Parere del Garante su uno schema di Convenzione tra il Ministero dell'interno e il Ministero dell'economia e delle finanze riguardante l'accesso da parte delle forze di polizia, tramite il C.e.d. del Dipartimento della pubblica sicurezza, al Sistema informatizzato di prevenzione amministrativa delle frodi sulle carte di pagamento (S.i.p.a.f.)

Parere del Garante su unoschema di Convenzione tra il Ministero dell'interno e il Ministerodell'economia e delle finanze riguardante l'accesso da parte delle forzedi polizia, tramite il C.e.d. del Dipartimento della pubblica sicurezza,al Sistema informatizzato di prevenzione amministrativa delle frodi sulle cartedi pagamento (S.i.p.a.f.)

PROVVEDIMENTO DEL 12LUGLIO 2012

Registro dei provvedimenti n. 205 del 12luglio 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente,della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califanoe della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. DanieleDe Paoli, segretario generale;

Vista la richiesta di parere del Ministero dell'interno-Dipartimentodella pubblica sicurezza;

Visto il Codice in materia di protezione dei dati personali (d. lg. 30giugno 2003, n. 196), in particolare l'art. 54;

Esaminata la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Il Ministero dell'interno-Dipartimento della pubblica sicurezza hachiesto il parere del Garante in ordine a uno schema di Convenzione, eall'Allegato tecnico che ne costituisce parte integrante, da stipularsi tra ilMinistero dell'interno e il Ministero dell'economia e delle finanze avente aoggetto l'accesso da parte delle forze di polizia, tramite il Centroelaborazione dati (C.e.d.) del Dipartimento della pubblica sicurezza, ai dati ealle informazioni contenuti nel Sistema informatizzato di prevenzioneamministrativa delle frodi sulle carte di pagamento (S.i.p.a.f.) gestitodall'Ufficio centrale antifrode dei mezzi di pagamento (U.c.a.m.p.) delMinistero dell'economia e delle finanze.

Il parere Ë richiesto ai sensi dell'art. 54, comma 1, del Codice nellaparte in cui prevede la stipula da parte del Ministero dell'interno, previoparere conforme del Garante, di convenzioni-tipo volte ad agevolare laconsultazione di pubblici registri, elenchi, schedari e banche di dati da partedi autorit‡ di pubblica sicurezza e di forze di polizia nei casi in cui essepossono acquisire da altri soggetti informazioni, atti e documenti, inconformit‡ a vigenti disposizioni di legge o di regolamento, anche per viatelematica.

Il parere Ë reso tenendo conto delle informazioni e degli elementiforniti dalle due amministrazioni, che hanno fornito piena collaborazione,anche nel corso di alcuni incontri tecnici tenuti presso questa Autorit‡ e siriferisce a una versione aggiornata dello schema di Convenzione (che reca oraquindici articoli, in luogo dei sette originari) e dell'Allegato redattiall'esito degli approfondimenti svolti nell'ambito di detti incontri, che hannopermesso di chiarire e specificare numerosi aspetti della Convenzione.

Sono stati, in primo luogo, pi˘ esattamente formulati alcuniriferimenti normativi indicati nella premessa della Convenzione, ove vengonoora citati gli artt. 2, 3 comma 1 e 7, comma 2 della legge 17 agosto 2005, n.166 che, nell'istituire il sistema di prevenzione delle frodi sulle carte di pagamento,dispone l'accesso da parte del Dipartimento della pubblica sicurezza ai dati ealle informazioni ivi contenute.

… stato inserito all'art. 1 un completo indice delle definizionivolte a chiarire gli esatti significati dei termini citati nel testo; traqueste, le definizioni di "dati" e di "informazioni" a cuile forze di polizia possono accedere (lett. f) e g)).

Nello stesso articolo sono state introdotte le figure dei soggettiresponsabili della corretta applicazione della Convenzione ("responsabilidella Convenzione") e della sua gestione operativa ("referentitecnici") per il C.e.d. e per l'U.c.a.m.p. (lett. da j) a m)); tali figurevengono specificamente individuate nell'art. 8.

In coerenza con la normativa citata nella premessa, sono stati opportunamentedistinti l'oggetto della Convenzione (art. 2) e le finalit‡ dell'accesso (art.3), disposizioni a cui si richiama l'art. 4 nel delineare i limitiall'accesso a cui gli operatori delle forze di polizia a ciÚ autorizzati sonotenuti ad attenersi. A tale proposito, nell'art. 5 viene specificato, tral'altro, che l'accesso al sistema S.i.p.a.f. Ë consentito esclusivamente dallepostazioni di lavoro certificate delle forze di polizia e ad operatori cui siastato rilasciato dal C.e.d. uno specifico codice identificativo personale(comma 5).

Gli introdotti artt. 6 e 7 individuano ora puntualmente gliadempimenti posti a carico rispettivamente dell'U.c.a.m.p. e del C.e.d.; traquesti, assumono particolare rilievo gli obblighi, per l'U.c.a.m.p., di fornireal C.e.d. strumenti idonei a consentire il monitoraggio da parte del Centrodelle operazioni effettuate dagli utenti (art. 6, comma 2), per il C.e.d., disottoporre gli accessi degli operatori di polizia ai sistemi di monitoraggiodegli accessi e di alert su anomalie in uso al Centro (art. 7, commi 3 e 4) edi istruire i dirigenti degli uffici (nella Convenzione denominati"supervisori locali") sull'obbligo di verifica degli alert (art. 7,comma 5). Gli utenti sono informati dell'attivit‡ di tracciamento svolta dalledue amministrazioni (art. 11), ed Ë previsto che il C.e.d. impartisca direttiveagli incaricati del trattamento sulle responsabilit‡ connesse all'usoillegittimo delle informazioni e dei dati raccolti (art. 9, comma 3).

In conformit‡ ai provvedimenti del Garante concernenti l'adozione dimisure di sicurezza in materia di trattamento dei dati personali presso ilC.e.d. (provv. 17 novembre 2005 e 11 ottobre 2006), si Ë reso opportunochiarire che il Centro verifica ogni sessanta giorni le abilitazioni degliutenti autorizzati ad accedere al sistema S.i.p.a.f. (art. 7, comma 7).  Disposizionisull'obbligo per il C.e.d. di attuare al proprio interno alcune necessarieregole di sicurezza (registrazione e identificazione degli utenti, adozione dicredenziali di autenticazione, utilizzo di meccanismi crittografici nelleprocedure di autenticazione) sono state introdotte nell'art. 9, commi 4 e 5della Convenzione.

Eventuali variazioni delle modalit‡, delle condizioni e dei tempi disvolgimento del servizio possono essere definite dalle parti della Convenzioneprevio parere favorevole del Garante (art. 13, comma 1).

OSSERVA

1. La base normativa Ilsistema di prevenzione, sul piano amministrativo, delle frodi sulle carte dipagamento Ë stato istituito con la legge 17 agosto 2005, n. 166, la qualeprevede la costituzione presso il Ministero dell'economia e delle finanze di unapposito archivio informatizzato gestito dall'Ufficio centrale antifrode deimezzi di pagamento, alimentato dalle societ‡, dalle banche e dagli intermediarifinanziari – denominati "societ‡ segnalanti" – cheemettono carte di pagamento e gestiscono reti commerciali di accettazione dellecarte (art. 1).

La legge indica rispettivamente agli artt. 2 e 3 le tipologie di"dati" e di "informazioni" che alimentano l'archivio,rinviando ad un successivo decreto del Ministero dell'economia e delle finanzela specificazione delle singole voci che devono essere comunicate (art. 7,comma 1).

L'art. 7 della legge prevede espressamente l'accesso ai dati e alleinformazioni in possesso dell'Ufficio centrale antifrode da parte delDipartimento della pubblica sicurezza del Ministero dell'interno e degli ufficicompetenti delle forze di polizia di cui all'art. 16, comma 1, della legge 1∞aprile 1981, n. 121 – ovvero della Polizia di Stato, dell'Arma deiCarabinieri, del Corpo della Guardia di finanza, del Corpo degli Agenti dicustodia (ora Corpo di Polizia penitenziaria) e del Corpo forestale dello Stato–, rinviando al successivo decreto la definizione delle modalit‡operative dell'accesso (comma 2).

Il Ministero dell'economia e delle finanze ha dato attuazione aldisposto di legge con il d.m. 30 aprile 2007, n. 112.

In particolare, agli artt. 6 e 7 del decreto vengono rispettivamenteelencati, nel dettaglio, i dati e le informazioni che le societ‡ segnalantisono tenute a comunicare, per via telematica, all'Ufficio centraleantifrode e che alimentano l'archivio informatizzato.

Per quanto concerne l'accesso all'archivio da parte del Dipartimentodella pubblica sicurezza e delle forze di polizia, l'art. 16, al comma 1stabilisce che esso avvenga "attraverso un collegamento tra il predettoarchivio e il Centro elaborazione dati del Ministero dell'interno",secondo "procedute telematiche compatibili con le caratteristiche tecnichedel predetto Centro e dello stesso archivio e nel rispetto degli standardprevisti dal Sistema pubblico di connettivit‡".

3. La Convenzione

3.1. Tipologie di dati e finalit‡ dell'accesso LaConvenzione nell'art. 2 individua specificamente le tipologie di dati e diinformazioni che possono essere consultati dagli utenti del C.e.d., attraversoil riferimento all'elenco contenuto negli artt. 6 e 7 del d.m. n. 112/2007.

L'accesso alla banca dati da parte delle forze di polizia Ëespressamente limitato alle "finalit‡ di prevenzione e repressione deireati connessi o comunque collegati all'utilizzo di carte di credito o di altrimezzi di pagamento" (art. 3 della Convenzione).

Tali finalit‡ risultano conformi a quelle espresse dal Garante nelparere reso il 19 ottobre 2006 sullo schema di decreto attuativo della legge n.166/2005; in tale occasione l'Autorit‡ ha rilevato che la consultazione deidati e delle informazioni poteva essere consentito per le sole finalit‡ di"prevenzione, accertamento e repressione di illeciti, anche penali,connessi o comunque collegati all'utilizzo di carte di credito o altri mezzi dipagamento".

3.2. Utenti abilitati all'accesso Possonoaccedere alla banca dati gli operatori delle forze di polizia cui siano statiattribuiti dal C.e.d., anche in funzione dell'incarico svolto, specificiprofili di abilitazione (art. 4) che vengono sottoposti a verifica ognisessanta giorni (art. 7, comma 7), e credenziali di autenticazione personali(art. 9, comma 5). Il C.e.d. adotta procedure di registrazione che prevedono ilriconoscimento diretto e l'identificazione certa dell'utente. L'accesso Ëconsentito esclusivamente dalle postazioni di lavoro certificate delle forze dipolizia; al fine di consentire il controllo degli accessi alla banca dati, ilC.e.d. rilascia agli utenti codici identificativi personali (art. 5, comma 5).

Nella Convenzione vengono specificati gli obblighi a carico degliutenti di utilizzare le informazioni acquisite per le sole finalit‡ di cuiall'art. 3, e di osservare la normativa del Codice in tema di rispetto deiprincipi di pertinenza nel trattamento delle informazioni e di osservanza dellenecessarie misure di sicurezza (art. 9, commi 1 e 2).

… posto l'obbligo per il C.e.d. di impartire al personaleabilitato direttive relative alle responsabilit‡ connesse all'accesso improprioalla banca dati, all'uso illegittimo delle informazioni e alla loro indebitadivulgazione, comunicazione e cessione a terzi (art. 9, comma 3).

Sono stati, inoltre, previsti specifici divieti a carico del C.e.d., eil correlativo obbligo di impartire direttive al riguardo agli utenti, inmateria di duplicazione delle informazioni acquisite per la creazione diautonome banche dati e di utilizzo di dispositivi automatici (robot) checonsentono la consultazione in forma massiva dei dati personali (art. 10).

3.3. Sicurezza nel flusso dei dati Ild.m. n. 112/2007 stabilisce che il collegamento telematico tra il C.e.d. el'archivio informatizzato gestito dall'U.c.a.m.p. deve avvenire "nelrispetto degli standard previsti dal Sistema pubblico di connettivit‡"(comma 1).

Nell'Allegato tecnico, che costituisce parte integrante della Convenzionee che disciplina le "specifiche operative e tecniche del collegamentotelematico e della gestione delle modalit‡ di accesso" (art. 5, comma 2),viene quindi specificato (punto 2. Misure di sicurezza) che "per quantoconcerne la sicurezza, gli utenti del CED Interforze accedono al Sipafesclusivamente tramite VPN (Virtual Private Network) site to site su reteSPC" – ovvero Sistema pubblico di connettivit‡ – "conprotocollo "IPsec/tunnel" utilizzando inoltre il protocollo SSL(Secure Sockets Layer) per garantire le funzionalit‡ di crittografia dei datitrasferiti tra client e server".

Come previsto anche nel testo della Convenzione, nell'Allegato vieneribadito, tra l'altro, che "il C.e.d. effettua il tracciamento delleattivit‡ di sua competenza all'interno del suo dominio di applicazione",mentre "l'applicativo Sipaf effettua il tracciamento delle operazionisvolte dagli utenti del CED Interforze, storicizzando periodo diinterrogazione, parametri di ricerca e risultati della ricerca".

3.4 Tracciamento degli accessi e delle operazioni effettuate IlC.e.d. provvede al tracciamento degli accessi alla banca dati e l'U.c.a.m.p.provvede al tracciamento anche dell'accesso ai dati ivi detenuti, che consentedi verificare le operazioni eseguite da ciascun utente (art. 11). Gli utentisono informati di tali attivit‡ di tracciamento (art. 4).

3.5 Reportistica e sistemi di alert LaConvenzione prevede l'obbligo per l'Ufficio centrale antifrode di fornire alC.e.d. strumenti idonei a consentire al Centro – ad esempio, attraversouna reportistica trasmessa con periodicit‡ non superiore al trimestre –di effettuare il monitoraggio e, conseguentemente, il controllo delleoperazioni svolte dagli utenti (art. 6, comma 2).

Il C.e.d. sottopone l'accesso all'archivio informatico ai sistemi peril monitoraggio degli accessi e di alert su anomalia in uso al Centro. Irisultati dell'attivit‡ di monitoraggio e di alert sono resi disponibili pertrenta giorni ai supervisori locali tramite un'applicazione accessibile attraversoil portale del C.e.d.. I supervisori ricevono dal C.e.d. istruzioni per latempestiva verifica degli alert (art. 7, commi 3, 4 e 5).

3.6 Responsabili della Convenzione e modalit‡ di modifica della stessa Loschema di Convenzione individua, per ciascuna parte, le figure dei responsabilidella corretta applicazione e delle attivit‡ di gestione della medesima (v.definizioni all'art. 1), giuridicamente preposti, rispettivamente, allagestione dei rapporti e delle comunicazioni tra le parti, e all'avvio e allagestione operativa del servizio di accesso alla banca dati (art. 8). Lo schemaindica inoltre la necessit‡ della consultazione del Garante nell'ipotesi dimodifiche o integrazioni alla Convenzione (art. 13).

4. Osservazioni L'accesso,previsto dalla Convenzione, da parte delle forze di polizia alla banca datigestita dall'Ufficio centrale antifrode dei mezzi di pagamento (U.c.a.m.p.) delMinistero dell'economia e delle finanze rispetta la normativa introdotta con lalegge 17 agosto 2005, n. 166 e con il d.m. 30 aprile 2007, n. 112 del Ministerodell'economia e delle finanze, sia quanto alla tipologia delle informazioniconsultabili, sia relativamente alle finalit‡ perseguite.

Le disposizioni contenute nella Convenzione, sopra riportate, nonpresentano profili di criticit‡ in rapporto al rispetto della disciplina inmateria di protezione dei dati personali, ivi compreso il profilo dellasicurezza.

TUTTO CI“ PREMESSO ILGARANTE

esprime, ai sensi dell'art. 54 del Codice, parere favorevole sulloschema di Convenzione da stipularsi tra il Ministero dell'interno e ilMinistero dell'economia e delle finanze avente a oggetto l'accesso da partedelle forze di polizia, tramite il Centro elaborazione dati (C.e.d.) delDipartimento della pubblica sicurezza, ai dati e alle informazioni contenutinel Sistema informatizzato di prevenzione amministrativa delle frodi sullecarte di pagamento (S.i.p.a.f.) gestito dall'Ufficio centrale antifrode deimezzi di pagamento (U.c.a.m.p.) del Ministero dell'economia e delle finanze.

Roma, 12 luglio 2012

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
De Paoli