La portabilità dei dati non è un diritto senza limiti

Il diritto alla portabilità dei dati, disciplinato dall'art. 20 del Gdpr, il regolamento generale per la protezione dei dati, prevede la possibilità per gli interessati di chiedere al titolare del trattamento dei dati (l'azienda X) di ottenere i dati personali che li riguardano, trasferendoli a loro o, se possibile, direttamente al nuovo titolare (l'azienda che offre un servizio analogo o anche diverso a quello dell'azienda X).

Il diritto alla portabilità nasce dall'esigenza di voler dare all'utente di questi servizi l'occasione di poter cambiare operatore di un dato servizio con facilità, trasferendo i propri dati personali a un fornitore di un servizio diverso. Ne abbiamo sperimentato tutti l'efficacia quando oltre un decennio fa arrivò il diritto alla portabilità del numero cellulare che innescò la prima vera competizione tra gli operatori della telefonia, con conseguente abbassamento dei prezzi delle tariffe, a beneficio dei consumatori.

Su questa strada si sta procedendo anche con il Data Act, in discussione a Bruxelles, che prevederà la portabilità anche dei dati non personali. Peraltro, la possibilità di esercitare i diritti previsti dal Gdpr anche attraverso piattaforme di intermediari non è nuova ed è sicuramente una importante opportunità offerta dal nuovo quadro di regole europee sulla circolazione dei dati, per facilitare questo esercizio spesso poco conosciuto e farraginoso.

Ciò che si imputa a Google è che abusi della sua posizione dominante per non rispondere alle domande della start up italiana, impedendole di gestire le richieste di portabilità dei dati, su mandato dei suoi utenti. Se per Google la procedura interna serve a verificare la genuinità delle richieste, per l'Agcm tale scelta risulta essere un modo per frenare l'innovazione di modelli alternativi alla gestione dei dati, che potrebbero nascere grazie al diritto alla portabilità dell'art. 20 del Gdpr.

Tralasciando un attimo la questione strettamente collegata all'abuso di posizione dominante e volendo rimanere nel solo campo della circolazione dei dati, occorre menzionare alcuni punti importanti. Il diritto alla portabilità nasce sì per ribilanciare a favore dell'utente quello squilibrio di potere nei confronti delle aziende in generale, e delle Big Tech in particolare, ma non a tutti i costi e sempre e comunque.

Analizzando il tipo di dati rilasciati da Google, questi sono in effetti disponibili senza ritardo e in formato aperto (es. json). Secondo il Gdpr, la richiesta di inviare tali dati direttamente a un altro titolare (azienda) è esaudibile se fattibile tecnicamente e giuridicamente, viste e ponderate le varie esigenze in campo, ma non vige un obbligo tout court per l'azienda che riceve la richiesta di adattarsi al sistema di quella che riceve i dati, come riferito nelle stesse linee guida del comitato dei Garanti sulla portabilità, del 2017.

Nelle stesse linee guida si aggiunge che chi riceve la richiesta deve predisporre un sistema che garantisca la corretta identificazione del soggetto richiedente, cosa che Google, nel caso concreto, prevede visto che la richiesta si fa dal proprio account. In assenza di questo sindacato di controllo, si correrebbe il rischio di esporre i dati ad una circolazione indebita, rectius a un furto e/o a un data breach.

Se è pur vero dunque che, soprattutto quando parliamo di Big Tech, riuscire a navigare le diverse opzioni sulla privacy risulti spesso complesso e necessiterebbe di maggior trasparenza, ciò non toglie che il rischio di consegnare tutti i dati personali relativi a un utente, fuori dal proprio perimetro di sicurezza, ad esempio su richiesta di un mandatario, risulterebbe piuttosto rischioso in quanto potrebbe offrire il fianco a fenomeni incontrollati di circolazione illegittima e/o illecita, con effetti potenzialmente disastrosi sia per gli utenti che per la reputazione dell'azienda.

I diritti di cui al Gdpr sono stati pensati e concepiti per ridare controllo totale agli interessati rispetto al trattamento dei loro dati personali e non già per creare nuove opportunità di business in punto di intermediazione nel mercato dei dati. Tale circostanza può anche nascere e svilupparsi ma mai a discapito della libertà, della trasparenza, della effettività delle scelte degli interessati.

E soprattutto giammai a detrimento del patrimonio informativo creato con fatica dai titolari originari dei dati, i quali per avere titolarità sul trattamento di quei dati hanno dovuto sostenere ingenti investimenti per mettere in piedi banche dati sicure, segregate e giuridicamente in linea con le prescrizioni del Garante.

Spesso, infatti, dietro a tali meritorie e meritevoli iniziative, si celano operatori predatori volti a creare banche dati e profili partendo proprio da quelle degli operatori a cui si chiede la portabilità. I diritti di cui al Gdpr sono altra cosa e sarebbe auspicabile un intervento delle Autorità preposte volto proprio a richiamare e ribadire la serietà di queste opportunità che il legislatore europeo ci ha offerto.

Senza contare che l'automatizzazione dell'invio delle richieste di portabilità, uscendo dai binari del processo previsto da Google, come di qualsiasi altra azienda, potrebbe mettere in seria difficoltà il titolare del trattamento che si vedrebbe “sommerso” – come già avvenuto – nello stesso momento da migliaia, quando non da milioni, di richieste, cui, secondo l'art. 12 Gdpr, dovrà rispondere entro un mese.

Proprio per la delicatezza del processo di risposta alle richieste dell'utente, dovrebbe invece spettare alla libertà del titolare prevedere il miglior processo possibile e non ad un terzo.

Da ultimo occorre aggiungere che se l'Agcm valuta molto positivamente iniziative che facilitino la raccolta dei dati degli utenti da parte di intermediari che dividono con loro il profitto derivante dalla profilazione aggregata (analoga a quella effettuata anche dalle Big Tech), al contempo tale “incentivo economico” potrebbe collidere con l'idea che i dati personali non siano un bene commerciabile, principio che viene ricordato proprio nell'indagine conoscitiva delle tre autorità.

Ben venga dunque una maggior trasparenza e facilità d'uso dei mezzi previsti dal titolare per la richiesta di portabilità degli utenti, ma rimanendo nel confine della libera iniziativa economica delle imprese che questi mezzi predispongono e che della sicurezza di tali dati sono i primi responsabili.