normative

Firma su tablet, l’Autorità Garante detta le norme per la protezione dei dati personali

Un recente provvedimento fornisce specifiche istruzioni operative ai soggetti erogatori di soluzioni di firma elettronica avanzata. Analizziamo nel dettaglio cosa prevede

Pubblicato il 14 Nov 2013

firma-digitale-121129124636

L’Autorità Garante per la protezione dei dati personali recentemente è intervenuta sul tema della firma grafometrica quale strumento finalizzato alla conclusione di contratti bancari. Indubbia la rilevanza del provvedimento, denominato “Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca” (12 settembre 2013), considerato che si tratta del primo provvedimento sulla firma grafometrica come firma elettronica avanzata per la sottoscrizione di contratti bancari.

È noto che i contratti bancari richiedono la forma scritta quale condizione di validità e che il requisito formale è richiesto dall’art. 117 del Testo Unico Bancario. È altrettanto noto che, in virtù dell’art. 21, comma 2° bis del Codice dell’amministrazione digitale, la firma elettronica avanzata è idonea a soddisfare il requisito della forma scritta se richiesto a pena di nullità per i contratti riconducibili all’interno della categoria prevista dall’art. 1350, comma 1° n. 13 del codice civile, ovvero per i contratti, fra cui quelli bancari, rispetto a cui leggi speciali richiedono questo requisito formale.

In questo scenario si inserisce il recente provvedimento dell’Autorità Garante che, nonostante non sia un provvedimento di carattere generale ma di natura individuale concernente una specifica richiesta di verifica preliminare, offre ai potenziali soggetti erogatori di soluzioni di firma elettronica avanzata specifiche istruzioni operative.

Dopo aver illustrato le diversi fasi del processo, l’Autorità Garante pone particolare enfasi alla cifratura dei dati biometrici, quali ad esempio accelerazione e pressione, rilevati all’atto di apposizione della firma e alle modalità attraverso cui i dati vengono raccolti e successivamente conservati. In particolare, l’Autorità Garante valuta positivamente che i dati biometrici sono conservati con modalità idonee ad escludere la possibilità di risalire ad eventuali informazioni inerenti allo stato di salute dei firmatari. L’Autorità Garante, infatti, evidenzia che i dati, nella soluzione posta alla sua attenzione, non risiedono nemmeno temporaneamente, all’interno dei tablet su cui il cliente appone la propria firma grafometrica e che, una volta incorporati nel documento, vengono cancellati, non risultando visualizzabili dal fornitore della soluzione.

Centrale, inoltre, risulta l’esigenza di garantire l’effettività del diritto all’autodeterminazione informativa dell’interessato, fornendogli un’adeguata informativa sul trattamento dei dati personali e subordinando il trattamento dei dati biometrici al suo consenso.

L’Autorità Garante, inoltre, ribadisce la necessità, per conformarsi alla normativa vigente, di formalizzare adeguatamente i ruoli dei diversi soggetti coinvolti nella fornitura della soluzione di firma, procedendo alle opportune designazioni dei responsabili e degli incaricati del trattamento dei dati personali.

La firma elettronica avanzata quale “strumento a garanzia della certezza dei rapporti giuridici”

Particolarmente rilevanti appaiono alcune considerazioni di carattere più generale dell’Autorità Garante considerata la crescente diffusione delle soluzioni di firma grafometrica in diversi settori economici. L’Autorità Garante, infatti, evidenzia come il trattamento dei dati strumentale alla fornitura di soluzioni di firma grafometrica come firma elettronica avanzata costituisca un efficace strumento probatorio, a tutela dell’interessato, in caso di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta. Si legge nel provvedimento: “(…) l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti”.

“La firma grafometrica -continua l’Autorità- asseconda legittime esigenze organizzative della società; pertanto, nella misura in cui la firma grafometrica possa essere effettivamente ricondotta tra le soluzioni che, a norma di legge, soddisfano il requisito della forma scritta, può ragionevolmente ritenersi che il trattamento di dati personali (anche biometrici) connesso al servizio -che asseconda, indubbiamente, legittime esigenze organizzative della società- ove effettuato con le modalità indicate e nei limiti delle finalità dichiarate, non sia in violazione dei principi di cui all’art. 11, comma 1, lett. a) e b), del Codice (…)”.

Gli obblighi di sicurezza

Particolare l’enfasi che l’Autorità Garante pone alle misure di sicurezza che una soluzione di firma grafometrica deve garantire a tutela della protezione dei dati personali dei firmatari. Secondo l’Autorità Garante occorre adottare idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, nonché ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware). Il sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici deve essere, inoltre, basato su certificazioni digitali e specifiche policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di utilizzo sicuro. In particolare, è richiamata l’attenzione sulla necessità che la soluzione implementata garantisca funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi e che siano adottate adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo. Con riguardo alla soluzione sottoposta alla sua attenzione, l’Autorità valuta positivamente che la chiave privata e il relativo codice di sblocco associati al certificato di sicurezza, utilizzato per la cifratura dei dati biometrici, siano sempre tenuti separati, “scongiurando così la possibilità di procedere alla decifratura del dato biometrico se non nei casi in cui si renda necessaria una perizia disposta dall’Autorità giudiziaria”.

Dopo aver ribadito la necessità di rispettare il principio di necessità anche nella fase di conservazione dei dati, secondo cui i dati non possono essere conservati oltre il termine previsto per la conservazione del documento cui la firma si riferisce, fatta salva l’eventuale esigenza di una loro ulteriore conservazione in ragione di specifiche disposizioni di legge o per la tutela di un diritto in sede giudiziaria, il Garante richiama, attraverso un esplicito richiamo alle Regole tecniche, gli ulteriori obblighi previsti dagli artt. 56 e ss. del d.p.c.m. 22 febbraio 2013.

*Prof. Avv. Giusella Finocchiaro, Avv. Annarita Ricci, Studio Legale Finocchiaro

Clicca qui per visitare il sito dello Studio Legale Finocchiaro

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati