Firma biometrica: arriva l’ok del Garante Privacy

Il Garante per la protezione dei dati personali ha reso noto di aver approvato, al termine della verifica preliminare ex art. 17 del Codice Privacy, due sistemi per la raccolta della firma grafometrica dei cliente da parte dei promotori finanziari, tramite l’utilizzo di tablet.

Le due richieste sono state avanzate da Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A da un lato, e Fineco Bank S.p.A. dall’altro, per servizi che avrebbero come beneficio anche quella di ridurre il rischio di frodi e diminuire i casi di contenzioso conseguente al disconoscimento di firma.

In estrema sintesi, Telecom Italia Trust Technologies s.r.l. e Banca Generali S.p.A  vorrebbero dotarsi di un sistema di raccolta dei dati biometrici delle sottoscrizioni dei clienti che consterebbe di due fasi distinte: in un primo momento Telecom Italia Trust Technologies S.r.l., nella sua qualità di società di certificazione, acquisirebbe, mediante l’apposizione della firma su un tablet, le “caratteristiche” biometriche della sottoscrizione, da associare ai dati anagrafici del cliente.

Raccolti in un data base,  questi “esemplari” sarebbero comunicati a Banca Generali S.p.A. in modo da servire come raffronto per autenticare, sempre mediante firma su tablet, i clienti nel momento in cui decidono di sottoscrivere un contratto.

Con il provvedimento n. 2938921 il Garante, dopo aver precisato che il trattamento dei dati risulta essere lecito, prescrive l’adozione di alcuni accorgimenti soprattutto volti a garantire un adeguato livello di sicurezza.  Precisa, a differenza di quanto richiesto dalle parti, che i soggetti coinvolti devono essere considerati come co-titolari del trattamento dei dati personali in quanto unica è la finalità.

Il secondo provvedimento segnalato dal Garante, il n. 2683533, riguarda una richiesta avanzata da parte di Fineco Bank S.p.A. la quale utilizzerebbe il servizio di firma grafometrica non come autenticazione del cliente, bensì come vera e propria sottoscrizione valida per la conclusione di contratti, i quali verrebbero conservati in modalità cifrata. L’adesione al servizio sarebbe comunque su base volontaria e facoltativa.

Anche in questo caso il Garante, dopo aver validato la modalità di trattamento dei dati, sottolinea però l’importanza di salvaguardare la sicurezza dei dispositivi mobile e di predisporre adeguate policy in ipotesi di incidenti.

Il Garante privacy dice sì al “fast boarding” con impronte digitali

Sempre più spesso le aziende utilizzano i dati biometrici per identificare in modo più veloce e sicuro i propri clienti.

È il caso di Alitalia che per i propri clienti aderenti al programma “Millemiglia ha deciso di mettere a punto un sistema in grado di velocizzare le procedure di imbarco attraverso il riconoscimento sicuro dei passeggeri per mezzo delle loro impronte digitali.

In particolare Alitalia rilascia ai propri clienti una smart card sulla quale è salvato il template della loro impronta digitale. In seguito, al momento dell’imbarco, il sistema confronta il template precedentemente memorizzato con l’impronta digitale del passeggero, accertando in questo modo l’effettiva identità del viaggiatore.

L’utilizzo dei dati biometrici per il riconoscimento dei proprio clienti può considerarsi in linea di massima consentito, a condizione che vengano adottati una serie di accorgimenti a tutela della privacy degli interessati, come quelli prescritti in questo caso dal Garante.

Innanzitutto l’utilizzo della biometria per l’identificazione dell’interessato deve avvenire sempre su base volontaria e con il consenso scritto di quest’ultimo.

In altri termini, il titolare del trattamento deve lasciare all’interessato la possibilità di scelta tra un sistema di identificazione tradizionale attraverso l’esibizione di un documento di identità ed uno basato invece su sistemi di tipo biometrico.

Una volta effettuata tale scelta, i dati biometrici salvati sotto forma di template sulla smart card vanno protetti mediante idonee misure di sicurezza in grado di prevenire eventuali accessi abusivi.

Il Garante è inoltre particolarmente attento all’informativa da fornire all’interessato, che, oltre a comprendere le finalità del trattamento, dovrà sempre ricevere adeguate istruzioni sulla custodia della smart card.

Per evitare infine possibili frodi legate ad un uso abusivo dei dati biometrici, in caso di furto o smarrimento della smart card è fondamentale che i clienti possano inibire con facilità ed immediatamente tutte le funzioni della carta elettronica.