Garante per la protezione
    dei dati personali

Prescrizioni e divieto del Garante [art. 154, 1 c) e d) del Codice]

[v. Newsletter 29 febbraio 2008]

Provvedimento del 23gennaio 2008

Trattamento di datibiometrici presso Monte dei Paschi di Siena

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti,e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196);

Visto il provvedimento del Garantedel 27 ottobre 2005 (inG.U. n. 68 del 22 marzo 2006, n. 68);

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Trattamento di dati personali dellaclientela mediante sistemi di rilevazione dell'immagine delle impronte digitalie del volto

Per verificare la conformitą alladisciplina di protezione dei dati e alle prescrizioni individuate nelprovvedimento del Garante del 27 ottobre 2005, l'Autoritą ha svoltoaccertamenti presso alcune banche con riguardo a trattamenti di dati personalidei clienti raccolti (attraverso appositi sistemi di rilevazione) al momentodel loro accesso all'interno dei locali della banca, consistentinell'associazione dell'immagine delle impronte digitali e del volto. A tal finel'Autoritą, avvalendosi del "Comando nucleo speciale funzione pubblicae privacy" della Guardia difinanza, ha effettuato verifiche presso le seguenti filiali del Monte deiPaschi di Siena (di seguito, la banca):

• Agenzia 1 di Pisa, in data 24maggio 2007;

• Agenzia n. 5 di Catania, in data22 maggio 2007;

• Agenzia n. 6 di Catania, in data26 giugno 2007;

• Agenzia n. 7 di Catania, in data23 maggio 2007;

• Filiale di Venezia, in data 12giugno 2007.

Ciė, tenendo anche conto di segnalazionipervenute dalla clientela e da un'associazione di consumatori nelle quali silamentava l'installazione dei sistemi di rilevazione e, in un caso,l'impossibilitą di accedere allo sportello secondo modalitą che nonobbligassero il cliente al rilascio delle proprie impronte digitali.

Il presente provvedimento attiene aiprofili di violazione riscontrati al riguardo, tenuto anche conto della documentazioneinviata in tempi successivi dal titolare del trattamento.

2. Liceitą del trattamento


Dagli accertamenti svolti Ź emersa una sostanzialeconformitą dei trattamenti presi in considerazione alla disciplina diprotezione dei dati personali e alle prescrizioni impartite con il menzionatoprovvedimento del 27 ottobre 2005. I trattamenti in esame risultano effettuatipresso agenzie gią oggetto di rapine. Anche l'informativa resa alla clientela Źrisultata conforme al modello predisposto dal Garante e collocata, in formasintetica, in corrispondenza dei varchi di accesso alle filiali, nonché informa piĚ ampia e dettagliata, all'interno delle medesime.

Solo all'interno dei locali della filialedi Catania non Ź stata rinvenuta la prevista informativa in forma estesa, conconseguente redazione di verbale di contestazione della violazioneamministrativa da parte della Guardia di finanza (verbale di contestazione n.87 del 26 giugno 2007, notificato alla banca il 9 luglio 2007).

La banca dovrą provvedere pertanto al piĚpresto e, comunque non oltre il 15 febbraio 2008, a fornire detta informativaalla clientela, conformandosi al menzionato provvedimento del Garante.

3. Accesso alternativo


In relazione alla possibilitą di accedere nei localidelle agenzie avvalendosi del previsto ingresso alternativo, nel prendere attodi quanto dichiarato dai rappresentanti della banca nel corso delle attivitą diaccertamento, gli accertamenti effettuati non hanno evidenziato difformitąrispetto alle prescrizioni impartite con il provvedimento del 27 ottobre 2005.
Inparticolare i rappresentanti della filiale di Venezia hanno dichiarato che, per chi non puė accedere attraverso i varchi presidiati dal sistema dirilevazione delle impronte, viene utilizzata l'uscita di sicurezza conl'ausilio del personale della banca. Per chi non intende consentire allarilevazione delle impronte, invece, l'ingresso avviene "tramite lagestione manuale da parte di operatore del box anti-rapina (bussola)" (cfr.verbale del 12 giugno 2007, p. 3); dall'esame dei verbali di accertamento dellerestanti filiali, Ź stato poi riscontrato che, qualora si ricorra a modalitąalternative di accesso rispetto ai varchi presidiati dal sistema di rilevazionedelle impronte, si provvede alla previa identificazione del cliente, il qualeviene "successivamente fatto accedere in banca. Gli estremi deldocumento d'identitą dei clienti verranno annotati e conservati per 7 giorni.Dopodiché gli stessi verranno distrutti" (cfr. verbale del 22maggio 2007, p. 3).

TUTTO CIÓ PREMESSO, ILGARANTE

ai sensi dell'art. 154, comma 1, lett. c)del Codice prescrive al Monte dei Paschi di Siena di provvedere al piĚ prestoe, comunque, non oltre il 15 febbraio 2008, a segnalare all'interno dellafiliale di Catania l'informativa relativa alla presenza del sistema divideosorveglianza (punto 2).

Roma, 23 gennaio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli