Garante per la protezione
    dei dati personali


Sistema per l'accesso della clientelain modalità self service, 24 ore su 24, alle cassette di sicurezza, contrattamento di dati biometrici - Verifica preliminare richiesta da  CreditoLombardo Veneto S.p.A.

PROVVEDIMENTO DEL 19 SETTEMBRE 2013

Registro dei provvedimenti 
n. 406 del 19 settembre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro Presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196);

Esaminatala richiesta di verifica preliminare presentata dal Credito Lombardo VenetoS.p.A. ai sensi dell'art. 17 del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196), per l'attivazione di un sistema perl'accesso della clientela alle proprie cassette di sicurezza con trattamento didati biometrici;

Vistigli atti d'ufficio;

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela prof.ssa Licia Califano;

PREMESSO

1. L'istanza della Banca e le modalità difunzionamento del sistema.

1.1.In data 3 luglio 2013 il Credito Lombardo Veneto S.p.A.  ha presentato unarichiesta di verifica preliminare ai sensi dell'art. 17 del Codice, in vistadell'attivazione, presso la propria filiale di Brescia, Via Orzinuovi n. 75,"di un sistema per l'accesso della clientela in modalità self service, 24ore su 24, alle proprie cassette di sicurezza, con trattamento di datibiometrici" (v. cit. comunicazione del 3 luglio u.s., p. 1).

Lafinalità che la Banca si pone con l'installazione di tale sistema è non soloquella di garantire la sicurezza dei beni depositati nelle cassette disicurezza e dei clienti che vi accedono, ma anche di permettere alla clienteladi usufruire di tale servizio -secondo modalità self-service- anche al di fuoridegli orari di sportello.

Le"modalità organizzative" stabilite dalla Banca in vistadell'attivazione del sistema prevedono che, al momento della sottoscrizione delcontratto, al cliente vengano proposte due distinte modalità di accesso allecassette di sicurezza: con parametro biometrico o con modalità tradizionali(cioè attraverso smart-card e PIN).

Aiclienti che intendessero utilizzare il parametro biometrico, prima di procederealla raccolta dell'impronta digitale, verrebbe fornita una specificainformativa, con successiva acquisizione del relativo consenso al trattamentodei dati. Quindi il cliente verrebbe invitato ad inserire nel sistema un proprioPINCODE e ad appoggiare un dito della mano su un lettore, che genererebbe"un algoritmo matematico univoco ed irripetibile", il quale sarebbepoi "memorizzato sulla smart-card" (v. comunicazione del 3 lugliou.s., p. 3). Successivamente, la Banca consegnerebbe al cliente la propriasmart-card e il PINCODE definito dal medesimo, che sarebbe modificato "findal primo accesso".

LaBanca, che ha escluso qualsiasi memorizzazione dei dati biometrici pressopropri archivi, ha dichiarato che l'algoritmo in questione sarebbe conservatoesclusivamente sulla predetta smart-card posta nell'esclusiva disponibilità delcliente, la quale, una volta cessata la fruizione del servizio, verrebbedistrutta alla presenza dello stesso interessato.

Almomento dell'accesso alle cassette di sicurezza, il cliente inserirebbe lasmart-card prima nel lettore, per consentire l'apertura della porta, e poi inquello destinato al riconoscimento dell'utente, in vista della digitazione delcodice numerico di accesso e del successivo rilevamento della propria improntabiometrica; il sistema verificherebbe la corrispondenza tra l'algoritmomatematico generato dall'impronta digitale e quello memorizzato sullasmart-card.

Durantela fase di riconoscimento, una "webcam" integrata al sistema (daintendersi come telecamera digitale collegata alla sola rete interna dellaBanca) scatterebbe dieci fotogrammi del cliente intento ad accedere allecassette di sicurezza; le immagini, conservate per un periodo di sette giorni epoi automaticamente cancellate, sono accessibili solo dal personale della Bancaautorizzato all'utilizzo del programma di gestione e sarebbero visualizzabiliaccedendo ad uno specifico logfile, parte integrante del programma Safecontroldi gestione del sistema (di fatto comparirebbe un simbolo videografico,cliccando sul quale apparirebbero i fotogrammi della persona ripresa dallawebcam).

Infine,la Banca ha riferito che l'accesso al Sistema Safestore Auto (che, comunque,non conterrebbe i dati biometrici dei clienti) sarebbe consentito solo alpersonale incaricato munito di apposita password (costituita da un codicenumerico di riconoscimento a 8 cifre), la quale avrebbe un periodo di validitànon superiore a 150 giorni, allo scadere dei quali dovrebbe essere aggiornata;inoltre, ai dipendenti incaricati di accedere alla zona delle cassette disicurezza verrebbe rilasciata un'apposita tessera denominata Mastercard (v.nota  Gunnebo, all. alla richiesta della Banca).

2. I presupposti di liceità del trattamento.

Laraccolta e la registrazione di impronte digitali, ricavati e successivamenteutilizzati per verifiche e raffronti nelle procedure di autenticazione o diidentificazione, sono operazioni di trattamento di dati personali riconducibiliai singoli interessati (art. 4, comma 1, lett. b) del Codice), rispetto allequali trova applicazione la normativa contenuta nel Codice (in merito v. anchei documenti di lavoro sulla biometria del "Gruppo art. 29" delladirettiva 95/46/Ce: Wp 80 del 1 agosto 2003 e WP 193 del 27 aprile 2012 ).

Pertanto,la liceità del sistema in questione deve essere valutata alla luce dei principidi necessità, proporzionalità, finalità e correttezza del trattamento (artt. 3e 11 del Codice), considerando, in particolare, il contesto in cui tali datisono trattati.
Nel caso di specie, si rileva che la finalità perseguitadalla Banca (che assume la veste di titolare del trattamento) è quella diconiugare l'esigenza di tutela delle persone e dei beni custoditi nellecassette di sicurezza con l'utilità di garantire alla clientela un serviziocontinuato di custodia, attraverso l'implementazione di un sistema che,"per le modalità con le quali è configurato", possa "scongiurarel'accesso fraudolento alle cassette di sicurezza" (in tal senso, v. ancheProvv.ti 15 aprile 2010; 13 settembre 2012; 18 ottobre 2012; 14 febbraio 2012. Tale finalità risulta lecita.

Inoltre,il trattamento posto in essere dalla Banca può anche considerarsiproporzionato, in quanto, nel caso specifico, non è prevista una conservazionedei dati biometrici raccolti in archivi centralizzati, ma il dato criptatodell'impronta digitale verrà memorizzato esclusivamente sulla smart card, cheresterà nell'esclusiva disponibilità del cliente che avrà aderito al servizio.Tale modalità di memorizzazione risulta idonea a garantire un adeguato livellodi accuratezza in ordine all'accertamento dell'identità del detentore dellasmart card e, nello stesso tempo, ad evitare il rischio di eventuali utilizziimpropri o possibili abusi che, invece, potrebbero derivare dalla raccolta ditali informazioni, particolarmente delicate, in un sistema centralizzato.

Infine,il trattamento risulta conforme anche al principio di necessità (art. 3 delCodice), secondo il quale i sistemi informativi devono essere configurati inmodo da ridurre al minimo l'utilizzazione di dati personali, escludendone iltrattamento quando le finalità perseguite nei singoli casi possono essererealizzate con altre modalità (in particolare, mediante dati anonimi odopportune modalità che permettano di identificare l'interessato solo in caso dinecessità).

3. Ulteriori adempimenti.

Inrelazione all'informativa, si prende atto che i soggetti interessatiall'utilizzo del sistema riceveranno un'informativa scritta, distinta da quellagenerale, rispetto al trattamento di dati personali e biometrici. Ciò premesso,si richiama comunque l'attenzione della Banca sul fatto che la medesimainformativa dovrà indicare chiaramente anche la possibilità per gli interessati–che non vogliano o non possano, anche in ragione di propriecaratteristiche fisiche, servirsi del sistema di riconoscimento biometrico oche successivamente decidano di non avvalersene più– di utilizzaremodalità alternative (già individuate dalla Banca) per avvalersi comunque delservizio relativo alle cassette di sicurezza.

LaBanca, fermo restando quanto previsto in materia di videosorveglianza nelProvv. 8 aprile 2010, dovrà fornire l'informativa agli interessati in ordine al trattamento dei dati personali effettuato attraverso la"webcam".

Siprende altresì atto che dagli interessati verrà acquisito il consenso previstodall'art. 23 del Codice (v. cit. comunicazione Banca, p. 3).

Riguardoalle misure di sicurezza, in primo luogo risulta corretta la scelta dimemorizzare il dato biometrico –in forma di template- esclusivamente suuna smart-card prodotta in un unico esemplare, posta nella esclusivadisponibilità del cliente e priva di suoi riferimenti nominativi.

Inoltre,risultano adeguati gli accorgimenti che, al fine di prevenire accessi indebiti,saranno tenuti ad osservare sia i dipendenti che gestiranno il Sistema"Safestore Auto Maxi" (nome utente e password), sia quelli chedovranno accedere, nello svolgimento della propria attività lavorativa,all'area delle cassette di sicurezza (tessera Mastercard).

Inattuazione dell'obbligo di adottare ogni necessaria misura di sicurezza, ancheminima (art. 31 ss. e all. B) al Codice), la Banca dovrà comunque ancheconservare una descrizione scritta dell'intervento effettuatodall'installatore, che attesti anche la conformità del Sistema alledisposizioni del disciplinare tecnico (regola n. 25 dell'all. B) al Codice).

Infine,la Banca dovrà procedere alla designazione per iscritto degli incaricati deltrattamento, impartendo loro idonee istruzioni alle quali attenersi (artt. 4,comma 1, lett. h) e 30 del Codice).

Daultimo si prende atto che la Banca, ai sensi dell'art. 37, comma 1, lett. a)del Codice), effettuerà la notifica obbligatoria al Garante, prima che abbianoinizio le operazioni di trattamento dei dati biometrici.

TUTTO CIO' PREMESSO IL GARANTE

aconclusione della verifica preliminare relativa al sistema "SafestoreAuto" che il Credito Lombardo Veneto S.p.A.  intende installare perconsentire, senza l'intervento del personale, l'accesso continuato dei propriclienti al servizio relativo alle cassette di sicurezza, prende atto deltrattamento oggetto delle dichiarazioni rese e della documentazione prodotta,fermo restando, quali prescrizioni ai sensi degli artt. 17 e 154, comma 1,lett. c) del Codice, che la Banca dovrà:

1.indicare chiaramente nell'informativa la possibilità per gli interessati diavvalersi del servizio relativo alle cassette di sicurezza con modalitàalternative rispetto alla rilevazione dei loro dati biometrici;

2.fermo restando quanto previsto in materia di videosorveglianza nel Provv. 8aprile 2010, doc. web n. 1712680, fornire l'informativa agli interessati inordine al trattamento dei dati personali effettuato attraverso la"webcam";

3.conservare una descrizione scritta dell'intervento effettuatodall'installatore, che attesti anche la conformità del Sistema alledisposizioni del disciplinare tecnico (regola n. 25 dell'all. B al Codice);

4.designare per iscritto gli incaricati del trattamento, impartendo loro idoneeistruzioni alle quali attenersi (artt. 4, comma 1, lett. h) e 30 del Codice);

5.notificare al Garante il trattamento dei dati biometrici prima che abbianoinizio le operazioni di trattamento (art. 37, comma 1, lett. a) del Codice).

Roma,19 settembre 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia