Richiesta copia della carta d’identità viola la privacy, multa a casa editrice olandese. Mano pesante del Garante Olandese – Autoriteit Persoonsgegevens – per violazione della privacy ed in particolare l’articolo 12 del GDPR. Vediamo perché. Al link il documento del garante in versione integrale.
Accesso ai dati non facilmente accessibile
Questa è in sostanza la motivazione fornita dal Garante olandese riguardo la questione. Una querelle nata dopo che alcuni soggetti interessati e legati alla società, hanno richiesto l’accesso ai loro dati personali. Richiesta che l’editore ha affermato poter assecondare soltanto dopo l’invio da parte del soggetto interessato stesso di una copia del proprio documento d’identità in formato digitale. Una procedura alla quale molti soggetti coinvolti non hanno voluto “sottostare” e per la quale si sono rivolti al Garante.
Multa di mezzo milione di euro
La società in questione è la DPG Media. Casa editrice di autorevoli giornali e riviste tra cui il Volkskrant e Autoweek, che conta 6.000 dipendenti e un fatturato annuo di 1,7 miliardi di euro. La sanzione, nel dettaglio è stata di 525.000 euro e, nero su bianco dal Garante, inflitta perché la società ha
“sollevato ostacoli inutili all’esecuzione dei diritti riconosciuti dal Gdpr”
Articolo 12 del regolamento europeo, ma non solo. Il Garante nel suo comunicato ufficiale ha anche voluto specificare che gli utenti
“non dovrebbero mai temere che le copie dei loro dati finiscano nelle mani sbagliate a causa di un attacco ransomware o di altre violazioni dei dati. Ciò può portare a frodi di identità e avere gravi conseguenze per le persone dietro questi dati personali”.
La difesa dell’editore
Richiesta copia della carta d’identità viola la privacy. La difesa di DPG Media si è basata sul semplice principio per cui fosse necessario da parte loro identificare con certezza l’identità del cliente. In sostanza la società ha affermato di aver attuato questa procedura perché l’unico modo per verificare l’identità del soggetto richiedente i propri dati. Sempre nel comunicato del Garante, questo “atteggiamento” aziendale è stato considerato come ostacolante nell’accessibilità semplificata ai dati del soggetto interessato, oltre una modalità che poco agevola l’esercizio dei diritti dell’interessato stesso.
Le informazioni richieste
Molti dei clienti erano interessati a conoscere quali informazioni l’editore raccoglieva sul loro conto, altri – i più – semplicemente poter accedere ai propri dati per modificare o annullare un abbonamento. Le segnalazioni dei clienti sono partite nel Maggio 2018, e la querelle si è risolta soltanto in questi giorni. Per farci una idea della mole di reclami citiamo i numeri delle richieste effettuate alla casa editrice, alle quali la stessa ha risposto con richiesta di copia del documento elettronico: 11.000 sono state le richieste di accesso e altre richieste dei clienti, 1.600 tramite modulo o mail. 60 i casi in cui il cliente ha chiesto la cancellazione dei dati.
Una procedura impeditiva, ma non solo
Il Garante olandese ha sanzionato l’azienda in base alla trasgressione dell’articolo 12. La prassi di richiesta di copia del documento è stata ritenuta, come detto, impeditiva, ma aggiungeremmo noi anche sproporzionata in relazione alla “qualità” dei dati richiesti. Oltretutto, qualora anche la richiesta dell’editore fosse stata consentita, avrebbe richiesto una attenzione a misure tecniche e organizzative in conformità all’art.32 del GDPR. Carattere di sicurezza che l’invio di una “semplice” mail dal nostro punto di vista non ha.