Negli ultimi tempi si sta diffondendo un nuovo strumento di protezione per l’accesso alle filiali degli istituti di credito che, sull'aspettativa di garantire una maggior sicurezza per i clienti e per i dipendenti, si basa sulla acquisizione di alcuni dati biometrici. In particolare, su tecniche che impongono al cliente di apporre il polpastrello del dito, in genere l’indice, su di uno scanner rilevatore di impronte digitali, sia esso collegato od integrato ad un sistema informatico.
Per esser più precisi, detti sistemi non si limitano ad acquisire i dati biometrici del correntista - che di fatto potrebbe aver accettato la sorveglianza degli accessi attraverso la sottoscrizione di appositi consensi informati - ma si estende bensì a tutti i visitatori che intendono entrare nella banca anche occasionalmente.
Sorgono dunque innumerevoli problemi, sia riguardo al momento in cui si manifesterebbe la presunta autorizzazione al trattamento dei dati sensibili, sia rispetto al loro utilizzo ed alle finalità perseguite.
Occorre dire che la questione sembra interessare sia l’art. 17 del D. Lgs. 196/2003 – secondo cui “Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato […] le misure e gli accorgimenti […] sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento” - che la lett. g) dell’art. 24 che, nella sua stesura originale, prevedeva la non necessarietà del consenso “nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato”.
Successivamente, da quest’ultimo articolo, venne espunto l’esplicito richiamo ai gruppi bancari. E ciò avvenne con il n. 3 della lett. a) del co. 2 dell’art. 6 D. L. 13 maggio 2011, n. 70, convertito con modificazioni dalla Legge 12 luglio 2011, n. 106.
In aggiunta, con provvedimento del 27 ottobre 2005, l’Autorità per la Protezione dei Dati Personali (pubblicato in G.U. n. 68 del 22/3/2006), interpellata da alcuni istituti di credito sull'applicabilità di tali strumenti, chiarì che “un'attività di raccolta indifferenziata di dati particolarmente significativi (quali quelli relativi alle impronte digitali), imposta all'intera clientela degli istituti bancari, non è lecita, tanto più se giustificata solo da una generica esigenza di sicurezza […] tele raccolta è consentita “con l'osservanza di adeguate garanzie, soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza di beni e persone” e sulla base della […] localizzazione dello sportello bancario (ad esempio, ove lo stesso sia situato in aree ad alta densità criminale, o isolate o, comunque, poste nell'immediata prossimità di "vie di fuga"). Può altresì venire in considerazione la circostanza che lo sportello bancario, o altri sportelli siti nella medesima zona, abbiano subito rapine” […] inoltre “La sussistenza di tali circostanze deve essere altresì valutata periodicamente”.
Il Garante, quindi, stabilì l’esigenza di una informativa minima ben visibile all'ingresso dell’istituto che “deve fornire gli elementi previsti dal Codice (art. 13) anche con formule sintetiche, ma chiare e senza ambiguità. Deve essere ben evidenziata la libertà di accedere in banca senza consentire il rilevamento dell'impronta digitale, sulla base di un procedimento alternativo basato anche su un'identificazione del cliente eventualmente necessaria”. Modalità che possono manifestarsi nella possibilità di rivolgersi al personale dell’istituto per accedere con modalità diverse.
Inoltre venne prevista la necessità di una informativa estesa da collocarsi all'interno dei locali della banca in postazione facilmente visibile e contenente i seguenti elementi: 1) le finalità del trattamento; 2) l’indicazione che i dati sono conservati con strumenti informatici cifrati per massimo 7 giorni; 3) che i dati biometrici possono essere conosciuti solo dall'Autorità Giudiziaria e dalle Forze di Polizia; 4) il richiamo ai diritti previsti dall'art. 7 del D. Lgs. 196/2003.
Il Garanti infine specificò che, viste le specifiche finalità di sicurezza, per la raccolta di “dati biometrici è sufficiente rilevare solo l'impronta dattiloscopica di una delle dita dell'interessato”. Inoltre “I sistemi per la raccolta delle immagini (fisse o in movimento) e delle impronte digitali devono prevedere l'immediata cifratura dei dati, prima della loro registrazione in una banca dati comunque configurata, e devono garantire un livello elevato di sicurezza”. Ovvero, devono essere basati su sistemi di crittografia simmetrica dei dati ed a crittografia asimmetrica per la cifratura delle chiavi simmetriche purché, per l’eventuale decifrazione, sia necessaria la presenza di una persona fisica, c.d. vigilatore, che abbia in custodia le chiavi di decifratura.
Restano tuttavia da analizzare alcune importanti questioni che pongono degli interrogativi.
In primo luogo, non convince pienamente la validità dell’effettivo incremento della sicurezza basato sull'acquisizione delle impronte digitali. Soprattutto in relazione alla insindacabile possibilità, riconosciuta sia ai clienti che ai visitatori occasionali dell’istituto di credito, di negare la registrazione temporanea dei propri dati biometrici.
Inoltre, quest’ultima evenienza, non è coniugata a specifici metodi alternativi di accesso quali ad esempio la richiesta di esibizione di un documento di identificazione, fattispecie che, comunque, imporrebbe l’obbligo di rispettare le disposizioni in materia di trattamento dei dati personali.
Quindi, nel silenzio normativo sui metodi alternativi di accesso, sembra poco chiaro come gli stessi possano da un lato garantire la privacy e dall'altro dar compiutezza a quella “maggior sicurezza” alla base dell’esigenza della banca di raccogliere i dati biometrici.
In secondo luogo, benché esplicitamente previsto, appare statisticamente ben poco applicato, da parte dei dipendenti degli istituti di credito, il rispetto del diritto di accesso all'istituto di credito senza identificazione biometrica. Dunque l’ingresso alternativo, per prassi, rappresenterebbe una mera possibilità puramente teorica utile solo per ottenere l’autorizzazione da parte dell’Autorità Garante.
In terzo luogo si segnala una possibile discriminazione nei confronti dei soggetti ipovedenti o non vedenti che, indubbiamente, necessiterebbero di appositi sistemi sonori per ottenere conoscenza dell’informativa minima nonché quella estesa. Per tali situazioni sarebbe, ad avviso di chi scrive, anche ipotizzabile l’inserimento di appositi pannelli informativi in codice Braille.
Infine si segnala una possibile capacità discriminatoria anche nei confronti di tutti quei soggetti con menomazioni agli arti superiori che sarebbero costretti a richiedere un accesso diverso e, spesso, a discutere a fronte del diniego degli impiegati degli istituti bancari a concedere l’accesso alternativo. (PELUSO)
|
Quadro Normativo |
|
D. Lgs 196/2003; Legge n. 106 del 12.07.2011; Provvedimento Autorità per la Protezione Dati Personali del 27.10.2005 (G.u. n. 68 del 22.03.2006).
|
Ai sensi dell'individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei dati personali - Regolamento (UE) n.2016/679 (GDPR)
Questo sito non utilizza alcun cookie di profilazione. Sono invece utilizzati cookie di terze parti legati alla presenza dei "social plugin".