Normative

Furti d’identità e trattamento di dati biometrici: la posizione del Garante Privacy

Con un provvedimento, il Garante si è espresso in ordine al sistema di riconoscimento facciale finalizzato ad evitare furti d’identità, rivolto a soggetti che abbiano richiesto prestiti a banche e intermediari finanziari, sottolineando come esso non risulti conforme al Codice in materia di protezione dei dati personali. L’analisi di Gabriele Faggioli, legale di P4I – Partners4Innovation

Pubblicato il 12 Apr 2016

data-security-130118174427

La società Lending Solution s.r.l. effettuava una richiesta di verifica preliminare al Garante ai sensi dell’art. 17 del Codice Privacy, avente ad oggetto il trattamento di dati personali mediante un sistema di riconoscimento facciale delle fotografie apposte sui documenti di identità. Tale sistema avrebbe comportato la decodificazione della foto in un codice che veniva associato ai dati biometrici del volto e riguardava tutti coloro che avrebbero effettuato richieste di finanziamento a banche e intermediari finanziari.

Una volta acquisiti i dati biometrici del volto, il sistema provvedeva a criptarli ed immagazzinarli all’interno di una banca dati unitamente al codice fiscale del soggetto interessato. Successivamente, veniva effettuata una comparazione con i dati conservati dal Ministero dell’Interno o da altre fonti governative, al fine di verificare la sussistenza di un eventuale furto d’identità. La ricerca sarebbe poi stata estesa anche ad immagini pubblicate sulla stampa o su Internet. Il Garante si è innanzitutto soffermato sul sistema c.d. SCIPAFI, già messo a disposizione degli istituti bancari con il D. Lgs. n. 64/2011 e finalizzato anch’esso alla verifica dell’identità dei soggetti che richiedono finanziamenti. Trattasi, in sostanza, di un sistema pubblico di prevenzione delle frodi nel settore del credito al consumo.

A detta della Lending Solution, il c.d. SCIPAFI non avrebbe consentito di raggiungere così rapidamente i medesimi risultati, posizione nient’affatto condivisa dal Garante, che ha al contrario sottolineato come al momento non vi sia evidenza dell’inefficacia del suddetto sistema.

Numerose le critiche mosse dal Garante Privacy.

In primo luogo, il trattamento di dati biometrici, perché risulti conforme al Codice privacy, deve rispettare i principi di necessità e proporzionalità e può essere motivato solo da particolari ragioni (ad esempio, per consentire l’accesso a luoghi all’interno dei quali sono richiesti livelli di sicurezza particolarmente elevati). Nel caso di specie sembrerebbe, al contrario, che si faccia un utilizzo del tutto incontrollato di tali dati, dando luogo ad una palese violazione della dignità degli interessati.

Anche le modalità e i tempi di conservazione non risulterebbero in linea con quanto disposto dal Codice Privacy, in quanto il sistema di centralizzazione dei codici identificativi e il gran numero di soggetti interessati coinvolti dal sistema citato potrebbero determinare gravi conseguenze per i diritti individuali a fronte di accessi non autorizzati o violazioni delle misure di sicurezza ad opera di terzi.

Dagli elementi forniti all’Autorità è poi emerso che la Lending Solution non aveva neppure previsto misure di sicurezza adeguate, che proteggessero efficacemente la rete di comunicazione elettronica sulla quale i dati biometrici venivano conservati. Il Garante si è poi soffermato sull’informativa fornita agli interessati, sottolineando come questa non desse la possibilità di esprimere un consenso libero, non essendo previsti metodi alternativi di verifica dell’identità per poter accedere al finanziamento.

In sostanza, secondo il Garante il sistema adottato non consentirebbe di effettuare un trattamento di dati biometrici conforme a quanto previsto dal Codice in materia di protezione dei dati personali, non essendo stata, tra l’altro, neppure effettuata una verifica preliminare diretta ad accertare la liceità e correttezza del trattamento. Tale verifica è prescritta tanto a livello nazionale (art. 17 Codice Privacy), quanto a livello comunitario (art. 20 direttiva 95/46/CE) ed è contenuta anche all’interno del nuovo Regolamento, il quale prevede che a fronte di trattamenti che abbiano ad oggetto dati biometrici, il Responsabile del trattamento deve effettuare una valutazione dell’impatto delle operazioni di trattamento sulla protezione dei dati personali, chiedendo altresì il parere del Data Protection Officer (D.P.O.).

Gabriele Faggioli, legale, p4I – Partners4Innovation faggioli@mip.polimi.it

Chiara Giorgini, chiara.giorgini@p4i.it

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4