Regione Toscana
norma

 
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI  
PARERE 12 marzo 2015, n. 141
  Parere su uno schema di decreto direttoriale recante prescrizioni tecniche concernenti l'"infrastruttura di sicurezza PSE" relativa al permesso di soggiorno - 12 marzo 2015.  
 


 
  urn:nir:garante.protezione.dati.personali:parere:2015-03-12;141

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell'interno;

Visto l'articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali ( d.lgs. 30 giugno 2003, n. 196  );

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Il Ministero dell'interno ha richiesto il parere del Garante in ordine a uno schema di decreto direttoriale recante prescrizioni tecniche concernenti l'"infrastruttura di sicurezza PSE" relativa al permesso di soggiorno.

Il decreto è adottato ai sensi dell' articolo 10, comma 1, lett. b), del decreto del Ministro dell'interno 23 luglio 2013  recante regole di sicurezza relative al permesso di soggiorno (di seguito anche PSE), con il quale il modello del permesso di soggiorno e del permesso di soggiorno per soggiornanti di lungo periodo ( artt. 5, comma 8,  e 9  d.lgs. 286/1998 ) è stato adeguato alle previsioni contenute nel regolamento CE n. 380/2008 del Consiglio del 18 aprile 2008, di modifica del regolamento (CE) n. 1030/2002 , istitutivo di un modello uniforme per i permessi di soggiorno rilasciati a cittadini di paesi terzi, e sul cui schema il Garante ha reso parere in data 5 giugno 2012.

Il medesimo articolo 10 prevede che siano adottati altri due decreti direttoriali per l'individuazione delle prescrizioni tecniche in materia, rispettivamente, di "procedure e processi di produzione e di servizio per il procedimento di emissione e controllo del permesso di soggiorno" (comma 1, lett. a)) e di "modalità di acquisizione e di verifica degli elementi biometrici primari e secondari" del PSE (comma 1, lett. c)).

Anche gli schemi dei predetti decreti sono stati trasmessi al Garante; sul primo di essi l'Autorità si è già espressa nell'adunanza del 5 marzo 2015, mentre sul secondo si esprimerà con separato parere.

RILEVATO

Il permesso di soggiorno è composto da un supporto fisico (tessera o smart-card) con gli elementi e i requisiti di sicurezza previsti dalle prescrizioni tecniche stabilite nell'Allegato I alla Decisione C(2009) 3770 (classificato "SECRET UE"), nonché da un microprocessore RF integrato contenente i dati del permesso di soggiorno, in conformità al Regolamento CE n. 380/2008 e alle prescrizioni tecniche stabilite nell'allegato II alla Decisione della Commissione C(2009) 3770 del 20 maggio 2009.

I dati e gli elementi biometrici primari (immagini del volto del titolare del PSE), specificati nell'Allegato A al decreto del 2013, sono stampati sul predetto supporto fisico. I dati e gli elementi biometrici primari e secondari (immagini delle impronte digitali del titolare), specificati nell'Allegato A al medesimo decreto, sono memorizzati all'interno del microprocessore RF, costituito da un chip contactless, conforme alla normativa internazionale.

Al fine di garantire un elevato livello di sicurezza, il circuito di emissione e controllo si basa su un'architettura centralizzata che consente sia la tracciatura di tutte le operazioni effettuate da ciascun ente coinvolto, sia l'emissione di documenti con caratteristiche di sicurezza in grado di minimizzare i rischi di contraffazione e falsificazione. In particolare, la componente di governo dei processi è affidata all'"Infrastruttura Centrale PSE", la gestione della sicurezza all'"Infrastruttura di Sicurezza PSE" e la fase di produzione dei permessi di soggiorno all'Istituto Poligrafico e Zecca della Stato.

Il presente schema di decreto direttoriale riguarda la predetta "Infrastruttura di Sicurezza PSE" e comunque gli aspetti di sicurezza dei dati e dei sistemi.

Il microprocessore è in grado di memorizzare i dati al suo interno e di comunicarli ai soli sistemi informatici autorizzati. I lettori e le tessere sono stati progettati in conformità a standard internazionali di tipo tecnico (Icao e Bsi) che garantiscono la sicurezza dei dati in termini di confidenzialità e di non modificabilità, pur mantenendo inalterata la possibilità di scambiarli (interoperabilità) con gli altri Stati. A tal proposito, lo schema di decreto fa riferimento a sofisticati sistemi di controllo dell'accesso ai dati contenuti nel microprocessore, che forniscono un livello di sicurezza tale da scongiurarne la lettura da parte di soggetti o sistemi non autorizzati o la possibilità che le tessere e i microprocessori stessi possano essere contraffatti (cfr. paragrafo 2 dello schema).

All'Infrastruttura centrale PSE (infrastruttura ICT allocata presso il Centro elettronico nazionale della Polizia di Stato), è affidato il compito di gestire le componenti hardware e software necessarie alla realizzazione della complessa infrastruttura di sicurezza.

Quest'ultima è definita l'insieme delle infrastrutture a chiave pubblica (PKI) e delle infrastrutture di comunicazione e pubblicazione dei certificati , costituite da sistemi, entità e procedure operative preposte a garantire la certificazione dei dati contenuti nel microprocessore, la protezione dei dati stessi e la sicurezza del circuito di emissione e controllo dei permessi di soggiorno (par. 1.1.).

Il paragrafo 3 dello schema di decreto dettaglia l'infrastruttura di sicurezza.

Lo schema di decreto prevede anche delle misure di sicurezza destinate all'operatività dell'Infrastruttura centrale PSE, allo scopo di consentire l'accesso ai dati personali ai soli soggetti autorizzati e la verifica della liceità dei trattamenti posti in essere attraverso la registrazione delle operazioni effettuate dagli incaricati (par. 4). In particolare, è previsto un sistema di disaster recovery che ha come obiettivo la riduzione dell'eventualità di perdita di dati anche in situazioni che, per la loro specificità, comportino un rischio potenziale di distruzione dei dati stessi (par. 4.6).

CONSIDERATO

Lo schema di decreto è stato elaborato nell'ambito di un tavolo di lavoro istituito presso il Dipartimento della pubblica sicurezza del Ministero dell'interno, incaricato di redigere lo schema di decreto ministeriale sul PSE e i correlati decreti direttoriali, cui ha partecipato, a richiesta e in via collaborativa, anche l'Ufficio del Garante fin dalla sua costituzione.

L'Ufficio ha fornito il proprio contributo in relazione agli aspetti del provvedimento suscettibili di incidere sul diritto alla protezione dei dati personali, così come aveva a suo tempo fatto in relazione allo schema del decreto ministeriale, fornendo indicazioni per elevare il livello delle garanzie per gli interessati che sono state recepite dall'Amministrazione.

Per quanto sopra esposto, le disposizioni dello schema di decreto in esame non presentano profili di criticità sotto il profilo della protezione dei dati personali e, pertanto, il Garante non ha osservazioni da formulare sull'articolato.

IL GARANTE


 

esprime parere favorevole sullo schema di decreto direttoriale del Ministero dell'interno recante prescrizioni tecniche concernenti l'"infrastruttura di sicurezza PSE" relativa al permesso di soggiorno.


 

Roma, 12 marzo 2015

IL PRESIDENTE: Soro

IL RELATORE: Iannini

IL SEGRETARIO GENERALE: Busia