n
      1. Il titolare del conto pu\u00f2 ottenere la copia integrale della documentazione in possesso della banca?<\/em><\/strong><\/li>\n<\/ol>\n

        S\u00ec, ma anche questa richiesta va fatta sulla base del Testo Unico Bancario e non del Codice privacy. Si tratta, infatti, di una possibilit\u00e0 diversa rispetto al diritto di accedere ai propri dati bancari.<\/em><\/p>\n

          \n
        1. In<\/em><\/strong> presenza di una richiesta fatta ai sensi del Codice della privacy, la banca \u00e8 obbligata a fornire la copia di tutti i documenti in suo possesso?<\/em><\/strong><\/li>\n<\/ol>\n

          No.<\/em><\/p>\n

          La banca ha soltanto l’obbligo di estrarre dai documenti in suo possesso tutti i dati personali del richiedente.<\/em><\/p>\n

            \n
          1. Quali informazioni il titolare del conto pu\u00f2 richiedere alla banca sulla base del Codice privacy?<\/em><\/strong><\/li>\n<\/ol>\n

            Il titolare del conto pu\u00f2 richiedere tutti i dati personali che lo riguardano di cui la banca sia in possesso, quali ad esempio le informazioni relative alle operazioni effettuate (come le registrazioni telefoniche degli ordini di negoziazione), oppure i dati di carattere personale eventualmente raccolti dalla banca per eseguire gli ordini di investimento del cliente.<\/em><\/p>\n

            Dopo questa doverosa precisazione ritorniamo alle attivit\u00e0 che un Titolare dovr\u00e0 mettere in atto per dar corso agli obblighi imposti da questo nuovo diritto:<\/p>\n