Garante per la protezione
    dei dati personali


Parere in materia di accesso da parte delle forze di polizia e dell'autorità giudiziaria tramite il Centro elaborazione dati (C.e.d.) del Ministero dell'Interno ai dati di telefonia fissa e mobile attraverso il sistema informatico Elenco Telefonico Nazionale (E.T.Na.)

PROVVEDIMENTO DEL 15 MAGGIO 2014

Registro dei provvedimenti
 n. 244 del 15 maggio 2014

 IL GARANTE PER LA PROTEZIONE DEIDATI PERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa  Giovanna Bianchi Clerici, componenti e del dott. GiuseppeBusia, segretario generale;

Vistala richiesta di parere del Ministero dell'interno-Dipartimento della pubblicasicurezza;

Vistoil Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003,n. 196), in particolare l'art. 54;

Esaminatala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

IlMinistero dell'interno-Dipartimento della pubblica sicurezza ha chiesto ilparere del Garante in ordine a uno schema di Convenzione, e agli Allegati chene costituiscono parte integrante, da stipularsi tra il Ministero e i gestoridi servizi di telecomunicazioni (d'ora in avanti gestori) avente a oggettol'accesso da parte delle forze di polizia e dell'autorità giudiziaria, tramiteil Centro elaborazione dati (C.e.d.) del Dipartimento, ai dati in possesso deigestori riguardanti i servizi di telefonia fissa e mobile, attraversol'utilizzo dello specifico sistema informatico denominato Elenco TelefonicoNazionale (E.T.Na.).

Ilparere è richiesto ai sensi dell'art. 54, comma 1, del Codice nella parte incui prevede la stipula da parte del Ministero dell'interno, previo parereconforme del Garante, di convenzioni-tipo volte ad agevolare la consultazionedi pubblici registri, elenchi, schedari e banche di dati da parte di autoritàdi pubblica sicurezza e di forze di polizia nei casi in cui esse possonoacquisire da altri soggetti informazioni, atti e documenti, in conformità avigenti disposizioni di legge o di regolamento, anche per via telematica.

Ilparere è reso tenendo conto delle informazioni e degli elementi forniti dalMinistero, che ha fornito piena collaborazione, e si riferisce a una versioneaggiornata dello schema di Convenzione e degli Allegati redatti all'esito degliapprofondimenti svolti con l'Autorità, che hanno permesso di chiarire especificare alcuni aspetti della Convenzione.

Inparticolare, è stata riformulata nell'art. 1 la definizione di "datopersonale" tra le informazioni cui è possibile accedere, tenuto contodelle modifiche introdotte all'art. 4 del Codice dall'art. 40, comma 2, deld.l. 6 dicembre 2011, n. 201 (convertito dalla legge 22 dicembre 2011, n. 214),che ha sottratto dall'ambito di applicazione della disciplina in materia diprotezione dei dati personali le persone giuridiche, enti e associazioni.

Sonostati univocamente individuati negli artt. 2, comma 3 e 5, comma 2, mediante ilriferimento alla analitica elencazione contenuta nell'Allegato B allaConvenzione, i dati in possesso dei gestori a cui la Convenzione rendepossibile l'accesso, e sono stati meglio dettagliati i compiti dei supervisorilocali e degli amministratori locali (art. 8, comma 1).

E'stato inoltre introdotto l'obbligo per i gestori di fornire al C.e.d. strumentivolti a consentire al Centro il monitoraggio e il controllo delle operazionieffettuate dagli utenti (art. 7, comma 4).

OSSERVA

1. La base normativa

Lalegge 1 aprile 1981, n. 129 stabilisce che tra i compiti affidati alDipartimento della pubblica sicurezza del Ministero dell'interno vi è quello di"classificazione, analisi e valutazione delle informazioni e dei dati chedevono essere forniti anche dalle forze di polizia in materia di tuteladell'ordine, della sicurezza pubblica e di prevenzione e repressione dellacriminalità e loro diramazione agli organi operativi delle suddette forze dipolizia" (art. 6, comma 1, lett. a).

Atal fine con la stessa legge è stato istituito il C.e.d., con lo scopo diraccogliere, elaborare, classificare e conservare i dati e comunicarli aisoggetti autorizzati indicati nell'art. 9 (art. 8, commi 1 e 2), tra cui gliufficiali ed agenti di polizia giudiziaria e l'autorità giudiziaria "aifini degli accertamenti necessari per i procedimenti in corso e nei limitistabiliti dal codice di procedura penale" (art. 9, commi 1 e 2 ).

Intale quadro, sono state introdotte specifiche disposizioni che consentonol'accesso delle forze di polizia e dell'autorità giudiziaria, attraverso ilC.e.d., ai dati in possesso dei gestori di servizi di telecomunicazioni, perfinalità di giustizia.

Ild. lg. 1 agosto 2003, n. 259 (Codice delle comunicazioni elettroniche)prescrive che ogni impresa che fornisce servizi di comunicazione elettronicaaccessibili al pubblico, ivi comprese le comunicazioni di telefonia fissa emobile, è tenuta a rendere disponibili, anche per via telematica, al C.e.d."gli elenchi di tutti i propri abbonati e di tutti gli acquirenti deltraffico prepagato della telefonia mobile", imponendo alle imprese diadottare tutte le misure necessarie a garantire l'acquisizione di alcuni dati(anagrafici e dei documenti di identità acquisiti in copia) anche in favoredell'autorità giudiziaria, per fini di giustizia.

Lalegge 26 marzo 2001, n. 128 prevede, altresì, che il C.e.d. può attivareconnessioni con altri centri di elaborazione dati al fine di assicurare, alpersonale autorizzato e a fini investigativi, l'accesso "ai soli daticontrattuali utili per la completa identificazione dei titolari di rapporti conenti e società di gestione di pubblici servizi e per la conoscenza di datiessenziali sulla tipologia di servizio prestato".

L'art.55 del codice di procedura penale, infine, prevede, in linea generale, che lapolizia giudiziaria, oltre che svolgere "ogni indagine e attività dispostao delegata dall'autorità giudiziaria" (comma 2), deve, "anche dipropria iniziativa, prendere notizia dei reati, impedire che vengano portati a conseguenzeulteriori, ricercarne gli autori, compiere gli atti necessari per assicurare lefonti di prova e raccogliere quant'altro possa servire per l'applicazione dellalegge penale" (comma 1).

2. La Convenzione

2.1.Intestazione e Allegato B

Nell'intestazioneè detto che la Convenzione viene stipulata per l'accesso telematico ai dati"ed alle informazioni" riguardanti i servizi di telefonia fissa emobile.

Anchel'Allegato B fa riferimento a dati "e informazioni" consultabili.

Nonsi comprende il riferimento alle "informazioni", quale categoriaulteriore e distinta dai dati, che non viene citata nel testo e della quale nonviene riportata la definizione nell'art. 1.

Sirende quindi necessario eliminare questo riferimento dall'intestazione edall'Allegato B. 

2.2.Tipologie di dati e finalità dell'accesso

LaConvenzione nell'art. 2 individua specificamente le tipologie di datiaccessibili attraverso il sistema informatico E.T.Na., rinviando all'AllegatoB, che costituisce parte integrante della Convenzione, per l'analiticaelencazione dei dati consultabili, precisando che il sistema costituiscel'unico punto di accesso alle banche dati dei gestori da parte dell'autoritàgiudiziaria e delle forze di polizia.

Alriguardo, si ritiene, peraltro, necessario rafforzare tale ultima previsione,ribadendo nello stesso art. 2 che contestualmente all'entrata in funzione delsistema E.T.Na. verranno dismessi tutti i canali telematici di accesso aisuddetti dati in possesso dei gestori, alternativi a quello previsto dallaConvenzione tramite il C.e.d. e il sistema E.T.Na.

L'accessoai dati viene espressamente limitato all'espletamento delle attivitàinvestigative dell'autorità giudiziaria e, quanto alle forze di polizia, delleattività di polizia giudiziaria di cui all'art. 55 c.p.p., effettuate nelrispetto delle condizioni e dei limiti  posti dalle disposizioni chedisciplinano tali attività (art. 4).

2.3.Utenti abilitati all'accesso

Possonoaccedere alla banca dati gli utenti cui sono attribuiti specifici profili diabilitazione (art. 6), che vengono sottoposti a verifica dal C.e.d. ognisessanta giorni (art. 10, comma 1), e credenziali di autenticazione personali(art. 11, comma 5).

Riguardoalle credenziali di autenticazione, risulta peraltro indeterminato il richiamooperato nell'art. 11, comma 5, nella lettera b), primo pallino, terzo tratto,alle "adeguate condizioni di robustezza" che le stesse dovrebberogarantire.

Alfine di meglio individuare le caratteristiche di robustezza delle credenzialiche verranno adottate, si ritiene quindi opportuno modificare il citato terzotratto nel modo che segue:

-"sono costituite da una coppia username/password, o da credenziali chegarantiscano almeno analoghe condizioni di robustezza; qualora le credenzialisiano costituite da una coppia username/password, sono previste politiche digestione della password che definiscano almeno i seguenti criteri: ();".

Gliutenti sono individuati, per le forze di polizia, negli operatori con qualificadi ufficiale o agente di polizia giudiziaria, per l'autorità giudiziaria, neisoggetti indicati dai capi degli uffici giudiziari che espletano attivitàinvestigativa (v. Allegato A, rispettivamente pag. 6 e pag. 9).

IlC.e.d. adotta procedure di registrazione che prevedono il riconoscimentodiretto e l'identificazione certa dell'utente (art. 11, comma 5).

L'accessoè consentito esclusivamente dalle postazioni di lavoro certificate delle forzedi polizia e dell'autorità giudiziaria; al fine di consentire il controllodegli accessi ai dati, il C.e.d. rilascia agli utenti codici identificativipersonali (art. 5, comma 1).

NellaConvenzione vengono specificati gli obblighi a carico degli utenti diutilizzare le informazioni acquisite per le sole finalità di cui all'art. 4, edi osservare la normativa del Codice in tema di rispetto dei principi di pertinenzanel trattamento delle informazioni e di osservanza delle necessarie misure disicurezza (art. 11, commi 1 e 2).

E'posto l'obbligo per il C.e.d. di impartire al personale abilitato direttiverelative alle responsabilità connesse all'accesso improprio ai dati, all'usoillegittimo delle informazioni e alla loro indebita divulgazione, comunicazionee cessione a terzi (art. 11, comma 4).

Sonostati, inoltre, previsti specifici divieti a carico del C.e.d., e ilcorrelativo obbligo per il Centro di impartire direttive al riguardo agliutenti, in materia di duplicazione delle informazioni acquisite per lacreazione di autonome banche dati e di utilizzo di dispositivi automatici(robot) che consentono la consultazione in forma massiva dei dati personali(art. 12).   

2.4.Sicurezza nel flusso dei dati

L'art.11, comma 5 specifica che il C.e.d. adotta "meccanismi crittografici dirobustezza almeno equivalente a quella offerta dal protocollo SSL con RSA a1024 bit e 3 DES" per proteggere le procedure di autenticazione dalrischio di intercettazione delle credenziali.

Comegià rilevato, l'accesso ai dati è consentito esclusivamente dalle postazioni dilavoro certificate delle forze di polizia e dell'autorità giudiziaria (art. 5,comma 1).

Nell'Allegatotecnico A, che costituisce parte integrante della Convenzione (art. 3), vienespecificato che il collegamento tra le postazioni di lavoro delle forze dipolizia e dell'autorità giudiziaria avverrà, per le prime, attraverso la retededicata del Ministero dell'interno, per le seconde, attraverso la rete SPCdedicata alle pubbliche amministrazioni (pag. 3).

Ilcollegamento con i gestori prevede un canale sicuro idoneo a garantirel'autenticazione, ovvero l'identità delle parti, la riservatezza, ovvero lasegretezza delle comunicazioni, l'integrità, ovvero la non modificabilità delloro contenuto, e il loro non ripudio, ovvero l'impossibilità di negare l'invioe la ricezione del messaggio da parte rispettivamente del mittente e deldestinatario (pagg. 3 / 4).

Inparticolare, nell'architettura di rete sarà implementata una VPN (VirtualPrivate Network) che stabilirà un canale di comunicazione sicuro con ciascungestore attraverso la rete internet garantendo un elevato standard di sicurezzadella comunicazione tramite l'adozione dei protocolli IPSec (Internet ProtocolSecurity). Elevati standard di scurezza verranno assicurati per il livelloapplicativo mediante l'adozione del protocollo HTTPS (HTTP con protocollosicuro SSL v3) (pag. 4 / 5).

2.5Tracciamento degli accessi e delle operazioni effettuate

IlC.e.d. e i gestori provvedono al tracciamento degli accessi ai dati, checonsente di verificare le operazioni eseguite da ciascun utente (art. 13). Gliutenti sono informati di tali attività di tracciamento (art. 6).

2.6 Reportisticae sistemi di alert

LaConvenzione prevede l'obbligo per i gestori di fornire al C.e.d. strumentiidonei a  consentire al Centro – ad esempio, attraverso unareportistica mensile – di effettuare il monitoraggio e, conseguentemente,il controllo, anche a campione, delle operazioni svolte dagli utenti (art. 7,comma 4).

IlC.e.d. sottopone l'accesso ai dati dei gestori mediante il sistema E.T.Na. aisistemi per il monitoraggio degli accessi e di alert su anomalia in uso alCentro. I risultati dell'attività di monitoraggio e di alert sono residisponibili per trenta giorni ai supervisori locali attraverso un'applicazioneaccessibile attraverso il portale del C.e.d.. I supervisori ricevono dal C.e.d.istruzioni per la tempestiva verifica degli alert (art. 8, commi 2, 3 e 4).

2.7 Responsabili della Convenzione e modalità di modifica dellastessa

Loschema di Convenzione stabilisce nell'art. 9 che ciascuna parte individua lefigure dei responsabili della corretta applicazione e delle attività digestione della medesima (cfr. anche art. 1, lett. g), h), i) e j)),giuridicamente preposti, rispettivamente, alla gestione dei rapporti e dellecomunicazioni tra le parti, e all'avvio e alla gestione operativa del serviziodi accesso ai dati. Lo schema indica inoltre la necessità della consultazionedel Garante nell'ipotesi di modifiche o integrazioni alla Convenzione (art.15).

3. Osservazioni

L'accessoda parte dell'autorità giudiziaria e delle forze di polizia ai dati in possessodei gestori, tenuto conto della tipologia delle informazioni conservate,risulta conforme alla normativa richiamata nella premessa della Convenzione epertinente alle attività investigative dell'autorità giudiziaria e alleindagini di polizia giudiziaria di cui all'art. 55 c.p.p..

Ledisposizioni contenute nella Convenzione, sopra riportate, non presentanoparticolari profili di criticità in rapporto al rispetto della disciplina inmateria di protezione dei dati personali, ivi compreso il profilo dellasicurezza.
Come sopra evidenziato, si rende, peraltro, necessario:

-eliminare il riferimento alle "informazioni" dall'intestazione dellaConvenzione e dall'Allegato B che ne costituisce parte integrante;

-aggiungere nell'art. 2 che contestualmente all'entrata in funzione del sistemaE.T.Na. verranno dismessi tutti i canali telematici di accesso ai dati inpossesso dei gestori, alternativi a quello previsto dalla Convenzione tramiteil C.e.d. e il sistema E.T.Na.;

- conriguardo alle credenziali di autenticazione, modificare l'art. 11, comma 5,lettera b), primo pallino, terzo tratto nel modo che segue:

"sonocostituite da una coppia username/password, o da credenziali che garantiscanoalmeno analoghe condizioni di robustezza; qualora le credenziali sianocostituite da una coppia username/password, sono previste politiche di gestionedella password che definiscano almeno i seguenti criteri: ();".

TUTTO CIO' PREMESSO IL GARANTE

esprime,ai sensi dell'art. 54 del Codice, parere favorevole sullo schema diConvenzione, e degli Allegati che ne costituiscono parte integrante, dastipularsi fra il Ministero dell'interno-Dipartimento della pubblica sicurezzae i gestori di servizi di telecomunicazioni avente a oggetto l'accesso da partedelle forze di polizia e dell'autorità giudiziaria, tramite il Centroelaborazione dati del Dipartimento, ai dati in possesso dei gestori, indicatinell'Allegato B alla Convenzione, riguardanti i servizi di telefonia fissa emobile, attraverso l'utilizzo del sistema informatico denominato Elencotelefonico nazionale (E.T.Na.), a condizione che:

a) vengaeliminato il riferimento alle "informazioni" dall'intestazione dellaConvenzione e dall'Allegato B che ne costituisce parte integrante;

b)nell'art. 2 venga aggiunto che contestualmente all'entrata in funzione delsistema E.T.Na. verranno dismessi tutti i canali telematici di accesso ai datiin possesso dei gestori, alternativi a quello previsto dalla Convenzionetramite il C.e.d. e il sistema E.T.Na.;

c) conriguardo alle credenziali di autenticazione, venga modificato l'art. 11, comma5, lettera b), primo pallino, terzo tratto nel modo che segue:

"sonocostituite da una coppia username/password, o da credenziali che garantiscanoalmeno analoghe condizioni di robustezza; qualora le credenziali sianocostituite da una coppia username/password, sono previste politiche di gestionedella password che definiscano almeno i seguenti criteri: ();".

Roma, 15 maggio 2014

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia