Garante per la protezione
    dei dati personali


Sistemi di rilevazione biometrica.Verifica preliminare richiesta da  IT Telecom s.r.l. e Cassa di Risparmiodi Parma e Piacenza S.p.A.

PROVVEDIMENTO DEL 31 GENNAIO 2013

Registro dei provvedimenti
n. 36 del 31 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezionedei dati personali (di seguito "Codice");

VISTAla richiesta di verifica preliminare presentata da IT Telecom s.r.l. e da Cassadi Risparmio di Parma e Piacenza S.p.A. (nella qualità di capogruppo del GruppoCariparma Crédit Agricole) ai sensi dell'art. 17 del Codice;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1. La richiesta formulata dalle società.

1.1.IT Telecom s.r.l. e Cassa di Risparmio di Parma e Piacenza S.p.A., con notacongiunta del 27 aprile 2012 –successivamente regolarizzata, anchenell'interesse di Banca Popolare Friuladria S.p.A. e Cassa di Risparmio dellaSpezia S.p.A., con comunicazione del 29 novembre 2012– hanno manifestatol'intenzione di voler, rispettivamente, fornire e utilizzare un servizio difirma digitale remota con autenticazione biometrica "basato sull'utilizzodi dispositivi che consentono di rilevare le caratteristiche dinamichedistintive della firma autografa" apposta dagli utenti in occasione dellasottoscrizione con firma digitale di contratti o di modulistica bancaria; ciò,al fine di garantire a costoro, attraverso sistemi di "strongauthentication", "l'uso delle proprie chiavi private [necessarie] pereffettuare operazioni di firma digitale" allo sportello. Si tratterebbe,in sostanza, di un sistema basato su dispositivi sicuri di firma, custoditi daIT Telecom s.r.l. (nella sua qualità di certificatore accreditato pressol'Agenzia per l'Italia Digitale, già DigitPA), in grado di riconoscere lecaratteristiche "comportamentali" dell'utente attraverso l'analisi dialcuni parametri desumibili dalla firma autografa (velocità del gesto;pressione; accelerazione; inclinazione; ecc.), apposta da quest'ultimo su unapposito "tablet" presente allo sportello in vista della relativaautenticazione e del contestuale avvio delle procedure per la sottoscrizionedei documenti con firma digitale. Il servizio, fornito concretamente da ITTelecom s.r.l. interfacciandosi con le strutture informatiche disponibilipresso le singole banche, comporterebbe un trattamento di dati personalipotenzialmente foriero di rischi specifici per gli interessati, ragion per cuile società hanno ritenuto di dover formulare all'Autorità una richiesta diverifica preliminare ai sensi dell'art. 17 del Codice.

Acorredo dell'istanza, IT Telecom s.r.l. e Cariparma S.p.A. hanno prodotto duedistinti documenti relativi alle modalità di funzionamento del sistema e allecaratteristiche del trattamento che i soggetti coinvolti, per quanto dirispettiva competenza (v. infra), intendono svolgere.

2. Il documento di IT Telecom s.r.l.

2.1.In base alla documentazione inviata da IT Telecom s.r.l., lo schema generaleprefigurato per l'espletamento del servizio consta di due fasi.

Inuna prima fase ("provisioning"), all'utente che intende aderire al servizio,previa identificazione allo sportello e "registrazione" dei suoi datianagrafici nei sistemi informativi della singola banca, "verrà associatoun insieme di informazioni caratteristiche della sua firma autografa (c.d.specimen) rilevate richiedendo al[lo stesso] di apporre sul tablet la propria[sottoscrizione per] almeno tre volte". Lo specimen ottenuto, costituitodalle rappresentazioni digitali sintetiche (template) generate in occasionedella raccolta delle firme (contenenti informazioni relative a: l'immaginedella firma; l'identificativo del tablet e le caratteristiche"biometriche" della firma autografa), verrà memorizzato in unapposito database custodito presso IT Telecom s.r.l., ai fini delle successiveoperazioni di raffronto in sede di autenticazione.

Nell'ambitodi tale procedura preliminare, lo specimen, unitamente ai dati identificatividell'interessato, sarà trasmesso dalla banca, in modalità cifrata e attraversocanali dichiaratamente sicuri, a IT Telecom s.r.l. per la verifica e convalidadella richiesta e per l'emissione del certificato digitale associato alrichiedente.

Ilfirmatario, previamente informato presso la banca in ordine al trattamento deisuoi dati personali e biometrici in occasione della richiesta di attivazionedel servizio –per il quale viene anche acquisito il relativo consenso–provvederà poi a confermare tale richiesta, sottoscrivendo il modulopredisposto da IT Telecom s.r.l. (contenente anche le condizioni generali diutilizzo del servizio).

2.2.Nella successiva fase di autenticazione, l'utente viene invitato, di volta involta, ad apporre la propria firma autografa sul tablet in vista, tra l'altro,dell'attivazione della procedura di sottoscrizione del documento con firmadigitale; le informazioni acquisite, immediatamente convertite in template,vengono trasmesse in modalità cifrata, unitamente all'"impronta" deldocumento da firmare digitalmente (digest, ottenuto con un algoritmo hash) eall'identificativo numerico del firmatario, ad un apposito server ubicatopresso IT Telecom s.r.l. Tale server, al fine di autenticare l'utente, verificala corrispondenza del template acquisito con quello memorizzato nel databaseall'atto della "registrazione" e accerta che il numero seriale deltablet sia effettivamente tra quelli censiti. Inoltre, a scopi di sicurezza,viene calcolato anche l'"hash" del template, affinché sia possibile verificarne l'eventuale corrispondenza con uno degli "hash" deitemplate già verificati in occasione di precedenti operazioni di firma poste inessere dal medesimo firmatario; tale misura ha lo scopo di scongiurare alcunipossibili utilizzi fraudolenti del servizio. L'operazione di autenticazione siconcluderà positivamente solo se tutte e tre le verifiche saranno andate a buonfine (in particolare, per poter sbloccare le funzioni di firma digitale, leprime due verifiche dovranno avere esito positivo, mentre la terza dovrà avereesito negativo).

2.3.L'intero processo di autenticazione, a detta della società, deve ritenersidistinto da quello relativo all'apposizione della firma digitale. I datibiometrici degli utenti, infatti, verrebbero trattati, a fini diautenticazione, esclusivamente attraverso il server a ciò dedicato, autonomo eseparato da quelli impiegati per il rilascio dei certificati digitali e perl'apposizione della firma digitale; inoltre, i dati identificativi degli utentiverrebbero archiviati presso un server distinto da quello previsto per lamemorizzazione (in modalità cifrata) degli specimen, onde evitare la lorodiretta e immediata associabilità. Gli stessi server, infine, verrebberoubicati in locali protetti e accessibili ai soli soggetti a ciò legittimati(incaricati del trattamento e personale specificamente autorizzato da ITTelecom s.r.l.), mentre le operazioni sui dati e sui sistemi verrebberoadeguatamente tracciate attraverso un apposito sistema di "access &audit logging".

Tuttociò porta la società –sottoposta, in quanto Certification Authorityaccreditata, alla stringente vigilanza dell'Agenzia per l'Italia Digitale anchein merito ai profili relativi alla gestione della sicurezza dei dati e deisistemi– ad affermare che le informazioni memorizzate per la verificabiometrica della firma non sarebbero, alla luce delle misure organizzative egestionali adottate, "direttamente utilizzabili [Š] in altri contesti coneffetti sugli interessati".

Inoltre,i dati biometrici relativi agli utenti, in caso di cessazione del trattamento,verrebbero cancellati o anonimizzati in modalità irreversibile"immediatamente o nei tempi tecnici necessari e comunque non oltre i 30giorni solari dalla registrazione dell'evento".

2.4.Il sistema, nel suo complesso, oltre a ridurre sensibilmente il rischio dieventuali tentativi di furto di identità, garantirebbe, in prospettiva, la"dematerializzazione dei processi gestiti con documentazionecartacea" per le operazioni da svolgersi direttamente presso gli sportellibancari. Inoltre, il servizio offerto risponderebbe alla necessità di garantirein capo agli interessati –in osservanza dei vincoli posti dalla normativain materia di firma digitale– il "controllo esclusivo delle propriechiavi private di firma ai fini della validità legale dei documentisottoscritti e della relativa verifica".

3. Il documento di Cariparma S.p.A.

Avvalendosidel sistema in esame, Cariparma S.p.A., al pari di Friuladria S.p.A. eCarispezia S.p.A., ritengono di poter apportare significativi miglioramenti aipropri processi organizzativi e gestionali, soprattutto in termini di"efficienza" (semplificazione e snellimento delle operazioni allosportello; incremento della qualità dei servizi resi), "sicurezza"(identificazione certa dell'utenza; contrasto alle frodi) ed "economicitàdelle risorse" (dematerializzazione della modulistica; riduzione dei costidi conservazione dei documenti; rispetto per l'ambiente); ciò, senza alteraresignificativamente le abitudini degli utenti e sollevando al contempo questiultimi dall'onere di ricorrere a strumenti addizionali (smart card; token;ecc.) ai fini dell'utilizzo della "chiave privata" di pertinenza,agevolandoli, così, nelle operazioni di sottoscrizione dei documenti con firmadigitale.

Nell'ambitodi tale complessivo servizio, il trattamento dei dati biometrici risponderebbeprincipalmente all'esigenza di verificare adeguatamente l'identità degli utentiche abbiano prestato a tal fine il proprio consenso; ciò, non solo in ragionedel crescente numero di frodi dichiarato, ma anche in funzione dell'osservanzadegli specifici obblighi gravanti sulle singole banche ai sensi della normativain materia di antiriciclaggio.

Tuttavia,ove gli stessi utenti non potessero o non intendessero avvalersi del serviziodi autenticazione biometrica, è stata individuata una modalità"alternativa" che prevede l'utilizzo del telefono cellulare comedispositivo per il riconoscimento dell'interessato, in particolare attraversol'invio a IT Telecom s.r.l. dell'apposito PIN di firma rilasciato aquest'ultimo dalla medesima certification authority in vista dell'attivazionedella procedura di sottoscrizione del documento con firma digitale. Nondimeno,tale ultima modalità dovrebbe ritenersi, a detta delle banche istanti, come"eccezionale", in quanto finalizzata a una "gestione delleattività di sportello difforme da quella collegata all'uso della [firmadigitale remota]", che non consentirebbe di realizzare appieno le finalitàsopra indicate.

L'attivazionedel servizio, ad ogni buon conto, avverrebbe solo dopo il rilascio agliinteressati della prevista informativa e dell'acquisizione del relativoconsenso al trattamento dei dati biometrici da parte dei rispettivi titolari.Infine, allo scopo di garantire elevati standard di sicurezza in ordine ai datidell'utenza, le banche istanti hanno dichiarato che gli operatori prepostiall'identificazione e alla supervisione delle operazioni di autenticazionebiometrica –ritualmente designati incaricati del trattamento ai sensidell'art. 30 del Codice– potranno trattare i dati personali degliinteressati solo previo superamento di un'apposita procedura di autenticazione.

4. Le successive comunicazioni delle società.

Consuccessive comunicazioni del 20 e 27 novembre e del 21 dicembre 2012, le societàistanti hanno fornito alcune precisazioni in ordine al trattamento dei dati biometricioggetto della richiesta di verifica preliminare, provvedendo, altresì, adillustrare meglio l'architettura contrattuale prescelta per la fornitura e lafruizione del servizio anche in vista di una più puntuale individuazione,relativamente al trattamento dei dati biometrici degli interessati, deglieffettivi poteri decisionali in capo a ciascuno dei soggetti coinvolti.

Rispettoal primo profilo, nel ribadire la distinzione tra il processo di autenticazioneforte e quello di sottoscrizione dei documenti con firma digitale (circostanza,questa, confermata da tutte le parti), IT Telecom s.r.l. ha poi precisato, perparte sua,  che il servizio offerto tiene conto della "modificabilitànel tempo della firma autografa" (attraverso funzioni di "auto-apprendimento"che consentirebbero un costante "aggiornamento dello specimen [sulla] base [di] regole [operanti su] elementi temporali, numerici estatistici"), mentre le banche hanno confermato, per quanto di lorospettanza, di voler avvalersi del servizio medesimo, tra l'altro, ai fini diun'"adeguata verifica della clientela richiesta dalla normativa in materiadi antiriciclaggio". Inoltre, con specifico riferimento al grado diaffidabilità del sistema –già preimpostato al fine di garantire un numeroridotto di eventuali "falsi positivi" e "falsi negativi":c.d. "grado di tolleranza del sistema"–, è stato chiarito chetale rischio deve ritenersi ulteriormente ridotto a fronte delle modalità diorganizzazione prescelte per il servizio medesimo, che prevedono ilriconoscimento de visu del firmatario da parte dell'incaricatoall'identificazione presso la singola banca.

Nell'ambito,poi, del complesso schema prefigurato dalle parti per l'erogazione e lafruizione del servizio –che contempla la stipula di un contratto tra lebanche e Telecom Italia S.p.A. (nella sua qualità di distributore "deiservizi di certification authority" subappaltati a IT Telecom s.r.l.) e diun distinto contratto tra la stessa certification authority e i firmatari("utilizzatori" del servizio), nonché le banche medesime("clienti finali")–, le società istanti ritengono, per quantodi rispettiva competenza, di essere autonome titolari dei relativi trattamenti.In particolare, IT Telecom s.r.l. ritiene di essere titolare del trattamentodei dati personali e biometrici dei firmatari ai fini dell'attivazione,erogazione, gestione, amministrazione e manutenzione del servizio mediante ipropri sistemi informativi, mentre Cariparma S.p.A. e le altre banche sarebberoautonome titolari dei rispettivi trattamenti "ai fini delle soleoperazioni di identificazione, attivazione e successivo utilizzo delservizio", limitatamente alla quota parte di interfacciamento con leproprie piattaforme informative. Ciò, in ragione soprattutto del fatto che lesocietà opererebbero "in modo autonomo nei rispettivi ambiti dicompetenza" (da considerarsi "nettamente distinti sotto il profilooperativo e organizzativo") e che le banche, comunque, avrebbero uncircoscritto potere decisionale in merito alle modalità di esecuzionedell'intero servizio, da rendersi, attraverso IT Telecom s.r.l., in stringenteconformità alla normativa vigente in materia di firma digitale.

Percontro, nessun trattamento di dati biometrici sarebbe effettuato da TelecomItalia S.p.A. con riferimento ai dati dei firmatari, operando quest'ultimaquale semplice distributore dei servizi erogati da IT Telecom s.r.l.

Asostegno dell'impostazione sostenuta, le società istanti hanno prodottodocumentazione relativa, tra l'altro, alla bozza di contratto intercorrente traTelecom Italia S.p.A. e le banche committenti, nonché copia delle condizionigenerali di contratto relative al servizio medesimo.

5. Le valutazioni dell'Autorità.

5.1.La verifica preliminare presentata all'Autorità ha ad oggetto il trattamento didati biometrici a fini di autenticazione connesso all'utilizzo di un sistemaidoneo ad analizzare e confrontare alcuni parametri ricavati dall'apposizionesu un dispositivo a ciò preposto, da parte degli interessati, della loro firmaautografa in occasione delle procedure di sottoscrizione con firma digitale deidocumenti. Il presente provvedimento, che tiene conto del tenore dell'istanzaformulata e delle dichiarazioni rese dalle parti (anche ai sensi dell'art. 168del Codice) in ordine all'alterità tra la procedura di sottoscrizione digitalee quella di autenticazione, si sofferma sui soli profili relativi altrattamento dei dati personali biometrici connesso a quest'ultima.

Occorreanzitutto rilevare, al riguardo, che il Gruppo per la tutela dei dati personaliex art. 29 della direttiva 95/46/Ce ritiene che l'utilizzo di sistemi basatisull'impiego di dispositivi in grado di rilevare le caratteristiche"dinamiche" della firma determini, effettivamente, un trattamento didati biometrici di natura comportamentale, come tale riconducibile nell'ambitodi applicazione della disciplina di tutela dei dati personali (cfr. documentodi lavoro sulla biometria del 1° agosto 2003, Wp 80; cfr. altresì Parere 3/2012sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193). Ciòpremesso, occorre valutare, in tale prospettiva, se il sistema sottoposto alvaglio dell'Autorità possa reputarsi conforme, limitatamente ai profiliconcernenti il trattamento di dati biometrici degli utenti nella fase di autenticazione,alla disciplina del Codice, con particolare riferimento sia alla correttaidentificazione del ruolo rivestito da ciascuna delle società coinvoltenell'ambito della procedura di autenticazione, sia all'osservanza dei principidi necessità, liceità, finalità e proporzionalità (artt. 3 e 11, comma 1, lett.a), b) e d), del d.lgs. n. 196/2003); ciò, anche nel caso in cui il datobiometrico venga raccolto dalle banche, come nel caso in esame, ai soli finidel completamento della fase di enrollment e venga successivamente utilizzato(sotto forma di codice numerico), da parte della certification authority, perle operazioni di raffronto nelle procedure di autenticazione (in argomento, v.anche Provv. 23 gennaio 2008; Provv. 26 maggio 2011; Provv. 4 ottobre 2012).

5.2.Rispetto al primo profilo, vale in primo luogo evidenziare che la complessaarchitettura contrattuale prescelta dalle parti per la fornitura e laregolamentazione dell'intero servizio (comprensivo, come detto, delleoperazioni di trattamento di dati biometrici a fini di autenticazione) nonagevola, di per sé, l'inquadramento della fattispecie sul pianodell'individuazione delle responsabilità relativamente al trattamento dei datibiometrici degli utenti. Ciononostante, pare a questa Autorità che ledichiarazioni rese e la documentazione trasmessa, invero non sempreunivocamente rispondenti, abbiano evidenziato elementi tali da far comunqueritenere che la fattispecie in esame, diversamente da quanto sostenuto dallesocietà istanti, sia più propriamente riconducibile nell'ambito di unacontitolarità del medesimo (e unico) trattamento (art. 4, comma 1, lett. f),del Codice); ciò, sia in ragione di quanto di seguito indicato con riferimentoa ciascuna delle parti coinvolte, sia alla luce delle valutazioni espresse dalmenzionato Gruppo per la tutela dei dati personali, secondo cui "si è inpresenza di una situazione di corresponsabilità quando varie parti determinano,per specifici trattamenti, o la finalità o quegli aspetti fondamentali deglistrumenti [Š]. Nel contesto della corresponsabilità, comunque, lapartecipazione delle parti alla determinazione congiunta può assumere varieforme e non deve essere necessariamente ripartita in modo uguale", potendoi vari titolari "occuparsi –e quindi rispondere– deltrattamento di dati personali in fasi diverse e a gradi diversi" (cosìParere 1/2010 sui concetti di titolare e incaricato del trattamento, WP 169,adottato il 16 febbraio 2010, p. 19; per alcune pronunce in tal senso, v.Provv. Garante 3 dicembre 2009; Provv. 30 maggio 2007; Provv. 13 settembre 2012).

Premesso,infatti, che il servizio di autenticazione biometrica, reso attraversol'utilizzo in forma "integrata" delle piattaforme informative dellesingole banche e di IT Telecom s.r.l., risponde anche e soprattuttoall'esigenza –propria tanto degli operatori creditizi e finanziari chedella stessa certification authority– di "identificare" inmaniera rigorosa e univoca i firmatari (le prime nel rispetto degli obblighiimposti dalla normativa vigente in materia di antiriciclaggio, la seconda diquelli previsti dalla disciplina in tema di firma digitale)– occorre poirilevare, con riguardo agli attori a vario titolo coinvolti nella procedura,che dalle dichiarazioni rese dalle parti e dalla documentazione prodotta (dellacui genuinità si può essere chiamati a rispondere anche in sede penale ai sensidel già citato art. 168 del Codice), risulta che:

–Telecom Italia S.p.A.: non assume alcun ruolo effettivo nell'attivazione edesecuzione della procedura di autenticazione, né tratta, in concreto, datibiometrici riferibili agli interessati. Ciò, a prescindere dal suo riferitoruolo di "contraente principale" (cfr. nota IT Telecom del 21dicembre 2012, p. 2), desumibile anche dall'allegata bozza di "accordo perla fornitura di servizi relativi alla sottoscrizione e conservazione didocumenti informatici";

– le banche:

€    determinano le finalità del trattamento (rese note al fornitoree formalizzate anche attraverso la predetta bozza di accordo), richiedendoespressamente, mediante la sottoscrizione di apposito contratto, l'utilizzo delcomplessivo servizio di firma digitale con autenticazione biometrica fornitoconcretamente da IT Telecom s.r.l.;

€    determinano le modalità di esecuzione del trattamento,limitatamente alle operazioni di raccolta dei dati biometrici degli interessati(cfr. nota IT Telecom s.r.l. del 21 dicembre 2012, p. 3);

€    vantano poteri di controllo e verifica, esercitabili a propriadiscrezione, in merito alle "prestazioni" fornite dalla certificationauthority (cfr. artt. 5, lett. m), n), o) e p), e 11 della medesima bozza diaccordo);

€    stabiliscono le modalità alternative di riconoscimento degliutenti in caso di mancata adesione alla procedura di autenticazione biometrica(cfr. "nota integrativa al documento di presentazione", allegata allanota Cariparma S.p.A. del 27 novembre 2012, p. 6);

€    individuano e adottano eventuali ulteriori misure relativamentealla propria infrastruttura informativa (v. nota IT Telecom s.r.l. del 21dicembre 2012, p. 4);

–  IT Telecom s.r.l.:

€    determina le finalità del trattamento, rapportandole allagestione del complessivo servizio di firma digitale offerto alle banche istanti(v. nota IT Telecom del 21 dicembre 2012, p. 2);

€    determina le modalità di esecuzione del trattamento, definendogli standard tecnici e organizzativi della procedura di autenticazione anche inadempimento alle specifiche disposizioni di settore (tra cui il d.lgs. n.82/2005, recante il "Codice dell'amministrazione digitale");

€    individua i soggetti cui eventualmente conferire l'incarico relativamentealle operazioni di identificazione e registrazione dei dati dei firmatari,impartendo loro le relative istruzioni (v. anche l'art. 16 della bozza dicontratto del 7 novembre 2012);

€    apporta, sulle modalità di erogazione del servizio, le eventualimodifiche richieste dall'evoluzione tecnologica e normativa (cfr. l'art. 3,lett. e), della bozza di contratto del 7 novembre 2012);

€    adotta, nell'ambito del complessivo servizio di sottoscrizionecon firma digitale (cui il trattamento di dati biometrici è preordinato), tuttele misure necessarie all'organizzazione del medesimo (predisponendo anche lamodulistica contenente le condizioni generali di utilizzo del servizio), ivicomprese le misure di sicurezza di cui alla disciplina del Codice (v. l'art. 14della bozza di contratto del 7 novembre 2012).

 

Allaluce di tali complessivi elementi, pare dunque difficile, nel caso di specie,ravvisare due distinti trattamenti di dati biometrici in capo alle singolebanche e a IT Telecom s.r.l. (i quali, peraltro, autonomamente considerati,risulterebbero fini a sé stessi), dovendo piuttosto ritenersi, anche in vistadi un più agevole esercizio dei diritti di cui all'art. 7 del Codice da partedegli interessati, che gli attori coinvolti, ancorché operanti "in sequenza",pongano in essere operazioni differenti di un unico trattamento preordinatoall'autenticazione dell'interessato, avvalendosi a tal fine di strumentistabiliti congiuntamente (e operanti in forma "integrata") erispondendo, del medesimo trattamento, solo per la parte di propria competenza(in tal senso, v. anche il menzionato parere del Gruppo art. 29, p. 21).

5.3.Per quanto attiene all'osservanza dei princìpi stabiliti dal Codice, valeevidenziare che il trattamento dei dati biometrici che le società istantiintendono effettuare, in base alla documentazione prodotta e alle dichiarazionirese, risulta lecito. Occorre infatti sottolineare, sul piano generale, chel'identificazione certa e rigorosa dell'utenza, già richiesta alle banche inun'ottica di sana e prudente gestione del rischio (cfr. Comitato di Basilea perla vigilanza bancaria), rappresenta, sovente, anche un obbligo posto in capo atutti gli istituti di credito da specifiche normative di settore (cfr., adesempio, il d.lgs. n. 231/2007, su cui v. anche Parere Garante del 25 luglio2007; più in generale, sugli obblighi di identificazionedella clientela, cfr. Provv. 27 ottobre 2005e Provv. 25 ottobre 2007, recanti le "Linee guidaper i trattamenti dati relativi al rapporto banca-clientela") la cui violazione, peraltro, può costituire fonte dieventuale responsabilità civile (cfr. Cass. 16 dicembre 2009, n. 3350),valutabile anche alla stregua dell'art. 1176, 2° co., c.c. (con possibilerilevanza, dunque, anche della colpa lieve: in tal senso, Trib. Ariano Irpino 2ottobre 2008; Cass. 30 gennaio 2006, n. 1865). A ciò, si aggiunga chel'autenticazione biometrica degli utenti in vista della sottoscrizione digitaledei documenti potrebbe, da un lato, contribuire a contrastare efficacemente ilcrescente numero di frodi dichiarato dalle banche e, dall'altro, snellire evelocizzare (anche a vantaggio della stessa utenza) le operazioni diriconoscimento allo sportello. Deve poi rilevarsi, ancora, che il trattamentoin esame, nella misura in cui possa ritenersi effettivamente compatibile conl'attuale quadro normativo applicabile ai servizi di sottoscrizione con firmadigitale erogati da IT Telecom s.r.l. (in tal senso, peraltro, una primaapertura all'utilizzabilità di tecniche biometriche, sia pure nell'ambito delpiù ampio contesto relativo ai servizi di "firma elettronica", pareravvisabile già nella "Guida alla Firma Digitale" predispostadall'allora CNIPA, versione 1.3 dell'aprile 2009, p. 11; in prospettiva, v. lo"Schema di d.P.C.M. ai sensi degli articoli 20, comma 3, 24, comma 4, 28,comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71, del d. l.gvo7 marzo 2005, n. 82", disponibile sul sito www.digitpa.gov.it) puòrisultare funzionale, ancorché indirettamente, a garantire in concretol'osservanza degli stringenti obblighi di riconoscimento degli interessati chela specifica normativa di settore (d.lgs. n. 82/2005, cit.; d.P.C.M. 30 marzo2009) pone in capo agli stessi enti certificatori ai fini della fornitura delservizio. Considerato, infine, che il trattamento dei dati biometrici deifirmatari, fatto salvo quanto precisato al successivo punto 6, avverrà sullabase del consenso informato degli interessati e per il perseguimento dilegittime finalità rese note a questi ultimi, deve ritenersi che, anche allaluce di quanto sopra richiamato, risultino integrati, rispetto alla fattispeciein esame, i requisiti di cui all'art. 11, comma 1, lett. a) e b), del Codice.
Perquanto attiene, poi, all'osservanza dei princìpi di necessità e proporzionalità(artt. 3 e 11, comma 1, lett. d), del Codice), vale sottolineare che il sistemadescritto, nelle modalità di configurazione indicate, consente di trattare idati biometrici degli interessati in forma "disgiunta" dai relatividati anagrafici (memorizzati in un apposito database, peraltro distinto daquello contenente gli specimen), sì da permettere la loro identificazione soloindirettamente. Inoltre, le informazioni biometriche acquisite dal sistema risultanoessere solo quelle necessarie alla creazione del template e alle successiveoperazioni di raffronto in sede di autenticazione degli interessati.

Anchesotto il profilo della sicurezza dei dati trattati, si può ritenere chel'immediata cifratura delle informazioni presso le singole banche e la lorotrasmissione a IT Telecom s.r.l. per mezzo di canali "https"considerati affidabili, nonché la configurazione di opportune regole di accessosui firewall previsti presso i data center della certification authority (cfr.documento IT Telecom s.r.l. allegato alla nota del 27 aprile 2012, p. 17),costituiscano misure adeguate ai sensi degli artt. 31 e ss. del Codice.Considerato, poi, che le società hanno anche dichiarato di voler adottaresoluzioni organizzative (separazione fisica dei server; ubicazione degli stessiin locali adeguatamente protetti e accessibili dal solo personale autorizzato;tracciamento delle operazioni di accesso ai dati e ai sistemi; ecc.) tali, allostato, da far ritenere come remoto il rischio di eventuali operazioni indebitesui dati biometrici degli interessati, si può conclusivamente sostenere che iltrattamento, per come prospettato, sia conforme, anche in relazione ai profiliconcernenti le misure di sicurezza, alla disciplina del Codice.

Tanto,sull'ulteriore presupposto che la stessa certification authority –giàtenuta ad operare secondo i rigidi standard previsti dalla normativa vigente(d.lgs. n. 82/2005, cit.; d.P.C.M. 30 marzo 2009)– risulta anche soggettaalla stringente vigilanza dell'Agenzia per l'Italia Digitale.

Infine,anche in ragione di quanto previsto dall'art. 11, comma 1, lett. c), delCodice, appare in linea con le disposizioni di legge l'adozione di meccanismidi auto-apprendimento in grado di garantire, nel tempo, la "qualità"dei dati biometrici trattati.

6. Ulteriori adempimenti.

Comeanticipato (cfr. punto 2.1), le società provvederanno a rendere agliinteressati la prevista informativa nel corso della procedura di adesione alservizio. Tuttavia, nei modelli acquisiti non risultano puntualmenteevidenziate le caratteristiche del trattamento relativo ai dati biometricidegli interessati. Le società dovranno pertanto modificare e/o integrarel'informativa da rendere ai firmatari in ordine a tale specifico trattamento,rendendo loro tutti gli elementi di cui all'art. 13 del Codice e soffermandosi,in particolare, sulla tipologia di dati raccolti e sulle informazioni da essidesumibili, sul profilo della co-titolarità (art. 13, comma 1, lett. f), delCodice) e  sulle finalità distintamente perseguite da ciascun co-titolarenell'ambito della procedura di autenticazione biometrica (art. 13, comma 1,lett. a), del Codice).

Inoltre,fatta salva l'eventuale applicabilità di specifiche normative e l'esigenza diulteriore conservazione derivante da eventuali contestazioni in sede anchegiudiziaria, i dati biometrici degli interessati dovranno essere conservatidalle parti per il periodo di tempo strettamente necessario al perseguimentodegli scopi per i quali gli stessi sono stati raccolti e successivamentetrattati (art. 11, comma 1, lett. e), del Codice) e cancellati immediatamente,ovvero nei tempi tecnici a tal fine necessari e, comunque, non oltre l'indicatotermine di 30 giorni.
Infine, le società dovranno provvedere, primadell'inizio del trattamento, a modificare la notifica già effettuata inconformità agli artt. 37 e ss. del Codice.

Restainteso, ovviamente, che il trattamento dei dati biometrici degli interessatipotrà considerarsi lecito, nel caso di specie, solo ove il loro consenso vengarealmente acquisito in forma effettivamente libera (art. 23 del Codice), nonpotendo considerarsi tale quello raccolto in conseguenza di eventuali pressionio condizionamenti anche in occasione dell'adesione al servizio (in proposito,cfr., da ultimo, Provv. 4 ottobre 2012). In tal senso, appare determinante la circostanza chevenga realmente rimessa, in capo ai singoli interessati, l'effettiva facoltà discelta in ordine alla possibilità di avvalersi o meno della procedura diautenticazione biometrica, come pure la riferita possibilità, da parte diciascuna banca, di assicurare comunque la fruizione del servizio disottoscrizione dei documenti con firma digitale attraverso modalità alternativedi autenticazione.

TUTTO CIÒ PREMESSO, IL GARANTE,

aisensi dell'art. 17 del Codice, a conclusione della verifica preliminarerichiesta da Cassa di Risparmio di Parma e Piacenza S.p.A., Banca PopolareFriuladria S.p.A., Cassa di Risparmio della Spezia S.p.A. e IT Telecom s.r.l.,relativamente all'utilizzo, nell'ambito del servizio preordinato allasottoscrizione di documenti con firma digitale, di un sistema di rilevazionedelle caratteristiche biometriche della firma autografa apposta dagliinteressati su dispositivi a ciò dedicati, ammette il trattamento dei datibiometrici nei termini di cui in narrativa e nel doveroso rispetto di quantodichiarato dagli istanti ai sensi dell'art. 168 del Codice, e a condizione chele società provvedano a:

1.  modificaree/o integrare l'informativa da rendere agli interessati, indicando puntualmentetutti gli elementi di cui all'art. 13 del Codice e soffermandosi, inparticolare, sui profili relativi alla tipologia di dati raccolti e leinformazioni da essi desumibili, alla co-titolarità e alle finalità deltrattamento;

2.  acquisireun consenso realmente libero da parte degli interessati, in aderenza a quantodisposto dall'art. 23 del Codice;

3.  conservarei dati biometrici degli interessati, fatte salve l'eventuale applicabilità dinormative specifiche e le esigenze di ulteriore conservazione derivanti daeventuali contestazioni in sede anche giudiziaria, per il periodo di tempostrettamente necessario al perseguimento degli scopi per cui gli stessi sonostati raccolti e successivamente trattati (art. 11, comma 1, lett. e) delCodice), provvedendo altresì alla loro immediata cancellazione, ovvero neitempi tecnici a tal fine necessari e, comunque, non oltre l'indicato termine di30 giorni;

4.  modificare,antecedentemente all'inizio del trattamento medesimo, le notifiche giàeffettuate in conformità agli artt. 37 e ss. del Codice.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 31 gennaio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia