L'approfondimento

La protezione dei dati “in vacanza”: i consigli dell’autorità privacy polacca UODO

Sono numerose durante le vacanze le occasioni per i malintenzionati di rubare i dati personali altrui: si pensi a tutte le attività che richiedono un documento di riconoscimento, per esempio. Dall’autorità polacca per la privacy, un utile vademecum per evitare problemi

28 Giu 2019
M
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


L’autorità privacy polacca UODO[1] ha pubblicato[2] una serie di consigli utili in merito alla protezione dei dati personali durante le vacanze estive[3]. Infatti è comune, durante le vacanze estive, cedere temporaneamente la carta d’identità per procedere con il noleggio di attrezzature ricreative; così come può accadere di smarrire il portafoglio con tutti documenti ivi contenuti.

Sono entrambe situazioni che mettono a rischio i dati personali delle persone interessate, con la possibilità per gli stessi dati di cadere in “mani sbagliate”, ovvero essere utilizzati per ottenere un qualsiasi tornaconto illecito.

Per l’autorità privacy polacca è necessario prendersi cura della sicurezza dei propri dati personali, in modo che le vacanze non si trasformino in un incubo.

Le occasioni di furto

Altro esempio della UODO: il noleggio dell’acquascooter, della canoa o della barca, anche solo per un’ora. Un momento di piacere e di relax, con la carta d’identità al sicuro in un cassetto presso la ditta di noleggio. D’altro canto sarebbe impossibile usufruire di una qualsiasi attrazione senza lasciare il documento “in pegno”.

Eppure, sessanta minuti sono più che sufficienti per qualcuno (non necessariamente un dipendente della ditta di noleggio) per prendere il documento dal cassetto, farne una copia e… utilizzare i dati personali ivi contenuti a suo piacimento.

Chi ottiene i dati personali in tal modo potrebbe – afferma l’autorità di Varsavia – richiedere un prestito oppure fare acquisti online.

Gli stessi dati personali potrebbero essere utilizzati per stipulare contratti con un operatore di telefonia, oppure noleggiare attrezzature costose, ovvero – addirittura – rubarle.

Il tutto facendo ricadere la responsabilità sull’(incauto) interessato.

Il documento di riconoscimento lasciato “in pegno”

L’autorità privacy polacca ricorda che nessuno può obbligare legalmente una persona a lasciare un documento di riconoscimento “in pegno” (ad esempio carta d’identità, passaporto, patente di guida) per il noleggio di attrezzature ricreative.

Tali documenti sono rilasciati dagli enti preposti per le sole finalità previste dalla legge; inoltre contengono diversi e disparati dati personali, ben più ampi di quanto possa essere ritenuto necessario per il raggiungimento di una specifica finalità (come il noleggio in questione).

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Sempre la UODO specifica che è necessario tenere a mente che i documenti di riconoscimento possono essere utilizzati solo dalle persone alle quali sono stati rilasciati, e che quindi ne hanno diritto.

Inoltre, salvo nei casi previsti dalla legge, è vietata la conservazione dei documenti di riconoscimento, nonché il trattamento dei dati in essi contenuti.

Per quanto attiene il passaporto, lo stesso non è nemmeno di proprietà della persona interessata, bensì dello Stato che lo rilascia. Esso viene concesso per i soli scopi doganali e per il soggiorno all’estero, nonché allo scopo di certificare la cittadinanza e l’identità dell’individuo. Pertanto il passaporto non può essere liberamente utilizzato per scopi diversi da quelli elencati.

La conservazione dei documenti di riconoscimento nei casi non previsti dalla legge – specifica la UODO, comporta non solo la violazione delle norme nazionali applicabili, ma anche dei principi contenuti nel Regolamento europeo in materia di protezione dei dati personali (2016/679)[4]: si tratta dei principi di liceità, limitazione della finalità e minimizzazione dei dati (Art. 5.1 del GDPR).[5]

Copia del documento di riconoscimento conservata “sine die”

Alcuni fornitori di servizi di noleggio di attrezzature da diporto, come barche e canoe, possono chiedere – in alternativa alla temporanea conservazione – la copia di un documento di riconoscimento, la quale non (sempre) viene distrutta ovvero restituita all’interessato contestualmente al termine del servizio di noleggio.

Nemmeno ciò è ammissibile, afferma la UODO. Questa pratica espone la persona interessata agli stessi pericoli del documento lasciato “in pegno”. Pertanto il consiglio dell’autorità privacy polacca è di non accettare una simile richiesta, anche se il fornitore dei servizi si giustificasse spiegando che è tenuto a farlo per eventuali richieste di risarcimento, ad esempio in caso di attrezzature danneggiate o non restituite al termine del periodo di noleggio.

Sempre l’autorità privacy di Varsavia consiglia ai fornitori di “estrarre” dal documento solo le informazioni utili al recupero di eventuali crediti, come nome e cognome. Un’altra soluzione potrebbe essere quella di pagare una cauzione per il materiale noleggiato, da restituire all’interessato al termine del periodo concordato.

In ogni caso, prosegue l’autorità privacy polacca, se il fornitore di servizi decidesse di annotarsi ugualmente i dati del documento di riconoscimento, la persona interessata dovrà “vigilare” per fare in modo che lo stesso fornitore provveda alla loro successiva cancellazione – ovvero alla cessione del modulo dove è stata presa nota dei dati – contestualmente alla restituzione dell’attrezzatura noleggiata.

Inoltre, la UODO ricorda che le richieste di copia o di conservazione di un documento di riconoscimento possono essere[6] esperite anche presso le reception degli hotel. Anche qui – afferma l’autorità privacy polacca – si tratta di procedure non necessarie. Infatti l’addetto alla reception potrà richiedere la sola esposizione di un documento di riconoscimento, non procedendo alla sua conservazione né alla sua copia.[7] [8]

I consensi non informati

L’opportunità di ottenere dalla persona interessata in vacanza non solo il suo denaro – ma anche i suoi dati personali – è un problema.

Un esempio possono essere i concerti o i festival, dove gli organizzatori possono offrire un ticket d’ingresso ad un prezzo interessante – ovvero gratuitamente – a patto che la persona interessata compili un modulo aggiuntivo ed acconsenta al trattamento dei dati per ulteriori finalità.

Purtroppo, così facendo – soprattutto se le informazioni sono poco chiare, inesistenti e/o non vi si presta attenzione – è possibile perdere il controllo sui propri dati. E il problema diventa ancora più grave quando ciascun titolare del trattamento[9] – nel caso in oggetto l’organizzatore del festival – mette i dati degli interessati a disposizione dei propri partner (altri titolari ovvero responsabili del trattamento[10]) per scopi di marketing – cosa che la persona interessata ha accettato di fare, seppur inconsapevolmente.

Così, spesso al rientro dalle vacanze, la persona interessata potrebbe chiedersi perché delle aziende – che magari non ha mai sentito nominare – lo contattano. Infatti l’interessato potrebbe non ricordare che, ad esempio, le continue chiamate che riceve sono state rese possibili grazie alla prestazione di uno o più consensi, conferiti senza farci caso (peraltro non informandosi).

Accade anche che alcune aziende trasferiscano illecitamente i dati personali ad altre società senza il consenso della persona interessata. E dopo pochi mesi vi sono una moltitudine di aziende che utilizzano tali dati, complicando la possibilità di far valere i propri diritti (Artt. 15-22 del GDPR[11]) – e di richiedere, ad esempio, la cancellazione dei dati (Art. 17 del GDPR[12]).

Gli annunci di lavoro

L’ultima situazione esaminata dall’autorità privacy di Varsavia riguarda la potenziale perdita di dati (ovvero l’illecito trattamento degli stessi) in caso di ricerca di lavoro temporaneo o stagionale (es. assistente bagnanti, animatore, operatore di sala ecc.) da parte della persona interessata.

L’autorità privacy polacca avverte che tra i vari annunci ve ne sono diversi che mirano ad ottenere tutte le informazioni possibili sull’interessato (a volte, l’unico motivo). Pertanto, secondo la UODO, è necessario analizzare il contenuto di ogni annuncio con molta attenzione nonché prestare particolare attenzione quando un potenziale datore di lavoro – oltre al conferimento dei dati strettamente necessari nonché all’indicazione dei dati di contatto – richieda al candidato, ad esempio, una copia del documento di riconoscimento (non necessario a fini reclutativi).

A maggior ragione, specifica l’autorità privacy polacca, la “vigilanza” del candidato dovrebbe essere ancor maggiore in caso di offerte di lavoro online.

Occorre infatti prestare attenzione quando un potenziale datore di lavoro – che non è noto o non è ritenuto affidabile dalla persona interessata – invia tramite mail un link o un allegato sospetto che potrebbe infettare i dispositivi del candidato con un malware.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Infine, la UODO ricorda che a fini assuntivi il datore di lavoro ha il diritto di ottenere solo i seguenti dati: nome e cognome, data di nascita, dati di contatto, formazione, qualifiche professionali, e dettagli sul precedente impiego.

Note

  1. Urząd Ochrony Danych Osobowych (traducibile come: “Ufficio per la protezione dei dati personali”)
  2. Traduzione (con modifiche dell’autore del presente articolo) del comunicato “Ochrona danych osobowych nie ma wakacji” (traducibile come: “La protezione dei dati personali non va in vacanza”)
  3. Anche il Garante Privacy pubblica annualmente una guida con i consigli utili in materia (link alla versione del 2018)
  4. Regolamento europeo in materia di protezione dei dati personali (2016/679)
  5. Art. 5.1 del GDPR.I dati personali sono:a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
  6. NdA. Si legga: vengono.
  7. Per il caso italiano si segnala il comunicato stampa del Garante Privacy “Alberghi: maggiori garanzie per i clienti – 22 giugno 2005”
  8. Si segnala anche un utile documento della Polizia di Stato indirizzato ai gestori di strutture ricettive
  9. In base all’art. 4 n. 7) del GDPR il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; […].
  10. In base all’art. 4 n. 8) del GDPR il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  11. Diritti degli interessati
  12. Art. 17.1 del GDPR: 1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
    a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
    c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
    d) i dati personali sono stati trattati illecitamente;
    e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
    f ) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.
@RIPRODUZIONE RISERVATA