Nei giorni scorsi, il Garante italiano per la privacy ha reso tre pareri al Ministero dell’Interno in ordine ad alcuni schemi di regole tecniche sul permesso di soggiorno elettronico (Pse).

Nello specifico, l’Autorità italiana ha dovuto esprimere la sua posizione relativamente alle “procedure e ai processi di produzione per l’emissione e il controllo del permesso di soggiorno”, alla “infrastruttura di sicurezza Pse” e alle “modalità di acquisizione e di verifica degli elementi biometrici primari (immagini del volto) e secondari (impronte digitali)”, fornendo anche indicazioni per incrementare la sicurezza e le garanzie per gli interessati.

Il permesso di soggiorno, rilasciato allo straniero dall’Ufficio immigrazione della Questura, è costituito da una smart card con gli elementi e i requisiti di sicurezza previsti dalla Decisione C(2009) 3770, ossia i dati e gli elementi biometrici primari del titolare e un microprocessore RF integrato contenente i dati del Pse (dati identificativi del soggetto e dati biometrici primari e secondari, nello specifico l’immagine del volto e le impronte digitali), in conformità al Regolamento CE n. 380/2008 e alle prescrizioni tecniche stabilite dalla Decisione precedentemente citata.

Affinché sia garantito un alto livello di sicurezza è stato creato un circuito di emissione e controllo del permesso di soggiorno che si basa su “un’architettura centralizzata” in grado di consentire la tracciatura di tutte le operazioni effettuate da ogni ente coinvolto e l’emissione di documenti al fine di minimizzare i rischi di falsificazione e contraffazione.

Il governo dei processi è affidato all’Infrastruttura Centrale Pse – presso il centro elettronico nazionale della Polizia di Stato -, la gestione della sicurezza all’Infrastruttura di Sicurezza Pse e la fase di produzione dei permessi di soggiorno è all’Istituto Poligrafico e Zecca dello Stato (IPZS).

Ruolo importante nella conservazione e nel trattamento dei dati è svolto dai soggetti coinvolti nelle varie fasi citate, i quali sono abilitati ad operare sull’archivio ex art. 2, comma 1, lett. g), del DPR n. 242/2004 (c.d. “archivio immigrazione”) con le connesse responsabilità per la protezione dei dati personali.

Specificamente, il titolare del trattamento dei dati è il Ministero dell’Interno – Dipartimento della Polizia di Stato, in quanto a esso competono le decisioni riguardanti le procedure e le determinazioni circa le finalità e le modalità del trattamento dei dati personali e infine quelle relative al rilascio e al controllo del permesso di soggiorno.

Responsabile del trattamento dei dati è il Centro Elettronico Nazionale della Polizia di Stato, mentre gli incaricati del trattamento dei dati sono tutti quegli operatori degli enti designati dal titolare o dal responsabile del trattamento (ad esempio, il personale delle Questure e degli Uffici di Frontiera, dei Gabinetti Interregionali/Regionali di Polizia Scientifica limitatamente alle attività finalizzate ai rilievi foto-dattiloscopici; il personale dell’IPZS esclusivamente ai fini della personalizzazione del Pse; il personale degli uffici competenti del Dipartimento per le Libertà Civili e l’immigrazione del Ministero dell’Interno).

Per quanto riguarda i flussi informativi (messaggi XML) scambiati in modalità sicura tra gli Enti, essi devono avvenire tramite la rete ministeriale ed eventuali collegamenti dedicati tra l’Infrastruttura Centrale Pse e altri Enti.

Inoltre, è previsto che alcune informazioni sull’impronta digitale siano memorizzate senza che possano essere riconducibili al titolare, con lo scopo di elaborare dati statistici sulla qualità delle impronte acquisite. In più, relativamente agli elementi biometrici secondari, come stabilito nel parere del Garante, questi “sono conservati nell’archivio dei permessi di soggiorno per il tempo strettamente necessario al completamento dei procedimenti amministrativi per il rilascio o per il rinnovo del Pse”.