Garante per la protezione
    dei dati personali


Sistema automatizzato di cassette disicurezza basato sul rilevamento dell'impronta digitale dei clienti. Verifica preliminarerichiesta da Banca degli Ernici di credito coop. ScpA

PROVVEDIMENTO DEL 6 FEBBRAIO 2014

Registro dei provvedimenti
 n. 56 del 6 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali, d.lg. 30 giugno 2003, n.196 (di seguito, Codice);

Esaminatala richiesta di verifica preliminare presentata dalla Banca degli Ernici dicredito coop. ScpA ai sensi dell'art. 17 del Codice, relativa all'installazionedi un sistema di rilevamento biometrico per l'accesso della clientela allecassette di sicurezza;

Vistigli atti d'ufficio;

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. L'istanza della Banca e le modalità difunzionamento del sistema.

Conrichiesta del 5 agosto 2013, regolarizzata il 25 novembre 2013, la Banca degliErnici di credito coop. ScpA (di seguito, Banca) ha presentato a questa Autoritàuna richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, invista dell'installazione, presso la propria filiale di Sora (FR), di un sistemadi rilevamento biometrico (denominato Safestore Auto MINI V6-71) volto aconsentire ai propri clienti di accedere in modalità "self service"alle cassette di sicurezza.

LaBanca, nel produrre apposita documentazione al riguardo, ha dichiarato chel'installazione del sistema in questione sarebbe finalizzata ad "aumentarela sicurezza per la clientela durante l'accesso con modalità self-service allecassette di sicurezza", le quali, essendo solite contenere "documentiriservati, oggetti di valore o denaro [] possono rappresentare un concretoobiettivo di furti e rapine" (v. cit. nota del 25 novembre 2013); inoltre,la Banca ha riferito che ai clienti verrebbe resa un'apposita informativa aisensi dell'art. 13 del Codice e che il trattamento dei dati biometrici diciascun interessato sarebbe condizionato al preventivo rilascio di unospecifico consenso, che sarebbe revocabile "in ogni tempo".

Dalladocumentazione prodotta (e, in particolare, da quella proveniente dalla GunneboItalia s.p.a., che produce il dispositivo) è emerso che il sistema è dotato diun lettore di impronte digitali e di un lettore smart card con microprocessore.
Piùesattamente, la Banca fornirà ai clienti che vorranno utilizzare il dispositivoself service una smart card che non conterrà nessun dato o informazionericonducibile al cliente, ma che si limiterà a riportare solo il nome dell'istitutobancario. Tale supporto rimarrà nella esclusiva disponibilità del cliente e laBanca non ne realizzerà alcuna copia; in caso di furto o smarrimento, esso verràdisabilitato.

Riguardoall'accesso al servizio, "l'autenticazione del cliente" avverrà"attraverso tre strumenti: codice PIN di quattro cifre, smart card eimpronta digitale". In particolare, il cliente sarà chiamato ad inserirela propria smart card nel sistema, digitando il PIN e appoggiando il propriodito ad un lettore biometrico; il sistema, una volta rilevata l'impronta, laconvertirà in codice numerico e la confronterà con il template memorizzatonella smart card. Pertanto, la Banca ha escluso che, al momento dell'accessodel cliente alla propria cassetta di sicurezza, il sistema possa effettuare una"identificazione" dell'interessato, non essendo previsto un archiviocentrale che conservi i dati biometrici dei clienti.

Peri clienti che non intendessero avvalersi del sistema, saranno comunque previstemodalità alternative di registrazione e di accesso alle cassette di sicurezza,"tramite inserimento della carta magnetica e digitazione del codicepersonale" (cfr. doc. Gunnebo allegato).

Inoltre,la Banca ha riferito che il sistema sarà provvisto anche di una telecamera"montata sulla sommità dell'unità di uscita delle cassette", cheregistrerà le immagini di coloro che intenderanno accedere, salvando neldatabase interno al dispositivo dieci fotogrammi, che verranno automaticamentecancellati dopo sette giorni; a tali fotogrammi verrà  "associato ilnominativo del cliente che ha effettuato l'accesso al dispositivo e l'orariodell'operazione" (cfr. doc. Gunnebo p. 2).

Infine,la Banca ha dichiarato che l'accesso al "Sistema Safestore MINIV6-71" sarà consentito solo al personale incaricato provvisto di appositapassword (costituita da un codice numerico di riconoscimento a 8 cifre), laquale avrà un periodo di validità non superiore a 150 giorni, allo scadere delquale il codice dovrà essere aggiornato; ai dipendenti incaricati di accederealla zona delle cassette di sicurezza verrà rilasciata un'apposita tesseradenominata Mastercard, che consentirà loro di accedere al salottino riservatoalle operazioni di prelievo (a condizione che l'area non sia già impegnata daaltri), anche per "operare il prelievo delle cassette non [ancora] locatead esclusivo scopo dimostrativo per i clienti della Banca".

2. I presupposti di liceità del trattamento.

Laraccolta e la registrazione di impronte digitali e dei dati biometrici,ricavati e successivamente utilizzati per verifiche e raffronti nelle proceduredi autenticazione o di identificazione, sono operazioni di trattamento di datipersonali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) delCodice), rispetto alle quali trova applicazione la normativa contenuta nelCodice (in merito v. anche i documenti di lavoro sulla biometria del"Gruppo art. 29" della direttiva 95/46/Ce: Wp 80 del 1 agosto 2003 eWP 193 del 27 aprile 2012 ).

Pertanto,la liceità del sistema in questione deve essere valutata alla luce dei principidi necessità, proporzionalità, finalità e correttezza del trattamento (artt. 3e 11 del Codice), considerando, in particolare, il contesto in cui tali dati sonotrattati.
Nel caso di specie, si rileva che la finalità perseguita dallaBanca (che assume la veste di titolare del trattamento) è quella di coniugarel'esigenza di tutela dei beni custoditi nelle cassette di sicurezza conl'utilità di garantire alla clientela un servizio continuato di custodia,attraverso l'implementazione di un sistema che, per le modalità con cui èconfigurato "ha l'obiettivo di aumentare la sicurezza della clienteladurante l'accesso con modalità self service alla cassette di sicurezza".Tale finalità risulta lecita.

Inoltre,il trattamento posto in essere dalla Banca può anche considerarsiproporzionato, in quanto, nel caso specifico, non è prevista una conservazionedei dati biometrici raccolti in archivi centralizzati, ma il dato criptatodell'impronta digitale verrà memorizzato esclusivamente sulla smart card, cheresterà nell'esclusiva disponibilità del cliente che avrà aderito al servizio.Tale modalità di memorizzazione risulta idonea a garantire un adeguato livellodi accuratezza in ordine all'accertamento dell'identità del detentore dellasmart card e, nello stesso tempo, ad evitare il rischio di eventuali utilizziimpropri o possibili abusi che, invece, potrebbero derivare dalla raccolta ditali informazioni, particolarmente delicate, in un sistema centralizzato.

3. Ulteriori adempimenti.

LaBanca, titolare del trattamento, dovrà designare per iscritto gli"operatori [] che gestiscono il Sistema" quali incaricati deltrattamento, impartendo loro idonee istruzioni alle quali attenersi (cfr. notaBanca del 25 novembre 2013).

Allaluce delle dichiarazioni rese, della cui veridicità la Banca, in qualità dititolare del trattamento, risponde penalmente ai sensi dell'art. 168 delCodice, con specifico riferimento all'informativa, si prende attodell'intenzione della Banca di rendere agli interessati l'informativa ai sensidell'art. 13 del Codice, si richiama l'attenzione dello stesso istituto sullanecessità che i clienti vengano resi specificamente edotti riguardo altrattamento dei loro dati biometrici. L'informativa, inoltre, dovràespressamente indicare la facoltà, per coloro che non volessero o non potesseroavvalersi -anche in ragione di proprie caratteristiche fisiche- del sistema diriconoscimento biometrico, di poter usufruire di modalità alternative peraccedere alle cassette di sicurezza, nonché la presenza del sistema divideosorveglianza come previsto nel Provvedimento in materia dell'8 aprile 2010.

E'evidente, poi, che l'utilizzo dei dati biometrici, per risultare lecito, nonpotrà prescindere dal previo rilascio di un apposito consenso da parte degliinteressati (art. 23 del Codice), liberamente revocabile in qualsiasi momento.

Riguardoalle misure di sicurezza, esse risultano adeguate, anche per quanto concernegli accorgimenti che saranno tenuti ad osservare non solo i dipendenti chegestiranno direttamente il Sistema "Safestore Auto MINI V6-71" (nomeutente e password), ma anche quelli che dovranno accedere all'area dellecassette di sicurezza per ragioni di lavoro (tessera Mastercard). In attuazionedell'obbligo di adottare ogni necessaria misura di sicurezza, anche minima(art. 31 ss. e all. B) al Codice), la Banca dovrà comunque conservare anche unadescrizione scritta dell'intervento effettuato dall'installatore, che attestila conformità del Sistema alle disposizioni del disciplinare tecnico (regola n.25 dell'all. B) al Codice).

Infine,si rammenta che la Banca, prima che abbiano inizio le operazioni di trattamentodei dati biometrici, dovrà effettuare la notifica obbligatoria al Garante (art.37, comma 1, lett. a) del Codice).

TUTTO CIO' PREMESSO, IL GARANTE,

ai sensidell'art. 17 del Codice, accoglie la richiesta di verifica preliminare avanzatada Banca degli Ernici di credito coop. ScpA concernente l'installazione, pressola propria filiale di Sora (FR), di un sistema automatizzato di cassette disicurezza basato sul rilevamento dell'impronta digitale dei clienti, a condizioneche la stessa:

1.adotti un'informativa che renda edotti gli interessati della possibilità diavvalersi del servizio anche con modalità alternative rispetto a quella basatasulla rilevazione dei dati biometrici;

2.designi per iscritto gli "incaricati del trattamento" i dipendentiche gestiranno il sistema "Safestore Auto MINI V6-71" e quelli cheavranno accesso all'area delle cassette di sicurezza, impartendo loro idoneeistruzioni alle quali attenersi (artt. 4, comma 1, lett. h) e 30 del Codice);

3.conservi una descrizione scritta dell'intervento effettuato dall'installatore,che attesti anche la conformità del Sistema alle disposizioni del disciplinaretecnico (regola n. 25 dell'all. B al Codice);

4. notifichial Garante il trattamento dei dati biometrici prima che abbiano inizio leoperazioni di trattamento (art. 37, comma 1, lett. a) del Codice).

Roma, 6 febbraio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia