Firme grafometriche e GDPR: lo stato dell’arte

Il quadro normativo e le definizioni

Il tema delle firme grafometriche si innesta sulle più ampie questioni relative al dato biometrico, in quanto la particolarità di questa tipologia di firma, resa possibile dall’evoluzione tecnologica, è quella di costituire un alter ego informatico della sottoscrizione autografa nonostante la sua “morfologia” elettronica.

La firma grafometrica può essere definita come la sottoscrizione che l’individuo effettua mediante l’utilizzo di una speciale penna, tracciandola sull’apposito tablet grafometrico fornito da parte del richiedente.

All’atto della sottoscrizione sul supporto, il firmatario pone in essere una serie meccanica di atti, che il Garante privacy inserisce tra le caratteristiche biometriche comportamentali[1], i quali dunque costituiscono dati biometrici[2] e che vengono acquisiti dal proprietario del tablet, divenendo così parte integrante del trattamento di dati personali.

Prima di analizzare compiutamente gli aspetti giuridici della firma grafometrica, occorre in via preliminare differenziarla dalle altre tipologie di firma informatica, delle quali essa, seppur con le peculiarità che la contraddistinguono, rappresenta, in fondo, una species a sé stante.

Innanzitutto, le firme informatiche e la firma autografa, ovvero l’apposizione “fisica” della sottoscrizione da parte del firmatario, costituiscono due entità in rapporto di equivalenza per scelta legislativa e dunque cumulano un agglomerato di sistemi identificativi differenti. Il termine in comune, dunque, ovvero “firma”, rappresenta il fil rouge connettivo di essenze diverse sotto il profilo ontologico, ossia della sottoscrizione autografa, basata sulla grafia, e delle firme informatiche, fondate sulla tecnica[3].

Soffermando l’attenzione sulle firme informatiche, va precisato che il nostro Codice dell’amministrazione digitale[4] prima (in senso cronologico) e il regolamento eIDAS[5] poi hanno individuato delle differenze, di infrastruttura e di sicurezza, sulle varie tipologie di firma informatica.

Anzitutto, la firma informatica rappresenta un insieme di dati (intesi in senso tecnico-informatico) attribuibili al firmatario e/o al proprietario del documento informatico che li contiene[6]; non avrebbe senso prevedere e disciplinare le firme informatiche se non esistesse un corrispettivo documento “dematerializzato” giuridicamente rilevante da poter sottoscrivere.

La definizione data dal legislatore sul documento informatico è contenuta nel CAD all’art. 1, comma 1, lett. p), il quale dispone che tale documento sia “la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”, così rendendo per la prima volta necessario definire, alla successiva lettera p-bis), cosa sia il documento c.d. analogico, ovvero, per converso, la rappresentazione non informatica degli stessi atti, fatti o dati.

Su tale assunto è stato, pertanto, possibile procedere a una più compiuta definizione delle diverse forme di firma informatica, suddivise dal legislatore in quattro differenti categorie, di cui una è esclusivamente italiana (quella della firma digitale) e alle quali può essere aggiunta la c.d. “acquisizione digitale della sottoscrizione autografa delle parti” in materia di atto pubblico notarile informatico ex d.lgs. 2 luglio 2010, n. 110[7].

La definizione di firma elettronica semplice, contenuta nell’art. 1, comma 1, lett. q), del CAD, è: «l’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica». Ne consegue che, proprio per la formulazione volutamente ampia e priva della previsione di standard di sicurezza, possono esistere molteplici tipologie di firme elettroniche con livelli di sicurezza o caratteristiche diversi, che consentono l’identificazione dell’utente sia mediante semplici password che attraverso PIN, o semplicemente con la scansione della firma autografa per mezzo di strumenti digitali e la conseguente apposizione al documento.

La firma elettronica avanzata è una firma elettronica con alcune caratteristiche di sicurezza. Più precisamente, il CAD, all’art. 1, comma 1, lett. q-bis), la definisce come “un insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”, definizione a cui l’art. 26 del Regolamento eIDAS non aggiunge sostanzialmente nulla.

La firma elettronica qualificata, invece, è «una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata e basata su un certificato qualificato per firme elettroniche», dunque una firma elettronica con la necessaria presenza del certificato qualificato conferito da un apposito provider, non menzionato nella definizione di firma elettronica avanzata.

Infine, la firma digitale, che come detto non trova collocazione nel regolamento eIDAS, è definita dal CAD come «un particolare tipo di firma qualificata basata su un su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici»[8].

Su tale contesto normativo si innesta la firma grafometrica, che è quasi inafferrabile nella collocazione sistematica: essa, infatti, può essere definita come firma elettronica semplice, ovvero firma elettronica avanzata (qualora i providers di questo servizio ne implementino i requisiti di univocità e di controllo esclusivo da parte del firmatario), o anche come “sottoscrizione autografa”, atteso che, grazie al progresso della tecnica e della sensibilità dei dispositivi di firma, chi oggi implementa la firma grafometrica cerca di fondarne la sicurezza sull’idoneità di detta firma ad essere oggetto di perizia calligrafica, dunque facendo in modo che le caratteristiche biometriche comportamentali di chi sottoscrive siano acquisite dal sistema.

Aspetti sulla sicurezza del trattamento dei dati sulle firme grafometriche alla luce del GDPR

Il GDPR, all’art. 9, paragrafo 1, vieta ai titolari di trattare dati di categorie particolari, tra cui i dati biometrici che possono identificare in modo univoco una persona fisica. Tuttavia, nel paragrafo successivo il Regolatore europeo prevede delle esenzioni per particolari finalità di trattamento dati, oltre che per i dati resi manifestamente pubblici dall’interessato.

Nell’ultimo paragrafo dell’art. 9 si prevede, infine, la possibilità per gli Stati membri di condizionare il trattamento dei dati di categorie particolari o limitarli ulteriormente.

Il Garante privacy italiano, nel provvedimento generale prescrittivo in tema di biometria adottato il 12 novembre 2014[9], ha ritenuto di esonerare i titolari del trattamento dei dati biometrici, raccolti con l’apposizione di firme grafometriche degli interessati firmatari di documenti informatici, dall’obbligo di verifica preliminare previsto dal Codice privacy[10] solo a condizione di rispettare ben undici diverse prescrizioni[11].

A titolo esemplificativo e non esaustivo, si obbliga il titolare a non lasciare persistenze di dati biometrici all’esterno del documento sottoscritto mediante firma grafometrica, nonché a garantire l’immediata cancellazione di dati grezzi e campioni appartenenti al firmatario subito dopo la sottoscrizione. Il titolare (o il responsabile) del trattamento non può salvare i dati grafometrici all’interno dell’hardware utilizzato dall’interessato per apporre la firma, mentre i dati stessi devono offrire caratteristiche di crittografia sufficientemente solide per l’ancoraggio al documento da sottoscrivere, attraverso un sistema di chiavi pubblica e privata e un certificato di firma offerto da un prestatore di servizi di certificazione accreditato a norma dell’art. 29 del CAD e, a decorrere dal 2016, del Regolamento eIDAS.

Oltre alle garanzie di sicurezza informatica dei dispositivi di firma e alle salvaguardie in caso di utilizzo di dispositivi BYOD[12], peraltro, si prevede la redazione di una relazione obbligatoria da parte del titolare del trattamento, che tenga conto delle innovazioni tecniche e delle misure concretamente adottate, da aggiornare annualmente e tenere costantemente a disposizione del Garante. Da tale adempimento sono esonerati “i titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la norma tecnica ISO/IEC 27001 che inseriscono il sistema biometrico nel campo di applicazione della certificazione”[13].

Oggi lo standard di riferimento sul formato dei dati in considerazione è la norma ISO/IEC 19794-7 (2014). Inoltre, altri dati possono risultare utili per l’analisi in un giudizio anche se non contemplati nello standard ISO/IEC 19794-7. Tra questi, i dispositivi utilizzati per la sottoscrizione e l’acquisizione del dato, dei quali la sensibilità e la calibrazione della pressione possono rappresentare indicatori tipici nella raccolta delle informazioni da parte dei soggetti competenti[14].

Tenendo anche conto della previsione di linee-guida, indicate nell’articolo 61, comma 6 delle Regole tecniche sulle sottoscrizioni informatiche, DPCM 22 febbraio 2013 ad opera di AgID[15], il quadro normativo e regolamentare si evolve nel senso di prevedere, come ormai nell’intero settore delle ICT, l’interoperabilità dei formati e un protocollo univoco nell’implementazione e nell’utilizzo di una firma informatica con caratteristiche “ibride” come la firma grafometrica.

Quanto, infine, alle misure di sicurezza aggiuntive che il GDPR ha introdotto per la tutela della libertà degli interessati, è necessario accennare ai nuovi obblighi del titolare del trattamento anche – e soprattutto – con riguardo ai dati biometrici.

In primo luogo, il titolare è tenuto al fondamentale rispetto del principio di accountability[16], menzionato in più articoli del Regolamento e foriero di conseguenze notevoli per il livello di attenzione da riservare agli aspetti attinenti alla sicurezza, minimizzazione, ritenzione riservati a queste categorie di informazioni e tutto ciò che ne consegue nei rapporti con l’Autorità di controllo[17].

In secondo luogo, l’introduzione formale da parte del Regolatore europeo nel GDPR dei principi di privacy “by design” e “by default”[18] comporta cautele strumentali antecedenti all’introduzione del trattamento dei dati grafometrici nel contesto aziendale del titolare del trattamento. Il rispetto delle linee guida costituirà solo un punto di partenza per le misure tecniche che il titolare dovrà adottare, ma certamente rappresenta una solida base per rendere lo strumento della firma grafometrica un congeniale mezzo di risparmio di tempo e denaro (oltre che di carta).

In terzo luogo, qualora il titolare voglia discostarsi dalle prescrizioni dell’Autorità e desideri implementare un trattamento che allarghi le maglie imposte dai provvedimenti e dalle norme in materia di privacy per raggiungere finalità diverse e più ampie, sarà per esso necessario, in coordinazione con il DPO[19], effettuare una DPIA[20] sul trattamento da introdurre, atteso che per talune categorie il Garante l’ha recentemente prescritta come obbligatoria in ragione delle libertà e dei diritti degli interessati sottesi. Soprattutto con riferimento alle banche, il trattamento di dati biometrici e grafometrici è spesso connesso al trattamento di dati finanziari, che come previsto ai nn. 4 e 11 dell’Allegato 1, a certe condizioni, comportano tale valutazione in modo cogente e incontrovertibile[21].

La spinta verso la semplificazione, dematerializzazione documentale e arricchimento del digitale non può passare per una compressione insostenibile della sicurezza degli interessati prima ancora che dei loro diritti, in ragione delle delicatissime conseguenze che una falla informatica o un data breach comporterebbero tanto al titolare del trattamento quanto agli interessati. Sotto l’egida dell’accountability e del pedissequo rispetto delle cautele imposte dall’Autorità di controllo si può percorrere la via dello sviluppo senza rischiare anomalie da cui potrebbero derivare costi ben maggiori dei benefici.

[1] Autorità Garante per la protezione dei dati personali, Linee guida in materia di riconoscimento biometrico e firma grafometrica, allegato A al provvedimento n. 513/2014, disponibile qui: https://www.garanteprivacy.it/en/home/docweb/-/docweb-display/docweb/3563006.

[2] Ai sensi dell’art. 4, n. 14 del Regolamento (UE) 2017/679 (GDPR), si definiscono “dati biometrici” i «dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici». Il testo del GDPR è disponibile qui.

[3] Cfr. G. Finocchiaro, La metafora e il diritto nella normativa sulla cosiddetta “firma grafometrica”, in Dir. informatica, I, 2013, 1 ss. Si osservi che, successivamente, l’assetto normativo sulle definizioni di cui tenere conto in materia di firme informatiche è stato ridefinito con il Reg. (UE) 2014/910 (c.d. Regolamento eIDAS), disponibile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32014R0910&from=IT.

[4] D.lgs. 7 marzo 2005, n. 82 e successive modifiche, disponibile qui: https://docs.italia.it/italia/piano-triennale-ict/codice-amministrazione-digitale-docs/it/v2017-12-13/. Dopo l’emanazione del Regolamento (UE) 2014/910 il Codice è stato riformato dal d.lgs. 179/2016.

[5] V. nota 3. «e» sta per «electronic», «ID» per «identification», «A» per «authentication» e «S» per «signature».

[6] Naturalmente, la firma informatica costituisce un insieme di dati che sono acclusi al documento che si vuole firmare e che ne identificano, per l’appunto, il firmatario.

[7] Disposizioni in materia di atto pubblico informatico redatto dal notaio, a norma dell’art. 65 della legge 18 giugno 2009, n. 69, disponibile qui: http://www.gazzettaufficiale.it/gunewsletter/dettaglio.jsp?service=1&datagu=2010-07-19&task=dettaglio&numgu=166&redaz=010G0132&tmstp=1279635699204.

[8] Sul disconoscimento e sull’efficacia probatoria delle firme informatiche v. ancora G. Finocchiaro, Il contratto nell’era dell’intelligenza artificiale, in Rivista Trimestrale di Diritto e Procedura Civile, 2, giugno 2018, 441 ss.

[9] Autorità Garante per la Protezione dei dati personali, deliberazione n. 513 del 2014, disponibile qui: https://www.garanteprivacy.it/en/home/docweb/-/docweb-display/docweb/3556992

[10] Decreto legislativo 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali”, da ultimo modificato con il d.lgs. 101/2018. Il testo del Codice è disponibile qui: https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29.

[11] Si osservino le condizioni dalla lettera a) alla lettera k) del provvedimento di cui alla nota 9, pp. 8-9.

[12] Bring Your Own Device. Si tratta di un’espressione usata per riferirsi alle politiche aziendali che permettono di portare i propri dispositivi personali nel posto di lavoro e usarli per avere gli accessi privilegiati alle informazioni aziendali e alle loro applicazioni.

[13] V. provvedimento del Garante privacy n. 513/2014 di cui alla nota 9, p. 9.

[14] G. Manca, “Firma elettronica avanzata grafometrica: sicurezza, interoperabilità e periziabilità”, in Agendadigitale, https://www.agendadigitale.eu/documenti/firma-elettronica-avanzata-grafometrica-sicurezza-interoperabilita-e-periziabilita/.

[15] Le linee guida sono disponibili qui: http://www.gazzettaufficiale.it/eli/id/2013/05/21/13A04284/sg.

[16] V. art. 24 del GDPR.

[17] Nelle linee-guida di cui alla nota 1 è analizzato compiutamente ogni aspetto del trattamento, anche con riferimento alla proporzionalità, finalità, liceità e necessità.

[18] Protezione dei dati fin dalla progettazione e per impostazione predefinita, come da rubrica dell’art. 25. Cfr. anche i considerando 75-78.

[19] Data Protection Officer o Responsabile per la Protezione dei Dati (RPD), come previsto agli artt. 37 ss. del GDPR.

[20] Data Protection Impact Assessment o valutazione di impatto sul trattamento dei dati ai sensi dell’art. 35 del GDPR.

[21] Cfr. Autorità Garante per la Protezione dei dati personali, Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, Allegato 1 al provvedimento n. 467/2018, disponibile qui.