Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere sul provvedimento della Direzione generale per gli italiani all'estero e le politiche migratorie in tema di "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico" - 26 gennaio 2017 [5953053]

VEDI ANCHE Newsletter del 17 febbraio 2017

 

[doc. web n. 5953053]

Parere sul provvedimento della Direzione generale per gli italiani all'estero e le politiche migratorie in tema di "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico" - 26 gennaio 2017

Registro dei provvedimenti
n. 28 del 26 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero degli Affari Esteri e della cooperazione internazionale;

Visto l'art. 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

Il Ministero degli Affari Esteri  e della cooperazione internazionale (di seguito Ministero degli Affari esteri) ha richiesto il parere del Garante sul testo di alcune integrazioni che intenderebbe apportare al provvedimento del Direttore generale della Direzione generale per gli italiani all'estero e le politiche migratorie, concernente "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico", adottato ai sensi dell'articolo 9 del decreto del Ministro degli affari esteri n. 303/014 del 23 giugno 2009, recante "Disposizioni relative al modello e alle caratteristiche di sicurezza del passaporto ordinario elettronico".

Il suddetto provvedimento, pubblicato nella Gazzetta ufficiale della Repubblica italiana il 4 gennaio 2013, era stato a suo tempo sottoposto al Garante in una versione che teneva conto degli approfondimenti e delle indicazioni suggerite nel corso di riunioni e contatti informali ed aveva ricevuto parere favorevole in data 22 novembre 2012 (doc. web. n. 2222980).

Le osservazioni dell'Ufficio avevano riguardato, in particolare, l'ambito soggettivo di applicazione delle disposizioni in esame; la pertinenza e non eccedenza dei dati trattati,  rispetto agli scopi perseguiti; le garanzie di sicurezza nella raccolta e nella trasmissione dei dati  biometrici e l'obbligo di cancellazione delle impronte digitali al momento del rilascio del passaporto; adeguate cautele per evitare abusi anche nell'ambito delle attività di verifica e controllo dell'autenticità dei dati riportati nel documento.

Le integrazioni richieste concernono i processi di acquisizione dei dati da parte degli uffici consolari, realizzando un'infrastruttura di trasporto telematico per la trasmissione sicura dei dati biometrici acquisiti finora attraverso l'uso di postazioni mobili in dotazione ai funzionari itineranti ed ai Consoli onorari autorizzati.

CONSIDERATO

Il processo di acquisizione dei dati ai fini del rilascio del passaporto

Nel parere espresso dal Garante si prendeva atto della necessità di facilitare l'acquisizione dei dati anagrafici e biometrici primari e secondari della persona richiedente il passaporto (fotografia/immagine digitale del volto ed impronte digitali) in relazione all'attività all'estero e, tenuto conto delle distanze esistenti nell'ambito di alcune circoscrizioni consolari, si conveniva sulla soluzione organizzativa individuata, considerata l'impossibilità di accettare la richieste in assenza del titolare intestatario del documento essendo prescritta la contestuale acquisizione delle impronte digitali del richiedente.

La soluzione individuata prevedeva il ricorso al cd. "funzionario itinerante, cioè un funzionario dell'ufficio consolare abilitato a muoversi periodicamente nella circoscrizione consolare per avvicinarsi al luogo di residenza del richiedente il passaporto", provvisto di un sistema portatile per la raccolta delle impronte digitali e di raccolta dei dati necessari all'istruttoria in grado di lavorare in totale autonomia e dotato delle necessarie misure di sicurezza a protezione dei dati acquisiti.

Il Ministero, nel richiedere il parere del Garante sulle integrazioni da apportare al già detto provvedimento del Direttore generale della Direzione generale per gli italiani all'estero e le politiche migratorie, fa presente di aver potenziato "il ricorso al team di funzionari itineranti, e anche ai funzionari consolari onorari, selezionati dalle Sedi principali in base alla loro capacità e professionalità", dotando questi ultimi di "postazioni mobili per la captazione dei dati biometrici, dati che periodicamente vengono fisicamente trasferiti sul software della sede principale dagli stessi Consoli onorari, che si recano personalmente  in detta Sede per la loro consegna, e cancellati dalle postazioni mobili".

Attualmente sia i funzionari itineranti sia i consoli onorari, laddove abilitati, dispongono di tale attrezzatura mobile e consegnano i dati acquisiti recandosi presso la Sede di competenza e, quindi, cancellando gli stessi dalle postazioni mobili.

Nel sistema proposto, limitatamente ai consoli onorari, la postazioni mobile resterebbe presso la sede di questi e la documentazione acquisita sarebbe trasferita al Ministero anziché alla Sede competente per l'emissione del passaporto, che riceverebbe  tali dati dal Ministero.

Questo eviterebbe il trasporto fisico delle postazioni mobili che consentirebbe notevoli vantaggi in termini di costi  e di ampliare il numero dei Consoli onorari disponibili, che dagli attuali 36 potrebbero arrivare a superare il centinaio.

I dati sarebbero sempre cancellati dalla postazione mobile all'atto della trasmissione (al Ministero) e la trasmissione dei dati avverrebbe in modalità securizzata, come illustrato nel documento tecnico allegato alla richiesta.

Ruolo e funzioni del Console onorario

Il Ministero  nella medesima nota, ha specificato che l'impiego dei Consoli onorari nella raccolta dei dati biometrici ai fini del rilascio del passaporto costituisce una modalità alternativa all'utilizzo del funzionario itinerante, proprio in quanto i primi, pur non legati da un rapporto d'impiego, sono tenuti, in base a solenne promessa, ad adempiere con fedeltà ai doveri dell'ufficio ed assumono con l'incarico i doveri e le responsabilità ad esso inerenti.

Al riguardo, il Ministero ha prodotto in fase istruttoria, una serie di documenti al fine di dimostrare che i Consoli onorari sono titolari di potestà e funzioni pubbliche alla stregua di quelli di carriera, tanto che la loro funzione risulta incompatibile con analoga funzione pubblica esercitata per conto dello Stato ospitante, per cui  il Console onorario non può essere al tempo stesso organo dello Stato italiano e di un altro Stato.

In particolare, il Ministero richiama le norme della Convenzione di Vienna sulle relazioni consolari del 1963 (legge di ratifica n. 804 del 9 agosto 1967, in GU n. 235, supplemento ordinario, del 19 settembre 1967) che hanno formalizzato sul piano del diritto internazionale la figura consolare disciplinando, sul piano della prassi, l'istituto e le funzioni del Console, sia di carriera che onorario. In essa, viene espressamente indicato che le funzioni consolari, riassunte dall'art. 5 (tra le quali si annovera anche il "rilascio di passaporti e documenti di viaggio ai cittadini dello Stato d'invio nonché visti e altri documenti appropriati alle persone che intendano recarsi nel medesimo Stato") possono essere esercitate da entrambe le figure consolari. Al riguardo, il D.P.R. 5 gennaio 1967, n. 18, recante Ordinamento dell'Amministrazione degli Affari esteri, al Capo III del Titolo II, intitolato "Norme particolari sugli uffici consolari", prevede all'art. 42 che gli uffici consolari siano di I e di II categoria e che ai primi viene preposto, quale titolare, un funzionario di carriera, mentre ai secondi un funzionario onorario.

Ed ancora all'art. 47 di suddetto decreto, viene espressamente precisato che: "i funzionari consolari onorari esercitano le funzioni di cui all'art. 45", quindi le stesse funzioni previste per uffici consolari primari, salvo le limitazioni poste da legge, da regolamento o da decreto del Ministro.

RILEVATO

I consoli onorari, per le motivazioni sopra rappresentate, svolgono a pieno titolo le funzioni consolari, specificamente attribuite ai sensi del D. P.R. n. 18 del 1967, ivi incluso il rilascio di passaporti. Laddove investiti da tali competenze essi sono pertanto da considerare parte della procedura descritta nel documento contenente le specifiche tecniche di sicurezza del processo di emissione del passaporto, che si riferisce alla più ampia nozione di Uffici consolari e possono raccogliere i dati biometrici necessari per l'emissione dei passaporti da parte del sovraordinato consolato di prima categoria.

Il Ministero chiede al Garante di esprimere un proprio parere sulle integrazioni al citato provvedimento della Direzione generale per gli italiani all'estero e le politiche migratorie concernente le "specifiche tecniche  di sicurezza del processo di emissione del passaporto  elettronico", le quali prevedono una nuova modalità di trasferimento per via telematica dei dati raccolti presso gli interessati risiedenti in paesi esteri ad opera dei Funzionari consolari onorari che si avvalgono di postazioni mobili appositamente configurate.

Le integrazioni consistono nell'individuare specificamente il Console onorario nel processo di acquisizione dati di cui al punto V delle specifiche tecniche affiancandolo al funzionario itinerante e dotandolo degli stessi apparecchi mobili e le stesse garanzie di sicurezza a protezione dei dati acquisiti e nel prevedere una infrastruttura di trasporto telematico per la trasmissione dei dati da detti apparecchi mobili al sistema centrale del Ministero, che provvederà a ritrasmettere gli stessi alla sede estera competente alla successiva elaborazione dei dati, evitando così al titolare dell'ufficio consolare onorario di doversi recare fisicamente presso la sede stessa.

Aspetti tecnici e misure di sicurezza

1. Con riguardo alle misure di sicurezza per la sicurezza dei dati e dei sistemi che sono specificate nell'allegato si osserva che nel documento che si intende modificare era  previsto che il funzionario fosse «[…]titolare di un certificato digitale (di tipo X.509), consegnatogli su un dispositivo di sicurezza messo a disposizione da IPZS (tipo smart card) per la protezione dei dati acquisiti[…]». Nella documentazione tecnica allegata alla richiesta di parere sulla nuova modalità telematica dal titolo "Specifica dei requisiti software (SRS)" ad opera di IPZS, partner tecnologico del progetto, emerge che verrebbero rese disponibili agli uffici consolari delle smart card operatore (SCO). Dette smart card sarebbero dotate di certificati X.509 per l'autenticazione SSL e per la cifratura delle impronte da trasmettere. La trasmissione tra la postazione affidata al funzionario itinerante o al funzionario consolare onorario e i server ministeriali avverrebbe a seguito dell'instaurazione di un canale sicuro di tipo SSL con mutua autenticazione dei sistemi comunicanti (postazione mobile e server centrale).

2. L'aggiornamento periodico dei certificati istallati sulle SCO avverrebbe in modalità sicura, solo previa connessione alla rete RIPA del ministero, e cioè presso le sedi consolari primarie.

Secondo quanto specificato nell'allegato tecnico, anche gli aggiornamenti software delle postazioni (ad es. le patch di sicurezza del sistema operativo e le definizioni dell'antivirus) avverrebbero solo presso le sedi consolari primarie e previo collegamento alla rete RIPA, con cadenza obbligatoria semestrale o annuale.

3. Le misure di sicurezza di cui sopra appaiono in generale condivisibili ed appropriate.

Si suggerisce peraltro, tenuto conto della delicatezza dei dati trattati e della rilevanza della procedura di rilascio del passaporto, di specificare nello schema di provvedimento che le postazioni mobili fornite ai consoli onorari sono da questi ultimi utilizzabili solo per l'espletamento dei compiti esplicitamente delegati in materia di rilascio dei passaporti e per le operazioni descritte nello stesso schema. Sarebbe inoltre opportuno prevedere la possibilità che gli aggiornamenti delle postazioni possano essere effettuati anche da remoto.

Al riguardo si raccomanda di far verificare gli aggiornamenti di sistema operativo e antivirus prima di ogni utilizzo della postazione, garantendo che il sistema non sia utilizzato qualora non aggiornato da più di novanta giorni.

3.1. Inoltre si osserva che il testo della proposta di modifica al paragrafo A-2 recita: «Il funzionario utilizzerà un certificato digitale (di tipo X.509, assegnato alla Sede primaria di riferimento) installato sulla postazione mobile, che verrà utilizzato per la protezione dei dati acquisiti». Nella nuova formulazione sembrerebbe essere sparito il riferimento al dispositivo di sicurezza, presente invece nella formulazione originaria e comunque argomentato nella documentazione tecnica. Si auspica, pertanto, un ritorno alla formulazione originaria che appare più in linea con l'effettiva realizzazione che emerge dall'allegato tecnico e che è certamente più garantista sul profilo della protezione dati.

4. Si raccomanda, infine, allo scopo di minimizzare i rischi per i dati personali potenzialmente derivanti dal furto o dallo smarrimento della postazione itinerante, di rafforzarne ulteriormente la sicurezza, adottando accorgimenti di hardening quali:

a) predisposizione di una procedura di autenticazione forte per l'accesso al sistema (accesso al desktop), qualora non già prevista;

b) inibizione dell'accesso al BIOS/UEFI delle postazioni portatili;

c) adozione di un filesystem cifrato per la conservazione dei dati personali anagrafici e biometrici degli interessati;

d) predisposizione di strumenti di tipo MDM (Mobile device management) o MAM (Mobile application management) con la possibilità di distruggere i dati contenuti nei sistemi portatili da remoto (remote wipe), in caso di emergenza.

TUTTO CIO' PREMESSO IL GARANTE:

esprime parere favorevole sul testo delle integrazioni da apportare al provvedimento del Direttore generale della Direzione generale per gli italiani all'estero e le politiche migratorie, concernente "specifiche tecniche di sicurezza del processo di emissione del passaporto elettronico", adottato ai sensi dell'articolo 9 del decreto del Ministro degli affari esteri n. 303/014 del 23 giugno 2009, recante "Disposizioni relative al modello e alle caratteristiche di sicurezza del passaporto ordinario elettronico", nei termini di cui in motivazione con le osservazioni formulate ai punti 3. e 3.1. e con le condizioni di cui al punto 4.

Roma, 26 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia