Il Garante per la protezione dei dati personali torna con un recente provvedimento ad occuparsi delle soluzioni di firma elettronica avanzata implementate nel settore bancario ed in particolare delle misure di sicurezza da adottare per un corretto trattamento dei dati, eventualmente anche di natura biometrica, la cui raccolta è strumentale alla fornitura delle soluzioni.
Il provvedimento denominato “Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca” del 12 settembre scorso offre diversi spunti di riflessione.
Senza entrare eccessivamente nel merito della descrizione delle caratteristiche tecnologiche della soluzione adottata nel caso sottoposto all’attenzione del Garante, occorre evidenziare in primo luogo che il Garante, riferendosi espressamente alle Regole tecniche in materia di firme elettroniche, pone l’accento sulla strumentalità dei dati personali, anche di natura biometrica, ai fini della generazione della firma elettronica avanzata e conseguentemente sul rispetto del principio di necessità del trattamento di cui al combinato disposto degli artt. 3 ed 11 del Codice.
Il Garante, inoltre, pur rilevando la necessità di richiedere ai firmatari il consenso previa adeguata e completa informativa, evidenzia come il trattamento dei dati strumentale alla fornitura di soluzioni di firma elettronica avanzata può costituire un efficace strumento probatorio, a tutela dell’interessato, in caso di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta. Si legge, infatti, nel provvedimento: “(…) l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti”.
Ed ancora, dopo aver richiamato espressamente gli articoli di legge che impongono la forma scritta per i contratti bancari e quindi ribadita, sia pure implicitamente, l’idoneità della firma elettronica avanzata a soddisfare il requisito della forma scritta ad substantiam, compie un’importante affermazione di politica economica del diritto, sostenendo che: la firma cosiddetta grafometrica “asseconda legittime esigenze organizzative della società”.
Infine, il provvedimento richiama l’attenzione sulle necessarie misure di sicurezza da adottare al fine di ridurre, fra l’altro, i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi adottati, nonché sulla necessità di adottare policy per la gestione degli incidenti di sicurezza e sulla necessità, nel caso in cui il titolare del trattamento si avvalga di soggetti esterni per l’adozione delle misure di sicurezza, di ottenere dall’installatore una descrizione scritta degli interventi effettuati che ne attesti la conformità alla normativa vigente.
[…] provvedimento del Garante per la protezione dei dati personali sulla firma grafometrica non è ancora il provvedimento generale atteso dal mercato. Questa precisazione pare necessaria […]