Dalla Newsletter del Garante del 10/09/2018
L’Autorità ha recentemente concluso una complessa attività di verifica sulla legittimità del trattamento dei dati personali effettuati nelle procedure di rilascio dei visti e nel Sistema di informazione visti (Visa Information System , VIS). Nell’ambito dell’attività, il Garante ha effettuato accertamenti ispettivi presso la sede del Ministero degli Affari Esteri e della Cooperazione internazionale e presso una sede consolare all’estero, verificando, in quest’ultima occasione, oltre all’operatività dell’Ufficio visti del consolato, anche la sede di una società esterna che fornisce al consolato, in outsourcing, alcuni servizi per i visti.
All’esito dei controlli, che hanno evidenziato nel complesso una situazione di sostanziale conformità al quadro normativo di riferimento, l’Autorità ha adottato un provvedimento [doc. web n. 9040249] con il quale ha indicato al Maeci una serie di misure che consentiranno di migliorare ulteriormente la sicurezza e, più in generale, la conformità alle disposizioni sul trattamento dei dati personali effettuato dal Ministero nell’ambito del VIS.
In particolare, le prescrizioni hanno riguardato l’individuazione di tempi di conservazione dei dati nel sistema nazionale N-VIS, diversificati in relazione alla tipologia del visto e a specifiche esigenze (es. eventuale contenzioso), l’introduzione di meccanismi di cancellazione automatica dei dati in relazione ai termini stabiliti, l’indicazione di specifici requisiti per la gestione e l’analisi dei file di log. Verificate anche la gestione documentale e il funzionamento dei sistemi informativi, nonché il sistema di interfaccia specificamente dedicato ai trattamenti di dati da parte dei fornitori esterni di servizi.
Per gli aspetti tecnici e di sicurezza, gli approfondimenti hanno riguardato, tra l’altro, lo scambio di dati tra sistemi, la gestione delle utenze di accesso ai sistemi, la tenuta dei registri dei file di log, le modalità e i tempi di conservazione dei dati.
Il VIS è un sistema di scambio di dati tra i paesi dell’Unione europea relativi ai visti d’ingresso nello Spazio Schengen, che contiene i dati, anagrafici e biometrici, di tutte le persone tenute a chiedere il visto d’ingresso per soggiorni di breve durata, istituito con la Decisione del Consiglio dell’Unione Europea 2004/512/CE del 8 giugno 2004 e disciplinato dal Regolamento (CE) n. 767/2008 del Parlamento e del Consiglio e dalla decisione del Consiglio 2008/633/HA del 23 giugno 2008.
L’attività di vigilanza svolta dall’Autorità è specificamente prevista dall’art. 41 del Regolamento (CE) n. 767/2008, il quale prevede che, almeno ogni quattro anni, le autorità di protezione dati europee effettuino una verifica di conformità dei rispettivi sistemi nazionali per rilevare eventuali difformità e indicare azioni di miglioramento.