Gestione responsabile dei documenti di identità per tutelare la privacy
I documenti di identificazione delle persone contengono e rappresentano dati personali estremamente sensibili. Soprattutto nell’era digitale, dove le interazioni hanno conseguenze altrettanto reali di quelle fisiche, questi documenti possono essere utilizzati in modo illecito o addirittura fraudolento in tutto il mondo, in tempi immediati. Con la digitalizzazione dei servizi, l’esigenza di essere identificati tramite documento di identità è aumentata rispetto al mondo reale.
Questa questione coinvolge diverse parti interessate:
- in primo luogo, le persone fisiche sono interessate a preservare la propria privacy;
- in secondo luogo, ci sono le entità, sia come titolari che come responsabili del trattamento dei documenti, che gestiscono le informazioni contenute in essi e le relative copie. Da un lato, queste entità traggono valore aggiunto dal trattamento di tali informazioni, ma dall’altro devono essere attente a rispettare le norme sulla privacy per evitare perdite accidentali o fraudolente di dati sensibili, mettendo a rischio la privacy degli utenti e gli interessi aziendali;
- inoltre, la questione è rilevante anche per le Autorità Garanti (III), nel caso di ispezioni, reclami o violazioni dei dati, che potrebbero comportare sanzioni, e per la Magistratura (IV), in caso di reati come l’usurpazione di identità o le truffe online.
Nell’ambito di questa questione, sono importanti aspetti fondamentali come fornire informazioni dettagliate agli interessati, tramite un documento che riassuma le modalità di trattamento, e condurre una valutazione dei rischi di processo, inclusa una valutazione preliminare dell’impatto e, se necessario, una valutazione approfondita della protezione dei dati. È essenziale considerare anche i limiti imposti dal quadro normativo per quanto riguarda la verifica dell’identità delle persone.
Nonostante l’esigenza di identificare le controparti con cui si instaurano relazioni, è importante valutare attentamente la richiesta di copia del documento di identità.
Per avere un quadro chiaro sulla questione, è rilevante citare un intervento precedente del Garante Privacy che affronta l’argomento dell’identificazione e della fotocopia dei documenti di riconoscimento dei clienti, sebbene formulato alcuni anni fa.
Il Garante ha evidenziato due situazioni in cui è lecito richiedere e conservare la copia di un documento di identità ai fini della privacy:
a) quando “una disposizione normativa prevede espressamente l´acquisizione e la conservazione temporanea di tale copia” oppure
b) nelle situazioni in cui occorra “poter dimostrare di aver identificato l´interessato con modalità più accurate, stante il particolare contesto od operazioni da svolgere”.
Come esemplificazioni della prima fattispecie il Garante fa riferimento a:
- acquisizione di schede telefoniche, ai sensi dell’art. 6 della legge n. 155 / 2005 “Misure urgenti per il contrasto del terrorismo internazionale”,
- acquisizione di informazioni relative a stati, qualità personali e fatti, da parte di pubbliche amministrazioni e gestori di pubblici servizi, ai sensi dell’ art. 45 del D.P.R. del 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”.
Per quanto riguarda la seconda situazione, in cui la decisione di trattenere la copia del documento di identità è presa dal titolare, il Garante fa riferimento ai casi di operazioni di pagamento a favore di utenti sconosciuti presso banche e uffici postali.
Tuttavia, la conservazione della copia non può essere arbitraria o indefinita: deve essere coerente con gli scopi del trattamento. Pertanto, la conservazione può avvenire
a) per il tempo previsto dalla legge (tenendo anche conto del principio di “limitazione della conservazione” di cui all’art. 5.1.e del GDPR), oppure
b) per il tempo necessario rispetto agli scopi specifici, in base a una valutazione preventiva. È importante sottolineare che, se nominato, il Responsabile della Protezione dei Dati (DPO) può fornire consulenza qualificata al titolare per effettuare e mantenere tali valutazioni.
Gestire i documenti di identità è quindi un’operazione complessa. Ad esempio, secondo il Codice Penale, chiunque ometta di fornire indicazioni sulla propria identità personale durante un controllo da parte di pubblici ufficiali può essere punito con l’arresto fino a un mese o una multa fino a 206 euro. Tuttavia, non tutti sanno che non è obbligatorio mostrare il documento di identità per fornire tali informazioni. Secondo una sentenza della Corte di Cassazione (sez. I Penale, sentenza n. 42808/2017), è possibile comunicare la propria identità verbalmente. Tuttavia, se la persona è considerata pericolosa o sospetta, non mostrare il documento di identità costituirebbe una violazione dell’art. 4, comma 2 del T.U.L.P.S.
Va da sé che mostrare a un controllo il proprio documento di identità, è senz’altro preferibile per il buon cittadino in quanto non sottrarrebbe più tempo del necessario alle forze dell’ordine rispetto alla prioritaria esigenza di complessivo presidio del territorio.
Riguardo alla vita quotidiana, ogni cittadino ha il diritto di rifiutarsi di lasciare una copia del proprio documento d’identità a un’organizzazione, a meno che il richiedente motivi tale richiesta e chiarisca come verrà gestita tale copia.
Per i titolari di organizzazioni, ciò implica riflettere su situazioni in cui, per prassi consolidate o procedure definite prima dell’entrata in vigore del GDPR, si richiede la copia del documento di identità degli utenti. In caso affermativo, è necessario valutare se tale richiesta è effettivamente motivata e per quanto tempo detenere tali copie, comunicandolo all’interessato.
Ad esempio, i titolari potrebbero chiedersi se è necessario continuare a richiedere e conservare una copia del documento di identità per terzi che accedono alle proprie sedi. È importante valutare se esiste una chiara finalità o norma cogente che giustifichi il trattenere una copia del documento di identità, comunicandolo poi all’interessato. Allo stesso modo, per richieste online da parte di clienti già censiti, specie se non dispositive, fatte attraverso i recapiti ufficiali (ad esempio, caselle email già registrate), è opportuno valutare se una richiesta di allegare una copia del documento di identità risponde a una finalità o norma cogente, comunicandolo poi all’interessato.
Riflettere su tali questioni potrebbe rappresentare un’opportunità per razionalizzare la gestione dei documenti e fare una revisione delle procedure utilizzate nel tempo, che potrebbero risultare inadeguate dal punto di vista della disponibilità, integrità e riservatezza delle informazioni. Ciò eviterebbe i rischi di non essere conformi alle disposizioni del GDPR e del Codice Privacy, nonché di non poter ricostruire oggettivamente gli eventi in caso di violazione dei dati.
Fonte Federprivacy
