Banche: cassette sicure con le impronte digitali

PROVVEDIMENTO DEL 15 APRILE 2010

IL GARANTE PER LA PROTEZIONE DE DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Esaminata la richiesta di verifica preliminare presentata dalla Banca di Credito Cooperativo Agrobresciano (BCC) in Brescia, ai sensi dell'art. 17 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Visti gli atti d'ufficio;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Trattamento di dati personali della clientela mediante sistemi di rilevazione delle impronte digitali per l'accesso alle cassette di sicurezza

1.1. Descrizione del progetto
La Banca di Credito Cooperativo Agrobresciano (BCC) ha rappresentato la volontà di attivare un sistema (denominato SafeStore Auto) che permetta alla clientela, attraverso il trattamento di dati biometrici della stessa, l'accesso alla propria cassetta di sicurezza in modalità self-service presso la filiale di Gussago.

Con tale sistema l'accesso alla propria cassetta di sicurezza verrebbe assicurato ai clienti (al massimo un centinaio) ventiquattro ore al giorno per sette giorni la settimana, svincolando il servizio dagli orari di sportello. Tale soluzione, oltre a permettere un servizio continuato, impedirebbe l'utilizzo fraudolento della cassetta da parte di estranei, fornendo al cliente l'assoluta certezza circa l'accesso esclusivo alla propria cassetta di sicurezza. Con il sistema proposto verrebbe superata l'eventualità che il titolare del contratto possa permettere a terzi l'accesso alla cassetta di sicurezza attraverso l'utilizzo delle tradizionali tessere collegate a codici PIN, mentre tale possibilità non è prevista contrattualmente.

Tecnicamente viene prevista una prima fase, cosiddetta di enrollment: il cliente viene invitato a porre un dito della mano sull'apposito lettore che genera il template (modello matematico) dell'impronta rilevata che sarà poi memorizzato sulla card rilasciata all'interessato. I dati biometrici così rilevati non confluiranno in una banca dati centralizzata, atteso che "Nessun dato è conservato dalla Banca (…)", minimizzando così il rischio di utilizzo degli stessi per finalità diverse da quelle previste per il trattamento proposto.

Il progetto presentato si incentra sul trattamento di dati personali consistenti nel confronto tra il template dell'impronta memorizzato su un microchip della card in esclusivo possesso del cliente, con quello rilevato dal lettore allorquando si accede al servizio. Nella card viene memorizzato, oltre al template, un apposito codice personale (PIN) che funge da ulteriore elemento di sicurezza, senza alcun riferimento nominativo.

La procedura d'accesso alla cassetta di sicurezza avverrebbe in questa maniera:

1) accesso al locale riservato al prelievo mediante inserimento del proprio bancomat nell'apposito lettore che abilita l'apertura della porta;

2) inserimento della card contenente il template dell'impronta digitale nel lettore di riconoscimento;

3) digitazione del PIN scelto dall'utente;

4) posizionamento del dito utilizzato per la rilevazione dell'impronta in fase di enrollment sul lettore, che procede al confronto con il template memorizzato sulla carta.

Una volta operato correttamente il riconoscimento, un sistema elettro-meccanico preleva la cassetta dalla cassaforte e la mette a disposizione del cliente.

A chi non intenda avvalersi di tale sistema, è consentito ricorrere ad un sistema alternativo di accesso alle cassette di sicurezza mediante inserimento di una carta magnetica e digitazione del codice personale.

La Banca ha precisato che nella filiale di Gussago non è prevista l'installazione di alcun sistema di rilevazione di dati biometrici per l'accesso ai locali e che nel locale destinato al prelievo delle cassette di sicurezza non vengono effettuate videoriprese.

1.2. Misure di sicurezza

La banca ha previsto l'adozione di una serie di misure consistenti in:

• esclusione di qualsiasi forma di conservazione del template o dell'impronta in archivi centralizzati;

• memorizzazione del solo template cifrato dell'impronta su una card in esclusivo possesso del cliente;

• impossibilità di risalire dal template all'impronta originaria;

• nessuna indicazione nominativa sulla card riferibile al cliente;

• codice personale (PIN) a conoscenza del solo cliente che, al momento del rilascio della card, viene invitato a sostituire il PIN assegnato dalla Banca per il primo accesso;

• designazione degli incaricati del trattamento e di un responsabile;

• rilascio della card in unico esemplare;

• distruzione della card in caso di cessazione del rapporto contrattuale, alla presenza del cliente;

• rilascio di una nuova card in caso di smarrimento o sottrazione della card, previo blocco della precedente.

1.3. Informativa e consenso

Per quanto riguarda l'obbligo di informativa agli interessati (art. 13 del Codice) e l'acquisizione del relativo consenso, la banca si è impegnata a fornire ai propri clienti un'informativa specifica per il trattamento nella quale devono essere indicate le modalità alternative di fruizione del servizio per chi non volesse o non potesse utilizzare il sistema di riconoscimento su base biometrica, che avviene pertanto su base volontaria, previo consenso dell'interessato.

1.4. Notificazione

La Banca si è impegnata ad effettuare la notificazione del trattamento dei dati personali, ai sensi degli artt. 37 e 38 del Codice, prima dell'inizio del trattamento.

2. Necessità, liceità, finalità e correttezza nel trattamento di dati biometrici per l'accesso alle cassette di sicurezza della banca

La raccolta e la registrazione di impronte digitali e dei dati biometrici ricavati e successivamente utilizzati per verifiche e raffronti nelle procedure di autenticazione o di identificazione, sono operazioni di trattamento di dati personali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) del Codice), operazioni alle quali trova applicazione la normativa contenuta nel Codice.

La liceità del sistema deve essere pertanto valutata sul piano della conformità ai princìpi di necessità, proporzionalità, finalità e correttezza (artt. 3 e 11 del Codice), anche in relazione ai tempi di conservazione dei dati. Il trattamento di tali dati personali è consentito, con l'osservanza di adeguate garanzie, soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza di beni e persone. A tal fine è necessaria la ricorrenza di specifici elementi riconducibili a circostanze obiettive che devono evidenziare una concreta situazione di elevato rischio e che la società deve valutare con particolare cautela.

Con riguardo alla necessità del trattamento dei dati biometrici finalizzato a memorizzare temporaneamente l'impronta digitale di chi deve accedere alla propria cassetta di sicurezza, deve rilevarsi che la custodia di beni e valori rappresenta una concreta situazione di elevato rischio che comporta necessariamente l'adozione di elevate misure di sicurezza.

Nel caso di specie, la volontà dell'istituto di credito di mettere a disposizione della  clientela un servizio continuativo, in maniera tale da garantirne la fruizione nell'arco delle ventiquattro ore (anche al di fuori dell'orario di sportello della banca), giustifica l'utilizzo di tale sistema. Inoltre lo stesso, per le modalità con le quali è configurato, può scongiurare l'accesso fraudolento alle cassette di sicurezza. Le suddette esigenze rendono il trattamento conforme ai principi di liceità e necessità.

L'esclusione di qualsiasi forma di conservazione del template o dell'impronta in archivi centralizzati, limitando la memorizzazione dei dati e del PIN sulla sola card in possesso del cliente, senza duplicazioni di sorta, risponde a concrete esigenze di minimizzare il trattamento dei dati personali, in ossequio ai principi di necessità e  proporzionalità (artt. 3 e 11 del Codice).

Sulla base delle attestazioni della banca, le misure di sicurezza adottate appaiono adeguate anche con riferimento ai numerosi pronunciamenti di questa Autorità in relazione all'utilizzo delle impronte digitali contenute su carte in esclusivo possesso dell'utilizzatore.

TUTTO CIÒ PREMESSO IL GARANTE

esaminata la richiesta di verifica preliminare presentata dalla Banca di Credito Cooperativo Agrobresciano ai sensi dell'art. 17 del Codice, relativa al trattamento di dati personali biometrici per l'utilizzo delle cassette di sicurezza da parte dei propri clienti della filiale di Gussago e in relazione alle rappresentate esigenze di sicurezza dell'accesso al servizio, prescrive alla Banca di Credito Cooperativo Agrobresciano ai sensi degli art. 17 e 154, comma 1, lett. c) del Codice, di adottare le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione e, in particolare:

1. designare per iscritto tutti i soggetti che effettuino operazioni di trattamento dei dati quali incaricati o, eventualmente, responsabili delle operazioni di trattamento, impartendo loro idonee istruzioni alle quali attenersi (artt. 29 e 30 del Codice);

2. nell'ambito dell'adozione delle richieste misure minime di sicurezza acquisire, in particolare, il rilascio dell'attestato da parte dell'installatore  previsto dalla regola n. 25 del disciplinare tecnico Allegato "B" al Codice, recante la dichiarazione di conformità del sistema che si intende utilizzare.

Roma, 15 aprile 2010

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
De Paoli