Garante per la protezione
    dei dati personali


Sistema automatizzato di cassette disicurezza basato sul rilevamento dell'impronta digitale dei clienti. Verificapreliminare richiesta da Banca Patrimoni Sella & C. S.p.a.

PROVVEDIMENTO DEL 6 FEBBRAIO 2013

Registro dei provvedimenti
 n. 55 del 6 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistoil Codice in materia di protezione dei dati personali, d.lg. 30 giugno 2003, n.196 (di seguito "Codice");

Esaminatala richiesta di verifica preliminare presentata dalla Banca Patrimoni Sella& C. S.p.a. ai sensi dell'art. 17 del Codice, relativa ad un sistema diaccesso della clientela alla cassette di sicurezza con rilevamento di improntedigitali;

Vistigli atti d'ufficio;

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela prof.ssa Licia Califano;

PREMESSO

1. L'istanza della Banca e le modalità difunzionamento del sistema per i clienti.

1.1.In data 23 luglio 2013, la Banca Patrimoni Sella & C. S.p.a. ha presentatouna richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, invista dell'installazione, presso la propria succursale n. 1 di Via Langrange n.20 a Torino, di un servizio "completamente automatizzato di cassette disicurezza, caratterizzato da un sistema di rilevamento di improntedigitali", volto a permettere ai clienti di accedere alle cassette disicurezza "24 ore su 24, tutti i giorni, compresi i festivi,autonomamente, senza l'intervento del personale della Banca" (cfr. comunicazionedel 23 luglio 2013, p. 2).

Secondoquanto riferito, tale sistema permetterebbe di "coniugare l'esigenza ditutela del contenuto delle cassette di sicurezza con la necessità di garantirealla clientela un servizio continuato di custodia", scongiurando lapossibilità di accedere in modo fraudolento alle cassette e garantendo, alcontempo, "la sicurezza del cliente che voglia accedere alle stesse inorari in cui il personale della Banca non sia presente per presentare eventualeassistenza" (v. cit. comunicazione del 23 luglio 2013, p. 2).

Ilfunzionamento del sistema prevede l'accesso del cliente, in via del tuttoautonoma, alla cd. "stanza del prelievo", all'interno della qualeegli potrà aprire la propria cassetta di sicurezza, prelevata dal caveaublindato attraverso un sistema elettro-meccanico. Ciò, ovviamente, richiederàla preventiva registrazione del cliente, i cui  dati saranno inseriti nelprogramma di gestione e abbinati, rispettivamente, al numero della cassetta disicurezza che gli verrà locata e a quello della tessera che gli verràconsegnata. L'operatore della Banca, munito della propria Mastercard e delcodice utente guiderà "il cliente al completamento della procedura diregistrazione" e, "una volta terminata questa fase, il cliente potràutilizzare il servizio in completa autonomia". Tutte le operazionieffettuate in questa fase verranno "registrate in un file di eventi checonsentirà in tempi successivi di ricostruire quanto accaduto"; esso, faràparte del file "dei dati di sistema", "residente all'interno diuna cartella presente nel disco fisso del computer interno alla macchina,installato in posizione protetta". Il sistema consentirà un backupperiodico di questo file (v. documento Gunnebo, p. 3, all. 1 alla cit.comunicazione del 23 luglio 2013).

Lemodalità di accesso prevedono l'utilizzo di: a) una smart-card, di esclusivadisponibilità del cliente, al cui interno sarà posto un microchip contenente"un unico ed irripetibile algoritmo matematico, definito template"nel quale sarà stata previamente convertita l'impronta digitale del cliente,non accessibile alla Banca perché memorizzata esclusivamente sulla smart cardimmediatamente consegnata al cliente; b) un codice PIN di quattro cifreassegnato dalla Banca al momento della sottoscrizione del contratto, che ilcliente sarà tenuto a modificare al momento del primo utilizzo; c) l'improntadigitale, la cui rilevazione al momento dell'accesso servirà unicamente comeconfronto con il template memorizzato sulla smart-card, i cui dati non sarannoconservati, memorizzati né recuperabili dalla Banca; d) una chiave, con laquale il cliente potrà accedere al contenuto della propria cassetta senzaassistenza del personale della Banca.

Pertanto,per accedere alla propria cassetta di sicurezza, il cliente inserirà una primavolta la propria smart-card in un lettore, per consentire l'apertura dellaporta di accesso alla "stanza del prelievo"; una volta entrato, egliinserirà nuovamente la smart-card in un secondo lettore e, dopo aver digitatoil PIN, appoggerà il proprio dito su uno scanner, che rileverà l'improntadigitale e la confronterà con il template precedentemente memorizzato sullasmart-card. Il sistema a quel punto estrarrà dal caveau la cassetta, che ilcliente aprirà con la chiave personale.

LaBanca ha altresì precisato che sia in prossimità dell'accesso al locale nelquale saranno collocate le cassette di sicurezza, sia al suo interno, saràattivo anche un impianto di videosorveglianza, il quale registrerà diecifotogrammi che verranno salvati in un database interno al dispositivo; a dettifotogrammi non sarà associato alcun dato personale del cliente che avràeffettuato l'accesso. Le immagini, raccolte solo per finalità di sicurezza,saranno cancellate automaticamente dopo sette giorni dalla raccolta e potrannoessere estratte solo su richiesta dell'Autorità giudiziaria (v. comunicazionedel 23 luglio 2013, p. 3).

Ilcliente che intenderà avvalersi di questo servizio, riceverà una specificainformativa scritta, distinta da quella "generale", che avviserà gliinteressati della possibilità di usufruire anche di modalità d'accessoalternative.

Infatti,per i clienti che non intendessero accedere alla propria cassetta di sicurezzaattraverso il sistema di riconoscimento biometrico, sarà consentito un accessoalternativo, basato sull'utilizzo della smart-card e del PIN. In tal caso perragioni di sicurezza, l'accesso sarà limitato "ai solo giorni feriali eagli orari di sportello della Banca oppure in apposito orario stabilito dallastessa" (v. cit. comunicazione del 23 luglio 2013, p. 3).

2. Modalità di accesso al sistema per gli operatoridella Banca

L'accessoal sistema delle cassette di sicurezza automatizzato sarà consentito solo alpersonale appositamente incaricato -della Banca o di società esterne- previadigitazione di un codice numerico di riconoscimento a nove cifre avente unavalidità massima di sette giorni, alla scadenza dei quali dovrà essereaggiornato. Gli operatori della Banca saranno, altresì, forniti di tessereMastercard per accedere alla cd. "stanza del prelievo" e per operareil prelievo delle cassette non locate "ad esclusivo scopo dimostrativo peri clienti della Banca".

Incaso di interventi sul sistema da parte dell'operatore, la Banca conserverà unadescrizione scritta dell'intervento effettuato "che attesterà anche laconformità del sistema alle disposizioni del disciplinare tecnico dellanormativa in materia di privacy" (v. cit. comunicazione del 23 luglio2013, p. 4).

3. I presupposti di liceità del trattamento.

Laraccolta e la registrazione di impronte digitali e dei dati biometrici,ricavati e successivamente utilizzati per verifiche e raffronti nelle proceduredi autenticazione o di identificazione, sono operazioni di trattamento di datipersonali riconducibili ai singoli interessati (art. 4, comma 1, lett. b) delCodice), rispetto alle quali trova applicazione la normativa contenuta nelCodice (in merito v. anche i documenti di lavoro sulla biometria del"Gruppo art. 29" della direttiva 95/46/Ce: Wp 80 del 1° agosto 2003 eWP 193 del 27 aprile 2012 ).

Pertanto,la liceità del sistema in questione deve essere valutata alla luce dei principidi necessità, proporzionalità, finalità e correttezza del trattamento (artt. 3e 11 del Codice), considerando, in particolare, il contesto in cui tali datisono trattati.
Nel caso di specie, si rileva che la finalità perseguitadalla Banca (che assume la veste di titolare del trattamento) è quella diconiugare l'esigenza di tutela dei beni custoditi nelle cassette di sicurezzacon l'utilità garantire alla clientela un servizio continuato di custodia,attraverso l'implementazione di un sistema che, "per le modalità con lequali è configurato", possa "scongiurare l'accesso fraudolento allecassette di sicurezza" (in tal senso, v. anche Provv. 15 aprile 2010). Tale finalità risulta lecita.

Inoltre,il trattamento posto in essere dalla Banca può anche considerarsiproporzionato, in quanto, nel caso specifico, non è prevista una conservazionedei dati biometrici raccolti in archivi centralizzati, ma il dato criptatodell'impronta digitale verrà memorizzato esclusivamente sulla smart card, cheresterà nell'esclusiva disponibilità del cliente che avrà aderito al servizio.Tale modalità di memorizzazione risulta idonea a garantire un adeguato livellodi accuratezza in ordine all'accertamento dell'identità del detentore dellasmart card e, nello stesso tempo, ad evitare il rischio di eventuali utilizziimpropri o possibili abusi che, invece, potrebbero derivare dalla raccolta ditali informazioni, particolarmente delicate, in un sistema centralizzato.

4. Ulteriori adempimenti.

Allaluce delle dichiarazioni rese, della cui veridicità la Banca, in qualità dititolare del trattamento, risponde penalmente ai sensi dell'art. 168 delCodice, con specifico riferimento all'informativa, si prende atto che la Banca,ha dichiarato che i soggetti interessati all'utilizzo del sistema riceverannoun'informativa scritta, distinta da quella generale, rispetto al trattamento didati personali e biometrici e che nella stessa informativa sarà chiaramenteindicata la possibilità per gli interessati –che non vogliano o nonpossano, anche in ragione di proprie caratteristiche fisiche, servirsi delsistema di riconoscimento biometrico o che successivamente decidano di nonavvalersene più– di utilizzare, in qualsiasi momento, modalitàalternative (già individuate dalla Banca) per avvalersi comunque del serviziorelativo alle cassette di sicurezza. Nell'informativa deve essere indicataanche la presenza del sistema di videosorveglianza come previsto nelProvvedimento in materia dell'8 aprile 2010).

E'evidente, poi, che l'utilizzo dei dati biometrici, per risultare lecito, nonpotrà prescindere dal previo rilascio di un apposito consenso da parte degliinteressati (art. 23 del Codice).

Inrelazione all'accesso alternativo, già previsto per coloro che non vorrannoutilizzare il sistema di rilevazione dell'impronta digitale per accedere allapropria cassetta di sicurezza, si rammenta che le relative modalità, puressendo rimesse alla ragionevole valutazione della stessa Banca, non dovrannocomunque essere tali da creare un ostacolo a chi decidesse di avvalersene.

Riguardoalle misure di sicurezza, esse risultano adeguate, anche per quanto concernegli accorgimenti che, al fine di prevenire accessi indebiti, saranno tenuti adosservare gli incaricati del trattamento che gestiranno il Sistema"Safestore Auto Maxi" (nome utente e password), e quelli che dovrannoaccedere, nello svolgimento della propria attività lavorativa, all'area dellecassette di sicurezza (tessera Mastercard). Al riguardo, nel rilevare che laBanca, nel procedere alla designazione per iscritto degli incaricati deltrattamento, dovrà impartire loro idonee istruzioni alle quali attenersi (artt.4, comma 1, lett. h) e 30 del Codice), si fa presente che, ove  l'accessoal sistema fosse riservato a società esterne, queste dovranno essere nominateresponsabili del trattamento ai sensi dell'art. 29 del Codice.

LaBanca dovrà comunque conservare anche una descrizione scritta dell'interventoeffettuato dall'installatore, che attesti anche la conformità del Sistema alledisposizioni del disciplinare tecnico (regola n. 25 dell'all. B) al Codice).

Infine,la Banca dovrà effettuare la notifica obbligatoria al Garante, prima cheabbiano inizio le operazioni di trattamento dei dati biometrici (art. 37, comma1, lett. a) del Codice).

TUTTO CIO' PREMESSO, IL GARANTE,

ai sensidell'art. 17 del Codice accoglie la richiesta di verifica preliminare avanzatada Banca Patrimoni Sella & C. S.p.a. concernente l'installazione, presso lapropria succursale n. 1 di Via Langrange n. 20 a Torino, di un sistemaautomatizzato di cassette di sicurezza basato sul rilevamento dell'improntadigitale dei clienti, a condizione che la stessa:

1.adotti un'informativa che renda edotti gli interessati della possibilità diavvalersi del servizio anche con modalità alternative rispetto a quella basatasulla rilevazione dei dati biometrici;

2.designi "incaricati del trattamento" i dipendenti che gestiranno ilsistema "Safestore Auto Maxi" e quelli che avranno accesso all'areadelle cassette di sicurezza, impartendo loro idonee istruzioni alle qualiattenersi (artt. 4, comma 1, lett. h) e 30 del Codice);

3.ove  l'accesso al sistema venga rimesso a società esterne, proceda allaloro nomina quali responsabili del trattamento, ai sensi dell'art. 29 delCodice;

4.conservi una descrizione scritta dell'intervento effettuato dall'installatore,che attesti anche la conformità del Sistema alle disposizioni del disciplinaretecnico (regola n. 25 dell'all. B al Codice);

5.notifichi al Garante il trattamento dei dati biometrici prima che abbianoinizio le operazioni di trattamento (art. 37, comma 1, lett. a) del Codice).

Roma, 6 febbraio 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia