Garante per la protezione
    dei dati personali


Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno - Differimento per l'adempimento alle prescrizioni del Garante

PROVVEDIMENTO DEL 24 GENNAIO 2013

Registro dei provvedimenti
n. 23 del 24 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa  Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli e degli accordi di adesione all'Accordo di Schengen e alla relativa Convenzione di applicazione e, in particolare, l'articolo 11, come modificato dall'articolo 173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196);

VISTO il Codice in materia di protezione dei dati personali e, in particolare, gli artt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B);

VISTO il provvedimento del 12 novembre 2009, adottato dal Garante a seguito di accertamenti effettuati presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno volti a verificare l'idoneità delle misure di sicurezza dei dati e dei sistemi adottate presso dette strutture nel trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen;

RILEVATO che con detto provvedimento l'Autorità ha prescritto, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, al Ministero dell'interno-Dipartimento della pubblica sicurezza di adottare alcune misure, attinenti al profilo della sicurezza dei dati personali e dei sistemi, volte ad assicurare un rafforzamento del livello di protezione delle informazioni trattate commisurato alle finalità della banca di dati N-S.i.s. e al rilievo dei sistemi informativi in esame, con riferimento, in particolare, a:

- 6.1  auditing di sicurezza della banca di dati N-S.i.s.;

- 6.2  produzione periodica di rapporti statistici;

- 6.3  sicurezza e integrità dei dati di log e di auditing della banca di dati N-S.i.s.;

- 6.4  sicurezza dei flussi informativi della Divisione S.i.re.n.e.;

- 6.5  accesso ai dati di log del sistema di archiviazione "Teseo";

- 6.6  protezione fisica della sala server delle Divisioni N-S.i.s. e S.i.re.n.e.;

- 6.7  disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s.;

CONSIDERATO che il Garante, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, ha prescritto al Dipartimento di adottare le misure di cui ai punti da 6.1 a 6.6 entro il termine di sei mesi e la misura di cui al punto 6.7 entro il termine di ventiquattro mesi decorrenti dalla data di ricezione del provvedimento, fornendo riscontro all'Autorità al decorso dei medesimi termini circa la loro attuazione;

VISTA la nota del 3 giugno 2010 con la quale il Ministero dell'interno-Dipartimento della pubblica sicurezza, nel fornire riscontro, ha illustrato le iniziative intraprese al fine di attuare le prescrizioni impartite dal Garante, riferendo di avere attuato le misure di cui al punto 6.5 e, in parte, le misure di cui al punto 6.4 del provvedimento (con riferimento all'accesso ai dati di log del sistema di gestione della corrispondenza denominato "Arianna"), mentre, relativamente alle altre misure prescritte, il Dipartimento ha riferito che i tempi di attuazione erano legati ad attività che "saranno oggetto di  apposito bando di gara la cui predisposizione è ancora in corso", e che "la stima dei tempi di realizzazione, pertanto, dovrà tenere conto dei tempi tecnici per la finalizzazione del necessario iter burocratico-amministrativo";

VISTO il provvedimento del 29 settembre 2010 con il quale il Garante, nel confermare le misure prescritte con il provvedimento del 12 novembre 2009, tenuto conto anche della complessità delle procedure amministrative propedeutiche all'attuazione delle diverse misure, ha prescritto al Ministero dell'interno-Dipartimento della pubblica sicurezza di indicare una precisa e definita tempistica di effettiva e concreta realizzazione di tali misure;

VISTA la nota del 7 febbraio 2011 con la quale il Ministero dell'interno-Dipartimento della pubblica sicurezza, nel fornire riscontro, ha indicato di poter realizzare la misura di cui al punto 6.6 entro il mese di marzo 2011 e la misura di cui  al punto 6.4 entro la fine dell'anno 2011 "qualora fossero disponibili i fondi necessari per il completamento del progetto", rappresentando per le altre misure che i relativi progetti erano al vaglio delle competenti articolazioni del Dipartimento "per l'esecuzione delle procedure amministrative previste per l'acquisizione dei beni e dei servizi necessari alla realizzazione" dei progetti medesimi;

VISTO il provvedimento del 31 marzo 2011 con il quale il Garante, nel prendere atto delle difficoltà rappresentate nella predetta nota, ha disposto il differimento del termine di adempimento delle prescrizioni in esame, fissato nel 30 aprile 2011 per la misura di cui al punto 6.6, nel 31 dicembre 2011 per la misura di cui al punto 6.4 e nel 31 dicembre 2012 per le altre misure, stabilendo, altresì, con riferimento alle misure con termine di realizzazione al 31 dicembre 2012, che il Dipartimento riferisse all'Autorità, entro le date del 31 dicembre 2011 e del 30 giugno 2012, sullo stato di avanzamento dei vari progetti, trasmettendo la relativa documentazione;

RITENUTO che il Garante, in relazione agli obblighi di controllo ad esso affidati dal Codice, deve verificare l'adozione delle misure prescritte (art. 160, comma 2);

RILEVATO che il Dipartimento, nel riferire di avere realizzato la misura di cui al punto 6.6 e la misura di cui al punto 6.4 entro i termini rispettivamente assegnati del 30 aprile 2011 e del 31 dicembre 2011, ha espresso la previsione di poter completare l'attuazione anche delle altre prescrizioni entro la data assegnata del 31 dicembre 2012 "qualora fossero state assegnate le necessarie risorse economiche";

VISTA la nota del 19 novembre 2012 con cui il Ministero dell'interno-Dipartimento della pubblica sicurezza ha trasmesso un  prospetto nel quale ha indicato le fasi di attuazione delle varie misure, rilevando come "parte degli interventi () potranno essere completati con i nuovi sistemi previsti con il progetto SIS II e Si.re.n.e. II" la cui entrata in funzione è prevista "orientativamente nel mese di aprile 2013", mentre per altre misure "sono invece necessari ulteriori stanziamenti";

VISTA la nota del 4 dicembre 2012 con cui il Dipartimento ha rappresentato che i progetti in corso "non potranno essere conclusi entro i termini indicati dall'Autorità stante la sussistenza di problematiche di natura tecnica – riconducibili al procrastinarsi dell'entrata in funzione del nuovo sistema SIS II – ed economica – correlata con la necessità di ottenere dai competenti uffici dipartimentali gli stanziamenti necessari per il completamento dei programmi già avviati"; ciò, in quanto "gli interventi () sono strettamente correlati sia al rilascio della nuova versione del Sistema di Informazione Schengen, poiché utilizzeranno le nuove potenzialità offerte dalla piattaforma, sia alla disponibilità di fondi che, in un periodo particolarmente complesso per la congiuntura economica internazionale e vista la onerosità delle realizzazioni, sono stati ripartiti in differenti esercizi finanziari";

RILEVATO che in tale nota il Dipartimento, tenuto conto anche dei "tempi di implementazione pari a circa sei mesi dalla data di entrata in produzione del nuovo Sistema () per la realizzazione di alcuni interventi che incidono sulla sua operatività" , stima che "le misure prescritte () non ancora attuate potranno essere completate" entro l'anno 2013; rilevato che, per tale motivo, il Dipartimento chiede il differimento al 31 dicembre 2013  del termine stabilito con il provvedimento del 31 marzo 2011 per l'adempimento delle prescrizioni di cui ai punti 6.1, 6.2, 6.3 e 6.7 impartite con il provvedimento del 12 novembre 2009;

RITENUTO che, tenuto conto di quanto rappresentato dal Dipartimento, appare congruo disporre un differimento al 30 giugno 2013 del termine stabilito con il provvedimento del 31 marzo 2011 per l'adempimento della prescrizione, di carattere amministrativo/organizzativo, di cui al punto 6.1 del provvedimento del 12 novembre 2009 concernente il potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell'attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno; ciò, anche al fine di implementare tempestivamente le altre misure prescritte che, con riferimento in particolare agli strumenti e funzionalità di auditing, dovranno essere realizzate nel corso dell'anno e completate entro il 31 dicembre 2013, e considerata la dichiarata già avvenuta acquisizione di alcuni prodotti software atti al monitoraggio delle performance del sistema e della disponibilità dei dati;

RITENUTO che, alla luce delle rappresentate difficoltà di attuazione delle altre misure prescritte, legate anche alla disponibilità delle risorse finanziarie necessarie per il completamento dei progetti avviati, appare opportuno disporre un differimento al 31 dicembre 2013 del termine stabilito con il provvedimento del 31 marzo 2011 per l'adempimento delle residue prescrizioni di cui al punto 6.1 nonché delle prescrizioni di cui ai punti 6.2, 6.3 e 6.7 impartite con il provvedimento del 12 novembre 2009, tenuto conto anche dei tempi dichiarati dal Dipartimento necessari per la realizzazione degli interventi necessari a garantire l'operatività del nuovo Sistema di Informazione Schengen;

DATO ATTO che, atteso il tempo trascorso dal provvedimento del 12 novembre 2009, tali termini devono ritenersi non ulteriormente procrastinabili;

RITENUTO che, allo scadere rispettivamente dei termini del 30 giugno 2013 e del 31 dicembre 2013, il Ministero dovrà dare riscontro circa la completa attuazione delle predette prescrizioni;

RITENUTO, altresì, necessario che il Dipartimento riferisca all'Autorità, entro e non oltre la data del 30 giugno 2013, sullo stato di avanzamento dei vari progetti relativi alle prescrizioni con scadenza del termine al 31 dicembre 2013, trasmettendo la relativa documentazione;

DATO ATTO che il Garante si riserva di effettuare ulteriori accertamenti presso le competenti strutture del Dipartimento della pubblica sicurezza sul trattamento dei dati personali effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen, in particolare sullo stato di realizzazione dei progetti volti alla transizione del Sistema per adeguarlo ai requisiti del SIS II, anche in considerazione dell'obbligo di adempiere alla raccomandazione adottata dalla Commissione di valutazione del Consiglio dell'unione europea, all'esito delle verifiche effettuate nel gennaio 2010 in Italia presso le competenti strutture del Ministero dell'interno e presso il Garante, sulla necessità di svolgere tali accertamenti anche sulla base dei file di log delle operazioni svolte sul Sistema;

CONSIDERATO che le prescrizioni impartite dal Garante ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice sono assistite da sanzione amministrativa (art. 162, comma 2ter, del Codice);

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

a)    dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, nei confronti del Ministero dell'interno-Dipartimento della pubblica sicurezza il differimento al 30 giugno 2013 del termine stabilito con il provvedimento del 31 marzo 2011 per l'adempimento della prescrizione di cui al punto 6.1 impartita con il provvedimento del 12 novembre 2009 concernente il potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell'attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno; il termine del 30 giugno 2013 deve considerarsi non ulteriormente procrastinabile;

b)    dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, nei confronti del Ministero dell'interno-Dipartimento della pubblica sicurezza il differimento al  31 dicembre 2013 del termine stabilito con il provvedimento del 31 marzo 2011 per l'adempimento delle residue prescrizioni di cui al punto 6.1 nonché delle prescrizioni di cui ai punti 6.2, 6.3 e 6.7 impartite con il provvedimento del 12 novembre 2009; il termine del 31 dicembre 2013 deve considerarsi non ulteriormente procrastinabile;

c)    ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, prescrive che il Ministero dell'interno-Dipartimento della pubblica sicurezza riferisca all'Autorità, entro e non oltre la data del 30 giugno 2013, sullo stato di  avanzamento dei vari progetti relativi alle prescrizioni con scadenza del termine al 31 dicembre 2013, trasmettendo la relativa documentazione;

d)    ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, prescrive che, allo scadere rispettivamente dei termini del 30 giugno 2013 e del 31 dicembre 2013, il Ministero dell'interno-Dipartimento della pubblica sicurezza dia riscontro all'Autorità circa la completa attuazione delle predette prescrizioni;

d)    riserva ogni altro provvedimento all'esito dei riscontri forniti dal Ministero dell'interno-Dipartimento della pubblica sicurezza.

Roma, 24 gennaio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia