c·, J)\ J2

GPDP.Ufficio.PROTOCOLLO.U.0027820.08-10-2015.h.10:28
' GARANTE
PER LA PROTEZIONE
DEl DATI PERSONALI
DIPARTIMENTO REALTÀ
ECO NOM ICH E E PRODUTTIVE
~'tUl J ~
?~\.
A/R
ou~
J.oA.S
z_:t-82..o j~sc..\~
Validata s.r.l. a socio unico
cfo Nadia Arnaboldi
Via Luigi Porta, 14
27100 Pavia
anticipata a mezzo e-mail:
[email protected]
Oggetto: richiesta di verifica preliminare ex art. 17 del d.lgs. n. 196j2003 (Codice
in materia di protezione dei dati personalt).
All.1
Con la presente si comunica che il Garante, a seguito degli elementi acquisiti
nel corso dell'istruttoria avviata in merito alla richiesta di verifica preliminare
presentata da codesta società e a conclusione del relativo iter procedimentale,
ha adottato, in data 17 settembre 2015, l'allegato prowedimento collegiale.
Si resta a disposizione per eventuali ulteriori chiarimenti.
Il dirigente
(dr. Daniele De Paoli)
~~ "- c·, J)\ J2 { \
Gl
Piazza di Monte Citorio, 121- oot86 Roma
Te1. +39 o6 69677-1 ·Fax +39 o6 69677785
w-.garanteprivaty.it ·
garant~garanteprivacy. it
•
Registro dei provvedimenti
n. 41~ del
Xr.03• hlS
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente,
della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi
Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,
segretario generale;
VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di
protezione dei dati personali" (di seguito "Codice");
VISTO il d.lgs. 7 marzo 2005, n. 82, recante il "Codice dell'amministrazione
digitale", nonché il d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in
materia di generazione, apposizione e verifica delle firme elettroniche
avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma
4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71";
VISTO il provvedimento generale del Garante del12 novembre 2014 (come
modificato dal provvedimento del15 gennaio 2015), che ha individuato i casi nei
quali il trattamento di dati biometrici può essere effettuato, alle condizioni ivi
indicate, senza necessità di prior chiecking;
VISTA l'istanza del 12 settembre 2014 (successivamente integrata con
comunicazione del 6 ottobre 2014, regolarizzata con nota del 24 dicembre 2014
e nuovamente integrata con comunicazioni del 18 e 22 giugno 2015), con cui
Validata S.r.l. a socio unico ha chiesto di poter comunque sottoporre a verifica
preliminare, ai sensi dell'art. 17 del Codice, il trattamento di dati biometrici
derivante dall'utilizzo di un sistema di sottoscrizione di atti, contratti e
documenti denominato "PenSign", dalla stessa ideato e realizzato;
RILEVATO che il sistema che la società intenderebbe utilizzare nei confronti
di propri clienti, e quale soluzione da commercializzare presso terzi, si
avvarrebbe di una soluzione di firma elettronica avanzata di tipo grafometrico
asseritamente conforme alla disciplina tecnica sopra richiamata;
RILEVATO che la soluzione prospettata prevederebbe la raccolta di dati
biometrici degli utenti -previamente identificati de visu e a mezzo di valido
documento di riconoscimento- mediante rilevazione delle caratteristiche
dinamiche della firma autografa da questi apposta, in modalità stanziale o in
l
mobilità, su devices "aziendali" (tabletfpad) posti nell'esclusiva disponibilità del
personale preposto, peraltro numericamente esiguo (tre unità);
RILEVATO che i parametri biometrici relativi alla sottoscrizione (ritmo;
accelerazione; pressione; velocità; movimento) verrebbero raccolti, unitamente
al relativo tratto grafico, contestualmente all'apposizione della firma ad opera
dei singoli utenti, venendo immediatamente cifrati attraverso la chiave pubblica
del certificato in uso alla società (ed "embeddata" nell'applicativo gestionale
associato al sistema);
RILEVATO che i medesimi dati resterebbero nella memoria volatile dei
dispositivi -isolata e protetta dal sistema operativo utilizzato- per il solo e
circoscritto periodo di tempo necessario alla loro raccolta e cifratura, venendo,
all'esito delle relative operazioni, immediatamente cancellati e sovrascritti;
RILEVATO che tali dati (c.d. vettore grafometrico) verrebbero "incorporati"
in forma criptata, unitamente all"'impronta" del documento sottoscritto
(anch'essa cifrata), nel documento stesso, successivamente firmato digitalmente
al fine di garantirne l'autenticità, l'integrità e la non-ripudiabilità;
RILEVATO che i documenti e i dati ad esso collegati verrebbero memorizzati
su supporti di registrazione permanente solo a seguito dell'avvenuta
apposizione della predetta firma digitale. Rilevato, correlativamente, che prima
di tale apposizione il documento e i relativi dati sussisterebbero nella memoria
volatile dei dispositivi solo in forma di unità informatiche destrutturate,
asseritamente inintelligibili e inaccessibili;
RILEVATO che i documenti e i dati ad esso collegati verrebbero inviati al
"server di gestione" di Aruba S.p.A. (certificatore accreditato presso AgiD)
attraverso canali dichiaratamente sicuri (basati su protocolli HTTPS e certificati
SSL), previa verifica del client abilitato;
RILEVATO che i medesimi dati e documenti verrebbero successivamente
inviati, attraverso canali anch'essi sicuri, ad Archivia s.r.L (conservatore a
norma avente le caratteristiche, rispettivamente, di cui agli artt. 7 del d.P.C.M. 3
dicembre 2013 e 44-bis del d.lgs. n. 82j2005) e che il relativo backup verrebbe
ospitato presso Equinix Inc., in Germania;
RILEVATO che le predette società verrebbero designate responsabili del
trattamento ex art. 29 del Codice (v. testo di informativa prodotto in atti);
RILEVATO che il sistema, attraverso il connesso applicativo denominato
"PenSignCheck", permetterebbe di eseguire, su richiesta dell'autorità
giudiziaria, specifiche perizie grafologiche al fine di verificare la riconducibilità
delle sottoscrizioni agli effettivi firmatari. Ciò, attraverso un raffronto del tratto
grafico della firma originariamente acquisita e dei relativi parametri biometrici
con quelli successivamente raccolti, di volta in volta, in occasione delle singole
operazioni peritali, nell'ambito di una procedura che prevede la decifratura e
ricifratura dei dati contestualmente all'apertura e chiusura della perizia stessa;
2
1
RILEVATO che tale applicativo verrebbe reso disponibile presso un terzo
fiduciario (notaio) -già detentore esclusivo della chiave privata del certificato
necessaria alla decifratura dei dati biometrici e designato responsabile del
trattamento- munito delle necessarie prerogative di indipendenza e sicurezza;
RILEVATO che la soluzione proposta, nella descrizione fornita dalla società,
non prevederebbe la conservazione in forma centralizzata dei dati biometrici,
essendo le singole firme grafometriche e i connessi parametri di riferimento
acquisiti ed elettronicamente "sigillati", di volta in volta, con le indicate tecniche
crittografiche (crittografia simmetrica standard AES con chiave a 256 bit
segreta; crittografia asimmetrica RSA, almeno a 1024 bit, con chiave privata
detenuta da terzi fiduciari), all'interno dei documenti informatici sottoscritti dai
singoli firmatari;
RILEVATO che i dispositivi utilizzati nell'ambito della soluzione considerata
presenterebbero standard di sicurezza non inferiori a quelli previsti dalla
normativa vigente (art. 12 del d.P. C.M. 22 febbraio 2013). Rilevato, altresì, che
in caso di smarrimento o sottrazione dei dispositivi, il sistema risulterebbe
prefigurato per provvedere all'immediata cancellazione, al primo tentativo di
collegamento con il server, del software ivi installato e della relativa
configurazione;
RILEVATO che il sistema di gestione della società risulterebbe conforme ai
requisiti ISO 27001:2013;
RILEVATO che la società intenderebbe procedere al menzionato trattamento
per migliorare la propria organizzazione documentale, garantendo in pari
tempo l'autenticità, la non-ripudiabilità e l'integrità dei documenti sottoscritti
elettronicamente;
RILEVATO che il trattamento in esame verrebbe effettuato previo rilascio di
due distinte "informative" relative, rispettivamente, all'utilizzo della soluzione
proposta (art. 57, comma 1, lett. a), del D.P.C.M. 22 febbraio 2013) e al connesso
trattamento di dati personali di natura anche biometrica (art. 13 del Codice);
RILEVATO che il medesimo trattamento verrebbe effettuato su base
esclusivamente volontaria (art. 23 del Codice), previa acquisizione del libero
consenso degli interessati e con possibilità per coloro che non intendessero
aderire al servizio di sottoscrivere comunque i documenti senza utilizzare dati
biometrici, mediante firma elettronica semplice o in modalità cartacea;
VISTI gli atti dell'Ufficio, con particolare riguardo al parere tecnico reso in
data 7 settembre 2015;
RILEVATO che il trattamento oggetto dell'istanza, in considerazione delle
caratteristiche tecniche del sistema utilizzato e delle modalità di
implementazione indicate, risulta sostanzialmente conforme al provvedimento
generale del Garante del 12 novembre 2014 e alle relative prescrizioni
(paragrafo 4-4);
3
RILEVATO, tuttavia, che non risulta chiaro, sulla base delle attuali risultanze
documentali, se tutti e tre i soggetti preposti dalla società alla raccolta dei dati
anche biometrici nell'ambito del servizio qui considerato siano stati o meno
designati responsabili o incaricati del trattamento;
RITENUTO, pertanto, ai sensi dell'art. 17 del Codice, di dover prescrivere a
Validata s.r.l., ove non abbia già provveduto in tal senso, di designare tutti e tre i
soggetti preposti alla raccolta dei dati anche biometrici connessi al servizio in
esame responsabili o incaricati del trattamento (artt. 29 e 30 del Codice),
specificando analiticamente per iscritto i compiti loro affidati e vigilando
scrupolosamente sul rispetto delle istruzioni impartite;
RILEVATO che la società potrà conservare i dati biometrici ricavati dalla
firma autografa degli utenti non oltre il termine di conservazione dell'atto o del
documento cui la firma stessa afferisce (art. 11, comma 1, lett. e), del Codice),
fatta salva l'eventuale esigenza di una loro ulteriore conservazione in ragione di
specifiche disposizioni di legge o per la tutela di eventuali diritti in sede
giudiziaria;
RILEVATO che la società potrà trattare i dati biometrici degli interessati solo
dopo aver adempiuto all'obbligo di notifica di cui agli artt. 37 e 38 del Codice;
RILEVATO che il presente provvedimento concerne unicamente il
trattamento di dati biometrici effettuato da Validata s.r.l. in qualità di titolare
(artt. 4, comma 1, lett. j) e 28 del Codice) e non riguarda i trattamenti di dati
biometrici effettuati da eventuali terzi che intendessero avvalersi della soluzione
proposta. Rilevato, peraltro, che gli stessi terzi non necessitano della procedura
prevista dall'art. 17 del Codice qualora il trattamento di dati biometrici che
intendessero effettuare sia conforme alle prescrizioni indicate nel richiamato
provvedimento generale del12 novembre 2014;
ESAMINATA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1j2ooo;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
TUITO CIÒ PREMESSO, IL GARANTE
a conclusione della verifica preliminare richiesta da Validata s.r.l. relativamente
all'utilizzo di un servizio di sottoscrizione di atti e documenti con firma
elettronica avanzata, prende atto che il trattamento di dati biometrici ad esso
connesso risulta sostanzialmente conforme al provvedimento generale del 12
novembre 2014, prescrivendo comunque alla società, ai sensi dell'art. 17 del
Codice, di:
4
/.
•
-
designare, ave non abbia già provveduto in tal senso, tutti e tre i soggetti
preposti alla raccolta dei dati anche biometrici connessi al servizio in
esame responsabili o incaricati del trattamento (arti. 29 e 30 del Codice),
specificando analiticamente per iscritto i compiti loro affidati e vigilando
scrupolosamente sul rispetto delle istruzioni impartite;
- trattare i dati biometrici degli interessati solo dopo aver adempiuto
all'obbligo di notifica di cui agli artt. 37 e 38 del Codice.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente
provvedimento può essere proposta opposizione all'autorità giudiziaria
ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la
residenza il titolare del trattamento dei dati, entro il termine di trenta giorni
dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni
se il ricorrente risiede all'estero.
Roma,
17 settembre 2015
IL~E
ILSEGRET
5