Legislazione e Giurisprudenza, Generalità, varie -  Bianchi Deborah - 2013-09-04

GARANTE PRIVACY.STRETTA SULLE INTERCETTAZIONI- Deborah BIANCHI

Il Provvedimento del Garante Privacy in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica - 18 luglio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 189 del 13 agosto 2013) ha stabilito una stretta rigorosa nell'adozione di tutti gli accorgimenti possibili a tutela dei dati dei cittadini intercettati e comunque dei terzi estranei agli indagati che entrano in contatto con loro.

Il Provvedimento [doc. web n. 2551507] è stato adottato all'esito di una indagine conoscitiva avviata dall'Autorità lo scorso anno presso un campione di Procure della Repubblica di medie dimensioni (Bologna, Catanzaro, Perugia, Potenza e Venezia) allo scopo di valutare le misure tecnologiche e organizzative adottate negli Uffici giudiziari nell'attività di intercettazione di conversazioni telefoniche o di comunicazioni, anche informatiche e telematiche. Misure di sicurezza erano già state prescritte ai gestori di servizi di comunicazione elettronica che attivano la trasmissione dei dati relativi alle intercettazioni su richiesta dell'Autorità giudiziaria.

Dai riscontri ottenuti è emerso un quadro variegato e disomogeneo che ha posto l'esigenza di mettere  in campo interventi volti al rafforzamento del livello di sicurezza dei dati e dei sistemi usati per gestirli, nonché di estendere tali interventi alla generalità degli Uffici inquirenti, armonizzando le misure a protezione dei dati anche alla luce delle tecnologie in costante evoluzione nel campo delle comunicazioni elettroniche e dei possibili rischi legati all'uso degli strumenti informatici.

"La protezione delle informazioni personali raccolte e usate nello svolgimento delle intercettazioni riveste particolare importanza per gli effetti che un loro uso improprio può determinare sia riguardo alla dignità e ai diritti delle persone intercettate e di quelle che comunicano con esse, sia alla necessaria efficacia delle indagini" ha evidenziato Antonello Soro, Presidente dell'Autorità garante.

Il Garante ha dunque prescritto alle Procure una serie di stringenti misure da adottare entro 18 mesi dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le misure riguardano sia i Centri Intercettazioni Telecomunicazioni (C.I.T.) situati presso ogni Procura della Repubblica sia gli Uffici di polizia giudiziaria delegata all'attività di intercettazione.

Centri Intercettazioni Telecomunicazioni

Presso ogni Procura della Repubblica è costituita una struttura, denominata Centro Intercettazioni Telecomunicazioni (C.I.T.), ove si svolgono le varie attività connesse all'effettuazione delle intercettazioni. La struttura è costituita dai locali ove sono situate le postazioni di ascolto, unitamente agli apparati elettronici e informatici utilizzati per lo svolgimento dei servizi di intercettazione, tra cui: gli apparati su cui vengono indirizzate le telefonate e le altre forme di comunicazione intercettate per la loro registrazione e il loro successivo trattamento (oggi costituiti da server informatici su cui vengono registrati i flussi intercettati); i server tramite i quali vengono erogati i servizi per la gestione informatica e documentale delle intercettazioni (compilazione dei c.d. "brogliacci", trascrizione delle conversazioni, dati accessori); gli apparati per la generazione e conservazione di copie di sicurezza dei dati (backup).

Sono usualmente compresi nella struttura C.I.T. anche uffici tecnici e amministrativi ove vengono effettuate le operazioni di attivazione, proroga e chiusura delle attività di intercettazione e la c.d. "masterizzazione" o duplicazione dei dati acquisiti, nonché gli archivi fisici per la custodia e la conservazione dei supporti ottici o magnetici contenenti i dati acquisiti.

In relazione all'insieme di tali strutture e ai trattamenti di dati personali che vi vengono svolti il Garante richiama i titolari dei trattamenti al rispetto degli obblighi di sicurezza di cui all'art. 31 del Codice, valutando l'idoneità delle misure di sicurezza in essere e di quelle che potranno essere adottate alla luce di un'analisi dei rischi incombenti sui dati che funga da guida nello sviluppo di un sistema di gestione della sicurezza basato su metodologie standard.

Inoltre, il Garante ritiene necessario, per assicurare un più elevato  livello di sicurezza dei dati e dei sistemi, anticipare eventuali azioni adeguative della sicurezza che potranno essere intraprese dai titolari sulla base della richiamata analisi dei rischi, prescrivendo le seguenti misure tecniche e organizzative da adottare presso le Procure della Repubblica.

Sentiamo dalle disposizioni stesse del Garante quali sono le misure da adottare entro 18 mesi.

Provvedimento del Garante Privacy in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica - 18 luglio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 189 del 13 agosto 2013)

TUTTO CIO' PREMESSO IL GARANTE

a) ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive alle Procure della Repubblica di apportare le seguenti modificazioni e integrazioni alle misure di sicurezza adottate in relazione ai trattamenti di dati personali svolti, anche tramite la polizia giudiziaria o soggetti terzi, nell'ambito delle attività di intercettazione di conversazioni o comunicazioni, anche informatiche o telematiche, effettuate per ragioni di giustizia, ai sensi dell'art. 47, comma 2, del Codice, nonché di controllo preventivo (artt. 266 e ss. c.p.p.; art. 226 disp. att. c.p.p.), ferme restando eventuali diverse misure, già adottate dagli Uffici, che assicurino un livello di sicurezza di pari o maggiore efficacia:

1. Centri Intercettazioni Telecomunicazioni

In relazione alle strutture site presso le Procure della Repubblica ove si svolgono le varie attività connesse all'effettuazione delle intercettazioni (C.I.T.) prevedere:

1.a Misure di sicurezza fisica

- impianti per il rilevamento e l'estinzione di incendi, comprensivi di porte antincendio di accesso ai locali dotate di idonee serrature di sicurezza;

- misure di protezione e idonee serrature di sicurezza alle finestre dei locali che ne siano eventualmente dotati;

- strumenti per il monitoraggio dei locali adibiti ad attività di intercettazione e delle aree di ingresso, attraverso l'adozione di impianti di videosorveglianza a circuito chiuso con registrazione delle immagini, nel rispetto delle prescrizioni dettate dal Garante nel "Provvedimento in materia di videosorveglianza" dell'8 aprile 2010 (pubblicato in G.U. n. 99 del 29 aprile 2010, doc. web n. 1712680);

- accesso fisico alle sale di ascolto consentito, in alternativa, tramite l'utilizzo di badge  individuali e nominalmente assegnati, cui va associato un codice numerico individuale posto nell'esclusiva conoscenza dell'interessato, oppure attraverso strumenti elettronici che prevedano procedure di identificazione mediante l'utilizzo di dispositivi biometrici;

- accesso fisico ai locali ove sono collocati i server e gli archivi tramite l'utilizzo di dispositivi biometrici;

- registrazione automatica degli accessi ai locali effettuati tramite badge  o dispositivi biometrici;

- custodia in armadi ignifughi muniti di serratura di sicurezza dei supporti di memorizzazione removibili, qualora utilizzati per la registrazione dei contenuti delle intercettazioni e delle informazioni accessorie, della documentazione cartacea e dei registri concernenti le attività svolte nell'ambito delle intercettazioni, dall'inizio alla cessazione del trattamento;

- accesso ai locali per operazioni di manutenzione e interventi tecnici sulle apparecchiature, anche da parte di ditte esterne fornitrici degli apparati o erogatrici di servizi manutentivi, consentito solo a personale previamente autorizzato dalla Procura, identificato e registrato al momento dell'accesso e operante sotto il controllo di personale in servizio presso il C.I.T.; al personale tecnico in questione deve essere inibito l'accesso a dati, informazioni e documenti prodotti, se non nei limiti strettamente necessari al compimento degli interventi di manutenzione.

1.b  Misure di sicurezza informatica

- comunicazioni elettroniche tra l'Autorità giudiziaria e i gestori effettuate esclusivamente in modo cifrato con strumenti, anche di tipo on line  o web, che assicurino comunque l'identificazione delle parti comunicanti, l'integrità e la protezione dei dati, nonché la completezza e la correttezza delle informazioni temporali relative alle informazioni trasmesse (date ed orari di formazione dei documenti o della loro trasmissione e consegna);

- protezione dei documenti informatici trasferiti su supporti rimovibili con idonee tecniche crittografiche, ricorrendo preferibilmente ad algoritmi a chiave pubblica (come nel caso dell'uso di strumenti di firma digitale in funzione di cifratura), evitando comunque la trasmissione di chiavi simmetriche di cifratura in modo informale su canali insicuri;

- utilizzo nelle comunicazioni tra Autorità giudiziaria e gestori della posta elettronica Internet esclusivamente nella forma di posta elettronica certificata (Pec) di cui all'art. 48 del d.lg. 7 marzo 2005, n. 82, e del telefax esclusivamente nella forma di fax digitale "gruppo 4" (ISDN)  oppure di Fax over IP;

-trasmissione cifrata delle comunicazioni telematiche intercettate (flussi IP, posta elettronica) dal punto di loro estrazione dalla rete del gestore fino agli apparati riceventi presso i C.I.T..

Sia la trasmissione delle disposizioni ai gestori, sia la comunicazione dei risultati elaborati dai gestori, possono avvenire anche mediante consegna manuale della documentazione, da effettuarsi tramite soggetti delegati dall'Autorità giudiziaria, opportunamente designati quali incaricati o responsabili del trattamento, ove abbiano accesso ai dati.

2. Remotizzazione

2.a Attività di solo ascolto

In relazione alle strutture site presso gli Uffici di polizia giudiziaria, ove sono collocate solo le sale di ascolto, da designarsi quali responsabili del trattamento dei dati loro affidato, ai sensi dell'art. 29 del Codice prevedere:

- porte di accesso ai locali dotate di idonee serrature di sicurezza;

- misure di protezione e idonee serrature di sicurezza alle finestre dei locali che ne sono eventualmente dotati;

- monitoraggio dei locali e delle aree di ingresso, attraverso l'adozione di impianti di videosorveglianza a circuito chiuso con registrazione delle immagini, nel rispetto del citato provvedimento del Garante in materia di videosorveglianza;

- accesso fisico alle sale di ascolto consentito, in alternativa, tramite l'utilizzo di badge  individuali e nominalmente assegnati, cui va associato un codice numerico individuale posto nell'esclusiva conoscenza dell'interessato, oppure attraverso strumenti elettronici che prevedano procedure di identificazione mediante l'utilizzo di dispositivi biometrici;

- registrazione automatica degli accessi ai locali effettuati tramite badge o dispositivi biometrici;

- custodia in armadi ignifughi blindati della documentazione cartacea e dei registri concernenti le attività svolte nell'ambito delle intercettazioni;

- accesso ai locali per operazioni di manutenzione delle apparecchiature di ascolto consentito solo a personale previamente autorizzato, identificato e registrato al momento dell'accesso e affiancato da personale di polizia giudiziaria; al personale in questione deve essere inibito l'accesso a dati, informazioni e documenti prodotti, se non nei limiti strettamente necessari al compimento degli interventi di manutenzione.

2.b  Attività di ascolto e registrazione

In relazione alle strutture site presso gli Uffici di polizia giudiziaria, ove si svolgono anche attività di registrazione e/o custodia delle informazioni acquisite, da designarsi quali responsabili del trattamento dei dati loro affidato, ai sensi dell'art. 29 del Codice, oltre agli accorgimenti di cui al punto 2.a, prevedere:

- installazione di porte antincendio di accesso ai locali;

- installazione di impianti automatici di rilevamento dei fumi, estinzione e allarme antincendio;

- accesso ai locali consentito attraverso strumenti elettronici che prevedano procedure di identificazione mediante l'utilizzo di dispositivi biometrici;

- registrazione degli accessi ai locali effettuato attraverso l'utilizzo dei dispositivi biometrici;

- custodia in armadi ignifughi muniti di serratura di sicurezza dei supporti removibili contenenti i contenuti delle intercettazioni e i dati connessi, ove temporaneamente detenuti presso tali strutture.

3. Misure di sicurezza informatica

3.a Sistemi di autenticazione e autorizzazione

Ferme restando la designazione degli operatori abilitati quali incaricati del trattamento loro consentito, nonché l'adozione di sistemi di autenticazione informatica e di autorizzazione, prevedere:

- accessi ai sistemi consentiti solo da postazioni preventivamente abilitate e censite, connesse a reti protette dotate di sistemi di protezione perimetrale (firewall);

- accessi ai sistemi consentiti, sia per scopi di configurazione delle intercettazioni, che per ascolto o riascolto, ad operatori abilitati e autenticati tramite procedure di strong authentication, qualunque sia la modalità, locale o remota, con cui venga realizzato l'accesso al sistema di elaborazione utilizzato per il trattamento;

- applicazione della strong authentication anche agli addetti tecnici (amministratori di sistema, di rete, di data base) che possano materialmente accedere ai dati delle intercettazioni in ragione delle mansioni loro attribuite;

- attribuzione di utenze di amministratore di sistema a soggetti preventivamente individuati e designati secondo i criteri stabiliti dal Garante con i provvedimenti del 27 novembre 2008 e del 25 giugno 2009;

- immediato recepimento dei mutamenti di funzione e ruolo degli incaricati con conseguenti opportune variazioni dei relativi profili di autorizzazione.

3.b Ulteriori misure di sicurezza informatica

- collegamenti telematici tra Procure della Repubblica e Uffici di polizia giudiziaria realizzati ricorrendo a connessioni "punto-punto" di tipo dedicato oppure a collegamenti virtuali in rete di tipo VPN (Virtual Private Network), in modalità "LAN to LAN", tra sedi previamente individuate e censite;

- effettuazione delle operazioni di "masterizzazione" ed eventuale duplicazione dei contenuti delle intercettazioni solo quando strettamente indispensabili, da parte di personale specificamente abilitato;

- fermo restando il dettato dell'art. 89 disp. att. c.p.p. in ordine alla etichettatura dei supporti di memorizzazione delle intercettazioni, e in attesa dell'eventuale adeguamento delle disposizioni in materia di intercettazioni all'evoluzione degli strumenti tecnologici utilizzati in tale ambito, adozione di idonei accorgimenti al fine di impedire che i contenitori o i plichi utilizzati per il trasporto dei supporti stessi rechino indicazioni esteriori che possano consentire a soggetti non abilitati alla relativa conoscenza di individuare direttamente l'oggetto dell'intercettazione ed i soggetti intercettati (ricorrendo, ad esempio a codici identificativi conoscibili solo dai soggetti legittimati ovvero inserendo il predetto materiale in un secondo involucro privo di riferimenti);

- annotazione in registri informatici, con tecniche che ne assicurino la inalterabilità, con indicazione dei riferimenti temporali relativi alle attività svolte e al personale operante, dell'esecuzione delle operazioni (quali l'ascolto, la consultazione, registrazione, masterizzazione, archiviazione e duplicazione delle informazioni, la trascrizione delle intercettazioni, la manutenzione e la gestione dei sistemi, la distruzione dei supporti, dei verbali, delle registrazioni e di ogni altra documentazione attinente alle intercettazioni) svolte nell'ambito delle attività di intercettazione sia presso i C.I.T., sia presso gli Uffici di polizia giudiziaria delegati (artt. 266 e ss. c.p.p.; art. 226 disp. att. c.p.p.; d.m. 30 settembre 1989; d.m. 17 dicembre 1999);

- conservazione in forma cifrata, indipendentemente dal formato di registrazione, delle tracce foniche e delle altre informazioni, in modo da impedirne l'ascolto (nel caso delle tracce foniche) o la intelligibilità a soggetti non legittimati anche in caso di acquisizione fortuita o a seguito di guasti o interventi manutentivi sulle apparecchiature informatiche;

- conservazione in forma cifrata delle eventuali copie di sicurezza (backup) dei dati allo stesso modo di quanto previsto per i dati on line; ogni altra estrazione di dati, anche parziale, su qualsiasi tipo di supporto removibile deve essere assistita da procedure crittografiche per la protezione dei contenuti;

- trasmissione dei supporti e della documentazione cartacea (quali le trascrizioni del contenuto delle intercettazioni) all'Autorità giudiziaria esclusivamente mediante personale di polizia giudiziaria;

- designazione dei soggetti esterni all'Ufficio giudiziario e, in particolare, delle ditte operanti per conto delle Procure nell'ambito di appalti di fornitura di beni e di servizi informatici strumentali alla realizzazione delle intercettazioni o alla elaborazione delle informazioni intercettate, quali responsabili del trattamento ai sensi dell'art. 29 del Codice, ponendo particolare attenzione all'individuazione da parte del titolare dei profili di autorizzazione degli incaricati e delle misure di sicurezza, nonché al controllo periodico sull'operato del responsabile esterno;

- cancellazione sicura, alla cessazione del rapporto contrattuale, dei contenuti registrati nei server e negli altri apparati delle società noleggiatrici esterne che forniscono la strumentazione hardware;

b) ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive alle Procure della Repubblica di adottare le predette misure entro il termine di diciotto mesi, decorrente dalla pubblicazione del presente provvedimento sulla Gazzetta Ufficiale della Repubblica italiana, fornendo riscontro all'Autorità circa la loro completa adozione entro il predetto termine;

c) ai sensi del medesimo articolo, prescrive alle Procure della Repubblica di riferire all'Autorità, entro la data del 30 giugno 2014, sullo stato di avanzamento dell'attuazione di dette misure;

d) dispone che copia del presente provvedimento venga inviata al Ministero della giustizia, segnalando la necessità di fornire alle Procure della Repubblica le risorse idonee a consentire a detti Uffici di apportare le modificazioni e integrazioni indicate nel presente provvedimento volte a rafforzare la sicurezza nel trattamento dei dati personali e dei sistemi nell'ambito delle attività di intercettazione;

e) dispone che copia del presente provvedimento venga inviata al Consiglio superiore della magistratura, per ogni opportuna conoscenza in relazione alle relative attribuzioni, nonché per l'adozione di ogni iniziativa ritenuta idonea a favorire la  massima diffusione presso gli Uffici giudiziari interessati;

f) dispone di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggi e decreti copia del presente provvedimento per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 18 luglio 2013

IL PRESIDENTE

Soro



Autore

immagine A3M

Visite, contatti P&D

Nel mese di agosto 2020 Persona & Danno ha registrato oltre 241.000 visite.

Articoli correlati