Prendi il controllo: il diritto alla portabilità dei dati personali nel GDPR

Una delle novità più interessanti introdotte dal GDPR riguarda il diritto alla portabilità dei dati personali che, nel quadro di attuazione del digital single market, intende promuoverne e potenziarne la circolazione tra diversi provider di servizi online.

Il diritto alla portabilità rappresenta uno strumento straordinario sia per gli interessati, che vedono potenziate le loro facoltà di controllo sui propri dati, sia per i provider, che possono beneficiare del nuovo sistema introdotto dal GDPR per competere sul mercato.

Ma quali sono i nodi cruciali che i Titolari devono considerare nell’ambito dell’adeguamento al GDPR?

In cosa consiste il diritto alla portabilità?

L’articolo 20 GDPR dispone che:

l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti […]

Il diritto alla portabilità si sostanzia dunque in due distinte facoltà per l’interessato: quella di ricevere i propri dati personali per conservarli su sistemi privati e quella di trasmettere i dati ricevuti ad un altro Titolare del trattamento “senza impedimenti“, cioè a dire senza che il Titolare dal quale i dati provengono possa creare ostacoli alla trasmissione (quali sistemi di lock-in).

La trasmissione dei dati personali direttamente tra Titolari del trattamento è obbligatoria se “tecnicamente fattibile”, non comportando cioé l’obbligo di adottare o mantenere sistemi di trattamento tecnicamente compatibili.

Quali sono i dati personali portabili?

L’art. 20(1) GDPR dispone che il diritto alla portabilità riguarda solamente i dati che riguardano l’interessato o che siano stati forniti da quest’ultimo e trattati sulla base (i) del consensodell’interessato o (ii) di un contratto del quale l’interessato è parte.

Il diritto alla portabilità, inoltre, presuppone che il trattamento venga “effettuato con mezzi automatizzati”, non trovando applicazione con riferimento ad archivi o registri cartacei.

L’art. 20(4) GDPR prevede infine una regola generale a chiusura del sistema del diritto alla portabilità, sancendo che esso “non deve ledere i diritti e le libertà altrui”.

Quali sono, a livello generale, gli adempimenti per conformarsi alla normativa?

Per adeguarsi alle disposizioni in materia di portabilità, ciascun Titolare del trattamento deve:

– implementare procedure specifiche volte a consentire e facilitare agli interessati l’esercizio il diritto alla portabilità. È di fondamentale importanza disciplinare in maniera puntuale i doveri e le responsabilità degli eventuali Responsabili del trattamento che, ai sensi dell’articolo 28 GDPR, devono essere contrattualmente obbligati ad assistere “il titolare del trattamento con misure tecniche e organizzative adeguate (…) nel dare seguito alle richieste di esercizio dei diritti dell’interessato”;

– definire contrattualmente, in caso di contitolarità del trattamento, le responsabilità attribuite a ciascun contitolare in relazione a ciascuna richiesta di portabilità;

– adattare le proprie informative indicando espressamente, tra i diritti dei quali l’interessato deve essere informato, anche quello alla portabilità dei dati.

Quali sono le tempistiche che il Titolare del trattamento deve rispettare per dare seguito alle richieste di portabilità degli interessati?

Come previsto dall’articolo 12(3) GDPR, anche in caso di esercizio del diritto alla portabilità il Titolare deve fornire le “informazioni relative all’azione intrapresa […] senza ingiustificato ritardo […] entro un mese dal ricevimento della richiesta”, oppure entro tre mesi in casi di particolare complessità.

Quale formato deve essere utilizzato per il trasferimento dei dati?

L’articolo 20(1) GDPR dispone che i dati devono essere forniti “in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.

Il GDPR non fornisce alcuna previsione espressa circa il formato da utilizzare per la portabilità dei dati personali. Tuttavia, le linee guida del WP29 (ora EDPB) suggeriscono l’adozione di formati aperti di impiego comune (ad es. XML, JSON, CVS, etc.), unitamente a metadati utili, al miglior livello di granularità e con un elevato livello di astrazione.

Quali misure di sicurezza deve adottare il Titolare del trattamento per la trasmissione dei dati?

È specifico onere del Titolare adottare tutte le misure di sicurezza necessarie a garantire la trasmissione corretta e sicura dei dati personali (ad esempio, utilizzando modalità di autenticazione “forte” e implementando un sistema di crittografia end-to-end).

Il Titolare deve, inoltre, implementare tutte le misure di mitigazione del rischio che si dovessero rendere necessarie in relazione al caso concreto (quali ad esempio, il congelamento della trasmissione in caso di sospetta compromissione dell’account, o meccanismi di autenticazione tramite token in caso di trasferimento da un Titolare all’altro).

Quali sono le sanzioni in caso di inosservanza?

Fermo restando il risarcimento del danno e le misure di divieto di trattamento di dati personali fino a che non si sia posto rimedio alla situazione di non conformità, il mancato rispetto delle previsioni in materia di diritto alla portabilità può comportare l’irrogazione di una sanzione amministrativa fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Marco Galli

Quantum computing, crittografia e blockchain enthusiast: cronaca di una tragedia annunciata

È sicuro memorizzare dati personali e sensibili in blockchain, tanto sono crittografati”.
(cit. di un qualunque blockchain enthusiast)

Sebbene “trasparente” ai nostri occhi profani, l’utilizzo di sistemi crittografici è ormai parte di un grande numero di azioni che compiamo quotidianamente.

Chattare con i nostri amici su WhatsApp, utilizzare l’internet banking della nostra banca, effettuare pagamenti online, proteggere i dati del nostro pc: si tratta solamente di alcuni limitatissimi casi in cui le tecniche crittografiche garantiscono la sicurezza delle informazioni e l’integrità e la non ripudiabilità delle transazioni e delle operazioni effettuate.

Anche i sistemi blockchain basano gran parte del proprio funzionamento su tecniche crittografiche.

L’algoritmo di hash viene utilizzato per garantire che i blocchi della catena non siano stati successivamente modificati, mentre le transazioni tra i partecipanti alla rete vengono sottoscritte con firma digitale per garantire l’integrità delle transazioni stesse e la loro riconducibilità a un determinato soggetto (non ripudiabilità).

Sia Bitcoin che Ethereum utilizzano, per la firma digitale delle transazioni, un algoritmo crittografico a chiave pubblica basato su curve ellittiche (Elliptic curve Digital Signature Algorithm – ECDSA). In particolare, un algoritmo a chiave pubblica è basato su una coppia di chiavi (una pubblica e una privata) che il mittente e il destinatario utilizzano per sottoscrivere e per verificare le transazioni.

La possibilità di ricavare la chiave privata rappresenta, evidentemente, una minaccia colossale per la sicurezza e la confidenzialità dei dati crittografati, con pesanti ricadute trasversali non solo sui sistemi blockchain, ma anche, ad esempio, sulle attuali misure di protezione dei dati personali basate su tecniche crittografiche a chiave pubblica.

Se gli algoritmi crittografici a chiave pubblica sono considerati “sicuri” alla luce dello stato attuale della tecnologia, il quantum computing si preannuncia come l’evento in grado di far saltare il banco.

Teorizzato per le prima volta dal premio Nobel Richard Feynman nel 1981 e basato sulle regole della meccanica quantistica, il computer quantistico basa il suo funzionamento sui cosiddetti qubit, bit quantistici che, a differenza di quanto avviene nei computer tradizionali, non sono vincolati ad uno stato binario (0 o 1), ma possono assumere valori multipli nello stesso istante.

Il quantum computing promette di riuscire a risolvere istantaneamente problemi matematici a complessità esponenziale, grazie all’enorme capacità di calcolo raggiunta. I colossi del mercato stanno investendo e scommettendo pesantemente su una tecnologia allo stato ancora acerba e molto costosa: IBM, ad esempio, sta lavorando su un’applicazione commerciale del proprio sistema quantistico, IBM Q.

L’enorme potenza di calcolo che i computer quantistici possiederanno (da qui a cinque anni) promette di rendere obsoleti e corruttibili gli algoritmi crittografici a chiave pubblica attualmente considerati sicuri.

È stato dimostrato matematicamente che un computer quantistico a 5.000 qubit (ancora remoto – IBM Q possiede ad esempiouna capacità di calcolo di 20 qubit) sarebbe in grado, in pochi secondi, di scomporre in fattori  il prodotto di due grandi numeri primi (cd. algoritmo di Shor), compromettendo radicalmente la sicurezza dei sistemi crittografici basati su tale difficoltà di scomposizione, come gli algoritmi a chiave pubblica.

Per dare un ordine di grandezza, si consideri che un computer attuale impiegherebbe centinaia di migliaia di anni per compiere un’operazione di scomposizione in fattori di un numero di 300 cifre.

Tutti coloro che vogliono assicurarsi che i loro dati siano al sicuro tra dieci anni devono muoversi ora verso forme alternative di crittografia”: così ha testualmente affermato Arvind Krishna, a capo del dipartimento di ricerca di IBM, intervenendo recentemente ad un panel sugli utilizzi business del quantum computing al The Churchill Club a San Francisco.

La corsa a forme crittografiche evolute è in pieno fermento e, fortunatamente sono attualmente allo studio algoritmi quantum-resistent. La tendenziale immutabilità delle infrastrutture blockchain, tuttavia, espone a severe problematiche di sicurezza tutti quei dati (magari personali e sensibili) memorizzati direttamente sul ledger in forma crittografata, per i quali, forse, è già troppo tardi.

Marco Galli

FlashTechMood #2: il Garante francese sul rapporto tra GDPR e blockchain

L’Autorità Garante francese (CNIL) ha pubblicato sul proprio sito un report relativo alla compliance con il GDPR di tecnologie basate su protocolli blockchain.

Il rapporto tra data protection e blockchain presenta profili di evidente conflittualità (ne ho parlato qualche tempo fa su barelylegal.tech), che tuttavia possono (e devono) essere gestiti per evitare di incorrere in sanzioni particolarmente gravose.

Seguiranno su Tech Mood per tutti gli approfondimenti del caso.

Marco Galli