Il Presidente Stanzione, del Garante Privacy, ha rilasciato una intervista sintetizzata dal titolo: Gli utenti proteggano la propria privacy e le piattaforme siano più responsabili.
Si tratta di una impostazione condivisibile, che abbiamo fatta propria da tempo, riproponendola nei vari seminari ed ambiti divulgativi.
Occorre innanzitutto la consapevolezza degli utenti, che sono coloro che “affidano” i loro dati a soggetti terzi; impariamo a comprendere che le aziende devono richiedere solo i dati personali minimi necessari alla finalità per i quali sono acquisiti.
Quando acquistiamo un prodotto, i dati necessari sono quelli fiscali e l’indirizzo di spedizione; tutti i dati corollario che talvolta sono obbligatori, quali numero telefonico fisso, cellulare, professione, interessi, sposato o meno, con figli ed addirittura sesso (M – F), non hanno motivo neanche di essere richiesti.
I concetti di minimizzazione, privacy by default, limitazione del tempo di trattamento, sono ancora lontani dall’essere acquisiti.
Alcuni servizi richiedono l’invio di un documento di identità, altri richiedono la memorizzazione del numero di carta di credito, degli estremi bancari o di altri codici identificativi.
Prima di inviare tali informazioni, valutate bene se il gioco valga la candela, perchè questi dati quasi certamente rimarrano a lungo nel sistema informativo aziendale, soggetti al rischio di data breach.
Noi evitiamo di inviare documenti personali, specialmente tramite posta elettronica o form di upload, ad organizzazioni private; molte di esse non hanno ben chiaro quali siano le conseguenze di un documento di identità in mani sbagliate.
A nostro avviso, il legislatore, non solo nazionale, dovrà interrogarsi seriamente su questi aspetti; occorrerebbe un servizio nazionale di emissione di una attestazione elettronica, che a monte di un riconoscimento di un soggetto, rilasciasse un hash della avvenuta validazione della identità, ovviando alla conservazione del documento integrale.