Diritti degli interessati

Diritto alla portabilità dei dati art. 20 GDPR 2026: guida pratica

Diritto alla portabilità dei dati ex art. 20 GDPR: quando si applica, i formati strutturati e leggibili, la differenza con il diritto di accesso e come rispondere.

Il diritto alla portabilità dei dati, previsto dall’art. 20 del GDPR, consente all’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che ha fornito a un titolare del trattamento, e di trasmetterli a un altro titolare senza impedimenti. Si applica però solo in presenza di due condizioni cumulative: il trattamento deve essere basato sul consenso o su un contratto (art. 6, par. 1, lett. a, o art. 9, par. 2, lett. a; oppure art. 6, par. 1, lett. b) ed essere effettuato con mezzi automatizzati. Quando è tecnicamente fattibile, l’interessato ha inoltre diritto alla trasmissione diretta dei dati da un titolare all’altro. È il diritto pensato per abbattere gli effetti di “lock-in” e favorire la concorrenza, ma il suo perimetro è più stretto di quanto si creda: riguarda i dati forniti dall’interessato, non quelli inferiti o elaborati dal titolare.

In sintesi

  • La portabilità si applica solo ai trattamenti basati su consenso o contratto ed effettuati con mezzi automatizzati (art. 20, par. 1).
  • Riguarda i dati “forniti” dall’interessato, inclusi quelli osservati dai suoi comportamenti, ma non i dati inferiti o derivati creati dal titolare.
  • Il formato deve essere strutturato, di uso comune e leggibile da dispositivo automatico (ad esempio CSV, JSON, XML).
  • Su richiesta, e se tecnicamente fattibile, i dati possono essere trasmessi direttamente a un altro titolare (art. 20, par. 2).
  • L’esercizio della portabilità non pregiudica il diritto alla cancellazione e non deve ledere i diritti dei terzi (art. 20, par. 3 e 4).

Le condizioni di applicazione (art. 20, par. 1)

A differenza del diritto di accesso, che si applica a qualsiasi trattamento, la portabilità ha un campo di applicazione delimitato da due condizioni che devono ricorrere entrambe (testo dell’art. 20 GDPR su EUR-Lex).

Prima condizione: la base giuridica. Il trattamento deve fondarsi sul consenso dell’interessato (art. 6, par. 1, lett. a, o, per i dati particolari, art. 9, par. 2, lett. a) oppure su un contratto di cui l’interessato è parte (art. 6, par. 1, lett. b). Restano quindi escluse dalla portabilità le finalità basate su altre basi giuridiche: l’obbligo legale, l’interesse legittimo, l’interesse pubblico. Se, ad esempio, un titolare tratta dati per adempiere a un obbligo fiscale, quei dati non sono portabili, anche se l’interessato li ha forniti. Per orientarsi tra le basi giuridiche è utile partire da esempi concreti di consenso e altre basi del trattamento.

Seconda condizione: i mezzi automatizzati. Il trattamento deve essere effettuato con mezzi automatizzati. Gli archivi esclusivamente cartacei sono quindi esclusi dalla portabilità (ferma restando l’applicabilità del diritto di accesso).

Quali dati sono “forniti dall’interessato”

Il perno dell’art. 20 è la nozione di dati “forniti dall’interessato”. Secondo le linee guida del Comitato europeo per la protezione dei dati (EDPB), la nozione va intesa in senso ampio e comprende due tipologie:

  • dati forniti attivamente e consapevolmente: nome, indirizzo email, età, dati inseriti in un modulo, contenuti caricati;
  • dati osservati dall’attività dell’interessato attraverso l’uso del servizio o del dispositivo: cronologia degli acquisti, log di traffico, dati di geolocalizzazione grezzi, dati generati da un dispositivo indossabile.

Non rientrano invece nella portabilità i dati inferiti o derivati, cioè quelli creati dal titolare attraverso analisi ed elaborazioni: un profilo di rischio, un punteggio di affidabilità creditizia, una categoria di preferenze costruita dall’algoritmo. Questi dati sono il risultato del lavoro del titolare, non un dato “fornito” dalla persona, e per essi resta comunque esercitabile il diritto di accesso.

Il formato: strutturato, di uso comune, leggibile da dispositivo automatico

L’art. 20, par. 1, impone che i dati siano forniti “in un formato strutturato, di uso comune e leggibile da dispositivo automatico”. L’obiettivo è l’interoperabilità: il file deve poter essere riutilizzato da un altro sistema senza reinserimento manuale. In pratica ciò significa privilegiare formati aperti come CSV, JSON o XML, corredati, quando serve, di metadati che ne descrivano la struttura. Un PDF che riproduce i dati in forma testuale non soddisfa il requisito, perché non è agevolmente leggibile da un altro sistema. Il considerando 68 incoraggia i titolari a sviluppare formati interoperabili, senza però imporre a terzi l’adozione di sistemi tecnicamente compatibili.

La trasmissione diretta a un altro titolare

L’art. 20, par. 2, aggiunge una facoltà importante: se tecnicamente fattibile, l’interessato può chiedere che i dati siano trasmessi direttamente da un titolare all’altro, senza passare dalla propria copia intermedia. La fattibilità tecnica va valutata caso per caso: il GDPR non obbliga i titolari a mantenere sistemi tecnicamente compatibili tra loro, ma il titolare non può opporre ostacoli artificiosi. È il meccanismo che, ad esempio, consente il passaggio da un fornitore di servizi a un altro portando con sé i propri dati.

Portabilità e diritto di accesso: le differenze

Portabilità e accesso vengono spesso confusi, ma rispondono a logiche diverse. La tabella seguente riassume i punti di distinzione.

Aspetto Diritto di accesso (art. 15) Diritto alla portabilità (art. 20)
Campo di applicazione Tutti i trattamenti Solo consenso o contratto + mezzi automatizzati
Oggetto Copia dei dati + informazioni sul trattamento Solo i dati forniti dall’interessato
Dati inferiti/derivati Inclusi (fanno parte dei dati trattati) Esclusi
Formato Copia in formato elettronico di uso comune Formato strutturato, di uso comune, leggibile da dispositivo automatico
Trasmissione diretta ad altro titolare Non prevista Sì, se tecnicamente fattibile
Finalità Trasparenza e controllo Interoperabilità e mobilità dei dati

La differenza pratica è netta: l’accesso serve a sapere e verificare cosa un titolare tratta; la portabilità serve a spostare i propri dati verso un altro servizio. Quando la richiesta dell’interessato non soddisfa le condizioni della portabilità (ad esempio perché la base giuridica è l’interesse legittimo), il titolare non è tenuto alla portabilità, ma la richiesta va comunque esaminata sotto il profilo del diritto di accesso.

I limiti della portabilità

Tre limiti definiscono i confini del diritto:

  • Nessun dato inferito o derivato: come visto, i dati creati dal titolare tramite elaborazione non sono portabili.
  • Diritti e libertà dei terzi: l’art. 20, par. 4, stabilisce che l’esercizio della portabilità non deve ledere i diritti e le libertà altrui. Se i dati portati riguardano anche terze persone (ad esempio i contatti di una rubrica), il titolare ricevente potrà trattarli solo per la gestione del rapporto con l’interessato e non per finalità proprie.
  • Salvaguardia della cancellazione: l’art. 20, par. 3, precisa che la portabilità non pregiudica il diritto alla limitazione e alla cancellazione: aver ricevuto una copia portabile non priva l’interessato del diritto di chiedere l’eliminazione dei dati presso il titolare originario, quando ne ricorrono i presupposti.

Sul piano procedurale valgono i termini generali dell’art. 12: risposta entro un mese, prorogabile di due mesi per richieste complesse. Sapere con precisione quali trattamenti si basano su consenso o contratto e sono automatizzati richiede un registro dei trattamenti aggiornato: senza quella mappa, distinguere i dati portabili da quelli che non lo sono diventa un esercizio a rischio di errore.

Domande frequenti

La portabilità si applica a tutti i dati che tratto?

No. Si applica soltanto ai dati personali forniti dall’interessato, il cui trattamento è basato sul consenso o su un contratto ed è effettuato con mezzi automatizzati. Restano esclusi i trattamenti fondati su altre basi giuridiche (obbligo legale, interesse legittimo, interesse pubblico), gli archivi solo cartacei e i dati inferiti o derivati elaborati dal titolare.

In quale formato devo fornire i dati portabili?

In un formato strutturato, di uso comune e leggibile da dispositivo automatico, così da consentirne il riutilizzo da parte di un altro sistema: in pratica CSV, JSON o XML. Un PDF che si limita a riprodurre i dati in forma testuale non è adeguato, perché non è agevolmente leggibile e riutilizzabile da un altro titolare.

Devo trasferire i dati direttamente a un concorrente?

Solo se l’interessato lo richiede e se è tecnicamente fattibile (art. 20, par. 2). Il GDPR non impone di dotarsi di sistemi compatibili con quelli di ogni altro operatore, ma non consente nemmeno di frapporre ostacoli artificiosi. Quando la trasmissione diretta non è tecnicamente possibile, resta l’obbligo di consegnare i dati all’interessato nel formato interoperabile richiesto.

Conclusione

La portabilità è un diritto potente ma dal perimetro preciso: si applica ai soli dati forniti dall’interessato, trattati su base contrattuale o di consenso con mezzi automatizzati, e va distinta con rigore dal diritto di accesso. La difficoltà operativa non è tecnica ma di qualificazione: capire quali dati sono “forniti” e quali “inferiti”, quali trattamenti soddisfano le condizioni e quali no. Questo lavoro di qualificazione si fa a monte, mappando i trattamenti e le loro basi giuridiche, non nel momento in cui arriva la richiesta. Una piattaforma di conformità come Legiscope aiuta a costruire e mantenere questa mappa, così da rispondere alle richieste di portabilità distinguendo con sicurezza i dati portabili dal resto. Chi ha in ordine il proprio registro dei trattamenti e la propria informativa privacy affronta l’art. 20 come una procedura ordinaria; chi non lo ha rischia di consegnare troppo, o troppo poco. Poiché portabilità e accesso arrivano spesso insieme, conviene tenere pronto un modello di riscontro alla richiesta di accesso da adattare.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →