g-docweb-display Portlet

Parere del Garante sullo schema di provvedimento del Direttore generale della Direzione generale per gli italiani all'estero e le politiche migratorie riguardante "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico"

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2222980]

Parere del Garante sullo schema di provvedimento del Direttore generale della Direzione generale per gli italiani all´estero e le politiche migratorie riguardante "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico" - 22 novembre 201

Registro dei provvedimenti
n. 360 del 22 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero degli Affari Esteri;

Visto l´art. 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

Il Ministero degli Affari Esteri (infra: MAE) ha richiesto il parere del Garante su uno schema di provvedimento del Direttore generale della Direzione generale per gli italiani all´estero e le politiche migratorie, concernente "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico", adottato ai sensi dell´articolo 9 del decreto del Ministro degli affari esteri n. 303/014 del 23 giugno 2009, recante "Disposizioni relative al modello e alle caratteristiche di sicurezza del passaporto ordinario elettronico"(di seguito: "d.m. del 2009").

Premesso che il MAE è il titolare del trattamento dei dati personali registrati nella banca dati passaporti di cui all´articolo 7 del predetto d.m. del 2009, l´odierno provvedimento disciplina l´utilizzo della predetta banca dati, detta le prescrizioni tecniche inerenti alle modalità di trattamento dei dati personali, inclusi quelli biometrici, primari e secondari (fotografia e impronte digitali), concernenti il processo di emissione del passaporto elettronico (PE), in conformità alle specifiche di garanzia, qualità e sicurezza sancite dalla normativa europea (Regolamenti (CE) n. 2252/2004 e n. 444/2009) e individua le misure di sicurezza necessarie.

La procedura di rilascio del passaporto elettronico comporta il trattamento dei dati personali degli interessati in più fasi del processo e in particolare nell´acquisizione dei dati, nell´archiviazione, nella custodia e nella consultazione degli stessi.

Per i cittadini residenti all´estero, o residenti in Italia per particolari esigenze di servizio, è il MAE che effettua le attività necessarie al rilascio del documento, mediante una propria applicazione ed una propria infrastruttura. Per i cittadini residenti in Italia, invece, le operazioni sono svolte, su delega del MAE, dalle Questure, nonché da alcuni uffici distaccati di pubblica sicurezza, per il tramite di un´applicazione e di un´infrastruttura riconducibili al Ministero dell´interno.

La banca dati passaporti, che contiene tutti i passaporti emessi in Italia e all´estero, è collocata presso il Centro Elettronico Nazionale della Polizia di Stato (CEN), incardinato nel Dipartimento della pubblica sicurezza del Ministero dell´interno. Il centro elettronico nazionale ospita la banca dati passaporti, il sistema SSCE (Sistema di Sicurezza Circuito di Emissione), le Autorità nazionali di certificazione (CSCA, DS, CVCA e DVCA) ed il sistema informatico per la ricezione delle domande e la gestione dell´istruttoria delle pratiche.

Una copia speculare della banca dati passaporti è presente presso il MAE ai fini della consultazione in sola lettura da parte degli Uffici centrali e consolari del Ministero medesimo. Tale banca dati-copia, oltre ad essere preposta alla ricezione delle richieste di consultazione da parte degli uffici del MAE, assolve ad una funzione di riserva in caso di distruzione della banca dati principale.

RILEVATO

1.Il processo di emissione del passaporto elettronico.

Il processo di emissione del PE, come risultante dalla normativa attualmente in vigore, si basa su di un modello organizzativo che conferisce ai competenti uffici (quali gli uffici consolari e gli "uffici passaporti" delle questure o del MAE) la competenza in ordine alla "personalizzazione" e al rilascio dei "libretti".

La procedura è complessa e si articola nelle seguenti quattro fasi, tra loro logicamente dipendenti: programmazione delle esigenze e produzione dei libretti in bianco; spedizione dei libretti agli uffici abilitati al rilascio del passaporto; domanda di rilascio da parte degli interessati e personalizzazione del passaporto; rilascio del documento.

Le fasi di maggior interesse e delicatezza per la protezione dei dati personali sono quelle relative alla personalizzazione e al rilascio del documento.

2. Personalizzazione e rilascio del passaporto.

La personalizzazione del passaporto è la fase in cui avviene la formazione effettiva del passaporto, con i dati del titolare, previo espletamento dei controlli di rito.

All´atto della presentazione della domanda vengono innanzitutto acquisiti i dati anagrafici e biometrici primari e secondari del richiedente, vale a dire la fotografia e le impronte digitali (che devono essere conformi alle specifiche ICAO previste per il passaporto elettronico). Successivamente gli uffici acquisiscono ulteriori dati ed informazioni amministrative necessarie per completare l´istruttoria (ad esempio il nulla osta da parte delle autorità di polizia, o l´assenso dei genitori per minori) e verificano eventuali cause ostative al rilascio del documento, anche mediante consultazione del casellario giudiziale.

Al termine delle verifiche amministrative, qualora non siano emerse ragioni ostative al rilascio, i sistemi informatici degli enti emittenti inviano a SSCE il numero seriale del passaporto, i dati personali del richiedente, con esclusione delle impronte, ed un hash calcolato sul numero seriale del passaporto e sui dati personali del richiedente (impronte incluse). SSCE firma digitalmente l´hash e memorizza i dati.

La personalizzazione del passaporto si conclude con la stampa dei dati personali del richiedente sul libretto e la memorizzazione nel chip dei dati previsti dalla normativa europea e tecnica (ICAO) di settore. Nel chip sono registrati in particolare l´immagine del volto, le impronte digitali  e l´hash firmato da SSCE.

L´ufficio competente consegna quindi il passaporto al richiedente, previa verifica della funzionalità del documento. Tale verifica, effettuata con opportuni strumenti da parte dell´ufficio stesso, riguarda anzitutto la perfetta leggibilità dei dati memorizzati sul chip e il controllo della corrispondenza dell´impronta digitale del titolare del passaporto con quella memorizzata sul chip. Viene quindi notificata ad SSCE l´avvenuta consegna del passaporto.

3. L´acquisizione dei dati biometrici.

3.1. Le impronte digitali.

Le impronte digitali devono rispondere a specifiche tecniche e di sicurezza stabilite dalla normativa internazionale ed europea: durante il processo di acquisizione sono pertanto previsti  in automatico i necessari controlli di conformità.

Lo schema di decreto (nell´allegato tecnico che ne forma parte integrante) prevede che, in conformità all´articolo 11 del Codice in materia di protezione dei dati personali, l´attività di rilevazione delle impronte sia finalizzata esclusivamente al rilascio del passaporto: sono quindi preclusi accessi destinati, anche parzialmente, ad altre finalità.

Competenti alla rilevazione delle impronte sono gli uffici sopra indicati. Ai sensi dell´articolo 3, comma 5, del d.m. del 2009 sono acquisite le impronte digitali del dito indice di entrambe le mani.

Le impronte digitali vengono acquisite - tramite un live scanner presente sulla postazione di acquisizione - come immagini, che saranno compresse, conformemente alla normativa internazionale. Nei processi di acquisizione e verifica della qualità dell´impronta devono essere rispettate le linee guida elaborate, a suo tempo, dal CNIPA in data 18 dicembre 2008.

L´impronta  viene cifrata; potrà essere decifrata solo dalle postazioni adibite alla stampa del passaporto e alla scrittura del chip. Le operazioni crittografiche (cifra e decifra) dei dati sono sviluppate con tecnologia a chiave pubblica che prevede l´adozione di un´infrastruttura PKI X.509. Questo processo consente la protezione delle impronte rendendole decifrabili solo da parte dell´ufficio che ha acquisito la pratica.

Al termine del processo di acquisizione, i dati vengono trasmessi ai sistemi centrali del Ministero dell´interno o ai sistemi del MAE e qui sono conservati per il tempo strettamente necessario all´espletamento dell´istruttoria: la loro cancellazione è prevista immediatamente dopo la stampa e il positivo esito della verifica del funzionamento del passaporto. Al momento della consegna viene, infatti, effettuato un controllo della corrispondenza delle impronte memorizzate nel chip con quelle del titolare del passaporto.

3.2 Il funzionario itinerante.

La necessità di acquisire le impronte digitali al momento della presentazione della domanda esclude la possibilità di accettare le richieste se non in presenza del titolare intestatario del documento. Perciò, in relazione all´attività all´estero, tenuto conto delle distanze esistenti nell´ambito di alcune circoscrizioni consolari, è stata individuata una soluzione organizzativa, specifica per il MAE, per l´attività di acquisizione delle impronte e di raccolta dei dati anagrafici necessari all´istruttoria. Tale soluzione, è rappresentata dal cosiddetto funzionario itinerante, cioè un funzionario dell´ufficio consolare abilitato a muoversi periodicamente nella circoscrizione consolare per avvicinarsi al luogo di residenza dei richiedenti il passaporto.

Il funzionario itinerante sarà provvisto di un sistema portatile in grado di lavorare in totale autonomia, dotato di tutti i dispositivi necessari all´acquisizione ed alla verifica dei dati biometrici. Il funzionario sarà titolare di un certificato digitale (di tipo X.509), consegnatogli su un dispositivo di sicurezza (tipo smart card), che verrà utilizzato per la protezione dei dati acquisiti.

3.3. L´acquisizione della fotografia.

Ai sensi dell´articolo 3, comma 4, del d.m. del 2009, le fotografie dovranno essere conformi alle specifiche indicate dalla normativa ICAO (ICAO/ MRTD/ DOC 9303/2008), come indicato dalla Decisione della Commissione europea C(2005)409.

4. La banca dati passaporti e le misure di sicurezza.

In conformità a quanto previsto dagli articoli 7 e 9 del d.m. del 2009, la banca dati passaporti contiene le informazioni sui passaporti stampati correttamente ma non ancora consegnati, consegnati, sospesi, riattivati o revocati. Inoltre, nella banca dati sono storicizzate tutte le variazioni dei dati e dello stato dei passaporti emessi.

Come prescritto dal suddetto decreto ministeriale le impronte digitali non sono registrate  nell´archivio.

Titolare del trattamento dei dati personali registrati nella banca dati è il Ministero degli affari esteri, in virtù delle attribuzioni ad esso conferite dalla legge 21 novembre 1967, n. 1185 e dall´articolo 7 del d.m. del 2009, e ad esso in particolare competono le determinazioni in ordine alle finalità ed alle modalità del trattamento di dati e l´individuazione degli strumenti per tali scopi utilizzati, compresi i relativi profili  di sicurezza.

Il Dipartimento della pubblica sicurezza del Ministero dell´interno, presso cui è istituita la banca dati passaporti, è il responsabile del trattamento. Incaricati del trattamento dei dati sono gli operatori delle suddette pubbliche amministrazioni preposti specificamente alla raccolta dei dati e al rilascio dei passaporti nei relativi uffici (in Italia: il personale delle Questure o dell´ufficio distaccato di pubblica sicurezza; all´estero: il personale degli uffici consolari;  presso il MAE:  il personale degli uffici passaporti del ministero).

Lo schema di decreto prevede espressamente che tutti i soggetti sopra elencati trattino i soli dati pertinenti e non eccedenti necessari al perseguimento delle finalità di rilascio del passaporto, ai sensi del citato d.m. del 2009, in relazione alle loro specifiche competenze.

La sezione VII del documento tecnico allegato all´odierno provvedimento individua, infine, le specifiche misure di sicurezza da adottare per la protezione dei dati registrati nella banca dati. Ciò si giustifica per la delicatezza di taluni dati trattati nel processo di emissione del PE, come i dati biometrici, che pur non rientrando nella categoria dei dati sensibili, richiedono tuttavia un elevato standard di sicurezza e di riservatezza.

Le misure di sicurezza riguardano, fra l´altro, l´identificazione e l´autenticazione degli utenti, con meccanismi di autenticazione forte (cd. strong authentication), il controllo delle autorizzazioni per l´accesso ai dati, il tracciamento delle operazioni con file di log non modificabili e sottoposti a controllo con cadenza almeno mensile, l´individuazione di sistemi che evidenzino eventi anomali, la duplicazione dei dati mediante copie di back up, la cifratura dei dati.

CONSIDERATO

Il parere è reso su di una versione dello schema di decreto che tiene conto degli approfondimenti e delle indicazioni suggeriti dall´Ufficio del Garante ai competenti uffici dell´Amministrazione interessata nel corso di riunioni e contatti informali, volti a perfezionare il testo e a rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti previsti dal provvedimento.

Le osservazioni dell´Ufficio hanno riguardato, in particolare, l´ambito soggettivo di applicazione delle disposizioni in esame; la pertinenza e non eccedenza dei dati trattati, conformemente ai principi di proporzionalità, finalità e pertinenza dei dati trattati rispetto agli scopi perseguiti; le garanzie di sicurezza nella raccolta e nella trasmissione dei dati  biometrici e l´obbligo di cancellazione delle impronte digitali al momento del rilascio del passaporto; adeguate cautele per evitare abusi anche nell´ambito delle attività di verifica e controllo dell´autenticità dei dati riportati nel documento.

Le osservazioni sono state integralmente recepite dall´Amministrazione interessata e pertanto lo schema di decreto non presenta criticità sotto il profilo della protezione dei dati personali.

TUTTO CIO´ PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di provvedimento del Direttore generale della Direzione generale per gli italiani all´estero e le politiche migratorie, concernente "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico", adottato ai sensi dell´articolo 9 del decreto del Ministro degli affari esteri n. 303/014 del 23 giugno 2009.

Roma,  22 novembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia