Videosorveglianza e rilevamento impronte digitali

Il trattamento dei dati biometrici, da parte degli Istituti Bancari, comporta la necessità di coordinare una serie di norme dell’Ordinamento con le linee guida pubblicate dal Garante per la Protezione dei Dati Personali.

Tali indirizzi o buone pratiche, pur non vincolanti – trattandosi di semplici atti amministrativi, non contemplati dalle fonti del diritto e privi quindi di potere cogente – in quanto provenienti dall’Autorità preposta al controllo del settore, costituiscono un’ottima tutela rispetto all’obbligo di dimostrare di aver operato correttamente.

Se rispettare le linee guida, in sostanza, consente al titolare del trattamento di avere una legittimazione istituzionale del proprio comportamento, discostarsene comporta la necessità di provare di aver operato in modo lecito e nel rispetto dei principi sanciti dalla Legge.

Occorre, infatti, non dimenticare che l’attività di trattamento dei dati personali è considerata un’attività ad alto rischio, ed equiparata, dal punto di vista giuridico, ad attività pericolose come il trasporto di carburanti ed esplosivi. Tale è infatti l’impostazione data alla materia dal Legislatore, che ha ritenuto di dover applicare, all’ipotesi di responsabilità civile, non il comune art. 2043 del Codice, bensì il più vincolante art. 2050, che prevede, per l’appunto, l’onere, per il Titolare del trattamento, di dover dimostrare di aver adottato tutte le misure idonee ad evitare che l’evento si verificasse, e che quest’ultimo è avvenuto per caso fortuito ed imprevedibile.

Una inversione dell’onere della prova, rispetto  a quanto normalmente previsto dall’Ordinamento, che certamente deve essere ben tenuta in considerazione prima di iniziare l’attività di trattamento dei dati, ma, soprattutto, nel momento in cui si decide di non osservare le disposizioni del Garante, e di discostarsi da esse.

A seguito delle richieste di verifica preliminare pervenute da taluni Istituti di Credito e delle lamentele provenienti da alcuni utenti, nel mese di ottobre 2005, il Garante ha ritenuto opportuno disciplinare con proprie linee guida la materia, dettando alcuni principi sull’uso di sistemi di rilevazione biometrica, facendo espresso riferimento anche al precedente provvedimento generale sulla videosorveglianza del 27 aprile 2004.

Ciò in quanto, di solito, il sistema di rilevamento biometrico non è installato come singolo sistema di protezione, ma viene associato ad un sistema di videosorveglianza o videoregistrazione.

 A completamento della già affollata disciplina, nel mese di ottobre 2007, il Garante ha ritenuto di dover compiutamente disciplinare anche il rapporto tra banche e clienti, dettando ulteriori principi generali che devono comunque essere tenuti in considerazione, soprattutto nel caso di cessione di sportelli bancari.

Non occorre infine dimenticare che il codice penale sanziona le interferenze illecite nella vita privata, e che proprio di recente è stato necessario procedere alla rettifica dell’installazione di numerose telecamere di sorveglianza di Istituti di Credito ed Enti Pubblici, attraverso le quali, per il tipo di collocamento, poteva esservi il rischio di ripresa all’interno di abitazioni private.

I principi sanciti dal Garante sono sostanzialmente improntati al buon senso, come, del resto, l’intera disciplina del trattamento dei dati personali, che solo nella concreta applicazione rischia di risultare incomprensibile, se i precetti vengono stravolti fino a pretendere il sostanziale immobilismo di ogni attività. Ma risulta evidente, anche nell’applicazione del principio di ragionevolezza connesso all’interpretazione delle norme, che le soluzioni contrarie alla volontà del legislatore e alla logica, sia formale che sostanziale, devono essere messe da parte in favore delle scelte che appaiono più comprensibili e giustificabili.

Un sistema misto di videoregistrazione e rilevamento biometrico consente di associare l’immagine della persona che chiede di poter accedere ad un locale a quella dell’impronta digitale, e può essere organizzato perseguendo diversi obiettivi.

Un primo sistema può procedere all’identificazione biometrica del soggetto attraverso il confronto dei lineamenti del viso e la corrispondenza con l’impronta digitale del medesimo soggetto. Appare evidente come sia necessario un database di confronto per ottenere tale risultato. Se i rilievi corrispondono al soggetto autorizzato all’accesso, viene consentito l’ingresso all’interno dei locali, diversamente, la bussola consente sono di tornare indietro.

Una diversa implementazione del sistema potrebbe consentire di escludere l’accesso di soggetti “non desiderati”, permettendo l’ingresso di chiunque altro, ma anche in questo caso sarebbe comunque necessario procedere alla realizzazione di un database di confronto.

Una soluzione meno complessa consente di procedere alla videoregistrazione continua e alla memorizzazione delle impronte digitali di chiunque accede ai locali, per consentire l’identificazione a posteriori, in caso di perpetrazione di eventuali reati, ma anche in questo caso il trattamento si sostanzia nella memorizzazione dei dati del cliente.

Una diversa soluzione, meno onerosa dal punto di vista degli adempimenti connessi al trattamento, ma, al tempo stesso, meno pratica, è basata sulla identificazione preventiva del soggetto, e consente di autorizzare il cliente all’accesso memorizzando la parte biometrica su una smart card, che resterebbe in possesso dello stesso interessato, e che eviterebbe al Titolare del trattamento di conservare presso i propri archivi un database “scomodo”. Il sistema, infatti, non dovrebbe conservare l’impronta, ma limitarsi a verificare che il codice digitale presente sulla smart card in possesso del cliente corrisponda al codice restituito dal lettore biometrico a seguito del procedimento di roll-over eseguito sull’impronta.

In ogni caso, secondo l’Autorità, l’utilizzo di sistemi di identificazione mista (biometria e videosorveglianza) non è ammissibile se non giustificato da precise ed individuate esigenze di sicurezza. In assenza di elementi che comprovino una concreta situazione di elevato rischio (e tali non sono, secondo il Garante, la semplice attività bancaria o l’esercizio del commercio di gioielli), vi sarebbe un sacrificio sproporzionato della sfera di libertà e della dignità delle persone interessate, esponendo, altresì, le stesse a pericolo di abusi in relazione a dati particolarmente delicati, quali sono le impronte digitali.

Secondo l’Autorità, “…il trattamento di tali dati personali è consentito, con l’osservanza di adeguate garanzie, soltanto quando debba essere perseguita l’esclusiva finalità di elevare il grado di sicurezza di beni e persone…” in conseguenza della “…ricorrenza di specifici elementi riconducibili a circostanze obiettive che devono evidenziare una concreta situazione di elevato rischio…”

Tali particolari condizioni, sono state individuate, a titolo di esempio, dalla localizzazione dello sportello bancario in aree ad alta densità criminale, o in zone in cui lo stesso istituto o altri istituti abbiano subito rapine o aggressioni. Anche rilevante ai fini della individuazione delle misure da adottare, la circostanza temporale dell’aumento di liquidità disponibile, come nel caso di pagamento di stipendi e pensioni da parte delle Tesorerie, circostanza che potrebbe indurre ad installare dei sistemi funzionanti solo in periodi determinati.

Allo stesso modo, il cambiamento dei fattori di rischio (come nel caso di trasferimento di un commissariato nelle immediate vicinanze dell’Istituto di Credito, devono determinare il titolare a cessare il trattamento, poichè non più giustificato. Da tale disposizione deriva la necessità di effettuare verifiche periodiche della situazione.

Da ultimo, è opportuno evidenziare che la cessione di uno o più sportelli bancari non consente al titolare di trasmettere i dati relativi alle rilevazioni biometriche al cessionario, dato che è espressamente esclusa, anche dal Codice e non solo dalle linee guida, la possibilità di cedere dati personali di natura sensibile.

Un aspetto importante del rapporto banca cliente riguarda l’informativa obbligatoria che l’Istituto deve rendere agli interessati prima dell’accesso ai locali. Al fine di evitare procedimenti complessi che rallenterebbero inutilmente le operazioni di accesso e che potrebbero determinare sostanziali elusioni delle misure di sicurezza, l’Autorità ha consentito l’uso di una informativa di tipo semplificato, da apporre all’esterno dei locali, prima dei procedimenti di autenticazione che consentono l’accesso e che hanno come scopo quello di allertare il cliente sulla presenza di sistemi di rilevamento misto.

L’informativa deve fornire gli elementi previsti dal Codice (art. 13) anche con formule sintetiche, ma chiare e senza ambiguità. Deve essere ben evidenziata la libertà di accedere in banca senza consentire il rilevamento dell’impronta digitale, sulla base di un procedimento alternativo, eventualmente basato sull’identificazione preventiva del cliente, che non leda la sua dignità personale.

Le telecamere devono essere orientate esclusivamente verso l’area di accesso all’istituto di credito, senza riprendere altri immobili, ed è considerato sufficiente il rilevamento biometrico di un solo dito della mano dell’interessato.

I dati devono essere immediatamente cifrati e registrati in tale forma, affinchè siano accessibili solo al personale autorizzato e solo successivamente all’eventuale evento per cui è necessaria la loro consultazione, con modalità di accesso che consenta di identificare il soggetto che l’ha eseguita.

L’accesso alle informazioni “in chiaro”, sia per esigenze di giustizia, sia in caso di esercizio dei diritti dell’interessato (art. 7 del Codice), deve avvenire solo tramite personale autorizzato, ed alla presenza delle Forze dell’Ordine o della Magistratura, con con riferimento a specifiche esigenze investigative. Il personale tecnico, invece, anche esterno alla banca, preposto all’utilizzo e alla manutenzione delle apparecchiature, non deve invece poter accedere in alcun modo “in chiaro” alle informazioni cifrate.

Il Garante si è preoccupato di rimarcare che l’eventuale affidamento in outsourcing dei servizi di rilevazione o di manutenzione non consenta a terzi di accedere ai dati che vengono memorizzati dal sistema. Intento lodevole, ma che troverà scarsa applicazione nella pratica, poichè la verifica del funzionamento di un sistema comporta necessariamente l’accesso ai dati in chiaro. Diversamente, si rischierebbe di scoprire che il sistema non funziona solo nel momento in cui i dati sono necessari, e quindi, paradossalmente, tale misura si tradurrebbe in un vantaggio per i criminali. E’ più corretto interpretare il precetto del Garante come preclusione di una sostanziale capacità costante di accesso ai dati da parte del servizio tecnico, mediante l’adozione di credenziali di accesso particolari, da utilizzarsi quando vi è necessità di compiere operazioni di routine, limitando l’uso di credenziali di tipo Administrator, solo nelle ipotesi in cui è effettivamente necessario visionare i dati e controllare il database delle impronte per verificarne il corretto funzionamento.

La conservazione dei dati non deve superare la settimana, e deve sempre essere possibile la loro individuazione cronologica, ai fini di un tempestivo reperimento in caso di necessità. La misura, peraltro, è comunque necessaria alla cancellazione, decorso il termine temporale previsto dalle linee guida o dal regolamento dell’Istituto.

Limite temporale che, ovviamente, può anche essere superato, fornendo adeguata motivazione, analogamente a quanto già fanno gli aeroporti in materia di videosorveglianza. Appare infatti evidente che il limite non è imposto dal Codice, ma dal Garante, che non ha ricevuto dalla legge il potere di imporre prestazioni vincolanti ulteriori, rispetto a quelle previste dall’Ordinamento, ma solo di adottare provvedimenti specifici riferibili a particolari situazioni pervenute alla sua attenzione.

Diversamente, si verrebbe a riconoscere a qualsiasi Autorità indipendente il potere di introdurre nuove norme nell’Ordinamento, e ciò sarebbe in contrasto con la Costituzione.

E’ quindi possibile discostarsi dalle indicazioni del Garante, a patto, come nel caso degli aeroporti, di giustificare con particolari esigenze di sicurezza la necessità di andare oltre le prescrizioni, anche dal punto di vista temporale. Una semplice considerazione, ad esempio, potrebbe già essere sufficiente: introdurre un limite temporale fisso di sette giorni, per un istituto bancario, potrebbe consentire sopralluoghi anche solo otto giorni prima, al fine di studiare la situazione, ed escludere qualsiasi responsabilità per il complice, che non sarebbe più individuabile decorso tale limite temporale.

I sistemi di cancellazione devono essere di tipo sicuro ed integrale, garantendo l’irrecuperabilità del dato di natura informatica. Anche le copie di sicurezza devono essere distrutte al termine del periodo di trattamento, al fine di evitare un aggiramento della prescrizione ed un prolungamento surrettizio del periodo di conservazione.

Qualche perplessità desta invece il divieto di creare un sistema di interconnessione tra i dati rilevati dai vari sportelli di un medesimo istituto di credito, sia perchè, a fronte di una scarna motivazione, richiederebbe investimenti decisamente ingenti, sia perchè non sembra plausibile che ogni sportello debba attivare un proprio sistema di rilevazione, che moltiplicherebbe il rischio di perdita di controllo dei dati e delle copie di di backup degli stessi, anzichè aumentarne la sicurezza.

Un primo vantaggio derivante dal rispetto delle linee guida consiste nella possibilità di operare senza acquisire preventivamente il consenso dell’interessato, avendo l’Autorità espressamente rappresentato che il trattamento rientra nei casi di cui all’art. 24 del Codice “…attesa la particolare finalità perseguita e considerando sia la temporaneità e le modalità del trattamento da effettuarsi nella rigorosa osservanza delle misure e degli accorgimenti prescritti con il presente provvedimento…”

 Il consenso dell’interessato deve ritenersi non necessario anche con riguardo alle operazioni di decrittazione dei dati trattati ad opera del vigilatore dei dati, le cui ulteriori operazioni di trattamento devono esaurirsi nella sola comunicazione dei dati “in chiaro” ai soggetti sopra individuati o all’interessato che abbia esercitato il diritto d’accesso riconosciutogli dall’art. 7 del Codice.

Quanto agli adempimenti necessari per installare un sistema di rilevamento misto, occorre, in primis, ovviamente, procedere alla notifica ex art. 37, D.Lgs. 196/03.

Ad ogni installazione successiva alla prima autorizzata, l’Istituto dovrà poi richiedere una verifica preliminare, utilizzando i modelli presenti sul sito del Garante, ai sensi dell’art. 17 del Codice, al fine di garantire la verifica delle condizioni di concreto rischio poste a fondamento della loro installazione, valutate in rapporto alle altre misure adottabili.

In ogni caso, devono essere conservati presso l’Istituto, ai fini dell’esibizione all’Autorità in caso di controllo, tutti i documenti utilizzati per la realizzazione del sistema.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *