News
13 luglio 2018
Il Garante per la protezione dei dati personali ha, da pochi giorni, presentato la Relazione sulle attività svolte nel corso del 2017 tracciando un bilancio di quanto si è fatto nei settori più delicati, anche con riferimento agli sforzi divulgativi con cui si è inteso accompagnare imprese e pubbliche amministrazioni attraverso le novità oggi introdotte dal Regolamento Ue 679/2016.
04 luglio 2018
Con recentissimo parere del 14 giugno u.s. il Garante ha confermato un provvedimento dell’amministrazione comunale della Città di Cosenza di diniego di un accesso civico, ciò nell’ambito di un procedimento relativo ad una richiesta di riesame del provvedimento stesso dinanzi al Responsabile della prevenzione della corruzione della Città di Cosenza.
22 giugno 2018
L’attività di ripresa di immagini effettuata attraverso dispositivi indossabili - c.d. “body cam” - presenta, per caratteristiche proprie, rischi specifici per i diritti e le libertà fondamentali degli interessati, richiedendo particolari cautele a protezione della loro sfera privata.
Formazione

Per conoscere veramente la privacy iscrivetevi ai nostri corsi!

Newsletter

Per essere sempre aggiornati in materia di privacy iscrivetevi alla nostra newsletter!

Dettaglio news
lunedì 20 maggio 2013

Banche: sì a firma digitale garantita dai dati biometrici

Il Garante per la protezione dei dati personali, con due recenti provvedimenti, ha dato il via libera ai progetti, presentati da alcuni noti istituti di credito, relativi all’uso di un servizio di firma digitale remota con autenticazione biometrica basato su dispositivi che consentono di rilevare le caratteristiche dinamiche distintive della firma autografa, ma solo se accompagnati dall'adozione di apposite garanzie a tutela della privacy.
Il nuovo sistema prevede, in particolare, che l'utente apponga la propria firma di “specimen” su un tablet elettronico "grafometrico" in grado di rilevare e acquisire alcuni parametri biometrici della persona come il ritmo, la velocità nonché l’accelerazione e la pressione esercitata durante il movimento di sottoscrizione. I dati registrati vengono, quindi, inviati a un server ad hoc che li converte in una sequenza di caratteri. Il database utilizzerà poi questo codice come parametro ogni qualvolta il cliente apporrà la propria firma.
Nel caso, il confronto fra la nuova firma e quella custodita nel server biometrico rappresenterà il primo passaggio per poi procedere all'apposizione della firma digitale. Solo, infatti, nel caso in cui le due sottoscrizioni biometriche (quella contemporanea e la stringa di confronto) corrispondano, il cliente potrà firmare digitalmente il documento in questione. Una procedura di "strong authentication", dunque, che, come spiegato dalle banche, renderà senz'altro più difficili i furti di identità e consentirà di identificare con rigore la clientela, in linea con gli obblighi previsti dalla normativa antiriciclaggio. A maggior tutela della riservatezza degli interessati, i dati biometrici relativi agli utenti, in caso di cessazione del trattamento, saranno cancellati o anonimizzati in modalità irreversibile "immediatamente o nei tempi tecnici necessari e comunque non oltre i 30 giorni solari dalla registrazione dell'evento".
Nel corso dell'istruttoria sui due progetti presentati per la verifica preliminare ex art. 17 del Codice, l’Authority ha, effettivamente, riconosciuto l'evidente utilità del nuovo strumento, anche alla luce della specifica normativa del settore bancario che richiede l'identificazione certa e rigorosa dell'utenza, in un'ottica di sana e prudente gestione del rischio.
Sebbene non siano stati rilevati significativi profili di criticità nel primo progetto presentato, è stato comunque rimarcato che, data la particolare delicatezza delle informazioni raccolte (dati biometrici che potrebbero anche consentire, tra l'altro, di risalire a eventuali patologie dell'utente che appone la firma), queste potranno essere usate esclusivamente per effettuare l'identificazione dell'utente.
Prescrizioni integrative sono invece state imposte al secondo progetto di firma biometrica, al fine di renderlo conforme alla normativa sulla privacy. Il Garante ha innanzitutto ordinato che venga modificata e/o integrata l'informativa da rendere agli interessati, indicando puntualmente tutti gli elementi di cui all'art. 13 del Codice e soffermandosi, in particolare, sui profili relativi alla tipologia di dati raccolti e le informazioni da essi desumibili, alla co-titolarità e alle finalità del trattamento. L’Authority, ha, infatti, rilevato che, diversamente da quanto sostenuto nella documentazione, nel caso specifico le banche e la società di servizi tecnologici condividono la titolarità della gestione dei dati: dovranno quindi definire insieme le modalità del trattamento per le parti di rispettiva competenza e fornire ai clienti un'adeguata informativa in merito. L'Autorità ha poi sottolineato come l’utilizzo della firma biometrica non sia un obbligo, ma presupponga sempre il libero e informato consenso del cliente. Qualora quest'ultimo, infatti, non voglia consegnare alla banca i propri dati biometrici, potrà ricorrere a sistemi alternativi di riconoscimento, la cui esistenza dovrà essere garantita dalle banche. Il Garante ha, infine, evidenziato come i dati biometrici così raccolti, a meno che non sia previsto da apposite normative di settore, potranno essere conservati solo per il tempo strettamente necessario a offrire il servizio o per rispondere a eventuali contestazioni presentate anche in sede giudiziaria.