La carta di identità è il documento che ci identifica. Contiene dati personali necessari ad esempio per la stipula di un contratto o per avere la certezza di chi è che esegue una certa operazione (pensiamo alle banche o alle poste).
Come tutti i dati personali, devono essere trattati secondo il principio di liceità e per il tempo necessario al raggiungimento della finalità per cui sono stati raccolti e deve essere data all’interessato l’informativa sul trattamento ex art. 13 del GDPR 679/2016, relativamente anche a finalità e base giuridica del trattamento e tempi di conservazione.
Va premesso che il Garante si è espresso in materia già nel lontano 2005, limitando solo a due i casi in cui è possibile richiedere la fotocopia della carta di identità:
1) All’acquisto di una scheda per il telefonino (art. 6, comma 2, della Legge 31 luglio 2005, n. 155 “Misure urgenti contro il terrorismo”)
2) Quando lo richiede una Pubblica Amministrazione (art. 45 del D.P.R. del 28 dicembre 2000, n. 445 “Testo unico sulla documentazione amministrativa”)
Non sono previsti altri casi in cui sia obbligatorio rilasciare il documento di identità. Questo però non significa che il Garante vieti la raccolta della copia della carta di identità. Quindi è possibile, ma deve però essere rispettato il requisito di “necessità”.
Ad esempio potrebbe essere “necessario” identificare con certezza un soggetto: alla stipula di un contratto, per svolgere transazioni finanziarie, ecc. In questi casi il Garante ammetterebbe la raccolta della copia del documento di identità, ma solo se tale trattamento è ben regolamentato affinché sia ben chiaro che la raccolta e conservazione del documento di identità è necessaria ai fini dello svolgimento dell'attività.
Quindi chi raccoglie la copia del documento di identità (il Titolare del trattamento) dovrà, in applicazione al GDPR 679/2016, almeno:
- Fornire informativa all’interessato ex art. 13
- Eseguire la valutazione dei rischi sul trattamento dei dati oltre che la valutazione di impatto DPIA se necessario
- Applicare una policy aziendale per tale trattamento che definisca ad esempio chi ha accesso a tali dati, misure di sicurezza fisiche e informatiche, registro accessi, tempi di conservazione, modalità di cancellazione, eccetera….
Gestire la copia dei documenti di identità è quindi una questione complessa. Per mia esperienza personale, nella maggioranza dei casi, al termine dell’analisi organizzativa e della valutazione dei rischi, la copia della carta di identità risultava superflua ed è stata sostituita con un modulo di raccolta dei soli dati strettamente necessari alla finalità.
A conferma di tutto ciò, l’Autorità Garante olandese nel gennaio 2022 ha multato per oltre 500.000 Euro una grossa casa editrice che richiedeva sistematicamente la copia del documento di identità agli interessati che esercitavano il diritto di accesso ai dati, giudicando tale richiesta sproporzionata rispetto alla tipologia di dati richiesti. Inoltre la casa editrice, in ogni caso, non aveva neanche messo in atto le misure di sicurezza organizzative e tecniche adeguate al rischio derivante dal trattamento della copia della carta di identità. Queste misure infatti devono essere tali da garantire che nessuno non autorizzato possa avere accesso ai dati, che potrebbero essere usati per commettere azioni non lecite (frodi, sostituzione di identità,.....).
Concludendo, perché complicarsi la vita?
Collegamenti:
Garante Privacy: Quando identificare e fotocopiare i documenti di riconoscimento dei clienti - 27 ottobre 2005 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1189435