g-docweb-display Portlet

Trattamento di dati effettuato in attuazione della Convenzione di applicazione dell'Accordo Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno - Differimento dei termini per le prescrizioni del Garante - 27 febbraio 2014 [3035142]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3035142]

Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell´Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell´interno - Differimento dei termini per le prescrizioni del Garante - 27 febbraio 2014

Registro dei provvedimenti
n. 105 del 27 febbraio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa  Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli e degli accordi di adesione all´Accordo di Schengen e alla relativa Convenzione di applicazione e, in particolare, l´articolo 11, come modificato dall´articolo 173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196);

VISTO il Codice in materia di protezione dei dati personali e, in particolare, gli artt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B);

VISTO il provvedimento del 12 novembre 2009, adottato dal Garante a seguito di accertamenti effettuati presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell´interno volti a verificare l´idoneità delle misure di sicurezza dei dati e dei sistemi adottate presso dette strutture nel trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell´Accordo di Schengen;

RILEVATO che con detto provvedimento l´Autorità ha prescritto, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, al Ministero dell´interno-Dipartimento della pubblica sicurezza di adottare alcune misure, entro i termini ivi precisati, attinenti al profilo della sicurezza dei dati personali e dei sistemi, volte ad assicurare un rafforzamento del livello di protezione delle informazioni trattate commisurato alle finalità della banca di dati N-S.i.s. e al rilievo dei sistemi informativi in esame, con riferimento, in particolare, a:

- 6.1 auditing di sicurezza della banca di dati N-S.i.s.;

- 6.2 produzione periodica di rapporti statistici;

- 6.3 sicurezza e integrità dei dati di log e di auditing della banca di dati N-S.i.s.;

-  6.4 sicurezza dei flussi informativi della Divisione S.i.re.n.e.;

-  6.5 accesso ai dati di log del sistema di archiviazione "Teseo";

-  6.6 protezione fisica della sala server delle Divisioni N-S.i.s. e S.i.re.n.e.;

- 6.7 disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s.;

VISTI i provvedimenti del 31 marzo 2011, 24 gennaio 2013 e 1 agosto 2013 con i quali il Garante, valutate le difficoltà rappresentate dal Ministero dell´interno-Dipartimento della pubblica sicurezza nella realizzazione di dette misure, ne ha disposto il differimento dei termini di attauzione;

RITENUTO che il Garante, in relazione agli obblighi di controllo ad esso affidati dal Codice, deve verificare l´adozione delle misure prescritte (art. 160, comma 2);

RILEVATO che alla data del 31 dicembre 2013 è scaduto il termine assegnato per il compimento delle misure non ancora completate, e precisamente:

- 6.1 auditing di sicurezza della banca di dati N-S.i.s.;

- 6.2 produzione periodica di rapporti statistici;

- 6.3 sicurezza e integrità dei dati di log e di auditing della banca di dati N-S.i.s.;

- 6.7 disponibilità dei dati e continuità di esercizio della banca di dati N-S.i.s.;

VISTA la nota del 23 dicembre 2013 con la quale  il Ministero dell´interno-Dipartimento della pubblica sicurezza ha comunicato che, per poter realizzare alcune soluzioni atte a implementare con soluzioni tecnologiche aggiornate alcune funzionalità relative alle prescrizioni di cui ai punti 6.1 e 6.3, "si era reso necessario l´adeguamento dell´infrastruttura hardware di produzione dei servizi del SIS" attraverso una Nuova Piattaforma Tecnologica (NPT) che "per poter andare in esercizio deve essere anche sottoposta ad una campagna di test di validazione effettuati con l´Agenzia Europea EU-LISA (European Agency for Large-Scale IT System), responsabile della gestione tecnica ed operativa del sito centrale del SIS di Strasburgo (C.SIS)"; rilevato che il Ministero ha rappresentato che la iniziale pianificazione dei test, tempestivamente richiesti, e che "avrebbe permesso di poter mettere in esercizio la NPT nel rispetto dei tempi prescritti", ha subìto un differimento dovuto all´effettuazione di altri test in sede europea "in vista della prossima integrazione nel sistema SIS del Regno Unito", per cui i test relativi alla NPT potevano essere effettuati "nella prima settimana del mese di marzo 2014"; vista la documentazione prodotta a corredo della nota;

RILEVATO, altresì, che il Ministero ha anche rappresentato in detta nota che, per le funzionalità relative alle prescrizioni di cui ai punti 6.1 e 6.3 il cui rilascio non dipende dalla NPT, "la messa in produzione di tali funzionalità nell´attuale ambiente di produzione, se pur possibile, comporterebbe la necessità di distogliere delle risorse umane dalle attività di test previste [in sede europea], nonché un aggravio economico (…) per poi dover effettuare di nuovo tali attività sulla nuova infrastruttura";

RILEVATO che, in considerazione di tale situazione, il Ministero ha chiesto al Garante "di voler concedere una proroga al 31 marzo 2014 dei termini previsti per l´implementazione delle funzionalità sopra esaminate";

RILEVATO, infine, che in detta nota il Dipartimento ha comunicato di avere adempiuto alla prescrizione di cui al punto 6.2 e, quanto alla misura di cui al punto 6.7, di avere, allo stato, implementato "nel medesimo compendio del sito primario" (…) il sito secondario attualmente disponibile per ospitare i sistemi di Business Continuity";

VISTA la nota del 9 gennaio 2014 con la quale il Ministero dell´interno-Dipartimento della pubblica sicurezza, con riferimento all´attuazione della prescrizione di cui al punto 6.1 relativamente al profilo concernente la realizzazione del potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno, ha rappresentato la necessità di redigere un nuovo schema di decreto "predisposto e completato lo scorso mese di dicembre" – più articolato di quello predisposto nel luglio 2013 e sul quale il Garante ha reso il parere positivo l´1 agosto 2013 – che, oltre a istituire, nell´ambito della Direzione centrale della polizia criminale, un´apposita unità organizzativa denominata Ufficio per la sicurezza dei dati "cui sono attribuite funzioni di auditing per la sicurezza e la disponibilità dei dati registrati nel Centro elaborazione dati e nella banca dai N.S.i.s.", prevede "il trasferimento presso quest´ultima Direzione centrale della banca dati N.S.i.s. e la formale istituzione, nell´ambito della stessa, della banca dati nazionale del DNA", "al fine di assicurare maggiore coerenza e organicità all´assetto ordinamentale della citata Direzione centrale, nel quadro di un più ampio progetto di riordino";

RILEVATO che, in considerazione della necessità di acquisire sul nuovo schema di decreto, trasmesso all´Autorità, il parere del Garante e il concerto del Ministro dell´economia e delle finanze, il Dipartimento ha chiesto al Garante il differimento al 30 aprile 2014 del termine fissato per l´adempimento della prescrizione;

VISTA la nota del 12 febbraio 2014 con la quale il Ministero dell´interno-Dipartimento della pubblica sicurezza, nel completare le informazioni relative all´attuazione della prescrizione di cui al punto 6.7, ha riferito che "è stata individuata l´area ove è possibile realizzare il disaster recovery sia per il Sistema Schengen che per il Servizio per il Sistema Informativo Interforze che gestisce il Centro Elaborazione dati interforze e la Banca Dati del DNA", che "in data 6 febbraio u.s. è stato aggiudicato l´appalto per la realizzazione delle opere murarie" e che "dopo il collaudo della struttura sarà possibile avviare il trasferimento nei nuovi locali dei sistemi di Business Continuity attualmente dislocati nel complesso "Anagnina";

RITENUTO che, tenuto conto di quanto comunicato dal Ministero nella nota del 23 dicembre 2013 in ordine alle difficoltà sopravvenute nella realizzazione delle misure di cui ai punti 6.1 e 6.3 nella parte in cui richiedono l´effettuazione dei test, e considerato che in detta nota viene anche rappresentato che l´Agenzia EU-LISA, nel determinare le nuove modalità di test, "ampliandone la portata e prolungandone i tempi (…) non ha dato ancora conferma della pianificazione indicata" e non è quindi possibile escludere l´eventualità di ulteriori ritardi, appare congruo disporre un differimento al 30 giugno 2014 del termine per l´adempimento delle prescrizioni di cui ai punti 6.1 e 6.3 nella parte in cui richiedono l´effettuazione dei test;

RITENUTO che, valutato quanto rappresentato dal Ministero nella nota del 9 gennaio 2014 riguardo alla definitiva adozione del nuovo decreto istitutivo dell´Ufficio per la sicurezza dei dati, appare congruo disporre il differimento al 30 giugno 2014 anche del termine per l´adempimento della prescrizione di cui al punto 6.1 nella parte concernente la realizzazione del potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno;

RITENUTO che entro lo stesso termine del 30 giugno 2014 il Ministero dovrà dare riscontro circa la completa attuazione e operatività delle predette misure, trasmettendo all´Autorità, entro la medesima data, una relazione descrittiva di tutte le misure definitivamente realizzate e dei risultati ottenuti a seguito dei test; 

PRESO ATTO che con la nota del 23 dicembre 2013 il Ministero ha comunicato di avere adempiuto alla prescrizione di cui al punto 6.2;

DATO ATTO, quanto alla prescrizione di cui al punto 6.7, che il Ministero con la nota del 23 dicembre 2013 ha comunicato di avere implementato i sistemi di business continuity nel medesimo compendio del sito primario, e con la nota del 12 febbraio 2014 ha riferito delle attività in corso volte alla realizzazione delle opere necessarie ad attuare la prescrizione in materia di aggiornamento dei piani di disaster recovery e di compimento dei conseguenti necessari interventi;

RITENUTO pertanto di differire, allo stato, al 31 dicembre 2014 il termine per l´adempimento di tale prescrizione, e di prescrivere, altresì, al Ministero dell´interno-Dipartimento della pubblica sicurezza, al fine di consentire a questa Autorità la verifica dello stato di attuazione della misura, di trasmettere entro il 30 giugno 2014 ogni documentazione utile ad illustrare dettagliatamente le attività finora compiute in ordine alla scelta del sito destinato ad ospitare le strutture e alla procedura di appalto volta alla loro realizzazione, con l´indicazione della tempistica prevista per il completamento delle opere e per l´effettiva operatività dei sistemi da implementare in dette strutture;

DATO ATTO che il Garante si riserva di effettuare ulteriori accertamenti presso le competenti strutture del Dipartimento della pubblica sicurezza sul trattamento dei dati personali effettuato in attuazione della Convenzione di applicazione dell´Accordo di Schengen, in particolare sulla realizzazione delle attività finalizzate alla transizione del Sistema per adeguarlo ai requisiti del SIS II, anche in considerazione dell´obbligo di adempiere alla raccomandazione adottata dalla Commissione di valutazione del Consiglio dell´unione europea, all´esito delle verifiche effettuate nel gennaio 2010 in Italia presso le competenti strutture del Ministero dell´interno e presso il Garante, sulla necessità di svolgere tali accertamenti anche sulla base dei file di log delle operazioni svolte sul Sistema;

CONSIDERATO che le prescrizioni impartite dal Garante ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice sono assistite da sanzione amministrativa (art. 162, comma 2ter, del Codice);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, nei confronti del Ministero dell´interno-Dipartimento della pubblica sicurezza il differimento al 30 giugno 2014 del termine stabilito per l´adempimento delle prescrizioni di cui ai punti 6.1 e 6.3 impartite con il provvedimento del 12 novembre 2009;

b) prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, al Ministero dell´interno-Dipartimento della pubblica sicurezza di dare riscontro all´Autorità entro il 30 giugno 2014 circa la completa attuazione e operatività delle predette misure, trasmettendo all´Autorità, entro la medesima data, una relazione descrittiva di tutte le misure definitivamente realizzate e dei risultati ottenuti a seguito dei test;

c) dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, nei confronti del Ministero dell´interno-Dipartimento della pubblica sicurezza il differimento al  31 dicembre 2014 del termine stabilito per l´adempimento della prescrizione di cui al punto 6.7 impartita con il provvedimento del 12 novembre 2009 in materia di aggiornamento dei piani di disaster recovery e di compimento dei conseguenti necessari interventi;

d) prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, al Ministero dell´interno-Dipartimento della pubblica sicurezza, in ordine alla misura di cui al capo c), di trasmettere all´Autorità entro il 30 giugno 2014 ogni documentazione utile ad illustrare dettagliatamente le attività finora compiute in ordine alla scelta del sito destinato ad ospitare le strutture e alla procedura di appalto volta alla loro realizzazione, con l´indicazione della tempistica prevista per il completamento delle opere e per l´effettiva operatività dei sistemi da implementare in dette strutture;

d) riserva ogni altro provvedimento all´esito dei riscontri forniti dal Ministero dell´interno-Dipartimento della pubblica sicurezza.

Roma, 27 febbraio 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia



Vedi anche (8)