Testo integrale del provvedimento del Garante per la protezione dei dati personali del 23 gennaio 2008 relativo al trattamento di dati biometrici presso l’Istituto Banca San Paolo – IMI (doc. web 1490533).

Trattamento di dati biometrici presso Banca San Paolo Imi S.p.A. – 23 gennaio 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Visto il provvedimento del Garante del 27 ottobre 2005 (in G.U. n. 68 del 22 marzo 2006 e in www.garanteprivacy.it, doc. web n. 1246675);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;

PREMESSO

1. Trattamento di dati personali della clientela mediante sistemi di rilevazione dell’immagine delle impronte digitali e del volto

Per verificare la conformità alla disciplina di protezione dei dati e alle prescrizioni individuate nel provvedimento del Garante del 27 ottobre 2005, l’Autorità ha svolto accertamenti presso alcune banche con riguardo a trattamenti di dati personali dei clienti raccolti (attraverso appositi sistemi di rilevazione) al momento del loro accesso all’interno dei locali della banca consistenti nell’associazione dell’immagine delle impronte digitali e del volto. A tal fine l’Autorità, avvalendosi del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza, ha effettuato verifiche presso le seguenti filiali della Banca San Paolo Imi S.p.A., ora Intesa Sanpaolo S.p.A. (di seguito, la banca):

per San Paolo Imi: Filiale 3 di Messina, in data 10 maggio 2007; Agenzia di Civitavecchia, in data 17 maggio 2007;
per San Paolo Imi Banco di Napoli: Filiale n. 16 di Bari, in data 19 maggio 2007; Filiale di San Giovanni Rotondo, in data 18 maggio 2007; Filiale di Troppa, in data 31 maggio 2007; Filiale n. 2 di Benevento, in data 7 giugno 2007; Filiale di Messina, in data 12 giugno 2007; Filiale di Ragusa, in data 14 giugno 2007; Agenzia 1 di Reggio Calabria, in data 30 maggio 2007;
per San Paolo Imi Banca dell’Adriatico: Filiale di Ascoli Piceno, in data 23 maggio 2007.

Ciò, tenendo anche conto di segnalazioni pervenute dalla clientela nelle quali si lamentava l’installazione dei sistemi di rilevazione e, in un caso, l’impossibilità di accedere allo sportello secondo modalità che non obbligassero il cliente al rilascio delle proprie impronte digitali, come pure l’assenza dell’informativa alla clientela.

Il presente provvedimento attiene ai profili di violazione riscontrati, tenuto anche conto della documentazione inviata in tempi successivi dal titolare del trattamento.

2. Liceità del trattamento

2.1. Verifiche. Dagli accertamenti svolti è emersa una sostanziale conformità dei trattamenti presi in considerazione alla disciplina di protezione dei dati personali e alle prescrizioni impartite con il menzionato provvedimento del 27 ottobre 2005. In particolare, risultano designati i "vigilatori dei dati" (si tratta per lo più di dipendenti appartenenti alla funzione interna della banca di audit) e i sistemi di rilevazione sono risultati installati presso agenzie situate in zone dove si sono già verificate rapine (filiali di Messina e Benevento), oppure oggetto di precedenti rapine (filiali di San Giovanni Rotondo e Civitavecchia) o, ancora, situate in località periferiche o in prossimità di vie di fuga (filiale di Bari).

Deve tuttavia ribadirsi, alla luce delle dichiarazioni rese per conto della banca presso la filiale n. 3 di Messina (p. 2 del verbale operazioni compiute) –dalle quali risulta che "l’istituto di credito San Paolo Imi ha previsto per tutte le filiali di nuova apertura, l’installazione di tale sistema di rilevazione biometrico"– che non è consentito un utilizzo generalizzato e indiscriminato dei sistemi di rilevazione dell’impronta digitale e dell’immagine della clientela. L’attivazione di tali sistemi non deve infatti rispondere a una generica e astratta esigenza di sicurezza, ma può avvenire solo in presenza di "specifici elementi riconducibili a circostanze obiettive che devono evidenziare una concreta situazione di elevato rischio e che l’istituto bancario deve valutare con particolare cautela" (cfr. Provv. 27 ottobre 2005, cit., punto 2).

2.2. Informativa. Anche l’informativa fornita alla clientela è risultata conforme al modello predisposto dal Garante e collocata prima dell’accesso ai varchi.

Deve tuttavia rilevarsi che, nel corso dell’accertamento presso la filiale di Tropea, è stato rilevato che una delle telecamere che integrano il sistema di rilevazione dei dati biometrici permette anche la visualizzazione su due monitor delle immagini relative a chiunque acceda all’ingresso (senza entrare in filiale) per effettuare operazioni presso lo sportello bancomat e/o la cassa continua; è stato infatti "accertato che la necessaria informativa agli interessati (ai sensi dell’art. 13 del Codice) viene fornita solo dopo essere stati investiti dal raggio d’azione della telecamera" (verbale di contestazione di violazione amministrativa n. 83/2007, p. 1). A tale proposito, la Guardia di finanza ha redatto il citato verbale di contestazione che ipotizza una violazione amministrativa in ordine all’informativa.

A prescindere da tale contestazione, risulta comunque necessario che la banca provveda in ogni caso al più presto e, comunque, non oltre il 15 febbraio 2008, a modificare la modalità con cui si è ritenuto di poter fornire tale informativa, collocandola in modo tale da essere immediatamente visibile a chi accede agli spazi videosorvegliati, conformandosi al menzionato provvedimento del Garante.

3. Altri adempimenti

 

3.1. Accesso alternativo. In relazione agli ulteriori adempimenti previsti dal menzionato provvedimento deve rilevarsi che presso l’agenzia di Reggio Calabria risulta che non è stato possibile al personale incaricato dal Garante accedere nei locali dell’agenzia avvalendosi del previsto ingresso alternativo (cfr. verbale del 30 maggio 2007, p. 4). Pur potendo adottare opportune cautele, la banca deve pertanto assicurare la possibilità di accedere all’interno dell’agenzia anche in caso di una difforme volontà del cliente a rilasciare le proprie impronte (o in caso di impossibilità a prestarsi alle operazioni di trattamento in ragione di proprie condizioni personali: cfr. Provv. 27 ottobre 2005, cit., punto 4a).

 

La banca dovrà provvedere, pertanto, al più presto e comunque non oltre il 15 febbraio 2008 a impartire le necessarie istruzioni al fine di consentire ai propri clienti un accesso alternativo nei locali dell’agenzia che escluda qualsiasi pratica elusiva di tale prescrizione.

3.2. Elenco delle filiali. Dagli accertamenti è altresì emerso che non sempre la banca ha assicurato la completezza e l’aggiornamento dell’elenco delle filiali presso le quali vengono effettuati i trattamenti in esame, dandone puntuale notificazione al Garante (in conformità alla procedura prevista nel Provv. 27 ottobre 2005, cit., punto 6). Nel caso della filiale di Ascoli Piceno, a seguito dell’avvenuta cessione di tale sportelli a San Paolo Banca dell’Adriatico da altra banca (presso la quale il sistema era già operativo e che aveva provveduto a notificarne la disattivazione), il (ripristinato) trattamento non era stato infatti comunicato all’Autorità dalla cessionaria. Nel caso della filiale di Ragusa il sistema di rilevazione delle impronte digitali è risultato, poi, essere disattivato, senza che fosse mai stata data comunicazione in precedenza della sua attivazione (verbale del 23 maggio 2007).

La banca dovrà provvedere, pertanto, a effettuare al più presto, e comunque non oltre il 15 febbraio 2008, una ricognizione delle filiali presso le quali i trattamenti in esame vengono effettuati, integrando le comunicazioni già indirizzate all’Autorità e adottando idonee procedure volte a garantire l’aggiornamento delle informazioni fornite.

TUTTO CIÒ PREMESSO, IL GARANTE


1) ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive a Intesa Sanpaolo S.p.A., già Banca San Paolo Imi S.p.A., di provvedere a:

*
rendere immediatamente visibile a chi accede agli spazi videosorvegliati della filiale di Tropea, entro il 15 febbraio 2008, l’informativa che segnala la presenza di un sistema di videosorveglianza nella postazione bancomat/cassa continua (punto 2.2.);
*
impartire, entro e non oltre il 15 febbraio 2008, le necessarie istruzioni al fine di garantire alla clientela la possibilità di accedere alle proprie filiali, mediante modalità di accesso agli sportelli alternative al rilascio delle impronte digitali (punto 3.1.);
*
effettuare, entro e non oltre il 15 febbraio 2008, una ricognizione delle filiali presso le quali i trattamenti oggetto del presente provvedimento vengono effettuati, integrando le comunicazioni già indirizzate all’Autorità e adottando idonee procedure volte a garantire l’aggiornamento delle informazioni fornite (punto 3.2.);

2) ai sensi dell’art. 157 del Codice prescrive a Intesa Sanpaolo S.p.A., già Banca San Paolo Imi S.p.A. di dare conferma a questa Autorità, entro e non oltre il 15 febbraio 2008, dell’attuazione delle prescrizioni di cui al presente dispositivo allegando la pertinente documentazione.

Roma, 23 gennaio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

Fonte: Garante per la protezione dei dati personali. Documento web n. 1490533.

Ultimi aggiornamenti

intelligenza artificiale settimana lavorativa
Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.