| Garante per la protezione dei dati personali Parere del Garante su schema didecreto concernente l'istituzione dell'"Ufficio per la sicurezza deidati" nell'ambito della Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza PROVVEDIMENTO DEL 1 AGOSTO 2013 Registro dei provvedimenti n. 378 del 1° agosto2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'interno; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO 1.Il Ministero dell'interno ha richiesto il parere del Garante in ordine a unoschema di decreto concernente l'istituzione dell'"Ufficio per la sicurezzadei dati" nell'ambito della Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza. Loschema di provvedimento prevede l'istituzione di una unità organizzativa dilivello dirigenziale non generale denominata "Ufficio per la sicurezza deidati" nella Direzione centrale della polizia criminale del predettoDipartimento, con competenze di security auditing consistenti nellaregistrazione, esame e verifica delle attività rilevanti ai fini dellasicurezza del trattamento dei dati effettuato presso il Centro ElaborazioneDati (CED) interforze di cui all'articolo 8 della legge n. 121 del 1981 e laDivisione N.S.I.S. del medesimo Dipartimento. Atale Ufficio è preposto un dirigente superiore tecnico della Polizia di Statoanche con compiti di security manager (art. 1 dello schema). Loschema prevede poi disposizioni sulle dotazioni di personale e mezzi (art. 2) erimette al Capo della polizia – Direttore generale della pubblicasicurezza l'attuazione del provvedimento (art. 3). CONSIDERATO 2.Lo schema di decreto tiene conto dei provvedimenti del Garante del 17 novembre2005 e del 12 novembre 2009 con cui questa Autorità ha prescritto al Ministerodell'interno-Dipartimento della pubblica sicurezza di adottare alcune misurevolte ad assicurare un rafforzamento del livello di protezione delleinformazioni trattate, rispettivamente, presso il Centro elaborazione dati e laDivisione N.S.I.S. del predetto Dipartimento. L'odiernoschema costituisce attuazione delle prescrizioni impartite dal Garante con imenzionati provvedimenti del 17 novembre 2005 e del 12 novembre 2009, nellaparte in cui prevedono il potenziamento presso il CED interforze e la DivisioneN.S.I.S. della funzione organizzativa responsabile dell'attività di auditingper la sicurezza e la disponibilità dei dati, cui attribuire compiti di securitymanager interno. Inquesto quadro, lo schema di decreto non presenta profili di criticità. Sipotrebbe tuttavia valutare l'opportunità di estendere espressamente –come annunciato nella relazione illustrativa del decreto - la funzione diauditing dell'Ufficio per la sicurezza dei dati anche alla banca dati nazionaledel Dna, in ragione dell'estrema rilevanza che le garanzie di sicurezzaassumono, a fortiori, rispetto a un database contenente, in particolare, datigenetici. In tal senso, all'articolo 1, comma 2, si potrebbero aggiungere, infine, le seguenti parole: "e della banca dati nazionale del Dna di cuiall'articolo 5, comma 1, della legge 30 giugno 2009, n. 85 ". IL GARANTE esprimeparere favorevole sullo schema di decreto del Ministro dell'interno concernentel'istituzione dell'"Ufficio per la sicurezza dei dati" nell'ambitodella Direzione centrale della polizia criminale del Dipartimento dellapubblica sicurezza, con la seguente raccomandazione: -valuti l'Amministrazione l'opportunità di estendere espressamente la funzionedi auditing dell'Ufficio per la sicurezza dei dati anche alla banca datinazionale del Dna, integrando conseguentemente l'articolo 1, comma 2, delloschema nei termini di cui al punto 2. Roma, 1 agosto 2013
|