[doc. web n. 5411652]

Sistema di rilevazione delle caratteristiche biometriche della firma autografa in ambito bancario. Verifica preliminare - 21 luglio 2016

Registro dei provvedimenti
n. 318 del 21 luglio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

Visto il decreto legislativo 7 marzo 2005, n. 82, recante il "Codice dell´amministrazione digitale" (di seguito "C.A.D.");

Visto il d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3; 24, comma 4;28, comma 3; 32, comma 3, lettera b); 35, comma 2; 36, comma 2, e 71" del Codice dell´amministrazione digitale;

Visto il provvedimento adottato dal Garante il 31 gennaio 2013, a seguito di richiesta di verifica preliminare, con il quale si autorizza Unicredit S.p.A. ad utilizzare uno specifico sistema di firma digitale con autenticazione grafometrica (doc. web n. 2304808);

Visto il provvedimento generale del Garante in materia di biometria del 12 novembre 2014 (doc. web n. 3556992), come modificato dal provvedimento del 15 gennaio 2015 (doc. web n. 3701432);

Viste le richieste di verifica preliminare presentate ai sensi dell´art. 17 del Codice dalle seguenti società:

- Banca Interprovinciale S.p.A. (con sede a Modena);

- Banca Popolare Valconca della Provincia di Rimini S.c.p.a. (con sede a Morciano di Romagna – RN);

- Banca Popolare Pugliese  S.c.p.a. (con sede a Parabita – LE);

- Cassa di Risparmio di San Miniato S.p.A. (con sede a San Miniato – PI);

- Banca Finnat Euramerica S.p.A. (con sede a Roma);

- Cassa di Risparmio di Ravenna S.p.A. (con sede a Ravenna);

CONSIDERATO che le richieste di verifica preliminare presentate dalle predette Banche hanno tutte il medesimo oggetto, ossia, l´autorizzazione ad avvalersi di una soluzione di firma digitale con autenticazione grafometrica per la sottoscrizione da parte della clientela di contratti e documentazione bancaria;

RILEVATO che da espressa dichiarazione, identica per tutte le banche istanti, la soluzione di autenticazione biometrica sottoposta a verifica preliminare "è la medesima che ha ottenuto l´approvazione dell´Ill.ma Autorità Garante per la protezione dei dati personali nel provvedimento del 31 gennaio 2013 (…) avvalendosi della medesima tecnologia e del medesimo fornitore";

RILEVATO che il CSE – Consorzio Servizi Bancari, outsourcer informatico di tutte le banche richiedenti e, a tal fine, nominato dalle stesse responsabile del trattamento dei dati ai sensi dell´art. 29 del Codice, si avvale di Intesa S.p.A. (certification Authority), ossia la stessa società che ha fornito a Unicredit la soluzione di firma poi autorizzata dal Garante (cfr. documento sul "Sistema CSE di firma grafometrica ai fini dell´autenticazione del cliente per l´uso di un certificato di firma", pagg. 12 e 14, allegato dalle banche richiedenti alla istanza di verifica);

CONSIDERATO che "il sistema adottato" (dal punto di vista della componente software di gestione del sistema di firma), sottoposto al vaglio dell´Autorità, "è prodotto dalla società austriaca XYZMO (a sua volta fornitrice di Intesa S.p.A.)" che, parimenti, è la medesima società che ha prodotto il sistema autorizzato a Unicredit S.p.A.;

VISTO che l´Autorità ha già provveduto ad effettuare le proprie valutazioni circa la conformità del medesimo sistema ai principi generali del Codice;

VISTO che, a seguito di dette valutazioni, il Garante ha, pertanto, già autorizzato, con provvedimento del 31 gennaio 2013, il trattamento dei dati biometrici effettuato da banca Unicredit S.p.A. − nell´ambito del servizio preordinato alla sottoscrizione di documenti con firma digitale − proprio relativamente all´utilizzo del sistema di rilevazione delle caratteristiche biometriche della firma autografa, che forma oggetto della richiesta delle banche istanti;

PREMESSO che la soluzione descritta nelle richieste di verifica preliminare ai sensi dell´art. 17 del Codice, presentate da parte di Banca Interprovinciale S.p.A, Banca Popolare Valconca della Provincia di Rimini S.c.p.a., Banca Popolare Pugliese  S.c.p.a.,  Cassa di Risparmio di San Miniato S.p.A.,  Banca Finnat Euramerica S.p.A. e Cassa di Risparmio di Ravenna S.p.A., secondo quanto dichiarato dai citati istituti di credito (anche ai sensi e per gli effetti dell´art. 168 del Codice), può ritenersi analoga a quella già esaminata dall´Autorità nel provvedimento del 31 gennaio 2013;

RILEVATO che le certification Authority (certificatori di firma digitale accreditati), ai sensi  dell´art. 32, comma 3, lett. j) del C.A.D. e i soggetti che erogano soluzioni di firma elettronica avanzata, ai sensi dell´art. 57 comma 1, lett. b) del d.P.C.M. 22 febbraio 2013, devono rispettivamente "tenere registrazione, anche elettronica, di tutte le informazioni relative al certificato qualificato dal momento della sua emissione almeno per venti anni anche al fine di fornire prova della certificazione in eventuali procedimenti giudiziari" (art. 32 C.A.D.) e, i secondi, "conservare per almeno venti anni copia del documento di riconoscimento (…) ed ogni altra informazione atta a dimostrare l´ottemperanza a quanto previsto all´art. 56, comma 1, garantendone la disponibilità, integrità, leggibilità e autenticità" (art. 57 citato d.P.C.M. 22 febbraio 2013);

VISTO che, ai sensi dell´art. 21, comma 2 del C.A.D., "l´utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare (ovvero al cliente), salvo che questi dia prova contraria";

TENUTO  CONTO, altresì, dell´attuale processo di revisione del C.A.D., volto a introdurre modifiche anche in merito all´art. 21 sopra citato (v. "Schema di decreto legislativo recante modifiche e integrazioni al C.A.D. di cui al decreto legislativo 7 marzo 2005, n. 82"  - Atto n. 307) e al termine del quale il Garante si riserva di intervenire ulteriormente tramite un provvedimento di carattere generale che riconsideri l´intera materia delle procedure di sottoscrizione dei documenti con firma digitale basate su autenticazione biometrica, ivi compresi i tempi di conservazione;

CONSIDERATO che, alla luce del nuovo quadro normativo sopra citato, andranno valutati i profili connessi alle esigenze di conservazione, da parte delle banche, dei modelli biometrici, per finalità di tutela dell´interessato in caso di contestazioni in sede giudiziaria della firma digitale apposta dal cliente, anche nell´ipotesi in cui cessi il servizio di sottoscrizione con la suddetta firma (ad esempio in seguito alla richiesta dell´interessato di tornare alla sottoscrizione tradizionale o alla sua scelta di passare ad altra banca recedendo dal contratto con la precedente);

RILEVATO comunque che il titolare del trattamento è tenuto ad adottare le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee a garantire la sicurezza, l´integrità e la riservatezza dei dati personali trattati in conformità alla disciplina in materia di protezione dei dati personali (artt. 31 e ss. del Codice);

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell´art. 17 del Codice, a conclusione dell´istruttoria avviata nei confronti delle richieste di verifica preliminare pervenute da Banca Interprovinciale S.p.A, Banca Popolare Valconca della Provincia di Rimini S.c.p.a., Banca Popolare Pugliese  S.c.p.a.,  Cassa di Risparmio di San Miniato S.p.A.,  Banca Finnat Euramerica S.p.A. e Cassa di Risparmio di Ravenna S.p.A., relativamente  all´utilizzo, nell´ambito del servizio preordinato alla sottoscrizione di documenti con firma digitale, di un sistema di rilevazione delle caratteristiche biometriche della firma autografa apposta dagli interessati su dispositivi a ciò dedicati, autorizza il  trattamento dei dati biometrici che dovrà avvenire nei limiti e secondo le modalità indicate nel presente provvedimento e nel provvedimento del 31 gennaio 2013 (doc. web n. 2304808).

Ai sensi dell´art. 152 del Codice e dell´art. 10 del decreto legislativo n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 21 luglio 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia