[doc. web n. 1694785]

Sistema di informazione visti (VIS) e scambio di dati fra gli Stati membri dell’Unione europea - 28 gennaio 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale reggente;

Vista la richiesta di parere del Ministero degli affari esteri;

Visto l’art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Con nota del 21 gennaio 2010, il Ministero degli affari esteri ha richiesto il parere del Garante in ordine a uno schema di decreto interministeriale contenente disposizioni per l’attuazione del Sistema di informazione visti (VIS) e lo scambio dei dati fra gli Stati membri dell’Unione europea.

Tale provvedimento mira a disciplinare le competenze – rispettivamente del Ministero degli affari esteri e del Ministero dell’interno – e ad individuare in concreto le operazioni eseguibili in ordine all’attuazione e al funzionamento del Sistema di Informazione Visti - Visa Information System (infra: VIS), istituito con Decisione del Consiglio dell’Unione Europea 2004/512/CE dell’8 giugno 2004, al fine di realizzare un sistema di scambio tra gli Stati membri dei dati relativi ai visti, suscettibili di inserimento, aggiornamento e consultazione per via elettronica da parte delle autorità nazionali legittimate.

Il sistema d´informazione visti è basato su di un´architettura centralizzata ed è costituito da un sistema d´informazione centrale nell’ambito della UE- denominato “sistema centrale d´informazione visti" o “CS-VIS"- con interfacce in ciascuno Stato membro – denominate “N-VIS", di competenza del Ministero degli affari esteri e “I-VIS", di competenza del Ministero dell’interno - che assicurano il collegamento con le competenti autorità nazionali del rispettivo Stato membro, e dall´infrastruttura di comunicazione tra il CS-VIS e le interfacce nazionali. Lo scambio di informazioni fra le interfacce nazionali, N-VIS e I-VIS, e il CS-VIS è mediato da un sistema denominato “FEVIS" che gestisce le code dei comandi e instrada i flussi informativi dal CS-VIS verso le amministrazioni richiedenti.

Le informazioni contenute nel sistema sono costituite sia dai dati personali dei soggetti che richiedono il rilascio del visto, alfanumerici e biometrici (immagine del volto e impronte digitali), sia da quelli relativi ai soggetti ospitanti (cd. sponsor), sia dalle annotazioni concernenti il visto richiesto e le operazioni eseguite.

In virtù di atti comunitari emanati in seguito alla suddetta Decisione del 2004, le attività e le funzioni del VIS sono state progressivamente definite, con particolare riferimento allo scambio tra Stati membri dei dati in materia di visti per soggiorni di breve durata, al fine di agevolare l’esame delle istanze di visto (Regolamento del Parlamento europeo e del Consiglio n. 767/2008 del 9 luglio 2008; infra: Regolamento), ed è stata inoltre prevista la possibilità della consultazione del sistema VIS, sia da parte delle competenti autorità degli Stati membri appositamente designate, sia da parte di Europol ai fini della “prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri reati gravi" (Decisione del Consiglio dell’Unione europea 2008/633/GAI del 23 giugno 2008).

Come può evincersi dai considerando nn. 1 e 19 della Decisione del Consiglio dell’Unione europea 2008/633/GAI del 23 giugno 2008, l’istituzione del VIS “costituisce una delle iniziative fondamentali delle politiche dell’Unione europea volte a creare uno spazio di libertà, sicurezza e giustizia", e la relativa disciplina, nel rispettare “i diritti fondamentali e (…) i principi enunciati, in particolare, nella Carta dei diritti fondamentali dell’Unione europea", segnatamente impone agli Stati membri l’adozione di misure idonee a garantire la protezione dei dati personali trattati nell’ambito del VIS e di prevedere un accesso selettivo al sistema in base al principio di stretta necessità, escludendo in particolare consultazioni sistematiche.

Lo stesso Regolamento richiede agli Stati membri, a garanzia dei diritti fondamentali degli interessati, di prevedere disposizioni -in questi casi, di rango primario- relative alla responsabilità per eventuali danni derivanti dalla violazione delle norme previste per il funzionamento del VIS e per l’irrogazione di sanzioni, amministrative e penali (considerando 16 e 22; artt. 33 e 36).

RILEVATO

Il presente parere si riferisce ad una versione dello schema che tiene conto di talune delle indicazioni fornite, nel corso di una riunione tenutasi presso questa Autorità, ai competenti uffici delle Amministrazioni interessate, al fine di rendere il provvedimento maggiormente conforme alla disciplina in materia di protezione dei dati personali, con particolare riferimento agli aspetti del decreto concernenti: l’individuazione del titolare del trattamento; i soggetti legittimati all’accesso al VIS; i limiti e l’oggetto delle consultazioni; le modalità e i termini di conservazione dei dati personali; le misure di protezione dei dati e dei sistemi.

Tra le modifiche apportate al testo originario sulla base delle indicazioni fornite preliminarmente da questa Autorità, si segnala in particolare la previsione – assente nella versione precedente - della categoria dei reati per la cui prevenzione e investigazione è consentito l’accesso al VIS, mediante rinvio mobile alla norma di cui all’articolo 2, paragrafo 1, lettere c) e d) della predetta Decisione 2008/633/GAI del 23 giugno 2008, che a sua volta richiama, oltre ai delitti di terrorismo, i reati previsti dalla decisione quadro sul mandato d’arresto europeo (decisione quadro 2002/584/GAI). Tale precisazione appariva necessaria al fine di circoscrivere meglio la nozione di “gravi reati" (diversi da quelli di terrorismo) per la cui investigazione si potesse accedere al VIS, conformemente al concetto di “serious criminal offences" presente nella versione inglese del Regolamento che, com’é noto, designa quelli che nel nostro ordinamento rappresentano delitti di una certa gravità. L’auspicato riferimento ai delitti per i quali si applica il mandato d’arresto europeo si rendeva del resto necessario avendo l’Amministrazione preferito disciplinare unitariamente e non invece, con atti distinti, l’accesso al VIS per le attività correlate allo scambio di dati tra Paesi membri sui visti per soggiorni di breve durata - di cui al Regolamento– e l’accesso al medesimo sistema, da parte delle “autorità designate degli Stati membri e di Europol ai fini della prevenzione, dell’individuazione e dell’investigazione di reati di terrorismo e altri gravi reati" (Decisione 2008/633/GAI del Consiglio). Le attribuzioni e le attività connesse rispettivamente a ciascuna di queste categorie di accessi differiscono infatti sensibilmente l’una dall’altra; ragione per la quale, essendosi esclusa l’opzione di una regolamentazione distinta, appariva necessario tipizzare in maniera tassativa condizioni, finalità e limiti dell’accesso al VIS sulla base delle diverse esigenze previste dal diritto comunitario.

Al fine di elevare lo standard di protezione dei dati personali trattati nell’ambito del VIS, si ritiene necessario perfezionare ulteriormente il testo con talune puntuali modifiche, richiamandosi altresì l’attenzione delle Amministrazioni interessate su alcune raccomandazioni in ordine all’attuazione del decreto in esame, finalizzate a garantire un livello ottimale di tutela dei dati personali, anche sulla base della documentazione resa informalmente all’Ufficio e volta ad illustrare nel dettaglio le modalità tecniche di funzionamento del sistema VIS.

CONSIDERATO

1. L’articolo 4 dello schema, nel disciplinare la consultazione del VIS in occasione dei controlli sulle condizioni di ingresso delle persone alla frontiera, fa riferimento ai “valichi di frontiera esterni". La norma andrebbe perfezionata chiarendo se si intenda fare riferimento alle “frontiere esterne Schengen" (con esclusione quindi del Regno Unito e dell’Irlanda dalla consultazione del VIS), ovvero alle frontiere esterne tout court, nei riguardi cioè di Paesi extraeuropei (ciò ha rilievo soprattutto per quanto riguarda le frontiere aeree).

2. L’articolo 6 va perfezionato adeguando la rubrica al contenuto delle disposizioni ivi richiamate, aggiungendo le seguenti parole: “e per l’esame della domanda di asilo".

3. Gli articoli 6, paragrafo 2; 7, paragrafo 1 e 29 del Regolamento, nonché l’articolo 9 della  Decisione 2008/633/GAI affermano la necessità che l’accesso al VIS sia effettuato in relazione ai soli dati strettamente necessari all’assolvimento delle funzioni demandate ai soggetti legittimati e attribuite agli organi competenti. Al fine di sancire con maggiore chiarezza tale vincolo di pertinenza e stretta necessità sarebbe auspicabile prevedere, all’articolo 8, comma 3, dello schema di decreto, che le regole tecniche e le procedure automatizzate disposte dal Ministero degli affari esteri per il coordinamento degli accessi al VIS devono essere tali da consentire l’accesso selettivo ai soli dati pertinenti e necessari.

4. Il comma 4 dell’articolo 8 dello schema, nel disciplinare le attività svolte dal Ministero degli affari esteri quale Autorità nazionale di cui all’articolo 28, paragrafo 2, del Regolamento, prevede in particolare che tale Amministrazione provvede, tra l’altro, alla connessione dell’interfaccia nazionale e dell’interfaccia nazionale di riserva “con il Sistema Pubblico di Connettività, tramite il quale esse sono rese disponibili alle Autorità nazionali autorizzate all’accesso". Tale formulazione rischia di generare taluni equivoci interpretativi, in quanto la nozione di “Autorità nazionali autorizzate all’accesso" non è espressamente definita nello schema di decreto, che invece disciplina, di volta in volta, i soggetti pubblici legittimati all’accesso al VIS in funzione delle attività svolte. Pertanto, all’articolo 8, comma 4, secondo periodo, appare preferibile sostituire le parole: “Autorità nazionali autorizzate all’accesso" con le seguenti: “soggetti legittimati ai sensi del presente decreto", ritenendo che - come sembra - si intendesse qui fare riferimento ai singoli soggetti pubblici legittimati, come ad esempio quelli indicati all’articolo 3 dello schema.

5. Il paragrafo 2 dell’articolo 34 del Regolamento impone agli Stati membri di dotare i Registri delle operazioni di trattamento dei dati nell’ambito VIS di adeguate misure di protezione volte a prevenirne la consultazione non autorizzata. Pertanto, sarebbe opportuno che l’articolo 8, comma 6, dello schema di decreto, nel disciplinare i medesimi Registri richiami (anche solo per relationem) le modalità di utilizzo e le misure di protezione previste dal Regolamento.

6. L’articolo 30 del Regolamento, nel disciplinare la “conservazione dei dati VIS in archivi nazionali", si riferisce espressamente ai “dati provenienti dal VIS" consentendone la conservazione “solo qualora ciò sia necessario in casi specifici". Nel normare la materia, invece, l’articolo 9, comma 5, dello schema di decreto, al primo periodo, ricorre all’espressione “dati personali registrati nel VIS" e non limita la conservazione ai soli “casi specifici" cui invece si richiama il Regolamento. Al fine di rendere la norma del decreto maggiormente conforme al disposto del Regolamento, all’articolo 9, comma 5, primo periodo, appare necessario sostituire le parole: “registrati nel" con: “provenienti dal" limitando, altresì, espressamente la possibilità di conservazione ai soli “casi specifici" nei quali sia necessario.

7. La designazione, da parte dell’articolo 9, comma 6, primo periodo, del Garante quale “Autorità di controllo nazionale" ai sensi dell’articolo 41, paragrafo 1, e per le finalità di cui all’articolo 35 del Regolamento, chiarisce già di per sé esaustivamente gli specifici poteri attribuiti a tale istituzione in qualità di Autorità di controllo del trattamento dei dati nell’ambito del sistema VIS, sulla base delle disposizioni di cui al suddetto articolo 41. Pertanto, la precisazione di cui al secondo periodo del comma 6 dell’articolo 9, secondo cui l’Autorità di controllo nazionale “esercita i poteri indicati nel predetto art. 41, paragrafi 1, 2 e 5", potrebbe apparire superflua.

8. In base al considerando n. 9 della Decisione n. 2008/633/GAI,  la Decisione quadro del Consiglio n. 2008/977/GAI del 27 novembre 2008, sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale, “una volta entrata in vigore (…) dovrebbe applicarsi ai dati personali trattati" ai sensi della stessa Decisione 2008/633/GAI. Appare pertanto opportuno valutare l’incidenza di tale decisione quadro (già in vigore, anche se non ancora trasposta nell’ordinamento interno) sulla disciplina dell’accesso al VIS per ragioni investigative o comunque di prevenzione dei reati, anche nell’ambito di attività di cooperazione giudiziaria e di polizia in materia penale.

9. Al fine di adeguare il sistema VIS, nelle sue articolazioni informatiche, alle disposizioni del Codice, appare opportuno che in sede di applicazione delle disposizioni del presente decreto per il funzionamento del VIS, le Amministrazioni interessate curino l’adozione delle seguenti misure:

9.1) conformemente alle prescrizioni di cui all’articolo 31 del Codice, per evitare duplicazioni di basi di dati e minimizzare il rischio di accesso o trattamento non autorizzato o comunque non conforme alle finalità della raccolta, è necessario che il sistema FEVIS svolga un ruolo di pura interfaccia per lo scambio dei dati con il CS-VIS, ovvero che nessuna forma di memorizzazione locale dei dati personali in transito sia consentita  presso il FEVIS;

9.2) la conservazione dei log deve essere effettuata in modo da garantire che essi non contengano riferimenti ai dati personali raccolti, ma unicamente informazioni relative all’accesso al sistema da parte degli incaricati. Tali log devono consentire di associare in modo univoco le operazioni effettuate sul sistema CS-VIS a ciascun incaricato delle amministrazioni e devono possedere sufficienti requisiti di completezza rispetto alle operazioni effettuate sul sistema dagli incaricati; inoltre, per la loro conservazione devono essere previste opportune misure di sicurezza in grado di assicurarne l’inalterabilità e la verifica d’integrità. Riguardo alla consultazione analitica dei medesimi log, è necessario che essa sia consentita ad un numero ristretto di incaricati, con autorizzazione specifiche e individuali;

9.3) in merito alle funzioni di proxy FTP e alla produzione di report sulle attività VIS, è opportuno assicurare che tali relazioni abbiano carattere statistico e contengano dati d’uso in forma aggregata. E’ altresì opportuno che anche l’accesso a tali relazioni sia sottoposto a tracciamento mediante log;

9.4) i log prodotti dal sistema devono essere sottoposti a periodiche attività di auditing interne, in grado di individuare ed eventualmente segnalare anomalie sul sistema, quali accessi non autorizzati, letture massive di dati o altri usi impropri del sistema. Inoltre, ai sensi dell’articolo 43, paragrafo 1 del Regolamento, dovrà essere assicurato, con cadenza annuale, l’accesso da parte del Garante a tali log per attività di auditing.

IL GARANTE

Esprime parere favorevole sullo schema di decreto interministeriale contenente disposizioni per l’attuazione del Sistema di informazione visti (VIS) e lo scambio dei dati fra gli Stati membri, con le seguenti osservazioni:

a) all’articolo 4, sia chiarito se con l’espressione “valichi di frontiera esterni" si intenda fare riferimento alle “frontiere esterne Schengen" ovvero alle frontiere esterne tout court, nei riguardi cioè di Paesi extraeuropei (punto 1);

b) alla rubrica dell’articolo 6 siano aggiunte, in fine, le seguenti parole: “e per l’esame della domanda di asilo" (punto 2);

c) all’articolo 8, comma 3, si preveda che le regole tecniche e le procedure automatizzate disposte dal Ministero degli affari esteri per il coordinamento degli accessi al VIS siano tali da consentire l’accesso selettivo ai soli dati pertinenti e necessari (punto 3);

d) all’articolo 8, comma 4, secondo periodo, le parole: “Autorità nazionali autorizzate all’accesso" siano sostituite con le seguenti: “soggetti legittimati ai sensi del presente decreto" (punto 4);
e) all’articolo 8, comma 6, si valuti l’opportunità di richiamare le modalità di utilizzo e le misure di protezione dei registri, ai sensi del paragrafo 2 dell’articolo 34 del Regolamento (punto 5);

f) all’articolo 9, comma 5, primo periodo, le parole: “registrati nel" siano sostituite con: “provenienti dal", limitando espressamente la possibilità di conservazione ai soli “casi specifici" nei quali sia necessario (punto 6);

g) all’articolo 9, comma 6, si valuti l’opportunità di sopprimere il secondo periodo (punto 7);

e con le seguenti raccomandazioni:

h) valutino le Amministrazioni interessate l’opportunità di promuovere iniziative per implementare ulteriormente l’attuazione del Regolamento, anche mediante norme di rango primario, in particolare per quanto riguarda l’introduzione di specifiche disposizioni sanzionatorie o in materia di responsabilità civile;

i) valutino le Amministrazioni l’incidenza della Decisione quadro del Consiglio n. 2008/977/GAI del 27 novembre 2008, sulla disciplina dell’accesso al VIS per ragioni investigative o comunque di prevenzione dei reati (punto 8);

j) nella fase di attuazione delle disposizioni previste dallo schema di decreto, le Amministrazioni interessate tengano conto in particolare dell’esigenza di adottare le seguenti misure: 

j1) attribuire al sistema FEVIS un ruolo di pura interfaccia per lo scambio dei dati con il CS-VIS, precludendo ogni forma di memorizzazione locale dei dati personali in transito presso il FEVIS (punto 9.1);

j2) effettuare la conservazione dei log in modo da garantire che essi non contengano riferimenti ai dati personali raccolti, ma unicamente informazioni relative all’accesso al sistema da parte degli incaricati, consentendo la  consultazione analitica dei medesimi log, ad un numero ristretto di incaricati, con autorizzazioni specifiche e individuali (punto 9.2);

j3) assicurare che i report sulle attività VIS abbiano carattere statistico e contengano dati d’uso in forma aggregata, tracciando mediante log l’accesso a tali relazioni (punto 9.3);

j4) sottoporre i log prodotti dal sistema a periodiche attività di auditing interne, in grado di individuare ed eventualmente segnalare anomalie sul sistema, assicurando altresì con cadenza annuale, l’accesso da parte del Garante a tali log per attività di auditing (punto 9.4).

Roma, 28 gennaio 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE REGGENTE
DE PAOLI