Garante per la protezione
    dei dati personali


Sistema per l'accesso della clientelain modalità c.d. self service, 24 ore su 24 alle cassette di sicurezza che puòprevedere il trattamento di dati biometrici. Verifica preliminare richiesta daBanca di credito cooperativo di Vigevano

PROVVEDIMENTO DEL 14 FEBBRAIO 2013

Registro dei provvedimenti
n. 66 del 14 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti,e del dott. Giuseppe Busia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

Esaminatala richiesta di verifica preliminare presentata dalla Banca di CreditoCooperativo di Vigevano s.c., ai sensi dell'art. 17 del Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196), relativa all'attivazione diun sistema biometrico per l'accesso dei clienti alla propria cassetta disicurezza;

Vistigli atti d'ufficio;

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. L'istanza della Banca.

1.1.In data 27 giugno 2012, la Banca di Credito Cooperativo di Vigevano s.c. (diseguito, "Banca") ha presentato una richiesta di verifica preliminareai sensi dell'art. 17 del Codice per l'attivazione, "presso la [] filialedi via Trivulzio 23 a Vigevano (PV) di prossima apertura", di un sistemaper l'accesso della clientela −in modalità c.d. self service, 24 ore su24− alle cassette di sicurezza, "che può prevedere il trattamento didati biometrici". Tale forma di accesso avverrebbe solo su base volontaria,ferma restando la possibilità -per i clienti che non intendessero avvalersi diquesto sistema- di accedere al locale delle cassette di sicurezza attraversomodalità tradizionali, con l'utilizzo di una smart card abbinata ad un PIN.

Secondoquanto riferito dalla Banca, l'installazione del sistema −cheriguarderebbe settantuno cassette− avrebbe lo scopo di aumentare lasicurezza dei clienti, che potrebbero "accedere alle cassette di sicurezzaal di fuori degli orari di sportello con piena garanzia della propria incolumità"e con "l'assoluta certezza" dell'inviolabilità delle stesse da partedi terzi (v. citata comunicazione del 27 giugno 2012, p. 2 e 3).

1.2. Lemodalità di funzionamento del sistema

Comegià detto, a ciascun cliente che intendesse usufruire del servizio relativoalle cassette di sicurezza la Banca offrirebbe due distinte modalità diaccesso: quella con il sistema biometrico oppure quella con modalitàtradizionali (smart card e PIN). Se il cliente dovesse optare per il sistemabiometrico, la Banca gli fornirebbe una specifica informativa sul trattamentodei dati personali e biometrici, acquisendo anche il suo consenso;successivamente, il cliente verrebbe invitato a rilasciare l'impronta digitale,appoggiando il dito su un apposito lettore che genererebbe "un algoritmomatematico univoco ed irripetibile", il quale verrebbe "memorizzatosu una smart card". Quindi, la Banca consegnerebbe al cliente la smartcard e il relativo PIN (codice numerico di accesso), che sarebbe definito dallostesso cliente al momento della prima registrazione e, poi, modificato fin dalprimo accesso.

Almomento dell'accesso al locale riservato alle cassette di sicurezza, il clienteprima inserirebbe la smart card nel lettore deputato a consentire l'aperturadella porta, poi in quello destinato al riconoscimento dell'utente; quindi, ilcliente digiterebbe il PIN e appoggerebbe il proprio dito sull'appositoscanner, permettendo al sistema di verificare la corrispondenza tra l'algoritmomatematico generato dall'impronta digitale e quello memorizzato sulla smartcard. In caso di verifica positiva, la cassetta di sicurezza assegnata alcliente sarebbe prelevata dalla cassaforte attraverso un sistemaelettro-meccanico.

Nellafase di riconoscimento, una webcam integrata rileverebbe dieci fotogrammi delvolto del cliente, che sarebbero "associati esclusivamente all'anagraficadel cliente" (v. comunicazione della Banca del 22 gennaio 2013) econservati nel sistema per sette giorni, al termine dei quali le immagini verrebberocancellate automaticamente.

Nellocale self service non verrebbero collocati sistemi di videosorveglianza, néeffettuate videoriprese (v. cit. comunicazione del 27 giugno 2012, p. 5).

1.3 Lemisure di sicurezza

LaBanca ha dichiarato che, al fine di prevenire "possibili pregiudizi aidanni dei clienti interessati", con particolare riguardo a condotteillecite volte alla "abusiva ricostruzione dell'impronta digitale",sarebbe "esclusa qualsiasi forma di memorizzazione in archivi situatipresso la banca dei dati biometrici in questione". Infatti, il sistema sibaserebbe sulla lettura di impronte digitali acquisite nella forma di templatecifrati, successivamente memorizzati su smart card prive di indicazioninominative dei clienti e poste nella loro esclusiva disponibilità. I datibiometrici sarebbero trattati "esclusivamente durante la fase direalizzazione del template" e coloro che fossero chiamati alla lororegistrazione sulle smart card verrebbero nominati "incaricati deltrattamento", così come i dipendenti che dovessero svolgere attività dimanutenzione sul sistema (denominato "Safestore Auto").

2. I presupposti di liceità del trattamento.

Laraccolta e la registrazione di impronte digitali e dei dati biometrici,ricavati e successivamente utilizzati per verifiche e raffronti nelle proceduredi autenticazione o di identificazione, sono operazioni di trattamento di datipersonali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) delCodice), rispetto alle quali trova applicazione la normativa contenuta nelCodice (in merito v. anche i documenti di lavoro sulla biometria del"Gruppo art. 29" della direttiva 95/46/Ce: Wp 80 del 1 agosto 2003 eWP 193 del 27 aprile 2012 ).

Pertanto,la liceità del sistema in questione deve essere valutata alla luce dei principidi necessità, finalità, proporzionalità, e correttezza del trattamento (artt. 3e 11 del Codice), considerando, in particolare, il contesto in cui tali datisono trattati.
Nel caso di specie, si rileva che la finalità perseguitadalla Banca – in qualità di titolare del trattamento− è quella di"aumentare la sicurezza della clientela durante l'accesso in modalitàself-service alle cassette di sicurezza, che possono contenere documentiriservati, oggetti di valore o denaro e quindi possono rappresentare unconcreto obiettivo di furti e rapine", consentendo, nello stesso tempo,l'accesso anche "al di fuori degli orari di sportello con piena garanziadella propria incolumità" (in tal senso, v. anche Provv.ti 15 aprile 2010; 13 settembre 2012). Tale finalità risulta lecita.

Inoltre,il trattamento posto in essere dalla Banca può anche considerarsiproporzionato, in quanto, nel caso specifico, non è prevista una conservazionedei dati biometrici raccolti in archivi centralizzati, ma il dato criptatodell'impronta digitale verrà memorizzato esclusivamente sulla smart card, cheresterà nell'esclusiva disponibilità del cliente che avrà aderito al servizio.Tale modalità di memorizzazione risulta idonea a garantire un adeguato livellodi accuratezza in ordine all'accertamento dell'identità del detentore della smartcard e, nello stesso tempo, ad evitare il rischio di eventuali utilizziimpropri o possibili abusi che, invece, potrebbero derivare dalla raccolta ditali informazioni, particolarmente delicate, in un sistema centralizzato. Ciòrisulta altresì conforme al principio di necessità (art. 3 del Codice), secondoil quale i sistemi informativi devono essere configurati in modo da ridurre alminimo l'utilizzazione di dati personali, escludendone il trattamento quando lefinalità perseguite nei singoli casi possono essere realizzate con altremodalità (in particolare, mediante dati anonimi od opportune modalità chepermettano di identificare l'interessato solo in caso di necessità).

3. Ulteriori adempimenti.

Inrelazione all'informativa, si prende atto che la Banca ha dichiarato che isoggetti interessati all'utilizzo del sistema riceveranno, prima di procederealla raccolta del dato biometrico, una specifica informativa scritta sultrattamento dei loro dati personali e biometrici, diversa e distinta da quellache verrà fornita a coloro che decideranno di utilizzare le modalitàtradizionali di accesso ai locali della cassette di sicurezza; inoltre, siprende altresì atto che dagli interessati verrà acquisito il consenso previstodall'art. 23 del Codice (v. cit. comunicazione Banca, p. 4 e 5).

Ciòpremesso, si richiama l'attenzione della Banca sul fatto che la medesimainformativa dovrà indicare chiaramente anche la possibilità per gli interessati–che non vogliano o non possano, anche in ragione di proprie caratteristichefisiche, servirsi del sistema di riconoscimento biometrico o chesuccessivamente decidano di non avvalersene più– di utilizzare modalitàalternative (già individuate dalla Banca) per avvalersi comunque del serviziorelativo alle cassette di sicurezza.

Riguardoalle misure di sicurezza, risulta adeguata la scelta di memorizzare il datobiometrico –in forma di template- esclusivamente su una smart cardprodotta in un unico esemplare, posta nella sola disponibilità del cliente epriva di suoi riferimenti nominativi.

Siprende altresì atto che la Banca designerà quali incaricati del trattamento idipendenti che effettueranno le operazioni di trattamento dei dati biometriciattraverso la registrazione del template sulla smart card, impartendo loroidonee istruzioni alle quali attenersi, nonché i dipendenti che svolgerannol'attività di manutenzione sul sistema "Safestore Auto"; a taleproposito, la Banca, con nota del 22 gennaio 2013, ha specificato che "perogni incaricato/categoria omogenea di incaricati del trattamento" verrà"definito uno specifico profilo di autorizzazione coerente con le attivitàsvolte".

Restainteso che la Banca, oltre a procedere alle suddette designazioni, inattuazione dell'obbligo di adottare ogni necessaria misura di sicurezza, ancheminima (art. 31 ss. e all. B) al Codice), dovrà comunque conservare unadescrizione scritta dell'intervento effettuato dall'installatore, che attestianche la conformità del Sistema alle disposizioni del disciplinare tecnico(regola n. 25 dell'all. B) al Codice); inoltre, la stessa dovrà altresìeffettuare la notifica obbligatoria al Garante, prima che abbiano inizio leoperazioni di trattamento dei dati biometrici (art. 37, comma 1, lett. a) delCodice).

TUTTO CIO' PREMESSO IL GARANTE

aconclusione della verifica preliminare relativa al sistema "Safestore AutoMaxi" che la Banca di credito cooperativo di Vigevano intende installareper consentire, senza l'intervento del personale, l'accesso continuato deipropri clienti al servizio relativo alle cassette di sicurezza, prende atto deltrattamento oggetto delle dichiarazioni rese -della cui veridicità gli istantirispondono penalmente ai sensi dell'art. 168 del Codice- e della documentazioneprodotta, fermo restando, quali prescrizioni ai sensi degli artt. 17 e 154,comma 1, lett. c) del Codice, che la Banca dovrà:

1.indicare chiaramente nell'informativa la possibilità per gli interessati diavvalersi del servizio relativo alle cassette di sicurezza con modalitàalternative rispetto alla rilevazione dei loro dati biometrici;

2.designare per iscritto gli incaricati del trattamento, impartendo loro idoneeistruzioni alle quali attenersi (artt. 4, comma 1, lett. h) e 30 del Codice);

3.conservare una descrizione scritta dell'intervento effettuatodall'installatore, che attesti anche la conformità del Sistema alledisposizioni del disciplinare tecnico (regola n. 25 dell'all. B al Codice);

4.notificare al Garante il trattamento dei dati biometrici prima che abbianoinizio le operazioni di trattamento (art. 37, comma 1, lett. a), del Codice).

Roma, 14 febbraio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia