| Garante per la protezione dei dati personali Servizio di firma digitale remota conautenticazione biometrica. Verifica preliminare richiesta da Telecom ItaliaTrust Technologies s.r.l. e Banca Generali S.p.A. PROVVEDIMENTO DEL 23 GENNAIO 2014 Registro dei provvedimenti n. 25 del 23 gennaio 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale; VISTOil d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia diprotezione dei dati personali" (di seguito "Codice"); VISTOil d.lgs. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione digitale"; VISTOil d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in materia digenerazione, apposizione e verifica delle firme elettroniche avanzate,qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28,comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71"; VISTAla richiesta di verifica preliminare presentata da IT Telecom s.r.l. (oggiTelecom Italia Trust Technologies s.r.l.) e da Banca Generali S.p.A. ai sensidell'art. 17 del Codice, nonché le successive comunicazioni inviate dalle duesocietà; ESAMINATAla documentazione in atti; VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSO 1.1.Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A., con notacongiunta presentata in data 8 febbraio 2013 –successivamenteregolarizzata con distinte comunicazioni del 19 aprile e del 21 giugno 2013–hanno presentato a questa Autorità una richiesta di verifica preliminare exart. 17 del Codice in merito al trattamento di dati personali connessoall'utilizzo di un sistema di rilevazione delle caratteristiche"dinamiche" della firma apposta dagli utenti in occasione dellasottoscrizione di documenti e modulistica bancaria con firma digitale. Sitratterebbe, in sostanza, di un servizio in grado di riconoscere lecaratteristiche "comportamentali" dell'interessato attraversol'analisi di alcuni parametri (velocità del gesto; pressione; accelerazione;inclinazione; ecc.) desumibili dalla firma autografa apposta da quest'ultimo suappositi dispositivi ("tablet") resi disponibili ai promotorifinanziari della banca in vista della relativa autenticazione e del contestualeavvio delle procedure per la sottoscrizione dei documenti con firma digitale.Tale servizio, reso a vantaggio della banca e dei relativi clienti da TelecomItalia S.p.A. (per il tramite di Telecom Italia Trust Technologies s.r.l., nellasua qualità di ente certificatore accreditato presso l'Agenzia per l'ItaliaDigitale), consterebbe, in base alla documentazione trasmessa, di due distintefasi. 1.2.1.In una prima fase ("provisioning"), l'utente che intendesse avvalersidel servizio, previa identificazione da parte del promotore e"registrazione" dei suoi dati anagrafici nei sistemi informatividella banca, apporrebbe "sul tablet la propria firma autografa almeno trevolte", sì da generare il relativo "specimen" da utilizzarequale termine di "raffronto" nelle successive sessioni diautenticazione; tale specimen, costituito dalle rappresentazioni digitalisintetiche (template) generate in occasione della raccolta delle firmeautografe (e contenenti le caratteristiche "biometriche" delle stesse),sarebbe memorizzato in un apposita base di dati –distinta da altriclienti– adeguatamente custodita presso Telecom Italia Trust Technologiess.r.l. Nell'ambito di tale fase, lo specimen, unitamente ai dati identificatividell'interessato, verrebbe trasmesso dalla banca, in modalità cifrata eattraverso canali dichiaratamente sicuri, alla certification authority per laverifica e convalida della richiesta e per l'emissione del certificato digitaleassociato al richiedente, che provvederebbe a sua volta a concludere laprocedura sottoscrivendo l'apposito modulo contenente anche le condizionigenerali di utilizzo del servizio. L'interaoperazione, sottoscritta digitalmente dal promotore finanziario (a confermadegli adempimenti richiestigli), sarebbe preceduta dal rilascio della previstainformativa al firmatario e dall'acquisizione del consenso al trattamento deisuoi dati personali. 1.2.2.Nella successiva fase di autenticazione, l'utente verrebbe invitato, di voltain volta, ad apporre la propria firma autografa sul tablet in vistadell'attivazione della procedura di sottoscrizione della documentazione confirma digitale; le informazioni acquisite, immediatamente convertite intemplate, verrebbero trasmesse in modalità cifrata, unitamenteall'"impronta" del documento da firmare digitalmente eall'identificativo numerico del firmatario, ad un apposito server ubicatopresso l'organismo certificatore. Tale server, al fine di autenticare l'utente,verificherebbe la rispondenza del template acquisito con quello memorizzato neldatabase all'atto della "registrazione", accertando che il numeroseriale del tablet sia effettivamente tra quelli censiti. Inoltre, al fine discongiurare utilizzi fraudolenti del servizio, verrebbe memorizzato (in manieranon collegata al firmatario) anche l'"hash" del template, ondeverificarne l'eventuale correlazione con uno degli "hash" deitemplate già acquisiti in occasione di precedenti operazioni di firma poste inessere dal medesimo firmatario (in tal senso, una loro eventuale analogiapotrebbe risultare sintomatica di presunte anomalie). L'operazione diautenticazione si concluderebbe positivamente solo se tutte e tre le verifiche(le prime due con esito affermativo, la terza con esito negativo) sarannoandate a buon fine. Secondoquanto riferito, nessun dato biometrico verrebbe salvato all'esito delconfronto, risultando conservato dall'ente certificatore, per ciascunaoperazione compiuta, solamente l'hash di riferimento in vista delle successiveattività di verifica (cfr. e-mail dell'11 luglio 2013). Inoltre, l'operazionedi autenticazione non risulterebbe inficiata dalla modificabilità nel tempodello stile di firma degli utenti, considerata la potenziale idoneità delsistema ad auto-aggiornare lo specimen sulla base di regole fondate "suelementi temporali, numerici e statistici" e la possibilità –comunquericonosciuta ai firmatari– di sostituirlo con nuovi specimen. Infine, idati biometrici acquisiti dal sistema (il cui grado di affidabilità sarebbestato testato da laboratori considerati indipendenti) verrebbero trattatisecondo gli specifici standard attualmente vigenti (ISO/IEC 19794-7). Ilsupporto nella gestione tecnica dei dispositivi e la relativa configurazionesarebbero affidati, nell'interesse della banca, a una società terza (Xenesyss.r.l.). 1.3.In base alle dichiarazioni rese, l'intero processo di autenticazione, ancorchéprodromico a quello concernente l'apposizione della firma digitale, dovrebberitenersi distinto da quest'ultimo, preordinato alla sottoscrizione elettronicadei documenti attraverso la chiave privata del firmatario associata alcertificato digitale custodito presso l'Hardware Security Module gestitodall'ente certificatore. Le componenti architetturali coinvolte nel servizio,infatti, sarebbero "state predisposte in modo tale che i dati biometricisiano trattati esclusivamente dai sistemi utilizzati per l'autenticazione forte[Š] e non dai sistemi coinvolti nei processi di rilascio dei certificatiqualificati [Š], ovvero delle procedure richieste per l'apposizione della firmadigitale". Ne deriva che i dati biometrici degli utenti verrebberotrattati, a fini di autenticazione, esclusivamente attraverso il server a ciòdedicato (autonomo e separato da quelli impiegati per il rilascio deicertificati digitali e per l'apposizione della firma digitale), al pari deidati identificativi degli interessati, anch'essi archiviati presso un serverdistinto da quello previsto per la memorizzazione (in modalità cifrata) deglispecimen per evitare la loro diretta e immediata associabilità. Gli stessiserver, inoltre, verrebbero ubicati in locali protetti e accessibili ai solisoggetti a ciò legittimati in ragione delle mansioni svolte, mentre leoperazioni sui dati e sui sistemi verrebbero adeguatamente tracciate attraversoun apposito sistema di "access & audit logging". Infine, idispositivi in dotazione ai promotori –già dotati di antivirusperiodicamente aggiornati e configurati in conformità alle policy (nonmodificabili, né rimovibili dall'utente) definite secondo il contesto disicurezza individuato dalla banca– permetterebbero, attraverso lecomponenti applicative ivi installate e la connessa piattaforma di riferimento(Mobile Device Management), di gestire tempestivamente ipotetici tentativi dimanomissione, consentendo l'attivazione delle previste procedure di blocco e dicancellazione selettiva o totale dei contenuti (c.d. wiping); tanto, fermorestando che le informazioni presenti sui "tablet" (che, comunque,non riguardano dati biometrici, nemmeno memorizzati dai dispositivi) nonsarebbero accessibili, in ogni caso, mediante collegamenti USB o altreinterfacce alternative. Talicomplessive misure, unitamente alla stringente vigilanza cui risulta soggettoil certificatore accreditato anche in merito ai profili relativi alla gestionedella sicurezza dei dati e dei sistemi, consentirebbero di ritenere che leinformazioni utilizzate nell'ambito della procedura di autenticazionebiometrica non sarebbero "direttamente utilizzabili [Š] in altri contesticon effetti sugli interessati". 1.4.Il trattamento dei dati in esame, secondo quanto riferito, verrebbe svoltodalle società istanti in qualità di autonome titolari. Difatti, muovendo dallaconsiderazione che l'ente certificatore effettuerebbe "il trattamento deidati biometrici per la finalità di autenticazione dei firmatari con riferimentoalla gestione del proprio servizio di firma digitale" e che la bancatratterebbe tali dati "limitatamente a quanto necessario per acquisire etrasferire gli stessi a [Telecom Italia Trust Technologies s.r.l.]"(secondo modalità autonomamente definite, purché "in coerenza con irequisiti tecnico-operativi stabiliti dal certificatore accreditato"), lesocietà ritengono che "le finalità e gli ambiti di attività [sarebbero]distinti sotto il profilo operativo ed organizzativo, [pur] nell'ambito dellafornitura al cliente di un servizio omogeneo, preordinato all'accesso aiservizi bancari e di investimento offerti da Banca Generali per il tramite delservizio di firma digitale di" Telecom Italia Trust Technologies s.r.l.Correlativamente, in ragione di tale ritenuta autonoma titolarità, sia la bancache l'ente certificatore risultano aver predisposto due distinti testi diinformativa da sottoporre agli interessati antecedentemente all'attivazione delservizio (e all'avvio del connesso trattamento), approntando anche due diversimoduli per l'acquisizione del relativo consenso. Per contro, nessun trattamentodi dati biometrici sarebbe effettuato da Telecom Italia S.p.A., operando quest'ultimaquale semplice distributore dei servizi concretamente erogati da Telecom ItaliaTrust Technologies s.r.l. Perquanto attiene agli altri adempimenti che la normativa vigente pone in capo aititolari dei trattamenti, ferma restando la necessaria modifica alle notifichegià effettuate, risulta agli atti che la banca avrebbe intenzione di designarei promotori finanziari detentori dei "tablet" quali incaricati aisensi dell'art. 30 del Codice, provvedendo altresì all'integrazione dellanomina a responsabile esterno del trattamento nei confronti della societàconsortile deputata alla fornitura e gestione dei servizi informativinell'interesse della banca medesima. Parimenti, l'ente certificatoreprovvederebbe a designare i soggetti preposti esclusivamente ai servizi dicertificazione (peraltro esigui nel numero) quali incaricati del trattamento. Nessunaindicazione, per contro, è stata fornita con riferimento al ruolo (sotto ilprofilo privacy) di Xenesys s.r.l., chiamata a gestire tecnicamente idispositivi, nell'interesse della banca, sulla base di un accordo intercorsocon quest'ultima. 1.5.Il sistema, nel suo complesso, verrebbe utilizzato dall'istituto di credito perconferire maggiore certezza e sicurezza alle operazioni effettuate dagli utenti(nel caso di specie, peraltro, mediate dai promotori finanziari), garantendo,attraverso l'utilizzo del dato biometrico a fini di autenticazione, l'effettivariconducibilità della sottoscrizione e del documento al firmatario(rigorosamente identificato) e assicurando, in pari tempo, una sensibileriduzione del rischio legato al fenomeno dei furti di identità. Lo stessosistema, inoltre, verrebbe impiegato nella prospettiva di apportaresignificativi miglioramenti ai processi organizzativi e gestionali della banca,in termini soprattutto di "efficienza" (semplificazione e snellimentodelle operazioni effettuate per il tramite dei promotori finanziari; incrementodella qualità dei servizi resi) ed "economicità delle risorse"(dematerializzazione della modulistica; riduzione dei costi di conservazionedei documenti; rispetto per l'ambiente). Percontro, i dati personali (anche biometrici) degli utenti verrebbero trattati dall'entecertificatore, nel rispetto degli standard operativi ed organizzativi impostidalla normativa di settore, esclusivamente ai fini dell'attivazione ederogazione del servizio, nei limiti e con le modalità convenute con la banca estabilite nelle apposite condizioni contrattuali. 2.1.La verifica preliminare presentata all'Autorità ha ad oggetto il trattamento didati biometrici a fini di autenticazione connesso all'utilizzo di un sistemaidoneo ad analizzare e confrontare alcuni parametri ricavati dall'apposizionesu un dispositivo a ciò preposto, da parte degli interessati, della loro firmaautografa in occasione delle procedure di sottoscrizione di documenti con firmadigitale. Il presente provvedimento, che tiene conto del tenore dell'istanzaformulata e delle dichiarazioni rese dalle parti (anche ai sensi dell'art. 168del Codice), si sofferma sui soli profili relativi al trattamento dei datipersonali biometrici effettuato nella fase di autenticazione. Comegià evidenziato da questa Autorità (cfr. Provv. 31 gennaio 2013, docc. web nn.2304808 e 2311886), occorre anzitutto muovere dalle considerazioni già espressedal Gruppo per la tutela dei dati personali ex art. 29 della direttiva95/46/Ce, secondo cui l'utilizzo di sistemi basati sull'impiego di dispositiviin grado di rilevare le caratteristiche "dinamiche" della firmadetermina, effettivamente, un trattamento di dati biometrici di naturacomportamentale, come tale riconducibile nell'ambito di applicazione della disciplinadi tutela dei dati personali (cfr. documento di lavoro sulla biometria del 1°agosto 2003, WP 80; cfr. altresì Parere 3/2012 sugli sviluppi nelle tecnologiebiometriche del 27 aprile 2012, WP 193). Ciò premesso, occorre valutare, nellaprospettiva evidenziata, se il sistema sottoposto al vaglio dell'Autorità possareputarsi conforme, limitatamente ai profili concernenti il trattamento di datibiometrici degli utenti nella fase di autenticazione, alla disciplina delCodice, con particolare riferimento sia alla corretta identificazione del ruolorivestito dalle società coinvolte nell'ambito della procedura diautenticazione, sia all'osservanza dei principi di necessità, liceità, finalitàe proporzionalità (artt. 3 e 11, comma 1, lett. a), b) e d), del d.lgs. n.196/2003); ciò, anche nel caso in cui il dato biometrico venga raccolto dallabanca, come nel caso in esame, ai soli fini del completamento della fase dienrollment e venga successivamente utilizzato (sotto forma di codice numerico),da parte del certificatore accreditato, per le operazioni di raffrontonell'ambito delle procedure di autenticazione (in argomento, v. anche Provv. 2.2.Rispetto al primo profilo, gli elementi acquisiti inducono a ritenere che,diversamente da quanto sostenuto dalle società istanti, debba essereprivilegiata, anche alla luce del peculiare assetto contrattuale presceltodalle parti, l'ipotesi di una contitolarità del medesimo (e unico) trattamentodi dati biometrici (art. 4, comma 1, lett. f), del Codice). Muovendodalle valutazioni espresse dal menzionato Gruppo per la tutela dei datipersonali –secondo cui "si è in presenza di una situazione di corresponsabilitàquando varie parti determinano, per specifici trattamenti, o la finalità oquegli aspetti fondamentali degli strumenti [Š]. Nel contesto dellacorresponsabilità, comunque, la partecipazione delle parti alla determinazionecongiunta può assumere varie forme e non deve essere necessariamente ripartitain modo uguale", potendo i vari titolari "occuparsi –e quindirispondere– del trattamento di dati personali in fasi diverse e a gradidiversi" (così Parere 1/2010 sui concetti di titolare e incaricato deltrattamento, WP 169, adottato il 16 febbraio 2010, p. 19; per alcune pronuncein tal senso, v. Provv. Garante € determina le finalità del trattamento, richiedendo nel propriointeresse (cfr. la "lettera di intenti" del 16 gennaio 2013, nonchéle "condizioni di utilizzo del servizio di firma digitale biometrica"emesse in data 24 maggio 2013; v. anche l'informativa presente sul modulo perla richiesta di attivazione del servizio) l'erogazione del complessivo servizio(comprensivo del trattamento dei dati biometrici a fini di autenticazione)concretamente fornito da Telecom Italia Trust Technologies s.r.l. a vantaggiodei firmatari che intendano avvalersene; € delimita i "confini" di utilizzabilità del serviziomedesimo, circoscrivendoli alla sola modulistica bancaria o di interessebancario; € determina, in coerenza con i requisiti tecnico-operativistabiliti dall'ente certificatore, le modalità di esecuzione del trattamento ele misure di sicurezza, limitatamente alle operazioni di raccolta dei datibiometrici degli interessati; € concorda con l'ente certificatore, nel rispetto delle previsionidi legge, le procedure operative per l'identificazione e registrazione deifirmatari; € vanta poteri di controllo e verifica in merito alle"prestazioni" concretamente erogate dalla certification authority; € determina (in armonia con le esigenze della banca) le finalitàdel trattamento, rapportandole alla gestione del complessivo servizio di firmadigitale fornito all'istituto; € determina le modalità di esecuzione del trattamento, definendogli standard tecnici e organizzativi della procedura di autenticazione anche inadempimento alle specifiche disposizioni di settore; € concorda con la banca le procedure operative per l'identificazionee registrazione dei firmatari; € apporta, sulle modalità di erogazione del servizio, le eventualimodifiche richieste dall'evoluzione tecnologica e normativa (cfr. le citatecondizioni di utilizzo del servizio, p. 3); € adotta, nell'ambito del complessivo servizio di sottoscrizionecon firma digitale (cui il trattamento di dati biometrici è preordinato), lemisure necessarie all'organizzazione del medesimo, ivi comprese le misure disicurezza di cui alla disciplina del Codice (cfr. il Manuale operativo diTelecom Italia Trust Technologies s.r.l.). Allaluce di tali complessivi elementi, appare arduo, nel caso di specie, ipotizzaredue distinti trattamenti di dati biometrici in capo alla banca e a TelecomItalia Trust Technologies s.r.l. (i quali, peraltro, autonomamente considerati,risulterebbero fini a sé stessi), dovendo piuttosto ritenersi, anche in vistadi un più agevole esercizio dei diritti di cui all'art. 7 del Codice da partedegli interessati, che le società coinvolte, ancorché operanti "insequenza", pongano in essere –nell'ambito di un servizio definito"omogeneo" dalle stesse parti istanti (v. nota del 21 giugno 2013, p.3)– operazioni differenti di un unico trattamento preordinatoall'autenticazione degli interessati, avvalendosi a tal fine di strumentistabiliti congiuntamente (e operanti in forma "integrata") erispondendo del medesimo trattamento solo per la parte di propria competenza (intal senso, v. anche il menzionato parere del Gruppo art. 29, p. 21). Taleimpostazione trova riscontro anche nelle richiamate "condizioni diutilizzo del servizio di firma digitale biometrica", secondo cui "iltrattamento [Š] è diretto esclusivamente all'espletamento da parte della bancae di [Telecom Italia Trust Technologies s.r.l.], in qualità di co-titolari deltrattamento e nell'ambito delle rispettive competenze ed attività, [Š]". 2.3.Per quanto attiene all'osservanza dei princìpi stabiliti dal Codice, valeevidenziare che il trattamento dei dati biometrici che le società istantiintendono effettuare, in base alla documentazione prodotta e alle dichiarazionirese, risulta lecito. Alriguardo, occorre anzitutto sottolineare che l'utilizzabilità dei datibiometrici nell'ambito delle procedure di firma di documenti informatici èespressamente prevista dal d.P.C.M. 22 febbraio 2013, recante le "Regoletecniche in materia di generazione, apposizione e verifica delle firmeelettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20,comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36,comma 2, e 71". Sideve poi prendere atto, in termini più generali, della crescente considerazioneche, anche a livello europeo, sta acquisendo l'utilizzo di dati biometrici afini di autenticazione, soprattutto in ragione delle ritenute garanzie diaffidabilità che tali dati offrirebbero –a fortiori nel peculiarecontesto bancario, notoriamente esposto al rischio di frodi (v. infra)–sul piano della rigorosa identificabilità degli utenti e, correlativamente,dell'effettiva riconducibilità a questi ultimi delle operazioni effettuate(cfr. Recommendation for the security payments, Banca Centrale Europea, aprile2012; sul piano nazionale, v. "Attuazione del Titolo II del decretolegislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento (Dirittied obblighi delle parti) – Allegato Tecnico «Tipologie di strumenti di piùelevata qualità sotto il profilo della sicurezza»", Banca d'Italia, 5luglio 2011; "Documento per la consultazione – Disposizioni diVigilanza prudenziale per le banche – Sistema dei controlli interni,sistema informativo e continuità operativa", Banca d'Italia, 4 settembre2012). Correlativamente, non va sottaciuto il beneficio che anche gli enticertificatori –già tenuti, in ragione delle proprie numeroseresponsabilità, ad adottare tutte le misure organizzative e tecniche idonee adevitare danno a terzi (cfr. art. 32 del d.lgs. n. 82/2005, cit.)–potrebbero trarre (in termini, soprattutto, di maggiore affidabilità delleoperazioni di autenticazione effettuate dai firmatari) dall'utilizzo di talidati nell'ambito dell'apposito servizio qui considerato. Occorrepoi sottolineare che il trattamento in esame potrebbe, da un lato,effettivamente contribuire, nel delicato contesto bancario, a contrastare inmaniera efficace il fenomeno criminoso dei furti di identità –conferendo,quindi, maggiore certezza e sicurezza nei rapporti giuridici intercorrenti congli utenti (peraltro mediati, nel caso di specie, da soggetti terzi)– e,dall'altro, a snellire e velocizzare, anche a vantaggio della stessa clientela,le operazioni effettuate per il tramite dei promotori finanziari. Considerato,infine, che i dati biometrici sarebbero raccolti con il consenso degliinteressati e per legittime finalità rese note a questi ultimi, si puòragionevolmente ritenere –nella misura in cui il sistema risultieffettivamente conforme al quadro normativo vigente (d.lgs. n. 82/2005, cit.;d.P.C.M. 22 febbraio 2013, cit.), anche sul piano delle relative certificazionidi sicurezza– che il trattamento in questione soddisfi i requisiti di cuiall'art. 11, comma 1, lett. a) e b), del Codice. Perquanto attiene, poi, all'osservanza dei princìpi di necessità e proporzionalità(artt. 3 e 11, comma 1, lett. d), del Codice), risulta che il sistemadescritto, nelle modalità di configurazione indicate, consente di trattare idati biometrici degli interessati in forma "disgiunta" dai relatividati anagrafici (memorizzati in un apposito database, peraltro distinto daquello contenente gli specimen), sì da permettere la loro identificazione soloindirettamente. Inoltre, le informazioni biometriche acquisite dal sistemarisultano essere solo quelle necessarie alla creazione del template e allesuccessive operazioni di raffronto in sede di autenticazione degli interessati. Anchele misure di sicurezza indicate –fatto salvo quanto precisato alsuccessivo punto 3– appaiono tali, allo stato della tecnica, da farritenere come remoto il rischio di trattamento indebito dei dati biometricidegli interessati (art. 31 e ss.). Siprende atto, infine, che il sistema sarebbe in grado, attraverso un meccanismodi auto-apprendimento, di garantire nel tempo la "qualità" dei datibiometrici trattati (art. 11, comma 1, lett. c), del Codice). Lesocietà istanti hanno dichiarato che, antecedentemente all'inizio deltrattamento, provvederanno a fornire agli interessati la prevista informativacomprensiva di tutti gli elementi di cui all'art. 13 del Codice; taleinformativa dovrà essere opportunamente modificata nella parte relativa alprofilo della co-titolarità del trattamento (secondo quanto precisato alprecedente punto 2.2.), precisando meglio, ex latere banca, le finalità deltrattamento medesimo (cfr. punto 1.5), allo stato indicate solo genericamente("al fine di permettere l'accesso al servizio Firma SicuraBiometrica"). Parimenti, dovrà essere opportunamente emendata (o meglioprecisata), perché potenzialmente fuorviante, la modulistica concernente la"richiesta di attivazione del servizio di «firma sicura biometrica»",da cui risulta che "[Š] il confronto, la conseguente conservazione deidati biometrici e, in generale, l'apposizione della firma digitale avverranno acura di Telecom Italia S.p.A." (sia pure nella sua veste di partecontrattuale). Idati biometrici degli interessati, inoltre, non potranno essere conservati perun periodo di tempo superiore agli scopi per i quali gli stessi sono statiraccolti e successivamente trattati (art. 11, comma 1, lett. e), del Codice).In particolare, gli specimen raccolti quale termine di raffronto per lesuccessive operazioni di autenticazione potranno essere conservati per il soloperiodo di tempo strettamente correlato alla durata del servizio, dopodichédovranno essere cancellati, sia pure nel rispetto dei tempi tecnici a tal finenecessari. Resta salva, ovviamente, la necessità di una loro ulterioreconservazione in ragione di specifiche previsioni di legge o per la tutela diun diritto in sede giudiziaria. Infine,non risultando agli atti quale sia la qualifica (sotto il profilo privacy)attribuita a Xenesys s.r.l., si ritiene che la stessa debba essere formalmentedesignata, anche alla luce del delicato incarico conferitole (rilevanteanzitutto sotto il profilo della sicurezza dei dati e dei dispositivi), qualeresponsabile del trattamento ex artt. 4, comma 1, lett. g) e 29 del Codice. Restainteso che il trattamento dei dati biometrici degli interessati potrà essereeffettuato, nell'ambito delle procedure in esame, solo previo adempimentoall'obbligo di modifica della notificazione già effettuata in conformità agliartt. 37 e ss. del Codice. Consideratal'utilizzabilità "in mobilità" dei dispositivi in uso ai promotori,si richiama l'attenzione sulla necessità che il trattamento dei dati biometricidegli utenti venga effettuato in rigorosa osservanza delle misure di sicurezzaindicate, avuto precipuo riguardo a quelle preordinate a ridurre al minimo irischi di installazione di software non autorizzati o di contatto con agentimalevoli (malware); inoltre, dovrà essere garantita la funzionalità di remotewiping –già prevista nell'eventuale ipotesi di manomissione– anchein caso di loro smarrimento o sottrazione. L'installazionedi applicazioni dall'app store potrà avvenire esclusivamente per le apppreventivamente incluse nel perimetro di sicurezza della piattaforma MDM aseguito di una valutazione della loro conformità alle policy adottate daititolari del trattamento, scongiurando la possibilità di installazione autonomadi arbitrarie applicazioni da parte degli utilizzatori. Sistemi software dibase e applicazioni, inoltre, andranno mantenuti costantemente aggiornati perprevenire lo sfruttamento di eventuali vulnerabilità informatiche. Ancora,il trattamento dovrà avvenire con modalità sempre rispettose, in concreto, deidiritti e delle libertà fondamentali, nonché della dignità degli interessati(art. 2, comma 1, del Codice) e dovrà essere svolto nel rispetto delle altrediscipline di legge eventualmente applicabili (art. 11, comma 1, lett. a) delmedesimo Codice). Inoltre, i dati biometrici dei firmatari –che siassumono insuscettibili di utilizzo in altri contesti– non potrannoessere impiegati in operazioni di trattamento incompatibili con le finalitàoriginarie della raccolta (art. 11, comma 1, lett. b), del Codice). Naturalmente,il consenso che le società intendono acquisire potrà considerarsi realmentelibero (art. 23 del Codice) solo ove raccolto in assenza di eventuali pressionio condizionamenti, anche in occasione dell'adesione al servizio (nello stessosenso, già Provv. 31 gennaio 2013, cit.). In tal senso, appare determinante lacircostanza che venga realmente rimessa, in capo ai singoli interessati, l'effettivafacoltà di scelta in ordine alla possibilità di avvalersi o meno dellaprocedura di autenticazione biometrica, come pure la possibilità di assicurarecomunque la fruizione del servizio di sottoscrizione dei documenti con firmadigitale attraverso modalità alternative di autenticazione. Roma, 23 gennaio 2014
|