Italia
Il Garante per la privacy ha autorizzato l’avvio di due progetti innovativi che consentono ad alcune banche di identificare i propri clienti tramite l’analisi biometrica della firma apposta su dei lettori digitali, ma solo in seguito all’adozione di apposite garanzie a tutela della privacy.
La nuova procedura prevede che l’utente non firmi più su un normale foglio di carta, ma su un tablet elettronico “grafometrico” in grado di acquisire alcuni parametri biometrici della persona come il ritmo, la velocità, la pressione esercitata durante il movimento di firma. I dati registrati sono poi confrontati con quelli già memorizzati in precedenza al fine di consentire l’autenticazione informatica del cliente che l’ha apposta.
Nel corso dell’istruttoria sui due progetti presentati per una verifica preliminare, il Garante ha riconosciuto l’effettiva utilità del nuovo strumento, anche alla luce della specifica normativa del settore bancario – che richiede, ad esempio, l’identificazione certa e rigorosa dell’utenza, in un’ottica di sana e prudente gestione del rischio.
L’Autorità non ha riscontrato significativi profili di criticità nel primo progetto, presentato da un unico istituto bancario. Sono infatti assicurate adeguate misure di sicurezza e procedure per garantire la corretta gestione dei dati trattati. Il Garante ha però rimarcato che, data la particolare delicatezza delle informazioni raccolte (dati biometrici che potrebbero anche consentire, tra l’altro, di risalire a eventuali patologie dell’utente che appone la firma), esse dovranno essere usate esclusivamente per effettuare l’identificazione dell’utente.
Sono state invece prescritte alcune integrazioni al secondo progetto di firma biometrica, proposto da quattro diverse banche appartenenti allo stesso gruppo e da una società che offre servizi tecnologici alla PA e alle imprese, al fine di renderlo conforme alla normativa sulla privacy. Il Garante ha rilevato che, diversamente da quanto sostenuto nella documentazione, nel caso specifico le banche e la società di servizi tecnologici condividono la titolarità della gestione dei dati: dovranno quindi definire insieme le modalità del trattamento per le parti di rispettiva competenza e fornire ai clienti un’adeguata informativa in merito.
L’Autorità ha poi sottolineato che non si può imporre, neppure indirettamente, alla clientela di aderire alla nuova procedura di analisi biometrica della firma. Gli utenti, infatti, devono poter esprimere il loro consenso al trattamento dei dati in forma libera, con la garanzia di poter usufruire di procedure alternative per la sottoscrizione di documenti bancari. L’Autorità ha infine evidenziato che i dati biometrici così raccolti, a meno che non sia previsto da apposite normative di settore, potranno essere conservati solo per il tempo strettamente necessario a offrire il servizio o per rispondere a eventuali contestazioni presentate anche in sede giudiziaria.