IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

... (omissis)....

PREMESSO

L’Autorità ha effettuato un’attività di verifica sulla legittimità del trattamento dei dati personali effettuati dal Ministero degli Affari Esteri e della Cooperazione Internazionale (di seguito “MAECI”) nelle procedure di rilascio dei visti e nel trasferimento dei dati nel Sistema di informazione visti (Visa Information System, VIS) finalizzato allo scambio dei dati relativi ai visti d'ingresso Schengen. Il sistema - istituito con la Decisione del Consiglio dell’Unione Europea 2004/512/CE del 8 giugno 2004 e disciplinato dal Regolamento (CE) n. 767/2008 e dalla decisione del Consiglio 2008/633/HA del 23 giugno 2008 – è basato su un'architettura centralizzata, costituita da un sistema d'informazione centrale in ambito UE (“sistema centrale d'informazione visti" “CS-VIS"), con interfacce in ciascuno Stato membro (“N-VIS"-“I-VIS") e dall'infrastruttura di comunicazione che assicura lo scambio di informazioni fra le interfacce nazionali e il sistema centrale (“FEVIS”)

L'attività è stata svolta nell’ambito degli specifici obblighi di vigilanza previsti dall’art. 41 del Regolamento (CE) n. 767/2008, in base al quale le autorità di controllo nazionali esercitano autonomamente i poteri di verifica sulla legittimità del trattamento dei dati personali registrati nel VIS (art. 41, par. 1) e provvedono, almeno ogni quattro anni, affinché sia svolta un’attività di controllo sulle operazioni di trattamento dei dati del sistema nazionale, in conformità alle pertinenti norme di revisione internazionali (art. 41, par. 2).

1. Le attività di controllo.

A tal fine, è stata effettuata un’attività ispettiva presso la sede del MAECI e una presso una sede consolare all’estero, in occasione della quale è stata anche visitata una delle sedi della società esterna che fornisce in outsourcing servizi per i visti (Esternal Services Provider, ESP). E’ stato, inoltre, condotto un audit di tipo documentale - volto a verificare il rispetto dei requisiti di sicurezza indicati nelle normative tecniche ISO 27001:2013 e ISO 27002:2013 e delle impostazioni “privacy by design/by default” - le cui risultanze hanno fornito lo spunto per ulteriori approfondimenti di natura tecnologica, organizzativa e procedurale e per l’individuazione di alcune aree di miglioramento.

Le attività ispettive hanno avuto ad oggetto il funzionamento del sistema nazionale N-Vis, del sistema L-Vis (in uso presso i consolati) e del cd. “Visa-Out” (l’interfaccia utilizzata dai fornitori esterni di servizi per l’inserimento dei dati dei richiedenti il visto), in relazione ai soggetti abilitati all’accesso a tali sistemi, alle modalità di accesso, consultazione e inserimento dei dati e ai termini di conservazione. Sono state esaminate le procedure di rilascio dei visti – la gestione telematica e cartacea delle pratiche – in relazione alle modalità di adempimento delle garanzie in materia di protezione dei dati personali (informativa, esercizio dei diritti), anche con riguardo alle fasi della procedura espletate presso gli sportelli dell’outsourcer.

Per gli aspetti tecnici e di sicurezza dei sistemi indicati, gli approfondimenti hanno riguardato lo scambio dei dati fra i sistemi, le modalità e i tempi di conservazione dei dati, la gestione delle utenze di accesso ai sistemi, la tenuta dei registri dei file di log e le risultanze del questionario per l'audit di sicurezza dei dati.

2. Le risultanze delle verifiche e le criticità rilevate.

Le attività di verifica sopra indicate hanno evidenziato, nel complesso, una situazione di sostanziale conformità al quadro normativo di riferimento. Sono stati, tuttavia, rilevati alcuni profili di criticità di seguito sinteticamente riportati.

2.1. Tempi di conservazione dei dati in N-VIS.

Con riferimento a tale profilo, è stato rilevato che, allo stato, il Ministero non ha ancora definito il termine massimo di conservazione per i dati personali contenuti nelle pratiche di visto registrate nel sistema N-VIS. Ciò, in particolare, alla luce del fatto che, all’avvio del VIS, sono stati caricati nel sistema i dati registrati in precedenza nel sistema informatico utilizzato fin dall’entrata in vigore degli accordi di Schengen (Rete Mondiale Visti, RMV).

Sul punto, l'art. 23 del Reg. (CE) n. 767/2008 prevede che i dati registrati nel VIS siano conservati per 5 anni dalla scadenza del visto o dal provvedimento di diniego, annullamento o revoca, mentre l'art. 30, prevede che “i dati provenienti dal VIS possono essere conservati in archivi nazionali solo qualora ciò sia necessario in casi specifici, conformemente alle finalità del VIS e nel rispetto delle disposizioni giuridiche applicabili, comprese quelle riguardanti la protezione dei dati, e per un periodo non superiore a quello necessario nel caso specifico” e non pregiudica il “diritto di uno Stato membro di conservare nei suoi fascicoli nazionali dati che esso stesso ha inserito nel VIS”. Infine, l'art. 37, comma 7, del Reg. (CE) 810/2009 (Codice visti) limita a due anni la conservazione dei fascicoli relativi alle pratiche di visto in archivio.

Il Ministero ha rappresentato che il suddetto termine di 5 anni, si applica al C-VIS, e non ai dati relativi alle pratiche di visto nazionale o relative a visti Schengen completate prima del roll-out del VIS, avvenuto alla fine del 2015, per i quali l'esigenza di cancellazione non si è ancora posta non essendo ancora trascorsi 5 anni dal roll-out. Ha, inoltre, evidenziato che una volta distrutto il fascicolo cartaceo, i dati conservati in N-VIS/L-VIS sono gli unici che consentono, in caso di contenzioso sul diniego di un visto, la successiva ricostruzione dell'istruttoria della pratica. Al riguardo, è stato precisato che il termine per impugnare il diniego è diverso a seconda della tipologia di visto, e in alcuni casi, lo stesso può essere impugnato avanti al tribunale ordinario senza limiti di tempo.

Tali ragioni, sebbene evidenzino, in relazione a determinate ipotesi, la necessità di termini di conservazione ampi, non giustificano, tuttavia, la conservazione di tutti i dati relativi alle pratiche di visto – cioè transitati in N-VIS/L-VIS, al momento del roll-out del VIS anche risalenti nel tempo – senza la previsione di uno specifico termine oltre il quale devono essere cancellati. Ciò, in particolare, non appare tenere conto delle domande di visto esitate positivamente, per le quali non sembrano sussistere le esigenze di conservazione rappresentate.

In base alla disciplina sulla protezione dei dati, i termini di conservazione devono essere predeterminati in relazione al conseguimento delle finalità perseguite (art. 5, par. 1, lett. d), Regolamento (UE) 2016/679). Risulta, pertanto, necessario che il Ministero adotti misure adeguate a conformare il trattamento in questione a tali principi, individuando, in relazione alle pratiche di visto registrate nei sistemi nazionali, termini di conservazione dei dati che tengano conto delle differenti esigenze di conservazione in relazione alle diverse fattispecie verificabili in concreto, impostando, altresì, meccanismi di cancellazione automatica dei dati in relazione ai termini stabiliti.

2.2.Conservazione dei dati nel sistema “Visa Out”.

In base agli accertamenti svolti è stato rilevato che nel sistema “Visa Out”, cioè l’interfaccia utilizzata dai fornitori esterni di servizi, i dati dei richiedenti il visto rimangono visualizzabili, al fornitore esterno, per 30 giorni, mentre i dati biometrici vengono conservati per 6 giorni dalla data di completamento e invio della pratica.

Al riguardo, nel 2017 il MAECI ha diramato istruzioni agli uffici consolari invitando gli stessi a “cancellare dal sistema informativo Outsourcing (Visa-Out) le pratiche ferme o pendenti da più di 30 giorni dall’ultima modifica” e ha previsto che “il programma “Visa-Out” sopprima al più presto – e non oltre 6 giorni dalla trasmissione - i dati biometrici dopo la loro trasmissione dal fornitore esterno alla sede, provvedendo inoltre che gli unici dati che siano conservati siano il nome e il recapito del richiedente, al fine di fissare appuntamenti (tali ultimi dati andranno soppressi entro 30 giorni dalla trasmissione (allegato X, lett. d)”(MAE 0029158 del 14.2.2017).

E’ stato inoltre evidenziato che un periodo di conservazione, anche minimo, può essere necessario nel caso in cui la trasmissione dei dati non vada a buon fine (“per problemi tecnici di varia natura, quali ad esempio, cali di tensione elettrica o interruzioni del collegamento internet”, per cui l’Ufficio consolare non riceve i dati in modo corretto o non riesce a trasmetterli alle Autorità centrali). Ove i dati personali non venissero conservati in “Visa-Out”, infatti, si renderebbe necessario richiedere al fornitore di inviare nuovamente i dati o di convocare l’interessato per acquisire di nuovo le impronte digitali. E' stato poi precisato che il termine di 6 giorni, previsto per i dati biometrici, è normalmente sufficiente ad assicurarne la trasmissione con successo e che quello di 30 giorni, previsto per gli altri dati, è stato individuato, quale soluzione mediana, in relazione ai termini massimi per il completamento dell’istruttoria (15 giorni, prorogabili fino a 30 o 60 giorni, se risultano necessari documenti supplementari).

Si osserva che il Regolamento (CE) n. 810/2009 nel disciplinare la cooperazione con i fornitori esterni, prevede anche specifiche garanzie per trattamento dei dati personali in relazione ai tempi di conservazione. In particolare, l’Allegato X, specifica che il fornitore esterno “sopprime immediatamente i dati dopo la loro trasmissione e provvede affinché gli unici dati che possono essere conservati siano il nome e il recapito del richiedente al fine di fissare appuntamenti, nonché il numero di passaporto fino alla restituzione del passaporto al richiedente, se del caso”.

Tali previsioni non lasciano margini di flessibilità in ordine ai profili in esame e ogni ipotesi di conservazione dei dati, compresa quella nel sistema di interfaccia “Visa-Out” - che rende possibile all’outsourcer la visualizzazione dei dati stessi, anche dopo la trasmissione - deve, quindi, essere valutata in modo stringente, in relazione alle specifiche finalità perseguite. Una conservazione “generalizzata” dei dati nel sistema a prescindere dalla sussistenza o meno delle necessità poste alla base della conservazione – sebbene per periodi di tempo limitati, come quelli stabiliti dal Ministero - non risulta conforme al principio di limitazione della conservazione dei dati personali (art. 5, par. 1, lett. d), Regolamento (UE) 2016/679), oltre che a quanto previsto dall’Allegato X del Codice visti.

Risulta pertanto necessario introdurre nel sistema un meccanismo di cancellazione automatica dei dati biometrici una volta che la pratica sia stata effettivamente trasmessa con successo all'ufficio consolare, prevedendone la conservazione nel sistema per un massimo di 6 giorni limitatamente alle ipotesi in cui la trasmissione non sia andata a buon fine. Tale misura consentirebbe al sistema di effettuare gli ulteriori tentativi di invio del dato biometrico fino all’esito positivo, evitando la necessità di convocare il richiedente il visto per una nuova rilevazione delle impronte digitali.

Per quanto riguarda, invece, gli altri dati, si ritiene invece che possa essere prevista la conservazione nel sistema “Visa-Out”, una volta trasmessi i dati al consolato, soltanto di un identificativo della pratica e/o del nome, del numero di passaporto e del recapito del richiedente, per un massimo di 30 giorni, limitatamente alle ipotesi in cui vi siano esigenze istruttorie (quali, per es. la necessità di integrare la documentazione o di riconvocare il richiedente), ferma restando la necessità di introdurre un meccanismo di cancellazione automatica, prima di tale termine, non appena la pratica sia stata definita (con il rilascio o il diniego del visto), e non sussistono più, dunque, le esigenze poste alla base della conservazione.

2.3. Disponibilità dei dati dei richiedenti il visto nei sistemi gestionali degli outsourcer e tempi di conservazione.

Gli outsourcer utilizzano, per esigenze di gestione dell’utenza e per proprie finalità amministrativo-contabili e di fatturazione, sistemi gestionali, o registri, in cui vengono memorizzati alcuni dati relativi ai richiedenti il visto e ai servizi richiesti (es: nome, cognome, numero di passaporto, recapiti, agenzia di viaggio, data di partenza).

Dalla documentazione acquisita nel corso delle attività di verifica anche presso la sede consolare, si rileva che tali sistemi possono essere configurati in modo da conservare i dati dell’utenza per periodi di tempo differenziati - in alcuni casi, fino a tre mesi - in relazione alle esigenze di gestione sia delle attività esternalizzate dalla sede consolare, sia di quelle proprie del fornitore.

Al riguardo, si fa presente che la conservazione di tali dati da parte del fornitore esterno deve essere conforme alle sopra citate disposizioni di cui all’Allegato X del del Regolamento (CE) n. 810/2009, richiamato integralmente nello strumento contrattuale sottoscritto.

Risulta, pertanto, necessario che le sedi consolari individuino chiaramente le finalità di conservazione dei dati connessi all’esecuzione dei servizi da esse affidati al fornitore esterno (per esempio, tracking passaporti, gestione dell’agenda degli appuntamenti presso il consolato, incasso e versamento delle cd. “percezioni consolari”, fatturazione, riconsegna passaporto, etc.), e che tali finalità siano chiaramente distinte da quelle legate alla fornitura, da parte del fornitore esterno, di servizi opzionali alla clientela o ad altre esigenze gestionali proprie (per esempio, call center, tracking della pratica on line, notifiche con sms, servizi assicurativi, stampa e trasmissione documenti, spedizione con corriere, finalità amministrativo contabili, etc.).

In relazione ai servizi esternalizzati dal consolato, è inoltre necessario che le sedi consolari individuino chiaramente quali tipologie di dati conservare, i relativi tempi di conservazione e regole di cancellazione conformi a quanto previsto dall’Allegato X del Regolamento (CE) n. 810/2009, in modo che, una volta trasmessa la pratica, “gli unici dati” oggetto di conservazione “siano il nome e il recapito del richiedente al fine di fissare appuntamenti, nonché il numero di passaporto fino alla restituzione del passaporto al richiedente, se del caso”.

... (omissis)....

Fonte: Garante - Prescrizioni al Ministero degli Affari Esteri e della Cooperazione Internazionale in relazione ai trattamenti di dati personali effettuati nelle procedure di rilascio visti