Un caro amico mi segnala una curiosità. Il servizio di calcolo delle distanze chilometriche tra due località, fornito online dall’Automobile Club d’Italia, da qualche giorno richiede una procedura di identificazione: tramite nome utente e password fornite dalla stessa ACI (previa registrazione) o tramite SPID, il sistema ufficiale di identificazione digitale italiano.
In passato, il servizio era libero, cioè non necessitava di identificazione, e chiunque poteva calcolare le distanze chilometriche senza che il software dell’ACI ponesse barriere di identificazione.
Ho voluto provare. Effettivamente è così: bisogna farsi identificare e mi sono fatto riconoscere tramite il mio SPID (pur avendo già un account ACI). Il riconoscimento, come abbiamo imparato in molti dei precedenti interventi, è sempre un’azione che richiede un trattamento, più o meno breve, di dati personali. Inoltre, anche la semplice informazione che un soggetto, ad un certo istante, ha effettuato un accesso al sito dell’ACI è un dato personale. Come vengono trattate le identificazioni? Per quanto tempo vengono conservati i dati degli accessi? Nell’informativa che viene fornita non c’è traccia di finalità connesse alla fruizione dei servizi erogati senza essere soci ACI.
Ma, ciò che più colpisce, è che l’identificazione, ed il relativo trattamento di dati personali, sembra del tutto sproporzionata rispetto alle finalità del servizio. Il principio di proporzionalità è il primo ad essere enunciato all’interno del GDPR: al considerando numero 4. L’identificazione dell’ACI, infatti, non serve nemmeno a filtrare i robot per interrogazioni massive visto che, per evitare questo inconveniente, è stato inserito un campo captcha (come fanno tutti, peraltro).
Sembra che la corretta applicazione del GDPR, all’ACI, sia in crisi d’identità.