| Garante per la protezione dei dati personali [vedi IN PROGETTO LA CARTAMULTISERVIZI DELLA GIUSTIZIA (CMG) PER UN ACCESSO PI SICURO AI SISTEMIINFORMATICI GIUDIZIARI. LE VALUTAZIONI DEL GARANTE
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti e del dott. Giovanni Buttarelli, segretario generale; Vista la documentazione sottoposta, perle valutazioni di competenza del Garante, dal Ministero della giustizia,Dipartimento dell'organizzazione giudiziaria, del personale e deiservizi-Direzione generale per i sistemi informativi automatizzati, con notadel 5 settembre 2005; Visto l'art. 17 del Codice; Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO stata sottoposta alla valutazionedi questa Autorit la documentazione relativa ad un progetto elaborato dalMinistero della giustizia volto a realizzare un sistema sicuro di accesso delpersonale dipendente e dei magistrati operanti negli uffici giudiziari delle regionimeridionali, sia ai sistemi informatici dell'amministrazione che trattano datisensibili e giudiziari in sede locale (registri generali dei procedimentipenali e civili, basi dati investigative, ecc.), sia per il connesso accesso abanche dati centralizzate (ad esempio, il casellario giudiziale). Il progetto ha l'obiettivo di innalzarela protezione dei dati sensibili e giudiziari trattati presso uffici giudiziarie banche dati centralizzate dell'amministrazione della giustizia, sulla base diuna carta elettronica distribuita al personale abilitato all'accesso, nonch dirilevatori biometrici utilizzati per autenticare gli utenti all'attodell'accesso a postazioni di lavoro o dell'ingresso in particolari locali. Bench non espressamente precisato nellarichiesta del Ministero la stessa rileva, riguardo agli aspetti di competenzadel Garante, come interpello volto a promuovere una verifica preliminareall'inizio del trattamento dei dati. L'art. 17 del Codice in materia diprotezione dei dati personali, applicabile anche agli uffici giudiziari eall'amministrazione della giustizia(cfr. art. 47 del Codice), prevede infatti tale verificapreliminare in riferimento ai trattamenti di dati personali, diversi da quellisensibili e giudiziari, che presentano rischi specifici per i diritti e lelibert fondamentali, nonch per la dignit dell'interessato, in relazione allanatura dei dati o alle modalit del trattamento o agli effetti che esso pudeterminare; in tale tipologia rientra il trattamento delle impronte digitali. Nell'esercizio del compito previsto datale disposizione, il Garante prescrive quindi, con il presente provvedimento,le misure e gli accorgimenti posti a garanzia dell'interessato, nel rispettodei quali il trattamento ammesso. Le prescrizioni che seguono vengono resein considerazione del trattamento previsto di dati biometrici –oltre cheanagrafici– degli assegnatari della Carta multiservizi giustizia. Il Garante esprime le proprie valutazionitenendo conto degli elementi forniti dal Ministero della giustizia con la notadel 5 settembre 2005 e con riferimento ai soli profili di propriacompetenza. OSSERVA 1. Il progetto Il progetto inesame prevede l'impiego di una carta microprocessore (Carta multiservizigiustizia: Cmg) affidata indotazione a ciascuna persona fisica abilitata all'accesso ai locali (adesempio, le sale C.e.d.) e agli ambienti ad alta criticit. Nel progetto previsto che all'uso dellacarta sia affiancato l'utilizzo di sensori biometrici che permettano la sicuraautenticazione dell'utente al momento dell'accesso. A tal fine, la richiestarivolta al Garante precisa che nella Cmg, oltre ai dati anagrafici, saranno registrati due template delleimpronte digitali del dipendente, per permettere un'autenticazione informaticalocale secondo la procedura one-to-one matching La Cmg verr realizzata dall'Istitutopoligrafico Zecca dello Stato (I.p.z.s.), secondo le specifiche della Cartanazionale dei servizi (Cns) adottate con d.m. 9 dicembre 2004 (di attuazionedell'art. 9 del d.P.R. 2 marzo 2004, n. 117). previsto che i dati del personalevengano acquisiti in sede locale attraverso apposite apparecchiature hardwaree software, raccolti a livellocentrale nel database delMinistero ed inoltrati all'I.p.z.s. che, effettuata la fornitura, provveder adistruggerli. , infine, previsto che i dati vengano mantenuti in custodiain detto database, in formacifrata, per l'eventuale rilascio di duplicati dovuto a furto o smarrimentodella carta. 2. Trattamento di dati personalicon strumenti elettronici La realizzazione di un sistema sicuro diaccesso a contenuti informatici critici un obiettivo coerente con leprevisioni che il Codice detta per il trattamento dei dati personali effettuatocon strumenti elettronici, descritte negli artt. 31 ss. e nelleregole tecniche contenute nel disciplinare tecnico (All. B) al Codice). Queste disposizioni prevedono che iltrattamento dei dati personali con strumenti elettronici sia consentito aisoggetti, preventivamente designati quali incaricati (regola 1 Allegato B), chedispongano di una credenziale di autenticazione. Tale credenziale pu essere di vario tipoe pu consistere anche in una caratteristica biometrica dell'incaricatoeventualmente associata a un codice identificativo o a una parola chiave(regola 2 Allegato B). Le regole tecniche dell'Allegato B devonoessere inquadrate nel sistema del Codice. Il titolare del trattamento devequindi scegliere il tipo di credenziale a seconda della natura o delle modalitdel trattamento, del contesto in cui esso si inserisce e dei tipi di datitrattati, optando per la caratteristica biometrica solo quando il trattamentodei dati biometrici possa ritenersi necessario e proporzionato in rapporto allefinalit perseguite. Di conseguenza, il Garante valutapositivamente la scelta nel caso in esame della caratteristica biometrica. Nella realizzazione del sistema devonoessere poi rispettate tutte le altre prescrizioni in materia di misure minimedi sicurezza nel trattamento di dati personali con strumenti elettroniciindicate nelle disposizioni richiamate. 3. Principi in materia di trattamento deidati personali e relative prescrizioni Detta realizzazione deve essereeffettuata, altres, in armonia con gli altri principi informatori delladisciplina in materia di protezione dei dati personali, espressi in primo luogonell'art. 11 del Codice. In particolare: 3.1 Con riferimento al principio difinalit (art. 11, comma 1, lett. b)), va prescritto che i dati personalidei dipendenti e dei magistrati, di tipo sia anagrafico, sia biometrico, sianoraccolti e trattati nell'ambito del progetto in esame solo per le finalit, cherisultano giustificate, sottese alla realizzazione della Cmg 3.2 In relazione al principio dipertinenza e non eccedenza (art. 11, comma 1, lett. d)) va prescritto che sianoacquisiti e trattati i soli dati personali, anagrafici e biometrici, pertinentie non eccedenti rispetto al perseguimento della finalit dell'autenticazionedegli accessi fisici e logici, e in relazione alle sole persone fisicheabilitate; non potranno essere trattate informazioni ulteriori, o relative apersone fisiche non legittimate al trattamento di dati sensibili e giudiziari. 3.3 Per quanto riguarda i tempi diconservazione (art. 11, comma 1, lett. e)), va prescritto che i dati sianoconservati per il solo tempo necessario per raggiungere lo scopo per il qualeessi sono stati raccolti e trattati; dovranno essere quindi distrutteperiodicamente le informazioni relative a persone gi abilitate che non sianopi legittimate, per varie ragioni, ad accedere ai dati sensibili e giudiziari. 3.4 Resta poi fermo che, ai sensidell'art. 11, comma 2 del Codice, i dati personali trattati in violazione delladisciplina rilevante in materia di trattamento dei dati personali non potranno essere utilizzati. 4. Ulteriori misure disicurezza Il progetto prevede l'acquisizione delle informazioni nellesedi locali, la successiva comunicazione all'amministrazione centrale e latrasmissione all'I.p.z.s.. Si valuta positivamente la circostanza,desumibile dalla nota di richiesta, che nel progetto sia previsto che leinformazioni biometriche vengano trattate in sede di autenticazione/verificadell'accesso in forma solo sintetizzata e compressa (template Va tuttavia rescritto che: 4.1 i flussi informativi prodottidalla procedura adottino meccanismi di protezione delle comunicazioni(cifratura, protocolli di rete sicuri) in accordo con le previsioni contenutenelle "Regole tecniche e di sicurezza relative alle tecnologie e aimateriali utilizzati per la produzione della Carta nazionale dei servizi (art.5.1.7 del citato d.m. 9 dicembre 2004); 4.2 siano adottati canali sicuri ditrasmissione con sistemi di cifratura simmetrica con chiavi di lunghezza almenopari a 128 bit; 4.3 il modulo software peracquisire le informazioni utilizzi sessioni Ssl con meccanismi diautenticazione del server e delle postazioni client.
5. Database centralizzato Ilprogetto prevede l'archiviazione centralizzata dei dati personali deidipendenti e dei magistrati coinvolti nel sistema; quella concernente i datibiometrici avrebbe il fine specifico di consentire all'amministrazionel'eventuale rilascio di duplicati in caso di furto o smarrimento della carta. Rilevato ancora che nella documentazionetecnica trasmessa non esplicitata una previsione chiara sulla circostanza cheanche il trattamento centralizzato delle informazioni biometriche debbaavvenire solo in forma di template, anzich di immagine dattiloscopica, sirileva che, come il Garante ha avuto pi volte modo di ribadire, la creazionedi una banca dati centralizzata, che interessi una ampia generalit disoggetti, presuppone una rigorosa valutazione che va oltre l'aspetto dellasicurezza e dell'integrit dei dati e che riguarda, in primo luogo, le finalitperseguite, i flussi di dati, l'utilizzazione ulteriore delle informazioni,l'individuazione di compiti e responsabilit. Richiamato, al riguardo, quanto girilevato in ordine al necessario rispetto dei principi posti dall'art. 11 delCodice, il Garante constata che, nella specie, la creazione di tale archivionon risulta in armonia con il principio di proporzionalit del trattamento deidati (v. il gi citato comma 1, lett. d) dell'art. 11), stantela sola finalit dichiarata di consentire l'eventuale rilascio di duplicatidelle carte. La stessa esigenza pu, infatti, essere soddisfatta agevolmenteattraverso un processo di nuova acquisizione dei dati del singolo dipendentetramite procedura gi collaudata. In conclusione: mentre il ricorso a caratteristichebiometriche degli interessati, oggetto della restante parte del progetto,risulta giustificato in rapporto alle finalit perseguite, il Garante ritieneche, per quanto riguarda i dati biometrici, non sussistano esigenze dicomplessiva funzionalit del sistema o di perseguimento di specifiche finalit,non altrimenti soddisfabili, che giustifichino la loro introduzione in unabanca dati. 6. Designazione di responsabili edincaricati Come gi rilevato, il progetto prevede che la produzione dellecarte sia affidata all'I.p.z.s., soggetto esterno al Ministero della giustiziache riveste il ruolo di titolare del trattamento dei dati. Al riguardo, comepure nell'ipotesi di intervento di altri soggetti esterni all'amministrazione(come pu verificarsi in caso di prestazione di servizi in outsourcing), devonoessere regolati con attenzione i rapporti tra tutti i soggetti coinvolti, ancheattraverso la designazione di incaricati e di eventuali responsabili. IlGarante richiama in conclusione l'attenzione del Ministero sui predettiaccorgimenti e misure da attuare ai sensi dell'art. 17 del Codice. TUTTO CI PREMESSOIL GARANTE prescrive al Ministero della giustizia,ai sensi dell'art. 17 del Codice, di adottare, nella realizzazione del progettoillustrato nella nota del 5 settembre 2005, le misure e gli accorgimenti agaranzia degli interessati, nei termini di cui in motivazione.
|