Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere su uno schema di decreto recante disposizioni organizzative per la Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza - 5 giugno 2014 [3246681]

[doc. web n. 3246681]

Parere su uno schema di decreto recante disposizioni organizzative per la Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza - 5 giugno 2014

Registro dei provvedimenti
n. 279 del 5 giugno 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell´interno;

Visto l´articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero dell´interno ha richiesto il parere del Garante in ordine a uno schema di decreto del Ministro dell´interno di concerto con il Ministro dell´economia e delle finanze recante disposizioni organizzative per la Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza, nel cui ambito si istituiscono l´"Ufficio per la sicurezza dei dati" e il "Servizio per il sistema informativo interforze".

Si tratta di una versione aggiornata e ampliata di un precedente schema di decreto, sul quale il Garante ha reso parere in data 1 agosto 2013, che era volto ad istituire il solo Ufficio per la sicurezza dei dati con competenze di security auditing, in ossequio a specifiche prescrizioni impartite dal Garante per il potenziamento della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, sia presso il Centro Elaborazione Dati (CED) interforze del Dipartimento della pubblica sicurezza (art. 8, l. n. 121/1981), che presso la Divisione N.S.I.S. del medesimo Dipartimento.

Nel parere del 1° agosto 2013, il Garante non rilevava particolari profili di criticità, ma raccomandava all´amministrazione di valutare l´opportunità di estendere espressamente la funzione di auditing dell´Ufficio per la sicurezza dei dati anche alla banca dati nazionale del DNA, istituita dalla legge 30 giugno 2009, n. 85, in ragione dell´estrema rilevanza che le garanzie di sicurezza assumono, a fortiori, rispetto a un data base contenente, in particolare, dati genetici.

RILEVATO

1. Lo schema di decreto in esame costituisce attuazione delle prescrizioni impartite dal Garante con i provvedimenti del 17 novembre 2005 e del 12 novembre 2009, nella parte in cui hanno previsto il potenziamento presso il predetto CED interforze e la Divisione N.S.I.S. (riguardante il sistema informativo Schengen) della funzione organizzativa responsabile dell´attività di auditing per la sicurezza e la disponibilità dei dati, cui attribuire compiti di security manager interno.

All´articolo 1, si istituisce l´Ufficio per la sicurezza dei dati nell´ambito della Direzione centrale della polizia criminale; ad esso è preposto un dirigente superiore tecnico della Polizia di Stato, anche con compiti di security manager, per assicurare, tra l´altro, il dovuto raccordo con il Garante in relazione alle attività di controllo assegnate allo stesso.

L´ufficio ha competenza in materia di coordinamento e indirizzo delle attività di registrazione, esame e verifica delle attività rilevanti per la sicurezza del trattamento dei dati del predetto CED interforze, della Divisione N.S.I.S. e della banca dati nazionale del DNA (security auditing). Sotto questo profilo lo schema recepisce la raccomandazione resa dal Garante nel parere del 1° agosto 2013.

L´Ufficio ha altresì competenza in materia di: analisi dei rischi relativi ai dati e al loro trattamento; analisi dell´impatto di tali rischi sulle attività e sulle risorse; predisposizione di direttive nell´ambito della redazione dei piani di sicurezza riguardanti: la mitigazione dei rischi individuati nell´ambito della sicurezza fisica e logica dei sistemi informativi e delle reti di comunicazione, la protezione dei dati sensibili e giudiziari, la prevenzione della perdita di dati  e la protezione degli asset, la gestione delle situazioni di emergenza e delle crisi relative al trattamento dei dati.

2. Lo schema di decreto istituisce altresì, sempre nell´ambito della Direzione centrale della polizia criminale, il Servizio per il sistema informativo interforze che si articola in 5 divisioni fra le quali rilevano, in particolare, la divisione 3^ sulla gestione operativa delle apparecchiature informatiche e telematiche relativamente al CED e alla banca dati DNA, la divisione 4^ competente per il funzionamento della banca dati DNA e la divisione 5^ competente per il sistema N.S.I.S..

L´istituzione della Divisione 4^ si deve alla necessità di pianificare e disciplinare gli adempimenti connessi all´organizzazione e al funzionamento e della predetta banca dati del DNA, il cui regolamento di attuazione è in fase avanzata di elaborazione (così si legge nel preambolo), anche con la collaborazione dell´Ufficio del Garante in vista del parere che l´Autorità dovrà esprimere sullo schema (art. 154, comma 4, del Codice) e dell´intesa che dovrà essere raggiunta con le amministrazioni interessate sui tempi di conservazione dei dati ivi inseriti (art. 13, comma 4, l. n. 85/2009).

Tra i compiti assegnati a questa Divisione rilevano, in particolare, quelli di: amministrazione del sistema di gestione della qualità dell´erogazione dei servizi e della politica della sicurezza delle informazioni offerti dalla banca dati; fornire informazioni tecnico-statistiche sulle procedure utilizzate a fini della valutazione dell´attendibilità dell´identificazione personale; supporto all´attività di elaborazione di dati statistici e analisi dei flussi dei campioni biologici attraverso il portale della banca dati; gestione del flusso informativo connesso all´utilizzo della piattaforma tecnologica  e dei software applicativi da parte degli utenti della banca dati;  individuazione e verifica dei requisiti di qualità che devono essere assicurati per l´inserimento nella banca dati dei pertinenti dati; assistenza tecnica all´attività di verifica da parte delle istituzioni di garanzia: il riferimento è anche al Garante che, com´è noto, ai sensi dell´articolo 15, comma 1, della legge n.85 del 2009 esercita il controllo sulla banca dati nazionale del DNA.

CONSIDERATO

Il parere è reso su di una versione dello schema di decreto che tiene conto degli approfondimenti e delle indicazioni suggeriti dall´Ufficio del Garante ai competenti uffici dell´Amministrazione interessata nel corso di riunioni e contatti informali, volti a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali.

Le osservazioni dell´Ufficio hanno riguardato i compiti assegnati all´Ufficio per la sicurezza dei dati, in particolare per quanto riguarda il profilo di security auditing, nonché quelli assegnati alle Divisioni del Servizio per il sistema informativo interforze più direttamente coinvolte nella gestione dei sistemi informativi concernenti il CED, la banca dati del DNA e l´N.S.I.S.

In particolare, l´articolo 1 prevede, ora, che il dirigente dell´Ufficio per la sicurezza dei dati, cui sono assegnati compiti di security manager, debba anche assicurare il dovuto raccordo con il Garante in relazione alle attività di controllo attribuite a questa Autorità sul trattamento dei dati registrati nelle banche dati oggetto del provvedimento o comunque necessari per il funzionamento dei relativi sistemi informativi.

Tale previsione è quanto mai opportuna in quanto consentirà all´Autorità di avere un costante punto di riferimento presso il Dipartimento della pubblica sicurezza in relazione all´espletamento dei propri compiti di vigilanza e verifica sui trattamenti di dati e sui sistemi di sicurezza in tali delicati settori.

Le indicazioni rese dall´Ufficio sono state integralmente recepite dall´Amministrazione e pertanto il Garante non ha osservazioni da formulare sull´articolato.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro dell´interno di concerto con il Ministro dell´economia e delle finanze recante disposizioni organizzative per la Direzione centrale della polizia criminale del Dipartimento della pubblica sicurezza, nel cui ambito si istituiscono l´"Ufficio per la sicurezza dei dati" e il "Servizio per il sistema informativo interforze".

Roma, 5 giugno 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia