Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno - Prescrizioni del Garante e differimento dei termini

Trattamento dei dati effettuato in attuazione dellaConvenzione di applicazione dell'Accordo di Schengen presso le DivisioniN-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministerodell'interno - Prescrizioni del Garante e differimento dei termini

PROVVEDIMENTO DEL 31 LUGLIO 2014

Registrodei provvedimenti  n. 391 del 31 luglio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. GiuseppeBusia, segretario generale;

VISTAla legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli edegli accordi di adesione all'Accordo di Schengen e alla relativa Convenzionedi applicazione e, in particolare, l'articolo 11, come modificato dall'articolo173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno2003, n. 196);

VISTOil Codice in materia di protezione dei dati personali e, in particolare, gliartt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B);

VISTOil provvedimento del 12 novembre 2009, adottato dal Garante aseguito di accertamenti effettuati presso le Divisioni N-S.i.s. e S.i.re.n.e.del Dipartimento della pubblica sicurezza del Ministero dell'interno volti averificare l'idoneità delle misure di sicurezza dei dati e dei sistemi adottatepresso dette strutture nel trattamento dei dati effettuato in attuazione dellaConvenzione di applicazione dell'Accordo di Schengen;

RILEVATOche con detto provvedimento l'Autorità ha prescritto, ai sensi degli artt. 154,comma 1, lett. c) e 160 del Codice, al Ministero dell'interno-Dipartimentodella pubblica sicurezza di adottare alcune misure, entro i termini iviprecisati, attinenti al profilo della sicurezza dei dati personali e deisistemi, volte ad assicurare un rafforzamento del livello di protezione delleinformazioni trattate commisurato alle finalità della banca di dati N-S.i.s. eal rilievo dei sistemi informativi utilizzati;

VISTOil provvedimento del 27 febbraio 2014 con il quale il Garante, valutate ledifficoltà rappresentate dal Ministero dell'interno-Dipartimento della pubblicasicurezza nella realizzazione di alcune delle misure prescritte, ne ha dispostoil differimento dei termini di attuazione al 30 giugno 2014, ad eccezione dellamisura in materia di disaster recovery, per la quale è stato disposto ildifferimento al 31 dicembre 2014, prescrivendo peraltro al Ministero ditrasmettere all'Autorità entro il 30 giugno 2014 "ogni documentazioneutile ad illustrare dettagliatamente le attività finora compiute in ordine allascelta del sito destinato ad ospitare le strutture e alla procedura di appaltovolta alla loro realizzazione, con l'indicazione della tempistica prevista peril completamento delle opere e per l'effettiva operatività dei sistemi daimplementare in dette strutture";

RITENUTOche il Garante, in relazione agli obblighi di controllo ad esso affidati dalCodice, deve verificare l'adozione delle misure prescritte (art. 160, comma 2);

RILEVATOche il differimento del termine al 30 giugno 2014 ha riguardato, tra l'altro,anche l'attuazione della prescrizione di cui al punto 6.1 del provvedimento del12 novembre 2009 relativamente al profilo concernente la realizzazione delpotenziamento nella struttura del Dipartimento della funzione organizzativaresponsabile dell'attività di auditing per la sicurezza e la disponibilità deidati, cui attribuire efficaci compiti di security manager interno; consideratoche il differimento è stato disposto in considerazione del fatto che con notadel 9 gennaio 2014 il Ministero aveva rappresentato la necessità di adottare unarticolato decreto che, oltre a istituire, nell'ambito della Direzione centraledella polizia criminale del Dipartimento, un'apposita unità organizzativadenominata Ufficio per la sicurezza dei dati "cui sono attribuite funzionidi auditing per la sicurezza e la disponibilità dei dati registrati nel Centroelaborazione dati e nella banca dai N.S.i.s.", prevede anche "iltrasferimento presso quest'ultima Direzione centrale della banca dati N.S.i.s.e la formale istituzione, nell'ambito della stessa, della banca dati nazionaledel DNA", "al fine di assicurare maggiore coerenza e organicitàall'assetto ordinamentale della citata Direzione centrale, nel quadro di un piùampio progetto di riordino";

VISTAla nota del 24 giugno 2014 con la quale il Ministero dell'interno-Dipartimentodella pubblica sicurezza, con riferimento all'attuazione di detta prescrizione,ha rappresentato che l'adozione del decreto, in quanto attinente all'organizzazionedegli uffici del Dipartimento della pubblica sicurezza, "esige ilpreventivo espletamento delle procedure di consultazione delle organizzazionisindacali rappresentative della Polizia di Stato e del personaledell'Amministrazione civile dell'interno" ai sensi, rispettivamente, degliartt. 25 e 26 del d.P.R. n. 164/2002 e dell'art. 6 del Contratto collettivonazionale di lavoro del comparto Ministeri; considerato che con detta nota ilMinistero ha, altresì, rappresentato che, successivamente a tali procedure diconsultazione, "per l'avvio delle quali sono già state interessate lecompetenti articolazioni dipartimentali", si renderà necessario acquisireil concerto del Ministero dell'economia e delle finanze ai sensi dell'art. 5,comma 7, della legge n. 121/1981 e sottoporre il decreto alla registrazionedella Corte dei conti;

RILEVATOche, in considerazione di tale situazione, il Ministero ritiene "di poteripotizzare" la conclusione dell'iter di adozione del decreto "entroil 30 ottobre prossimo", e chiede pertanto al Garante il differimento al30 ottobre 2014 del termine fissato per l'adempimento della prescrizione;

RITENUTOche, valutato quanto rappresentato dal Ministero nella predetta nota riguardoalla solo ipotizzata definitiva adozione del decreto istitutivo dell'Ufficioper la sicurezza dei dati, appare congruo disporre il differimento al 31dicembre 2014 del termine per l'adempimento della prescrizione di cui al punto6.1 nella parte concernente la realizzazione del potenziamento nella strutturadel Dipartimento della funzione organizzativa responsabile dell'attività diauditing per la sicurezza e la disponibilità dei dati, cui attribuire efficacicompiti di security manager interno;

RITENUTOche entro lo stesso termine del 31 dicembre 2014 il Ministero dovrà dareriscontro circa la completa attuazione della predetta misura, trasmettendoall'Autorità, entro la medesima data, il testo del decreto adottato;

PRESOATTO che con la nota del 26 giugno 2014 il Ministero ha riferito, allegando unprospetto esplicativo, che tutte le prescrizioni di naturatecnologico/informatica di competenza del Dipartimento per le quali è statoassegnato il termine di attuazione del 30 giugno 2014 sono state realizzateentro tale termine;

PRESOATTO della nota del 15 luglio 2014 con cui il Ministero, con riferimento allaprescrizione contenuta nel menzionato provvedimento del 27 febbraio 2014 difornire informazioni in ordine allo stato di attuazione delle strutture voltealla realizzazione della misura in materia di disaster recovery, conl'indicazione della tempistica prevista per completamento delle opere e dellaoperatività dei sistemi, ha comunicato di non disporre di elementi di dettagliosulla realizzazione dell'opera "che si inserisce in un più ampio progettostrutturale che interessa anche il Centro Elaborazione Dati della Polizia diStato", in quanto "la documentazione di tale progetto è stataclassificata ai fini della sicurezza nazionale per cui non si dispone dinotizie", e di avere richiesto al responsabile del procedimento"elementi utili alle valutazioni di codesta Autorità compatibili con ladisciplina in materia";

RILEVATOche con la successiva comunicazione del 17 luglio 2014 il Ministero haprecisato, quanto alla tempistica di realizzazione delle strutture, che"nel mese di febbraio 2014 si è conclusa la gara di appalto e il contrattoè divenuto esecutivo il successivo 3 giugno", e che per l'esecuzione deilavori è previsto il termine di un anno;

RITENUTO,quindi, preso atto di quanto rappresentato in particolare nella menzionata notadel 15 luglio 2014 relativamente alla classificazione ai fini della sicurezzanazionale delle informazioni richieste con il provvedimento del 27 febbraio2014, di prescrivere al Ministero dell'interno-Dipartimento della pubblicasicurezza di trasmettere all'Autorità entro il 31 dicembre 2014, oltre aglielementi che verranno acquisiti concernenti la struttura in corso direalizzazione relativa al disaster recovery, anche le seguenti ulterioriinformazioni:

- se sia stato redatto uno studio difattibilità tecnica ai sensi dell'art. 50 bis del d. lg. n. 82 del 2005 (Codicedell'amministrazione digitale) ed acquisito il parere dell'Agenzia per l'ItaliaDigitale (ex DigitPA); in caso positivo produrre copia della relativadocumentazione;

- se siano stati redatti il piano dicontinuità operativa e il piano di disaster recovery di cui al medesimo art.50-bis del CAD; in caso positivo produrre copia della relativa documentazione;

- quale sia la tipologia di apparatidi storage e di backup prescelti;

- quale sia la modalità diconnessione telematica tra il sito primario e quello destinato al disasterrecovery al fine di permettere il trasferimento dei dati nel corso delleprocedure di backup e di recovery;

- quale sia la modalità diattivazione del piano di disastro;

- quali siano i livelli di servizio(SLA) specificamente previsti per la disponibilità degli archivi e delleprocedure "Schengen" a seguito di disastro;

CONSIDERATOche le prescrizioni impartite dal Garante ai sensi degli artt. 154, comma 1,lett. c) e 160 del Codice sono assistite da sanzione amministrativa (art. 162,comma 2ter, del Codice);

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

TUTTO CIO' PREMESSO IL GARANTE

a)dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, neiconfronti del Ministero dell'interno-Dipartimento della pubblica sicurezza ildifferimento al 31 dicembre 2014 del termine stabilito per l'adempimento dellaprescrizione di cui al punto 6.1 impartita con il provvedimento del 12 novembre2009, relativamente al profilo concernente la realizzazione del potenziamentonella struttura del Dipartimento della funzione organizzativa responsabiledell'attività di auditing per la sicurezza e la disponibilità dei dati, cuiattribuire efficaci compiti di security manager interno;

b)prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, alMinistero dell'interno-Dipartimento della pubblica sicurezza di dare riscontroall'Autorità entro il 31 dicembre 2014 circa l'attuazione della predetta misura,trasmettendo all'Autorità, entro la medesima data, il testo del decretoadottato;

c)prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, neiconfronti del Ministero dell'interno-Dipartimento della pubblica sicurezza ditrasmettere all'Autorità entro il 31 dicembre 2014, oltre agli elementi cheverranno acquisiti concernenti la struttura in corso di realizzazione relativaal disaster recovery, anche le seguenti ulteriori informazioni:

- se sia stato redatto uno studio di fattibilità tecnica ai sensi dell'art. 50bis del d. lg. n. 82 del 2005 (Codice dell'amministrazione digitale) edacquisito il parere dell'Agenzia per l'Italia Digitale (ex DigitPA); in casopositivo produrre copia della relativa documentazione;

- sesiano stati redatti il piano di continuità operativa e il piano di disasterrecovery di cui al medesimo art. 50-bis del CAD; in caso positivo produrrecopia della relativa documentazione;

-quale sia la tipologia di apparati di storage e di backup prescelti;

-quale sia la modalità di connessione telematica tra il sito primario e quellodestinato al disaster recovery al fine di permettere il trasferimento deidati nel corso delle procedure di backup e di recovery;

-quale sia la modalità di attivazione del piano di disastro;

-quali siano i livelli di servizio (SLA) specificamente previsti per ladisponibilità degli archivi e delle procedure "Schengen" a seguito didisastro;

d)riserva ogni altro provvedimento all'esito dei riscontri forniti dal Ministerodell'interno-Dipartimento della pubblica sicurezza.

Roma, 31 luglio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia