Utilizzo firma grafometrica: la pronuncia del Garante in materia di dati biometrici

09/04/2013
di Valentina Frediani

Con il provvedimento n.37 del 31 gennaio 2013 il Garante per la protezione dei dati personali ha espresso parere favorevole rispetto alla possibilità di utilizzare un sistema di rilevazione biometrica in ambito bancario. La proposta, avanzata da un noto gruppo di credito italiano, lo scorso 12 settembre 2012 risponderebbe alla volontà di offrire agli utenti un “accrescimento della qualità di erogazione dei propri servizi” attraverso un servizio di firma digitale remota con autenticazione biometrica “basato sull’utilizzo di dispositivi che consentono di rilevare le caratteristiche dinamiche distintive della firma autografa” apposta dagli utenti in fase di sottoscrizione con firma digitale di contratti o di modulistica bancaria. demat_29143300_xxl.jpg
Rilevando e analizzando parametri quali ritmo, velocità, pressione, movimento e accelerazione riferiti alla firma realizzata dall’utente, il dispositivo è in grado di raccogliere le caratteristiche biometriche del soggetto, favorendo la sua identificazione.
I benefici connessi all’utilizzo di un sistema di questo tipo risultano facilmente intuibili: maggiore sicurezza contro i tentativi di frode, riduzione dei rischi di furto di identità e di contraffazione della firma, ma anche procedure più snelle e  minor impiego di supporti cartacei. Senza contare l’assenza di strumenti quali smart card, token o usb, il cui smarrimento genera spesso complicazioni di non poco conto.

Da un punto di vista tecnico, secondo quanto dichiarato dalla società “il cliente che intendesse aderire al servizio, una volta rilasciato il proprio consenso informato al trattamento, verrebbe invitato, durante la fase di enrollment, ad apporre 6 firme sul “tablet” ai fini del “riconoscimento” biometrico; le informazioni raccolte (c.d. specimen), acquisite dal sistema in misura pertinente e non eccedente rispetto alle finalità del servizio e in forma “acritica” – con modalità tali, cioè, da non consentire, nemmeno accidentalmente, di poter risalire ad eventuali patologie dell´utente – verrebbero inviate al “biometric server” ai fini della loro immediata conversione, attraverso un algoritmo di hash, in una sequenza di caratteri (“stringa”) immodificabile e non reversibile nel dato biometrico “originario“”. In fase di sottoscrizione dei documenti, apponendo la propria firma sul tablet per la relativa autenticazione i dati biometrici dell’utente sarebbero confrontati con quelli memorizzati precedentemente dal sistema e,  in caso di “matching” positivo, sarebbe possibile procedere con la sottoscrizione dei documenti.

Sul fronte della sicurezza, la società assicura elevati standard dichiarando l’adozione – oltre a quelle previste dall’allegato B – di “tutte le ulteriori misure di sicurezza, in linea con l´attuale conoscenza tecnica e tecnologica, volte ad ottenere l´irreversibilità dei dati grafometrici, l´immodificabilità degli stessi, nonché ad escluderne il rischio di corruzione e sottrazione” sottolineando che “i dati biometrici degli interessati, criptati mediante chiavi di cifratura […], risultano immutabili e irreversibili; inoltre, anche i flussi comunicativi tra le varie “componenti dell´infrastruttura avvengono in modalità autenticata e cifrata”, mentre gli accessi [risultano] registrati nell´audit log del sistema e resi disponibili per eventuali controlli”.  L’elemento della tracciabilità degli amministratori di sistema che operano in relazione alla gestione delle varie componenti, appare fondamentale e funzionale all’esito positivo del provvedimento.
Oltre all’aspetto connesso alla sicurezza, appaiono centrali indubbiamente anche gli adempimenti inerenti gli obblighi documentali: dalla redazione e rilascio di apposita informativa ai sensi dell’art. 13, alla nomina specifica di quegli incaricati che parteciperanno al trattamento dei dati in ogni singola fase.
Le successive verifiche condotte dall’Autorità hanno riconosciuto i vantaggi connessi all’utilizzo di tale sistema e la legittimità del trattamento dei dati biometrici che la società intende effettuare, a patto che vengano rispettate le modalità dichiarate e nel rispetto della normativa vigente. “Per quanto attiene, poi, all´osservanza dei principi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice)” dichiara l’Autorità all’interno del provvedimento “il sistema descritto, alla luce delle dichiarazioni rese, risulta preordinato all´acquisizione delle sole informazioni  pertinenti rispetto alla finalità di autenticazione degli interessati. Inoltre, il servizio appare configurato, sulla base degli elementi forniti, per raccogliere un numero circoscritto di informazioni […] non risultando peraltro il sistema, nelle prospettate modalità di configurazione – tali, secondo la società, da non consentire, in nessun caso, l´acquisizione di informazioni relative allo stato di salute degli interessati – predisposto per l´acquisizione di dati ulteriori rispetto a quelli necessari ai fini dell´autenticazione”.
L’immediata cifratura dei dati, l’impiego di canali di trasmissione cifrati e l’impiego di procedure adeguate di autenticazione e registrazione degli accessi rappresentano in sintesi,  garanzie ineccepibili  sul piano della sicurezza.
Il provvedimento quindi appare quanto mai allineato al momento storico che vede le aziende concentrare un forte interesse sulla firma grafometrica, ormai “gettonatissimo” strumento di gestione e semplificazione dei rapporti con gli utenti, per molte grandi aziende italiane che si rivolgono in particolare ai consumatori finali. Ovviamente oltre agli aspetti privacy – da oggi evidentemente “sdoganati” anche dall’Autorità Garante – vanno ad aggiungersi le tematiche connesse alla firma elettronica avanzata, ed alle “aperture” che il legislatore ha lasciato in merito all’utilizzo di questa nuova forma di “digitalizzazione” dell’autografo.
Finalmente una pronuncia pro-trattamento dati biometrici!

Riproduzione riservata ©

ALTRE NEWS

DPS abolito? Avanti art. 34 ed Allegato B

Con tutta probabilità sarà approvato dal Parlamento il testo definitivo del Decreto Monti che comporterà la soppressione degli obblighi inerenti l’adozione del documento programmatico di… Leggi Tutto

La soluzione contrattuale dell’outsourcing

Nelle politiche societarie si è ormai consolidata la convinzione che, ogni qualvolta un’azienda produca al suo interno servizi che altri possono fornire con più efficienza… Leggi Tutto

Il mercato ICT si prepari alla Privacy europea

“Il Regolamento europeo sulla data protection segnerà il discrimine tra le aziende sviluppatrici o erogatrici di servizi e prodotti  ICT aderenti agli obblighi previsti e… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.