Garante per la protezione
    dei dati personali

Newsletter

BANCHE: CASSETTE DISICUREZZA "SELF SERVICE" CON LE IMPRONTE DIGITALI

Sì del Garante, ma il dato biometrico criptato deveessere solo nella smart card del cliente

IlGarante privacy ha autorizzato una banca ad installare un sistema automatizzatoper la gestione delle cassette di sicurezza che consente ai clienti, attraversol'uso delle impronte digitali, l'accesso tutti i giorni dell'anno, 24 ore su24, senza l'intervento del personale dell'istituto di credito.

Ilsistema, sottoposto a verifica preliminare dell'Autorità, non comporta lacreazione di un archivio centralizzato di dati biometrici, poiché l'improntadigitale, o meglio il codice numerico (template)da essa ricavato alla prima rilevazione, è conservato esclusivamente nellasmart card in possesso del cliente. Per accedere alle cassette di sicurezza ilcliente deve procedere alla propria "autenticazione" mediante un codice PIN eil confronto tra la propria impronta digitale e il template memorizzato sullasmart card.

Aquanti, invece, non vogliono o non possono avvalersi del sistema diriconoscimento biometrico sarà comunque garantita una modalità di accessoalternativo alle cassette di sicurezza, in tal caso però fruibile solo durantel'orario di sportello e previa identificazione personale.

Neldare il via libera al progetto, l'Autorità ha ritenuto lecito e proporzionatoil trattamento di dati biometrici dei clienti, ai quali va richiesto unconsenso scritto.

Inparticolare è lecita – secondo il Garante - la finalità perseguita dallabanca di voler innalzare il livello di sicurezza e poter così coniugare latutela dei beni conservati nelle cassette con l'utilità di garantire allaclientela un servizio continuativo.

Iltrattamento inoltre – sempre a parere del Garante - è risultatoproporzionato, poiché non è prevista la conservazione dei dati biometrici inarchivi centralizzati ma il dato criptato dell'impronta è memorizzatoesclusivamente nella smart card.

All'istitutodi credito è stato inoltre prescritto di informare chiaramente i clienti dellapossibilità di un accesso alternativo alle cassette di sicurezza senzarilevazione delle impronte e di notificare all'Autorità il trattamento dei datibiometrici prima dell'inizio delle operazioni.

Labanca dovrà infine designare per iscritto il personale incaricato deltrattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.