Recenti e clamorosi data breach, diventati noti alle cronache, hanno riguardato il furto di migliaia di documenti di identità dei clienti di un hotel che sono stati trafugati e messi in vendita sul dark web e altrettanti sono stati trovati liberamenti accessibili (oltre che indicizzati sui motori di ricerca) su una piattaforma web utilizzata dalle scuole.

Ciò che ha reso possibile questa situazione è la mancanza di una protezione dei dati che sia integrata già a partire dalla progettazione di un piattaforma web secondo la regola del privacy by design e by default. Partire con una valutazione di impatto che permetta di chiarire da subito lo scopo del software, la tipologia di dati trattati, i permessi di accesso ai dati e l’impostazione di efficaci misure di sicurezza è il primo importate tassello per la realizzazione di un software che sia da subito efficace ed efficiente.

La conformità delle piattaforme web al GDPR è quindi strettamente connessa a un’attenta valutazione d’impatto che deve essere la guida a cui fare riferimento in tutte le fasi di creazione e successiva messa in opera.

Non va inoltre dimenticato che, nonostante quella di fotocopiare i documenti di identità dei clienti, sia una pratica molto diffusa, questa è da considerarsi illecita perché contraria a quanto stabilito dal GDPR. A meno che non vi sia una norma di legge che impone la copia del documento di identità, gli interessati possono esibire il documento al fine di permettere la verifica della propria identità, ma opporsi alla copia così come all’invio di un file scansionato e inviato via mail. E, certamente, il caso della struttura alberghiera è un emblematico esempio di come una pratica illecita sia però ampiamente diffusa, con buona pace degli interessati che subiscono senza opporre lamentele, che diventa ancora più grave se unita alla conservazione dei documenti di identità indebitamente richiesti su piattaforme con misure di sicurezza inadeguate che espongono al rischio di un furto prima e di una vendita illegale poi degli stessi.

Per maggiori informazioni sulla corretta redazione di una valutazione di impatto e sulle azioni contrarie al GDPR, contatta i nostri uffici.

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

È legittimo il licenziamento se l’accesso ai dati avviene illecitamente

Non è consentito accedere da remoto ai file aziendali in regime di ferie senza un giustificato motivo

L’accesso alle telecamere

Chi accede veramente alle telecamere aziendali o domestiche?

Non basta una norma a rendere il GPS uno strumento di lavoro

Il rischio del loro utilizzo per il controllo a distanza dei lavoratori impone che vi sia sempre e preventivamente un accordo sindacale o un'autorizzazione ITL