Il Garante privacy ha autorizzato una banca ad installare un sistema automatizzato per la gestione delle cassette di sicurezza che consente ai clienti, attraverso l’uso delle impronte digitali, l’accesso tutti i giorni dell’anno, 24 ore su 24,  senza l’intervento del personale dell’istituto di credito.

Il sistema, sottoposto a verifica preliminare dell’Autorità,  non comporta la creazione di un archivio centralizzato di dati biometrici, poiché l’impronta digitale, o meglio il codice numerico (template) da essa ricavato alla prima rilevazione, è conservato esclusivamente nella smart card in possesso del cliente.

Per accedere alle cassette di sicurezza  il cliente deve procedere alla propria “autenticazione” mediante un codice PIN e il confronto tra la propria impronta digitale e il template  memorizzato sulla smart card. A quanti, invece, non vogliono o non possono avvalersi del sistema di riconoscimento biometrico sarà comunque garantita una modalità di accesso alternativo alle cassette di sicurezza, in tal caso però fruibile solo durante l’orario di sportello e previa identificazione personale. Nel dare il via libera al progetto, l’Autorità ha ritenuto lecito e proporzionato il trattamento di dati biometrici dei clienti, ai quali va richiesto un consenso scritto. In particolare è lecita – secondo il Garante – la finalità perseguita dalla banca di voler innalzare il livello di sicurezza e poter così coniugare la tutela dei beni conservati nelle cassette con l’utilità di garantire alla clientela un servizio continuativo. Il trattamento inoltre – sempre a parere del Garante –  è risultato proporzionato, poiché non è prevista la conservazione dei dati biometrici in archivi centralizzati ma il dato criptato dell’impronta è memorizzato esclusivamente nella smart card.  All’ istituto di credito è stato inoltre prescritto di informare chiaramente i clienti  della possibilità di un accesso alternativo alle cassette di  sicurezza  senza rilevazione delle impronte e  di notificare all’Autorità il trattamento dei dati biometrici prima dell’inizio delle operazioni. La banca dovrà infine designare per iscritto il personale incaricato del trattamento dei dati e fornire loro adeguate istruzioni alle quali attenersi