Il 4 Luglio è stato permesso a bar e ristoranti di riaprire al pubblico. Alcuni sono tutt’ora chiusi, altri non riapriranno proprio schiacciati dalla crisi generata dalla pandemia, altri ancora aspettano tempi migliori (inguaribili ottimisti n.d.r.).

Gli esercizi che sono aperti chiedono, per legge, i dati personali degli avventori; se si è in gruppo di solito vengono chiesti solo i dati al ‘capogruppo’.

Questa raccolta dati dovrebbe aiutare i ”tracker” dell’NHS a contattarvi se qualcuno si infettasse, così da avvisarvi che siete venuto in contatto potenzialmente con una persona infetta. Cosa succede dopo non lo so di certo ma probabilmente vi verrà consigliato di mettervi in quarantena e di fare un tampone (spero).

Ma come vengono raccolti questi dati? E’ sicuro lasciare i propri dati?

Ho girato vari posti a Reading ed alcuni ad Oxford e la mia impressione è che in alcuni casi la raccolta dei dati è tutt’altro che sicura e di certo per nulla compliant con le norme GDPR (che sono e saranno valide, Brexit a parte).

La prima volta sono andato con amici alla gelateria TreatZ a Friar street e mi è stato richiesto di aggiungere il mio nome, email e telefono ad una lista di nomi: quindi mentre compilavo il registro potevo leggere i dati di tutti i precedenti clienti .

L’operazione almeno avveniva sotto la supervisione del personale della gelateria.

Quando ho visitato ZeroDegrees ho constatato una situazione ben più grave: la cameriera mi ha lasciato una cartellina con i dati di tutti i clienti chiedendomi di aggiungere il mio nome.

Mentre compilavo se ne andata. Potevo tranquillamente leggere i dati di tutti i clienti e volendo, prendere il cellulare e fare un paio di foto a tutta la cartellina, sarebbe stata questione di pochi secondi.

Questo modo di fare è, a mio avviso, in aperta violazione delle norme della GDPR e del buon senso in quanto anche i soggetti non abilitati al trattamento dei dati possono accedervi e potenzialmente usali per scopi malevoli quali: venderli, usarli per truffe, spam, scam, identity theft, etc…

Oltretutto l’organismo garante dei dati personali (ICO) dice che:

  • Do not use an open access sign-in book where customer details are visible to everyone.
  • Keep any paper records in a safe place, with measures to prevent malicious access (eg locked doors, safes, CCTV).
  • Consider which members of staff need access to the logs and limit access to those staff.
  • Do not store customer logs in an accessible, unsecured file.
fonte Information Commissioner’s Office (ICO)

Da SoJu (ristorante coreano nella desertificata Dukes Walk) la situazione è simile a TreatZ, in più mi hanno chiesto di mostrare un documento per verificare i dati: mi sono rifiutato tergiversando.

La richiesta di esibire un documento di identità è illegittima secondo l’organismo garante dei dati personali (ICO) che sul suo sito raccomanda di:

As the collection of this data is voluntary, identity checks would be disproportionate in the vast majority of circumstances. You should not undertake identity checks, or other more intrusive means of gathering data, unless you would normally do so (such as for age verification at licenced premises).

fonte Information Commissioner’s Office (ICO)

Veniamo ai posti meno peggio per la collezione dei dati personali:

  • The Lindhurst
  • Brewdog
  • Fox and hound
  • The Turf Tavern (Oxford)

In questi posti viene richiesto di compilare un form che si trova online con proprio telefonino: nessuno controlla se lo hai compilato veramente, basta dire che lo si è fatto.

Il bar improvvisato al Oracle Riverside chiede di lasciare i dati su un foglietto volante e Sushimania per concludere su un form cartaceo.

Se siete interessati a saperne di più sulla questione della protezione dei propri dati personali e su che diritti avete potete informarvi sul sito della ICO che ha preparato una pagina apposita sull’argomento.

E voi cosa ne pensate? Se volete potete lasciare un commento qui sotto.

Staty safe, stay alert, wash your hands e altri slogan ad minkiam…. 🙂