Garante spagnolo e Garante olandese si confrontano su due casi diversi, rivelando però un approccio comune: l’attività di due diligence non giustifica controlli sistematici ed eccedenti sui dati personali.
Ma esaminiamo i casi che hanno dato origine a questi provvedimenti.
L’autorità spagnola per la protezione dei dati personali ha inflitto a Amazon Road Transport Spain una sanzione pari a 2 milioni di euro per aver chiesto la produzione del certificato di casellario giudiziale ai fini dell’assunzione di vettori autonomi come prestatori di servizi.
Secondo l’Agencia Española de Protección de Datos, il trattamento di questi dati sarebbe stato illegittimo poiché avvenuto in violazione dell’art. 10 del GDPR che, specificamente, prevede che “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri”.
La decisione si fonda, in primo luogo, sulla constatazione che anche l’informazione relativa all’assenza di precedenti penali è, di fatto, un dato personale in quanto riferibile ad una persona fisica identificata o identificabile. In secondo luogo, né l’esecuzione contrattuale (art. 6, 1° comma, lett. b) né il legittimo interesse (art. 6, 1° comma, lett. f), invocati in extrama ratio dalla convenuta, sono stati ritenuti dal Garante spagnolo condizioni legittime di trattamento, tenendo in considerazione proprio il disposto dell’art. 10 del GDPR.
Condannata dal Garante olandese, invece, è la richiesta di copia della carta di identità ai fini dell’esercizio dei diritti degli interessati. La società editrice, a cui è stata inflitta la sanzione di 525.000 euro, chiedeva sistematicamente copia del documento d’identità agli interessati che intendevano esercitare il proprio diritto di accesso.
Come previsto dall’art. 12, 6° comma del GDPR, invece, il titolare del trattamento di dati personali può richiedere ulteriori informazioni al fine di confermare l’identità dell’interessato, soltanto qualora nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta.
Tale disposizione deve applicarsi, tra l’altro, in combinazione con il principio di minimizzazione dei dati, che impone di trattare esclusivamente i dati necessari al raggiungimento delle finalità. A tal fine, le recentissime Linee guida sul diritto di accesso, adottate in via provvisoria dall’EDPB, raccomandano che il titolare del trattamento, in queste evenienze, conduca preliminarmente un test di proporzionalità per individuare quali siano le misure più congrue volte ad accertare l’identità dell’interessato. Ad esempio, in caso di servizi on line fruibili previo login, il titolare potrebbe procedere all’identificazione attraverso le stesse credenziali di autenticazione usate dall’interessato per accedere ai servizi on line. Analogamente, si potrebbero implementare meccanismi meno invasivi rispetto alla richiesta della copia del documento nei confronti di coloro che sono già stati precedentemente identificati, come ad esempio l’invio di e-mail o SMS contenenti codici, link di conferma o domande di sicurezza. Se la richiesta del documento d’identità rappresenta proprio l’unico mezzo per accertare l’identità dell’interessato, l’EDPB suggerisce di indicare all’interessato di annerire o, in ogni caso, nascondere quelle informazioni non necessarie ai fini dell’identificazione, come ad esempio le caratteristiche fisiche (colore degli occhi, età, statura), il numero del documento e la foto.
I due provvedimenti, poc’anzi velocemente ripercorsi, sono esemplificativi del meccanismo di bilanciamento di interessi che permea l’intera disciplina sulla protezione dei dati personali. Non sempre l’obiettivo di garantire l’affidabilità del proprio personale, in un caso, e la sicurezza dei dati personali, nell’altro caso, giustificano il trattamento di dati personali, soprattutto quando questo si riveli eccedente, sproporzionato e sistematico. Ancora una volta, il titolare del trattamento di dati personali è chiamato a definire le finalità e le modalità del trattamento alla luce delle caratteristiche di necessità e proporzionalità dello stesso.