La persona sottoposta a TSO ha diritto di ricevere comunicazione del provvedimento che dispone il trattamento e di essere sentita dal giudice tutelare prima della convalida
Corte Costituzionale – Sentenza 30 maggio 2025, n. 76 e comunicato stampa
Risposta della Dott.ssa Francesca Urbani
QuesitiSi chiede un parere normativo un parere normativo in merito alla possibilità di apporre la firma grafometrica tramite un tablet, considerando che la raccolta di tale firma configura un trattamento di dati biometrici.
La firma grafometrica è una tipologia di firma elettronica avanzata, realizzata tramite un dispositivo in grado di rilevare alcune caratteristiche essenziali ai fini della formazione e qualificazione della stessa.
Tale strumento deve infatti registrare, a titolo esemplificativo ma non esaustivo, la velocità di scrittura, la pressione esercitata, l’accelerazione del movimento, il tratto della sottoscrizione. La validazione della firma avviene tramite l’elaborazione e la memorizzazione di tali dati, confrontati con i parametri del profilo depositato, consentendo di identificare con certezza il firmatario. Le caratteristiche rilevate ed elaborate rientrano nella categoria dei cosiddetti “dati biometrici”, definiti dal Reg.679/2016 (GDPR) come “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.
Il GDPR, all’art. 9, paragrafo 1, vieta ai titolari del trattamento di trattare dati particolari, tra cui i dati biometrici che possono identificare in modo univoco una persona fisica. Tuttavia, nelle disposizioni successive il legislatore prevede delle esenzioni per particolari finalità di trattamento dati e qualora l’interessato fornisca il proprio consenso esplicito al trattamento di tali dati per una o più finalità specifiche.
Per la raccolta di una firma grafometrica è pertanto necessario agire in conformità a quanto disposto dal legislatore nazionale e comunitario nonché applicare le regole sancite dal Garante per la Protezione dei Dati Personali nel Provvedimento prescrittivo n. 513/2014, il quale appunto fornisce indicazioni operative ed organizzative al fine di un lecito trattamento dei dati biometrici.
Secondo il Garante la raccolta di dati biometrici ai fini dell’apposizione di una firma grafometrica è lecita solo se si è ottenuto il consenso degli interessati, con la specifica che devono comunque essere resi disponibili sistemi alternativi di sottoscrizione. Nel Provvedimento surriferito il Garante ha poi ritenuto opportuno esonerare i titolari del trattamento dei dati biometrici raccolti con l’apposizione di firme grafometriche dall’obbligo di verifica preliminare previsto dal vecchio Codice privacy (d.lgs. 196/2003), ma solo a condizione che gli stessi rispettino le prescrizioni sancite ed adottino tutte le misure e gli accorgimenti tecnici descritti nel provvedimento stesso. Al punto 4.4 del Provvedimento si legge quanto segue:
“Il trattamento di dati biometrici costituiti da informazioni dinamiche associate all’apposizione a mano libera di una firma autografa avvalendosi di specifici dispositivi hardware è ammesso in assenza di verifica preliminare laddove si utilizzino sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata, così come definita dal Decreto Legislativo 7 marzo 2005, n. 82, recante il “Codice dell’amministrazione digitale” che non prevedono la conservazione centralizzata di dati biometrici. L’utilizzo di tali sistemi, da un lato, si giustifica al fine di contrastare eventuali tentativi di frode e il fenomeno dei furti di identità e, dall’altro, ha lo scopo di rafforzare le garanzie di autenticità e integrità dei documenti informatici sottoscritti, anche in vista di eventuale contenzioso legato al disconoscimento della sottoscrizione apposta su atti e documenti di tipo negoziale in sede giudiziaria.”
Qualora il titolare voglia discostarsi dalle disposizioni del Garante e desideri implementare un trattamento con finalità più estese, sarà necessario effettuare una DPIA/Valutazione di Impatto sul nuovo trattamento da sviluppare.
Si ricorda infine la necessità per il Titolare del Trattamento di sottoporre al firmatario l’informativa specifica sul trattamento dei dati biometrici al fine dell’apposizione della firma grafometrica.
19 Giugno 2024 Francesca Urbani
Per i clienti Halley: ricorrente QA n. 78, sintomo n. 77
Corte Costituzionale – Sentenza 30 maggio 2025, n. 76 e comunicato stampa
ANAC – 28 maggio 2025 (Delibera n. 183 del 30 aprile 2025)
Risposta del Dott. Luigi Oliveri
Risposta del Dott. Massimo Monteverdi
Ricevi via email i nuovi contenuti pubblicati nel portale
In collaborazione con:
