Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali ha autorizzato l’uso in ambito bancario di un servizio di sottoscrizione su tablet ai fini dell’autenticazione del cliente e del successivo perfezionamento di operazioni finanziarie.
Il sistema oggetto della richiesta di verifica preliminare all’Autorità è complesso, scisso in diverse fasi e vede coinvolti diversi soggetti.
La tecnologia utilizzata è in grado di rilevare le caratteristiche della firma apposta dai clienti, anche a distanza, attraverso l’analisi di alcuni parametri desumibili dalla sottoscrizione apposta, quali velocità del gesto, pressione, accelerazione, inclinazione, ecc.
Il sistema è destinato ad essere utilizzato dai promotori finanziari per l’autenticazione del cliente e per successive operazioni di sottoscrizione documenti. Due le fasi del processo: la rilevazione dello specimen di firma da utilizzare come strumento di “raffronto”, a garanzia del cliente, e la sottoscrizione di documenti con firma digitale.
Come si legge nel provvedimento, lo specimen, insieme ai dati identificativi del cliente, viene trasmesso dalla banca in modalità cifrata e attraverso canali sicuri al certificatore, che convalida la richiesta ed emette il certificato digitale associato al richiedente. Tutte le successive sottoscrizioni vengono, quindi, trasmesse in modalità cifrata al server del certificatore, che ne verifica la corrispondenza con lo specimen di firma, accertando che il numero seriale del tablet sia effettivamente tra quelli censiti.
Sotto questo profilo, il sistema consentirebbe di ridurre il rischio di frodi, in particolare quelle legate al furto di identità, di contenzioso rispetto all’eventuale disconoscimento della firma, nonché di snellire e velocizzare le operazioni effettuate dai promotori finanziari, garantendo la tutela dei diritti e delle libertà fondamentali del cliente.
L’Autorità Garante, come di consueto, ha richiamato l’attenzione sulla necessità di adottare particolari misure a tutela dei dati personali raccolti.
In particolare, considerato l’utilizzo in mobilità dei dispositivi, l’Autorità ha raccomandato che il trattamento dei dati biometrici degli utenti sia effettuato nel rispetto scrupoloso delle misure di sicurezza, per ridurre al minimo i rischi di installazione di applicazioni non autorizzate o di contatto con malware.
Inoltre, secondo l’Autorità, deve essere garantita la funzionalità di c.d. “remote wiping” che garantisce, nel caso in cui i tablet vengano manomessi, smarriti o rubati, che il loro contenuto sia cancellato da remoto.
Dalla lettura del provvedimento si desume, inoltre, che il trattamento dei dati biometrici è subordinato al consenso del cliente. Sul punto, l’Autorità richiama l’attenzione sulla necessità di garantire che il consenso – ove richiesto e sempre che non ricorra una circostanza equipollente ai sensi dell’art. 24, comma 1° del Codice – sia libero e consapevole.
Conformemente al principio generale di necessità nel trattamento dei dati personali, l’Autorità Garante ha infine richiamato l’attenzione sulla necessità di garantire che i dati biometrici non siano conservati per un periodo superiore alle finalità per le quali sono stati raccolti e successivamente trattati. Un eventuale prolungamento dei tempi di conservazione può essere giustificato da specifiche previsione di legge o per la tutela di un diritto in sede giudiziaria.
Restano salvi gli ulteriori adempimenti previsti dalla normativa vigente fra cui la notificazione del trattamento e l’obbligo di designare eventuali soggetti terzi di cui ci si avvale nella fornitura del servizio, ricorrendone i presupposti, responsabili del trattamento.
Concludendo, il provvedimento in esame, che non ha carattere generale, contiene importanti indicazioni sull’utilizzo di sistemi di sottoscrizione basati sulla rilevazione di caratteristiche biometriche. Attesta inoltre come il ricorso a detti sistemi sia in crescente espansione e rispetto agli altri provvedimenti adottati sul tema e oggetto di approfondimento in questo blog, contiene indicazioni in merito alla nozione di titolarità e di cotitolarità del trattamento di dati personali, considerando che non di rado il processo coinvolge più soggetti.
Aggiungi commento