g-docweb-display Portlet

  1. Home
  2. Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno - Prescrizioni del Garante e differimento dei termini - 31 luglio 2014 [3471761]

Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell'Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell'interno - Prescrizioni del Garante e differimento dei termini - 31 luglio 2014 [3471761]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3471761]

Trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell´Accordo di Schengen presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell´interno - Prescrizioni del Garante e differimento dei termini - 31 luglio 2014

Registro dei provvedimenti
n. 391 del 31 luglio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa  Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTA la legge 30 settembre 1993, n. 388 di ratifica ed esecuzione dei protocolli e degli accordi di adesione all´Accordo di Schengen e alla relativa Convenzione di applicazione e, in particolare, l´articolo 11, come modificato dall´articolo 173 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196);

VISTO il Codice in materia di protezione dei dati personali e, in particolare, gli artt. 31, 33, 34, 35 e il disciplinare tecnico, allegato B);

VISTO il provvedimento del 12 novembre 2009, adottato dal Garante a seguito di accertamenti effettuati presso le Divisioni N-S.i.s. e S.i.re.n.e. del Dipartimento della pubblica sicurezza del Ministero dell´interno volti a verificare l´idoneità delle misure di sicurezza dei dati e dei sistemi adottate presso dette strutture nel trattamento dei dati effettuato in attuazione della Convenzione di applicazione dell´Accordo di Schengen;

RILEVATO che con detto provvedimento l´Autorità ha prescritto, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, al Ministero dell´interno-Dipartimento della pubblica sicurezza di adottare alcune misure, entro i termini ivi precisati, attinenti al profilo della sicurezza dei dati personali e dei sistemi, volte ad assicurare un rafforzamento del livello di protezione delle informazioni trattate commisurato alle finalità della banca di dati N-S.i.s. e al rilievo dei sistemi informativi utilizzati;

VISTO il provvedimento del 27 febbraio 2014 con il quale il Garante, valutate le difficoltà rappresentate dal Ministero dell´interno-Dipartimento della pubblica sicurezza nella realizzazione di alcune delle misure prescritte, ne ha disposto il differimento dei termini di attuazione al 30 giugno 2014, ad eccezione della misura in materia di disaster recovery, per la quale è stato disposto il differimento al 31 dicembre 2014, prescrivendo peraltro al Ministero di trasmettere all´Autorità entro il 30 giugno 2014 "ogni documentazione utile ad illustrare dettagliatamente le attività finora compiute in ordine alla scelta del sito destinato ad ospitare le strutture e alla procedura di appalto volta alla loro realizzazione, con l´indicazione della tempistica prevista per il completamento delle opere e per l´effettiva operatività dei sistemi da implementare in dette strutture";

RITENUTO che il Garante, in relazione agli obblighi di controllo ad esso affidati dal Codice, deve verificare l´adozione delle misure prescritte (art. 160, comma 2);

RILEVATO che il differimento del termine al 30 giugno 2014 ha riguardato, tra l´altro, anche l´attuazione della prescrizione di cui al punto 6.1 del provvedimento del 12 novembre 2009 relativamente al profilo concernente la realizzazione del potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno; considerato che il differimento è stato disposto in considerazione del fatto che con nota del 9 gennaio 2014 il Ministero aveva rappresentato la necessità di adottare un articolato decreto che, oltre a istituire, nell´ambito della Direzione centrale della polizia criminale del Dipartimento,  un´apposita unità organizzativa denominata Ufficio per la sicurezza dei dati "cui sono attribuite funzioni di auditing per la sicurezza e la disponibilità dei dati registrati nel Centro elaborazione dati e nella banca dai N.S.i.s.", prevede anche "il trasferimento presso quest´ultima Direzione centrale della banca dati N.S.i.s. e la formale istituzione, nell´ambito della stessa, della banca dati nazionale del DNA", "al fine di assicurare maggiore coerenza e organicità all´assetto ordinamentale della citata Direzione centrale, nel quadro di un più ampio progetto di riordino";

VISTA la nota del 24 giugno 2014 con la quale il Ministero dell´interno-Dipartimento della pubblica sicurezza, con riferimento all´attuazione di detta prescrizione, ha rappresentato che l´adozione del decreto, in quanto attinente all´organizzazione degli uffici del Dipartimento della pubblica sicurezza, "esige il preventivo espletamento delle procedure di consultazione delle organizzazioni sindacali rappresentative della Polizia di Stato e del personale dell´Amministrazione civile dell´interno" ai sensi, rispettivamente, degli artt. 25 e 26 del d.P.R. n. 164/2002 e dell´art. 6 del Contratto collettivo nazionale di lavoro del comparto Ministeri; considerato che con detta nota il Ministero ha, altresì, rappresentato che, successivamente a tali procedure di consultazione, "per l´avvio delle quali sono già state interessate le competenti articolazioni dipartimentali", si renderà necessario acquisire il concerto del Ministero dell´economia e delle finanze ai sensi dell´art. 5, comma 7, della legge n. 121/1981 e sottoporre il decreto alla registrazione della Corte dei conti;

RILEVATO che, in considerazione di tale situazione, il Ministero ritiene "di poter ipotizzare" la conclusione dell´iter di adozione del decreto "entro il 30 ottobre prossimo", e chiede pertanto al Garante il differimento al 30 ottobre 2014 del termine fissato per l´adempimento della prescrizione;

RITENUTO che, valutato quanto rappresentato dal Ministero nella predetta nota riguardo alla solo ipotizzata definitiva adozione del decreto istitutivo dell´Ufficio per la sicurezza dei dati, appare congruo disporre il differimento al 31 dicembre 2014 del termine per l´adempimento della prescrizione di cui al punto 6.1 nella parte concernente la realizzazione del potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno;

RITENUTO che entro lo stesso termine del 31 dicembre 2014 il Ministero dovrà dare riscontro circa la completa attuazione della predetta misura, trasmettendo all´Autorità, entro la medesima data, il testo del decreto adottato;

PRESO ATTO che con la nota del 26 giugno 2014 il Ministero ha riferito, allegando un prospetto esplicativo, che tutte le prescrizioni di natura tecnologico/informatica di competenza del Dipartimento per le quali è stato assegnato il termine di attuazione del 30 giugno 2014 sono state realizzate entro tale termine;

PRESO ATTO della nota del 15 luglio 2014 con cui il Ministero, con riferimento alla prescrizione contenuta nel menzionato provvedimento del 27 febbraio 2014 di fornire informazioni in ordine allo stato di attuazione delle strutture volte alla realizzazione della misura in materia di disaster recovery, con l´indicazione della tempistica prevista per completamento delle opere e della operatività dei sistemi, ha comunicato di non disporre di elementi di dettaglio sulla realizzazione dell´opera "che si inserisce in un più ampio progetto strutturale che interessa anche il Centro Elaborazione Dati della Polizia di Stato", in quanto "la documentazione di tale progetto è stata classificata ai fini della sicurezza nazionale per cui non si dispone di notizie", e di avere richiesto al responsabile del procedimento "elementi utili alle valutazioni di codesta Autorità compatibili con la disciplina in materia";

RILEVATO che con la successiva comunicazione del 17 luglio 2014 il Ministero ha precisato, quanto alla tempistica di realizzazione delle strutture, che "nel mese di febbraio 2014 si è conclusa la gara di appalto e il contratto è divenuto esecutivo il successivo 3 giugno", e che per l´esecuzione dei lavori è previsto il termine di un anno;

RITENUTO, quindi, preso atto di quanto rappresentato in particolare nella menzionata nota del 15 luglio 2014 relativamente alla classificazione ai fini della sicurezza nazionale delle informazioni richieste con il provvedimento del 27 febbraio 2014, di prescrivere al Ministero dell´interno-Dipartimento della pubblica sicurezza di trasmettere all´Autorità entro il 31 dicembre 2014, oltre agli elementi che verranno acquisiti concernenti la struttura in corso di realizzazione relativa al disaster recovery, anche le seguenti ulteriori informazioni:

- se sia stato redatto uno studio di fattibilità tecnica ai sensi dell´art. 50 bis del d. lg. n. 82 del 2005 (Codice dell´amministrazione digitale) ed acquisito il parere dell´Agenzia per l´Italia Digitale (ex DigitPA); in caso positivo produrre copia della relativa documentazione;

- se siano stati redatti il piano di continuità operativa e il piano di disaster recovery di cui al medesimo art. 50-bis del CAD; in caso positivo produrre copia della relativa documentazione;

- quale sia la tipologia di apparati di storage e di backup prescelti;

- quale sia la modalità di connessione telematica tra il sito primario e quello destinato al disaster recovery al fine di permettere il trasferimento dei dati  nel corso delle procedure di backup e di recovery;

- quale sia la modalità di attivazione del piano di disastro;

- quali siano i livelli di servizio (SLA) specificamente previsti per la disponibilità degli archivi e delle procedure "Schengen" a seguito di disastro;

CONSIDERATO che le prescrizioni impartite dal Garante ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice sono assistite da sanzione amministrativa (art. 162, comma 2ter, del Codice);

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

a) dispone, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, nei confronti del Ministero dell´interno-Dipartimento della pubblica sicurezza il differimento al 31 dicembre 2014 del termine stabilito per l´adempimento della prescrizione di cui al punto 6.1 impartita con il provvedimento del 12 novembre 2009, relativamente al profilo concernente la realizzazione del potenziamento nella struttura del Dipartimento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire efficaci compiti di security manager interno;

b) prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, al Ministero dell´interno-Dipartimento della pubblica sicurezza di dare riscontro all´Autorità entro il 31 dicembre 2014 circa l´attuazione della predetta misura, trasmettendo all´Autorità, entro la medesima data, il testo del decreto adottato;

c) prescrive, ai sensi degli artt. 154, comma 1, lett. c) e 160 del Codice, nei confronti del Ministero dell´interno-Dipartimento della pubblica sicurezza di trasmettere all´Autorità entro il 31 dicembre 2014, oltre agli elementi che verranno acquisiti concernenti la struttura in corso di realizzazione relativa al disaster recovery, anche le seguenti ulteriori informazioni:

-  se sia stato redatto uno studio di fattibilità tecnica ai sensi dell´art. 50 bis del d. lg. n. 82 del 2005 (Codice dell´amministrazione digitale) ed acquisito il parere dell´Agenzia per l´Italia Digitale (ex DigitPA); in caso positivo produrre copia della relativa documentazione;

- se siano stati redatti il piano di continuità operativa e il piano di disaster recovery di cui al medesimo art. 50-bis del CAD; in caso positivo produrre copia della relativa documentazione;

- quale sia la tipologia di apparati di storage e di backup prescelti;

- quale sia la modalità di connessione telematica tra il sito primario e quello destinato al disaster recovery al fine di permettere il trasferimento dei dati  nel corso delle procedure di backup e di recovery;

- quale sia la modalità di attivazione del piano di disastro;

- quali siano i livelli di servizio (SLA) specificamente previsti per la disponibilità degli archivi e delle procedure "Schengen" a seguito di disastro;

d) riserva ogni altro provvedimento all´esito dei riscontri forniti dal Ministero dell´interno-Dipartimento della pubblica sicurezza.

Roma, 31 luglio 2014

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
3471761
Data
31/07/14

Argomenti

Misure di sicurezza Pubblica Sicurezza

Tipologie

Prescrizioni del Garante

Documenti citati

Vedi anche (5)