Banche: impronte digitali, telecamere e diritti dei clienti
Per far accedere i clienti le banche possono utilizzare impronte digitali e associarle alle immagini raccolte dalle telecamere soltanto in presenza di effettive situazioni di rischio. Quando si utilizzano tali sistemi, i clienti vanno informati e lasciati comunque liberi di entrare in banca con modalità alternative. I dati raccolti vanno “cifrati” e le chiavi conservate presso un soggetto indipendente, “il vigilatore dei dati”.
Il Garante, composto da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, ha indicato le regole per l’installazione di sistemi che, a fini di identificazione dei clienti, associano dati biometrici con altri dati personali. Il nuovo provvedimento, di cui è stato relatore Giuseppe Fortunato, segue quello del 2001 e richiama l’attenzione sulle garanzie introdotte dal Codice sulla privacy per i trattamenti di dati che presentano specifici rischi.
Queste le regole del Garante.
- No all’uso generalizzato di sistemi che associano immagini e impronte digitali. Per poter installare apparecchiature che consentono l’identificazione delle persone attraverso la combinazione di telecamere e di scanner che raccolgono dati biometrici, occorre che si verifichino condizioni di effettivo rischio (ad es., sportelli siti in aree ad alta densità criminale o in aree isolate o posti vicino “vie di fuga”) e che l’obiettivo sia quello esclusivo di elevare il grado di sicurezza di beni e persone.
- Le banche dovranno informare i clienti, agli ingressi e all’interno delle agenzie, della presenza di sistemi che acquisiscono impronte digitali e che queste vengono associate con immagini raccolte dalle telecamere. Ai clienti dovrà comunque essere consentito l’accesso all’istituto senza obbligo di prestarsi a tali trattamenti dei dati, ad esempio con l’esibizione di un documento di identificazione.
- Le telecamere devono essere installate e orientate in maniera tale da inquadrare esclusivamente l’area di accesso all’istituto di credito. È sufficiente la raccolta dell’impronta dattiloscopia di una sola delle dita.
- Le immagini e le impronte digitali devono essere crittate prima della loro registrazione in un archivio. Viene istituito il “vigilatore dei dati”, un soggetto indipendente anche esterno alla banca che sarà il depositario delle chiavi crittografiche idonee a decifrare le informazioni conservate dalla banca.. L’intero processo di cifratura dei dati sarà garantito da questa nuova figura. Ai dati “in chiaro” potranno accedere soltanto l’autorità giudiziaria e la polizia.
- I dati, sia immagini che impronte, dovranno essere cancellati automaticamente – salvo motivi di giustizia o richiesta dell’interessato – entro una settimana.
- Gli istituti di credito che intendono avvalersi di questi sistemi per il futuro sono tenuti a sottoporre al Garante un’unica richiesta di verifica preliminare per tutti i propri sportelli.
Metodo non sicuro Di recente uno degli addetti alla sicurezza della Microsoft (:$) si è pronunciato riguardo ai metodi di crittografia e sulla sicurezza sulle banche dati di Banche e Istituti di credito: è ancora prematuro creare database che contengano informazioni personali di milioni di clienti! …e se lo dice la Microsoft 😉