Copie dei documenti d'identità: si possono richiedere?

La “digitalizzazione” ha spostato molte attività e servizi, che una volta avvenivano di persona, in remoto, cioè utilizzando la rete internet e i nostri dispositivi, smartphone o computer che siano. Certamente semplificando la vita, se non altro per la minore necessità di spostamenti, ma c’è sempre il rovescio della medaglia: in molti casi, quando si ha a che fare con pratiche burocratiche, è necessario dimostrare l’identità, e cio spessissimo avviene richiedendo una copia (foto o scansione che sia) di un documento d’identità valido, con la conseguenza che di tali copie ne esistono decine sparse per il mondo.

Dove sta il problema

Un documento d’identità apparentemente contiene informazioni largamente note: nome e cognome, data e comune di nascita, genere, foto; tutti dati che appartengono alla categoria dei dati “comuni”, e che sono peraltro largamente diffusi. Da notare però i dati in se stessi e la copia del documento sono di fatto diversi: la seconda, infatti, aggiunge la garanzia proveniente dallo Stato che l’identità in questione corrisponde ad una persona reale a cui viene associato il viso (ed ormai, anche le impronte digitali), permettendone il riconoscimento. Quindi, anche se la copia stessa continua ad appartenere ai dati “comuni”, è evidente che il suo utilizzo comporta un rischio più alto rispetto ai dati che contiene.

Il rischio fondamentale è il furto d’identità: ciò può accadere ogni volta che la copia viene presa a prova di un’identità senza che avvenga il controllo visivo del viso (e ciò accade quasi sempre proprio in quei casi che si dicevano all’inizio, “in remoto”), ma anche con la sostituzione della foto sulla copia, operazione ormai banale per tutti grazie ai programmi e servizi disponibili. Nel caso ciò accada, l’impatto è molto pesante: il malcapitato può essere di fatto accusato di qualsiasi illecito compiuto a suo nome (i casi più gravi sono quelli in cui si diventa a propria insaputa dei prestanome per la criminalità organizzata), e dimostrare la propria innocenza comporta tempi, costi e stress non indifferenti.

In sostanza, il problema è che bisognerebbe limitare al massimo di far girare copie dei propri documenti d’identità.

Quali sono i casi in cui è necessaria la trasmissione o la conservazione

Come si diceva, la questione riguarda tutti quei casi in cui è necessaria una verifica dell’identità di un individuo che agisce da remoto. Giuridicamente parlando (come affermato dal Garante privacy), la conservazione della copia è giustificabile in due casi:

quando una disposizione normativa prevede espressamente l’acquisizione e la conservazione temporanea di tale copia;
nelle situazioni in cui occorra poter dimostrare di aver identificato l’interessato con modalità più accurate, stante il particolare contesto od operazioni da svolgere.

Esempi di tali situazioni sono: per il primo caso, acquisizione di schede telefoniche (art. 6 della legge n. 155 / 2005 “Misure urgenti per il contrasto del terrorismo internazionale”), o acquisizione di informazioni relative a stati, qualità personali e fatti, da parte di pubbliche amministrazioni e gestori di pubblici servizi (art. 45 del D.P.R. del 28 dicembre 2000, n. 445 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa”); per il secondo caso, una banca o un ufficio postale deve poter dimostrare di aver identificato l´interessato con modalità più accurate, stante il particolare contesto od operazioni da svolgere (come pagamenti verso utenti non conosciuti precedentemente).

Altre soluzioni

Quindi, in tutti gli altri casi, che sono la maggioranza (e non la minoranza, come invece sembra suggerire l’esperienza quotidiana), la verifica dell’identità può essere effettuata con modalità diverse, che non comportino né la trasmissione né la conservazione di una copia del documento. A tal proposito, sempre il Garante suggerisce:

utilizzando atti e documenti acquisiti in precedenza;
solo esibendo (che può avvenire anche in remoto, come per esempio nel corso di una videochiamata) il documento di riconoscimento;
annotando gli estremi del documento esibito (come attestazione dell’avvenuto controllo).

Ovviamente bisogna esser certi che tali modalità siano accettabili; recentemente la prassi delle strutture ricettive, soprattutto quelle degli “affitti brevi”, di farsi inviare il documento di riconoscimento per vie digitali è stata esplicitamente vietata, richiedendo sempre il riconoscimento effettuato in loco e di persona (il che rende inattuabile anche qualsiasi altro riconoscimento remoto, inclusa la videochiamata).

Rispetto a queste modalità, bisogna però fare attenzione che non si ricada nello stesso problema, cioè conservare un qualcosa che possa essere riutilizzato fraudolentemente da un altro soggetto; per cui la videochiamata non dovrebbe essere registrata (o dovrebbe rendere non riconoscibile il documento o la persona), gli estremi dei documenti controllati dovrebbero essere adeguatamente protetti, etc. Altra attenzione riguarda il fatto che, se si è accettato un certo livello di confidenza per il riconoscimento iniziale in un certo rapporto tra le parti, lo stesso livello di confidenza dovrebbe essere sufficiente per i riconoscimenti successivi (a patto che il rischio non sia aumentato per qualche motivo), il che equivale a dire che si dovrebbero riutilizzare le stesse modalità.

Rispetto ai suggerimenti del Garante, che non sono recenti, si aggiunge la possibilità di utilizzare gli altri strumenti nativamente digitali di attestazione dell’identità, in Italia PEC, SPID, CIE, TNS (in cui il riconcimento e la verifica dell’identità tramite l’esposizione di un documento ufficiale è stato risolto una volta per tutte al momento dell’attivazione); tali strumenti, però, comportano per i soggetti privati che volessero implementarli nei loro servizi dei costi che non tutti (anzi, pochi) sono disposti o hanno possibilità di sostenere.

Come proteggere le copie

Qualora, ricadendo nei casi appena ricordati, sia necessario conservare le copie, evidentemente vanno prese adeguate misure di sicurezza che ne impediscano il furto; ciò vale sia se sono in forma digitale, ma anche dovessero essere in forma cartacea.

I criteri sono:

minimizzare la possibilità di accesso alle copie, anche all’interno della propria organizzazione (cassaforte/armadio blindato se cartacee; privilegi restrittivi se digitali);
trasmissione e conservazione in forma crittografata (quindi no email e nemmeno PEC; meglio utilizzare servizi con HTTPS e autenticazioni personali);
distruzione appena possibile, cioè al completamento dei motivi che ne richiedevano la conservazione;
inibizione dei sistemi di archiviazione alternativi, come drive USB, cloud storage non aziendale, etc.

Nel caso che le misure di sicurezza non bastino ed avvenga un furto delle copie, si è nel caso di una violazione di dati personali che certamente va segnalata al Garante, ma è anche obbligatorio avvisare prontamente gli interessati al furto.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Copie dei documenti d’identità: si possono richiedere?

Condividilo nel tuo Social

Post correlati

App e siti di interazione con i medici: indicazioni del Garante

Privacy by Design per la videosorveglianza

Sito web e posta elettronica: informazioni obbligatorie

Il DPO: uno dei tanti o il direttore dell’orchestra?

La privacy degli studi medici