Portabilità dei dati: diritto assoluto senza limiti?

Ormai da anni è noto l'intreccio che esiste tra il tema della protezione dei dati personali e quello della concorrenza, connesso all'uso di questi dati sul mercato. La dimensione della data economy investe a pieno il perimetro di operatività di ogni realtà economica, produttiva, sociale e di questo sono consapevoli le Autorità di regolazione, ancora più del legislatore.

Nel 2020, le Autorità garanti della Protezione dei dati (Garante), della Concorrenza e del Mercato (Agcm) e delle Comunicazioni (Agcom), pubblicarono una indagine conoscitiva sui Big Data, certificando questa stretta connessione tra queste discipline, derivando dalla circostanza acclarata che oggi chi ha in mano i dati ha in mano anche il mercato. Il diritto alla portabilità dei dati, disciplinato dall'art. 20 del Gdpr, il regolamento generale per la protezione dei dati, prevede la possibilità per gli interessati di chiedere al titolare del trattamento dei dati di ottenere i dati personali che li riguardano, trasferendoli a loro o, se possibile, direttamente al nuovo titolare. Il diritto alla portabilità nasce dall'esigenza di voler dare all'utente di questi servizi l'occasione di poter cambiare operatore di un dato servizio con facilità, trasferendo i propri dati personali a un fornitore di un servizio diverso. La possibilità di esercitare i diritti previsti dal Gdpr anche attraverso piattaforme di intermediari non è nuova ed è sicuramente una importante opportunità offerta dal nuovo quadro di regole europee sulla circolazione dei dati, per facilitare questo esercizio spesso poco conosciuto.

Il diritto alla portabilità nasce per ribilanciare a favore dell'utente quello squilibrio di potere nei confronti delle aziende in generale, e delle Big Tech in particolare, ma non a tutti i costi. Analizzando il tipo di dati rilasciati da Google, questi sono in effetti disponibili senza ritardo e in formato aperto. Secondo il Gdpr, la richiesta di inviare tali dati direttamente a un altro titolare è esaudibile se fattibile tecnicamente e giuridicamente, ma non vige un obbligo tout court per colui che riceve la richiesta di adattarsi al sistema di quella che riceve i dati, come riferito nelle stesse linee guida del comitato dei Garanti sulla portabilità del 2017. Nelle stesse linee guida si aggiunge che chi riceve la richiesta deve predisporre un sistema che garantisca la corretta identificazione del soggetto richiedente. In assenza di questo sindacato di controllo, si correrebbe il rischio di esporre i dati ad una circolazione indebita, ossia un data breach.

Se è pur vero dunque che, soprattutto quando parliamo di Big Tech, riuscire a navigare le diverse opzioni sulla privacy risulti spesso complesso e necessiterebbe di maggior trasparenza, ciò non toglie che il rischio di consegnare tutti i dati personali relativi a un utente, fuori dal proprio perimetro di sicurezza. I diritti di cui al Gdpr sono stati pensati e concepiti per ridare controllo totale agli interessati rispetto al trattamento dei loro dati personali e non già per creare nuove opportunità di business in punto di intermediazione nel mercato dei dati. Tale circostanza può anche nascere e svilupparsi ma mai a discapito della libertà e trasparenza.

Senza contare che l'automatizzazione dell'invio delle richieste di portabilità, uscendo dai binari del processo previsto da Google, come di qualsiasi altra azienda, potrebbe mettere in seria difficoltà il titolare del trattamento che si vedrebbe sommerso  nello stesso momento da migliaia, quando non da milioni, di richieste, cui, secondo l'art. 12 Gdpr, dovrà rispondere entro un mese. Proprio per la delicatezza del processo di risposta alle richieste dell'utente, dovrebbe invece spettare alla libertà del titolare prevedere il miglior processo possibile e non ad un terzo.

Da ultimo occorre aggiungere che se l'Agcm valuta molto positivamente iniziative che facilitino la raccolta dei dati degli utenti da parte di intermediari che dividono con loro il profitto derivante dalla profilazione aggregata (analoga a quella effettuata anche dalle Big Tech), al contempo tale "incentivo economico" potrebbe collidere con l'idea che i dati personali non siano un bene commerciabile, principio che viene ricordato proprio nell'indagine conoscitiva delle tre autorità.

Ben venga dunque una maggior trasparenza e facilità d'uso dei mezzi previsti dal titolare per la richiesta di portabilità degli utenti, ma rimanendo nel confine della libera iniziativa economica delle imprese che questi mezzi predispongono e che della sicurezza di tali dati sono i primi responsabili.