Il Garante chiede accessi selettivi alla banca dati del VIS e controlli periodici. Il Garante ha approvato lo schema di decreto interministeriale per l’attuazione del Sistema di Informazione Visti (VIS) con il quale si rende operativo, sulla base di una Decisione del Consiglio dell’UE, lo scambio di dati relativi alle domande di visto tra gli Stati membri. Lo schema di decreto designa il Garante per la protezione dati quale Autorità di controllo nazionale sul sistema VIS.
Il Sistema di Informazione Visti si compone di un Sistema di informazione centrale (CS-VIS) che comunica con punti di collegamento presenti in ciascuno degli Stati membri (N-VIS presso il Ministero degli Esteri e I-VIS presso il Ministero dell’Interno). I flussi informativi tra il CS-VIS e i soggetti che necessitano di poter disporre dei dati (ministeri competenti, Polizia di Stato, Polizia di frontiera) vengono realizzati attraverso un sistema denominato FEVIS. Nel data base VIS sono contenuti, in particolare, i dati personali dei soggetti che fanno richiesta di rilascio del visto (sia alfanumerici, sia biometrici, come volto e impronte) e le annotazioni concernenti il visto richiesto e le operazioni eseguite.
Il Sistema di Informazione Visti ha anche la funzione di facilitare i controlli ai valichi di frontiera, di agevolare l’iter delle domande d’asilo presentate da cittadini di Paesi terzi, di concorrere alla prevenzione di minacce alla sicurezza degli Stati membri.
Nel dare parere favorevole sullo schema di decreto, l’Autorità ha invitato il Ministero ad adottare alcune specifiche misure a tutela delle persone. Il Ministero degli Affari Esteri dovrà innanzitutto assicurarsi che regole e procedure di ingresso al sistema siano tali da consentire l’accesso selettivo ai soli dati pertinenti e necessari, limitando a casi specifici la possibilità di conservazione.
L’Autorità ha inoltre raccomandato alle Amministrazioni interessate di attribuire al sistema FEVIS un ruolo di semplice interfaccia, escludendo ogni forma di memorizzazione locale dei dati in transito, garantendo che la consultazione dei relativi log sia svolta da un numero ristretto di incaricati e che la loro conservazione sia priva di riferimenti ai dati personali raccolti. Periodiche attività di auditing interne dovranno essere svolte sugli accessi anche al fine di isolare anomalie di funzionamento. Lo stesso Garante effettuerà verifiche con cadenza annuale. I report svolti sulle attività VIS dovranno avere carattere statistico e contenere dati nella sola forma aggregata.
