Nel settore del coworking e degli uffici flessibili, la gestione dei documenti di identità dei clienti è una pratica quotidiana. Tuttavia, quando è obbligatorio conservare una copia del documento? E quali sono i limiti imposti dal GDPR?
Un nostro associato ha recentemente sollevato un quesito proprio su questo tema:
“avrei bisogno di un chiarimento in merito al trattamento dei dati sensibili, con particolare riferimento ai documenti di riconoscimento che riceviamo nel momento in cui predisponiamo i vari contratti. In particolare, vorrei sapere se sia necessario disporre di specifica documentazione per essere conformi alla normativa vigente ed evitare eventuali sanzioni”.
Abbiamo girato la domanda ad Alpha Consulting, nostro partner convenzionato, che ci ha fornito una risposta tecnica completa.
Perché chiedere il documento di identità? Le due ragioni principali
La richiesta di un documento d’identità non è solo una prassi, ma un obbligo normativo in due specifici ambiti:
- Normativa antiriciclaggio: il gestore di coworking rientra tra i soggetti obbligati all’adeguata verifica della clientela quando fornisce servizi di prestazione di servizi (es. uffici arredati) con una domiciliazione superiore a 30 giorni. In questi casi è obbligatorio identificare il cliente e conservare copia del documento per 5 anni.
- Finalità contrattuali e civilistiche: ai sensi dell’art. 1337 del Codice Civile, è necessario identificare in modo certo la controparte contrattuale per garantire la validità dell’accordo (locazione o servizi).
GDPR e principio di minimizzazione: cosa si può conservare?
Pur essendo legittima la richiesta e la conservazione del documento, il Regolamento Generale sulla Protezione dei Dati (GDPR) impone di rispettare il principio di minimizzazione.
Tradotto in pratica:
- non si deve fotocopiare un documento se non è strettamente necessario
- i dati devono essere accessibili solo al personale autorizzato
- la conservazione deve avvenire in modalità sicura (archivi cartacei chiusi o server cifrati)
- niente invii digitali non protetti, come email semplici senza crittografia
Attenzione alla durata del servizio
Se il cliente richiede una permanenza breve (1-2 giorni) o un semplice accesso occasionale, può essere sufficiente prendere nota dei dati, senza scannerizzare l’intero documento.
Come integrare l’informativa privacy
Per essere conformi all’art. 13 del GDPR, è opportuno aggiornare l’informativa privacy indicando in modo chiaro che:
- il documento è richiesto per finalità antiriciclaggio e contrattuali;
- la copia potrà essere conservata solo in caso di servizi prolungati o domiciliazione;
- i dati saranno trattati con misure di sicurezza adeguate e per il tempo strettamente necessario.
Conclusioni
Gestire i documenti di identità in un coworking non è solo una questione organizzativa, ma un atto dovuto verso la legge. Tuttavia, farlo nel rispetto del GDPR richiede consapevolezza e strumenti adeguati.
Grazie al supporto di Alpha Consulting, i nostri Associati possono contare su una consulenza sempre aggiornata per affrontare queste tematiche con serenità.
