Diritti interna

Doveri interna

ricerca avanzata

Prescrizioni al Ministero degli Affari Esteri e della Cooperazione Internazionale in relazione ai trattamenti di dati personali effettuati nelle procedure di rilascio visti - 19 luglio 2018 [9040249]

VEDI ANCHE Newsletter del 10 settembre 2018

 

[doc. web n. 9040249]

Prescrizioni al Ministero degli Affari Esteri e della Cooperazione Internazionale in relazione ai trattamenti di dati personali effettuati nelle procedure di rilascio visti - 19 luglio 2018

Registro dei provvedimenti
n. 425 del 19 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”, in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018;

Visto il Codice in materia di protezione dei dati personali, decreto legislativo del 30 giugno 2003, n. 196 (di seguito “Codice”);

Visto il Regolamento (CE) n. 767/2008 del Parlamento e del Consiglio, del 9 luglio 2008, concernente il sistema di informazione visti (VIS) e lo scambio di dati tra Stati membri sui visti per soggiorni di breve durata (regolamento VIS);

Visto il Regolamento CE n. 810/2009 del Parlamento e del Consiglio, del 13 luglio 2009, che istituisce un codice comunitario dei visti (codice dei visti);

Vista la Decisione del Consiglio 2008/633/HA del 23 giugno 2008, relativa all’accesso per la consultazione al sistema di informazione visti (VIS) da parte delle autorità designate degli Stati membri e di Europol ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi;

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici; 

PREMESSO

L’Autorità ha effettuato un’attività di verifica sulla legittimità del trattamento dei dati personali effettuati dal Ministero degli Affari Esteri e della Cooperazione Internazionale (di seguito “MAECI”) nelle procedure di rilascio dei visti e nel trasferimento dei dati nel Sistema di informazione visti (Visa Information  System, VIS) finalizzato allo scambio dei dati relativi ai visti d'ingresso Schengen. Il sistema - istituito con la Decisione del Consiglio dell’Unione Europea 2004/512/CE del 8 giugno 2004 e disciplinato dal Regolamento (CE) n. 767/2008 e dalla decisione del Consiglio 2008/633/HA del 23 giugno 2008 – è basato su un'architettura centralizzata, costituita da un sistema d'informazione centrale in ambito UE (“sistema centrale d'informazione visti" “CS-VIS"), con interfacce in ciascuno Stato membro (“N-VIS"-“I-VIS") e dall'infrastruttura di comunicazione che assicura lo scambio di informazioni fra le interfacce nazionali e il sistema centrale (“FEVIS”) 

L'attività è stata svolta nell’ambito degli specifici obblighi di vigilanza previsti dall’art. 41 del Regolamento (CE) n. 767/2008, in base al quale le autorità di controllo nazionali esercitano autonomamente i poteri di verifica sulla legittimità del trattamento dei dati personali registrati nel VIS (art. 41, par. 1) e provvedono, almeno ogni quattro anni, affinché sia svolta un’attività di controllo sulle operazioni di trattamento dei dati del sistema nazionale, in conformità alle pertinenti norme di revisione internazionali (art. 41, par. 2). 

1. Le attività di controllo. 

A tal fine, è stata effettuata un’attività ispettiva presso la sede del MAECI e una presso una sede consolare all’estero, in occasione della quale è stata anche visitata una delle sedi della società esterna che fornisce in outsourcing servizi per i visti (Esternal Services Provider, ESP). E’ stato, inoltre, condotto un audit di tipo documentale - volto a verificare il rispetto dei requisiti di sicurezza indicati nelle normative tecniche ISO 27001:2013 e ISO 27002:2013 e delle impostazioni “privacy by design/by default” - le cui risultanze hanno fornito lo spunto per ulteriori approfondimenti di natura tecnologica, organizzativa e procedurale e per l’individuazione di alcune aree di miglioramento.

Le attività ispettive hanno avuto ad oggetto il funzionamento del sistema nazionale N-Vis, del sistema L-Vis (in uso presso i consolati) e del cd. “Visa-Out” (l’interfaccia utilizzata dai fornitori esterni di servizi per l’inserimento dei dati dei richiedenti il visto), in relazione ai soggetti abilitati all’accesso a tali sistemi, alle modalità di accesso, consultazione e inserimento dei dati e ai termini di conservazione. Sono state esaminate le procedure di rilascio dei visti – la gestione telematica e cartacea delle pratiche – in relazione alle modalità di adempimento delle garanzie in materia di protezione dei dati personali (informativa, esercizio dei diritti), anche con riguardo alle fasi della procedura espletate presso gli sportelli dell’outsourcer. 

Per gli aspetti tecnici e di sicurezza dei sistemi indicati, gli approfondimenti hanno riguardato lo scambio dei dati fra i sistemi, le modalità e i tempi di conservazione dei dati, la gestione delle utenze di accesso ai sistemi, la tenuta dei registri dei file di log e le risultanze del questionario per l'audit di sicurezza dei dati.

2. Le risultanze delle verifiche e le criticità rilevate.

Le attività di verifica sopra indicate hanno evidenziato, nel complesso, una situazione di sostanziale conformità al quadro normativo di riferimento. Sono stati, tuttavia, rilevati alcuni profili di criticità di seguito sinteticamente riportati.

2.1. Tempi di conservazione dei dati in N-VIS. 

Con riferimento a tale profilo, è stato rilevato che, allo stato, il Ministero non ha ancora definito il termine massimo di conservazione per i dati personali contenuti nelle pratiche di visto registrate nel sistema N-VIS. Ciò, in particolare, alla luce del fatto che, all’avvio del VIS, sono stati caricati nel sistema i dati registrati in precedenza nel sistema informatico utilizzato fin dall’entrata in vigore degli accordi di Schengen (Rete Mondiale Visti, RMV). 

Sul punto, l'art. 23 del Reg. (CE) n. 767/2008 prevede che i dati registrati nel VIS siano conservati per 5 anni dalla scadenza del visto o dal provvedimento di diniego, annullamento o revoca, mentre l'art. 30, prevede che “i dati provenienti dal VIS possono essere conservati in archivi nazionali solo qualora ciò sia necessario in casi specifici, conformemente alle finalità del VIS e nel rispetto delle disposizioni giuridiche applicabili, comprese quelle riguardanti la protezione dei dati, e per un periodo non superiore a quello necessario nel caso specifico” e non pregiudica il “diritto di uno Stato membro di conservare nei suoi fascicoli nazionali dati che esso stesso ha inserito nel VIS”. Infine, l'art. 37, comma 7, del Reg. (CE) 810/2009 (Codice visti) limita a due anni la conservazione dei fascicoli relativi alle pratiche di visto in archivio. 

Il Ministero ha rappresentato che il suddetto termine di 5 anni, si applica al C-VIS, e non ai dati relativi alle pratiche di visto nazionale o relative a visti Schengen completate prima del roll-out del VIS, avvenuto alla fine del 2015, per i quali l'esigenza di cancellazione non si è ancora posta non essendo ancora trascorsi 5 anni dal roll-out. Ha, inoltre, evidenziato che una volta distrutto il fascicolo cartaceo, i dati conservati in N-VIS/L-VIS sono gli unici che consentono, in caso di contenzioso sul diniego di un visto, la successiva ricostruzione dell'istruttoria della pratica. Al riguardo, è stato precisato che il termine per impugnare il diniego è diverso a seconda della tipologia di visto, e in alcuni casi, lo stesso può essere impugnato avanti al tribunale ordinario senza limiti di tempo. 

Tali ragioni, sebbene evidenzino, in relazione a determinate ipotesi, la necessità di termini di conservazione ampi, non giustificano, tuttavia, la conservazione di tutti i dati relativi alle pratiche di visto – cioè transitati in N-VIS/L-VIS, al momento del roll-out del VIS anche risalenti nel tempo – senza la previsione di uno specifico termine oltre il quale devono essere cancellati. Ciò, in particolare, non appare tenere conto delle domande di visto esitate positivamente, per le quali non sembrano sussistere le esigenze di conservazione rappresentate. 

In base alla disciplina sulla protezione dei dati, i termini di conservazione devono essere predeterminati in relazione al conseguimento delle finalità perseguite (art. 5, par. 1, lett. d), Regolamento (UE) 2016/679). Risulta, pertanto, necessario che il Ministero adotti misure adeguate a conformare il trattamento in questione a tali principi, individuando, in relazione alle pratiche di visto registrate nei sistemi nazionali, termini di conservazione dei dati che tengano conto delle differenti esigenze di conservazione in relazione alle diverse fattispecie verificabili in concreto, impostando, altresì, meccanismi di cancellazione automatica dei dati in relazione ai termini stabiliti. 

2.2.Conservazione dei dati nel sistema “Visa Out”. 

In base agli accertamenti svolti è stato rilevato che nel sistema “Visa Out”, cioè l’interfaccia utilizzata dai fornitori esterni di servizi, i dati dei richiedenti il visto rimangono visualizzabili, al fornitore esterno, per 30 giorni, mentre i dati biometrici vengono conservati per 6 giorni dalla data di completamento e invio della pratica. 

Al riguardo, nel 2017 il MAECI ha diramato istruzioni agli uffici consolari invitando gli stessi a “cancellare dal sistema informativo Outsourcing (Visa-Out) le pratiche ferme o pendenti da più di 30 giorni dall’ultima modifica” e ha previsto che “il programma “Visa-Out” sopprima al più presto – e non oltre 6 giorni dalla trasmissione - i dati biometrici dopo la loro trasmissione dal fornitore esterno alla sede, provvedendo inoltre che gli unici dati che siano conservati siano il nome e il recapito del richiedente, al fine di fissare appuntamenti (tali ultimi dati andranno soppressi entro 30 giorni dalla trasmissione (allegato X, lett. d)”(MAE 0029158 del 14.2.2017).

E’ stato inoltre evidenziato che un periodo di conservazione, anche minimo, può essere necessario nel caso in cui la trasmissione dei dati non vada a buon fine (“per problemi tecnici di varia natura, quali ad esempio, cali di tensione elettrica o interruzioni del collegamento internet”, per cui l’Ufficio consolare non riceve i dati in modo corretto o non riesce a trasmetterli alle Autorità centrali). Ove i dati personali non venissero conservati in “Visa-Out”, infatti, si renderebbe necessario richiedere al fornitore di inviare nuovamente i dati o di convocare l’interessato per acquisire di nuovo le impronte digitali. E' stato poi precisato che il termine di 6 giorni, previsto per i dati biometrici, è normalmente sufficiente ad assicurarne la trasmissione con successo e che quello di 30 giorni, previsto per gli altri dati, è stato individuato, quale soluzione mediana, in relazione ai termini massimi per il completamento dell’istruttoria (15 giorni, prorogabili fino a 30 o 60 giorni, se risultano necessari documenti supplementari). 

Si osserva che il Regolamento (CE) n. 810/2009 nel disciplinare la cooperazione con i fornitori esterni, prevede anche specifiche garanzie per trattamento dei dati personali in relazione ai tempi di conservazione. In particolare, l’Allegato X, specifica che il fornitore esterno “sopprime immediatamente i dati dopo la loro trasmissione e provvede affinché gli unici dati che possono essere conservati siano il nome e il recapito del richiedente al fine di fissare appuntamenti, nonché il numero di passaporto fino alla restituzione del passaporto al richiedente, se del caso”. 

Tali previsioni non lasciano margini di flessibilità in ordine ai profili in esame e ogni ipotesi di conservazione dei dati, compresa quella nel sistema di interfaccia “Visa-Out” - che rende possibile all’outsourcer la visualizzazione dei dati  stessi, anche dopo la trasmissione - deve, quindi, essere valutata in modo stringente, in relazione alle specifiche finalità perseguite. Una conservazione “generalizzata” dei dati nel sistema a prescindere dalla sussistenza o meno delle necessità poste alla base della conservazione – sebbene per  periodi di tempo limitati, come quelli stabiliti dal Ministero - non risulta conforme al principio di limitazione della conservazione dei dati personali (art. 5, par. 1, lett. d), Regolamento (UE) 2016/679), oltre che a quanto previsto dall’Allegato X del Codice visti.

Risulta pertanto necessario introdurre nel sistema un meccanismo di cancellazione automatica dei dati biometrici una volta che la pratica sia stata effettivamente trasmessa con successo all'ufficio consolare, prevedendone la conservazione nel sistema per un massimo di 6 giorni limitatamente alle ipotesi in cui la trasmissione non sia andata a buon fine. Tale misura consentirebbe al sistema di effettuare gli ulteriori tentativi di invio del dato biometrico fino all’esito positivo, evitando la necessità di convocare il richiedente il visto per una nuova rilevazione delle impronte digitali.

Per quanto riguarda, invece, gli altri dati, si ritiene invece che possa essere prevista la conservazione nel sistema “Visa-Out”, una volta trasmessi i dati al consolato, soltanto di un identificativo della pratica e/o del nome, del numero di passaporto e del recapito del richiedente, per un massimo di 30 giorni, limitatamente alle ipotesi in cui vi siano esigenze istruttorie (quali, per es. la necessità di integrare la documentazione o di riconvocare il richiedente), ferma restando la necessità di introdurre un meccanismo di cancellazione automatica, prima di tale termine, non appena la pratica sia stata definita (con il rilascio o il diniego del visto), e non sussistono più, dunque, le esigenze poste alla base della conservazione. 

2.3. Disponibilità dei dati dei richiedenti il visto nei sistemi gestionali degli outsourcer e tempi di conservazione. 

Gli outsourcer utilizzano, per esigenze di gestione dell’utenza e per proprie finalità amministrativo-contabili e di fatturazione, sistemi gestionali, o registri, in cui vengono memorizzati alcuni dati relativi ai richiedenti il visto e ai servizi richiesti (es: nome, cognome, numero di passaporto, recapiti, agenzia di viaggio, data di partenza). 

Dalla documentazione acquisita nel corso delle attività di verifica anche presso la sede consolare, si rileva che tali sistemi possono essere configurati in modo da conservare i dati dell’utenza per periodi di tempo differenziati - in alcuni casi, fino a tre mesi - in relazione alle esigenze di gestione sia delle attività esternalizzate dalla sede consolare, sia di quelle proprie del fornitore.

Al riguardo, si fa presente che la conservazione di tali dati da parte del fornitore esterno deve essere conforme alle sopra citate disposizioni di cui all’Allegato X del del Regolamento (CE) n. 810/2009, richiamato integralmente nello strumento contrattuale sottoscritto. 

Risulta, pertanto, necessario che le sedi consolari individuino chiaramente le finalità di conservazione dei dati connessi all’esecuzione dei servizi da esse affidati al fornitore esterno (per esempio, tracking passaporti, gestione dell’agenda degli appuntamenti presso il consolato, incasso e versamento delle cd. “percezioni consolari”, fatturazione, riconsegna passaporto, etc.), e che tali finalità siano chiaramente distinte da quelle legate alla fornitura, da parte del fornitore esterno, di servizi opzionali alla clientela o ad altre esigenze gestionali proprie (per esempio, call center, tracking della pratica on line, notifiche con sms, servizi assicurativi, stampa e trasmissione documenti, spedizione con corriere, finalità amministrativo contabili, etc.). 

In relazione ai servizi esternalizzati dal consolato, è inoltre necessario che le sedi consolari individuino chiaramente quali tipologie di dati conservare, i relativi tempi di conservazione e regole di cancellazione conformi a quanto previsto dall’Allegato X del Regolamento (CE) n. 810/2009, in modo che, una volta trasmessa la pratica, “gli unici dati” oggetto di conservazione “siano il nome e il recapito del richiedente al fine di fissare appuntamenti, nonché il numero di passaporto fino alla restituzione del passaporto al richiedente, se del caso”.

2.4. Criticità di natura tecnica per gli aspetti relativi alla sicurezza informatica.

2.4.1. Consegna delle credenziali agli operatori dell’outsourcer. 

La modalità di attivazione delle utenze di accesso al sistema Visa-Out da parte degli operatori dell’outsourcer, prevede che, a fronte di una richiesta inviata al MAECI attraverso il Consolato, (corredata dei documenti di identità degli interessati da accreditare) le credenziali siano inviate per email al referente dell’outsourcer. La consegna al singolo operatore incaricato è poi effettuata dal referente dell’outsourcer. 
Tale modalità di rilascio presenta alcune criticità in quanto si potrebbe prestare a possibili furti di identità e uso delle credenziali da parte di terzi (impersonificazioni), poiché chi rilascia le credenziali (il MAECI) non ha la certezza che queste  siano assegnate esclusivamente al soggetto che agisce sotto l’autorità del titolare o del responsabile del trattamento ed è specificatamente preposto ad interagire con il sistema Visa-Out, essendo, nei fatti, affidate dal Consolato al referente dell’outsourcer. 

Ugualmente critica appare la scelta del canale di invio delle credenziali (posta elettronica) in quanto canale intrinsecamente non sicuro. 

2.4.2. Gestione e analisi dei file di log degli accessi al N-VIS, L-VIS e “Visa-Out”. 

Allo stato delle verifiche effettuate, il MAECI non risulta aver  predisposto un cruscotto gestionale che possa consentire, allo stesso Ministero e al Garante (nell’esercizio dei propri compiti di controllo), un agevole esame dei file di log al fine di individuare celermente eventuali anomalie nell’utilizzo del sistema, né ha proceduto ad avviare alcuna analisi degli stessi file, seppure con strumenti meno evoluti. Al riguardo, il Ministero ha rappresentato che il cruscotto sarà disponibile entro il primo semestre dell’anno in corso. 

Tale carenza non ha dunque consentito all’Autorità di avviare, e quindi svolgere con regolarità, l’attività di verifica dei file di log prevista dal Regolamento (CE) n. 767/2008 (art. 41, par. 5) e necessaria - anche in base a quanto indicato nelle raccomandazioni formulate all’esito della valutazione sull’applicazione dell’acquis di Schengen (Sche-Eval 2017) - a rafforzare le modalità di controllo in ordine alla liceità del trattamento dei dati personali nel VIS. 

E' pertanto necessario prescrivere al MAECI di implementare il predetto cruscotto gestionale, ove ciò non sia stato realizzato entro i tempi riportati nella documentazione e indicati nel corso delle attività ispettive, nonché la messa a disposizione di uno strumento per l’accesso del Garante al registro dei file di log. 

Al riguardo, è necessario che il cruscotto gestionale rispetti, comunque, i requisiti e le caratteristiche di seguito descritte.

I file di log devono tracciare per ogni operazione di accesso ai dati, ivi compresa la consultazione e la produzione di reportistiche anche in forma aggregata, effettuata dagli incaricati (personale alle dipendenze del MAECI, personale alle dipendenze dei consolati, operatori degli outsourcer) almeno le seguenti informazioni:

- codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso;

- codice della postazione di lavoro utilizzata;

- data e ora di esecuzione;

- codice del richiedente il visto oggetto dell’operazione di accesso ai dati da parte dell’incaricato;

- finalità dell’accesso, tipologia di operazione effettuata e dati esaminati.

I log file devono essere dotati di marche temporali e di controlli di integrità a garanzia della loro inalterabilità e autenticità, anche con il ricorso a tecniche di firma digitale e con l´utilizzo di sistemi di certified logging. La consultazione dei log file deve essere consentita ai soli soggetti dotati di profili di autorizzazione preventivamente individuati, e deve essere a sua volta oggetto di tracciamento.Sulla base dei log memorizzati, deve essere inoltre implementato, da parte del MAECI, un sistema di monitoraggio degli accessi, che preveda l’attivazione di specifici alert volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite da chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento.

Gli esiti derivanti dal sistema di monitoraggio costituiscono infatti un elemento in base al quale il MAECI può pianificare i controlli periodici e le verifiche a posteriori, anche a campione, sull’ammissibilità del trattamento dei dati effettuati dagli incaricati, sull´integrità dei dati e delle procedure adottate per il loro trattamento.

Il MAECI dovrà svolgere verifiche periodiche sulla corretta conservazione dei file di log e l’attività di controllo dovrà essere adeguatamente documentata in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate.

Il sistema di monitoraggio e il periodo di conservazione dei file di log deve essere parametrato a quanto stabilito dagli artt. 32, par. 2, lett. i) e 34 del Regolamento (CE) n. 767/2008 in relazione al Vis.
Dovrà, infine, essere infine prevista la possibilità, da parte del Garante, di accedere, nell’ambito delle attività di controllo, al predetto sistema di monitoraggio per l’attività di auditing (art. 41, del Regolamento (CE) n. 767/2008).

2.4.3. Impossibilità, da parte dell’ufficio visti consolare, di utilizzare i file di log degli accessi degli operatori degli outsourcer. 

Allo stato delle verifiche effettuate, il MAECI non ha previsto che ciascun Consolato possa accedere ai file di log relativi agli accessi al sistema “Visa-Out” effettuati dagli operatori del fornitore esterno. Ciò non consente al Consolato di verificare la correttezza dell’operato  dell’outsourcer, anche attraverso controlli mirati sull’utilizzo del sistema. 

E’ necessario, pertanto, che il MAECI implementi tale possibilità, al fine di assicurare la tempestiva individuazione di eventuali comportamenti anomali e di effettuare le conseguenti verifiche. 

TUTTO CIÒ PREMESSO IL GARANTE

in forza dell’art. 41 del Regolamento (CE) n. 767/2008, per le ragioni esposte in motivazione ammonisce, ai sensi dell’art. 58, par. 2, lett. b)del Regolamento (UE) 2016/679,il Ministero degli Affari esteri e della cooperazione internazionale circa la necessità di: 

1) in relazione ai tempi di conservazione dei dati in N-VIS, individuare termini di conservazione, diversificati in relazione alla tipologia di visto e alle specifiche esigenze procedurali (es. gestione del contenzioso, etc. ); impostare, altresì, meccanismi di cancellazione automatica dei dati in N-VIS in relazione ai termini stabiliti (punto 2.1);

2) in relazione alla conservazione dei dati biometrici nel sistema “Visa Out”, introdurre un meccanismo di cancellazione automatica di tali dati una volta che la pratica sia stata effettivamente trasmessa con successo all'ufficio consolare; prevedere la conservazione, fino a un massimo di 6 giorni, limitatamente alle ipotesi in cui la trasmissione non sia andata a buon fine e al solo fine di consentire al sistema i successivi tentativi di invio automatico con esito positivo (punto 2.2); 

3) in relazione alla conservazione nel sistema “Visa Out” dei dati diversi da quelli biometrici, prevedere la conservazione dei soli dati relativi al nome e/o un numero identificativo della pratica, al numero del passaporto e al recapito del richiedente, limitatamente alle sole ipotesi in cui sussistono esigenze istruttorie (per es. di integrare la documentazione o convocare il richiedente presso la sede consolare) e per un massimo di 30 giorni. Implementare, altresì, un meccanismo di cancellazione automatica dei dati al momento della definizione della pratica, con il rilascio o il diniego del visto (punto 2.2);

4) in relazione alla conservazione dei dati nei sistemi informativi, o in registri, dei fornitori esterni, impartire specifiche istruzioni volte a conformare i trattamenti svolti da questi ultimi a quanto previsto dall’Allegato X del Regolamento (CE) n. 810/2009 in particolare, prevedere che, una volta trasmessi al consolato, siano cancellati tutti i dati diversi rispetto a nome e recapiti del richiedente, da utilizzare al fine di fissare eventuali appuntamenti, nonché il numero di passaporto, fino alla restituzione di questo al richiedente il visto (punto 2.3);

5) in relazione alle modalità di consegna delle credenziali di accesso al sistema “Visa-Out” agli operatori del fornitore esterno, prevedere che il consolato consegni, tramite canali sicuri, le predette credenziali nominalmente all’operatore senza il tramite del referente  del fornitore esterno. Alternativamente, consegnare le credenziali con modalità informatiche che garantiscano che solo il titolare dell’account appena attivato sia posto in grado di conoscere tali credenziali (punto 2.4.1);

6) in relazione al controllo degli accessi ai sistemi N-VIS/L-VIS e “Visa-Out” e ai dati degli interessati, provvedere a tracciare le attività svolte in N-VIS/L-VIS e “Visa-Out” mediante la registrazione dei file di log (punto 2.4.2), in particolare:

- per ogni operazione di accesso ai dati, ivi compresa la consultazione e la produzione di reportistiche anche in forma aggregata, effettuata da chiunque agisca sotto l’autorità del titolare o del responsabile del trattamento (personale alle dipendenze del MAECI, personale alle dipendenze dei consolati, operatori degli outsourcer) devono essere registrate almeno le seguenti informazioni: codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; codice della postazione di lavoro utilizzata; data e ora di esecuzione; codice del richiedente il visto oggetto dell’operazione di accesso ai dati da parte dell’incaricato; finalità dell’accesso, tipologia dell’operazione effettuata e dati esaminati;

- i log file devono essere dotati di marche temporali e di controlli di integrità a garanzia della loro inalterabilità e autenticità, anche con il ricorso a tecniche di firma digitale e con l´utilizzo di sistemi di certified logging;

-  la consultazione dei log file deve essere consentita ai soli soggetti dotati di profili di autorizzazione preventivamente individuati. Tale consultazione deve essere, a sua volta, oggetto di tracciamento;

7)  implementare, ove non sia già stato fatto entro i tempi dichiarati, una procedura di monitoraggio degli accessi per effettuare l’analisi regolare e sistematica dei file di log volta ad individuare eventuali abusi nei sistemi N-VIS/L-VIS e “Visa-Out” e, in ogni caso, in conformità alle indicazioni riportate nel provvedimento (punti 2.4.2 e 2.4.3):

- sulla base dei log memorizzati, prevedere l’attivazione di specifici alert volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento;

- al fine di consentire al MAECI e a ciascun ufficio consolare - per l’ambito territoriale di propria competenza - un agevole esame dei file di log volto ad individuare tempestivamente eventuali comportamenti anomali nell’utilizzo del sistema N-VIS/L-VIS e “Visa-Out” (anche con riferimento agli accessi effettuati dagli operatori dei fornitori esterni di servizi), nonché all’Autorità lo svolgimento delle attività di controllo e di audit (artt. 34 e 41 del Regolamento (CE) n. 767/2008), attivare specifiche utenze a disposizione dei predetti soggetti;

8) in relazione alla gestione e analisi dei file di log degli accessi ai sistemi N-VIS/L-VIS e “Visa-Out”, in conformità a quanto previsto nel presente provvedimento (punto 2.4.2):

- effettuare un’attività di controllo all’avvio del sistema di monitoraggio, indicato al punto precedente, e, successivamente, con cadenza almeno annuale; 

- documentare adeguatamente l’attività di controllo in modo che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate in relazione ai requisiti di sicurezza indicati per il VIS dall’art. 32 del Regolamento (CE) n. 767/2008;

- l’attività di controllo deve comprendere: verifiche a posteriori, a campione, o a seguito di allarme derivante dal sistemi di alerting, sull’ammissibilità del trattamento dei dati effettuato dagli incaricati, sull´integrità dei dati e delle procedure adottate per il loro trattamento nonché verifiche periodiche sulla corretta conservazione dei file di log.

Ai sensi dell’art. 58, par. 1, lett. a) del Regolamento (UE) 2016/679, invita, altresì, il Ministero degli Esteri e della cooperazione internazionale a far conoscere entro il 30 settembre 2018 quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento.

Ai sensi degli articoli 78, par. 1, del Regolamento (UE) 2016/679, 152 del d.lgs. n. 196 del 2003, e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 19 luglio 2018

IL PRESIDENTE
Iannini

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia