skip to Main Content
I Consigli Dell’Autorità Privacy Polacca UODO: La Protezione Dei Dati “in Vacanza”

I consigli dell’Autorità Privacy polacca UODO: La protezione dei dati “in vacanza”

Sono numerose durante le vacanze le occasioni per i malintenzionati di rubare i dati personali altrui: si pensi a tutte le attività che richiedono un documento di riconoscimento, per esempio.
Dall’autorità polacca per la privacy, un utile vademecum per evitare problemi.

L’Autorità Privacy polacca UODO ha pubblicato una serie di consigli utili in merito alla protezione dei dati personali durante le vacanze estive. Infatti è comune, durante le vacanze estive, cedere temporaneamente la carta d’identità per procedere con il noleggio di attrezzature ricreative; così come può accadere di smarrire il portafoglio con tutti documenti ivi contenuti.

Sono entrambe situazioni che mettono a rischio i dati personali delle persone interessate, con la possibilità per gli stessi dati di cadere in “mani sbagliate”, ovvero essere utilizzati per ottenere un qualsiasi tornaconto illecito.

Per l’Autorità Privacy polacca è necessario prendersi cura della sicurezza dei propri dati personali, in modo che le vacanze non si trasformino in un incubo.

Le occasioni di furto

Altro esempio della UODO: il noleggio dell’acquascooter, della canoa o della barca, anche solo per un’ora. Un momento di piacere e di relax, con la carta d’identità al sicuro in un cassetto presso la ditta di noleggio. D’altro canto sarebbe impossibile usufruire di una qualsiasi attrazione senza lasciare il documento “in pegno”.

Eppure, sessanta minuti sono più che sufficienti per qualcuno (non necessariamente un dipendente della ditta di noleggio) per prendere il documento dal cassetto, farne una copia e… utilizzare i dati personali ivi contenuti a suo piacimento.

Chi ottiene i dati personali in tal modo, potrebbe afferma l’Autorità di Varsavia, richiedere un prestito oppure fare acquisti online.

Gli stessi dati personali potrebbero essere utilizzati per stipulare contratti con un operatore di telefonia, oppure noleggiare attrezzature costose, ovvero addirittura  rubarle.

Il tutto facendo ricadere la responsabilità sull’interessato (incauto).

Il documento di riconoscimento lasciato “in pegno”

L’autorità privacy polacca ricorda che nessuno può obbligare legalmente una persona a lasciare un documento di riconoscimento “in pegno” (ad esempio carta d’identità, passaporto, patente di guida) per il noleggio di attrezzature ricreative.

Tali documenti sono rilasciati dagli enti preposti per le sole finalità previste dalla legge; inoltre contengono diversi e disparati dati personali, ben più ampi di quanto possa essere ritenuto necessario per il raggiungimento di una specifica finalità (come il noleggio in questione).

Sempre la UODO specifica che è necessario tenere a mente che i documenti di riconoscimento possono essere utilizzati solo dalle persone alle quali sono stati rilasciati, e che quindi ne hanno diritto.

Inoltre, salvo nei casi previsti dalla legge, è vietata la conservazione dei documenti di riconoscimento, nonché il trattamento dei dati in essi contenuti.

Per quanto attiene il passaporto, lo stesso non è nemmeno di proprietà della persona interessata, bensì dello Stato che lo rilascia. Esso viene concesso per i soli scopi doganali e per il soggiorno all’estero, nonché allo scopo di certificare la cittadinanza e l’identità dell’individuo. Pertanto il passaporto non può essere liberamente utilizzato per scopi diversi da quelli elencati.

La conservazione dei documenti di riconoscimento nei casi non previsti dalla legge specifica la UODO, comporta non solo la violazione delle norme nazionali applicabili, ma anche dei principi contenuti nel Regolamento europeo in materia di protezione dei dati personali (2016/679): si tratta dei principi di liceità, limitazione della finalità e minimizzazione dei dati (Art. 5.1 del GDPR).

Copia del documento di riconoscimento conservata 

Alcuni fornitori di servizi di noleggio di attrezzature da diporto, come barche e canoe, possono chiedere in alternativa alla temporanea conservazione la copia di un documento di riconoscimento, la quale non (sempre) viene distrutta ovvero restituita all’interessato contestualmente al termine del servizio di noleggio.

Nemmeno ciò è ammissibile, afferma la UODO. Questa pratica espone la persona interessata agli stessi pericoli del documento lasciato “in pegno”. Pertanto il consiglio dell’Autorità Privacy polacca è di non accettare una simile richiesta, anche se il fornitore dei servizi si giustificasse spiegando che è tenuto a farlo per eventuali richieste di risarcimento, ad esempio in caso di attrezzature danneggiate o non restituite al termine del periodo di noleggio.

Sempre l’Autorità Privacy di Varsavia consiglia ai fornitori di “estrarre” dal documento solo le informazioni utili al recupero di eventuali crediti, come nome e cognome. Un’altra soluzione potrebbe essere quella di pagare una cauzione per il materiale noleggiato, da restituire all’interessato al termine del periodo concordato.

In ogni caso, prosegue l’Autorità Privacy polacca, se il fornitore di servizi decidesse di annotarsi ugualmente i dati del documento di riconoscimento, la persona interessata dovrà “vigilare” per fare in modo che lo stesso fornitore provveda alla loro successiva cancellazione  ovvero alla cessione del modulo dove è stata presa nota dei dati  contestualmente alla restituzione dell’attrezzatura noleggiata.

Inoltre, la UODO ricorda che le richieste di copia o di conservazione di un documento di riconoscimento possono essere esperite anche presso le reception degli hotel. Anche qui afferma l’Autorità Privacy polacca si tratta di procedure non necessarie. Infatti l’addetto alla reception potrà richiedere la sola esposizione di un documento di riconoscimento, non procedendo alla sua conservazione né alla sua copia.

I consensi non informati

L’opportunità di ottenere dalla persona interessata in vacanza non solo il suo denaro ma anche i suoi dati personali è un problema.

Un esempio possono essere i concerti o i festival, dove gli organizzatori possono offrire un ticket d’ingresso ad un prezzo interessante ovvero gratuitamente  a patto che la persona interessata compili un modulo aggiuntivo ed acconsenta al trattamento dei dati per ulteriori finalità.

Purtroppo, così facendo – soprattutto se le informazioni sono poco chiare, inesistenti e/o non vi si presta attenzione  è possibile perdere il controllo sui propri dati. E il problema diventa ancora più grave quando ciascun titolare del trattamento nel caso in oggetto l’organizzatore del festival  mette i dati degli interessati a disposizione dei propri partner (altri titolari ovvero responsabili del trattamento) per scopi di marketing  cosa che la persona interessata ha accettato di fare, seppur inconsapevolmente.

Così, spesso al rientro dalle vacanze, la persona interessata potrebbe chiedersi perché delle aziende che magari non ha mai sentito nominare  lo contattano. Infatti l’interessato potrebbe non ricordare che, ad esempio, le continue chiamate che riceve sono state rese possibili grazie alla prestazione di uno o più consensi, conferiti senza farci caso (peraltro non informandosi).

Accade anche che alcune aziende trasferiscano illecitamente i dati personali ad altre società senza il consenso della persona interessata. E dopo pochi mesi vi sono una moltitudine di aziende che utilizzano tali dati, complicando la possibilità di far valere i propri diritti (Artt. 15-22 del GDPR)  e di richiedere, ad esempio, la cancellazione dei dati (Art. 17 del GDPR).

Gli annunci di lavoro

L’ultima situazione esaminata dall’Autorità polacca riguarda la potenziale perdita di dati (ovvero l’illecito trattamento degli stessi) in caso di ricerca di lavoro temporaneo o stagionale (es. assistente bagnanti, animatore, operatore di sala ecc.) da parte della persona interessata.

L’autorità avverte che tra i vari annunci ve ne sono diversi che mirano ad ottenere tutte le informazioni possibili sull’interessato (a volte, l’unico motivo). Pertanto, secondo la UODO, è necessario analizzare il contenuto di ogni annuncio con molta attenzione nonché prestare particolare attenzione quando un potenziale datore di lavoro oltre al conferimento dei dati strettamente necessari nonché all’indicazione dei dati di contatto richieda al candidato, ad esempio, una copia del documento di riconoscimento (non necessario a fini reclutativi).

A maggior ragione, specifica l’Autorità Privacy polacca, la “vigilanza” del candidato dovrebbe essere ancor maggiore in caso di offerte di lavoro online.

Occorre infatti prestare attenzione quando un potenziale datore di lavoro che non è noto o non è ritenuto affidabile dalla persona interessata invia tramite mail un link o un allegato sospetto che potrebbe infettare i dispositivi del candidato con un malware.

Infine, la UODO ricorda che a fini assuntivi il datore di lavoro ha il diritto di ottenere solo i seguenti dati: nome e cognome, data di nascita, dati di contatto, formazione, qualifiche professionali, e dettagli sul precedente impiego.

Note

  1. Urząd Ochrony Danych Osobowych (traducibile come: “Ufficio per la protezione dei dati personali”
  2. Anche il Garante Privacy pubblica annualmente una guida con i consigli utili in materia
  3. Regolamento europeo in materia di protezione dei dati personali (2016/679)
  4. Art. 5.1 del GDPR.I dati personali sono:a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)
  5. In base all’art. 4 n. 7) del GDPR il Titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
  6. In base all’art. 4 n. 8) del GDPR il Responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
  7. Diritti degli interessati
  8. Art. 17.1 del GDPR: 1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
    a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
    c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
    d) i dati personali sono stati trattati illecitamente;
    e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
    f ) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.i.

FONTE: Cybersecurity360

Back To Top