Provvedimento del Garante per la protezione dei dati personali del 27 ottobre 2005.
Istituti di credito – Rilevazione di impronte digitali ed immagini: limiti e garanzie (Gazzetta Ufficiale del 22/03/2006, n.68).
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttiva n. 95/46/CE);
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), con particolare riguardo all'art. 17;
Visti i provvedimenti del Garante del 29 aprile 2004, in materia di videosorveglianza, e del 28 settembre 2001, relativo alle rilevazioni biometriche presso gli istituti di credito;
Esaminate le richieste di verifica preliminare presentate da vari istituti di credito ai sensi dell'art. 17 del Codice, relative al trattamento di dati personali biometrici in relazione ad esigenze di sicurezza presso sportelli bancari; vista la bozza di linee-guida che l'Associazione bancaria italiana intende inoltrare alle banche e che ha sottoposto all'attenzione di questa Autorità;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
PREMESSO
1. Introduzione
Alcuni istituti di credito hanno inoltrato a questa Autorità una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice, relativa a trattamenti di dati personali consistenti nell'associazione di dati biometrici di clienti (risultanti, in particolare, dall'acquisizione di impronte digitali tramite scanner collegati o integrati in un sistema informatico) con altri dati personali, relativi anch'essi alla clientela, raccolti avvalendosi di sistemi di ripresa.
Le richieste sono state presentate, anche in relazione a quanto prescritto dal Garante con il provvedimento in materia di videosorveglianza del 29 aprile 2004 (punto 3.2.1), per consentire la raccolta di elementi di prova suscettibili di utilizzazione in caso di comportamenti delittuosi.
L'Associazione bancaria italiana, nel fornire alcuni dati statistici relativi a fenomeni criminosi posti in essere nei confronti di dipendenze bancarie (in particolare, a rapine), ha rappresentato a sua volta che l'esigenza di dotare di impianti di rilevazione biometrica talune filiali maggiormente esposte alla commissione di reati è condivisa da una pluralità di istituti.
All'esito della complessa istruttoria preliminare, il Garante ritiene necessario adottare un nuovo provvedimento di carattere generale che, sulla base dei principi generali già enunciati nel provvedimento del 28 settembre 2001 (in Bollettino n. 22/2001, p. 82), tenga conto delle novità sopravvenute con il Codice entrato in vigore il 1° gennaio 2004 (con particolare riguardo alle disposizioni contenute negli artt. 17, 24, comma 1, lett. g) e 154, comma 1, lett. c)). In relazione ai trattamenti di dati personali (diversi da quelli sensibili e giudiziari) che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, il Garante ha infatti il compito di individuare misure ed accorgimenti rivolti «a determinate categorie di titolari o di trattamenti» nell'ambito di una verifica preliminare all'inizio del trattamento (art. 17 del Codice).
Nel caso in esame (come già rilevato nel menzionato punto 3.2.1. del provvedimento del 2004), i rischi specifici sono determinati dall'installazione di «sistemi di videosorveglianza che prevedono una raccolta delle immagini collegata e/o incrociata e/o confrontata con altri particolari dati personali», e dalla particolare natura di alcuni dati trattati, segnatamente di quelli derivanti dalla rilevazione delle impronte digitali.
Il presente provvedimento mira, pertanto, ad individuare le misure e gli accorgimenti a garanzia degli interessati che dovranno essere posti in essere da tutti gli istituti di credito operanti sul territorio nazionale che intendano avvalersi dei sistemi descritti, qualora ne ricorrano i presupposti di seguito indicati e rispettando i principi contenuti nel Codice.
2. Liceità, finalità, necessità e proporzionalità
L'utilizzo generalizzato ed indiscriminato di sistemi che consentono l'identificazione degli interessati mediante la combinazione di diversi sistemi di rilevazione dati non è consentito, in quanto contrasta con il principio di necessità che impone di configurare i sistemi informativi e i programmi informatici escludendo il trattamento di dati personali non necessari -nel caso di specie, biometrici- in rapporto alle finalità che si intende perseguire (art. 3 del Codice).
Un'attività di raccolta indifferenziata di dati particolarmente significativi (quali quelli relativi alle impronte digitali), imposta all'intera clientela degli istituti bancari, non è lecita, tanto più se giustificata solo da una generica esigenza di sicurezza.
In mancanza di specifici elementi che comprovino una concreta situazione di elevato rischio, tale attività comporta infatti un sacrificio sproporzionato della sfera di libertà e della dignità delle persone interessate, esponendo, altresì, le stesse a pericolo di abusi in relazione a dati a sé riferibili particolarmente delicati quali sono le impronte digitali.
Il trattamento di tali dati personali è consentito, con l'osservanza di adeguate garanzie, soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della clientela). A tal fine è necessaria la ricorrenza di specifici elementi riconducibili a circostanze obiettive che devono evidenziare una concreta situazione di elevato rischio e che l'istituto bancario deve valutare con particolare cautela (cfr. Provv. 11 dicembre 2000, in Boll. n. 14-15/2000, p. 30; Provv. 7 marzo 2001).
Tali particolari condizioni, risultanti anche da concordanti valutazioni da parte degli organi competenti in materia di tutela dell'ordine e della sicurezza pubblica, possono derivare, in particolare, dalla localizzazione dello sportello bancario (ad esempio, ove lo stesso sia situato in aree ad alta densità criminale, o isolate o, comunque, poste nell'immediata prossimità di «vie di fuga»). Può altresì venire in considerazione la circostanza che lo sportello bancario, o altri sportelli siti nella medesima zona, abbiano subìto rapine. Possono inoltre rilevare altre contingenti vicende che espongano a reale pericolo una o più filiali determinate (come ad esempio rilevato in passato, con riguardo alla maggiore «liquidità» presso gli sportelli bancari in corrispondenza dell'introduzione della moneta unica europea: cfr. Provv. 28 settembre 2001).
La sussistenza di tali circostanze deve essere altresì valutata periodicamente in rapporto a fattori suscettibili di incidere sulla soglia di esposizione a rischio (si pensi, ad esempio, all'istituzione di una postazione di pubblica sicurezza nelle immediate vicinanze, oppure al rafforzamento di servizi di sorveglianza privata all'interno della filiale). All'esito di tale valutazione periodica i trattamenti di dati non più giustificati devono essere cessati o sospesi.
3. Informativa
Gli interessati devono essere informati adeguatamente della presenza dei sistemi di acquisizione delle impronte digitali e dell'associazione di queste ultime con immagini raccolte (art. 13 del Codice). Ciò, prima che i dati siano rilevati e, comunque, prima dell'accesso a varchi a doppia porta o bussole.
L'informativa deve fornire gli elementi previsti dal Codice (art. 13) anche con formule sintetiche, ma chiare e senza ambiguità. Deve essere ben evidenziata la libertà di accedere in banca senza consentire il rilevamento dell'impronta digitale, sulla base di un procedimento alternativo basato anche su un'identificazione del cliente eventualmente necessaria.
Il Garante ha individuato un modello di informativa «minima» che i titolari del trattamento potranno utilizzare in corrispondenza dei varchi di accesso alle strutture della banca, che dovrà essere integrato con un'informativa più ampia esposta all'interno della dipendenza bancaria. Entrambi i modelli sono allegati in facsimile al presente provvedimento.
4. Misure ed accorgimenti
L'utilizzazione dei sistemi di rilevazione delle impronte digitali associata a sistemi di videosorveglianza deve avvenire nel rispetto degli ulteriori accorgimenti e misure a garanzia degli interessati, di seguito elencati.
a) modalità alternative di accesso alla banca
La rilevazione delle impronte digitali non può comportare una contrazione della libertà e della dignità degli utenti degli sportelli bancari. L'accesso tramite i descritti sistemi di rilevazione deve avvenire predisponendo un meccanismo che, in presenza di una difforme volontà del cliente, oppure dell'impossibilità del medesimo di prestarsi alle operazioni di trattamento in ragione di proprie condizioni personali, gli permetta di accedere comunque all'istituto bancario attraverso un ingresso alternativo (o comunque senza dover essere obbligato a rilasciare dati personali), con l'eventuale adozione di cautele rimesse alla ragionevole valutazione dei responsabili della filiale (come, ad esempio, con la richiesta di esibizione di un documento). Come già rilevato nel richiamato provvedimento del 2001, sono da ritenersi precluse eventuali pratiche vessatorie o comunque elusive dell'obbligo di consentire l'ingresso senza rilevazione dell'impronta.
b) modalità di raccolta
I sistemi di videosorveglianza installati devono essere orientati esclusivamente verso l'area di accesso all'istituto di credito, senza riprendere altri immobili e, in particolare, i loro ingressi.
Quanto ai dati biometrici da raccogliere, è sufficiente rilevare solo l'impronta dattiloscopica di una delle dita dell'interessato.
c) misure di sicurezza
I sistemi per la raccolta delle immagini (fisse o in movimento) e delle impronte digitali devono prevedere l'immediata cifratura dei dati, prima della loro registrazione in una banca dati comunque configurata, e devono garantire un livello elevato di sicurezza.
Deve essere assicurata l'associazione univoca tra le immagini e le impronte digitali, per evitare errori di identificazione.
Particolare attenzione deve essere dedicata alle tecniche crittografiche applicate alle immagini e alle impronte.
I dati devono essere trattati con sistemi di cifratura «robusti» con l'utilizzo, anche congiunto, di algoritmi crittografici simmetrici o asimmetrici.
In particolare, qualora si ricorra a tecniche di crittografia simmetrica per la cifratura dei dati e a crittografia asimmetrica o a chiave pubblica per la cifratura delle chiavi simmetriche relative a ciascun dato o a ciascuna porzione di dato, l'intero processo crittografico deve essere garantito dall'interposizione di un vigilatore dei dati (individuato nel titolare di una funzione di controllo interno in posizione di indipendenza, o da un soggetto parimenti indipendente da questi designato), depositario delle chiavi crittografiche idonee a decifrare le informazioni conservate dalla banca.
Deve essere infatti evitata la possibilità, anche solo tecnica, di decifrare le informazioni acquisite senza l'intervento del predetto vigilatore dei dati.
L'accesso alle informazioni «in chiaro», sia per esigenze di giustizia, sia in caso di esercizio dei diritti dell'interessato (art. 7 del Codice), deve avvenire solo tramite il medesimo vigilatore dei dati.
Resta fermo l'obbligo di adottare, in conformità al Codice, misure di sicurezza anche minime corrispondenti ai parametri previsti (art. 31 ss. e Allegato B del Codice), in particolare per quanto riguarda l'accesso degli incaricati o amministratori di sistema che abbiano un ruolo nella conduzione o nella manutenzione dei sistemi utilizzati.
I sistemi di rilevazione devono infine offrire una garanzia rigorosa di affidabilità e di integrità dei dati, anche sulla base di eventuali certificazioni od omologazioni dei dispositivi. In questa cornice, gli istituti presso i quali vengono installati i sistemi oggetto del presente provvedimento devono farsi rilasciare dall'installatore, e conservare, l'attestato di cui alla regola n. 25 del disciplinare tecnico in materia di misure minime di sicurezza (Allegato «B» al Codice).
d) conservazione dei dati
I dati cifrati relativi alle impronte e alle eventuali immagini devono essere conservati per un periodo non superiore ad una settimana e devono essere registrati cronologicamente in modo tale da consentire il loro pronto reperimento anche sulla base di un' opportuna organizzazione per giorni di rilevazione.
Devono essere predisposti meccanismi di integrale cancellazione automatica delle informazioni allo scadere del termine previsto. Deve essere altresì evitato un prolungamento surrettizio dei tempi di conservazione attraverso la creazione di copie di sicurezza.
Resta fermo che la banca, in presenza di una richiesta di accesso da parte dell'interessato, oppure di eventi criminosi verificatisi o, ancora, di una richiesta da parte dell'autorità giudiziaria, potrà assicurare la disponibilità dei dati raccolti, evitandone l'automatica cancellazione alla scadenza del periodo di conservazione previsto.
Da ultimo, non può ritenersi consentito alcun sistema di interconnessione dei dati raccolti con altri dati in possesso dell'istituto bancario o di terzi, o di creazione di ulteriori database, come pure di sistemi di riconoscimento facciale.
e) conoscibilità dei dati
Possono decifrare ed accedere alle informazioni raccolte con i sistemi di rilevazione soltanto le autorità giudiziarie e di polizia, con riferimento a specifiche attività investigative connesse all'accertamento o alla prevenzione di reati svolte in conformità al codice di procedura penale. Ciò, avvalendosi anche della cooperazione del predetto vigilatore dei dati, il quale può, se necessario, venire lecitamente a conoscenza di dati qualora presti la propria opera anche in caso di esercizio del diritto d'accesso da parte dell'interessato ai dati personali a sé riferiti.
Il personale, anche esterno alla banca, selettivamente preposto all'utilizzo e alla manutenzione delle apparecchiature, non deve invece poter accedere in alcun modo «in chiaro» alle informazioni cifrate (immagini ed impronte).
5. Bilanciamento di interessi
In presenza dei presupposti e delle condizioni sopra indicati, il trattamento dei dati personali potrà ritenersi lecito anche in assenza del consenso degli interessati, ai sensi dell'art. 24, comma 1, lett. g), del Codice.
Ciò, attesa la particolare finalità perseguita e considerando sia la temporaneità e le modalità del trattamento da effettuarsi nella rigorosa osservanza delle misure e degli accorgimenti prescritti con il presente provvedimento, sia le ulteriori finalità perseguite dagli altri titolari del trattamento ai quali i dati possono essere comunicati (identificati nell'autorità giudiziaria e nelle forze di polizia).
Il consenso dell'interessato deve ritenersi non necessario anche con riguardo alle operazioni di decrittazione dei dati trattati ad opera del vigilatore dei dati, le cui ulteriori operazioni di trattamento devono esaurirsi nella sola comunicazione dei dati «in chiaro» ai soggetti sopra individuati o all'interessato che abbia esercitato il diritto d'accesso riconosciutogli dall'art. 7 del Codice.
6. Adempimenti
Resta in primo luogo fermo l'obbligo di notificare al Garante il trattamento dei dati secondo le modalità previste (art. 37, comma 1, lett. a) del Codice).
Ciascun istituto di credito è altresì tenuto ad inviare a questa Autorità, entro il 31 gennaio 2006[1] e con un'unica comunicazione riguardante tutti i propri sportelli bancari, l'elenco di quelli per i quali i dispositivi in esame siano stati già attivati prima del presente provvedimento.
Ogni istituto di credito che intenda installare nuove apparecchiature, oppure modificare quelle esistenti, dovrà invece inoltrare, sempre al Garante, una specifica richiesta di verifica preliminare utilizzando i modelli riprodotti in allegato, verifica da svolgere una tantum ai sensi dell'art. 17 del Codice, prima dell'inizio del trattamento. A tal fine potrà essere effettuata un'unica comunicazione riguardante tutti gli sportelli della banca, indicando l'elenco di quelli per i quali intende attivare i dispositivi menzionati e le condizioni di concreto rischio poste a fondamento della loro installazione valutate in rapporto alle altre misure adottabili.
Da ultimo, in aggiunta alle predette prescrizioni, presso ogni sportello bancario dovrà essere comunque conservata e tenuta aggiornata, anche in previsione di verifiche disposte da questa Autorità, la seguente documentazione:
a) copia della richiesta di verifica preliminare inviata al Garante;
b) eventuale documentazione dalla quale si possa desumere l'esistenza di condizioni di rischio concreto dello sportello;
c) documentazione tecnica relativa all'installazione dei sistemi biometrici e di videosorveglianza adottati, dal quale risulti la conformità dei medesimi alle condizioni indicate nel presente provvedimento. Dalla medesima devono evincersi:
le caratteristiche dell'impianto di ripresa (ad esempio, localizzazione della/e telecamera/e con l'indicazione delle caratteristiche tecniche);
le caratteristiche dell'impianto di raccolta del dato biometrico;
le caratteristiche del sistema informatico di gestione delle immagini e dei dati biometrici, con particolare riguardo alle fasi del processo crittografico;
l'indicazione del tempo massimo di conservazione dei dati;
d) copia dell'informativa resa alla clientela;
e) documentazione dalla quale si possano desumere le modalità alternative di accesso alla struttura della banca.
TUTTO CIÒ PREMESSO, IL GARANTE
1. ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive a tutti i titolari del trattamento di adottare le misure necessarie indicate nel presente provvedimento al fine di rendere il trattamento conforme alle disposizioni vigenti;
2. individua nei termini di cui in motivazione, ai sensi dell'art. 24, comma 1, lett. g) del Codice, i casi nei quali il trattamento dei dati personali nell'ambito dei sistemi informativi oggetto del presente provvedimento può essere effettuato dagli istituti di credito, nei limiti e alle condizioni indicate, per perseguire legittimi interessi senza richiedere il consenso degli interessati;
3. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia–Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana ai sensi dell'art. 143, comma 2, del Codice.
Roma, 27 ottobre 2005
IL PRESIDENTE, Pizzetti
IL RELATORE, Fortunato
IL SEGRETARIO GENERALE, Buttarelli