Gazzetta n. 235 del 9 ottobre 2018 (vai al sommario) MINISTERO DELL'INTERNO DECRETO 17 agosto 2018 Modalita' tecniche di funzionamento del Sistema Informativo e di trasferimento dei dati del codice di prenotazione (PNR). Art. 1 (N.C.) Oggetto e ambito di applicazione 1. Il presente decreto disciplina le modalita' tecniche di funzionamento del Sistema Informativo, istituito presso il Ministero dell'interno - Dipartimento della Pubblica Sicurezza, ai fini della raccolta, del trattamento e del trasferimento dei dati PNR e dei dati API. 2. Il presente decreto individua, altresi', i profili di autenticazione, autorizzazione e registrazione degli accessi e delle operazioni effettuate nel Sistema Informativo, nonche' le procedure tecniche di consultazione da parte dei soggetti autorizzati, di raffronto delle informazioni con le pertinenti banche dati, e di mascheramento e cancellazione dei dati. 3. Il presente decreto definisce, inoltre, le modalita' tecniche di trasferimento dei dati da parte dei vettori aerei, nonche' di trasferimento delle informazioni, con strumenti informatici, dall'UIP nazionale alle autorita' competenti nazionali.   Allegato A (Omissis). 2. Procedure di trasferimento dei dati PNR da parte dei vettori aerei 2.1 Accreditamento (N.C.) Al fine dell'adempimento dell'obbligo del trasferimento dei dati PNR, i vettori aerei devono preventivamente accreditarsi, in riferimento alle singole tratte. A tale scopo, il Centro di accreditamento comunica all'ENAC le modalita' di contatto tramite le quali i vettori - individuati dal medesimo Ente in quanto operanti nelle tratte di interesse - trasmetteranno la richiesta di avvio della procedura, unitamente alla comunicazione della programmazione generale dei voli. Il vettore, quindi, comunica al Centro di accreditamento i sistemi di origine dei dati e le modalita' tecniche di trasmissione degli stessi (formato dei dati, rete e protocollo di trasmissione). Il Centro di accreditamento, congiuntamente al vettore, effettua il test di connessione e di trasmissione, comprensivo del controllo di qualita'. All'esito positivo di tale attivita', il Centro di accreditamento accredita il vettore in riferimento alle singole tratte, mediante il rilascio di apposita ricevuta. In fase di prima applicazione, la procedura di accreditamento dovra' concludersi entro novanta giorni dall'entrata in vigore del presente decreto. Nelle more della conclusione di tale procedura, la trasmissione dei dati PNR deve essere effettuata attraverso il portale Web. 2.2 Trasferimento dei dati (N.C.) L'acquisizione dei dati PNR al Sistema Informativo puo' avvenire tramite un operatore economico qualificato, ovvero direttamente a cura del vettore aereo. Nel primo caso, l'operatore economico viene selezionato secondo le procedure previste dal Codice dei contratti pubblici, di cui al decreto legislativo 18 aprile 2016, n. 50. Il relativo contratto stabilisce anche che l'operatore economico qualificato e' responsabile del trattamento dei dati, per la parte di specifica competenza, e garantisce l'adozione di misure tecniche e organizzative adeguate, nel rispetto dei requisiti previsti dal regolamento generale sulla protezione dei dati. L'attivita' svolta dall'operatore economico qualificato e' regolata ai sensi dell'art. 28, paragrafo 3, del medesimo regolamento. In entrambi i casi, per il trasferimento dei dati PNR, i vettori aerei utilizzano un canale sicuro che connette il Centro Nazionale e le sorgenti dei dati. In particolare, i dati sono trasmessi mediante il modulo «raccolta» che consente la cooperazione applicativa tra i sistemi dell'operatore economico ovvero dei vettori aerei e il Sistema Informativo, attraverso una rete virtuale privata (VPN) dedicata su protocollo di comunicazione sicuro (https). Nei casi di cui all'art. 5, commi 3 e 4, del decreto legislativo, i vettori aerei potranno trasmettere le informazioni stabilendo una connessione sicura (https) al portale Web di acquisizione diretta. Per la trasmissione dei dati PNR, i vettori aerei, ai sensi della Decisione di esecuzione (UE) 2017/759 della Commissione del 28 aprile 2017, devono utilizzare uno dei seguenti formati di dati: • EDIFACT PNRGOV, come descritto nella EDIFACT implementation guide; PNR data pushed to States or other authorities; PNRGOV message («Guida di applicazione EDIFACT; dati PNR trasmessi secondo il metodo «push» agli Stati o ad altre autorita'; messaggi PNRGOV»), Versione 11.1 o posteriore; • XML PNRGOV, come descritto nella XML implementation guide; PNR data pushed to States or other authorities; PNRGOV message («Guida di applicazione XML; dati PNR trasmessi secondo il metodo «push» agli Stati o ad altre autorita'; messaggi PNRGOV») Versione 13.1 o posteriore. 2. Ai medesimi fini, i vettori aerei devono utilizzare i seguenti protocolli di trasmissione: • IBM MQ • IATA Type B • Profilo AS4 di ebMS 3.0 Versione 1.0, standard OASIS, pubblicato il 23 gennaio 2013. Implementazione di AS4 secondo il profilo SENS AS4 sviluppato nel quadro del progetto pilota su larga scala e-SENS, attuale identificativo e versione: «PR - AS4 - 1.10». Dal 2017 il Meccanismo per collegare l'Europa continuera' a mantenere e migliorare questi orientamenti d'attuazione. Nel processo di acquisizione, oltre ai dati PNR, vengono raccolti i dati di volo, attraverso apposita connessione con l'ENAV/ACC. Tali dati consentono di riscontrare la corrispondenza tra i piani di volo degli aeromobili in rotta con la programmazione dei voli gia' comunicata al Centro di accreditamento. I dati PNR, dopo essere stati normalizzati, mediante il modulo «traduzione», vengono memorizzati nella banca dati PNR per il successivo trattamento effettuato dal modulo «trattamento dei dati API» e dal modulo «trattamento dei dati PNR». (Omissis).   Allegato B (R.) (Omissis).   Allegato C (R) (Omissis).   Art. 2 (N.C.) Definizioni 1. Ai fini del presente decreto e degli allegati, si intende per: a) «decreto legislativo», il decreto legislativo 21 maggio 2018, n. 53, recante attuazione della direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio del 27 aprile 2016, sull'uso dei dati del codice di prenotazione (PNR) a fini di prevenzione, accertamento, indagine e azione penale nei confronti dei reati di terrorismo e dei reati gravi, e disciplina dell'obbligo per i vettori di comunicare i dati relativi alle persone trasportate in attuazione della Direttiva 2004/82/CE del Consiglio del 29 aprile 2004; b) «decreto legislativo n. 51/2018», il decreto legislativo 18 maggio 2018 n. 51, recante attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; c) «regolamento generale sulla protezione dei dati», il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE; d) «autorita' competenti nazionali», i soggetti di cui all'art. 2, comma 2, lettera b), del decreto legislativo; e) «dati API», le informazioni di cui all'art. 2, comma 3, lettera c), del decreto legislativo; f) «dati PNR», le informazioni di cui all'art. 2, comma 1, lettera a), del decreto legislativo; g) «mascheramento dei dati», l'operazione di cui all'art. 2, comma 1, lettera b), del decreto legislativo; h) «passeggero», il soggetto di cui all'art. 2, comma 1, lettera e), del decreto legislativo; i) «pseudonimizzazione», il trattamento di cui all'art. 2, comma 1, lettera c), del decreto legislativo; j) «Sistema Informativo», il sistema informativo di cui dall'art. 4, del decreto legislativo; k) «Uffici incaricati dei controlli di polizia di frontiera», gli uffici o reparti di cui all'art. 2, comma 3, lettera e), del decreto legislativo; l) «UIP nazionale», l'unita' di cui agli articoli 2, comma 2, lettera s), e 6, del decreto legislativo; m) «vettori aerei», l'impresa di cui all'art. 2, comma 1, lettera h), del decreto legislativo. 2. Ai fini del presente decreto e degli allegati, si intende, altresi', per: a) «accesso», l'operazione di trattamento elettronico che consente di acquisire conoscenza dei dati conservati nel Sistema Informativo o in altre banche dati; b) «accreditamento», l'attivita' finalizzata alla verifica tecnica della connettivita' del sistema di trasferimento dei dati utilizzato dai vettori aerei, nonche' della conformita' del processo di trasmissione dei dati ai protocolli previsti dalla normativa vigente; c) «autenticazione informatica», l'insieme degli strumenti elettronici e delle procedure per la verifica dell'identita' dell'operatore; d) «banca dati PNR», l'archivio informatico del Sistema informativo contenente i dati PNR; e) «casella di posta elettronica corporate», la casella di posta elettronica istituzionale rilasciata all'operatore dall'amministrazione o ente di appartenenza; f) «CED», il Centro di elaborazione dati di cui all'art. 8, della legge 1 aprile 1981, n. 121; g) «Centro di accreditamento», l'ufficio del Dipartimento della pubblica sicurezza del Ministero dell'interno, ovvero l'operatore economico qualificato che effettua l'accreditamento; h) «Centro Nazionale», il Centro Nazionale della Polizia di Stato, per la gestione, il coordinamento e lo sviluppo degli archivi e delle procedure informatizzate della Polizia di Stato con sede in Napoli, istituito con Decreto del Ministro dell'interno del 9 gennaio 2002; i) «consultazione», l'operazione di trattamento informatico che consente ai soggetti di cui agli articoli 6 e 7, del decreto legislativo, di effettuare l'attivita' di analisi dei dati PNR e dei dati API per le finalita' di cui all'art. 3, del medesimo decreto; j) «credenziali di autenticazione», i dati e i dispositivi in possesso dell'operatore, da questi conosciuti e ad esso univocamente correlati, necessari per l'autenticazione informatica; k) «Direzione Centrale della Polizia Criminale», la Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza, di cui all'art. 5, primo comma, lettera c), della legge n. 121 del 1981; l) «Direzione Centrale dell'Immigrazione e della Polizia delle Frontiere», la Direzione Centrale dell'Immigrazione e della Polizia delle Frontiere del Dipartimento della Pubblica Sicurezza, di cui all'art. 35, della legge 30 luglio 2002, n. 189; m) «Disaster Recovery - DR», l'infrastruttura tecnologica per il salvataggio e il ripristino dei dati e replica del sistema informativo; n) «ENAV/ACC», l'Ente Nazionale di Assistenza al Volo/Area Control Center; o) «password», sequenza di caratteri utilizzata per accedere in modo esclusivo a una risorsa informatica; p) «portale web», sito web idoneo a ricevere i dati comunicati dai vettori aerei; q) «profilo di autorizzazione», l'insieme delle informazioni univocamente associate ad un operatore che consente di individuare le funzionalita' e i dati del Sistema Informativo cui l'operatore puo' accedere, nonche' i trattamenti che il medesimo puo' effettuare; r) «utente», il soggetto abilitato all'accesso al Sistema Informativo, sulla base di specifici profili di autorizzazione; s) «VPN», Virtual Private Network, rete di telecomunicazione privata virtuale utilizzata dai soggetti legittimati per collegarsi al Sistema Informativo; t) «web service», sistema software basato su tecnologie e protocolli internet che permette l'integrazione e l'interoperabilita' tra diversi sistemi e applicazioni.   Art. 3 (N.C.) Funzionamento del Sistema Informativo e trasferimento dei dati da parte dei vettori aerei 1. Le modalita' tecniche di funzionamento del Sistema Informativo e di trasferimento dei dati da parte dei vettori aerei, in attuazione dell'art. 4, comma 5, lettere a) e g), del decreto legislativo, sono individuate nell'allegato A.   Art. 4 (N.C.) Modalita' di trattamento dei dati PNR e dei dati API e consultazione da parte dei soggetti autorizzati 1. Le modalita' tecniche del trattamento dei dati PNR e dei dati API, comprese le procedure di mascheramento e cancellazione delle informazioni, nonche' le procedure per la trasmissione delle informazioni, per via telematica, da parte dell'UIP nazionale alle autorita' competenti nazionali, in attuazione dell'art. 4, comma 5, lettere c), d), e) e f), del decreto legislativo, sono definite dall'allegato B.   Art. 5 (N.C.) Modalita' di autenticazione, autorizzazione, registrazione degli accessi e delle operazioni effettuate nel Sistema Informativo 1. I profili di autorizzazione e le modalita' di autenticazione e registrazione degli accessi e delle operazioni effettuate nel Sistema informativo, in attuazione dell'art. 4, comma, 5, lettera b), del decreto legislativo, sono definiti nell'allegato C.   Art. 6 (N.C.) Clausola di invarianza finanziaria 1. Dall'attuazione delle disposizioni del presente decreto non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni interessate provvedono ai conseguenti adempimenti con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente.   Art. 7 (N.C.) Norme finali 1. Il presente decreto e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana, limitatamente alle parti non assistite da classifica di segretezza. 2. Il presente decreto entra in vigore il quindicesimo giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Il presente decreto sara' inviato alla Corte dei conti per la registrazione. Roma 17 agosto 2018 Il Ministro: Salvini Registrato alla Corte dei conti il 20 settembre 2018 Ministero interno, registro n. 1/R, foglio n. 16