Il Blog di Guido Scorza

E’ lecito e non contrasta con la disciplina sulla privacy l’utilizzo da parte degli istituti di credito di tablet e firma grafometrica in agenzia al fine garantire una più sicura identificabilità del correntista e migliorare il livello di servizi offerto a quest’ultimo.

Con un parere, rilasciato nelle scorse settimane, il Garante per la tutela dei dati personali e la riservatezza ha dato il via libera ad un progetto della Unicredit S.p.A. – pioniera della digitalizzazione del rapporto tra banca e clienti – avente per oggetto l’introduzione, nelle proprie agenzie, di un tablet sul quale i clienti che lo vorranno [n.d.r. la nuova modalità di erogazione del servizio sarà, almeno inizialmente facoltativa] dovranno apporre la propria firma grafometrica, lasciandosi così identificare e venendo così “autorizzati” a firmare digitalmente – mediante il ricorso ad una distinta ed autonoma firma digitale da remoto – richieste e documenti loro sottoposti dalla banca.

Una nuova piccola rivoluzione all’insegna della smaterializzazione nel sistema bancario.

Meno file, meno carta e più sicurezza sull’identità del correntista allo sportello.

Vantaggi che il Garante per la privacy sembra aver ben compreso tanto da ritenere che il loro perseguimento giustifichi l’utilizzo dei dati grafometrici dei clienti.

Alla base del parere del Garante, tuttavia, più che il giudizio comparativo tra i benefici perseguiti e la modesta esposizione a rischio del diritto all’identità personale dell’interessato, sembrano esservi le importanti e rigorose garanzie offerte dall’istituto di credito in termini di modalità e finalità del trattamento.

Innanzitutto, i dati grafometrici – nel sistema Unicredit – hanno esclusivamente la funzione di consentire l’autenticazione del correntista e non vengono, in alcun modo, associati ai singoli documenti da quest’ultimo firmati e/o, comunque  utilizzati nell’ambito del servizio di firma, erogato dal certificatore che non vi ha accesso né ne dispone.

A parte questo, i dati grafometrici raccolti attraverso i tablet in agenzia, vengono immediatamente crittografati attraverso uno speciale algoritmo che non consente, in alcun modo, un processo inverso, ovvero il ritorno ai dati grafometrici “in chiaro”.

La banca, dunque, tratta, effettivamente, i dati grafometrici, per pochi istanti, sostanzialmente solo nella fase della raccolta ed acquisizione, per poi trasformarli rapidamente in dati non più qualificabili quali dati biometrici.

Questo uno dei passaggi del parere nel quale il Garante riassume le proprie conclusioni, a proposito della sussistenza, nel caso di specie, del requisito della “continenza” del trattamento effettuato rispetto allo scopo perseguito e della idoneità delle garanzie di sicurezza adottate da Unicredit: “Per quanto attiene, poi, all’osservanza dei princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), vale sottolineare che il sistema descritto, alla luce delle dichiarazioni rese, risulta preordinato all’acquisizione delle sole informazioni  pertinenti rispetto alla finalità di autenticazione degli interessati. Inoltre, il servizio appare configurato, sulla base degli elementi forniti, per raccogliere un numero circoscritto di informazioni (in tal senso, cfr. il modello di informativa prodotto dalla società), non risultando peraltro il sistema, nelle prospettate modalità di configurazione –tali, secondo la società, da non consentire, in nessun caso, l’acquisizione di informazioni relative allo stato di salute degli interessati– predisposto per l’acquisizione di dati ultronei rispetto a quelli necessari ai fini dell’autenticazione.

Sotto il profilo della sicurezza dei dati trattati, si può ritenere che l’immediata cifratura delle informazioni biometriche degli interessati (attraverso una chiave a sua volta cifrata), l’impiego di canali di trasmissione dei dati anch’essi cifrati e l’utilizzo di procedure di autenticazione e di registrazione degli accessi costituiscano misure idonee ai sensi degli artt. 31 e ss. del Codice. Inoltre, anche il fatto che i dati biometrici non risiederanno, neanche per periodi limitati, sui tablet (cfr. Progetto SignPad del 25 giugno 2012) e che i template, non riversibili nell’originario dato biometrico, verranno conservati in database appositamente “dedicati” –misure tali, unitamente a quelle già menzionate, da far ritenere come remoto il rischio di eventuali operazioni indebite sui dati biometrici degli interessati– induce a considerare il prospettato trattamento, sul piano della sicurezza, come conforme alla disciplina del Codice.”

A questo punto, nessuna sorpresa e nessuna paura se, domani, in agenzia, anziché la solita biro ed il tradizionale foglio di carta in duplice copia, troveremo un tablet ed un pennino per farci riconoscere e operare con la nostra banca.

Sarà solo un segno in più, dei tempi che, per fortuna, cambiano sotto lo sguardo attento, rigoroso ma aperto al progresso ed alla digitalizzazione del Garante Privacy.

Tweet