Diritti interna

Doveri interna

advanced search

Il sistema Eurodac - 29 maggio 2008 [1537606]

[doc. web n. 1537606]

Il sistema Eurodac - 29 maggio 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il regolamento (Ce) n. 2725/2000 del Consiglio dell´11 dicembre 2000 che istituisce l´Eurodac per il confronto delle impronte digitali ai fini dell´efficace applicazione della Convenzione di Dublino (Convenzione sulla determinazione dello Stato competente per l´esame di una domanda di asilo presentata in uno degli Stati membri delle Comunità europee);

VISTO il Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

Il Garante per la protezione dei dati personali è l´autorità indipendente incaricata di esercitare il controllo sul trattamento dei dati a carattere personale effettuato sul territorio nazionale ai sensi del regolamento comunitario n. 2725/2000 e di verificare che la trasmissione dei dati alla banca dati centrale informatizzata, gestita dall´unità centrale istituita presso la Commissione europea, avvenga lecitamente (art. 154, comma 2, lett. d), del Codice; art. 19 reg. n. 2725/2000).

Il Garante europeo della protezione dei dati, cui sono state conferite funzioni di supervisione dell´Eurodac già svolte dall´autorità comune di controllo prevista all´articolo 20 del citato regolamento, ha individuato, in accordo con le autorità nazionali di protezione dei dati, linee di azione utili per svolgere in parallelo indagini in ciascuno Stato, concentrate su alcuni aspetti considerati prioritari che concernono: a) le cd. "ricerche speciali", ovvero le richieste che gli Stati membri inviano alla predetta unità centrale in relazione all´art. 18 del menzionato regolamento (in tema di accesso dell´interessato) e che risultano variare da paese a paese; b) le possibilità di uso dei dati a fini diversi da quelli consentiti dal regolamento; c) la qualità -sotto il profilo tecnico- dei dati.

Sulla base di tali indicazioni, in una prima fase il Garante ha inoltrato al Ministero dell´interno una richiesta preliminare di informazioni in relazione agli aspetti sopra evidenziati.

Al fine di completare l´azione richiesta, in una seconda fase il Garante ha deliberato di procedere ai sensi dell´art. 160 del Codice, anche con visita in loco presso i competenti uffici del Ministero dell´interno, centrali e periferici, a una verifica delle informazioni ottenute e riscontrare, in particolare, la sussistenza della base giuridica necessaria per l´inserimento dei dati dattiloscopici nella banca dati centrale e per l´interrogazione del sistema, nonché l´adeguatezza delle misure di sicurezza adottate nel trattamento. Con la medesima deliberazione l´Autorità ha, inoltre, ritenuto necessario svolgere accertamenti più ampi sulla liceità e correttezza dei trattamenti comunque effettuati in attuazione della Convenzione di Dublino.

Gli uffici interessati hanno prestato la propria collaborazione fornendo anche gli elementi e la documentazione richiesti.

Concluse le verifiche, il presente provvedimento viene adottato anche con riguardo alle raccomandazioni formulate dal Garante europeo a seguito del riscontro fornito dall´Autorità al termine della prima fase di accertamenti.

OSSERVA

1. Il sistema Eurodac
Il regolamento n. 2725/2000 istituisce il sistema Eurodac, che si compone dell´unità centrale, di una banca dati centrale informatizzata e dei mezzi di trasmissione dei dati tra gli Stati membri e tale banca dati centrale.  Gli Stati membri, direttamente o attraverso l´unità centrale, inseriscono nella banca dati centrale i dati personali (impronte digitali e sesso) appartenenti a tre tipologie di soggetti di età non inferiore a quattordici anni: a) richiedenti asilo; b) stranieri fermati in relazione all´attraversamento irregolare di una frontiera esterna; c) stranieri presenti irregolarmente in uno Stato membro.

I dati vengono inseriti affinché siano confrontati con i dati dei richiedenti l´asilo registrati già presso l´unità centrale, al fine di concorrere alla determinazione dello Stato membro competente, ai sensi della Convenzione (oggi regolamento) di Dublino, per l´esame di una domanda di asilo presentata in uno Stato membro.

Il regolamento n. 2725/2000 prevede che le norme cui è soggetto il sistema Eurodac si applicano anche alle operazioni effettuate dagli Stati membri, dal momento della trasmissione dei dati all´unità centrale fino all´utilizzazione dei risultati del confronto; specifica inoltre che, fatta salva l´utilizzazione delle informazioni destinate all´Eurodac da parte dello Stato membro d´origine nell´ambito di banche dati istituite ai sensi della propria legislazione nazionale, i dati sulle impronte digitali e le altre informazioni personali possono essere trattati nell´Eurodac solo per gli scopi previsti dall´articolo 15, paragrafo 1, della Convenzione di Dublino (art. 1 reg. n. 2725/2000).

Con riferimento al trattamento dei dati effettuato in Italia, la procedura si articola in due fasi distinte.

La prima si svolge interamente nell´ambito del Dipartimento della pubblica sicurezza del Ministero dell´interno, in particolare attraverso le questure e il Servizio di polizia scientifica, ed è rivolta alla presentazione e ricezione della domanda di asilo, alla raccolta delle informazioni necessarie (tra cui il fotosegnalamento e le verifiche sugli archivi nazionali), alla valutazione dell´ammissibilità della domanda e al suo invio alla Commissione per il riconoscimento dello status di rifugiato, alla trasmissione dei dati alla banca dati centrali Eurodac e, in caso di riscontro positivo, all´Unità Dublino.

Le direttive di carattere tecnico-operativo e di rilievo giuridico vengono impartite dalla Direzione centrale dell´immigrazione e della polizia delle frontiere del Dipartimento della pubblica sicurezza, che cura, su richiesta dell´Unità Dublino, gli approfondimenti necessari ai fini della verifica di eventuali reati a carico dello straniero, nonché ogni altra informazione circa la presenza regolare o meno dello stesso sul territorio nazionale.

La seconda fase fa capo al Dipartimento delle libertà civili e l´immigrazione del Ministero dell´interno, che espleta la procedura di accettazione/rinvio della richiesta prevista dalla Convenzione di Dublino.

In particolare, all´esito degli accertamenti svolti risulta accertata la seguente procedura.

1.1. Invio dei dati alla banca dati centrale
Su richiesta dell´ufficio immigrazione presso le questure il Gabinetto provinciale di polizia scientifica della Polizia di Stato effettua il fotosegnalamento dell´interessato al fine dell´inserimento in A.f.i.s. (Automated fingerprint identification system) e in Eurodac, qualora ricorra una delle fattispecie previste dal regolamento n. 2725/2000 sopra precisate alle lett. a), b) e c). Il cartellino fotosegnaletico viene quindi inviato presso il Gabinetto regionale di polizia scientifica, che provvede al controllo della sua qualità tecnica e lo inserisce effettivamente in A.f.i.s. e, se richiesto dal Gabinetto provinciale, nell´Eurodac. L´invio avviene mediante il Servizio di polizia scientifica sito presso il Dipartimento della pubblica sicurezza, designato dall´Italia quale unico punto di accesso nazionale per l´interscambio dei dati con l´unità centrale sita a Bruxelles.

1.2. Riscontro dell´unità centrale
In caso di confronto positivo ("risposta pertinente" secondo l´art. 4 reg. n. 2725/2000) l´unità centrale invia i rilievi dattiloscopici al competente gabinetto di polizia scientifica per la conferma della corrispondenza con i rilievi già presenti nella banca dati. A seguito di tale conferma la questura interessata invia la richiesta di asilo, corredata dalla pertinente documentazione, sia alla Commissione per il riconoscimento dello status di rifugiato territorialmente competente a decidere nel merito, sia all´Unità Dublino, ufficio del Dipartimento per le libertà civili e l´immigrazione del Ministero dell´interno che ha il compito di intrattenere i rapporti e curare lo scambio di informazioni con altri omologhi uffici nazionali al fine di individuare lo Stato membro competente a decidere sulla richiesta di asilo. L´Unità Dublino tratta anche i casi in cui la richiesta di asilo è presentata in un altro Stato membro e nel sistema risultano le impronte digitali della persona inserite dall´Italia.

2. Profili critici e prescrizioni del Garante
Il regolamento n. 2725/2000 e il Codice pongono precisi obblighi in relazione ai trattamenti di dati personali effettuati in funzione dell´applicazione della Convenzione di Dublino.

Le informazioni acquisite, anche attraverso gli accertamenti in loco, hanno permesso di verificare che alcuni di questi obblighi non sono stati attuati correttamente.

In relazione a tali aspetti il Garante rileva pertanto la necessità di impartire ai sensi degli artt. 154 e 160 del Codice le necessarie modificazioni e integrazioni da apportare al trattamento, di cui, in relazione agli obblighi di controllo ad essa affidati, questa Autorità si riserva di verificare periodicamente l´attuazione ai sensi del medesimo art. 160.

2.1. Titolare ed eventuali responsabili del trattamento
Profili critici
La complessità della procedura descritta, con l´intervento di molteplici organi facenti capo a diverse articolazioni del Ministero dell´interno, non consente una chiara individuazione delle diverse responsabilità nel trattamento dei dati per le finalità proprie del sistema Eurodac.

L´imputabilità a più soggetti delle operazioni da svolgere, con la conseguente, mancata individuazione di un unico interlocutore, ha determinato anche ritardi e difficoltà nello stesso svolgimento degli accertamenti deliberati dal Garante.

Prescrizioni
L´art. 13 del regolamento n. 2725/2000 pone precisi obblighi a carico di ciascuno Stato membro, il quale è tenuto a garantire "la legalità del rilevamento delle impronte digitali" e della loro trasmissione all´unità centrale, l´esattezza e l´attualità delle informazioni al momento della trasmissione, "la legalità della registrazione, conservazione, rettifica e cancellazione dei dati nella banca dati centrale", "la legalità dell´uso dei risultati del confronto dei dati sulle impronte trasmessi dall´unità centrale" (paragrafo 1), nonché la sicurezza dei dati in ogni fase del trattamento (paragrafo 2).

Tali obblighi impongono la necessità di identificare chiaramente le responsabilità dei diversi servizi che utilizzano il sistema Eurodac nell´ambito del Ministero dell´interno, ivi compreso il servizio competente per l´accertamento dell´età del soggetto ai fini dell´inserimento delle impronte digitali nel sistema. In particolare, devono essere individuati il titolare (o i co-titolari) del trattamento dei dati, nonché eventuali responsabili; i relativi estremi identificativi devono essere comunicati al Garante, al fine di consentire a questa Autorità di svolgere efficacemente il ruolo di controllo attribuitole (art. 19 reg. cit.).

A questo fine, va posta particolare attenzione al fatto che la descritta attività è "servente" rispetto alla procedura di asilo; pertanto, è richiesto il rigoroso rispetto del principio di finalità del trattamento per tutte le operazioni compiute, dalla raccolta all´utilizzo, alla conservazione e alla comunicazione dei dati.

2.2.  Soggetti che hanno accesso ai dati registrati nell´Eurodac
Profili critici
L´articolo 15, paragrafo 2, del regolamento Eurodac prevede che ciascuno Stato membro designi "le autorità" che possono accedere ai dati dallo stesso trasmessi e registrati nella banca dati centrale, e comunichi l´elenco di tali autorità alla Commissione europea. Solo tali autorità possono modificare, rettificare, integrare o cancellare i dati da esse inseriti (paragrafo 3).

L´Italia risulta avere designato il Servizio di polizia scientifica che, per sua stessa precisazione, fornisce solo il supporto tecnico alle attività di competenza degli uffici titolari della gestione delle pratiche di asilo e di quelle relative agli accertamenti Eurodac e non è, pertanto, in grado di assumere le responsabilità per le operazioni di trattamento indicate nell´art. 15, nonché per le attività, precisate al punto 2.1, che l´art. 13 del regolamento prevede a carico degli Stati membri e delle autorità da questi designate.

Prescrizioni
Ferme restando le attribuzioni di carattere tecnico del Servizio di polizia scientifica, devono essere individuati dal titolare (o dai co-titolari) del trattamento i soggetti ("le autorità") che assicurino il giusto livello di responsabilità richiesto dagli artt. 13 e 15 del regolamento nelle decisioni di modifica, rettifica, integrazione e cancellazione dei dati inseriti nell´Eurodac.

Sempre al fine dell´espletamento delle necessarie attività di controllo, gli estremi  identificativi dei soggetti investiti di tale responsabilità devono essere anch´essi comunicati al Garante, come pure i soggetti che hanno accesso ai risultati delle ricerche in Eurodac, in particolare a quelle relative ai confronti con le categorie b) e c) indicate al punto 1. del presente  provvedimento.

2.3. Finalità dell´accesso al sistema Eurodac
Profili critici
I rilievi esposti ai punti che precedono evidenziano la mancanza di una chiara definizione dei livelli di responsabilità delle diverse autorità che partecipano al sistema e di una procedura definita e formalizzata che consenta di monitorare il grado di corretta applicazione delle regole che disciplinano il trattamento dei dati da parte dei diversi uffici  abilitati, sul territorio nazionale, ad assumere decisioni rilevanti riguardo ai diritti delle persone e a inserire, correggere, richiamare, utilizzare i dati personali conservati nella base di dati gestita dall´unità centrale.

In particolare, per quanto riguarda l´Italia, la Commissione europea e il Garante europeo hanno segnalato l´alto numero di accessi nella base dati centrale giustificati ai sensi dell´art. 18 del regolamento (le cd. "ricerche speciali"), il quale prevede che in ciascuno Stato membro l´interessato può esercitare i diritti di accesso, comunicazione, rettifica e cancellazione dei dati personali che lo riguardano. Nel corso degli accertamenti è risultato che in nessuno dei casi segnalati l´accesso ai dati era stato effettuato su richiesta dell´interessato; né, sono state presentate a questa Autorità istanze di interessati volte a esercitare i diritti conferiti dall´art. 18. In risposta alla richiesta dell´Autorità di verificare la legittimità degli accessi, il Servizio di polizia scientifica presso il Dipartimento della pubblica sicurezza è intervenuto assicurando di avere disattivato per gli uffici periferici tale possibilità di accesso ai dati, che attualmente potrebbe essere effettuato solo presso il Servizio stesso. Nonostante tale assicurazione, e benché il numero di tali casi sia diminuito fortemente, la Commissione europea, nei suoi report trimestrali, ha continuato a segnalare richieste di accesso ai sensi dell´art. 18 non basate su istanze degli interessati.

Prescrizioni
Il titolare e gli eventuali responsabili del trattamento, che vanno individuati ai sensi della prescrizione di cui al punto 2.1, devono adottare un´idonea regolamentazione volta a garantire che l´accesso ai dati gestiti dall´unità centrale sia limitato alle sole finalità previste dal regolamento Eurodac. In particolare, va garantita la conoscibilità di ogni accesso per le c.d. "ricerche speciali" previste dall´art. 18 del regolamento; deve essere altresì assicurato che solo le autorità competenti per la procedura di asilo possano accedere ai risultati del confronto tra i dati dei soggetti appartenenti alle categorie c) e b) e quelli dei soggetti appartenenti alla categoria a) di cui al punto 1 del presente provvedimento.

2.4. Formazione del personale e diritti degli interessati
Profili critici
Con circolare del gennaio 2003 il Dipartimento della pubblica sicurezza ha informato gli uffici di polizia sul territorio dell´imminente entrata in vigore del regolamento Eurodac e ha impartito le relative istruzioni. La circolare fa riferimento alla necessità di garantire i diritti delle persone e reca in allegato un modulo per l´informativa da rendere agli interessati, redatto in più lingue, che viene consegnato alla persona e da questa sottoscritto all´atto del fotosegnalamento. Nel corso dell´accertamento del Garante le suddette istruzioni sono state reiterate. Dalle informazioni acquisite non risulta peraltro che finora alcun interessato- direttamente o attraverso il proprio legale o organizzazioni umanitarie- abbia esercitato i diritti conferiti dall´art. 18.

Mancano inoltre informazioni certe sull´effettivo utilizzo del modulo da parte di tutte le questure.

Prescrizioni
Il titolare e gli eventuali responsabili del trattamento devono garantire un´adeguata formazione del personale, in particolare in merito all´uso legittimo delle cd. "ricerche speciali", e assicurare che l´intera procedura, dall´identificazione della persona alla decisione sulla richiesta di asilo avvenga nel rispetto della dignità dell´interessato.

In coerenza con quanto previsto dal regolamento Eurodac, il titolare e gli eventuali responsabili del trattamento devono assicurare il puntuale rispetto di quanto previsto nell´articolo 18, fornendo le informazioni previste e precisando le relative procedure al fine di mettere l´interessato nella condizione di esercitare i diritti riconosciutigli. Al riguardo, l´informativa non risulta del tutto adeguata rispetto a quanto prescritto dall´art. 18, con particolare riferimento all´indicazione del titolare (o co-titolari) del trattamento dai dati (l´informativa attualmente fornita indica come responsabile del trattamento dei dati il Gabinetto di polizia scientifica che procede all´operazione di fotosegnalamento), degli specifici diritti che possono essere esercitati dagli interessati e delle autorità (Garante e autorità giudiziaria) a cui presentare un eventuale ricorso.

Si rende quindi necessario aggiornare il testo dell´informativa attualmente fornita con l´inserimento di tali ulteriori informazioni.

2.5. Misure di sicurezza
In relazione agli elementi acquisiti, la particolare natura dei dati induce a evidenziare la necessità che, ferme restando le cautele attualmente previste dagli artt. 31 e ss. e dall´Allegato B) al Codice, vengano adottate, da parte degli organi interessati dalla procedura, ulteriori misure e accorgimenti, di seguito indicati, volti a rafforzare il livello di protezione delle informazioni oggetto di trattamento, anche in attuazione dell´obbligo di garantire la sicurezza dei dati prima, durante e dopo la trasmissione all´unità centrale, nonché dei dati ricevuti dall´unità centrale che l´art. 13, paragrafo 2, del regolamento n. 2725/2000 pone a carico di ogni Stato membro.

2.5.1 Credenziali di autenticazione presso il Servizio di polizia scientifica
Profili critici
Presso il Servizio di polizia scientifica del Dipartimento della pubblica sicurezza vengono conservati i log file relativi al tracciamento delle operazioni effettuate sulle impronte digitali destinate a confluire in Eurodac (e in A.f.i.s) dai gabinetti provinciali e regionali della polizia scientifica. Nei log vengono memorizzate le attività svolte, il nome dell´utente, il codice della postazione client di provenienza della richiesta, il numero originario identificativo dell´operazione effettuata dal client e il codice A.f.i.s..

L´accesso alla sala macchine che ospita il server centrale è consentito mediante badge profilato.

L´accesso degli amministratori al database dei log Eurodac (e A.f.i.s.)  avviene mediante credenziali di autenticazione (username e password) condivise tra il personale dell´area Gruppo sistemistico sezione A.f.i.s..

Prescrizioni
Per l´accesso al database Eurodac (e A.f.i.s.), a ogni incaricato deve essere assegnata o associata individualmente almeno una credenziale di autenticazione costituita da un codice utente e da una parola chiave composta da non meno di otto caratteri, che deve essere modificata dall´incaricato al primo utilizzo e, successivamente, almeno ogni tre mesi.

2.5.2. Conservazione dei fascicoli cartacei presso l´Unità Dublino
Profili critici
Presso l´Unità Dublino del Dipartimento per le libertà civili e l´immigrazione vengono conservati, in numero di oltre 90.000, i fascicoli cartacei relativi ai soggetti i cui dati personali vengono trattati dall´Unità in relazione ai compiti da questa svolti nell´ambito della procedura che disciplina Eurodac. Si tratta di dati anche biometrici (le impronte digitali contenute nei cartellini dattiloscopici) e di carattere giudiziario, tra i quali le informazioni relative agli interessati acquisite dal Centro elaborazioni dati del Dipartimento della pubblica sicurezza.

Allo stato, i fascicoli sono sistemati in armadi privi di chiusura collocati in stanze non chiuse a chiave. Sono in corso attività volte a dotare di serrature gli armadi e le stanze.

É installato un impianto di rilevazione incendi e un sistema di videosorveglianza, che entra in  funzione al di fuori dell´orario di lavoro del personale.

Prescrizioni
I dati personali contenuti nei fascicoli cartacei devono essere custoditi e controllati con modalità che riducano al minimo i rischi di distruzione o perdita o di accesso non autorizzato.

L´accesso ai locali ove sono custoditi i fascicoli va consentito previa adozione di un sistema di controllo basato sull´utilizzo di una tessera individuale (ad esempio, un badge profilato) a disposizione dei soli soggetti incaricati del trattamento delle informazioni.

I fascicoli devono essere collocati in armadi ignifughi dotati di idonee serrature di sicurezza.

I varchi di accesso ai locali devono essere anch´essi dotati di idonee serrature di sicurezza.

2.5.3 Trattamento dei dati con strumenti elettronici presso l´Unità Dublino
Profili critici
Lo scambio di informazioni e documentazione con uffici esterni all´Unità (omologhi uffici di Stati membri e questure) avviene mediante posta elettronica certificata e non, posta tradizionale e fax, con esclusione, quanto al fax, della trasmissione dei cartellini dattiloscopici, causa la cattiva risoluzione dell´immagine.

L´accesso alle postazioni informatiche da parte del personale avviene mediante credenziali di autenticazione personale di dominio Windows.

L´accesso all´applicazione web DubliNET, attraverso cui l´Unità gestisce i dati e le comunicazioni con gli Stati membri, avviene attraverso un sito non Ssl (Secure Socket Layer) e, quindi, senza certificato di sicurezza.

Le credenziali di autenticazione (username e password) per l´accesso all´applicazione DubliNET sono condivise fra i vari operatori.

La documentazione scaricabile dal sistema DubliNET (ad esempio, in formato Pdf), ivi compresi i cartellini dattiloscopici, viene firmata digitalmente dal mittente, ma le postazioni informatiche in uso al personale dell´Unità non sono dotate del sistema di verifica della firma digitale (all´interno del file nell´area dedicata alla firma digitale risulta presente un punto interrogativo).

Gli accessi all´applicazione DubliNET e le operazioni compiute sui dati vengono tracciate.

Prescrizioni
Lo scambio di informazioni e documentazione da e verso l´Unità Dublino deve avvenire con modalità che assicurino la provenienza della comunicazione e l´integrità del suo contenuto.

Le comunicazioni devono quindi avvenire esclusivamente attraverso posta elettronica certificata e i documenti trasmessi devono essere cifrati.

Per l´accesso all´applicazione web DubliNET, a ogni incaricato deve essere assegnata o associata individualmente almeno una credenziale di autenticazione costituita da un codice utente e da una parola chiave composta da non meno di otto caratteri, che deve essere modificata dall´incaricato al primo utilizzo e, successivamente, almeno ogni tre mesi.

3. Termine per attuare le prescrizioni del Garante
Attesa la particolare delicatezza dei dati in questione, il Garante constata la necessità che le prescritte modificazioni e integrazioni da apportare al trattamento siano adottate entro termini brevi, decorrenti dalla data di ricezione del presente provvedimento, che risulta congruo fissare:

a) in trenta giorni, relativamente alle misure di sicurezza concernenti l´adozione delle credenziali individuali di autenticazione da parte del personale dell´area Gruppo sistemistico sezione A.f.i.s. del Servizio di Polizia scientifica del Dipartimento della pubblica sicurezza e degli operatori dell´Unità Dublino del Dipartimento per le libertà civili e l´immigrazione;

b) in sei mesi, relativamente alle altre modificazioni e integrazioni, ivi comprese le ulteriori misure di sicurezza prescritte  (punto 2.5).

Il Ministero, che allo stato risulta titolare del trattamento, è invitato a fornire riscontro al decorso di ciascuno di tali termini circa l´attuazione delle presenti prescrizioni.

TUTTO CIÓ PREMESSO IL GARANTE 

1) ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice dispone che il Ministero dell´interno adotti le prescritte modificazioni e integrazioni al trattamento dei dati personali effettuati in attuazione del regolamento n. 2725/2000 istitutivo del sistema Eurodac e della Convenzione di Dublino relativamente a:

a) individuazione e comunicazione al Garante degli estremi identificativi del titolare (o co-titolari) e eventuali responsabili del trattamento, con indicazione dei compiti e delle responsabilità dei vari soggetti che effettuano il trattamento dei dati nell´ambito della procedura, al fine di assicurare la liceità del trattamento, la correttezza e sicurezza dei dati e il rigoroso rispetto del principio di finalità del trattamento per tutte le operazioni compiute, dalla raccolta all´utilizzo, alla conservazione e alla comunicazione dei dati (punto 2.1);

b) individuazione e comunicazione al Garante degli estremi identificativi dei soggetti "le autorità") che assicurino il livello di responsabilità richiesto dagli artt. 13 e 15 del regolamento n. 2725/2000 nelle decisioni di modifica, rettifica, integrazione e cancellazione dei dati registrati presso la banca dati centrale e che possono accedere ai risultati delle ricerche nel sistema, in particolare a quelle relative ai confronti con le categorie b) e c) indicate al punto 1 del presente  provvedimento (punto 2.2);

c) adozione di una idonea regolamentazione volta a garantire che l´accesso ai dati gestiti dall´unità centrale sia limitato alle sole finalità previste dal regolamento n. 2725/2000 e alle sole autorità competenti per la procedura di asilo, con particolare riferimento alle cd. "ricerche speciali" di cui all´art. 18 del regolamento (punto 2.3);

d) formazione del personale in relazione al trattamento dei dati effettuato nel corso della procedura, con particolare riferimento all´uso legittimo delle cd. "ricerche speciali"; aggiornamento del testo dell´informativa da rendere all´interessato con particolare riferimento all´inserimento dell´indicazione del titolare (o co-titolari) del trattamento dei dati e degli specifici diritti che possono essere esercitati dagli interessati e delle autorità (Garante e autorità giudiziaria) a cui presentare un eventuale ricorso (punto 2.4);

2) ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice dispone che il Ministero dell´interno adotti adeguate misure di sicurezza nel trattamento dei dati, volte a rafforzare il livello di protezione delle informazioni trattate nell´ambito del sistema  Eurodac, con particolare riferimento a (punto 2.5):

a) assegnazione al personale dell´area Gruppo sistemistico sezione A.f.i.s. del Servizio di Polizia scientifica del Dipartimento della pubblica sicurezza e del personale dell´Unità Dublino del Dipartimento per le libertà civili e l´immigrazione di credenziali individuali di autenticazione costituite da un codice utente e da una parola chiave composta da non meno di otto caratteri, che deve essere modificata dall´incaricato al primo utilizzo e, successivamente, almeno ogni tre mesi;

b) conservazione dei fascicoli cartacei presso l´Unità Dublino del Dipartimento per le libertà civili e l´immigrazione in armadi ignifughi dotati di serrature di sicurezza collocati in locali con accesso consentito previa adozione di un sistema di controllo basato sull´utilizzo di una tessera individuale (ad esempio, un badge profilato) a disposizione dei soli soggetti incaricati del trattamento delle informazioni e con varchi dotati di idonee serrature di sicurezza;

c) trattamento dei dati con strumenti elettronici presso la medesima Unità mediante comunicazioni basate sull´uso esclusivo di posta elettronica certificata e sulla trasmissione di documenti cifrati;

3) ai sensi delle medesime disposizioni prescrive che le suesposte modificazioni e integrazioni da apportare al trattamento siano adottate entro il termine, decorrente dalla data di ricezione del presente provvedimento, di trenta giorni relativamente alle misure di sicurezza concernenti l´adozione delle credenziali individuali di autenticazione da parte del personale dell´area Gruppo sistemistico sezione A.f.i.s. del Servizio di Polizia scientifica del Dipartimento della pubblica sicurezza e del personale dell´Unità Dublino del Dipartimento per le libertà civili e l´immigrazione, e di sei mesi relativamente alle altre modificazioni e integrazioni, ivi comprese le ulteriori misure di sicurezza prescritte, fornendo riscontro a questa Autorità circa la loro attuazione al decorso dei medesimi termini.

Roma, 29 maggio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli