Garante per la protezione
    dei dati personali


Comunicato Stampa

INTERCETTAZIONI: IL GARANTE PRIVACYALLE PROCURE, SERVE MAGGIORE SICUREZZA

IlGarante per la protezione dei dati personali ha prescritto alle Procure dellaRepubblica misure e accorgimenti per incrementare la sicurezza dei datipersonali raccolti e usati nello svolgimento delle intercettazioni.

Ilprovvedimento è stato adottato all'esitodi una indagine conoscitiva avviata dall'Autorità lo scorso anno presso uncampione di Procure della Repubblica di medie dimensioni (Bologna, Catanzaro,Perugia, Potenza e Venezia) allo scopo di valutare le misure tecnologiche eorganizzative adottate negli Uffici giudiziari nell'attività di intercettazionedi conversazioni telefoniche o di comunicazioni, anche informatiche etelematiche. Misure di sicurezza erano già state prescritte ai gestori diservizi di comunicazione elettronica che attivano la trasmissione dei datirelativi alle intercettazioni su richiesta dell'Autorità giudiziaria.

Dairiscontri ottenuti è emerso un quadro variegato e disomogeneo che ha postol'esigenza di mettere  in campo interventi volti al rafforzamento dellivello di sicurezza dei dati e dei sistemi usati per gestirli, nonché diestendere tali interventi alla generalità degli Uffici inquirenti, armonizzandole misure a protezione dei dati anche alla luce delle tecnologie in costanteevoluzione nel campo delle comunicazioni elettroniche e dei possibili rischilegati all'uso degli strumenti informatici.

"La protezione delle informazioni personali raccolte eusate nello svolgimento delle intercettazioni riveste particolare importanzaper gli effetti che un loro uso improprio può determinare sia riguardo alladignità e ai diritti delle persone intercettate e di quelle che comunicano conesse, sia alla necessaria efficacia delle indagini"sottolinea Antonello Soro, Presidente dell'Autorità garante.

IlGarante ha dunque prescritto alle Procure una serie di stringenti misure daadottare entro 18 mesi dalla pubblicazione del provvedimento sulla GazzettaUfficiale. Le misure riguardano sia i Centri Intercettazioni Telecomunicazioni(C.I.T.) situati presso ogni Procura della Repubblica sia gli Uffici di poliziagiudiziaria delegata all'attività di intercettazione.

Misure di sicurezza fisica

Nellesale d'ascolto delle Procure, nei locali dove vengono custoditi i server per laregistrazione dei flussi telefonici o telematici intercettati  e in quelliin cui sono installati i terminali per la ricezione di questi flussi, l'accessosarà possibile solo tramite badge individuali nominalmente assegnati (cui vaassociato un codice numerico a conoscenza solo dell'interessato) o dispositivibiometrici. Gli accessi dovranno essere tracciati. Il personale tecnico adibitoalle operazioni di manutenzione o a interventi tecnici dovrà essere previamenteautorizzato dalla Procura. Al personale tecnico dovrà comunque essereconsentito l'accesso solo a dati, informazioni e documenti strettamentenecessari al compimento degli interventi di manutenzione. Dovrà essere previstal'adozione di impianti di videosorveglianza a circuito chiuso.

Misure di sicurezza informatica

L'accessodi ciascun operatore, compresi gli amministratori di sistema, ai sistemi e aiserver utilizzati nelle attività di intercettazione dovrà avvenire solo dapostazioni abilitate ed effettuato da operatori autenticati tramite procedurerafforzate. Le postazioni dovranno essere connesse a reti protette confirewall.

Tuttele operazioni svolte nell'ambito delle attività di intercettazione (qualiascolto, consultazione, registrazione, duplicazione e archiviazione delleinformazioni, trascrizione delle intercettazioni, manutenzione dei sistemi,distruzione delle registrazioni e dei supporti) dovranno essere annotate inregistri informatici con tecniche che ne assicurino la inalterabilità.

Lamasterizzazione e l'eventuale duplicazione dei contenuti delle intercettazionidovranno essere effettuate solo se indispensabili e solo da personaleabilitato. Le registrazioni trasferite su supporti rimovibili es. cd, dovrannoessere protette con tecniche crittografiche.  I contenitori o i plichiutilizzati per il trasporto dei supporti non dovranno recare indicazioni checonsentano ad estranei di individuare l'oggetto dell'intercettazione.

Latrasmissione all'Autorità giudiziaria dei supporti e della documentazionecartacea, quali le trascrizioni del contenuto delle intercettazioni, dovràavvenire esclusivamente mediante personale di polizia giudiziaria.

Letracce foniche, le altre informazioni acquisite e le eventuali copie disicurezza (backup) dovranno essere conservate in forma cifrata. Ogni estrazionedi dati dovrà essere effettuata con procedure crittografiche.

Loscambio di dati tra Autorità giudiziaria e gestori di servizi Internet dovràavvenire attraverso sistemi basati su protocolli di rete sicuri e in modocifrato. Anche la trasmissione delle comunicazioni telematiche intercettate(flussi di indirizzi Ip, posta elettronica) dal punto di estrazione dalla retedel gestore fino agli apparati riceventi presso i C.I.T. dovrà essere cifrata.

Remotizzazione degli ascolti

Incaso di ricorso alla cosiddetta "remotizzazione" - cioè alreindirizzamento dei flussi delle comunicazioni oggetto di intercettazione daicentri presso le Procure verso gli Uffici di polizia giudiziaria delegata - le misure fisiche e informatiche da adottare nei locali di ascolto eregistrazione delle intercettazioni dovranno essere le stesse prescritte per i C.I.T.

Icollegamenti tra le Procure e gli Uffici di polizia giudiziaria dovranno essererealizzati con connessioni "punto-punto" dedicate o con collegamentiin rete protetti (tipo Vpn).

IlGarante ha segnalato, infine, al Ministero della giustizia la necessità difornire alle Procure della Repubblica le risorse idonee a dare attuazione aquanto prescritto nel provvedimento.

"Il provvedimento - conclude Soro - rientra nelquadro di una più generale azione di messa in sicurezza dei dati personali deicittadini che il Garante sta portando avanti nei confronti di tutte leamministrazioni pubbliche".

Roma,  24 luglio 2013