Il sistema Eurodac - 29 maggio 2008

IL SISTEMA EURODAC

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componentie del dott. Giovanni Buttarelli, segretario generale;

VISTO il regolamento (Ce) n. 2725/2000del Consiglio dell'11 dicembre 2000 che istituisce l'Eurodac per il confrontodelle impronte digitali ai fini dell'efficace applicazione della Convenzione diDublino (Convenzione sulla determinazione dello Stato competente per l'esame diuna domanda di asilo presentata in uno degli Stati membri delle Comunitàeuropee);

VISTO il Codice in materia di protezionedei dati personali (d. lg. 30 giugno 2003, n. 196);

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

PREMESSO

Il Garante per la protezione dei datipersonali è l'autorità indipendente incaricata di esercitare il controllo sultrattamento dei dati a carattere personale effettuato sul territorio nazionaleai sensi del regolamento comunitario n. 2725/2000 e di verificare che latrasmissione dei dati alla banca dati centrale informatizzata, gestitadall'unità centrale istituita presso la Commissione europea, avvengalecitamente (art. 154, comma 2, lett. d), del Codice; art. 19 reg. n.2725/2000).

Il Garante europeo della protezione deidati, cui sono state conferite funzioni di supervisione dell'Eurodac già svoltedall'autorità comune di controllo prevista all'articolo 20 del citatoregolamento, ha individuato, in accordo con le autorità nazionali di protezionedei dati, linee di azione utili per svolgere in parallelo indagini in ciascunoStato, concentrate su alcuni aspetti considerati prioritari che concernono: a)le cd. "ricerche speciali", ovvero le richieste che gli Stati membriinviano alla predetta unità centrale in relazione all'art. 18 del menzionatoregolamento (in tema di accesso dell'interessato) e che risultano variare dapaese a paese; b) le possibilità di uso dei dati a fini diversi da quelliconsentiti dal regolamento; c) la qualità -sotto il profilo tecnico- dei dati.

Sulla base di tali indicazioni, in unaprima fase il Garante ha inoltrato al Ministero dell'interno una richiestapreliminare di informazioni in relazione agli aspetti sopra evidenziati.

Al fine di completare l'azione richiesta,in una seconda fase il Garante ha deliberato di procedere ai sensi dell'art.160 del Codice, anche con visita in loco presso i competenti uffici delMinistero dell'interno, centrali e periferici, a una verifica delleinformazioni ottenute e riscontrare, in particolare, la sussistenza della basegiuridica necessaria per l'inserimento dei dati dattiloscopici nella banca daticentrale e per l'interrogazione del sistema, nonché l'adeguatezza delle misuredi sicurezza adottate nel trattamento. Con la medesima deliberazione l'Autoritàha, inoltre, ritenuto necessario svolgere accertamenti più ampi sulla liceità ecorrettezza dei trattamenti comunque effettuati in attuazione della Convenzionedi Dublino.

Gli uffici interessati hanno prestato lapropria collaborazione fornendo anche gli elementi e la documentazione richiesti.

Concluse le verifiche, il presenteprovvedimento viene adottato anche con riguardo alle raccomandazioni formulatedal Garante europeo a seguito del riscontro fornito dall'Autorità al terminedella prima fase di accertamenti.

OSSERVA

1. Il sistema Eurodac
Il regolamento n. 2725/2000 istituisce il sistema Eurodac, che si componedell'unità centrale, di una banca dati centrale informatizzata e dei mezzi ditrasmissione dei dati tra gli Stati membri e tale banca dati centrale. Gli Stati membri, direttamente o attraverso l'unità centrale, inseriscono nellabanca dati centrale i dati personali (impronte digitali e sesso) appartenenti atre tipologie di soggetti di età non inferiore a quattordici anni:
a) richiedenti asilo;
b) stranieri fermati in relazione all'attraversamento irregolare di una frontiera esterna;
c) stranieri presenti irregolarmente in uno Stato membro.

I dati vengono inseriti affinché sianoconfrontati con i dati dei richiedenti l'asilo registrati già presso l'unitàcentrale, al fine di concorrere alla determinazione dello Stato membrocompetente, ai sensi della Convenzione (oggi regolamento) di Dublino, perl'esame di una domanda di asilo presentata in uno Stato membro.

Il regolamento n. 2725/2000 prevede chele norme cui è soggetto il sistema Eurodac si applicano anche alle operazionieffettuate dagli Stati membri, dal momento della trasmissione dei datiall'unità centrale fino all'utilizzazione dei risultati del confronto;specifica inoltre che, fatta salva l'utilizzazione delle informazioni destinateall'Eurodac da parte dello Stato membro d'origine nell'ambito di banche datiistituite ai sensi della propria legislazione nazionale, i dati sulle improntedigitali e le altre informazioni personali possono essere trattati nell'Eurodacsolo per gli scopi previsti dall'articolo 15, paragrafo 1, della Convenzione diDublino (art. 1 reg. n. 2725/2000).

Con riferimento al trattamento dei datieffettuato in Italia, la procedura si articola in due fasi distinte.

La prima si svolge interamente nell'ambitodel Dipartimento della pubblica sicurezza del Ministero dell'interno, inparticolare attraverso le questure e il Servizio di polizia scientifica, ed èrivolta alla presentazione e ricezione della domanda di asilo, alla raccoltadelle informazioni necessarie (tra cui il fotosegnalamento e le verifiche sugliarchivi nazionali), alla valutazione dell'ammissibilità della domanda e al suoinvio alla Commissione per il riconoscimento dello status di rifugiato, allatrasmissione dei dati alla banca dati centrali Eurodac e, in caso di riscontropositivo, all'Unità Dublino.

Le direttive di caratteretecnico-operativo e di rilievo giuridico vengono impartite dalla Direzionecentrale dell'immigrazione e della polizia delle frontiere del Dipartimentodella pubblica sicurezza, che cura, su richiesta dell'Unità Dublino, gliapprofondimenti necessari ai fini della verifica di eventuali reati a caricodello straniero, nonché ogni altra informazione circa la presenza regolare omeno dello stesso sul territorio nazionale.

La seconda fase fa capo al Dipartimentodelle libertà civili e l'immigrazione del Ministero dell'interno, che espletala procedura di accettazione/rinvio della richiesta prevista dalla Convenzionedi Dublino.

In particolare, all'esito degliaccertamenti svolti risulta accertata la seguente procedura.

1.1. Invio dei dati alla banca daticentrale
Su richiestadell'ufficio immigrazione presso le questure il Gabinetto provinciale dipolizia scientifica della Polizia di Stato effettua il fotosegnalamentodell'interessato al fine dell'inserimento in A.f.i.s. (Automated fingerprintidentification system) e in Eurodac, qualora ricorra una delle fattispeciepreviste dal regolamento n. 2725/2000 sopra precisate alle lett. a), b) e c).Il cartellino fotosegnaletico viene quindi inviato presso il Gabinettoregionale di polizia scientifica, che provvede al controllo della sua qualitàtecnica e lo inserisce effettivamente in A.f.i.s. e, se richiesto dal Gabinettoprovinciale, nell'Eurodac. L'invio avviene mediante il Servizio di poliziascientifica sito presso il Dipartimento della pubblica sicurezza, designatodall'Italia quale unico punto di accesso nazionale per l'interscambio dei daticon l'unità centrale sita a Bruxelles.

1.2. Riscontro dell'unitàcentrale
In caso di confrontopositivo ("risposta pertinente" secondo l'art. 4 reg. n. 2725/2000)l'unità centrale invia i rilievi dattiloscopici al competente gabinetto dipolizia scientifica per la conferma della corrispondenza con i rilievi giàpresenti nella banca dati. A seguito di tale conferma la questura interessatainvia la richiesta di asilo, corredata dalla pertinente documentazione, siaalla Commissione per il riconoscimento dello status di rifugiatoterritorialmente competente a decidere nel merito, sia all'Unità Dublino,ufficio del Dipartimento per le libertà civili e l'immigrazione del Ministerodell'interno che ha il compito di intrattenere i rapporti e curare lo scambiodi informazioni con altri omologhi uffici nazionali al fine di individuare loStato membro competente a decidere sulla richiesta di asilo. L'Unità Dublinotratta anche i casi in cui la richiesta di asilo è presentata in un altro Statomembro e nel sistema risultano le impronte digitali della persona inseritedall'Italia.

2. Profili critici e prescrizioni delGarante
Il regolamento n. 2725/2000 e il Codice pongono precisi obblighiin relazione ai trattamenti di dati personali effettuati in funzionedell'applicazione della Convenzione di Dublino.

Le informazioni acquisite, ancheattraverso gli accertamenti in loco, hanno permesso di verificare che alcuni diquesti obblighi non sono stati attuati correttamente.

In relazione a tali aspetti il Garanterileva pertanto la necessità di impartire ai sensi degli artt. 154 e 160 delCodice le necessarie modificazioni e integrazioni da apportare al trattamento,di cui, in relazione agli obblighi di controllo ad essa affidati, questaAutorità si riserva di verificare periodicamente l'attuazione ai sensi delmedesimo art. 160.

2.1. Titolare ed eventualiresponsabili del trattamento
Profili critici
La complessità della procedura descritta, conl'intervento di molteplici organi facenti capo a diverse articolazioni delMinistero dell'interno, non consente una chiara individuazione delle diverseresponsabilità nel trattamento dei dati per le finalità proprie del sistemaEurodac.

L'imputabilità a più soggetti delleoperazioni da svolgere, con la conseguente, mancata individuazione di un unicointerlocutore, ha determinato anche ritardi e difficoltà nello stessosvolgimento degli accertamenti deliberati dal Garante.

Prescrizioni
L'art. 13 del regolamento n. 2725/2000 pone precisiobblighi a carico di ciascuno Stato membro, il quale è tenuto a garantire"la legalità del rilevamento delle impronte digitali" e della lorotrasmissione all'unità centrale, l'esattezza e l'attualità delle informazionial momento della trasmissione, "la legalità della registrazione,conservazione, rettifica e cancellazione dei dati nella banca daticentrale", "la legalità dell'uso dei risultati del confronto dei datisulle impronte trasmessi dall'unità centrale" (paragrafo 1), nonché lasicurezza dei dati in ogni fase del trattamento (paragrafo 2).

Tali obblighi impongono la necessità diidentificare chiaramente le responsabilità dei diversi servizi che utilizzanoil sistema Eurodac nell'ambito del Ministero dell'interno, ivi compreso ilservizio competente per l'accertamento dell'età del soggetto ai finidell'inserimento delle impronte digitali nel sistema. In particolare, devonoessere individuati il titolare (o i co-titolari) del trattamento dei dati, nonchéeventuali responsabili; i relativi estremi identificativi devono esserecomunicati al Garante, al fine di consentire a questa Autorità di svolgereefficacemente il ruolo di controllo attribuitole (art. 19 reg. cit.).

A questo fine, va posta particolareattenzione al fatto che la descritta attività è "servente" rispettoalla procedura di asilo; pertanto, è richiesto il rigoroso rispetto delprincipio di finalità del trattamento per tutte le operazioni compiute, dallaraccolta all'utilizzo, alla conservazione e alla comunicazione dei dati.

2.2. Soggetti che hanno accessoai dati registrati nell'Eurodac
Profili critici
L'articolo 15, paragrafo 2, del regolamento Eurodacprevede che ciascuno Stato membro designi "le autorità" che possonoaccedere ai dati dallo stesso trasmessi e registrati nella banca dati centrale,e comunichi l'elenco di tali autorità alla Commissione europea. Solo taliautorità possono modificare, rettificare, integrare o cancellare i dati da esseinseriti (paragrafo 3).

L'Italia risulta avere designato ilServizio di polizia scientifica che, per sua stessa precisazione, fornisce soloil supporto tecnico alle attività di competenza degli uffici titolari dellagestione delle pratiche di asilo e di quelle relative agli accertamenti Eurodace non è, pertanto, in grado di assumere le responsabilità per le operazioni ditrattamento indicate nell'art. 15, nonché per le attività, precisate al punto2.1, che l'art. 13 del regolamento prevede a carico degli Stati membri e delleautorità da questi designate.

Prescrizioni
Ferme restando le attribuzioni di carattere tecnicodel Servizio di polizia scientifica, devono essere individuati dal titolare (odai co-titolari) del trattamento i soggetti ("le autorità") cheassicurino il giusto livello di responsabilità richiesto dagli artt. 13 e 15del regolamento nelle decisioni di modifica, rettifica, integrazione ecancellazione dei dati inseriti nell'Eurodac.

Sempre al fine dell'espletamento dellenecessarie attività di controllo, gli estremi identificativi dei soggettiinvestiti di tale responsabilità devono essere anch'essi comunicati al Garante,come pure i soggetti che hanno accesso ai risultati delle ricerche in Eurodac,in particolare a quelle relative ai confronti con le categorie b) e c) indicateal punto 1. del presente provvedimento.

2.3. Finalità dell'accesso al sistemaEurodac
Profili critici
Irilievi esposti ai punti che precedono evidenziano la mancanza di una chiaradefinizione dei livelli di responsabilità delle diverse autorità chepartecipano al sistema e di una procedura definita e formalizzata che consentadi monitorare il grado di corretta applicazione delle regole che disciplinanoil trattamento dei dati da parte dei diversi uffici abilitati, sulterritorio nazionale, ad assumere decisioni rilevanti riguardo ai diritti dellepersone e a inserire, correggere, richiamare, utilizzare i dati personaliconservati nella base di dati gestita dall'unità centrale.

In particolare, per quanto riguardal'Italia, la Commissione europea e il Garante europeo hanno segnalato l'altonumero di accessi nella base dati centrale giustificati ai sensi dell'art. 18del regolamento (le cd. "ricerche speciali"), il quale prevede che inciascuno Stato membro l'interessato può esercitare i diritti di accesso,comunicazione, rettifica e cancellazione dei dati personali che lo riguardano.Nel corso degli accertamenti è risultato che in nessuno dei casi segnalatil'accesso ai dati era stato effettuato su richiesta dell'interessato; né, sonostate presentate a questa Autorità istanze di interessati volte a esercitare idiritti conferiti dall'art. 18. In risposta alla richiesta dell'Autorità diverificare la legittimità degli accessi, il Servizio di polizia scientificapresso il Dipartimento della pubblica sicurezza è intervenuto assicurando diavere disattivato per gli uffici periferici tale possibilità di accesso ai dati,che attualmente potrebbe essere effettuato solo presso il Servizio stesso.Nonostante tale assicurazione, e benché il numero di tali casi sia diminuitofortemente, la Commissione europea, nei suoi report trimestrali, ha continuatoa segnalare richieste di accesso ai sensi dell'art. 18 non basate su istanzedegli interessati.

Prescrizioni Il titolare e gli eventuali responsabili deltrattamento, che vanno individuati ai sensi della prescrizione di cui al punto2.1, devono adottare un'idonea regolamentazione volta a garantire che l'accessoai dati gestiti dall'unità centrale sia limitato alle sole finalità previstedal regolamento Eurodac. In particolare, va garantita la conoscibilità diogni accesso per le c.d. "ricerche speciali" previste dall'art. 18del regolamento; deve essere altresì assicurato che solo le autorità competentiper la procedura di asilo possano accedere ai risultati del confronto tra idati dei soggetti appartenenti alle categorie c) e b) e quelli dei soggettiappartenenti alla categoria a) di cui al punto 1 del presente provvedimento.

2.4. Formazione del personale e dirittidegli interessati Profili critici Con circolare del gennaio 2003 il Dipartimento dellapubblica sicurezza ha informato gli uffici di polizia sul territoriodell'imminente entrata in vigore del regolamento Eurodac e ha impartito lerelative istruzioni. La circolare fa riferimento alla necessità di garantire idiritti delle persone e reca in allegato un modulo per l'informativa da rendereagli interessati, redatto in più lingue, che viene consegnato alla persona e daquesta sottoscritto all'atto del fotosegnalamento. Nel corso dell'accertamentodel Garante le suddette istruzioni sono state reiterate. Dalle informazioniacquisite non risulta peraltro che finora alcun interessato- direttamente oattraverso il proprio legale o organizzazioni umanitarie- abbia esercitato idiritti conferiti dall'art. 18.

Mancano inoltre informazioni certesull'effettivo utilizzo del modulo da parte di tutte le questure.

Prescrizioni
Il titolare e gli eventuali responsabili deltrattamento devono garantire un'adeguata formazione del personale, inparticolare in merito all'uso legittimo delle cd. "ricerchespeciali", e assicurare che l'intera procedura, dall'identificazione dellapersona alla decisione sulla richiesta di asilo avvenga nel rispetto delladignità dell'interessato.

In coerenza con quanto previsto dalregolamento Eurodac, il titolare e gli eventuali responsabili del trattamentodevono assicurare il puntuale rispetto di quanto previsto nell'articolo 18,fornendo le informazioni previste e precisando le relative procedure al fine dimettere l'interessato nella condizione di esercitare i diritti riconosciutigli.Al riguardo, l'informativa non risulta del tutto adeguata rispetto a quantoprescritto dall'art. 18, con particolare riferimento all'indicazione deltitolare (o co-titolari) del trattamento dai dati (l'informativa attualmentefornita indica come responsabile del trattamento dei dati il Gabinetto dipolizia scientifica che procede all'operazione di fotosegnalamento), deglispecifici diritti che possono essere esercitati dagli interessati e delleautorità (Garante e autorità giudiziaria) a cui presentare un eventualericorso.

Si rende quindi necessario aggiornare iltesto dell'informativa attualmente fornita con l'inserimento di tali ulterioriinformazioni.

2.5. Misure di sicurezza
In relazione agli elementi acquisiti, la particolarenatura dei dati induce a evidenziare la necessità che, ferme restando lecautele attualmente previste dagli artt. 31 e ss. e dall'Allegato B) al Codice,vengano adottate, da parte degli organi interessati dalla procedura, ulteriorimisure e accorgimenti, di seguito indicati, volti a rafforzare il livello diprotezione delle informazioni oggetto di trattamento, anche in attuazionedell'obbligo di garantire la sicurezza dei dati prima, durante e dopo la trasmissioneall'unità centrale, nonché dei dati ricevuti dall'unità centrale che l'art. 13,paragrafo 2, del regolamento n. 2725/2000 pone a carico di ogni Stato membro.

2.5.1 Credenziali diautenticazione presso il Servizio di polizia scientifica
Profili critici
Presso il Servizio dipolizia scientifica del Dipartimento della pubblica sicurezza vengonoconservati i log file relativi al tracciamento delle operazioni effettuatesulle impronte digitali destinate a confluire in Eurodac (e in A.f.i.s) daigabinetti provinciali e regionali della polizia scientifica. Nei log vengonomemorizzate le attività svolte, il nome dell'utente, il codice della postazioneclient di provenienza della richiesta, il numero originario identificativodell'operazione effettuata dal client e il codice A.f.i.s..

L'accesso alla sala macchine che ospitail server centrale è consentito mediante badge profilato.

L'accesso degli amministratori aldatabase dei log Eurodac (e A.f.i.s.) avviene mediante credenziali diautenticazione (username e password) condivise tra il personale dell'areaGruppo sistemistico sezione A.f.i.s..

Prescrizioni
Per l'accesso al database Eurodac (e A.f.i.s.), aogni incaricato deve essere assegnata o associata individualmente almeno unacredenziale di autenticazione costituita da un codice utente e da una parolachiave composta da non meno di otto caratteri, che deve essere modificatadall'incaricato al primo utilizzo e, successivamente, almeno ogni tre mesi.

2.5.2. Conservazione dei fascicolicartacei presso l'Unità Dublino
Profili critici
Presso l'Unità Dublino del Dipartimento per lelibertà civili e l'immigrazione vengono conservati, in numero di oltre 90.000,i fascicoli cartacei relativi ai soggetti i cui dati personali vengono trattatidall'Unità in relazione ai compiti da questa svolti nell'ambito della procedurache disciplina Eurodac. Si tratta di dati anche biometrici (le improntedigitali contenute nei cartellini dattiloscopici) e di carattere giudiziario,tra i quali le informazioni relative agli interessati acquisite dal Centroelaborazioni dati del Dipartimento della pubblica sicurezza.

Allo stato, i fascicoli sono sistemati inarmadi privi di chiusura collocati in stanze non chiuse a chiave. Sono in corsoattività volte a dotare di serrature gli armadi e le stanze.

É installato un impianto dirilevazione incendi e un sistema di videosorveglianza, che entra in funzione al di fuori dell'orario di lavoro del personale.

Prescrizioni
I dati personali contenuti nei fascicoli cartaceidevono essere custoditi e controllati con modalità che riducano al minimo irischi di distruzione o perdita o di accesso non autorizzato.

L'accesso ai locali ove sono custoditi ifascicoli va consentito previa adozione di un sistema di controllo basatosull'utilizzo di una tessera individuale (ad esempio, un badge profilato) adisposizione dei soli soggetti incaricati del trattamento delle informazioni.

I fascicoli devono essere collocati inarmadi ignifughi dotati di idonee serrature di sicurezza.

I varchi di accesso ai locali devonoessere anch'essi dotati di idonee serrature di sicurezza.

2.5.3 Trattamento dei dati construmenti elettronici presso l'Unità Dublino
Profili critici
Lo scambio di informazioni e documentazione conuffici esterni all'Unità (omologhi uffici di Stati membri e questure) avvienemediante posta elettronica certificata e non, posta tradizionale e fax, conesclusione, quanto al fax, della trasmissione dei cartellini dattiloscopici,causa la cattiva risoluzione dell'immagine.

L'accesso alle postazioni informatiche daparte del personale avviene mediante credenziali di autenticazione personale didominio Windows.

L'accesso all'applicazione web DubliNET,attraverso cui l'Unità gestisce i dati e le comunicazioni con gli Stati membri,avviene attraverso un sito non Ssl (Secure Socket Layer) e, quindi, senzacertificato di sicurezza.

Le credenziali di autenticazione(username e password) per l'accesso all'applicazione DubliNET sono condivisefra i vari operatori.

La documentazione scaricabile dal sistemaDubliNET (ad esempio, in formato Pdf), ivi compresi i cartellinidattiloscopici, viene firmata digitalmente dal mittente, ma le postazioniinformatiche in uso al personale dell'Unità non sono dotate del sistema diverifica della firma digitale (all'interno del file nell'area dedicata allafirma digitale risulta presente un punto interrogativo).

Gli accessi all'applicazione DubliNET ele operazioni compiute sui dati vengono tracciate.

Prescrizioni
Lo scambio di informazioni e documentazione da everso l'Unità Dublino deve avvenire con modalità che assicurino la provenienzadella comunicazione e l'integrità del suo contenuto.

Le comunicazioni devono quindi avvenireesclusivamente attraverso posta elettronica certificata e i documenti trasmessidevono essere cifrati.

Per l'accesso all'applicazione webDubliNET, a ogni incaricato deve essere assegnata o associata individualmentealmeno una credenziale di autenticazione costituita da un codice utente e dauna parola chiave composta da non meno di otto caratteri, che deve essere modificatadall'incaricato al primo utilizzo e, successivamente, almeno ogni tre mesi.

3. Termine per attuare le prescrizionidel Garante Attesa la particolare delicatezza dei dati in questione, ilGarante constata la necessità che le prescritte modificazioni e integrazioni daapportare al trattamento siano adottate entro termini brevi, decorrenti dalladata di ricezione del presente provvedimento, che risulta congruo fissare:

a) in trenta giorni, relativamente allemisure di sicurezza concernenti l'adozione delle credenziali individuali diautenticazione da parte del personale dell'area Gruppo sistemistico sezioneA.f.i.s. del Servizio di Polizia scientifica del Dipartimento della pubblicasicurezza e degli operatori dell'Unità Dublino del Dipartimento per le libertàcivili e l'immigrazione;

b) in sei mesi, relativamente alle altremodificazioni e integrazioni, ivi comprese le ulteriori misure di sicurezzaprescritte (punto 2.5).

Il Ministero, che allo stato risultatitolare del trattamento, è invitato a fornire riscontro al decorso di ciascunodi tali termini circa l'attuazione delle presenti prescrizioni.

TUTTO CIÓ PREMESSO ILGARANTE

1) ai sensi degli artt. 154, comma 1,lett. c) e 160 del Codice dispone che il Ministero dell'interno adotti leprescritte modificazioni e integrazioni al trattamento dei dati personalieffettuati in attuazione del regolamento n. 2725/2000 istitutivo del sistemaEurodac e della Convenzione di Dublino relativamente a:

a) individuazione e comunicazione alGarante degli estremi identificativi del titolare (o co-titolari) e eventualiresponsabili del trattamento, con indicazione dei compiti e delleresponsabilità dei vari soggetti che effettuano il trattamento dei datinell'ambito della procedura, al fine di assicurare la liceità del trattamento,la correttezza e sicurezza dei dati e il rigoroso rispetto del principio difinalità del trattamento per tutte le operazioni compiute, dalla raccoltaall'utilizzo, alla conservazione e alla comunicazione dei dati (punto 2.1);

b) individuazione e comunicazione alGarante degli estremi identificativi dei soggetti "le autorità") cheassicurino il livello di responsabilità richiesto dagli artt. 13 e 15 delregolamento n. 2725/2000 nelle decisioni di modifica, rettifica, integrazione ecancellazione dei dati registrati presso la banca dati centrale e che possonoaccedere ai risultati delle ricerche nel sistema, in particolare a quellerelative ai confronti con le categorie b) e c) indicate al punto 1 delpresente provvedimento (punto 2.2);

c) adozione di una idonearegolamentazione volta a garantire che l'accesso ai dati gestiti dall'unitàcentrale sia limitato alle sole finalità previste dal regolamento n. 2725/2000e alle sole autorità competenti per la procedura di asilo, con particolareriferimento alle cd. "ricerche speciali" di cui all'art. 18 delregolamento (punto 2.3);

d) formazione del personale in relazioneal trattamento dei dati effettuato nel corso della procedura, con particolareriferimento all'uso legittimo delle cd. "ricerche speciali";aggiornamento del testo dell'informativa da rendere all'interessato conparticolare riferimento all'inserimento dell'indicazione del titolare (oco-titolari) del trattamento dei dati e degli specifici diritti che possonoessere esercitati dagli interessati e delle autorità (Garante e autoritàgiudiziaria) a cui presentare un eventuale ricorso (punto 2.4);

2) ai sensi degli artt. 154, comma 1,lett. c) e 160 del Codice dispone che il Ministero dell'interno adotti adeguatemisure di sicurezza nel trattamento dei dati, volte a rafforzare il livello diprotezione delle informazioni trattate nell'ambito del sistema Eurodac,con particolare riferimento a (punto 2.5):

a) assegnazione al personale dell'areaGruppo sistemistico sezione A.f.i.s. del Servizio di Polizia scientifica delDipartimento della pubblica sicurezza e del personale dell'Unità Dublino delDipartimento per le libertà civili e l'immigrazione di credenziali individualidi autenticazione costituite da un codice utente e da una parola chiave compostada non meno di otto caratteri, che deve essere modificata dall'incaricato alprimo utilizzo e, successivamente, almeno ogni tre mesi;

b) conservazione dei fascicoli cartaceipresso l'Unità Dublino del Dipartimento per le libertà civili e l'immigrazionein armadi ignifughi dotati di serrature di sicurezza collocati in locali conaccesso consentito previa adozione di un sistema di controllo basatosull'utilizzo di una tessera individuale (ad esempio, un badge profilato) adisposizione dei soli soggetti incaricati del trattamento delle informazioni econ varchi dotati di idonee serrature di sicurezza;

c) trattamento dei dati con strumentielettronici presso la medesima Unità mediante comunicazioni basate sull'usoesclusivo di posta elettronica certificata e sulla trasmissione di documenticifrati;

3) ai sensi delle medesime disposizioniprescrive che le suesposte modificazioni e integrazioni da apportare altrattamento siano adottate entro il termine, decorrente dalla data di ricezionedel presente provvedimento, di trenta giorni relativamente alle misure disicurezza concernenti l'adozione delle credenziali individuali diautenticazione da parte del personale dell'area Gruppo sistemistico sezioneA.f.i.s. del Servizio di Polizia scientifica del Dipartimento della pubblicasicurezza e del personale dell'Unità Dublino del Dipartimento per le libertàcivili e l'immigrazione, e di sei mesi relativamente alle altre modificazioni eintegrazioni, ivi comprese le ulteriori misure di sicurezza prescritte,fornendo riscontro a questa Autorità circa la loro attuazione al decorso deimedesimi termini.

Roma, 29 maggio 2008

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale
Buttarelli