Piero Cavina ha scritto: in data 06/05/2011 14:39: > Un sito di e-commerce, per effettuare la spedizione ad un destinatario > diverso dall'intestatario della carta di credito, mi chiede una > scansione (a colori!) di un documento di identità, del codice fiscale, > e della carta di credito. Il mio ISP per reimpostare la password > dimenticata mi chiede una fotocopia della carta di identità.. ecc ecc. > > Secondo voi, ci si espone a dei rischi nel diffondere copie digitali > dei propri documenti in questo modo, se ad un certo punto finissero > nelle mani sbagliate? Chiaramente non si tratta di informazioni > riservate (la firma che c'è sulla carta di identità posso averla fatta > in mille altri posti).. però.. > Esiste una normativa che obbliga chi riceve queste informazioni a > distruggerle dopo l'avvenuta autenticazione, o a conservarle secondo > certe buone pratiche? > Oppure sono preoccupazioni superflue? > La copia di documenti identificativi è proibita, questo dice il codice di PS. Poi in italia si interpreta e si fanno i propri comodi e nascono le aberrazioni, aberrazioni cui lo stesso garante piu volte fa guerra.
A cosa serve allegare la copia di un documento identificativo ad una pratica? . A nulla tranne che nei casi espressamente previsti dalla legge come per esempio le dichiarazioni sostitutive di notorietà. Certamente si ha il diritto di identificare il soggetto , ma per questo i mezzi sono molteplici e spesso più affidabili del prendere visione di un documento di identità, mi domando quanto sono capaci di identificare un falso. Il famoso decreto Pisanu nel prevedere l'identificazione dei soggetti ha previsto solo l'acquisizione degli estremi del documento e non la copia dello stesso. L'uso improprio di documenti è all'ordine del giorno , non passa giorno che ignari cittadini non si trovino intestatari di telefoni , prestiti e altro; il rischio è quindi elevatissimo. La 196 regolamenta l'uso dei dati personali e la fotocopia di un documento è un dato personale , per cui tale necessità va dichiarata nell'informativa e giustificata con reali e concrete esigenze che vanno oltre il semplice "mi serve". Ormai la legge è matura e trovo assurdo che il cittadino ancora non pretenda il rispetto. Il sito e-commerce richiede un dato inutile , a lui interessa solo che ci sia il pagamento , poi a chi venga spedito un bene acquistato è un fatto che proprio non lo può riguardare . Anche le recenti introduzioni per il controllo degli acquisti , se non effettuati in contanti , non lo interessano. Non vedo alcuna giustificazione concreta per tale richiesta quindi evita il sito . Il fornitore del servizio IP deve correttamente identificarti per reimpostare la pwd ma il documento è un dato idoneo? se ha una copia precedentemente fornita , in fase di contratto , forse, ma è sufficiente la comunicazione degli estremi. Il mezzo più idoneo è l 'uso della e_mail , la quale è dotata della c.d. firma leggera. Comunque anche in questo caso il fornitore deve darti l'informativa dove si indica chiaramente l'uso che farà del documento. La 196 impone la cancellazione dei dati una volta raggiunto lo scopo /finalità, ciò significa che se il tuo fornitore richiede i documenti per farti il cambio pwd e se tale richiesta ha la finalità di identificarti una volta che ti ha identificato deve distruggere i dati, ma quanti lo fanno? e corrono un grande rischio perché tu hai il diritto di chiedere conferma della cancellazione ovvero della detenzione di dati e in caso di dubbio puoi rivolgerti al Garante, il quale non è affatto tenero. Non è mai superfluo preoccuparsi per l'uso che altri fanno dei propri dati , MAI !. Rino ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
