Strumenti ed opportunità per i dati personali tra pubblico e privato dopo il GDPR – dalla trasparenza alla portabilità

Durante il convegno ANDIG, tenutosi a Roma il 25 ottobre scorso, l’Avv. Giulio Pascali ha effettuato un intervento che ho ritenuto interessante riproporre sul sito chiedendo all’autore di scrivere quanto segue. Riguarda sinteticamente la portabilità dei dati del cittadino in uno scenario d’interscambio autorizzato tra pubblico e privato. È un punto di vista interessante che raccomando di leggere.

Negli ultimi diciotto mesi, qualsiasi azienda, privato e Pubblica Amministrazione hanno avuto a che fare quotidianamente con questioni che riguardano l’“adeguamento privacy”. In effetti, la messa a norma delle aziende e delle P.A. alle disposizioni in materia di tutela dei Dati Personali imposte a tutti gli Stati Membri dal Regolamento n.2016/679 del Parlamento e del Consiglio (c.d. General Data Protection Regulation o “GDPR”) ha evidenziato più di un punto dolente per aziende ed Amministrazioni, che temono le nuove e più pesanti sanzioni pecuniarie imposte per il mancato rispetto della citata normativa.
Il GDPR, però, non è certo concepita come normativa esclusivamente “afflittiva”; esso introduce, infatti, anche una serie innovativa di principi e di istituti che il privato e le aziende dovrebbero imparare a conoscere e gestire, onde poterne trarre considerevole vantaggio. Trai vari diritti messi a disposizione dei privati dal Capo II del GDPR, nessuno è, però, reputato più “misterioso” e poco compreso del diritto alla portabilità dei dati personali.

Si tratta di uno speciale diritto che a norma del Regolamento può essere azionato dagli interessati (le persone fisiche) solo ed esclusivamente nei confronti di quei soggetti che effettuino trattamento dei dati personali:

a) sulla base di un consenso espresso od un previo contratto;
b) tramite mezzi automatizzati.

Tali condizioni, specifica il GDPR, sono entrambe obbligatorie e concomitanti.
Venendo al concreto, il diritto alla portabilità si sostanzia, a norma dell’art. 20 del GDPR, nella possibilità per l’interessato, ove ciò sia tecnicamente possibile e non leda diritti o libertà altrui:

  1. di chiedere e ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico tutti i dati personali che lo riguardano in possesso di uno specifico titolare del trattamento;
  2. di trasmettere tali dati ad altro titolare del trattamento senza impedimenti.

Chiarito quanto sopra, la tesi che qui si espone mira ad evidenziare come il diritto in questione potrebbe trovare applicazione non solo nei confronti dei privati titolari dei trattamenti, ma anche in rapporto con la P.A., con innegabili vantaggi e benefici.
Come si è detto, si possono “portare” i soli dati personali che rispettino specifiche condizioni; sia l’art. 20, par. 3, che il relativo considerando 68 del Regolamento hanno però cura di specificare che tale diritto non trova applicazione nei confronti di titolari che trattino i dati per svolgere funzioni pubbliche, il che può paradossalmente apparire come una effettiva limitazione della possibilità di sfruttare un diritto di questo tipo, in ambito “pubblico”.
In effetti, della portabilità non dovrebbe esserci bisogno, in sé e per sé, nell’ambito degli scambi tra P.A., poiché il trattamento di dati personali nell’ambito di esercizio di pubblici poteri presume già il necessario flusso di dati tra una P.A. e l’altra.
L’impressione prospettica iniziale cambia, inoltre, se esaminiamo sia i lavori preparatori del GDPR che le opinioni del Gruppo Art. 29 (denominazione che come noto raccoglie i Garanti Privacy degli Stati Membri UE sotto unica bandiera), ed in specie il WP242_rev01(2017) [https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233], ove si legge come per il Gruppo sia auspicabile che il diritto alla portabilità possa essere garantito al privato anche nei confronti delle Pubbliche Amministrazioni, e persino in maniera “automatizzata”, quale mezzo per velocizzare l’azione burocratica.
Facciamo allora un ulteriore passo avanti, ed ipotizziamo di fare qualcosa di ancora ulteriore con il diritto alla portabilità, coinvolgendo proprio le P.A. che già detengono i dati personali di milioni di interessati. La portabilità dei dati, ove estesa verso le Pubbliche Amministrazioni, potrebbe portare a due differenti applicazioni concrete, entrambe di forte utilità per gli interessati, e non solo per loro:

a) da un lato, essa di fatto consentirebbe agli interessati di stimolare la trasparenza, accessibilità e rapidità dell’azione amministrativa, evitando al tempo stesso alla P.A. di incorrere nel divieto di richiedere documenti attestanti atti, fatti, qualità e stati soggettivi, necessari per l’istruttoria del procedimento (che a norma di legge dovrebbero essere già acquisiti d’ufficio dalla P.A. procedenti, anche richiedendoli presso altre P.A. che li detengano), e sfruttando in ciò le recenti previsioni di cui all’art. 43, co. 1-bis, del Codice dell’Amministrazione Digitale – “CAD” (D.Lgs. n.82/2005), a mente del quale “se il documento informatico è conservato per legge da uno dei soggetti di cui all’articolo 2, comma 2 [e cioè PA, gestori servizi pubblici, società partecipate], cessa l’obbligo di conservazione a carico dei cittadini e delle imprese che possono in ogni momento richiedere accesso al documento stesso ai medesimi soggetti di cui all’articolo 2, comma 2. Le amministrazioni rendono disponibili a cittadini ed imprese i predetti documenti attraverso servizi on-line accessibili previa identificazione con l’identità digitale di cui all’articolo 64 ed integrati con i servizi di cui agli articoli 40-ter e 64-bis.”. Esercitando un diritto alla portabilità nei confronti della P.A., l’interessato avrebbe, insomma, a disposizione una ulteriore – e poderosa – “leva” per esercitare i propri diritti nei confronti della P.A., stimolandone il corretto ed efficiente operato;

b) dall’altro, garantire all’interessato la possibilità di esercitare il diritto alla portabilità dei propri dati anche nei confronti della P.A. potrebbe anche velocizzare e certificare l’eventuale passaggio di tali dati verso privati fornitori di beni e servizi. L’interessato potrebbe, insomma, ove a ciò debitamente abilitato per legge e munito dei necessari strumenti tecnici, una volta scelto un bene o servizio di suo interesse, “autorizzare” un fornitore privato ad accedere ai dati personali necessari già detenuti presso una specifica P.A. (o presso un punto unico di raccordo delle Pubbliche Amministrazioni, condizione essenziale per l’efficiente operatività della portabilità in ambito pubblico), così da instaurare un contratto di fornitura senza dover necessariamente passare per call center, terzi responsabili del trattamento e/o procedure di registrazione gestite in maniera autonoma dal fornitore stesso, con notevole risparmio di tempo e risorse per entrambe le parti.

Le opportunità descritte potrebbero essere concretamente realizzate sfruttando i sistemi di Identità Digitale già esistenti (dunque SPID ma non solo), in modo da garantire così agli interessati il pieno e stretto controllo dei propri dati personali, senza doversi avvalere di ulteriori intermediari terzi, ed alla P.A. ed ai privati fornitori che trattano tali dati ogni necessario consenso al trattamento, espresso con modalità tecniche certificate e semplici, di chiara applicazione.
Le implicazioni e le applicazioni pratiche della presente impostazione sinora solo teorica sono, com’è ovvio, ancora tutte da verificare e vi sono certo spazi per una revisione in fase implementativa della stessa e per le più opportune valutazioni di impatto e di fattibilità in proposito, ma non vi è dubbio che il tema possa – e debba – trovare opportuno spazio, all’interno del processo evolutivo digitale del paese.