Archivio rubriche 2016

Garante per la protezione dei dati personali (3/2016)

Nel periodo di riferimento considerato (Luglio 2016-Settembre 2016), si registra l’approvazione di un solo provvedimento di carattere generale [1] da parte del Garante per la protezione dei dati personali (di seguito ‘Garante’), destinato a tutte le Procure della Repubblica e relativo al «differimento del termine di cui alla lettera a) del provvedimento del 25 giugno 2015, in materia di misure di sicurezza nelle attività di intercettazione da parte delle predette Procure» [2].
La pronuncia del Garante interviene nuovamente in materia di misure di sicurezza da adottare nel corso delle intercettazioni di conversazioni telefoniche o di comunicazioni, anche informatiche e telematiche, da parte delle Procure della Repubblica, e in particolare dei Centri Intercettazioni Telecomunicazioni (C.I.T.) e degli Uffici di polizia giudiziaria delegata all’attività di intercettazione.
Al riguardo, il provvedimento analizzato si inserisce in un quadro complesso, in cui l’Autorità di protezione dei dati personali si è pronunciata più volte nel corso degli anni.
Il riferimento è, in primo luogo, al provvedimento del 2013 [3], con il quale, anche facendo seguito delle indicazioni fornite in altri contesti [4], il Garante ha affrontato la «problematica dell’applicazione delle misure di sicurezza ai trattamenti dei dati personali svolti presso le Procure della Repubblica, anche tramite la polizia giudiziaria o soggetti terzi, nell’ambito delle attività di intercettazione telefonica o ambientale di conversazioni o comunicazioni, anche informatiche o telematiche, effettuate per ragioni di giustizia, nonché di controllo preventivo (artt. 266 e ss. c.p.p.; art. 226 disp. att. c.p.p.)» [5].
Con tale provvedimento sono state prescritte una serie di misure di sicurezza «da adottare, in particolare, al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali e di accessi non autorizzati alle informazioni» [6].
Si tratta di misure di sicurezza fisica e informatica dirette, in particolare, ai Centri Intercettazioni Telecomunicazioni, nonché in generale di accorgimenti da adottare nelle citate attività di ascolto (con o senza registrazione) da remoto e di misure di sicurezza informatica, anche relative ai sistemi di autenticazione e registrazione.
Per l’attuazione delle predette misure era stato fissato un termine di diciotto mesi, poi differito al 30 giugno 2015, anche considerando che le misure indicate nel provvedimento del Garante dipendono «dalla collaborazione delle competenti strutture del Ministero della giustizia, con riferimento alle pertinenti attribuzioni in tema di organizzazione e funzionamento dei servizi relativi alla giustizia», nonché dalla necessità di disporre di risorse idonee per «apportare le modificazioni e integrazioni indicate» [7].
Con un ulteriore provvedimento in materia, il Garante ha pertanto ritenuto – anche alla luce delle criticità applicative sopra evidenziate e dell’istituzione su iniziativa del Ministero della giustizia di un gruppo di lavoro volto «a coinvolgere i soggetti interessati per una valutazione congiunta dello stato di attuazione» delle misure prescritte – di «dover riconoscere priorità alle misure di tipo logico-informatico, caratterizzate da minor costo e massima resa», riservandosi di valutare «successivamente se l’attuazione di tali misure, e delle altre che siano poste in essere, anche alla luce dell’evoluzione tecnologica, consenta di superare le prescrizioni di tipo strutturale imposte con il provvedimento del 2013» [8].
Pertanto, alcune delle misure prescritte nel 2013 sono state sospese dal Garante «con riserva di rivalutarne la rilevanza alla luce delle iniziative che saranno state nel frattempo intraprese dal Ministero, nonché dell’assetto derivante dalla realizzazione delle [altre] misure» prescritte [9].
È stata poi nuovamente differita l’attuazione delle altre misure già prescritte 2013, relative alla sicurezza informatica [10].
Con riferimento a queste ultime, in ordine ai sistemi di autenticazione e autorizzazione, è stata confermata la necessità di designare gli operatori abilitati quali incaricati del trattamento ai sensi dell’art. 30 del Codice privacy. È stata confermata la prescrizione, fra l’altro, della necessità di consentire gli accessi ai sistemi «solo da postazioni preventivamente abilitate e censite, connesse a reti protette dotate di sistemi di protezione perimetrale (firewall)» e «tramite procedure di strong authentication», nonché dell’«attribuzione di utenze di amministratore di sistema a soggetti preventivamente individuati e designati secondo i criteri stabiliti dal Garante con i provvedimenti del 27 novembre 2008 e del 25 giugno 2009 » [11] [12].
Il Garante ha ritenuto, altresì, di confermare la prescrizione delle «Ulteriori misure di sicurezza informatica», quali la necessità di assicurare collegamenti telematici tra Procure della Repubblica e Uffici di polizia giudiziaria «ricorrendo a connessioni “punto-punto” di tipo dedicato oppure a collegamenti virtuali in rete di tipo VPN (Virtual Private Network), in modalità “LAN to LAN”, tra sedi previamente individuate e censite»; la possibilità di effettuare la duplicazione dei contenuti delle intercettazioni solo se indispensabili; l’«adozione di idonei accorgimenti al fine di impedire che i contenitori o i plichi utilizzati per il trasporto dei supporti stessi rechino indicazioni esteriori che possano consentire a soggetti non abilitati alla relativa conoscenza di individuare direttamente l’oggetto dell’intercettazione ed i soggetti intercettati»; l’«annotazione in registri informatici dell’esecuzione delle operazioni svolte nell’ambito delle intercettazioni; la conservazione in forma cifrata sia delle tracce foniche (e delle altre informazioni) che delle relative copie di sicurezza (backup) o ogni altra estrazione di dati (anche parziale); la «trasmissione dei supporti e della documentazione cartacea (quali le trascrizioni del contenuto delle intercettazioni) all’Autorità giudiziaria esclusivamente mediante personale di polizia giudiziaria»; la «designazione dei soggetti esterni all’Ufficio giudiziario e, in particolare, delle ditte operanti per conto delle Procure» quali responsabili del trattamento ai sensi dell’art. 29 del Codice privacy; la «cancellazione sicura, alla cessazione del rapporto contrattuale, dei contenuti registrati nei server e negli altri apparati delle società noleggiatrici esterne che forniscono la strumentazione hardware» [13].
Infine, con il più recente provvedimento del 28/7/2016, precedentemente ricordato, il Garante – a seguito dell’istruttoria avviata in materia e delle relazioni inviate dal Ministero della Giustizia circa lo stato di attuazione delle misure di sicurezza prescritte alle Procure – in considerazione del «sostanziale progresso nell’attuazione delle prescrizioni impartite dall’Autorità con riferimento ai trattamenti dei dati personali svolti presso le Procure della Repubblica», nonché della necessità «di consentire sia il perfezionamento delle misure di sicurezza poste in essere per ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali e di accessi non autorizzati alle informazioni; sia la realizzazione in corso della piattaforma informatizzata di monitoraggio delle misure attuative», ha ritenuto di «accogliere la richiesta di rivalutazione dei termini di adempimento delle misure prescritte» [14].
Pertanto, è stato differito al 30/10/2017 il termine previsto dal precedente provvedimento del 25/6/2015, per l’adempimento delle misure sopra descritte; chiedendo in ogni modo al Ministero della Giustizia di fornire un aggiornamento sulle misure che saranno adottate entro la predetta data, nonché «un cronoprogramma degli ulteriori adempimenti che si intendono porre in essere» [15].

[1] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. VIGGIANO, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy (url: https://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).
[2] Provvedimento n. 336 del 28/7/2016, in G.U. n. 203 del 31/8/2016 e in www.gpdp.it, doc. web n. 5385167.
[3] Provvedimento n. 356 del 18/7/2013, in G.U. n. 189 del 13/8/2013 e in www.gpdp.it, doc. web n. 2551507.
[4] Il riferimento è ai seguenti provvedimenti: del 15/12/2005 recante «Misure di sicurezza obbligatorie per le intercettazioni», in www.gpdp.it, doc. web n. 1203890; del 20/9/2006, recante «Intercettazioni: misure di sicurezza presso i gestori», ivi, doc. web n. 1341009; del 17/1/2008, recante «Sicurezza dei dati di traffico telefonico e telematico», in G.U. n. 30 del 5/2/2008 e in www.gpdp.it, doc. web n. 1482111; del 27/11/2008 recante «Attribuzione delle funzioni di amministratore di sistema», in G.U. n. 300 del 24/12/2008 e in www.gpdp.it, doc. web n. 1577499.
[5] Sul trattamento di dati personali per finalità di giustizia, cfr. art. 47, comma 2, del d. lgs. 30 giugno 2003, n. 196 recante il «Codice in materia di protezione dei dati personali» (d’ora in poi Codice privacy).
[6] Provvedimento del 18/7/2013, cit.
[7] Provvedimento n. 322 del 26/6/2014, recante «Differimento dei termini di adempimento delle prescrizioni di cui al provvedimento del 18 luglio 2013, in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica», in G.U. n. 149 del 30/6/2014 e in www.gpdp.it, doc. web n. 3235971.
[8] Cfr. provvedimento n. 375 del 25/6/2015, recante «Ulteriore differimento dei termini di adempimento delle prescrizioni di cui al provvedimento del 18 luglio 2013, in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica», in G.U. n. 162 del 15/7/2015 e in www.gpdp.it, doc. web n. 4120817.
[9] Ibidem.
[10] Ibidem.
[11] Provvedimenti del 27/11/2008, recante «Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema», in G.U. n. 300 del 24/12/2008 e in www.gpdp.it, doc. web n. 1577499; del 25 giugno 2009, recante «Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento», in G.U. n. 149 del 30/6/2009 e in www.gpdp.it, doc. web n. 1626595.
[12] Provvedimento del 25/6/2015, che richiama le misure prescritte nel citato provvedimento del 18/7/2013.
[13] Ibidem.
[14] Provvedimento del 28/7/2016, cit.
[15] Ibidem.

 

 

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633