| Garante per la protezione dei dati personali Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica PROVVEDIMENTO DEL 18 LUGLIO 2013
Registro dei provvedimenti n. 356 del 18 luglio 2013 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; VISTEle disposizioni del Codice in materia di protezione dei dati personali (d.lg.30 giugno 2003, n. 196, di seguito "Codice") concernenti l'adozionedelle misure di sicurezza (artt. 31 e 33 – 35, e Disciplinare tecnico dicui all'Allegato B) al Codice); VISTEle disposizioni del Codice riguardanti il trattamento dei dati personali inambito giudiziario (artt. 46 e ss.); VISTIi provvedimenti del Garante recanti "Misure di sicurezza obbligatorie perle intercettazioni" del 15 dicembre 2005 e "Intercettazioni: misuredi sicurezza presso i gestori" del 20 settembre 2006, con cui sono stati prescritti ai gestori di servizidi comunicazione elettronica misure e accorgimenti specificamente volti adadeguare i livelli di sicurezza nel trattamento e nella trasmissione dei datirelativi alle intercettazioni telefoniche e telematiche che gli stessi gestorisono tenuti ad attivare su richiesta dell'Autorità giudiziaria; VISTOil provvedimento del Garante sulla "Sicurezza dei dati di trafficotelefonico e telematico" del 17 gennaio 2008, con cui sono stati prescritti ai gestori di servizidi comunicazione elettronica misure e accorgimenti volti a incrementare ilivelli di sicurezza nel trattamento e nella trasmissione dei dati di trafficotelefonico e telematico svolto ai sensi dell'art. 132 del Codice per finalitàdi accertamento e repressione dei reati da parte dell'Autorità giudiziaria; VISTOil provvedimento del Garante riguardante l'"Attribuzione delle funzioni diamministratore di sistema" del 27 novembre 2008, con cui sono stati prescritti ai titolari ditrattamento con strumenti elettronici misure e accorgimenti di carattere organizzativoe tecnico relativi alla designazione degli "amministratori disistema" di sistemi informativi e impianti informatici; RILEVATOche ai trattamenti di dati personali effettuati anche per ragioni di giustizia(art. 47, comma 2, del Codice) presso gli Uffici giudiziari, di ogni ordine egrado, si applicano le disposizioni del Codice che prevedono specifichegaranzie in materia di protezione dei dati per quanto riguarda le misure disicurezza da adottare, in particolare, al fine di ridurre al minimo i rischi didistruzione o perdita, anche accidentale, dei dati personali e di accessi nonautorizzati alle informazioni; RITENUTOche, nel quadro dello svolgimento dei compiti previsti dal Codice, conprovvedimento del 13 settembre 2012 il Garante ha deliberato di prendere inesame la problematica dell'applicazione delle misure di sicurezza aitrattamenti dei dati personali svolti presso le Procure della Repubblica, anchetramite la polizia giudiziaria o soggetti terzi, nell'ambito delle attività diintercettazione telefonica o ambientale di conversazioni o comunicazioni, ancheinformatiche o telematiche, effettuate per ragioni di giustizia, nonché dicontrollo preventivo (artt. 266 e ss. c.p.p.; art. 226 disp. att. c.p.p.), temagià affrontato dal Garante con i richiamati provvedimenti rivolti ai soligestori di servizi di comunicazione elettronica; RILEVATOche, a tal fine, l'Autorità ha deliberato di inoltrare una richiesta diinformazioni a cura dell'Ufficio volta ad acquisire da alcune Procure elementi conoscitiviutili; DATOATTO che con detto provvedimento tali Uffici sono stati individuati in alcuneProcure della Repubblica di medie dimensioni, dislocate in diverse aree delterritorio nazionale e che hanno sede presso capoluoghi di regione e, in particolare,nelle Procure della Repubblica presso i Tribunali di Bologna, Catanzaro,Perugia, Potenza e Venezia; VISTAla documentazione in atti e, in particolare, le richieste di informazioniinoltrate a dette Procure a cura dell'Ufficio e i riscontri trasmessi dagliUffici giudiziari, che hanno fornito piena collaborazione; CONSIDERATOche da detti riscontri è emerso un quadro sufficientemente ampio ed esaurientedelle modalità e delle procedure attraverso cui detti Uffici acquisiscono egestiscono le informazioni raccolte attraverso le attività di intercettazione,e delle misure che ciascuna Procura adotta per la protezione dei dati personalie dei sistemi utilizzati per gestirli; RILEVATO,peraltro, che da detti riscontri è emerso un quadro variegato e disomogeneo dimisure, di natura fisica ed informatica, adottate dagli Uffici a protezionedelle informazioni personali e dei sistemi; UDITOil Capo del Dipartimento dell'organizzazione giudiziaria, del personale e deiservizi del Ministero della giustizia che ha illustrato le caratteristiche delprogetto della gara unica per la fornitura di servizi di noleggio di apparati edi supporto informatico per le esigenze delle Procure della Repubblica connessealla gestione delle intercettazioni; RITENUTOche la sicurezza dei dati personali e dei sistemi in questione, per latipologia delle informazioni trattate e delle finalità perseguite, rivesteparticolare importanza e delicatezza per gli effetti che tali informazionipossono esplicare sia riguardo alla dignità e ai diritti delle personesottoposte a intercettazione e di quelle che comunicano con esse, sia allanecessaria efficacia delle indagini giudiziarie nel cui ambito leintercettazioni vengono compiute; CONSIDERATOquindi che, come già deliberato in relazione ai trattamenti di dati personalieffettuati presso alcuni Uffici giudiziari, la documentazione e le informazioniacquisite hanno evidenziato l'esigenza di realizzare alcuni interventi volti adassicurare un rafforzamento del livello di protezione dei dati personalitrattati e dei sistemi utilizzati, commisurato alla indicata tipologia delleinformazioni detenute; RITENUTO,altresì, che l'evoluzione tecnologica nel campo delle comunicazionielettroniche e gli aggravati scenari di rischio connessi all'elaborazioneinformatica dei dati personali richiedono di armonizzare e specificaremaggiormente le misure di sicurezza di quei trattamenti svolti presso gliUffici giudiziari e relativi all'acquisizione e alla successiva elaborazione didati personali prodotti dai gestori di servizi di comunicazione elettronica; CONSIDERATO,quindi, che appare necessario estendere l'adozione di tali interventi allageneralità degli Uffici inquirenti, anche al fine di assicurare una tendenzialeomogeneità delle misure e degli accorgimenti volti alla tutela dei datipersonali e dei sistemi, ferme restando eventuali diverse misure, già adottatedagli Uffici, che assicurino un livello di sicurezza di pari o maggioreefficacia; RITENUTOche, tenuto conto della menzionata evoluzione tecnologica nel campo dellecomunicazioni elettroniche e dell'informatica, anche al fine di contenere icosti derivanti dalla realizzazione delle misure di sicurezza specie di naturafisica, nulla osta, nell'ottica della protezione dei dati personali e deisistemi, all'eventuale accorpamento di più apparati tecnologici utilizzati dadiversi Uffici di Procura per la gestione delle attività connesse alleintercettazioni; RILEVATOche il Garante ha il compito anche per gli Uffici giudiziari di prescrivere al titolare del trattamento di dati personali le necessarie modificazioni eintegrazioni, che il destinatario è tenuto ad adottare; rilevato che il Garantedeve, altresì, verificare l'attuazione delle misure indicate, anche attraversole particolari forme e modalità previste dall'art. 160 del Codice; RILEVATA,quindi, la necessità di prescrivere misure e accorgimenti volti alrafforzamento della sicurezza nel trattamento dei dati personali e dei sisteminell'attività di intercettazione di conversazioni o comunicazioni elettroniche,anche informatiche o telematiche, nonché di controllo preventivo, svolta pressole Procure della Repubblica nei termini di seguito individuati. Pressoogni Procura della Repubblica è costituita una struttura, denominata CentroIntercettazioni Telecomunicazioni (C.I.T.), ove si svolgono le varie attivitàconnesse all'effettuazione delle intercettazioni. La struttura è costituita dailocali ove sono situate le postazioni di ascolto, unitamente agli apparatielettronici e informatici utilizzati per lo svolgimento dei servizi diintercettazione, tra cui: gli apparati su cui vengono indirizzate le telefonatee le altre forme di comunicazione intercettate per la loro registrazione e illoro successivo trattamento (oggi costituiti da server informatici su cuivengono registrati i flussi intercettati); i server tramite i quali vengonoerogati i servizi per la gestione informatica e documentale delleintercettazioni (compilazione dei c.d. "brogliacci", trascrizionedelle conversazioni, dati accessori); gli apparati per la generazione econservazione di copie di sicurezza dei dati (backup). Sonousualmente compresi nella struttura C.I.T. anche uffici tecnici eamministrativi ove vengono effettuate le operazioni di attivazione, proroga echiusura delle attività di intercettazione e la c.d."masterizzazione" o duplicazione dei dati acquisiti, nonché gliarchivi fisici per la custodia e la conservazione dei supporti ottici o magneticicontenenti i dati acquisiti. Inrelazione all'insieme di tali strutture e ai trattamenti di dati personali chevi vengono svolti il Garante richiama i titolari dei trattamenti al rispettodegli obblighi di sicurezza di cui all'art. 31 del Codice, valutando l'idoneitàdelle misure di sicurezza in essere e di quelle che potranno essere adottatealla luce di un'analisi dei rischi incombenti sui dati che funga da guida nellosviluppo di un sistema di gestione della sicurezza basato su metodologiestandard. Inoltre,il Garante ritiene necessario, per assicurare un più elevato livello disicurezza dei dati e dei sistemi, anticipare eventuali azioni adeguative dellasicurezza che potranno essere intraprese dai titolari sulla base dellarichiamata analisi dei rischi, prescrivendo le seguenti misure tecniche eorganizzative da adottare presso le Procure della Repubblica. 1.a Misure di sicurezza fisica Ilocali in cui viene effettuata la registrazione delle conversazioni telefonicheo ambientali intercettate, o di dati digitali anche a carattere audiovisivoderivanti da forme più avanzate di intercettazione ambientale o telematica,nonché i locali in cui sono installati gli apparati terminali connessi allarete pubblica di comunicazione per la ricezione dei flussi telefonici otelematici intercettati, devono essere protetti con misure di sicurezza dicarattere fisico e organizzativo quantomeno contro i rischi di accesso abusivoe contro quelli derivanti da altri fattori suscettibili di incidere sullaintegrità e disponibilità dei dati personali. Atali scopi, devono essere previsti: -impianti per il rilevamento e l'estinzione di incendi, comprensivi di porteantincendio di accesso ai locali dotate di idonee serrature di sicurezza; -misure di protezione e idonee serrature di sicurezza alle finestre dei localiche ne siano eventualmente dotati; -strumenti per il monitoraggio dei locali adibiti ad attività di intercettazionee delle aree di ingresso, attraverso l'adozione di impianti divideosorveglianza a circuito chiuso, ivi incluse le sale di ascolto, conregistrazione delle immagini, nel rispetto delle prescrizioni dettate dalGarante nel "Provvedimento in materia di videosorveglianza" dell'27 novembre 2008 e con il provvedimento del 8 aprile 2010 (pubblicato in G.U. n. 99del 29 aprile 2010); -accesso fisico alle sale di ascolto consentito, in alternativa, tramitel'utilizzo di badge individuali e nominalmente assegnati, cui vaassociato un codice numerico individuale posto nell'esclusiva conoscenzadell'interessato, oppure attraverso strumenti elettronici che prevedanoprocedure di identificazione mediante l'utilizzo di dispositivi biometrici; -accesso fisico ai locali ove sono collocati i server e gli archivi tramitel'utilizzo di dispositivi biometrici; -registrazione automatica degli accessi ai locali effettuati tramite badge o dispositivi biometrici; -custodia in armadi ignifughi muniti di serratura di sicurezza dei supporti dimemorizzazione removibili, qualora utilizzati per la registrazione deicontenuti delle intercettazioni e delle informazioni accessorie, delladocumentazione cartacea e dei registri concernenti le attività svoltenell'ambito delle intercettazioni, dall'inizio alla cessazione del trattamento; -accesso ai locali per operazioni di manutenzione e interventi tecnici sulleapparecchiature, anche da parte di ditte esterne fornitrici degli apparati oerogatrici di servizi manutentivi, consentito solo a personale previamenteautorizzato dalla Procura, identificato e registrato al momento dell'accesso eoperante sotto il controllo di personale in servizio presso il C.I.T.; alpersonale tecnico in questione deve essere inibito l'accesso a dati,informazioni e documenti prodotti, se non nei limiti strettamente necessari alcompimento degli interventi di manutenzione. -comunicazioni elettroniche tra l'Autorità giudiziaria e i gestori effettuateesclusivamente in modo cifrato con strumenti, anche di tipo on line oweb, che assicurino comunque l'identificazione delle parti comunicanti,l'integrità e la protezione dei dati, nonché la completezza e la correttezzadelle informazioni temporali relative alle informazioni trasmesse (date edorari di formazione dei documenti o della loro trasmissione e consegna); -protezione dei documenti informatici trasferiti su supporti rimovibili conidonee tecniche crittografiche, ricorrendo preferibilmente ad algoritmi achiave pubblica (come nel caso dell'uso di strumenti di firma digitale infunzione di cifratura), evitando comunque la trasmissione di chiavi simmetrichedi cifratura in modo informale su canali insicuri; -utilizzo nelle comunicazioni tra Autorità giudiziaria e gestori della postaelettronica Internet esclusivamente nella forma di posta elettronica certificata(Pec) di cui all'art. 48 del d.lg. 7 marzo 2005, n. 82, e del telefaxesclusivamente nella forma di fax digitale "gruppo 4" (ISDN) oppure di Fax over IP; -trasmissione cifrata delle comunicazioni telematiche intercettate (flussi IP,posta elettronica) dal punto di loro estrazione dalla rete del gestore finoagli apparati riceventi presso i C.I.T.. Siala trasmissione delle disposizioni ai gestori, sia la comunicazione deirisultati elaborati dai gestori, possono avvenire anche mediante consegnamanuale della documentazione, da effettuarsi tramite soggetti delegatidall'Autorità giudiziaria, opportunamente designati quali incaricati oresponsabili del trattamento, ove abbiano accesso ai dati. Inrelazione alle strutture site presso gli Uffici di polizia giudiziaria, ovesono collocate solo le sale di ascolto, da designarsi quali responsabili deltrattamento dei dati loro affidato, ai sensi dell'art. 29 del Codice prevedere: -porte di accesso ai locali dotate di idonee serrature di sicurezza; -misure di protezione e idonee serrature di sicurezza alle finestre dei localiche ne sono eventualmente dotati; -monitoraggio dei locali e delle aree di ingresso, attraverso l'adozione diimpianti di videosorveglianza a circuito chiuso con registrazione delleimmagini, nel rispetto del citato provvedimento del Garante in materia divideosorveglianza; -accesso fisico alle sale di ascolto consentito, in alternativa, tramitel'utilizzo di badge individuali e nominalmente assegnati, cui vaassociato un codice numerico individuale posto nell'esclusiva conoscenzadell'interessato, oppure attraverso strumenti elettronici che prevedanoprocedure di identificazione mediante l'utilizzo di dispositivi biometrici; -registrazione automatica degli accessi ai locali effettuati tramite badge odispositivi biometrici; -custodia in armadi ignifughi blindati della documentazione cartacea e deiregistri concernenti le attività svolte nell'ambito delle intercettazioni; -accesso ai locali per operazioni di manutenzione delle apparecchiature diascolto consentito solo a personale previamente autorizzato, identificato eregistrato al momento dell'accesso e affiancato da personale di poliziagiudiziaria; al personale in questione deve essere inibito l'accesso a dati,informazioni e documenti prodotti, se non nei limiti strettamente necessari alcompimento degli interventi di manutenzione. Inrelazione alle strutture site presso gli Uffici di polizia giudiziaria, ove sisvolgono anche attività di registrazione e/o custodia delle informazioniacquisite, da designarsi quali responsabili del trattamento dei dati loroaffidato, ai sensi dell'art. 29 del Codice, oltre agli accorgimenti di cui alpunto 2.a, prevedere: -installazione di porte antincendio di accesso ai locali; -installazione di impianti automatici di rilevamento dei fumi, estinzione eallarme antincendio; -accesso ai locali consentito attraverso strumenti elettronici che prevedanoprocedure di identificazione mediante l'utilizzo di dispositivi biometrici; -registrazione degli accessi ai locali effettuato attraverso l'utilizzo deidispositivi biometrici; -custodia in armadi ignifughi muniti di serratura di sicurezza dei supportiremovibili contenenti i contenuti delle intercettazioni e i dati connessi, ovetemporaneamente detenuti presso tali strutture. Fermerestando la designazione degli operatori abilitati quali incaricati deltrattamento loro consentito, nonché l'adozione di sistemi di autenticazioneinformatica e di autorizzazione, prevedere: -accessi ai sistemi consentiti solo da postazioni preventivamente abilitate ecensite, connesse a reti protette dotate di sistemi di protezione perimetrale(firewall); -accessi ai sistemi consentiti, sia per scopi di configurazione delleintercettazioni, che per ascolto o riascolto, ad operatori abilitati eautenticati tramite procedure di strong authentication, qualunque sia lamodalità, locale o remota, con cui venga realizzato l'accesso al sistema dielaborazione utilizzato per il trattamento; -applicazione della strong authentication anche agli addetti tecnici(amministratori di sistema, di rete, di data base) che possano materialmenteaccedere ai dati delle intercettazioni in ragione delle mansioni loroattribuite; -attribuzione di utenze di amministratore di sistema a soggetti preventivamenteindividuati e designati secondo i criteri stabiliti dal Garante con iprovvedimenti del 27 novembre 2008 e del 25 giugno 2009; -immediato recepimento dei mutamenti di funzione e ruolo degli incaricati conconseguenti opportune variazioni dei relativi profili di autorizzazione. -collegamenti telematici tra Procure della Repubblica e Uffici di poliziagiudiziaria realizzati ricorrendo a connessioni "punto-punto" di tipodedicato oppure a collegamenti virtuali in rete di tipo VPN (Virtual PrivateNetwork), in modalità "LAN to LAN", tra sedi previamente individuatee censite; -effettuazione delle operazioni di "masterizzazione" ed eventualeduplicazione dei contenuti delle intercettazioni solo quando strettamenteindispensabili, da parte di personale specificamente abilitato; -fermo restando il dettato dell'art. 89 disp. att. c.p.p. in ordine allaetichettatura dei supporti di memorizzazione delle intercettazioni, e in attesadell'eventuale adeguamento delle disposizioni in materia di intercettazioniall'evoluzione degli strumenti tecnologici utilizzati in tale ambito, adozionedi idonei accorgimenti al fine di impedire che i contenitori o i plichiutilizzati per il trasporto dei supporti stessi rechino indicazioni esterioriche possano consentire a soggetti non abilitati alla relativa conoscenza diindividuare direttamente l'oggetto dell'intercettazione ed i soggettiintercettati (ricorrendo, ad esempio a codici identificativi conoscibili solodai soggetti legittimati ovvero inserendo il predetto materiale in un secondoinvolucro privo di riferimenti); -annotazione in registri informatici, con tecniche che ne assicurino lainalterabilità, con indicazione dei riferimenti temporali relativi alle attivitàsvolte e al personale operante, dell'esecuzione delle operazioni (qualil'ascolto, la consultazione, registrazione, masterizzazione, archiviazione eduplicazione delle informazioni, la trascrizione delle intercettazioni, lamanutenzione e la gestione dei sistemi, la distruzione dei supporti, deiverbali, delle registrazioni e di ogni altra documentazione attinente alleintercettazioni) svolte nell'ambito delle attività di intercettazione siapresso i C.I.T., sia presso gli Uffici di polizia giudiziaria delegati (artt.266 e ss. c.p.p.; art. 226 disp. att. c.p.p.; d.m. 30 settembre 1989; d.m. 17dicembre 1999); -conservazione in forma cifrata, indipendentemente dal formato di registrazione,delle tracce foniche e delle altre informazioni, in modo da impedirne l'ascolto(nel caso delle tracce foniche) o la intelligibilità a soggetti non legittimatianche in caso di acquisizione fortuita o a seguito di guasti o interventimanutentivi sulle apparecchiature informatiche; -conservazione in forma cifrata delle eventuali copie di sicurezza (backup) deidati allo stesso modo di quanto previsto per i dati on line; ogni altraestrazione di dati, anche parziale, su qualsiasi tipo di supporto removibiledeve essere assistita da procedure crittografiche per la protezione deicontenuti; -trasmissione dei supporti e della documentazione cartacea (quali letrascrizioni del contenuto delle intercettazioni) all'Autorità giudiziariaesclusivamente mediante personale di polizia giudiziaria; -designazione dei soggetti esterni all'Ufficio giudiziario e, in particolare,delle ditte operanti per conto delle Procure nell'ambito di appalti difornitura di beni e di servizi informatici strumentali alla realizzazione delleintercettazioni o alla elaborazione delle informazioni intercettate, qualiresponsabili del trattamento ai sensi dell'art. 29 del Codice, ponendoparticolare attenzione all'individuazione da parte del titolare dei profili diautorizzazione degli incaricati e delle misure di sicurezza, nonché al controlloperiodico sull'operato del responsabile esterno; -cancellazione sicura, alla cessazione del rapporto contrattuale, dei contenutiregistrati nei server e negli altri apparati delle società noleggiatriciesterne che forniscono la strumentazione hardware; b)ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive alle Procuredella Repubblica di adottare le predette misure entro il termine di diciottomesi, decorrente dalla pubblicazione del presente provvedimento sulla GazzettaUfficiale della Repubblica italiana, fornendo riscontro all'Autorità circa laloro completa adozione entro il predetto termine; c)ai sensi del medesimo articolo, prescrive alle Procure della Repubblica diriferire all'Autorità, entro la data del 30 giugno 2014, sullo stato diavanzamento dell'attuazione di dette misure; d)dispone che copia del presente provvedimento venga inviata al Ministero dellagiustizia, segnalando la necessità di fornire alle Procure della Repubblica lerisorse idonee a consentire a detti Uffici di apportare le modificazioni eintegrazioni indicate nel presente provvedimento volte a rafforzare lasicurezza nel trattamento dei dati personali e dei sistemi nell'ambito delleattività di intercettazione; e)dispone che copia del presente provvedimento venga inviata al Consigliosuperiore della magistratura, per ogni opportuna conoscenza in relazione allerelative attribuzioni, nonché per l'adozione di ogni iniziativa ritenuta idoneaa favorire la massima diffusione presso gli Uffici giudiziariinteressati; f)dispone di trasmettere al Ministero della giustizia-Ufficio pubblicazione leggie decreti copia del presente provvedimento per la sua pubblicazione sullaGazzetta Ufficiale della Repubblica italiana. Roma, 18 luglio 2013
|