Privacy – furto di dati di clienti
Al Garante per la protezione dei dati personali è pervenuta notizia di violazioni dei sistemi informatici di alcune strutture ricettive italiane che avrebbero provocato la sottrazione di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento, forniti dai clienti al momento del check-in.
Il Garante ha invitato le strutture ricettive interessate, nel caso in cui non abbiano ancora provveduto ad inviare la prevista segnalazione della violazione (data-breach), a comunicare, senza indugio, ogni anomalia per attivare immediate iniziative a tutela della riservatezza dei dati e, come prescritto dalla normativa, ad avvisare delle eventuali violazioni i clienti interessati.
Si ricorda che il regolamento europeo sulla protezione dei dati, cosiddetto GDPR, prevede vari adempimenti da parte dei soggetti titolari di trattamenti di dati personali, nonché di una sintetica Guida. In particolare, si ricorda che il GDPR prevede l’obbligo da parte di coloro che trattano dati personali di valutare preventivamente i rischi connessi con il trattamento e di adottare misure tecniche e organizzative per garantire la sicurezza dei dati.
Nell’ambito del principio di ”responsabilizzazione” (accountability), il regolamento prevede che venga rispettato il criterio sintetizzato dall’espressione inglese “data protection by default and by design”. Secondo tale principio, prima di avviare iniziative che comportano il trattamento di dati personali, occorre prevedere e configurare le garanzie indispensabili per conformarsi al regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio, con un’analisi preventiva che deve poi sostanziarsi in una serie di attività specifiche e dimostrabili.
Il titolare deve quindi analizzare i rischi inerenti il trattamento, quali la distruzione, la perdita, la modifica, la rivelazione o l’accesso non autorizzato, che potrebbero cagionare un danno fisico, materiale o immateriale (articoli 24, 25, 28, 29, 32, 40, 41, 42 e 43). A seguito dell’analisi dei rischi, viene valutato l’adeguato livello di sicurezza, attuando le misure ritenute idonee per limitare tali rischi.
Il titolare del trattamento deve quindi mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento europeo, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Dette misure sono riesaminate e aggiornate qualora necessario.
In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione, cosiddetto “data breach”, all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro settantadue ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (articoli 33 e 34). Qualora la notifica al Garante non sia effettuata entro settantadue ore, deve essere corredata dei motivi del ritardo.
Infine, si ricorda che la normativa sulla notifica di polizia delle persone alloggiate (articolo 109 Tulps e decreto 7 gennaio 2013) prevede che i gestori delle strutture ricettive sono tenuti alla cancellazione dei dati digitali trasmessi alle Questure e alla distruzione delle eventuali copie cartacee, non appena generata da parte del sistema “portale alloggiati” la ricevuta di avvenuta comunicazione dei dati, che deve essere conservata per la durata di cinque anni.
La conservazione presso le strutture ricettive dei dati dei clienti utilizzati per la notifica di polizia è consentita solo se il cliente ha previamente prestato idoneo e informato consenso, e con l’adozione delle necessarie misure di sicurezza.