| Garante per la protezione dei dati personali Sistema per la sottoscrizione in formaelettronica di atti, contratti e altri documenti relativi a prodotti e serviziofferti da una banca - Verifica preliminare richiesta da Fineco Bank S.p.A. PROVVEDIMENTO DEL 12 SETTEMBRE 2013 Registro dei provvedimenti n. 396 del 12 settembre2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale; VISTOil d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia diprotezione dei dati personali" (di seguito "Codice"); VISTOil d.lgs. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazionedigitale"; VISTOil d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in materia digenerazione, apposizione e verifica delle firme elettroniche avanzate,qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28,comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71"; VISTOil d.lgs. 1° settembre 1993, n. 385, recante il "Testo unico delle leggiin materia bancaria e creditizia"; VISTOil d.lgs. 24 febbraio 1998, n. 58, recante il "Testo unico delledisposizioni in materia di intermediazione finanziaria, ai sensi degli articoli8 e 21 della legge 6 febbraio 1996, n. 52"; VISTAla richiesta di verifica preliminare datata 29 aprile 2013 e presentata daFineco Bank S.p.A. ai sensi dell'art. 17 del Codice, nonché l'ulteriorecomunicazione della società del 12 luglio 2013; ESAMINATAla documentazione in atti; VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSO 1. La richiesta formulata dalla società. 1.1.Fineco Bank S.p.A. –società operante "esclusivamente on line etramite promotori finanziari dislocati su tutto il territorio nazionale"–ha manifestato l'intenzione, nella prospettiva (tra l'altro) di accrescere laqualità dei propri servizi, di volersi dotare di un sistema in grado diconsentire la sottoscrizione in forma elettronica di atti, contratti e altridocumenti relativi a prodotti e servizi offerti dalla banca attraverso "[Š]l'utilizzocombinato di firme elettroniche e [Š]la raccolta di dati biometricicomportamentali" desunti dalla firma apposta dai clienti su appositi"tablet" in dotazione ai medesimi promotori. Il servizio di "firmagrafometrica" (nell'accezione utilizzata dalla banca), che consentirebbedi rilevare le caratteristiche "dinamiche" (ritmo; velocità;pressione; accelerazione; movimento) e il tratto grafico della firma appostadai clienti in occasione della sottoscrizione dei predetti documenti, avrebbecome obiettivo "principale" la semplificazione e l'efficientamentodei processi di interazione tra la società e i suoi clienti, garantendo in paritempo a costoro maggiori standard di sicurezza nelle operazioni di sottoscrizione;ciò, in quanto il servizio offerto si configurerebbe come "un particolaretipo di firma elettronica" avanzata in grado di assicurare, in accordo conle previsioni di legge, l'identificabilità dell'autore, nonché l'integrità el'immodificabilità del documento sottoscritto (v. anche il successivo punto1.5). 1.2.Il processo che Fineco ha intenzione di adottare si basa su una soluzione dic.d. firma grafometrica sviluppata da Namirial S.p.A. (organismo dicertificazione accreditato presso l'Agenzia per l'Italia Digitale) che haricevuto la certificazione ISO 27001 relativa al proprio sistema di gestionedella sicurezza. Tale processo di firma richiede il trattamento di datibiometrici degli interessati sottoscrittori e consta, in estrema sintesi, delleseguenti fasi: –i promotori finanziari collaboratori della Banca illustrano al cliente lemodalità di fruizione del servizio di "firma grafometrica"; – il promotore rilascia la prevista informativa ex art. 13 del Codice eacquisisce il relativo consenso in caso di adesione al servizio; –il promotore sottopone al cliente (previamente identificato) il documento informato elettronico; –il cliente appone la "firma grafometrica" su undispositivo hardware in grado di acquisire i dati biometrici contestualmenteall'atto di apposizione della firma; tali dati subiscono un processo dicifratura intermedio basato su una chiave simmetrica (che esclude la possibilitàdi visualizzarli "in chiaro" nella loro interezza) e un'ulteriorecifratura tramite la chiave pubblica relativa a un certificato digitaledenominato "certificato di protezione Fineco" anch'essa contenuta neldispositivo di firma digitale in dotazione ai promotori; –i dati biometrici così cifrati e il tratto grafico della firma sono inseriti inappositi campi del documento registrato in formato pdf; –sono generate una serie di stringhe hash per la successiva verificadell'integrità della firma e dei documenti acquisiti in formato elettronico,anch'esse cifrate con la "chiave pubblica" associata al certificatorilasciato da Namirial S.p.A.; –il documento informatico sottoscritto viene così inviato tramite canali sicurial "Sistema documentale di Fineco" e all'"Archivio diconservazione a norma" di In.TE.SA. S.p.A. (società incaricata dellagestione documentale in conformità ai requisiti stabiliti dal d.lgs. n.82/2005) per la relativa conservazione; –il cliente riceve una copia cartacea del documento sottoscritto con "firmagrafometrica" o, in alternativa, il duplicato informatico via posta elettronica. Idati biometrici, cifrati e "sigillati elettronicamente all'interno deldocumento informatico cui si riferiscono", verrebbero raccolti dal sistema"in modo assolutamente «acritico»", con modalità tali –cioè–da escludere qualsivoglia possibilità di risalire a eventuali informazioniinerenti lo stato di salute dei firmatari. Inoltre,tali dati non avrebbero "residenza", nemmeno temporaneamente,all'interno dei "tablet" e, una volta incorporati nel documento,verrebbero "cancellati e sovrascritti d[a]lla memoria (ram) delcomputer", non risultando conseguentemente visualizzabili né dai promotorifinanziari, né da In.TE.SA S.p.A. (che, peraltro, avrebbe solo in carico lamera gestione dei documenti in formato elettronico per conto della banca), né,tantomeno, da Fineco Bank S.p.A. e da Namirial S.p.A. Labanca, infatti, non potrebbe avere accesso "in chiaro " ai "datigrafometrici" incorporati nei documenti elettronici (di cui NamirialS.p.A., peraltro, nemmeno avrebbe la disponibilità) se non attraverso lareciproca collaborazione tra le due società, posto che la chiave privata –necessariaalla loro decifrazione– sarebbe detenuta dal solo organismocertificatore, mentre la custodia delle relative "credenziali disblocco" sarebbe affidata unicamente alla banca. Inogni caso, la decifrazione dei dati biometrici e il relativo accesso "inchiaro" sarebbero consentiti "esclusivamente nei casi previsti dallalegge, su richiesta delle Autorità competenti" (tipicamente riconducibilia ipotesi di contenzioso legate al disconoscimento della firma); in taleevenienza, Namirial S.p.A. metterebbe a disposizione del perito calligraficonominato dall'autorità giudiziaria un apposito strumento (denominato"FirmaCerta Forense") che consentirà di gestire la procedura di decriptazionesecondo elevati standard di sicurezza, garantendo che le operazioni di"cifratura e decifratura [si svolgano] contestual[ment]e [Š] all'aperturae alla chiusura della perizia". Idati acquisiti nel corso dell'accertamento calligrafico sarebbero cifratiattraverso la "chiave pubblica" del certificato di autenticazione delperito stesso, unico "in grado di aprire la perizia utilizzando il propriodispositivo di firma". Adetta della banca, il sistema risulterebbe preordinato ad acquisire "unnumero circoscritto di informazioni, pertinenti rispetto alle finalità [Š]indicate, non [essendo] prev[ista] l'acquisizione di dati ultronei o relativiallo stato di salute" degli interessati. Inoltre, il trattamento dei datibiometrici sarebbe "limitato, per tipologia e ampiezza, allo strettoindispensabile per consentire alla banca di aderire ai requisiti normativiprevisti dal CAD", di talché "nessun altro trattamento o utilizzosar[ebbe] possibile". 1.3.Il servizio, così come descritto, verrebbe attivato su base esclusivamentevolontaria (con indicazione del carattere facoltativo del conferimento dei datianche nell'informativa da rendere agli interessati), previa acquisizione dellibero consenso di questi ultimi. Ove il cliente non intendesse fornire ilproprio consenso al trattamento, ovvero lo abbia successivamente revocato, idocumenti resteranno sottoscrivibili secondo "il processo di firma «tradizionale»su supporto cartaceo". Labanca ha poi dichiarato che provvederà a designare In.TE.SA. S.p.A. qualeresponsabile del trattamento ai sensi dell'art. 29 del Codice, indicandoanaliticamente i compiti affidatigli e vigilando sulla puntuale osservanzadelle istruzioni impartite; per contro, i promotori finanziari, preposti dallabanca alle operazioni di rilevazione dei dati biometrici degli interessati,verrebbero designati quali incaricati del trattamento ex art. 30 del Codice. Idati biometrici raccolti, cifrati e "incorporati" all'interno deldocumento informatico, sarebbero conservati, nei limiti delle finalitàindicate, per il periodo di tempo stabilito dalle disposizioni vigenti (art.2220 cod. civ.; art. 119 del d.lgs. n. 385/1993), fatta salva l'esigenza di unaloro ulteriore conservazione in ragione di eventuali contestazioni in sedegiudiziaria. Nelmerito degli ulteriori adempimenti gravanti sul titolare del trattamento, labanca ha dichiarato di aver già provveduto all'aggiornamento (puntualmenteriscontrato dall'Ufficio) della notifica a suo tempo effettuata ex art. 37 delCodice, come pure di aver adottato le previste misure di sicurezza a protezionedei dati personali degli interessati (tra cui l'"immediata cifratura delleinformazioni biometriche" e l'utilizzo di canali di "comunicazionecifrata"), precisando altresì che la conservazione dei dati da parte diIn.TE.SA. S.p.A. avverrà anche in conformità ai requisiti previsti dalladelibera del(l'ormai ex) CNIPA n. 11/2004. 1.4.Il sistema, oltre a garantire maggiore celerità nelle operazioni con ipromotori e una riduzione dei costi di gestione e del contenzioso, garantirebbealla banca di poter correttamente adempiere agli obblighi imposti dallanormativa vigente, avuto particolare riguardo al soddisfacimento del requisitodella forma scritta previsto a pena di nullità per i contratti (art. 117 deld.lgs. n. 385/1993 e art. 23 del d.lgs. n. 58/1998). Come già anticipato,infatti, il servizio descritto soddisferebbe, nell'ottica della banca, irequisiti previsti dal Codice dell'amministrazione digitale e dal recented.P.C.M. del 22 febbraio 2013 in tema di firma elettronica avanzata (conparticolare riguardo al requisito della "forma scritta") e sidiscosterebbe –quanto a caratteristiche del trattamento– dallesoluzioni di firma digitale sinora esaminate dall'Autorità (cfr. Provv. 31gennaio 2013, cit.), essendo la raccolta dei dati biometrici funzionale agarantire una connessione univoca tra la firma apposta in forma elettronica suldocumento e il suo autore. 2.1.La verifica preliminare presentata da Fineco Bank S.p.A. ha ad oggetto iltrattamento dei dati personali connesso all'utilizzo di un sistema idoneo arilevare l'immagine della firma autografa apposta dagli interessati sudispositivi a ciò preposti ("tablet") e ad analizzarne alcuni parametri (pressione; accelerazione; inclinazione; ecc.) in vista della sottoscrizione informato elettronico di atti, contratti e documenti relativi a prodotti eservizi offerti dalla banca per il tramite dei relativi promotori. Preliminarmente,occorre ricordare che il Gruppo per la tutela dei dati personali ex art. 29della direttiva 95/46/Ce ritiene che l'utilizzo di sistemi basati sull'impiegodi dispositivi in grado di rilevare le caratteristiche "dinamiche"della firma determini un trattamento di dati biometrici("grafometrici" nell'accezione utilizzata dalla banca) di naturacomportamentale, come tale riconducibile nell'ambito di applicazione delladisciplina di tutela dei dati personali (cfr. documento di lavoro sullabiometria del 1° agosto 2003, Wp 80; cfr. altresì Parere 3/2012 sugli sviluppinelle tecnologie biometriche del 27 aprile 2012, WP 193; v. anche Provv.Garante 31 gennaio 2013, cit.). Ciòpremesso, occorre valutare, in tale prospettiva, se il sistema sottoposto alvaglio dell'Autorità possa reputarsi conforme, limitatamente ai profiliconcernenti il trattamento del tratto grafico della firma e dei dati biometricidegli utenti, alla disciplina del Codice, con particolare riferimentoall'osservanza dei principi di necessità, liceità, finalità e proporzionalità(artt. 3 e 11, comma 1, lett. a), b) e d), del d.lgs. n. 196/2003). 2.2.A tale proposito, vale sottolineare che il trattamento dei dati personali(anche biometrici) che la società intende effettuare, in base alladocumentazione prodotta e alle dichiarazioni rese anche ai sensi dell'art. 168del Codice, risulta lecito. Premesso,infatti, che il trattamento dell'immagine della firma apposta sui"tablet" non risulta connotato, ancorché effettuato con strumentielettronici, da specifici ed evidenti rischi per gli interessati (anche inragione delle misure di sicurezza dichiarate dal titolare e dei rigidiprotocolli operativi previsti per legge in capo all'organismo certificatore),occorre poi sottolineare, con specifico riferimento al trattamento dei datibiometrici dei firmatari, che il recente d.P.C.M. 22 febbraio 2013, adottatocon il parere favorevole del Garante (v. Aciò, deve aggiungersi che il trattamento dei predetti dati, effettuatoesclusivamente previa acquisizione del libero consenso informato dei firmatari(artt. 13 e 23 del Codice) e per il perseguimento di legittime finalità resenote agli interessati (artt. 11, comma 1, lett. b), del Codice), può risultareeffettivamente funzionale, anche a garanzia di questi ultimi, in vista dieventuali contenziosi legati al disconoscimento della sottoscrizione apposta suatti e documenti di tipo negoziale, fornendo possibili elementi di valutazioneutili anche in sede giudiziaria. Ciò,correlativamente al fatto che l'utilizzo della soluzione proposta potrebbeefficacemente contribuire, attraverso la garanzia di autenticità, non ripudio eintegrità dei documenti sottoscritti elettronicamente, a conferire maggiorecertezza nei rapporti giuridici intercorrenti con gli utenti (nel caso di specie,peraltro, mediati dai promotori finanziari). Pertanto,nella misura in cui la "firma grafometrica" –anche alla luce diquanto previsto dagli artt. 117 del d.lgs. n. 385/1993 e 23 del d.lgs. n.58/1998–, possa essere effettivamente ricondotta tra le soluzioni che, anorma di legge (cfr. art. 21 del d.lgs. n. 52/2005), soddisfano il requisitodella forma scritta, può ragionevolmente ritenersi che il trattamento di datipersonali (anche biometrici) connesso al servizio in esame –cheasseconda, indubbiamente, legittime esigenze organizzative della società–,ove effettuato con le modalità indicate e nei limiti delle finalità dichiarate,non sia in violazione dei principi di cui all'art. 11, comma 1, lett. a) e b),del Codice; tanto, muovendo dall'ulteriore considerazione che il sistemarisulta anche conforme alle "specifiche tecniche" stabilite dall'ISO –nelcaso di specie relative ai requisiti previsti per la gestione della sicurezzainformatica: ISO/IEC27001:2005– già ritenute rilevanti dal Garante anchesotto il profilo della disciplina di protezione dei dati personali (cfr. Perquanto attiene, poi, all'osservanza dei princìpi di necessità e proporzionalità(artt. 3 e 11, comma 1, lett. d), del Codice), il sistema descritto, nellemodalità di configurazione indicate –tali cioè, secondo la società, danon consentire, in nessun caso, l'acquisizione di informazioni relative allostato di salute degli interessati–, risulta predisposto per raccogliereun numero circoscritto di informazioni (tassativamente indicate ne: l'immaginedella firma; il ritmo; la velocità; la pressione; l'accelerazione; ilmovimento), allo stato non eccedenti o ultronee rispetto alle finalitàdichiarate dalla società. Inoltre, i dati biometrici non saranno accessibili"in chiaro" al titolare se non nei casi previsti e su espressarichiesta dell'autorità giudiziaria. Sottoil profilo della sicurezza dei dati trattati, si può ritenere che l'insiemedegli accorgimenti adottati nell'intero processo di gestione dei datibiometrici degli interessati costituiscano, nel complesso, misure di sicurezzache, sulla base delle attuali conoscenze, possono essere ritenute idonee. Inparticolare, si ritiene adeguato il fatto che la società deputata all'emissionedei certificati di firma e di cifratura sia un ente certificatore accreditatopresso AgID ex art. 29 CAD e che la chiave privata e il relativo codice disblocco associati al certificato di sicurezza Fineco, utilizzato per lacifratura dei dati biometrici, siano sempre tenuti separati, scongiurando cosìla possibilità di procedere alla decifratura del dato biometrico se non neicasi in cui si renda necessaria una perizia disposta dall'Autorità giudiziaria. Fermorestando quanto appena detto, si ritiene comunque opportuno, in assenza diindicazioni in tal senso da parte del titolare, indicare ulteriori misure eaccorgimenti volti a rafforzare la sicurezza del processo a garanzia degli interessati. Ineffetti, la riservatezza dei dati biometrici durante la fase di raccolta sibasa, oltre che sulla robustezza della procedura, anche sulla sicurezza deidispositivi, aspetto sul quale la banca dovrà porre la massima attenzionegarantendone l'uso esclusivo ai soli utenti (promotori finanziari) abilitati alrelativo utilizzo. Atale proposito, dovranno essere adottate, ove non ancora previste, idoneemisure volte a ridurre i rischi di installazione abusiva di software o dimodificazione della configurazione dei dispositivi in dotazione ai promotori,adottando altresì ogni accorgimento utile a contrastare l'azione di eventualiagenti malevoli (malware). Qualora non si sia già provveduto, andrà inoltreadottato un sistema di gestione dei dispositivi impiegati nei trattamentigrafometrici basato su certificazioni digitali e policy di sicurezza chedisciplinino, sulla base di criteri predeterminati, le condizioni di loroutilizzo sicuro; in particolare, dovranno risultare disponibili funzionalità diremote wiping applicabili nei casi di smarrimento o sottrazione deidispositivi. La banca dovrà altresì prevedere adeguate policy per la gestionedegli incidenti di sicurezza nell'ambito delle diverse fasi del processobiometrico/grafometrico. Ancora,risulta adeguata, per altro verso, la prospettata designazione dei promotorifinanziari quali incaricati del trattamento, nella misura in cui la banca –previarinnovata valutazione– non ritenga invece sussistenti, con riferimento alruolo concretamente svolto da costoro, i presupposti di cui agli artt. 4, comma1, lett. f) e g), 28 e 29 del Codice. Lasocietà, infine, potrà conservare i dati personali (anche biometrici) trattidalla firma apposta sui tablet non oltre il termine previsto per laconservazione dell'atto o del documento cui la firma si riferisce (art. 11,comma 1, lett. e), del Codice), fatta salva l'eventuale esigenza di una loroulteriore conservazione in ragione di specifiche disposizioni di legge o per latutela di un diritto in sede giudiziaria. Restainteso che, in base alla regola n. 25 del disciplinare tecnico in materia dimisure minime di sicurezza, la società dovrà farsi rilasciare dall'installatoreil previsto attestato di conformità, da conservarsi a cura del titolaremedesimo. Parimenti,resta inteso che la liceità del trattamento resta subordinata all'effettivaosservanza di tutti gli obblighi che la società, nel corso del procedimento, siè impegnata a rispettare (punto 1.3) e di quelli ulteriori eventualmentegravanti sulla base della disciplina vigente (in tal senso, peraltro, apparedirimente la circostanza che il servizio di firma "grafometrica" chela banca intende utilizzare nei rapporti –mediati– con i propriclienti risulti effettivamente riconducibile, come dalla stessa dichiarato,nell'ambito della c.d. "firma elettronica avanzata", prevista edisciplinata dai già citati d.lgs. 7 marzo 2005, n. 82 e d.P.C.M. 22 febbraio2013). TUTTO CIO' PREMESSO IL GARANTE aisensi degli artt. 17 e 154 del Codice e a conclusione del relativo iterprocedimentale, accoglie l'istanza di verifica preliminare presentata da FinecoBank S.p.A. e, per l'effetto, ammette il trattamento dei dati personali (anchebiometrici) connesso all'utilizzo del sistema descritto, a condizione che: –esso venga effettuato con le modalità indicate in narrativa e per le solefinalità dichiarate; – la società, qualora non vi abbia già provveduto, adotti gli ulteriori presiditecnici e organizzativi di sicurezza a protezione dei dati biometrici degliinteressati descritti al precedente punto 2.2 e, segnatamente: –la società si faccia rilasciare e conservi l'attestato di conformità di cuialla regola 25 dell'Allegato "B" al Codice; –la società osservi effettivamente tutti gli obblighi che, nel corso delprocedimento, si è impegnata a rispettare (punto 1.3) e quelli ulteriorieventualmente gravanti sulla base della disciplina vigente. Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero. Roma, 12 settembre 2013
|