| Garante per la protezione dei dati personali Parere su uno schema di decretorecante disposizioni organizzative per la Direzione centrale della poliziacriminale del Dipartimento della pubblica sicurezza PROVVEDIMENTO DEL 5 GIUGNO 2014 Registro dei provvedimenti n. 279 del 5 giugno 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e delladott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'interno; Vistol'articolo 154, commi 4 e 5, del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO IlMinistero dell'interno ha richiesto il parere del Garante in ordine a unoschema di decreto del Ministro dell'interno di concerto con il Ministrodell'economia e delle finanze recante disposizioni organizzative per laDirezione centrale della polizia criminale del Dipartimento della pubblicasicurezza, nel cui ambito si istituiscono l'"Ufficio per la sicurezza deidati" e il "Servizio per il sistema informativo interforze". Sitratta di una versione aggiornata e ampliata di un precedente schema didecreto, sul quale il Garante ha reso Nelparere del 1° agosto 2013, il Garante non rilevava particolari profili dicriticità, ma raccomandava all'amministrazione di valutare l'opportunità diestendere espressamente la funzione di auditing dell'Ufficio per la sicurezzadei dati anche alla banca dati nazionale del DNA, istituita dalla legge 30giugno 2009, n. 85, in ragione dell'estrema rilevanza che le garanzie disicurezza assumono, a fortiori, rispetto a un data base contenente, inparticolare, dati genetici. RILEVATO 1.Lo schema di decreto in esame costituisce attuazione delle prescrizioniimpartite dal Garante con i provvedimenti del 17 novembre 2005 e del 12novembre 2009, nella parte in cui hanno previsto il potenziamento presso ilpredetto CED interforze e la Divisione N.S.I.S. (riguardante il sistemainformativo Schengen) della funzione organizzativa responsabile dell'attivitàdi auditing per la sicurezza e la disponibilità dei dati, cui attribuirecompiti di security manager interno. All'articolo1, si istituisce l'Ufficio per la sicurezza dei dati nell'ambito della Direzionecentrale della polizia criminale; ad esso è preposto un dirigente superioretecnico della Polizia di Stato, anche con compiti di security manager, perassicurare, tra l'altro, il dovuto raccordo con il Garante in relazione alleattività di controllo assegnate allo stesso. L'ufficioha competenza in materia di coordinamento e indirizzo delle attività diregistrazione, esame e verifica delle attività rilevanti per la sicurezza deltrattamento dei dati del predetto CED interforze, della Divisione N.S.I.S. edella banca dati nazionale del DNA (security auditing). Sotto questo profilo loschema recepisce la raccomandazione resa dal Garante nel parere del 1° agosto2013. L'Ufficioha altresì competenza in materia di: analisi dei rischi relativi ai dati e alloro trattamento; analisi dell'impatto di tali rischi sulle attività e sullerisorse; predisposizione di direttive nell'ambito della redazione dei piani disicurezza riguardanti: la mitigazione dei rischi individuati nell'ambito dellasicurezza fisica e logica dei sistemi informativi e delle reti dicomunicazione, la protezione dei dati sensibili e giudiziari, la prevenzionedella perdita di dati e la protezione degli asset, la gestione dellesituazioni di emergenza e delle crisi relative al trattamento dei dati. 2.Lo schema di decreto istituisce altresì, sempre nell'ambito della Direzionecentrale della polizia criminale, il Servizio per il sistema informativointerforze che si articola in 5 divisioni fra le quali rilevano, inparticolare, la divisione 3^ sulla gestione operativa delle apparecchiatureinformatiche e telematiche relativamente al CED e alla banca dati DNA, ladivisione 4^ competente per il funzionamento della banca dati DNA e ladivisione 5^ competente per il sistema N.S.I.S.. L'istituzionedella Divisione 4^ si deve alla necessità di pianificare e disciplinare gliadempimenti connessi all'organizzazione e al funzionamento e della predettabanca dati del DNA, il cui regolamento di attuazione è in fase avanzata dielaborazione (così si legge nel preambolo), anche con la collaborazionedell'Ufficio del Garante in vista del parere che l'Autorità dovrà esprimeresullo schema (art. 154, comma 4, del Codice) e dell'intesa che dovrà essereraggiunta con le amministrazioni interessate sui tempi di conservazione deidati ivi inseriti (art. 13, comma 4, l. n. 85/2009). Trai compiti assegnati a questa Divisione rilevano, in particolare, quelli di:amministrazione del sistema di gestione della qualità dell'erogazione deiservizi e della politica della sicurezza delle informazioni offerti dalla bancadati; fornire informazioni tecnico-statistiche sulle procedure utilizzate afini della valutazione dell'attendibilità dell'identificazione personale;supporto all'attività di elaborazione di dati statistici e analisi dei flussidei campioni biologici attraverso il portale della banca dati; gestione delflusso informativo connesso all'utilizzo della piattaforma tecnologica edei software applicativi da parte degli utenti della banca dati; individuazione e verifica dei requisiti di qualità che devono essere assicuratiper l'inserimento nella banca dati dei pertinenti dati; assistenza tecnicaall'attività di verifica da parte delle istituzioni di garanzia: il riferimentoè anche al Garante che, com'è noto, ai sensi dell'articolo 15, comma 1, dellalegge n.85 del 2009 esercita il controllo sulla banca dati nazionale del DNA. CONSIDERATO Ilparere è reso su di una versione dello schema di decreto che tiene conto degliapprofondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di riunioni econtatti informali, volti a perfezionare il testo e a renderlo pienamenteconforme alla disciplina in materia di protezione dei dati personali. Leosservazioni dell'Ufficio hanno riguardato i compiti assegnati all'Ufficio perla sicurezza dei dati, in particolare per quanto riguarda il profilo disecurity auditing, nonché quelli assegnati alle Divisioni del Servizio per ilsistema informativo interforze più direttamente coinvolte nella gestione deisistemi informativi concernenti il CED, la banca dati del DNA e l'N.S.I.S. Inparticolare, l'articolo 1 prevede, ora, che il dirigente dell'Ufficio per lasicurezza dei dati, cui sono assegnati compiti di security manager, debba ancheassicurare il dovuto raccordo con il Garante in relazione alle attività dicontrollo attribuite a questa Autorità sul trattamento dei dati registratinelle banche dati oggetto del provvedimento o comunque necessari per ilfunzionamento dei relativi sistemi informativi. Taleprevisione è quanto mai opportuna in quanto consentirà all'Autorità di avere uncostante punto di riferimento presso il Dipartimento della pubblica sicurezzain relazione all'espletamento dei propri compiti di vigilanza e verifica suitrattamenti di dati e sui sistemi di sicurezza in tali delicati settori. Leindicazioni rese dall'Ufficio sono state integralmente recepitedall'Amministrazione e pertanto il Garante non ha osservazioni da formularesull'articolato. Roma, 5 giugno 2014
|