MINISTERO INTERNO – Decreto ministeriale 17 agosto 2018 – Modalità tecniche di funzionamento del Sistema Informativo e di trasferimento dei dati del codice di prenotazione (PNR)

Modalità tecniche di funzionamento del Sistema Informativo e di trasferimento dei dati del codice di prenotazione (PNR)

Art. 1 (N.C.)

Oggetto e ambito di applicazione

1. Il presente decreto disciplina le modalità tecniche di funzionamento del Sistema Informativo, istituito presso il Ministero dell’interno – Dipartimento della Pubblica Sicurezza, ai fini della raccolta, del trattamento e del trasferimento dei dati PNR e dei dati API.

2. Il presente decreto individua, altresì, i profili di autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate nel Sistema Informativo, nonché le procedure tecniche di consultazione da parte dei soggetti autorizzati, di raffronto delle informazioni con le pertinenti banche dati, e di mascheramento e cancellazione dei dati.

3. Il presente decreto definisce, inoltre, le modalità tecniche di trasferimento dei dati da parte dei vettori aerei, nonché di trasferimento delle informazioni, con strumenti informatici, dall’UIP nazionale alle autorità competenti nazionali.

Art. 2 (N.C.)

Definizioni

1. Ai fini del presente decreto e degli allegati, si intende per:

a) «decreto legislativo», il decreto legislativo 21 maggio 2018, n. 53, recante attuazione della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio del 27 aprile 2016, sull’uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e disciplina dell’obbligo per i vettori di comunicare i dati relativi alle persone trasportate in attuazione della Direttiva 2004/82/CE del Consiglio del 29 aprile 2004;

b) «decreto legislativo n. 51/2018», il decreto legislativo 18 maggio 2018 n. 51, recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio;

c) «regolamento generale sulla protezione dei dati», il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

d) «autorità competenti nazionali», i soggetti di cui all’art. 2, comma 2, lettera b), del decreto legislativo;

e) «dati API», le informazioni di cui all’art. 2, comma 3, lettera c), del decreto legislativo;

f) «dati PNR», le informazioni di cui all’art. 2, comma 1, lettera a), del decreto legislativo;

g) «mascheramento dei dati», l’operazione di cui all’art. 2, comma 1, lettera b), del decreto legislativo;

h) «passeggero», il soggetto di cui all’art. 2, comma 1, lettera e), del decreto legislativo;

i) «pseudonimizzazione», il trattamento di cui all’art. 2, comma 1, lettera c), del decreto legislativo;

j) «Sistema Informativo», il sistema informativo di cui dall’art. 4, del decreto legislativo;

k) «Uffici incaricati dei controlli di polizia di frontiera», gli uffici o reparti di cui all’art. 2, comma 3, lettera e), del decreto legislativo;

l) «UIP nazionale», l’unità di cui agli articoli 2, comma 2, lettera s), e 6, del decreto legislativo;

m) «vettori aerei», l’impresa di cui all’art. 2, comma 1, lettera h), del decreto legislativo.

2. Ai fini del presente decreto e degli allegati, si intende, altresì, per:

a) «accesso», l’operazione di trattamento elettronico che consente di acquisire conoscenza dei dati conservati nel Sistema Informativo o in altre banche dati;

b) «accreditamento», l’attività finalizzata alla verifica tecnica della connettività del sistema di trasferimento dei dati utilizzato dai vettori aerei, nonché della conformità del processo di trasmissione dei dati ai protocolli previsti dalla normativa vigente;

c) «autenticazione informatica», l’insieme degli strumenti elettronici e delle procedure per la verifica dell’identità dell’operatore;

d) «banca dati PNR», l’archivio informatico del Sistema informativo contenente i dati PNR;

e) «casella di posta elettronica corporate», la casella di posta elettronica istituzionale rilasciata all’operatore dall’amministrazione o ente di appartenenza;

f) «CED», il Centro di elaborazione dati di cui all’art. 8, della legge 1° aprile 1981, n. 121;

g) «Centro di accreditamento», l’ufficio del Dipartimento della pubblica sicurezza del Ministero dell’interno, ovvero l’operatore economico qualificato che effettua l’accreditamento;

h) «Centro Nazionale», il Centro Nazionale della Polizia di Stato, per la gestione, il coordinamento e lo sviluppo degli archivi e delle procedure informatizzate della Polizia di Stato con sede in Napoli, istituito con Decreto del Ministro dell’interno del 9 gennaio 2002;

i) «consultazione», l’operazione di trattamento informatico che consente ai soggetti di cui agli articoli 6 e 7, del decreto legislativo, di effettuare l’attività di analisi dei dati PNR e dei dati API per le finalità di cui all’art. 3, del medesimo decreto;

j) «credenziali di autenticazione», i dati e i dispositivi in possesso dell’operatore, da questi conosciuti e ad esso univocamente correlati, necessari per l’autenticazione informatica;

k) «Direzione Centrale della Polizia Criminale», la Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza, di cui all’art. 5, primo comma, lettera c), della legge n. 121 del 1981;

l) «Direzione Centrale dell’Immigrazione e della Polizia delle Frontiere», la Direzione Centrale dell’Immigrazione e della Polizia delle Frontiere del Dipartimento della Pubblica Sicurezza, di cui all’art. 35, della legge 30 luglio 2002, n. 189;

m) «Disaster Recovery – DR», l’infrastruttura tecnologica per il salvataggio e il ripristino dei dati e replica del sistema informativo;

n) «ENAV/ACC», l’Ente Nazionale di Assistenza al Volo/Area Control Center;

o) «password», sequenza di caratteri utilizzata per accedere in modo esclusivo a una risorsa informatica;

p) «portale web», sito web idoneo a ricevere i dati comunicati dai vettori aerei;

q) «profilo di autorizzazione», l’insieme delle informazioni univocamente associate ad un operatore che consente di individuare le funzionalità e i dati del Sistema Informativo cui l’operatore può accedere, nonché i trattamenti che il medesimo può effettuare;

r) «utente», il soggetto abilitato all’accesso al Sistema Informativo, sulla base di specifici profili di autorizzazione;

s) «VPN», Virtual Private Network, rete di telecomunicazione privata virtuale utilizzata dai soggetti legittimati per collegarsi al Sistema Informativo;

t) «web service», sistema software basato su tecnologie e protocolli internet che permette l’integrazione e l’interoperabilità tra diversi sistemi e applicazioni.

Art. 3 (N.C.)

Funzionamento del Sistema Informativo e trasferimento dei dati da parte dei vettori aerei

1. Le modalità tecniche di funzionamento del Sistema Informativo e di trasferimento dei dati da parte dei vettori aerei, in attuazione dell’art. 4, comma 5, lettere a) e g), del decreto legislativo, sono individuate nell’allegato A.

Art. 4 (N.C.)

Modalità di trattamento dei dati PNR e dei dati API e consultazione da parte dei soggetti autorizzati

1. Le modalità tecniche del trattamento dei dati PNR e dei dati API, comprese le procedure di mascheramento e cancellazione delle informazioni, nonché le procedure per la trasmissione delle informazioni, per via telematica, da parte dell’UIP nazionale alle autorità competenti nazionali, in attuazione dell’art. 4, comma 5, lettere c), d), e) e f), del decreto legislativo, sono definite dall’allegato B.

Art. 5 (N.C.)

Modalità di autenticazione, autorizzazione, registrazione degli accessi e delle operazioni effettuate nel Sistema Informativo

1. I profili di autorizzazione e le modalità di autenticazione e registrazione degli accessi e delle operazioni effettuate nel Sistema informativo, in attuazione dell’art. 4, comma, 5, lettera b), del decreto legislativo, sono definiti nell’allegato C.

Art. 6 (N.C.)

Clausola di invarianza finanziaria

1. Dall’attuazione delle disposizioni del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni interessate provvedono ai conseguenti adempimenti con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.

Art. 7 (N.C.)

Norme finali

1. Il presente decreto è pubblicato nella Gazzetta Ufficiale della Repubblica italiana, limitatamente alle parti non assistite da classifica di segretezza.

2. Il presente decreto entra in vigore il quindicesimo giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Allegato A

(Omissis).

2. Procedure di trasferimento dei dati PNR da parte dei vettori aerei

2.1 Accreditamento (N.C.)

Al fine dell’adempimento dell’obbligo del trasferimento dei dati PNR, i vettori aerei devono preventivamente accreditarsi, in riferimento alle singole tratte.

A tale scopo, il Centro di accreditamento comunica all’ENAC le modalità di contatto tramite le quali i vettori – individuati dal medesimo Ente in quanto operanti nelle tratte di interesse – trasmetteranno la richiesta di avvio della procedura, unitamente alla comunicazione della programmazione generale dei voli.

Il vettore, quindi, comunica al Centro di accreditamento i sistemi di origine dei dati e le modalità tecniche di trasmissione degli stessi (formato dei dati, rete e protocollo di trasmissione).

Il Centro di accreditamento, congiuntamente al vettore, effettua il test di connessione e di trasmissione, comprensivo del controllo di qualità.

All’esito positivo di tale attività, il Centro di accreditamento accredita il vettore in riferimento alle singole tratte, mediante il rilascio di apposita ricevuta.

In fase di prima applicazione, la procedura di accreditamento dovrà concludersi entro novanta giorni dall’entrata in vigore del presente decreto.

Nelle more della conclusione di tale procedura, la trasmissione dei dati PNR deve essere effettuata attraverso il portale Web.

2.2 Trasferimento dei dati (N.C.)

L’acquisizione dei dati PNR al Sistema Informativo può avvenire tramite un operatore economico qualificato, ovvero direttamente a cura del vettore aereo.

Nel primo caso, l’operatore economico viene selezionato secondo le procedure previste dal Codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50. Il relativo contratto stabilisce anche che l’operatore economico qualificato è responsabile del trattamento dei dati, per la parte di specifica competenza, e garantisce l’adozione di misure tecniche e organizzative adeguate, nel rispetto dei requisiti previsti dal regolamento generale sulla protezione dei dati. L’attività svolta dall’operatore economico qualificato è regolata ai sensi dell’art. 28, paragrafo 3, del medesimo regolamento.

In entrambi i casi, per il trasferimento dei dati PNR, i vettori aerei utilizzano un canale sicuro che connette il Centro Nazionale e le sorgenti dei dati.

In particolare, i dati sono trasmessi mediante il modulo «raccolta» che consente la cooperazione applicativa tra i sistemi dell’operatore economico ovvero dei vettori aerei e il Sistema Informativo, attraverso una rete virtuale privata (VPN) dedicata su protocollo di comunicazione sicuro (https).

Nei casi di cui all’art. 5, commi 3 e 4, del decreto legislativo, i vettori aerei potranno trasmettere le informazioni stabilendo una connessione sicura (https) al portale Web di acquisizione diretta.

Per la trasmissione dei dati PNR, i vettori aerei, ai sensi della Decisione di esecuzione (UE) 2017/759 della Commissione del 28 aprile 2017, devono utilizzare uno dei seguenti formati di dati:

– EDIFACT PNRGOV, come descritto nella EDIFACT implementation guide; PNR data pushed to States or other authorities; PNRGOV message («Guida di applicazione EDIFACT; dati PNR trasmessi secondo il metodo «push» agli Stati o ad altre autorità; messaggi PNRGOV»), Versione 11.1 o posteriore;

– XML PNRGOV, come descritto nella XML implementation guide; PNR data pushed to States or other authorities; PNRGOV message («Guida di applicazione XML; dati PNR trasmessi secondo il metodo «push» agli Stati o ad altre autorità; messaggi PNRGOV») Versione 13.1 o posteriore. 2.

Ai medesimi fini, i vettori aerei devono utilizzare i seguenti protocolli di trasmissione:

– IBM MQ;

– IATA Type B;

– Profilo AS4 di ebMS 3.0 Versione 1.0, standard OASIS, pubblicato il 23 gennaio 2013. Implementazione di AS4 secondo il profilo SENS AS4 sviluppato nel quadro del progetto pilota su larga scala e-SENS, attuale identificativo e versione: «PR – AS4 – 1.10».

Dal 2017 il Meccanismo per collegare l’Europa continuerà a mantenere e migliorare questi orientamenti d’attuazione.

Nel processo di acquisizione, oltre ai dati PNR, vengono raccolti i dati di volo, attraverso apposita connessione con l’ENAV/ACC.

Tali dati consentono di riscontrare la corrispondenza tra i piani di volo degli aeromobili in rotta con la programmazione dei voli già comunicata al Centro di accreditamento.

I dati PNR, dopo essere stati normalizzati, mediante il modulo «traduzione», vengono memorizzati nella banca dati PNR per il successivo trattamento effettuato dal modulo «trattamento dei dati API» e dal modulo «trattamento dei dati PNR».

(Omissis).

Allegato B (R.)

(Omissis).

Allegato C (R)

(Omissis).