La richiesta della copia della carta di identità può violare la privacy. Società sanzionata per mezzo milione di euro
Attenzione a chiedere la carta d’identità all’interessato che desidera esercitare il diritto di accesso ai suoi dati personali, perché una prassi del genere potrebbe violare la privacy della persona e costare cara alla vostra azienda. È questo il caso di una società editoriale che esigeva copia del documento d’identità in formato digitale, e per questo si è vista infliggere una sanzione di oltre mezzo milione di euro.
La società DPG Media, editrice di importanti giornali e riviste come Volkskrant e Autoweek che conta 6.000 dipendenti e un fatturato annuo di 1,7 miliardi di euro, è stata infatti sanzionata dall’autorità per la protezione dei dati personali olandese per € 525.000 perché, prevedendo nelle proprie procedure di richiedere sistematicamente ai propri clienti tale prova della loro identità se volevano accedere ai propri dati, ha di fatto "sollevato ostacoli inutili all'esecuzione dei diritti riconosciuti dal Gdpr".
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Ai clienti della DPG Media che volevano sapere quali erano le informazioni che l'editore raccoglieva su di loro, era sempre richiesto di inviare la loro carta d’identità in formato digitale, perfino nel caso in cui volessero annullare o modificare il loro abbonamento.
Numerosi clienti infastiditi, dopo l’entrata in vigore del Regolamento europeo sulla protezione dei dati personali, fin dal maggio 2018 avevano quindi iniziato ad inviare reclami al garante olandese per segnalare la gestione invasiva dei documenti di identità da parte della DPG, che imponeva di caricare il proprio documento d’identità anche ai clienti che non avevano un account sui siti web della casa editrice.
Secondo quanto reso noto dall’autorità di controllo (Autoriteit Persoonsgegevens), nel periodo preso in esame tra maggio 2018 e gennaio 2019 per verificare quanto estesa fosse la pratica di pretendere il documento d’identità dai propri clienti, erano state ben 11.000 le richieste di accesso e altre richieste dei clienti, di cui 1.600 tramite modulo o mail, e in 60 casi si trattava di una richiesta di cancellazione dei dati.
Anche se, secondo la DPG Media, questo sarebbe stato l'unico modo per stabilire l'identità degli utenti, tale tesi non ha trovato però d’accordo l’autorità olandese, la quale ha affermato invece che la società editrice ha violato l'articolo 12 del Gdpr, secondo il quale i clienti dovrebbero poter esercitare i propri diritti in modo “facilmente accessibile”, e da parte sua il "titolare del trattamento agevola l'esercizio dei diritti dell'interessato”, senza creare ostacoli inutili agli interessati all'esercizio dei suoi diritti.
Inoltre, nel comunicato in cui rende noto la sanzione comminata alla società editoriale, la vice presidente dell’autorità, Monique Verdier, ha rimarcato che gli utenti "non dovrebbero mai temere che le copie dei loro dati finiscano nelle mani sbagliate a causa di un attacco ransomware o di altre violazioni dei dati. Ciò può portare a frodi di identità e avere gravi conseguenze per le persone dietro questi dati personali".
Chiedendo di prassi una copia di un documento di identità agli interessati senza prima verificare se già disponesse di altre informazioni identificative e di contatto, l’editore aveva introdotto una procedura "impeditiva" e "sproporzionata rispetto alla natura e alla quantità di dati personali" raccolti, che peraltro, anche se fosse stata ritenuta lecita, avrebbe richiesto di attuare tutte le misure di sicurezza tecniche e organizzative necessarie per conformarsi all'articolo 32 del Regolamento Ue 2016/679. Per tali motivi la Autoriteit Persoonsgegevens ha considerato una “grave violazione” della privacy quella commessa da DPG Media.
