Allegato B 2. LABORATORIO CENTRALE DELLA BANCA DATI NAZIONALE DEL DNA 2.1 Infrastruttura generale del sistema informativo Il Laboratorio centrale e' dotato dei seguenti sistemi: - sistema informativo denominato LIMS per la gestione dei dati e del flusso di lavoro a cui e' sottoposto il campione biologico nel laboratorio centrale; - sistema informativo per la gestione della conservazione dei campioni biologici e degli elettroferogrammi. Il LIMS permette di gestire il flusso di lavoro a cui e' sottoposto il campione biologico, a partire dall'accettazione e conservazione fino alla sua tipizzazione del DNA in laboratorio. Il sistema informativo per la gestione della conservazione dei campioni biologici permette di conservare i campioni, a temperatura ambiente, in armadi accessibili mediante badge e dotati di sistema di archiviazione basato sull'identificazione degli oggetti anche mediante radio frequenza. Entrambi i predetti sistemi non prevedono interconnessioni con i sistemi informativi della BDN-DNA. L'infrastruttura tecnologica del Laboratorio centrale e' organizzata con sistemi ad alta affidabilita', sistemi di autenticazione forte e firewall. Il Laboratorio centrale e' collegato con il Dipartimento dell'Amministrazione Penitenziaria e con la BDN-DNA esclusivamente per le finalita' di inserimento dei profili del DNA e per le operazioni di accettazione del campione biologico. Il Laboratorio centrale utilizza il Sistema Pubblico di Connettivita' (SPC) per accedere alla BDN-DNA. I canali di comunicazione sono soggetti a controllo di firewall alle due estremita'. La Figura 2 illustra l'architettura IT del sistema informativo del Laboratorio centrale e la parte dell'architettura del sistema informativo della BDN-DNA relativa ai servizi offerti alle articolazioni del Dipartimento dell'Amministrazione Penitenziaria che effettuano il prelievo di campioni biologici. Parte di provvedimento in formato grafico Il Dipartimento dell'Amministrazione Penitenziaria ha la responsabilita' della sicurezza della rete geografica di riferimento e condivide con il S.S.I.I. le scelte tecniche e le configurazioni delle interconnessioni. 2.2 Funzionalita' del laboratorio centrale e responsabilita' del personale Il Laboratorio centrale, ai sensi dell'articolo 8 della legge n. 85 del 2009, svolge le attivita' di seguito elencate: a) tipizzazione del profilo del DNA dei soggetti di cui all'articolo 9, commi 1 e 2, della legge n. 85 del 2009 al fine dell'inserimento per via telematica nella BDN-DNA; b) conservazione dell'elettroferogramma relativo al profilo del DNA ottenuto a seguito di tipizzazione del campione biologico; c) distruzione dell'elettroferogramma a seguito della cancellazione del profilo del DNA dalla BDN-DNA; d) conservazione del campione biologico dal quale e' stato tipizzato il profilo del DNA; e) distruzione del campione biologico secondo i tempi stabiliti dal dagli articoli 24, 29, 30, 31 e 32 del Regolamento. Titolare del trattamento dei dati del Laboratorio centrale, ai sensi dell'articolo 27, comma 1, del Regolamento, e' il Ministero della giustizia - Dipartimento dell'Amministrazione Penitenziaria. Responsabile del trattamento dei dati del Laboratorio centrale, ai sensi dell'articolo 27, comma 2, del Regolamento, e' il Direttore dell'Ufficio del Laboratorio centrale. Il trattamento riguarda: - i dati registrati nel LIMS del Laboratorio centrale; - gli elettroferogrammi conservati presso il Laboratorio centrale; - i campioni biologici conservati presso il Laboratorio centrale; - i campioni biologici e i profili del DNA del personale che accede al laboratorio ai fini del controllo sulla correttezza del dato inserito nella BDN-DNA. Il Direttore dell'Ufficio del Laboratorio centrale assicura l'organizzazione ed il funzionamento del Laboratorio centrale; identifica i metodi accreditati e le procedure tecniche idonee per la tipizzazione del DNA, nonche' le procedure adottate per la conservazione e distruzione dei campioni biologici; individua l'amministratore/i di sistema; individua i corsi di formazione specifici per il personale del Laboratorio ai sensi del decreto legislativo 9 aprile 2008, n. 81; predispone il piano della sicurezza ed il manuale della qualita' del Laboratorio. Il Direttore dell'Ufficio del Laboratorio centrale e' responsabile della valutazione dei rischi sul lavoro, direttamente o tramite individuazione di una figura professionale idonea alla valutazione, nonche' della gestione del personale assegnato. Incaricati del trattamento dei dati registrati nel LIMS, degli elettroferogrammi e dei campioni biologici conservati presso il Laboratorio centrale sono gli operatori in servizio presso il Laboratorio centrale. Tali incaricati sono designati, ai sensi dell'articolo 30 del Codice, in base alla documentata preposizione al Laboratorio centrale. L'ambito del trattamento consentito e' individuato per iscritto dal Direttore dell'Ufficio del Laboratorio centrale, in qualita' di Responsabile del trattamento, in relazione alle attivita' svolte dalle unita' organizzative di appartenenza. Gli incaricati del trattamento, ai sensi dell'articolo 30 del Codice, operano sotto la diretta autorita' del Titolare del trattamento (Dipartimento dell'Amministrazione Penitenziaria) e del Responsabile del trattamento (Direttore dell'Ufficio del Laboratorio centrale), attenendosi alle direttive e alle istruzioni dagli stessi impartite. Il Direttore dell'Ufficio del Laboratorio centrale controlla che gli operatori gerarchicamente dipendenti osservino le disposizioni in materia di trattamento e rispettino le direttive e le istruzioni impartite, anche sotto il profilo relativo alla sicurezza. A tal fine, svolge verifiche periodiche, anche a campione, sulle operazioni di trattamento effettuate dagli operatori gerarchicamente dipendenti. 2.3 Misure di sicurezza del Laboratorio Centrale per la Banca Dati Nazionale del DNA 2.3.1 Livelli di sicurezza o di garanzia nell'autenticazione informatica del Laboratorio Centrale per la Banca Dati Nazionale del DNA Il Laboratorio centrale, per le attivita' di accettazione del campione biologico, si avvale dell'applicativo per la tracciabilita' dei campioni biologici messo a disposizione dalla BDN-DNA attraverso il portale per lo scambio dati - IXP con livello di sicurezza 1, cosi' come definito nell'allegato A. L'accesso ai servizi offerti dalla BDN-DNA che ne permettono l'alimentazione dei profili del DNA avviene attraverso il portale per lo scambio dati - IXP e con livello di sicurezza 2. L'accesso al sistema LIMS e al sistema informativo per la gestione della conservazione del campioni biologici e degli elettroferogrammi avviene con livello di sicurezza 2, definito nell'allegato A. L'accesso agli armadi adibiti alla conservazione dei campioni biologici e degli elettroferogrammi e' possibile solo attraverso le postazioni di lavoro presenti nei locali che custodiscono gli armadi. L'accesso alle postazioni avviene con livello di sicurezza 2. Dalle suddette postazioni si accede al sistema informativo per la gestione della conservazione dei campioni biologici e degli elettroferogrammi che gestisce l'apertura degli armadi e l'ubicazione del campione biologico. L'apertura effettiva degli armadi e' inoltre subordinata all'uso di badge specifici. Il Direttore dell'Ufficio del Laboratorio centrale (Responsabile del trattamento) dispone il prelievo dei campioni biologici e la tipizzazione del DNA del personale autorizzato ad accedere al Laboratorio. Il prelievo dei campioni biologici e l'estrazione dei profili del DNA del personale autorizzato ad accedere al Laboratorio centrale sono finalizzati a ridurre il rischio di contaminazione da parte del predetto personale. Il campione biologico, il profilo del DNA e l'elettroferogramma riferiti al predetto personale, sono associati a codici identificativi univoci generati dal sistema LIMS del Laboratorio centrale e non contengono informazioni che consentono l'identificazione diretta del soggetto cui sono riferiti e sono custoditi in apposito armadio sottoposto alle stesse misure di sicurezza indicate nel precedente capoverso. Una volta tipizzato il profilo del DNA, il campione biologico e l'elettroferogramma sono immediatamente distrutti e dell'operazione e' redatto verbale. Il profilo del DNA e' memorizzato, per il tempo definito dal rapporto di lavoro che consente al predetto personale di accedere al Laboratorio, con uno specifico dispositivo dell'applicativo software utilizzato per l'interpretazione del profilo del DNA. L'operatore del Laboratorio che effettua le analisi dei campioni biologici prima di inserire il profilo del DNA in banca dati confronta i profili analizzati con quelli del personale sopra indicato mediante tale dispositivo. 2.3.2 Rilascio e gestione delle credenziali di autenticazione per l'accesso e profili di autorizzazione Il rilascio delle credenziali di autenticazione agli incaricati del trattamento e' preceduto da un periodo di formazione. Il Direttore dell'Ufficio del Laboratorio centrale, verificato che l'operatore dipendente ha completato il periodo di formazione, dispone per iscritto al competente focal point il rilascio delle credenziali di autenticazione per l'accesso al sistema LIMS o al sistema informativo per la gestione della conservazione dei campioni biologici e degli elettroferogrammi, coerentemente con l'ambito di trattamento consentito (profilo di autorizzazione). Ogni incaricato del trattamento che accede ai suddetti sistemi e' identificato tramite un codice univoco ed e' abilitato allo svolgimento delle funzioni applicative di competenza dell'unita' organizzativa cui e' preposto, con un profilo di autorizzazione coerente con l'ambito del trattamento consentito. In caso di variazione delle condizioni che hanno consentito il rilascio delle credenziali di autenticazione, in particolare quando l'incaricato cessa o e' sospeso dal servizio, oppure e' preposto, anche temporaneamente, ad altra unita' organizzativa, il Direttore dell'Ufficio del Laboratorio centrale (Responsabile del trattamento), dispone la disattivazione delle credenziali al focal point di competenza. Si procede ad analoga disposizione e tempestiva comunicazione nel caso in cui all'incaricato sia modificato l'ambito di trattamento consentito, ai fini della variazione del profilo di autorizzazione del medesimo. Il sistema procede automaticamente alla disattivazione delle credenziali di autenticazione nel caso in cui siano trascorsi 90 giorni dall'ultimo accesso alla postazione di lavoro (PdL). Per il ripristino sara' necessario che il Direttore dell'Ufficio del Laboratorio centrale disponga al focal point di competenza una nuova autorizzazione. L'utenza e' cancellata automaticamente dopo 180 giorni dall'ultimo accesso alla postazione di lavoro. Il Direttore dell'Ufficio del Laboratorio centrale, almeno con frequenza trimestrale, svolge verifiche riguardo alla sussistenza dei presupposti per il rilascio delle credenziali di autenticazione o di attribuzione di un determinato profilo. Tali verifiche sono svolte anche con l'ausilio di apposite applicazioni software. 2.3.3 Audit log delle operazioni per finalita' di verifica della liceita' dei trattamenti Gli accessi alla postazione di lavoro adibita all'uso del sistema LIMS sono memorizzati in appositi registri degli accessi e delle operazioni (file di log). La registrazione, in particolare, contiene il codice identificativo dell'utente che ha effettuato l'accesso e il riferimento temporale ed e' conservata per venti anni ai sensi dell'articolo 4, comma 5, del Regolamento. Le operazioni di trattamento dei dati contenuti nel sistema LIMS in uso al Laboratorio centrale sono memorizzati in appositi registri degli accessi e delle operazioni (file di log). La registrazione, in particolare, contiene il codice identificativo dell'utente che ha effettuato l'accesso, le operazioni eseguite e i loro riferimenti temporali ed e' conservata per dieci anni ai sensi dell'articolo 4, comma 5, del Regolamento. Gli accessi ai locali ove sono custoditi gli armadi adibiti alla conservazione dei campioni biologici e degli elettroferogrammi sono memorizzati in appositi registri degli accessi e delle operazioni (file di log). La registrazione, in particolare, contiene il codice identificativo dell'utente che ha effettuato l'accesso, e il riferimento temporale ed e' conservata per dieci anni. Gli accessi alla postazione di lavoro presente all'interno dei locali adibita al controllo degli armadi sono memorizzati in appositi registri degli accessi e delle operazioni (file di log). La registrazione, in particolare, contiene il codice identificativo dell'utente che ha effettuato l'accesso, e il riferimento temporale ed e' conservata per dieci anni. Gli accessi alla postazione di lavoro adibita all'interpretazione dei profili del DNA sono memorizzati in appositi registri degli accessi e delle operazioni (file di log). La registrazione, in particolare, contiene il codice identificativo dell'utente che ha effettuato l'accesso, e il riferimento temporale ed e' conservata per dieci anni. Gli accessi effettuati dall'incaricato avente funzioni di amministratore di sistema , ad eccezione degli accessi relativi all'infrastruttura hardware, sono registrati in appositi registri degli accessi e delle operazioni (file di log). La registrazione, in particolare, contiene il codice identificativo dell'utente che ha effettuato l'accesso ed il riferimento temporale di tali accessi, ed e' conservata per dieci anni. Il Laboratorio centrale adotta un sistema che acquisisce i dati degli accessi e delle operazioni registrati e prodotti dall'applicazione LIMS, li arricchisce calcolando un codice di controllo, applicandolo su ciascun record. Le informazioni cosi' ottenute sono memorizzate su una nuova base dati dedicata alla loro conservazione (confidenzialita', integrita' e disponibilita' dei dati). In fase di consultazione dei file di log, la verifica del codice di controllo sui singoli record consentira' di evidenziare eventuali manipolazioni dei dati tracciati (integrita' dei dati). I file di log sono utilizzati ai soli fini della verifica della liceita' del trattamento, dell'autocontrollo, per garantire l'integrita' e la sicurezza dei dati personali e nell'ambito di procedimenti penali. Il Responsabile del trattamento mette a disposizione del Garante e dell'Autorita' Giudiziaria i file di log richiesti. 2.3.4 Misure fisiche L'area ove e' situata la struttura del Laboratorio centrale - comprensiva dei locali uffici e servizi e dei locali laboratori - nonche' l'area esterna, di pertinenza del Laboratorio centrale, e' ricavata all'interno del perimetro del cosiddetto "Polo logistico di Roma Rebibbia". L'accesso alla struttura e all'area pertinenziale e' vigilato da personale del Corpo di Polizia Penitenziaria, anche attraverso sistemi di videosorveglianza ed antintrusione. L'ingresso al Laboratorio centrale e' consentito al personale ivi in servizio, nonche' ai visitatori e agli appartenenti alle Forze di polizia, solo previa autorizzazione del Direttore dell'Ufficio del Laboratorio centrale. L'accesso all'edificio ove ha sede il Laboratorio centrale e' consentito solo a seguito di identificazione personale e previo controllo del rilascio delle autorizzazioni a cura del personale del Corpo di Polizia Penitenziaria addetto al servizio di vigilanza. Per l'accesso ai locali adibiti a laboratori e ai locali adibiti ad ospitare l'infrastruttura hardware e software e' ulteriormente necessaria l'identificazione personale mediante l'utilizzo di caratteristiche biometriche. I dati personali relativi all'identificazione di coloro che accedono sono trattati per finalita' di sicurezza, nel rispetto delle disposizioni previste dal decreto legislativo n. 196 del 2003. Le modalita' di trattamento e gli strumenti utilizzati, ivi compreso il profilo della sicurezza e quello dei termini di conservazione dei dati, sono determinati con provvedimento, sulla base della normativa vigente in materia. 2.3.5 Misure logiche I servizi forniti dal sistema LIMS e dal sistema informativo per la gestione della conservazione dei campioni biologici sono separati e risiedono in zone di sicurezza protette tramite firewall. 2.3.6 Misure per l'alta affidabilita' e il backup Al fine di assicurare la continuita' di funzionamento dei servizi piu' critici e per cautelarsi dagli effetti derivanti da situazioni di crisi sono state previste risorse hardware e software ridondate ed e' stato definito una procedura di backup del LIMS che prevede il salvataggio dei dati su appositi supporti custoditi in armadi che consentono di salvaguardare i dati da pericoli fisici, quali incendi, allagamenti, furti, onde magnetiche ed esplosioni.