| Garante per la protezione dei dati personali Trattamento dei dati effettuato inattuazione della Convenzione di applicazione dell'Accordo di Schengen presso leDivisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza delMinistero dell'interno - Prescrizioni del Garante Provvedimento del 12 novembre 2009 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del prof. Francesco Pizzetti, presidente, deldott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e deldott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi,segretario generale; VISTAla legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli edegli accordi di adesione all'Accordo di Schengen e alla relativa Convenzionedi applicazione e, in particolare, l'articolo 11, come modificato dall'articolo173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno2003, n. 196); VISTOil Codice in materia di protezione dei dati personali e, in particolare, gliartt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B); VISTAla documentazione in atti; VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREil prof. Francesco Pizzetti; PREMESSO IlGarante per la protezione dei dati personali è l'autorità indipendenteincaricata di esercitare il controllo sui trattamenti dei dati personali inapplicazione della Convenzione di applicazione dell'Accordo di Schengen e dieseguire le verifiche previste nel relativo articolo 114 (art. 173 del Codice;art. 11 della legge 30 settembre 1993, n. 388; art. 114 Convenzione cit.). Nell'ambitodell'azione comune deliberata dall'Autorità di controllo comune Schengen (AccSchengen), istituita dall'articolo 115 della predetta Convenzione, volta adaccertare la liceità e la correttezza del trattamento dei dati da parte degliStati membri a fini di sorveglianza discreta o di controllo specifico (art. 99Convenzione cit.), il Garante ha deliberato di svolgere, ai sensi dell'art. 160del Codice, anche con visite in loco presso i competenti uffici, centrali eperiferici, del Ministero dell'interno-Dipartimento della pubblica sicurezza,accertamenti più ampi sulla liceità e correttezza dei trattamenti comunqueeffettuati per l'attuazione della Convenzione. Gliuffici interessati hanno prestato la propria collaborazione fornendo anche glielementi e la documentazione richiesti. All'esitodella prima fase di accertamenti, con il provvedimento adottato il 10 luglio2008 il Garante ha prescritto al Ministero dell'interno-Dipartimento dellapubblica sicurezza alcune modificazioni e integrazioni al trattamento di datipersonali effettuato in applicazione della predetta Convenzione concernenti lacomplessiva organizzazione del trattamento dei dati effettuato presso icompetenti uffici, centrali e periferici, del Dipartimento medesimo, e lerelative modalità. Ilpresente provvedimento prende in esame le risultanze delle ulteriori verificheeffettuate concernenti, in particolare, l'idoneità delle misure di sicurezzadei dati e dei sistemi adottate presso le strutture del Dipartimento dellapubblica sicurezza. OSSERVA IlSistema di informazione Schengen, istituito dalla Convenzione di applicazionedell'Accordo di Schengen, è finalizzato a consentire alle autorità designatedalle Parti contraenti, per mezzo di una procedura di interrogazioneautomatizzata, di disporre di segnalazioni di persone, veicoli e oggetti per ifini previsti negli articoli da 95 a 100 della Convenzione. IlSistema si compone di una sezione nazionale sita presso ogni Parte contraente edi un'unità di supporto tecnico (denominata C-S.i.s.), con sede a Strasburgo edi cui è responsabile la Repubblica francese. Ciascuna Parte contraenteistituisce e gestisce la propria sezione nazionale, con una banca di dati resamaterialmente identica a quelle delle sezioni nazionali delle altre Particontraenti per il tramite dell'unità di supporto tecnico. Quest'ultimacomprende una banca di dati che garantisce l'identità degli archivi dellesezioni nazionali mediante la trasmissione in linea delle informazioni (art. 92Convenzione cit.). Lasezione nazionale del Sistema di informazione Schengen (N-S.i.s.) è gestitadalla Divisione N-S.i.s. della Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza. Lesegnalazioni vengono inserite dagli uffici della Polizia di Stato, dell'Armadei carabinieri, della Guardia di Finanza, del Corpo di polizia penitenziaria edel Corpo forestale dello Stato. La trasmissione dei dati relativi allesegnalazioni avviene utilizzando l'infrastruttura europea di comunicaziones-TESTA, protetta e criptata, attraverso un dispositivo denominato"Criptobox" gestito a livello centralizzato dal C-S.i.s.. L'inserimento,la modifica o la cancellazione delle segnalazioni, come anche l'accesso e laconsultazione, possono avvenire attraverso la interoperabilità tra il"Sistema di indagine" (S.d.i.) gestito dal Centro elaborazione dati(C.e.d.) del Dipartimento della pubblica sicurezza e la menzionata sezionenazionale N-S.i.s (cd. "modalità integrata"), oppure mediante accessodiretto al sistema N-S.i.s. (cd. "modalità nativa"), in entrambe leipotesi attraverso certificazione informatica delle postazioni degli utenti(Certification Authority CA interna) e autenticazione degli operatori, secondoi profili di abilitazione loro attribuiti, gestita dal Portale del Servizioinformativo interforze mediante credenziali di tipo nominale (login e passwordindividuali), che sono rinnovate ogni novanta giorni. Leutenze hanno scadenza ogni sessanta giorni, e la loro gestione è affidata aifocal point dei rispettivi uffici, ognuno dei quali può accedere alle soleutenze affidate alla sua gestione. Incaso di riscontro positivo alla segnalazione (cd. "hit"), la Partecontraente nel e la Parte che ha effettuato la segnalazione procedonoattraverso i rispettivi uffici S.i.re.n.e. ("Supplementary InformationRequested at National Entries") allo scambio di informazioni aggiuntive,non ricomprese fra i dati che possono essere inseriti nella segnalazione, utilial fine di definire la condotta da tenere per l'attuazione del fine perseguitocon la segnalazione medesima. L'ufficioS.i.re.n.e. italiano è costituito dalla Divisione S.i.re.n.e. del Servizio perla cooperazione internazionale di polizia del Dipartimento della pubblica sicurezza.Nel caso di riscontro avvenuto all'estero a seguito di segnalazioni inseritedall'Italia, la Divisione raccoglie presso il C.e.d. e gli uffici di poliziainteressati le informazioni ritenute utili all'attuazione della segnalazione ele trasmette all'omologo ufficio dell'altra Parte contraente. L'esigenzadi approntare efficaci strumenti di protezione dei dati personali e dei sistemitrova riscontro negli specifici obblighi assunti dall'Italia con lasottoscrizione della Convenzione di applicazione dell'Accordo di Schengen, chepone per tutte le Parti contraenti l'obbligo di predisporre un elevato livellodi sicurezza dei dati rispetto al rischio di indebite operazioni di accesso,inserimento, modifica o cancellazione delle informazioni (artt. 117, 118 e 126della Convenzione, che richiamano la Convenzione n. 108/1981 del Consigliod'Europa e la Raccomandazione R (87)15 del Consiglio d'Europa del 17 settembre1987; v. anche la dichiarazione del Governo italiano a margine dellasottoscrizione della Convenzione). Lasicurezza dell'archivio di dati della sezione nazionale del Sistema diinformazione Schengen (N-S.i.s.), per la tipologia delle informazioniaccessibili e le importanti finalità perseguite, riveste infatti particolareimportanza e delicatezza per gli effetti che le informazioni conservate possonoesplicare sia nei confronti delle persone segnalate, sia dei soggetti che, infunzione delle relative attribuzioni, hanno accesso alle segnalazioni(Ministero della giustizia, uffici del pubblico ministero, organismi di cuialla legge n. 124/2007, Ministero degli affari esteri e rappresentanzeconsolari e diplomatiche dell'Italia), sia delle autorità delle altre Particontraenti che sono chiamate a svolgere le azioni richieste con lasegnalazione. Analogheesigenze di sicurezza concernono le informazioni, anche di natura biometrica,raccolte e trattate, per le finalità descritte al paragrafo 3., dalla DivisioneS.i.re.n.e.. Pressole Divisioni N-S.i.s. e S.i.re.n.e. devono essere adottate per obbligo dilegge, oltre alle misure "minime" (artt. 33 e 169; allegato B) delCodice), tutte le altre misure di sicurezza idonee a contenere al massimo idiversi rischi che occorre prevenire per garantire un'idonea protezione deidati (art. 31 del Codice). Dagliaccertamenti svolti non emergono profili di violazione degli obblighipenalmente sanzionati di adozione delle misure minime di sicurezza. Inrelazione agli elementi acquisiti attraverso le informazioni fornite dalDipartimento della pubblica sicurezza e le verifiche in loco il Garante rileva,peraltro, la necessità di impartire, ai sensi degli artt. 154 e 160 del Codice,al Ministero dell'interno–Dipartimento della pubblica sicurezza alcuneprescrizioni, attinenti al profilo delle misure di sicurezza dei dati personalie dei sistemi, volte ad assicurare un rafforzamento del livello di protezionedelle informazioni trattate commisurato alle finalità della banca di datiN-S.i.s. e al rilievo dei sistemi informativi in esame. L'N-S.i.s.prevede la tenuta dei log degli accessi e delle operazioni, anche di solalettura, effettuate sul sistema. In caso di modifica dei dati concernenti lesegnalazioni, vengono memorizzati i valori dei singoli campi prima e dopol'operazione. I log, che vengono conservati in un database fisicamente separatodall'N-S.i.s., sono inalterabili e accessibili, nella sola modalità di lettura,solo a tre persone fisiche della Divisione N-S.i.s., nominalmente individuate. Lemodifiche effettuate sulle utenze dai focal point sono anch'esse tracciate inappositi log, depositati su supporti di memorizzazione non riscrivibili. Sonotuttavia assenti meccanismi di security auditing (intendendosi per tali laregistrazione, l'esame e la verifica di attività rilevanti ai fini dellasicurezza che abbiano luogo in un sistema informatico protetto) di ausilio allaverifica di anomalie o del superamento di soglie predefinite per alcuni indicidi prestazione. Nell'individuaretermini congrui di conservazione dei predetti log, anche alla luce dellaprevisione contenuta nell'art. 103 della Convenzione, occorre introdurrestrumenti e funzionalità di auditing relativi alla sicurezza del sistema voltia permettere ai responsabili della Divisione di individuare meglio anomalie edi controllare più agevolmente il suo funzionamento, anche mediante opportunimoduli software nel sistema informativo per il monitoraggio delle performancedel sistema e della disponibilità dei dati. Čnecessario potenziare nella struttura del Dipartimento la funzioneorganizzativa responsabile dell'attività di auditing per la sicurezza e ladisponibilità dei dati, cui attribuire efficaci compiti di security managerinterno. 6.2 Rapporti statistici Profili esaminati L'attualedisponibilità di log file degli accessi e delle transazioni, e quella eventualedi dati di auditing più articolati o variamente aggregati, consentirebbel'elaborazione di rapporti retrospettivi come strumento di controllodell'utilizzo della banca dati da mettere anche a disposizione in caso diverifiche di vario tipo. Prescrizioni Occorresviluppare i predetti strumenti di auditing rivolgendoli anche alla produzioneperiodica di rapporti statistici che non contengano dati personali, relativi alnumero e alle categorie dei dati registrati, agli accessi e agli utenti delsistema. Idati di log degli accessi, delle operazioni effettuate e degli altri eventi delsistema informativo (quali le modifiche apportate alle utenze) sonoparticolarmente delicati e dovrebbero essere, pertanto, classificati comeriservati. Sirileva la necessità di sviluppare elevate garanzie sull'integrità esull'autenticità dei log degli accessi, delle operazioni e degli altri eventi,nonché delle altre informazioni raccolte a scopi di security auditing. Ilog file degli accessi e delle transazioni, anche per finalità di manutenzione,nonché ogni altro database per la registrazione di eventi del sistemainformativo finalizzato al security auditing, nel loro complesso e per ognievento registrato, devono essere dotati di marche temporali e di controlli diintegrità a garanzia della loro inalterabilità e autenticità, anche con ilricorso a tecniche di firma digitale e con l'utilizzo di sistemi di certifiedlogging. La consultazione dei log file deve essere permessa ai soli soggettidotati di profili di autorizzazione preventivamente individuati, e deve esserea sua volta oggetto di tracciamento. Lecomunicazioni tra gli uffici S.i.re.n.e. delle Parti contraenti avvengono periscritto attraverso messaggi a testo libero e schede standard preformattate(cd. "formulari"), contraddistinti da lettere diverse secondo iparticolari tipi di informazioni che contengono. Lo scambio dei dati, compreseimmagini e impronte digitali, avviene utilizzando l'infrastruttura europea dicomunicazioni, protetta e criptata, denominata Sisnet, gestita a livellocentralizzato. Le informazioni vengono conservate, nei termini previstidal'art. 112-bis, comma 1, della Convenzione, in un server nella disponibilitàdella Divisione sito nella sala ove sono collocati anche i server della DivisioneN-S.i.s.. Lecomunicazioni con gli uffici, centrali e periferici, del Ministero dell'internoe la conseguente raccolta delle informazioni da parte della DivisioneS.i.re.n.e. avvengono invece mediante il sistema di gestione dellacorrispondenza (denominato "Arianna") interno alla Direzione centraledella polizia criminale, che utilizza come mezzo di trasmissione il faxordinario, mediante un servizio su server dedicato che gestisce numerazionifisse in ingresso e in uscita. Leattività compiute dagli utenti sul sistema "Arianna" sono tracciate.I log file sono conservati separatamente dal sistema, e depositati susupporti di memorizzazione non riscrivibili e accessibili agli addettidell'Ufficio Informatica dell'Ufficio Affari generali della Direzione centraledella polizia criminale. Lostesso Ufficio è responsabile della gestione delle utenze di"Arianna". Anche le operazioni di creazione e modifica delleutenze sono tracciate in appositi log, conservati separatamente dal sistema, edepositati su supporti di memorizzazione non riscrivibili. Lecomunicazioni e la trasmissione tramite fax delle informazioni tra la DivisioneS.i.re.n.e. e gli uffici, centrali e periferici, del Ministerodell'interno devono essere rafforzate mediante l'utilizzo di tecniche dicifratura e l'uso di gruppi chiusi di numerazione. Puòessere utilizzata la posta elettronica Internet, ma esclusivamente nella formadella posta elettronica certificata (Pec) di cui al d.P.R. 11 febbraio 2005, n.68 e relative regole tecniche di attuazione. Laconsultazione dei log file relativi alle attività compiute dagli utenti sulsistema "Arianna", compresi quelli relativi alla gestione delleutenze del sistema, deve essere permessa ai soli soggetti dotati di profili diautorizzazione preventivamente individuati, e deve essere a sua volta oggettodi tracciamento. Lacorrispondenza gestita dal sistema "Arianna" confluisce nel sistemadi archiviazione della Direzione centrale della polizia criminale, denominato"Teseo", che viene alimentato tramite una procedura informatizzata.Le attività svolte sul sistema sono tracciate. I log file sono conservatiseparatamente dal sistema, e depositati su supporti di memorizzazione nonriscrivibili e accessibili agli addetti dell'Ufficio Informatica dell'UfficioAffari generali della Direzione centrale della polizia criminale. Prescrizioni Laconsultazione dei log file relativi alle attività compiute dagli utenti sulsistema "Teseo", compresi quelli relativi alla gestione delle utenzedel sistema, deve essere permessa ai soli soggetti dotati di profili diautorizzazione preventivamente individuati, e deve essere a sua volta oggettodi tracciamento. L'accessofisico alla sala ove sono collocati i server utilizzati dalle Divisioni N-S.i.se S.i.re.n.e. avviene mediante badge attivo e chiave fisica custoditaall'interno della sala controllo della Divisione N-S.i.s.. La sala è dotata diimpianti di rilevazione fumi e antincendio e di sistema di videosorveglianza infunzione nell'arco dell'intera giornata. Tenutoconto della rilevata importanza e delicatezza della banca di dati N-S.i.s. edelle informazioni trattate dalla Divisione S.i.re.n.e., attinenti anche aimmagini e a caratteristiche biometriche della persona, l'accesso fisico allasala server deve essere soggetto a procedura di strong authentication, basatasull'uso combinato di credenziali di accesso costituite da badge attivoindividuale e nominalmente assegnato e da un dispositivo basato su unacaratteristica biometrica o altra misura di protezione di pari o maggioreefficacia. Larilevanza delle funzioni svolte presso l'N-S.i.s. richiede un livelloparticolarmente elevato di sicurezza, anche per garantire a norma di legge ladisponibilità dei dati in presenza di eventuali condizioni estreme legate adatti dolosi o a calamità naturali, a prescindere da quanto già previsto inproposito nell'ambito dei requisiti minimi di sicurezza. Occorreaggiornare i piani di disaster recovery, dando corso a tutti gli interventinecessari per realizzare condizioni di operatività continuativa (businesscontinuity) anche in presenza di eventi disastrosi che rendano temporaneamenteinaccessibili i dati trattati nella sede principale della Divisione N-S.i.s.. 7. Termine per attuare le prescrizioni delGarante Attesala particolare rilevanza dei dati e dei sistemi, il Garante constata lanecessità che le prescritte misure siano adottate entro il termine, decorrentedalla data di ricezione del presente provvedimento, che risulta congruo fissarein sei mesi relativamente alle prescrizioni di cui punti da 6.1 a 6.6, e diventiquattro mesi relativamente alla prescrizione di cui al punto 6.7.. IlMinistero dell'interno-Dipartimento della pubblica sicurezza è invitato afornire riscontro al decorso dei medesimi termini circa l'attuazione di detteprescrizioni. TUTTO CIO' PREMESSO IL GARANTE a)ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice prescrive alMinistero dell'interno-Dipartimento della pubblica sicurezza di adottare pressole Divisioni N-S.i.s. e Si.re.n.e del medesimo Dipartimento le misure di cui aipunti da 6.1 a 6.7 inerenti a: b)ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice prescrive alMinistero dell'interno-Dipartimento della pubblica sicurezza di adottare lesuesposte misure entro il termine di sei mesi relativamente alle prescrizionidi cui punti da 6.1 a 6.6, e di ventiquattro mesi relativamente allaprescrizione di cui al punto 6.7., entrambi decorrenti dalla data di ricezionedel presente provvedimento, fornendo riscontro a questa Autorità al decorso deimedesimi termini circa la loro attuazione. Roma, 12 novembre 2009
|