Pubblicato dal Garante per la protezione dei dati personali il Provvedimento n. 396 del 12 settembre 2013, che fornisce alcuni importanti chiarimenti in materia di sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca.
In particolare, é stato chiesto al Garante di pronunciarsi circa la liceità di un sistema in grado di consentire la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti dalla banca attraverso l’utilizzo combinato di firme elettroniche e la raccolta di dati biometrici comportamentali” desunti dalla firma apposta dai clienti su appositi “tablet” in dotazione ai promotori della stessa banca.
Il servizio di “firma grafometrica”, che consentirebbe di rilevare le caratteristiche “dinamiche” (ritmo; velocità; pressione; accelerazione; movimento) e il tratto grafico della firma apposta dai clienti in occasione della sottoscrizione dei predetti documenti, avrebbe come obiettivo “principale” la semplificazione e l’efficientamento dei processi di interazione tra la società e i suoi clienti, garantendo in pari tempo a costoro maggiori standard di sicurezza nelle operazioni di sottoscrizione; ciò, in quanto il servizio offerto si configurerebbe come “un particolare tipo di firma elettronica” avanzata in grado di assicurare, in accordo con le previsioni di legge, l’identificabilità dell’autore, nonché l’integrità e l’immodificabilità del documento sottoscritto.
Nel ritenere lecito tale il sistema per il trattamento dei dati personali (anche biometrici), il Garante ha evidenziato la necessità che la società adotti gli ulteriori presidi tecnici e organizzativi di sicurezza a protezione dei dati biometrici degli interessati descritti, ed in particolare: idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware); un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro (in particolare funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi); adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico.