Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l’uso delle impronte digitali, l’accesso tutti i giorni dell’anno, 24 ore su 24, senza l’intervento del personale dell’istituto di credito.
Il sistema, che dovrà essere sottoposto a verifica preliminare dell’Autorità, non comporta secondo il Garante la creazione di un archivio centralizzato di dati biometrici, poiché l’impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente. Per accedere alle cassette di sicurezza il cliente deve procedere alla propria “autenticazione”mediante un codice PIN e il confronto tra la propria impronta digitale e il template memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l’orario di sportello e previa identificazione personale.
Nel dare il via libera al progetto, l’Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto. In particolare è lecita – secondo il Garante – la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni conservati nelle cassette con l’utilità di garantire alla clientela un servizio continuativo. Il trattamento inoltre – sempre a parere del Garante – è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell’impronta è memorizzato esclusivamente nella smart card. All’istituto di credito è stato inoltre prescritto di informare chiaramente i clienti della possibilità di un accesso alternativo alle cassette di sicurezza senza rilevazione delle impronte e di notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni. La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi.
