Cyber Italia sotto l’ombrellone! Quel brutto vizio di fotocopiare documenti

Il caso recente dei documenti rubati degli hotel fa pensare a quanti documenti effettivamente circolino nel dark web, nonostante la possibilità di crearne con l’intelligenza artificiale. Questo significa che è più facile ottenerli che crearli. E forse sono anche più utili.

Ma forse bisogna riflettere e farsi una domanda dirimente: come mai ne circolano così tanti e tanto facilmente?

Insomma: andiamo oltre le facili(ssime) speculazioni sui vari colabrodi di sicurezza che si vedono in giro e vengono ampiamente tollerati. Logica vuole che qualcuno li abbia raccolti e non sia stato in grado di proteggerli.

Benissimo: facciamo un passo indietro, skippiamo al momento ogni commento e riflessione su quel non in grado, e affrontiamo l’amara considerazione di constatare che più di qualcuno li ha raccolti e conservati. E dunque chiediamoci: sentivamo proprio il bisogno di questa raccolta e conservazione?

Che, tradotto in GDPR-ese, suona come: le attività di trattamento di raccolta e conservazione di quei documenti sono lecite? Dubito. Ed ecco che da una violazione della privacy (o della normativa di protezione dei dati personali) segue un problema di sicurezza. E scopriamo che “senza privacy non può esserci sicurezza e viceversa” non era proprio una punchline.

Nel settore dell’hospitality, la registrazione degli ospiti è un obbligo ma non quello di acquisire copia dei documenti. Men che meno è previsto da qualche parte che debbano essere inviate via WhatsApp, e-mail o form online foto o scansioni dei documenti.

La legge applicabile è il TULPS, ed in particolare l’art. 109:

1. I gestori di esercizi alberghieri e di altre strutture ricettive, comprese quelle che forniscono alloggio in tende, roulotte, nonché i proprietari o gestori di case e di appartamenti per vacanze e gli affittacamere, ivi compresi i gestori di strutture di accoglienza non convenzionali, ad eccezione dei rifugi alpini inclusi in apposito elenco istituito dalla regione o dalla provincia autonoma, possono dare alloggio esclusivamente a persone munite della carta d’identità o di altro documento idoneo ad attestarne l’identità secondo le norme vigenti.
2. Per gli stranieri extracomunitari è sufficiente l’esibizione del passaporto o di altro documento che sia considerato ad esso equivalente in forza di accordi internazionali, purché munito della fotografia del titolare.
3. Entro le ventiquattr’ore successive all’arrivo, i soggetti di cui al comma 1 comunicano alle questure territorialmente competenti, avvalendosi di mezzi informatici o telematici o mediante fax, le generalità delle persone alloggiate, secondo modalità stabilite con decreto del Ministro dell’interno, sentito il Garante per la protezione dei dati personali.

Nessun obbligo di acquisizione dei documenti. Il servizio del portale web alloggiati non prevede solo l’inserimento dei dati relativi al documento per la formazione delle schede su ciascun alloggiato per la trasmissione alle autorità competenti di polizia. Insomma: si raccolgono gli estremi dei documenti e non la copia degli stessi.

La raccolta delle copie dei documenti è un problema privacy risolto solo nella forma e non nella sostanza.

Cosa dice il Garante Privacy sulla richiesta di documenti in copia.

Il Garante Privacy già nel 2005 si era espresso sull’identificazione dei clienti e l’acquisizione di documenti in copia da parte di banche e uffici postali, distinguendo la necessità di identificare un interessato dalle modalità con cui ciò avviene.

L’identificazione può avvenire sia per obblighi normativi che per esigenze contrattuali o precontrattuali, e consiste in un’attività di trattamento una tantum. Quel che rileva è la modalità con cui tale identificazione avviene, che deve rispondere alle circostanze del caso ed essere proporzionata.

La richiesta di produrre una copia del documento di riconoscimento e la sua conservazione, è invece lecita solo se sussiste una disposizione normativa che lo preveda (indicando anche la tempistica di conservazione).

Cosa che non cambia con il GDPR. Anzi. Certo, forse sarebbe il caso di avere delle linee guida a questo punto. Fatto sta che il Garante Privacy ha avviato delle verifiche e, in seguito alle notifiche di data breach, anticipato che avrebbe adottato le misure di tutela urgente. Vedremo cosa accadrà e se ci sarà un riepilogo delle indicazioni in questo ambito.

Fra l’altro, il Garante polacco (UODO) in un recente comunicato del 26 agosto ha dato notizia di aver sanzionato una banca per 4 milioni di euro per aver acquisito copie scansionate dei documenti di identità di clienti e potenziali clienti in assenza di una base giuridica valida nell’ambito di adempimenti antiriciclaggio (AML). Peccato che il solo citare finalità antiriciclaggio non sia sufficiente, dal momento che occorre una motivazione fondata su una valutazione di rischio individuale del cliente.

Cosa possiamo fare quando ci chiedono una copia dei documenti?

Facile: il vero sballo è dire no. Ok, forse non è proprio uno sballo.

Meglio chiedere di indicare su quale prescrizione di legge siamo obbligati a farlo.

Fra l’altro, visto lo storico di incidenti di sicurezza e notizie sempre fresche è decisamente più facile dirsi particolarmente prudenti e chiedere alternative rispetto alla copia, o peggio, all’invio di documenti.

La privacy e la sicurezza dei nostri dati non vanno mai in vacanza, quindi il discorso vale non solo per gli hotel ma per chiunque ci chieda di inviare i nostri documenti in copia.

Ma bisogna agire per una tutela attiva dei propri dati personali.

Anche se significa passare per rompic fissati.

Better safe than sorry.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore