 |
|
|
[doc. web n. 40181]
ll Garante dichiara non luogo a provvedere sul ricorso proposto dal cliente di una banca che aveva chiesto di conoscere finalità e modalità della rilevazione di impronte digitali all’entrata di una filiale. La banca aveva infatti fornito le spiegazioni richieste. L’esame della liceità e della proporzionalità del trattamento relativo alle impronte è stata però demandato ad un altro provvedimento
NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale; ESAMINATO il ricorso presentato dal sig. Michele Visentin nei confronti della Veneto Banca S.c.a.r.l.; VISTA la documentazione in atti; VISTI gli articoli 13 e 29 della legge 31 dicembre 1996, n. 675 e gli articoli 18, 19 e 20 del d.P.R. 31 marzo 1998, n. 501; VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000; RELATORE il prof. Ugo De Siervo; PREMESSO: 1. Il ricorrente lamenta di non aver ricevuto un riscontro alle richieste formulate ai sensi dell’art. 13 della legge n. 675/1996 in relazione al trattamento dei dati raccolti mediante un dispositivo elettronico per la rilevazione delle impronte digitali (c.d. biodigit) posto all’entrata di una filiale della banca resistente, in cui l’interessato si era occasionalmente recato per l’acquisto di valuta estera. In particolare, l’interessato ha chiesto sia di conoscere le finalità e le modalità del trattamento di tali dati e gli estremi del titolare e del responsabile, sia di ottenere la conferma dell’esistenza di dati che lo riguardano e la loro comunicazione, nonché la cancellazione dei dati trattati in violazione di legge. Secondo il ricorrente, la registrazione delle proprie impronte digitali da parte dell’istituto di credito determinerebbe una violazione del proprio diritto alla riservatezza non giustificata in base alle ipotizzate esigenze di tutela degli interessi patrimoniali della banca o alle finalità di sicurezza che potrebbero essere parimenti perseguite mediante l’impiego di strumenti "alternativi (sistema di telecamere e personale di vigilanza adeguatamente qualificato)".
L’interessato ha pertanto ribadito la richiesta di cancellare i dati registrati mediante il sistema biodigit, in quanto le impronte digitali sarebbero ricollegabili ai propri dati anagrafici e alla propria foto e sarebbero "conservati per un periodo di tempo superiore all’assolvimento dello scopo (sicurezza) cui la loro registrazione è preordinata". In proposito, l’interessato ha anche richiamato i princìpi affermati nel recente provvedimento adottato da questa Autorità l’11 dicembre 2000 nei confronti di un altro istituto bancario. La banca ha infine precisato, nell’audizione delle parti, che nella precedente risposta non ha specificato la durata di conservazione dei dati in quanto all’ingresso della filiale sarebbe visibile per chiunque vi acceda "un cartello con scritte molto evidenti", in cui, tra l’altro, è indicato il termine di due settimane per la cancellazione dei dati relativi alle impronte digitali e alle riprese (v., in proposito, la copia in atti del cartello e di alcune fotografie relative all’ingresso della filiale). Ha inoltre evidenziato che il sistema biodigit è stato installato per specifici motivi di sicurezza (avendo la filiale in questione subìto diverse rapine) anche sulla base di un parere rilasciato da un legale. Inoltre, secondo la banca, i dati registrati dal sistema sarebbero raccolti esclusivamente per la consegna, in caso di rapine, alle forze dell’ordine e non sarebbero accessibili in filiale, né in alcun modo collegabili con i dati anagrafici rilasciati per l’esecuzione delle operazioni bancarie (nel caso di specie, poi, i dati del ricorrente, che non è un cliente fisso della banca, sarebbero stati acquisiti per rispettare le normative valutaria e anti-riciclaggio). CIO’ PREMESSO, IL GARANTE OSSERVA: 4. Alla luce di quanto sopra esposto, va quindi dichiarato non luogo a provvedere sul ricorso per quanto riguarda le richieste dell'interessato volte a conoscere le finalità e le modalità del trattamento dei dati registrati dalla banca attraverso il sistema biodigit, che devono essere considerati come dati personali (v. il citato provvedimento dell’11 dicembre 2000, nonché l’art. 1, comma 2, lett. c) della legge n. 675/1996) e gli estremi del titolare e del responsabile, nonché ad ottenere la conferma dell’esistenza di dati che lo riguardano e la cancellazione di quelli trattati in violazione di legge. La banca ha infatti fornito idoneo riscontro a tali specifiche richieste, da un lato indicando nella risposta inviata al ricorrente alcuni elementi relativi al complessivo trattamento dei dati che lo riguardano, anche per ciò che attiene al funzionamento del sistema di rilevazione delle impronte digitali (elementi ripresi ed integrati nel corso del procedimento) e, da un altro, evidenziando, come emerge anche dall’informativa posta all’ingresso della filiale, che i dati registrati con tale sistema vengono automaticamente cancellati dopo due settimane dalla loro registrazione (avvenuta, nel caso di specie, l’11 gennaio scorso). Il Garante verificherà nell’ambito di un distinto procedimento ai sensi dell’art. 31, comma 1, lett. c), della legge n. 675/1996 la liceità del trattamento svolto con il descritto sistema di rilevazione biodigit, con specifico riguardo alle finalità, alle modalità e ai dispositivi adottati per la registrazione dei dati, alla consultazione dei dati all’interno della medesima banca (nomina di responsabili o incaricati del trattamento), alla loro comunicazione a terzi ed autorità pubbliche, nonché alla loro conservazione e distruzione. PER QUESTI MOTIVI, IL GARANTE DICHIARA:
Roma, 28 febbraio 2001 IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |