Garante per la protezione
    dei dati personali


Trattamento dei dati effettuato inattuazione della Convenzione di applicazione dell'Accordo di Schengen presso leDivisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza delMinistero dell'interno - Differimento dei termini per le prescrizioni delGarante

PROVVEDIMENTO DEL 27 FEBBRAIO 2014

Registro dei provvedimenti
 n. 105 del 27 febbraio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa  Giovanna Bianchi Clerici, componenti e del dott. GiuseppeBusia, segretario generale;

VISTAla legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli edegli accordi di adesione all'Accordo di Schengen e alla relativa Convenzionedi applicazione e, in particolare, l'articolo 11, come modificato dall'articolo173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno2003, n. 196);

VISTOil Codice in materia di protezione dei dati personali e, in particolare, gliartt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B);

VISTOil provvedimento del 12 novembre 2009,adottato dal Garante a seguito di accertamenti effettuati presso le DivisioniN-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministerodell'interno volti a verificare l'idoneità delle misure di sicurezza dei dati edei sistemi adottate presso dette strutture nel trattamento dei dati effettuatoin attuazione della Convenzione di applicazione dell'Accordo di Schengen;

RILEVATOche con detto provvedimento l'Autorità ha prescritto, ai sensi degli artt. 154,comma 1, lett. c) e 160 del Codice, al Ministero dell'interno-Dipartimentodella pubblica sicurezza di adottare alcune misure, entro i termini iviprecisati, attinenti al profilo della sicurezza dei dati personali e deisistemi, volte ad assicurare un rafforzamento del livello di protezione delleinformazioni trattate commisurato alle finalità della banca di dati N-S.i.s. eal rilievo dei sistemi informativi in esame, con riferimento, in particolare,a:

- 6.1auditing di sicurezza della banca di dati N-S.i.s.;

- 6.2produzione periodica di rapporti statistici;

- 6.3sicurezza e integrità dei dati di log e di auditing della banca di datiN-S.i.s.;

- 6.4 sicurezza dei flussi informativi della Divisione S.i.re.n.e.;

- 6.5 accesso ai dati di log del sistema di archiviazione "Teseo";

- 6.6 protezione fisica della sala server delle Divisioni N-S.i.s. e S.i.re.n.e.;

- 6.7disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s.;

VISTIi provvedimenti del 31 marzo 2011, 24 gennaio 2013 e 1 agosto 2013 con i qualiil Garante, valutate le difficoltà rappresentate dal Ministerodell'interno-Dipartimento della pubblica sicurezza nella realizzazione di dettemisure, ne ha disposto il differimento dei termini di attauzione;

RITENUTOche il Garante, in relazione agli obblighi di controllo ad esso affidati dalCodice, deve verificare l'adozione delle misure prescritte (art. 160, comma 2);

RILEVATOche alla data del 31 dicembre 2013 è scaduto il termine assegnato per ilcompimento delle misure non ancora completate, e precisamente:

- 6.1auditing di sicurezza della banca di dati N-S.i.s.;

- 6.2produzione periodica di rapporti statistici;

- 6.3sicurezza e integrità dei dati di log e di auditing della banca di datiN-S.i.s.;

- 6.7disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s.;

VISTAla nota del 23 dicembre 2013 con la quale  il Ministerodell'interno-Dipartimento della pubblica sicurezza ha comunicato che, per poterrealizzare alcune soluzioni atte a implementare con soluzioni tecnologicheaggiornate alcune funzionalità relative alle prescrizioni di cui ai punti 6.1 e6.3, "si era reso necessario l'adeguamento dell'infrastruttura hardware diproduzione dei servizi del SIS" attraverso una Nuova PiattaformaTecnologica (NPT) che "per poter andare in esercizio deve essere anchesottoposta ad una campagna di test di validazione effettuati con l'AgenziaEuropea EU-LISA (European Agency for Large-Scale IT System), responsabile dellagestione tecnica ed operativa del sito centrale del SIS di Strasburgo(C.SIS)"; rilevato che il Ministero ha rappresentato che la inizialepianificazione dei test, tempestivamente richiesti, e che "avrebbepermesso di poter mettere in esercizio la NPT nel rispetto dei tempi prescritti",ha subìto un differimento dovuto all'effettuazione di altri test in sedeeuropea "in vista della prossima integrazione nel sistema SIS del RegnoUnito", per cui i test relativi alla NPT potevano essere effettuati"nella prima settimana del mese di marzo 2014"; vista ladocumentazione prodotta a corredo della nota;

RILEVATO,altresì, che il Ministero ha anche rappresentato in detta nota che, per lefunzionalità relative alle prescrizioni di cui ai punti 6.1 e 6.3 il cuirilascio non dipende dalla NPT, "la messa in produzione di talifunzionalità nell'attuale ambiente di produzione, se pur possibile,comporterebbe la necessità di distogliere delle risorse umane dalle attività ditest previste [in sede europea], nonché un aggravio economico () per poi dovereffettuare di nuovo tali attività sulla nuova infrastruttura";

RILEVATOche, in considerazione di tale situazione, il Ministero ha chiesto al Garante"di voler concedere una proroga al 31 marzo 2014 dei termini previsti perl'implementazione delle funzionalità sopra esaminate";

RILEVATO,infine, che in detta nota il Dipartimento ha comunicato di avere adempiuto allaprescrizione di cui al punto 6.2 e, quanto alla misura di cui al punto 6.7, diavere, allo stato, implementato "nel medesimo compendio del sitoprimario" () il sito secondario attualmente disponibile per ospitare isistemi di Business Continuity";

VISTAla nota del 9 gennaio 2014 con la quale il Ministero dell'interno-Dipartimentodella pubblica sicurezza, con riferimento all'attuazione della prescrizione dicui al punto 6.1 relativamente al profilo concernente la realizzazione delpotenziamento nella struttura del Dipartimento della funzione organizzativaresponsabile dell'attività di auditing per la sicurezza e la disponibilità deidati, cui attribuire efficaci compiti di security manager interno, harappresentato la necessità di redigere un nuovo schema di decreto"predisposto e completato lo scorso mese di dicembre" – piùarticolato di quello predisposto nel luglio 2013 e sul quale il Garante ha resoil parere positivo l'1 agosto 2013 – che, oltre a istituire, nell'ambitodella Direzione centrale della polizia criminale, un'apposita unitàorganizzativa denominata Ufficio per la sicurezza dei dati "cui sonoattribuite funzioni di auditing per la sicurezza e la disponibilità dei datiregistrati nel Centro elaborazione dati e nella banca dai N.S.i.s.",prevede "il trasferimento presso quest'ultima Direzione centrale dellabanca dati N.S.i.s. e la formale istituzione, nell'ambito della stessa, dellabanca dati nazionale del DNA", "al fine di assicurare maggiorecoerenza e organicità all'assetto ordinamentale della citata Direzionecentrale, nel quadro di un più ampio progetto di riordino";

RILEVATOche, in considerazione della necessità di acquisire sul nuovo schema didecreto, trasmesso all'Autorità, il parere del Garante e il concerto delMinistro dell'economia e delle finanze, il Dipartimento ha chiesto al Garanteil differimento al 30 aprile 2014 del termine fissato per l'adempimento della prescrizione;

VISTAla nota del 12 febbraio 2014 con la quale il Ministerodell'interno-Dipartimento della pubblica sicurezza, nel completare leinformazioni relative all'attuazione della prescrizione di cui al punto 6.7, hariferito che "è stata individuata l'area ove è possibile realizzare ildisaster recovery sia per il Sistema Schengen che per il Servizio per ilSistema Informativo Interforze che gestisce il Centro Elaborazione datiinterforze e la Banca Dati del DNA", che "in data 6 febbraio u.s. èstato aggiudicato l'appalto per la realizzazione delle opere murarie" eche "dopo il collaudo della struttura sarà possibile avviare iltrasferimento nei nuovi locali dei sistemi di Business Continuity attualmentedislocati nel complesso "Anagnina";

RITENUTOche, tenuto conto di quanto comunicato dal Ministero nella nota del 23 dicembre2013 in ordine alle difficoltà sopravvenute nella realizzazione delle misure dicui ai punti 6.1 e 6.3 nella parte in cui richiedono l'effettuazione dei test,e considerato che in detta nota viene anche rappresentato che l'AgenziaEU-LISA, nel determinare le nuove modalità di test, "ampliandone laportata e prolungandone i tempi () non ha dato ancora conferma dellapianificazione indicata" e non è quindi possibile escludere l'eventualitàdi ulteriori ritardi, appare congruo disporre un differimento al 30 giugno 2014del termine per l'adempimento delle prescrizioni di cui ai punti 6.1 e 6.3nella parte in cui richiedono l'effettuazione dei test;

RITENUTOche, valutato quanto rappresentato dal Ministero nella nota del 9 gennaio 2014riguardo alla definitiva adozione del nuovo decreto istitutivo dell'Ufficio perla sicurezza dei dati, appare congruo disporre il differimento al 30 giugno2014 anche del termine per l'adempimento della prescrizione di cui al punto 6.1nella parte concernente la realizzazione del potenziamento nella struttura delDipartimento della funzione organizzativa responsabile dell'attività di auditingper la sicurezza e la disponibilità dei dati, cui attribuire efficaci compitidi security manager interno;

RITENUTOche entro lo stesso termine del 30 giugno 2014 il Ministero dovrà dareriscontro circa la completa attuazione e operatività delle predette misure,trasmettendo all'Autorità, entro la medesima data, una relazione descrittiva ditutte le misure definitivamente realizzate e dei risultati ottenuti a seguitodei test; 

PRESOATTO che con la nota del 23 dicembre 2013 il Ministero ha comunicato di avereadempiuto alla prescrizione di cui al punto 6.2;

DATOATTO, quanto alla prescrizione di cui al punto 6.7, che il Ministero con lanota del 23 dicembre 2013 ha comunicato di avere implementato i sistemi dibusiness continuity nel medesimo compendio del sito primario, e con la nota del12 febbraio 2014 ha riferito delle attività in corso volte alla realizzazionedelle opere necessarie ad attuare la prescrizione in materia di aggiornamentodei piani di disaster recovery e di compimento dei conseguenti necessariinterventi;

RITENUTOpertanto di differire, allo stato, al 31 dicembre 2014 il termine perl'adempimento di tale prescrizione, e di prescrivere, altresì, al Ministerodell'interno-Dipartimento della pubblica sicurezza, al fine di consentire aquesta Autorità la verifica dello stato di attuazione della misura, ditrasmettere entro il 30 giugno 2014 ogni documentazione utile ad illustraredettagliatamente le attività finora compiute in ordine alla scelta del sitodestinato ad ospitare le strutture e alla procedura di appalto volta alla lororealizzazione, con l'indicazione della tempistica prevista per il completamentodelle opere e per l'effettiva operatività dei sistemi da implementare in dettestrutture;

DATOATTO che il Garante si riserva di effettuare ulteriori accertamenti presso lecompetenti strutture del Dipartimento della pubblica sicurezza sul trattamentodei dati personali effettuato in attuazione della Convenzione di applicazionedell'Accordo di Schengen, in particolare sulla realizzazione delle attivitàfinalizzate alla transizione del Sistema per adeguarlo ai requisiti del SIS II,anche in considerazione dell'obbligo di adempiere alla raccomandazione adottatadalla Commissione di valutazione del Consiglio dell'unione europea, all'esitodelle verifiche effettuate nel gennaio 2010 in Italia presso le competentistrutture del Ministero dell'interno e presso il Garante, sulla necessità disvolgere tali accertamenti anche sulla base dei file di log delle operazionisvolte sul Sistema;

CONSIDERATOche le prescrizioni impartite dal Garante ai sensi degli artt. 154, comma 1, lett.c) e 160 del Codice sono assistite da sanzione amministrativa (art. 162, comma2ter, del Codice);

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE

a)dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, neiconfronti del Ministero dell'interno-Dipartimento della pubblica sicurezza ildifferimento al 30 giugno 2014 del termine stabilito per l'adempimento delleprescrizioni di cui ai punti 6.1 e 6.3 impartite con il provvedimento del 12novembre 2009;

b)prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, alMinistero dell'interno-Dipartimento della pubblica sicurezza di dare riscontroall'Autorità entro il 30 giugno 2014 circa la completa attuazione e operativitàdelle predette misure, trasmettendo all'Autorità, entro la medesima data, unarelazione descrittiva di tutte le misure definitivamente realizzate e deirisultati ottenuti a seguito dei test;

c)dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, neiconfronti del Ministero dell'interno-Dipartimento della pubblica sicurezza ildifferimento al  31 dicembre 2014 del termine stabilito per l'adempimentodella prescrizione di cui al punto 6.7 impartita con il provvedimento del 12novembre 2009 in materia di aggiornamento dei piani di disaster recovery e dicompimento dei conseguenti necessari interventi;

d)prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, alMinistero dell'interno-Dipartimento della pubblica sicurezza, in ordine allamisura di cui al capo c), di trasmettere all'Autorità entro il 30 giugno 2014ogni documentazione utile ad illustrare dettagliatamente le attività finoracompiute in ordine alla scelta del sito destinato ad ospitare le strutture ealla procedura di appalto volta alla loro realizzazione, con l'indicazionedella tempistica prevista per il completamento delle opere e per l'effettivaoperatività dei sistemi da implementare in dette strutture;

d)riserva ogni altro provvedimento all'esito dei riscontri forniti dal Ministerodell'interno-Dipartimento della pubblica sicurezza.

Roma, 27 febbraio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia