Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Videosorveglianza - Videosorveglianza e rilevazione di impronte digitali all'ingresso di banche - 28 febbraio 2001 [40181]

[doc. web n. 40181]


Videosorveglianza - Videosorveglianza  e rilevazione di impronte digitali all’ingresso di banche

ll Garante dichiara non luogo a provvedere sul ricorso proposto dal cliente di una banca che aveva chiesto di conoscere finalità e modalità della rilevazione di impronte digitali all’entrata di una filiale. La banca aveva infatti fornito le spiegazioni richieste. L’esame della liceità e della proporzionalità del trattamento relativo alle impronte è stata però demandato ad un altro provvedimento


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il ricorso presentato dal sig. Michele Visentin nei confronti della Veneto Banca S.c.a.r.l.;

VISTA la documentazione in atti;

VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;

RELATORE il prof. Ugo De Siervo;

PREMESSO:

1. Il ricorrente lamenta di non aver ricevuto un riscontro alle richieste formulate ai sensi dell’art. 13 della legge n. 675/1996 in relazione al trattamento dei dati raccolti mediante un dispositivo elettronico per la rilevazione delle impronte digitali (c.d. biodigit) posto all’entrata di una filiale della banca resistente, in cui l’interessato si era occasionalmente recato per l’acquisto di valuta estera. In particolare, l’interessato ha chiesto sia di conoscere le finalità e le modalità del trattamento di tali dati e gli estremi del titolare e del responsabile, sia di ottenere la conferma dell’esistenza di dati che lo riguardano e la loro comunicazione, nonché la cancellazione dei dati trattati in violazione di legge.

Secondo il ricorrente, la registrazione delle proprie impronte digitali da parte dell’istituto di credito determinerebbe una violazione del proprio diritto alla riservatezza non giustificata in base alle ipotizzate esigenze di tutela degli interessi patrimoniali della banca o alle finalità di sicurezza che potrebbero essere parimenti perseguite mediante l’impiego di strumenti "alternativi (sistema di telecamere e personale di vigilanza adeguatamente qualificato)".


2. A seguito dell’invito a fornire un riscontro formulato dal Garante, la banca ha trasmesso copia della risposta inviata al ricorrente per raccomandata, nella quale, oltre a fornire alcune indicazioni in ordine al trattamento dei dati personali (con allegazione del modello di informativa distribuito alla clientela), ha sostenuto che:

  • nessun dato rilasciato dall’interessato durante l’operazione di acquisto di valuta estera sarebbe stato registrato presso "l’anagrafe generale" della banca o in altri documenti o supporti, essendo stata conservata solo una stampa dell’operazione, contenente anche l’indirizzo dell’interessato, per comprovarne l’esecuzione;
  • il sistema di controllo degli accessi denominato biodigit permette di registrare presso un personal computer l’impronta digitale, unitamente all’immagine del volto, di ciascun individuo che accede alla filiale. Tali dati, ad avviso della banca, sarebbero anonimi, in quanto non sarebbero associati a nomi o codici personali. Sarebbero poi raccolti per un periodo di tempo limitato (decorso il quale il sistema provvederebbe a cancellarli automaticamente) e comunicati alle forze dell’ordine qualora siano posti in essere, all’interno dei locali controllati, reati contro la persona o il patrimonio (ciò "al fine di consentire un più elevato grado di tutela dell’ordine pubblico ed una maggiore sicurezza sociale, sia per i Clienti che per i Dipendenti della Banca").


3. Il ricorrente ha ritenuto insufficienti le informazioni fornite dalla banca, la quale avrebbe ammesso di conservare la ricevuta dell’operazione bancaria con i dati dell’interessato (che potrebbero essere quindi messi in relazione con le proprie impronte digitali e la foto) e non avrebbe invece indicato il periodo di conservazione di tali dati e le modalità della loro cancellazione, né avrebbe fornito la prova della loro effettiva eliminazione.

L’interessato ha pertanto ribadito la richiesta di cancellare i dati registrati mediante il sistema biodigit, in quanto le impronte digitali sarebbero ricollegabili ai propri dati anagrafici e alla propria foto e sarebbero "conservati per un periodo di tempo superiore all’assolvimento dello scopo (sicurezza) cui la loro registrazione è preordinata". In proposito, l’interessato ha anche richiamato i princìpi affermati nel recente provvedimento adottato da questa Autorità l’11 dicembre 2000 nei confronti di un altro istituto bancario.

La banca ha infine precisato, nell’audizione delle parti, che nella precedente risposta non ha specificato la durata di conservazione dei dati in quanto all’ingresso della filiale sarebbe visibile per chiunque vi acceda "un cartello con scritte molto evidenti", in cui, tra l’altro, è indicato il termine di due settimane per la cancellazione dei dati relativi alle impronte digitali e alle riprese (v., in proposito, la copia in atti del cartello e di alcune fotografie relative all’ingresso della filiale). Ha inoltre evidenziato che il sistema biodigit è stato installato per specifici motivi di sicurezza (avendo la filiale in questione subìto diverse rapine) anche sulla base di un parere rilasciato da un legale. Inoltre, secondo la banca, i dati registrati dal sistema sarebbero raccolti esclusivamente per la consegna, in caso di rapine, alle forze dell’ordine e non sarebbero accessibili in filiale, né in alcun modo collegabili con i dati anagrafici rilasciati per l’esecuzione delle operazioni bancarie (nel caso di specie, poi, i dati del ricorrente, che non è un cliente fisso della banca, sarebbero stati acquisiti per rispettare le normative valutaria e anti-riciclaggio).

CIO’ PREMESSO, IL GARANTE OSSERVA:

4. Alla luce di quanto sopra esposto, va quindi dichiarato non luogo a provvedere sul ricorso per quanto riguarda le richieste dell'interessato volte a conoscere le finalità e le modalità del trattamento dei dati registrati dalla banca attraverso il sistema biodigit, che devono essere considerati come dati personali (v. il citato provvedimento dell’11 dicembre 2000, nonché l’art. 1, comma 2, lett. c) della legge n. 675/1996) e gli estremi del titolare e del responsabile, nonché ad ottenere la conferma dell’esistenza di dati che lo riguardano e la cancellazione di quelli trattati in violazione di legge.

La banca ha infatti fornito idoneo riscontro a tali specifiche richieste, da un lato indicando nella risposta inviata al ricorrente alcuni elementi relativi al complessivo trattamento dei dati che lo riguardano, anche per ciò che attiene al funzionamento del sistema di rilevazione delle impronte digitali (elementi ripresi ed integrati nel corso del procedimento) e, da un altro, evidenziando, come emerge anche dall’informativa posta all’ingresso della filiale, che i dati registrati con tale sistema vengono automaticamente cancellati dopo due settimane dalla loro registrazione (avvenuta, nel caso di specie, l’11 gennaio scorso).

Il Garante verificherà nell’ambito di un distinto procedimento ai sensi dell’art. 31, comma 1, lett. c), della legge n. 675/1996 la liceità del trattamento svolto con il descritto sistema di rilevazione biodigit, con specifico riguardo alle finalità, alle modalità e ai dispositivi adottati per la registrazione dei dati, alla consultazione dei dati all’interno della medesima banca (nomina di responsabili o incaricati del trattamento), alla loro comunicazione a terzi ed autorità pubbliche, nonché alla loro conservazione e distruzione.

PER QUESTI MOTIVI, IL GARANTE DICHIARA:

ai sensi dell’art. 20, comma 2, del d.P.R. n. 501/1998, non luogo a provvedere sul ricorso nei termini di cui in motivazione.

Roma, 28 febbraio 2001

IL PRESIDENTE
Rodotà

IL RELATORE
De Siervo

IL SEGRETARIO GENERALE
Buttarelli