Via libera dal Garante privacy alla sottoscrizione di contratti in mobilità con firma grafometrica: con il provvedimento 396 del 12 settembre 2013 (da ieri sul sito del Garante) l’Autorità per la protezione dei dati personali ha autorizzato la firma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca, richiedendo alcune integrazioni per la sicurezza dei dati. Si tratta di un fondamentale passo in avanti verso una gestione dematerializzata della documentazione contrattuale sin dalla sua sottoscrizione.
Lo stesso Garante aveva già rilasciato in data 31 gennaio 2013 due provvedimenti (36 e 37), con cui alcune banche sono state autorizzate ad identificare i propri clienti tramite l’analisi biometrica della firma su lettori digitali. Nei precedenti documenti, tuttavia, l’apposizione della firma grafometrica costituiva una mera autenticazione forte ai fini dell’utilizzo di un certificato di firma digitale collegata all’utente e da associare al documento. La nuova soluzione si struttura, invece, garantendo la valida sottoscrizione del documento con la firma grafometrica come soluzione di firma elettronica avanzata ai sensi e per gli effetti del Dpcm del 22 febbraio 2013.
Il Garante ha ritenuto che gli accorgimenti adottati per la gestione dei dati biometrici costituiscono nel complesso idonee misure di sicurezza a fini privacy. In particolare, essi non risiedono neppure temporaneamente sui tablet e, una volta incorporati nel documento, vengono cancellati e sovrascritti. Promotori finanziari, banca proponente e conservatore dei documenti non possono quindi visualizzare tali informazioni in quanto i dati biometrici non sono accessibili in chiaro se non nei casi previsti e su richiesta dell’autorità giudiziaria. A tal fine, l’Autorità ha ritenuto adeguato non solo il fatto che la società deputata all’emissione dei certificati di firma e di cifratura sia un ente certificatore accreditato presso AgID ma anche che la chiave privata e il relativo codice di sblocco associati al certificato di sicurezza della banca, utilizzato per la cifratura dei dati biometrici, sono sempre tenuti separati.
Il Garante ha tuttavia richiesto alcune integrazioni di processo. Anzitutto l’adozione di misure idonee a ridurre i rischi d’installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, contrastando così l’azione di eventuali agenti malevoli (malware). Inoltre, va adottato un sistema di gestione dei dispositivi basato su certificazioni digitali e policy di sicurezza per il loro utilizzo sicuro. In particolare dovranno essere disponibili funzionalità di cancellazione da remoto dei dati (remote wiping) da attivare nei casi di smarrimento o sottrazione dei dispositivi. La banca deve farsi rilasciare e conservare l’attestato di conformità, di cui alla regola 25 dell’Allegato “B” al Codice privacy, e quindi una descrizione dell’intervento che attesta la conformità alle regole tecniche per la tutela e la garanzia dei dati. L’istituto deve osservare tutti gli obblighi descritti nel procedimento e cioè l’attivazione su base esclusivamente volontaria e la correlata informativa. Se il cliente non intende fornire il consenso al trattamento, o lo revoca, i documenti resteranno sottoscrivibili secondo il processo di firma tradizionale su supporto cartaceo.