Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno - Prescrizioni del Garante - 12 novembre 2009 [2330104]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2330104
Data:
12/11/09
Argomenti:
Misure di sicurezza , Pubblica Sicurezza
Tipologia:
Prescrizioni del Garante

[vedi anche provvedimento del 27 febbraio 2014]

[doc. web n. 2330104]

Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell´Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell´interno - Prescrizioni del Garante - 12 novembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTA la legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli e degli accordi di adesione all´Accordo di Schengen e alla relativa Convenzione di applicazione e, in particolare, l´articolo 11, come modificato dall´articolo 173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196);

VISTO il Codice in materia di protezione dei dati personali e, in particolare, gli artt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

PREMESSO

Il Garante per la protezione dei dati personali è l´autorità indipendente incaricata di esercitare il controllo sui trattamenti dei dati personali in applicazione della Convenzione di applicazione dell´Accordo di Schengen e di eseguire le verifiche previste nel relativo articolo 114 (art. 173 del Codice; art. 11 della legge 30 settembre 1993, n. 388; art. 114 Convenzione cit.).

Nell´ambito dell´azione comune deliberata dall´Autorità di controllo comune Schengen (Acc Schengen), istituita dall´articolo 115 della predetta Convenzione, volta ad accertare la liceità e la correttezza del trattamento dei dati da parte degli Stati membri a fini di sorveglianza discreta o di controllo specifico (art. 99 Convenzione cit.), il Garante ha deliberato di svolgere, ai sensi dell´art. 160 del Codice, anche con visite in loco presso i competenti uffici, centrali e periferici, del Ministero dell´interno-Dipartimento della pubblica sicurezza, accertamenti più ampi sulla liceità e correttezza dei trattamenti comunque effettuati per l´attuazione della Convenzione.

Gli uffici interessati hanno prestato la propria collaborazione fornendo anche gli elementi e la documentazione richiesti.

All´esito della prima fase di accertamenti, con il provvedimento adottato il 10 luglio 2008 il Garante ha prescritto al Ministero dell´interno-Dipartimento della pubblica sicurezza alcune modificazioni e integrazioni al trattamento di dati personali effettuato in applicazione della predetta Convenzione concernenti la complessiva organizzazione del trattamento dei dati effettuato presso i competenti uffici, centrali e periferici, del Dipartimento medesimo, e le relative modalità.

Il presente provvedimento prende in esame le risultanze delle ulteriori verifiche effettuate concernenti, in particolare, l´idoneità delle misure di sicurezza dei dati e dei sistemi adottate presso le strutture del Dipartimento della pubblica sicurezza.

OSSERVA

1. Il Sistema di informazione Schengen

Il Sistema di informazione Schengen, istituito dalla Convenzione di applicazione dell´Accordo di Schengen, è finalizzato a consentire alle autorità designate dalle Parti contraenti, per mezzo di una procedura di interrogazione automatizzata, di disporre di segnalazioni di persone, veicoli e oggetti per i fini previsti negli articoli da 95 a 100 della Convenzione.

Il Sistema si compone di una sezione nazionale sita presso ogni Parte contraente e di un´unità di supporto tecnico (denominata C-S.i.s.), con sede a Strasburgo e di cui è responsabile la Repubblica francese. Ciascuna Parte contraente istituisce e gestisce la propria sezione nazionale, con una banca di dati resa materialmente identica a quelle delle sezioni nazionali delle altre Parti contraenti per il tramite dell´unità di supporto tecnico. Quest´ultima comprende una banca di dati che garantisce l´identità degli archivi delle sezioni nazionali mediante la trasmissione in linea delle informazioni (art. 92 Convenzione cit.).

2. La sezione nazionale del Sistema di informazione Schengen

La sezione nazionale del Sistema di informazione Schengen (N-S.i.s.) è gestita dalla Divisione N-S.i.s. della Direzione centrale della polizia criminale  del Dipartimento della pubblica sicurezza.

Le segnalazioni vengono inserite dagli uffici della Polizia di Stato, dell´Arma dei carabinieri, della Guardia di Finanza, del Corpo di polizia penitenziaria e del Corpo forestale dello Stato. La trasmissione dei dati relativi alle segnalazioni avviene utilizzando l´infrastruttura europea di comunicazione s-TESTA, protetta e criptata, attraverso un dispositivo denominato "Criptobox" gestito a livello centralizzato dal C-S.i.s..

L´inserimento, la modifica o la cancellazione delle segnalazioni, come anche l´accesso e la consultazione, possono avvenire attraverso la interoperabilità tra il "Sistema di indagine" (S.d.i.) gestito dal Centro elaborazione dati (C.e.d.) del Dipartimento della pubblica sicurezza e la menzionata sezione nazionale N-S.i.s (cd. "modalità integrata"), oppure mediante accesso diretto al sistema N-S.i.s. (cd. "modalità nativa"), in entrambe le ipotesi attraverso certificazione informatica delle postazioni degli utenti (Certification Authority CA interna) e autenticazione degli operatori, secondo i profili di abilitazione loro attribuiti, gestita dal Portale del Servizio informativo interforze mediante credenziali di tipo nominale (login e password individuali), che sono rinnovate ogni novanta giorni.

Le utenze hanno scadenza ogni sessanta giorni, e la loro gestione è affidata ai focal point dei rispettivi uffici, ognuno dei quali può accedere alle sole utenze affidate alla sua gestione.

3. La divisione S.i.re.n.e.

In caso di riscontro positivo alla segnalazione (cd. "hit"), la Parte contraente nel e la Parte che ha effettuato la segnalazione procedono attraverso i rispettivi uffici S.i.re.n.e. ("Supplementary Information Requested at National Entries") allo scambio di informazioni aggiuntive, non ricomprese fra i dati che possono essere inseriti nella segnalazione, utili al fine di definire la condotta da tenere per l´attuazione del fine perseguito con la segnalazione medesima.

L´ufficio S.i.re.n.e. italiano è costituito dalla Divisione S.i.re.n.e. del Servizio per la cooperazione internazionale di polizia del Dipartimento della pubblica sicurezza. Nel caso di riscontro avvenuto all´estero a seguito di segnalazioni inserite dall´Italia, la Divisione raccoglie presso il C.e.d. e gli uffici di polizia interessati le informazioni ritenute utili all´attuazione della segnalazione e le trasmette all´omologo ufficio dell´altra Parte contraente.

4. Rilevanza delle questioni esaminate

L´esigenza di approntare efficaci strumenti di protezione dei dati personali e dei sistemi trova riscontro negli specifici obblighi assunti dall´Italia con la sottoscrizione della Convenzione di applicazione dell´Accordo di Schengen, che pone per tutte le Parti contraenti l´obbligo di predisporre un elevato livello di sicurezza dei dati rispetto al rischio di indebite operazioni di accesso, inserimento, modifica o cancellazione delle informazioni (artt. 117, 118 e 126 della Convenzione, che richiamano la Convenzione n. 108/1981 del Consiglio d´Europa e la Raccomandazione R (87)15 del Consiglio d´Europa del 17 settembre 1987; v. anche la dichiarazione del Governo italiano a margine della sottoscrizione della Convenzione).

La sicurezza dell´archivio di dati della sezione nazionale del Sistema di informazione Schengen (N-S.i.s.), per la tipologia delle informazioni accessibili e le importanti finalità perseguite, riveste infatti particolare importanza e delicatezza per gli effetti che le informazioni conservate possono esplicare sia nei confronti delle persone segnalate, sia dei soggetti che, in funzione delle relative attribuzioni,  hanno accesso alle segnalazioni (Ministero della giustizia, uffici del pubblico ministero, organismi di cui alla legge n. 124/2007, Ministero degli affari esteri e rappresentanze consolari e diplomatiche dell´Italia), sia delle autorità delle altre Parti contraenti che sono chiamate a svolgere le azioni richieste con la segnalazione.

Analoghe esigenze di sicurezza concernono le informazioni, anche di natura biometrica, raccolte e trattate, per le finalità descritte al paragrafo 3., dalla Divisione S.i.re.n.e..

5. Misure di sicurezza

Presso le Divisioni N-S.i.s. e S.i.re.n.e. devono essere adottate per obbligo di legge, oltre alle misure "minime" (artt. 33 e 169; allegato B) del Codice), tutte le altre misure di sicurezza idonee a contenere al massimo i diversi rischi che occorre prevenire per garantire un´idonea protezione dei dati (art. 31 del Codice).

Dagli accertamenti svolti non emergono profili di violazione degli obblighi penalmente sanzionati di adozione delle misure minime di sicurezza.

In relazione agli elementi acquisiti attraverso le informazioni fornite dal Dipartimento della pubblica sicurezza e le verifiche in loco il Garante rileva, peraltro, la necessità di impartire, ai sensi degli artt. 154 e 160 del Codice, al Ministero dell´interno–Dipartimento della pubblica sicurezza alcune prescrizioni, attinenti al profilo delle misure di sicurezza dei dati personali e dei sistemi, volte ad assicurare un rafforzamento del livello di protezione delle informazioni trattate commisurato alle finalità della banca di dati N-S.i.s. e al rilievo dei sistemi informativi in esame.

6. Profili critici e prescrizioni del Garante

6.1 Auditing di sicurezza della banca di dati N-S.i.s.

Profili esaminati

L´N-S.i.s. prevede la tenuta dei log degli accessi e delle operazioni, anche di sola lettura, effettuate sul sistema. In caso di modifica dei dati concernenti le segnalazioni, vengono memorizzati i valori dei singoli campi prima e dopo l´operazione. I log, che vengono conservati in un database fisicamente separato dall´N-S.i.s., sono inalterabili e accessibili, nella sola modalità di lettura, solo a tre persone fisiche della Divisione N-S.i.s., nominalmente individuate.

Le modifiche effettuate sulle utenze dai focal point sono anch´esse tracciate in appositi log, depositati su supporti di memorizzazione non riscrivibili.

Sono tuttavia assenti meccanismi di security auditing (intendendosi per tali la registrazione, l´esame e la verifica di attività rilevanti ai fini della sicurezza che abbiano luogo in un sistema informatico protetto) di ausilio alla verifica di anomalie o del superamento di soglie predefinite per alcuni indici di prestazione.

Prescrizioni

Nell´individuare termini congrui di conservazione dei predetti log, anche alla luce della previsione contenuta nell´art. 103 della Convenzione, occorre introdurre strumenti e funzionalità di auditing relativi alla sicurezza del sistema volti a permettere ai responsabili della Divisione di individuare meglio anomalie e di controllare più agevolmente il suo funzionamento, anche mediante opportuni moduli software nel sistema informativo per il monitoraggio delle performance del sistema e della disponibilità dei dati.

È necessario potenziare nella struttura del Dipartimento la funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno.

6.2 Rapporti statistici

Profili esaminati

L´attuale disponibilità di log file degli accessi e delle transazioni, e quella eventuale di dati di auditing più articolati o variamente aggregati, consentirebbe l´elaborazione di rapporti retrospettivi come strumento di controllo dell´utilizzo della banca dati da mettere anche a disposizione in caso di verifiche di vario tipo.

Prescrizioni

Occorre sviluppare i predetti strumenti di auditing rivolgendoli anche alla produzione periodica di rapporti statistici che non contengano dati personali, relativi al numero e alle categorie dei dati registrati, agli accessi e agli utenti del sistema.

6.3 Sicurezza e integrità dei dati di log e di auditing della banca di dati N-S.i.s.

Profili esaminati

I dati di log degli accessi, delle operazioni effettuate e degli altri eventi del sistema informativo (quali le modifiche apportate alle utenze) sono particolarmente delicati e dovrebbero essere, pertanto, classificati come riservati.

Si rileva la necessità di sviluppare elevate garanzie sull´integrità e sull´autenticità dei log degli accessi, delle operazioni e degli altri eventi, nonché delle altre informazioni raccolte a scopi di security auditing.

Prescrizioni

I log file degli accessi e delle transazioni, anche per finalità di manutenzione, nonché ogni altro database per la registrazione di eventi del sistema informativo finalizzato al security auditing, nel loro complesso e per ogni evento registrato, devono essere dotati di marche temporali e di controlli di integrità a garanzia della loro inalterabilità e autenticità, anche con il ricorso a tecniche di firma digitale e con l´utilizzo di sistemi di certified logging. La consultazione dei log file deve essere permessa ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento.

6.4 Sicurezza dei flussi informativi della Divisione S.i.re.n.e.

Profili esaminati

Le comunicazioni tra gli uffici S.i.re.n.e. delle Parti contraenti avvengono per iscritto attraverso messaggi a testo libero e schede standard preformattate (cd. "formulari"), contraddistinti da lettere diverse secondo i particolari tipi di informazioni che contengono. Lo scambio dei dati, comprese immagini e impronte digitali, avviene utilizzando l´infrastruttura europea di comunicazioni, protetta e criptata, denominata Sisnet, gestita a livello centralizzato. Le informazioni vengono conservate, nei termini previsti dal´art. 112-bis, comma 1, della Convenzione, in un server nella disponibilità della Divisione sito nella sala ove sono collocati anche i server della Divisione N-S.i.s..

Le comunicazioni con gli uffici, centrali e periferici, del Ministero dell´interno e la conseguente raccolta delle informazioni da parte della Divisione S.i.re.n.e. avvengono invece mediante il sistema di gestione della corrispondenza (denominato "Arianna") interno alla Direzione centrale della polizia criminale, che utilizza come mezzo di trasmissione il fax ordinario, mediante un servizio su server dedicato che gestisce numerazioni fisse in ingresso e in uscita.

Le attività compiute dagli utenti sul sistema "Arianna" sono tracciate. I log file
sono conservati separatamente dal sistema, e depositati su supporti di memorizzazione non riscrivibili e accessibili agli addetti dell´Ufficio Informatica dell´Ufficio Affari generali della Direzione centrale della polizia criminale.

Lo stesso Ufficio è responsabile della gestione delle utenze di "Arianna". Anche
le operazioni di creazione e modifica delle utenze sono tracciate in appositi log, conservati separatamente dal sistema, e depositati su supporti di memorizzazione non riscrivibili.

Prescrizioni

Le comunicazioni e la trasmissione tramite fax delle informazioni tra la Divisione S.i.re.n.e. e  gli uffici, centrali e periferici, del Ministero dell´interno devono essere rafforzate mediante l´utilizzo di tecniche di cifratura e l´uso di gruppi chiusi di numerazione.

Può essere utilizzata la posta elettronica Internet, ma esclusivamente nella forma della posta elettronica certificata (Pec) di cui al d.P.R. 11 febbraio 2005, n. 68 e relative regole tecniche di attuazione.

La consultazione dei log file relativi alle attività compiute dagli utenti sul sistema "Arianna", compresi quelli relativi alla gestione delle utenze del sistema, deve essere permessa ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento.

6.5 Accesso ai dati di log del sistema di archiviazione "Teseo"

Profili esaminati

La corrispondenza gestita dal sistema "Arianna" confluisce nel sistema di archiviazione della Direzione centrale della polizia criminale, denominato "Teseo", che viene alimentato tramite una procedura informatizzata. Le attività svolte sul sistema sono tracciate. I log file sono conservati separatamente dal sistema, e depositati su supporti di memorizzazione non riscrivibili e accessibili agli addetti dell´Ufficio Informatica dell´Ufficio Affari generali della Direzione centrale della polizia criminale.

Prescrizioni

La consultazione dei log file relativi alle attività compiute dagli utenti sul sistema "Teseo", compresi quelli relativi alla gestione delle utenze del sistema, deve essere permessa ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento.

6.6 Protezione fisica della sala server delle Divisioni N-S.i.s. e S.i.re.n.e.

Profili esaminati

L´accesso fisico alla sala ove sono collocati i server utilizzati dalle Divisioni N-S.i.s e S.i.re.n.e. avviene mediante badge attivo e chiave fisica custodita all´interno della sala controllo della Divisione N-S.i.s.. La sala è dotata di impianti di rilevazione fumi e antincendio e di sistema di videosorveglianza in funzione nell´arco dell´intera giornata.

Prescrizioni

Tenuto conto della rilevata importanza e delicatezza della banca di dati N-S.i.s. e delle informazioni trattate dalla Divisione S.i.re.n.e., attinenti anche a immagini e a caratteristiche biometriche della persona, l´accesso fisico alla sala server deve essere soggetto a procedura di strong authentication, basata sull´uso combinato di credenziali di accesso costituite da badge attivo individuale e nominalmente assegnato e da un dispositivo basato su una caratteristica biometrica o altra misura di protezione di pari o maggiore efficacia.

6.7 Disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s.

Profili esaminati

La rilevanza delle funzioni svolte presso l´N-S.i.s. richiede un livello particolarmente elevato di sicurezza, anche per garantire a norma di legge la disponibilità dei dati in presenza di eventuali condizioni estreme legate ad atti dolosi o a calamità naturali, a prescindere da quanto già previsto in proposito nell´ambito dei requisiti minimi di sicurezza.

Prescrizioni

Occorre aggiornare i piani di disaster recovery, dando corso a tutti gli interventi necessari per realizzare condizioni di operatività continuativa (business continuity) anche in presenza di eventi disastrosi che rendano temporaneamente inaccessibili i dati trattati nella sede principale della Divisione N-S.i.s..

7.  Termine per attuare le prescrizioni del Garante

Attesa la particolare rilevanza dei dati e dei sistemi, il Garante constata la necessità che le prescritte misure siano adottate entro il termine, decorrente dalla data di ricezione del presente provvedimento, che risulta congruo fissare in sei mesi relativamente alle prescrizioni di cui punti da 6.1 a 6.6, e di ventiquattro mesi relativamente alla prescrizione di cui al punto 6.7..

Il Ministero dell´interno-Dipartimento della pubblica sicurezza è invitato a fornire riscontro al decorso dei medesimi termini circa l´attuazione di dette prescrizioni.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice prescrive al Ministero dell´interno-Dipartimento della pubblica sicurezza di adottare presso le Divisioni N-S.i.s. e Si.re.n.e del medesimo Dipartimento le misure di cui ai punti da 6.1 a 6.7 inerenti a:

1. auditing di sicurezza della banca di dati N-S.i.s., mediante l´introduzione di  strumenti e funzionalità di auditing relativi alla sicurezza del sistema e potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno;

2. rapporti statistici, mediante sviluppo degli strumenti di auditing rivolgendoli anche alla produzione periodica di rapporti statistici che non contengano dati personali, relativi al numero e alle categorie dei dati registrati, agli accessi e ai suoi utenti;

3. sicurezza e integrità dei dati di log e di auditing della banca di dati N-S.i.s., mediante dotazione dei log file di marche temporali e di controlli di integrità a garanzia della loro inalterabilità e autenticità, anche con il ricorso a tecniche di firma digitale e con l´utilizzo di sistemi di certified logging. La consultazione dei log file deve essere permessa ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento;

4. sicurezza dei flussi informativi della Divisione S.i.re.n.e., tramite fax mediante l´utilizzo di tecniche di cifratura e l´uso di gruppi chiusi di numerazione, oppure tramite posta elettronica Internet nella forma della posta elettronica certificata (Pec). La consultazione dei log file relativi alle attività compiute dagli utenti sul sistema "Arianna", compresi quelli relativi alla gestione delle utenze del sistema, deve essere permessa ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento;

5. accesso ai log file relativi alle attività compiute dagli utenti sul sistema "Teseo", compresi quelli relativi alla gestione delle utenze del sistema, mediante consultazione permessa ai soli soggetti dotati di profili di autorizzazione preventivamente individuati e oggetto di tracciamento;

6. protezione fisica della sala server delle Divisioni N-S.i.s. e S.i.re.n.e., mediante adozione di una procedura di strong authentication, basata sull´uso combinato di credenziali di accesso costituite da badge attivo individuale e nominalmente assegnato e da un dispositivo basato su una caratteristica biometrica o altra misura di protezione di pari o maggiore efficacia;

7.disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s., mediante aggiornamento dei piani di disaster recovery e realizzazione degli interventi necessari per realizzare condizioni di operatività continuativa (business continuity).

b) ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice prescrive al Ministero dell´interno-Dipartimento della pubblica sicurezza di adottare le suesposte misure entro il termine di sei mesi relativamente alle prescrizioni di cui punti da 6.1 a 6.6, e di ventiquattro mesi relativamente alla prescrizione di cui al punto 6.7., entrambi decorrenti dalla data di ricezione del presente provvedimento, fornendo riscontro a questa Autorità al decorso dei medesimi termini circa la loro attuazione.

Roma, 12 novembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi