g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere su uno schema di decreto recante le specifiche tecniche del processo telematico civile e penale

Parere su uno schema di decreto recante le specifiche tecniche del processo telematico civile e penale

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10050361]


Parere su uno schema di decreto recante le specifiche tecniche del processo telematico civile e penale - 6 giugno 2024 

Registro dei provvedimenti
n. 434 del 6 giugno 2024

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 

 

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Ferroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

Visto il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

Visto il decreto legislativo 18 maggio 2018 n. 51, recante Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito “Decreto”);

Vista la richiesta di parere del Ministero della giustizia con nota prot. 0017032.U del 19 aprile 2024;

Vista la documentazione in atti;

Relatore il dott. Agostino Ghiglia;

 

PREMESSO

1. La Direzione generale per i sistemi informativi automatizzati del Ministero della giustizia (infra: DGSIA) ha richiesto il parere del Garante su uno schema di decreto del direttore generale, recante le specifiche tecniche del processo telematico civile e penale, in attuazione di quanto previsto dall’articolo 34 del decreto del Ministro della giustizia n. 44 del 21 febbraio 2011, come da ultimo novellato dal decreto 29 dicembre 2023, n. 217. 

Il predetto articolo 34, comma 1, dispone, infatti, che “le specifiche tecniche sono stabilite dal responsabile per i sistemi informativi automatizzati del Ministero della giustizia, sentita l’Agenzia per l’Italia Digitale e, limitatamente ai profili inerenti alla protezione dei dati personali, sentito il Garante per la protezione dei dati personali”. Il successivo comma 3 prevede inoltre che “fino all’emanazione delle nuove specifiche tecniche, continuano ad applicarsi in quanto compatibili, le specifiche tecniche vigenti, già adottate dal responsabile dei sistemi informativi automatizzati del Ministero della Giustizia”.

Lo schema di provvedimento interviene, dunque, sostituendolo, sul provvedimento del responsabile dei sistemi informativi automatizzati del 16 aprile 2014, come modificato dai provvedimenti del 28 dicembre 2015 e del 26 luglio 2021, sui cui schemi il Garante ha reso a suo tempo il parere di competenza, rispettivamente, in data 18 dicembre 2013 (doc. web n. 2898564), 22 ottobre 2015 (doc. web n. 4582365) e 15 aprile 2021 (doc. web n. 9590273).

Il Ministero ha rappresentato che l’adozione di nuove specifiche tecniche si è resa necessaria a seguito della riforma dei codici di rito, effettuata con i decreti legislativi delegati numeri 149 e 150 del 10 ottobre 2022. L’attuazione di tali riforme ha comportato altresì la modifica del regolamento n. 44/2011, recante norme “di cornice” applicabili ai procedimenti penale e civile, tramite il citato decreto del Ministro della giustizia 29 dicembre 2023, n. 217. Sullo schema di quest’ultimo provvedimento, il Garante ha reso il parere in data 30 novembre 2023 (doc. web n. 9973320).

Il provvedimento all’attenzione di questa Autorità, destinato, si ripete, a sostituire integralmente il testo precedente, disciplina le infrastrutture informatiche del sistema digitale giustizia, le modalità di trasmissione e consultazione di atti e documenti informatici nel processo civile e penale e i pagamenti telematici, al contempo introducendo profili di novità. 

Quanto a questi ultimi, a titolo esemplificativo, può citarsi la possibilità di iscrizione nel registro generale degli indirizzi elettronici (cd. “ReGIndE”) anche dei rappresentanti di enti privati, escluse le parti private (cfr. artt. 7 e 10) o, ancora, la specificazione dei requisiti per gli atti del processo in forma di documento informatico e l’inclusione di video e audio tra i formati consentiti per gli allegati (cfr. art. 16). Tra le maggiori innovazioni si segnalano le nuove modalità di trasmissione degli atti da parte dei soggetti abilitati esterni nel processo penale telematico in cui - a differenza del processo civile, ove viene mantenuto l’invio tramite posta elettronica certificata (cfr. art. 17) -  viene introdotto un meccanismo di upload degli atti attraverso il portale delle notizie di reato o “PNR” e il portale deposito atti penali o “PDP”, entrambi previsti dall’art. 7-bis del decreto n. 44 del 21 febbraio 2011. 

RILEVATO

2.  Ciò premesso, si evidenzia preliminarmente che il testo del provvedimento su cui il Garante è chiamato a rendere il proprio parere è stato il frutto di una complessa attività istruttoria. 
Il Ministero ha sottoposto all’Autorità un primo schema di specifiche tecniche con nota prot. n. 0000606.U del 4 gennaio 2024, integrando successivamente, come richiesto, la documentazione trasmessa (nota prot. n. 0003250.U del 22 gennaio 2024 e nota prot. n. 0000646.U del 30 gennaio 2024). 

L’Ufficio del Garante, preso atto che il testo presentava alcune criticità rispetto a talune delle indicazioni espresse nei pareri del 15 aprile 2021 e del 30 novembre 2023, ha fornito al Ministero delle indicazioni preliminari (nota prot. n. 18770 del 15 febbraio 2024) al fine di conformare il testo alla normativa vigente e ai principi e alle regole in materia di protezione dei dati personali, dichiarandosi al contempo disponibile a fornire in un’ottica collaborativa ogni utile supporto. 

In particolare, nella nota istruttoria l’Autorità ha ribadito la necessità di precisare i ruoli dei diversi soggetti coinvolti nel funzionamento del processo telematico civile e penale e, di conseguenza, una corretta ripartizione degli obblighi e delle responsabilità rispetto ai trattamenti di dati personali effettuati, rispettivamente, dal Ministero, dai soggetti abilitati interni (magistrati, personale degli uffici giudiziari e degli UNEP) ed esterni (come gli avvocati, gli esperti e gli ausiliari del giudice, l’Avvocatura dello Stato, dipendenti di enti pubblici), nonché dai soggetti che gestiscono i cd. punti di accesso (“PdA”).  Questi ultimi ricomprendono enti pubblici o privati, Consigli degli ordini professionali, Camere di Commercio, ma anche società di capitali e forniscono ai soggetti abilitati esterni e agli utenti privati servizi di consultazione e di richiesta copie di atti e documenti, servizi di registrazione al ReGIndE e di pagamento in modalità telematica e, più in generale, di accesso alle funzionalità disponibili sul PST. Al contempo, i PdA sono tenuti a conservare i documenti informatici relativi alle attività di registrazione dei soggetti abilitati esterni e degli utenti privati, gli atti di delega e i log di tracciamento degli accessi.

L’Ufficio del Garante ha poi sottolineato la necessità di implementare una serie di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dai trattamenti effettuati nell’ambito dei sistemi e servizi informatici del dominio giustizia. 

Al riguardo, ferme le considerazioni nel contesto di una valutazione d’impatto sulla protezione dei dati (cfr. art. 35, par. 10, del Regolamento e art. 23 del Decreto), con riferimento rispettivamente al processo civile e penale, l’Autorità ha fornito indicazioni su vari aspetti, quali, in particolare, le modalità di autenticazione informatica, le tecniche crittografiche, la definizione delle modalità di conservazione dei documenti informatici e le procedure di delega presso i punti di accesso, le modalità di tracciamento degli accessi e delle operazioni compiute tramite i sistemi e i servizi informatici del dominio giustizia o i punti di accesso e la predisposizione di specifici alert per il rilevamento di anomalie o rischi.

È stata rappresentata, inoltre, la necessità di prevedere una specifica disciplina per la gestione di eventuali violazioni dei dati personali di cui all’art. 4, punto 12, del Regolamento e art. 2, comma 1, lett. m), del Decreto, che dovessero verificarsi a seguito di un incidente di sicurezza, così come quella di effettuare una ricognizione specifica per verificare se, nell’ambito dei sistemi informatici utilizzati, siano coinvolti soggetti terzi che effettuano trattamenti al di fuori del territorio nazionale e, in alcuni casi, anche al di fuori dell’Unione europea.

Riscontrando le osservazioni e le indicazioni fornite dall’Autorità, con nota prot. 32003/24 del 14 marzo 2024 il Ministero ha trasmesso all’Autorità un nuovo testo, che è stato oggetto di discussione e approfondimento nell’ambito di un tavolo di lavoro al fine di esaminare congiuntamente le criticità riscontrate, sia giuridiche, sia più strettamente tecniche.

L’esito di tali interlocuzioni è stato compendiato nello schema di provvedimento da ultimo trasmesso all’Autorità con nota prot. n. 0017032.U del 19 aprile 2024.

CONSIDERATO

3.  Il testo oggi proposto all’attenzione del Garante tiene conto di alcune delle indicazioni fornite dall’Ufficio nella fase istruttoria, volte ad assicurare il rispetto della disciplina in materia di protezione dei dati personali. 

In particolare, il provvedimento recepisce le indicazioni rese con riferimento a:

a) il ruolo svolto dai soggetti coinvolti nel funzionamento del processo telematico civile e penale rispetto al trattamento dei dati personali disciplinati dallo schema di decreto (articoli 24 e 28 del Regolamento; articoli 15 e 18 del Decreto), anche al fine di garantire il rispetto del principio di trasparenza nei confronti dell’interessato di cui all’art. 5, par. 1, lett. a), del Regolamento. Al riguardo, lo schema introduce una disposizione ad hoc in cui si chiarisce correttamente che gli organi giudiziari, quali Titolari del trattamento nell’ambito dell’esercizio delle proprie funzioni giurisdizionali, si avvalgono dei servizi telematici resi disponibili dal Ministero della giustizia, il quale agisce rispetto ai predetti trattamenti quale Responsabile del trattamento per le finalità di gestione e organizzazione anche strumentale dei servizi telematici a livello centrale. Si specifica, inoltre, che i gestori dei punti di accesso, nel fornire servizi di connessione al portale dei servizi telematici, trattano i dati personali quali Responsabili nel caso in cui agiscano per conto di soggetti abilitati esterni o come Titolari nel caso in cui accedano per proprio conto ai servizi telematici (cfr. art. 13 dello schema);

b) la chiara indicazione delle procedure di autenticazione informatica previste per l’accesso da parte dei soggetti abilitati esterni e degli utenti privati al portale dei servizi telematici e ai punti di accesso (artt. 6, 19, comma 1, e 29, comma 1, dello schema), in ossequio al principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento e artt. 3, comma 1, lett. f), e 25 del Decreto);

c) l’introduzione di procedure di verifica periodica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione che consentono l’accesso al portale delle notizie di reato da parte degli ufficiali e degli agenti di polizia giudiziaria e degli altri soggetti tenuti per legge alla trasmissione di notizie di reato, prevedendo il coinvolgimento dei referenti del portale delle notizie di reato presso i cc.dd. “Uffici fonte” (art. 18, comma 5, dello schema), in ossequio al principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento e artt. 3, comma 1, lett. f), e 25 del Decreto);

d) la corretta individuazione degli indici nazionali di cui agli artt. 6-bis e 6-quater del d.lgs. 7 marzo 2005, n. 82 (c.d. CAD), presso cui acquisire informazioni sui domicili digitali di imprese, di cittadini, di professionisti che svolgono una professione non organizzata in ordini, albi o collegi ai sensi della legge n. 4/2013, e di enti di diritto privato non tenuti all'iscrizione nell'indice INI-PEC, utilizzati ai fini dell’invio di comunicazioni e notificazioni per via telematica (artt. 21, comma 1, e 23, comma 5, dello schema), in ossequio ai principi di liceità, correttezza e trasparenza e di esattezza (art. 5, par. 1, lett. a) e d), del Regolamento e art. 3, comma 1, lett. a) e d), del Decreto);

e) la puntuale definizione dei tempi di conservazione, da parte del Ministero e dei gestori dei punti di accesso, dei dati e documenti relativi alla registrazione dei soggetti abilitati esterni e degli utenti privati, degli atti di conferimento e revoca delle deleghe e dei log di tracciamento degli accessi e delle operazioni effettuate (artt. 14, comma 4, 28, comma 10, e 29, comma 5, dello schema), nel rispetto dei principi di limitazione della conservazione e di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. e) e f), e 32 del Regolamento e artt. 3, comma 1, lett. e) e f), e 25 del Decreto); 

f) l’introduzione di una disciplina specifica per la gestione delle violazioni di dati personali (“data breach”), tenuto conto della stretta relazione tra i trattamenti di dati personali effettuati da diversi titolari del trattamento e delle possibili conseguenze pregiudizievoli nei confronti degli interessati, che stabilisce:

- un obbligo di informazione, in capo ai predetti soggetti, in caso di incidente di sicurezza suscettibile di configurare una violazione dei dati personali con effetti sui trattamenti effettuati da altri titolari, in modo da consentire loro di stabilire se si è verificata una violazione dei dati personali, di valutare i rischi per i diritti e le libertà delle persone fisiche che ne derivano, di adottare misure per porvi rimedio e per attenuare i possibili effetti negativi, nonché di verificare la sussistenza dei presupposti per la notifica al Garante e, se del caso, per la comunicazione agli interessati (art. 13, comma 7, dello schema), nel rispetto del principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento e di violazione dei dati personali (artt. 5, par. 1, lett. f), 32, 33 e 34 del Regolamento e artt. 3, comma 1, lett. f), 25, 26 e 27 del Decreto);

- le modalità di gestione delle violazione dei dati personali, di cui viene a conoscenza il Ministero nell’ambito di trattamenti per i quali agisce come responsabile degli organi giudiziari, in modo da consentire ai titolari di valutare compiutamente i rischi per i diritti e le libertà delle persone fisiche derivanti da una violazione sulla base di elementi messi a disposizione dal Ministero, nel rispetto del principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento e di violazione dei dati personali (artt. 5, par. 1, lett. f), 32, 33 e 34 del Regolamento e artt. 3, comma 1, lett. f), 25, 26 e 27 del Decreto).

                                                                  RITENUTO

4. Ciò premesso, si osserva preliminarmente che l’esame dello schema evidenzia criticità all’articolo 5, comma 2, lett. c), che nel disciplinare il portale dei servizi telematici, prevede che nell’area pubblica dei servizi online degli uffici giudiziari siano pubblicate e rese disponibili a tutti gli utenti “c) Informazioni essenziali sullo stato dei procedimenti pendenti, rese disponibili in forma anonima”, ma nello schema medesimo non viene fatta alcuna menzione del rispetto di adeguate tecniche di anonimizzazione, tenuto conto delle specificità del caso. Infatti, la semplice elisione dei nomi delle parti o dei loro dati personali potrebbe non essere sempre sufficiente a ridurre il rischio di re-identificazione (ad es. potrebbe essere necessario anche eliminare riferimenti spaziali o temporali, soprattutto se si tratta di una vicenda giudiziaria nota o avvenuta in un contesto locale).
Al riguardo, si rileva che l’art. 6, comma 6, del decreto 21 febbraio 2011, n. 44, al quale si intende dare attuazione, in effetti stabilisce che il portale dei servizi telematici consente accesso alle informazioni essenziali sullo stato dei procedimenti pendenti, “che vengono rese disponibili in forma anonima”; per converso, l’art. 5 dello schema di provvedimento in esame prevede la pubblicazione delle predette informazioni con il numero di ruolo, un dato pseudoanomimo, per cui appare incompatibile con l’art. 6 della legge cui si dà attuazione. Inoltre, la formulazione dell’art. 5 nell’elencare i dati resi accessibili conclude con un “numero di ruolo, numero di sentenze, ecc.”, quindi con una evidente indeterminatezza delle informazioni da ostendere.

Si ravvisa pertanto la necessità che la disposizione in questione sia riformulata in senso conforme ai principi in materia di protezione dei dati personali, chiarendo espressamente e dettagliatamente quali informazioni si intenda rendere disponibili in modo da salvaguardare effettivamente l’identità degli interessati.

Sotto altro profilo, diversamente da quanto appena descritto al punto 3, alcune delle indicazioni fornite dall’Ufficio nel corso dell’istruttoria, pur essendo “formalmente recepite” nel testo, non sono, a detta dell’Amministrazione, ancora “operative” in quanto richiedono un preliminare studio di fattibilità o tempi di realizzazione non immediati.

Al riguardo, oltre a quanto riferito nel corso delle interlocuzioni istruttorie da rappresentanti del dicastero, nella citata nota di trasmissione dello schema di decreto (nota prot.  n. 0017032.U del 19 aprile 2024) l’Amministrazione, nell’evidenziare alcune modifiche e integrazioni a talune disposizioni, ha precisato che esse “presuppongono una conseguente revisione delle misure tecniche attualmente adottate o comunque richiedono una preliminare fase di valutazione al fine di individuare la fattibilità tecnica e le modalità operative appropriate”.

Si tratta, in particolare, dei seguenti aspetti:

a) la minimizzazione delle informazioni (attributi associati alle identità digitali SPID e ai certificati di autenticazione CNS) acquisite nell’ambito delle procedure di autenticazione informatica previste per l’accesso al portale dei servizi telematici e ai punti di accesso, attraverso una ulteriore limitazione delle informazioni raccolte, allo scopo di limitarle alle sole strettamente necessarie e senza invadere in eccedenza la sfera privata del soggetto abilitato esterno e dell’utente privato (art. 29, comma 2, dello schema); tuttavia, al riguardo, nel corso della fase istruttoria, il Ministero ha rappresentato la necessità di valutare la fattibilità di tale intervento;

b) l’utilizzo di tecniche crittografiche allo stato dell’arte per la protezione del file contenente il log dei messaggi PEC che il gestore di posta elettronica certificata invia giornalmente al Ministero in formato CSV (suscettibile di contenere dati personali di varie tipologie, riferiti o riferibili al mittente, al destinatario o a terzi, ivi inclusi dati appartenenti a categorie particolari o dati relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento), in aggiunta alle misure adottate per garantire l’integrità e l’autenticità dei dati in esso contenuti mediante sottoscrizione con firma digitale o firma elettronica qualificata (art. 4, comma 6, dello schema), nel rispetto del principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), e 32 del Regolamento e artt. 3, comma 1, lett. f), e 25 del Decreto); tuttavia, al riguardo, nella citata nota del 19 aprile 2024, il Ministero ha evidenziato che “ad oggi, tale soluzione non è adottata, ma il Ministero della Giustizia richiederà al gestore di PEC di adeguarsi a tale specifica entro 6 mesi”;

c) l’indicazione obbligatoria dell’ufficio del pubblico ministero destinatario all’atto del salvataggio in bozza di una notizia di reato da parte degli operatori dei cc.dd. “Uffici fonte” che utilizzano il portale delle notizie di reato (art. 18, comma 11, dello schema), nel rispetto del principio di responsabilizzazione e in conformità agli obblighi del titolare del trattamento (artt. 3, comma 4, e 15 del Decreto); tuttavia, al riguardo, nella citata nota del 19 aprile 2024, il Ministero ha evidenziato che “è da segnalare che la modalità suggerita per la gestione delle bozze delle notizie di reato non è attualmente utilizzata, ma verrà implementata nel corso del 2024”;

d) l’introduzione di alert volti a rilevare, a partire dai log di tracciamento degli accessi, comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti abilitati interni e esterni (art. 14, comma 4, dello schema), nel rispetto del principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. b) e f), e 32 del Regolamento e artt. 3, comma 1, lett. b) e f), 21, comma 3, e 25 del Decreto); tuttavia, al riguardo, nel corso della fase istruttoria, il Ministero ha rappresentato la complessità di realizzazione di tale misura;

e) la previsione di attività di controllo interno (audit) effettuate a seguito di alert o a campione (art. 14, comma 4, dello schema), nel rispetto del principio di integrità e riservatezza e in conformità agli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. b) e f), e 32 del Regolamento e artt. 3, comma 1, lett. b) e f), 21, comma 3, e 25 del Decreto); tuttavia, lo schema non definisce la periodicità di tali attività di controllo interno (che dovrebbero avere cadenza almeno annuale), né limita le finalità di tali trattamenti (che dovrebbero essere volte a verificare la legittimità e la liceità delle operazioni effettuate dai soggetti abilitati, nonché l’integrità dei dati e dei sistemi di trattamento); al riguardo, nel corso della fase istruttoria, il Ministero ha rappresentato la complessità di realizzazione di tale misura.

5. Fermo restando quanto osservato al punto 4, questa Autorità rileva taluni ulteriori profili di criticità sul piano applicativo del sistema del processo telematico, che devono essere affrontati dall’Amministrazione pianificando ed attuando misure tecniche e organizzative necessarie a incrementare il livello di sicurezza dei servizi e dei sistemi informatici, garantendo il pieno rispetto dei principi di integrità e riservatezza e di protezione dei dati fin dalla progettazione e per impostazione predefinita e degli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), 25 e 32 del Regolamento e artt. 3, comma 1, lett. f), 16, 21 e 25 del Decreto).

Ci si riferisce, in particolare, ai seguenti aspetti:

a) l’utilizzo esclusivo di protocolli di rete sicuri e di cipher suite robuste (ossia l’insieme di algoritmi utilizzati per lo scambio delle chiavi crittografiche, la crittografia e la verifica dell’integrità e dell’autenticità dei messaggi scambiati), tenendo conto delle “Raccomandazioni in merito allo standard Transport Layer Security (TLS)” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 471 del 5 novembre 2020, in particolare nell’ambito delle comunicazioni tra i sistemi informatici coinvolti oppure di qualsiasi collegamento di un utente all’area pubblica o riservata del portale dei servizi telematici, ai suoi web service, ai punti di accesso e ai loro eventuali web service (cfr. artt. 5, 7, 10, 18, 19, 20, 22, 23, 24, 25, 28 e 30 dello schema); [OMISSIS];

b) l’utilizzo di algoritmi crittografici allo stato dell’arte per le operazioni di crittografia asimmetrica delle c.d. “chiavi di sessione” e di crittografia simmetrica del file “Atto.msg” utilizzato per la trasmissione di atti da parte di soggetti abilitati esterni nel procedimento civile, in grado di assicurare su base permanente la riservatezza dei dati trattati (cfr. artt. 17, comma 3, e 19, comma 3, dello schema); [OMISSIS];

c) l’utilizzo esclusivo di procedure di autenticazione informatica a due o più fattori (strong authentication) per l’accesso ai sistemi e servizi informatici del dominio giustizia utilizzati nell’ambito del processo civile e penale telematico, all’area riservata del portale dei servizi telematici e ai suoi web service, nonché ai punti di accesso e ai loro eventuali web service, prevedendo procedure di autenticazione informatica a due o più fattori, al fine di assicurare il medesimo livello di sicurezza e robustezza per le diverse modalità di accesso previste; le suddette procedure devono essere previste, in particolare, per:

- l’accesso ai sistemi informatici del dominio giustizia da parte di soggetti abilitati interni che si connettono a tali sistemi dalla rete interna degli uffici giudiziari (cfr. art. 12, comma 2, dello schema); [OMISSIS];

- l’accesso al portale delle notizie di reato da parte dei referenti interni agli uffici del pubblico ministero, dei referenti e degli operatori dei cc.dd. “Uffici fonte” (cfr. art. 18 dello schema), [OMISSIS];

- l’accesso ai sistemi informatici da parte degli amministratori di sistema;

d) l’adozione di misure idonee ad attenuare il rischio connesso all’utilizzo fraudolento di identità digitali dei soggetti abilitati esterni, [OMISSIS];

e) l’utilizzo del portale deposito atti penali anche per la trasmissione di documenti informatici relativi al processo penale da parte degli esperti e degli ausiliari del giudice, in conformità a quanto previsto dagli artt. 1, comma 1, lett. m), n. 3, e 7-bis, comma 1, del d.m. 44/2011; [OMISSIS];

f) la rimozione degli atti e dei documenti allegati, trasmessi da soggetti abilitati esterni, dal portale deposito atti penali a seguito della loro accettazione o rigetto, nel rispetto del principio di limitazione della conservazione (art. 3, comma 1, lett. e), del Decreto); [OMISSIS];

g) l’utilizzo di robuste procedure di delega presso i punti di accesso, informando il soggetto delegante (soggetto abilitato esterno o utente privato) in caso di attivazione o disattivazione di una delega, nonché mettendogli a disposizione informazioni sugli accessi effettuati dal soggetto delegato per suo conto (cfr. art. 28, commi 10 e 14, lett. e) e k), dello schema); XX;

h) il tracciamento degli accessi e delle operazioni compiute – da parte dei soggetti abilitati, interni o esterni, degli utenti privati e degli amministratori di sistema – tramite i sistemi e i servizi informatici del dominio giustizia o i punti di accesso, in modo tale che:

- siano oggetto di tracciamento anche gli accessi ai sistemi (login e logout) e le operazioni di trattamento ulteriori alla mera consultazione (quali la modifica, la comunicazione, l’interconnessione e la cancellazione dei dati personali trattati);

- siano oggetto di tracciamento anche le operazioni di trattamento dei log dei messaggi PEC (suscettibili di contenere anche dati appartenenti a categorie particolari o dati relativi a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento);

- i log di tracciamento consentano di conoscere, per ogni operazione, almeno:

- la data e l’ora di esecuzione della stessa;

- il codice identificativo del soggetto che l’ha posta in essere;

- se del caso, il codice identificativo del soggetto che ne ha delegato l’esecuzione;

- il codice della postazione di lavoro utilizzata (es. indirizzo IP o hostname);

- il codice identificativo del soggetto interessato dall’operazione;

- se del caso, l’ufficio giudiziario titolare del procedimento;

- se del caso, il codice identificativo e l’oggetto del procedimento;

-ove possibile, la motivazione connessa all’operazione;

- in caso di esecuzione di un’operazione di accesso massivo ai dati personali, i log di tracciamento consentano di verificare se i dati personali di uno specifico interessato siano stati oggetto di tale operazione che ha coinvolto dati riferibili a più soggetti;

- siano adottate misure volte a garantire la completezza, l’immodificabilità, l’autenticità e la riservatezza delle informazioni contenute nei log di tracciamento degli accessi e delle operazioni compiute;

- i log di tracciamento siano utilizzati ai soli fini della verifica della liceità del trattamento, per finalità di controllo interno, per garantire l'integrità e la riservatezza dei dati personali e nell'ambito di procedimenti penali, anche in conformità con quanto previsto dall’art. 5, par. 1, lett. b), del Regolamento e dagli artt. 3, comma 1, lett. b), e 21, comma 3, del Decreto.

Al riguardo, nel corso della fase istruttoria, il Ministero ha rappresentato la necessità di valutare la fattibilità degli interventi sopra descritti.

6. Si ritiene, infine, necessaria una ricognizione specifica per verificare se, nell’ambito dei sistemi informatici utilizzati, siano coinvolti soggetti terzi quali, ad esempio, fornitori esterni che effettuano trattamenti al di fuori del territorio nazionale e, in alcuni casi, anche al di fuori dell’Unione europea.
In particolare, tale verifica deve tenere conto che anche l’accesso da remoto da un Paese terzo ai dati contenuti in server ubicati nell’Unione europea configura un trasferimento di dati (cfr. Comitato europeo per la protezione dei dati, “Linee guida 5/2021 sull'interazione tra l'applicazione dell'articolo 3 e le disposizioni in materia di trasferimenti internazionali di cui al capo V GDPR”), sicché, salvo che sussistano misure che impediscano tale accesso alle informazioni personali conservate nei predetti server, devono essere adottate - in assenza di una decisione di adeguatezza della Commissione europea - le misure previste dall’art. 46 del Regolamento e 33 del Decreto e, ove necessario, le eventuali misure supplementari (cfr. Comitato europeo per la protezione dei dati, “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE” e, con specifico riferimento ai trattamenti ricompresi nell’ambito di applicazione del Decreto, cfr. Comitato europeo per la protezione dei dati,  “Linee Guida 01/2023 sull’art. 37 della Direttiva (UE) 2016/680”). 

TUTTO CIO’ PREMESSO, IL GARANTE

a) ai sensi degli articoli 57, par. 1, lett. c), del Regolamento e 24, comma 2, del Decreto, esprime parere nei termini di cui in motivazione sullo schema di decreto del direttore generale dei Sistemi informativi automatizzati, volto a definire le specifiche tecniche del processo telematico civile e penale, in attuazione di quanto previsto dall’articolo 34 del decreto del Ministro della giustizia n. 44 del 21 febbraio 2011, con la seguente condizione:

- l’articolo 5, comma 2, lett. c), dello schema sia riformulato in senso conforme ai principi in materia di protezione dei dati personali, chiarendo espressamente e dettagliatamente quali informazioni si intenda rendere disponibili in modo da salvaguardare effettivamente l’identità degli interessati;

b)  ai sensi degli articoli 58, par. 2, lett. d) del Regolamento e 37, comma 3, lett. d) del Decreto, considerata la necessità di garantire in modo efficace la tutela dei diritti e delle libertà degli interessati nonché l’efficiente svolgimento delle attività giurisdizionali in ambito civile e penale, anche mediante l’adozione di misure tecniche e organizzative volte a incrementare il livello di sicurezza attualmente in essere,  tenuto altresì conto della complessità e dei tempi di realizzazione degli interventi necessari:

1)    ingiunge al Ministero della Giustizia di dare attuazione alle misure previste agli articoli 4, comma 6, 14, comma 4, 18, comma 11, e 29, comma 2, dello schema (cfr. par. 4, lett. a), b), c), d) ed e), del presente provvedimento), entro sei mesi dalla notifica del provvedimento;

2)    ingiunge al Ministero della Giustizia di adottare le seguenti misure tecniche e organizzative volte a prevedere:

i. l’utilizzo esclusivo di protocolli di rete sicuri e di cipher suite robuste (cfr. par. 5, lett. a), del presente provvedimento), entro sei mesi dalla notifica del provvedimento;

ii. l’utilizzo di algoritmi crittografici allo stato dell’arte per la protezione di atti trasmessi da parte di soggetti abilitati esterni nel procedimento civile (cfr. par. 5, lett. b), del presente provvedimento), entro sei mesi dalla notifica del provvedimento;

iii. l’utilizzo esclusivo di procedure di autenticazione informatica a due o più fattori (cfr. par. 5, lett. c), del presente provvedimento), entro dodici mesi dalla notifica del provvedimento;

iv. l’adozione di misure idonee ad attenuare il rischio connesso all’utilizzo fraudolento di identità digitali dei soggetti abilitati esterni (cfr. par. 5, lett. d), del presente provvedimento), entro sei mesi dalla notifica del provvedimento;

v. l’utilizzo del portale deposito atti penali anche per la trasmissione di documenti informatici relativi al processo penale da parte degli esperti e degli ausiliari del giudice e la rimozione degli atti e dei documenti allegati, trasmessi da soggetti abilitati esterni, dal portale deposito atti penali a seguito della loro accettazione o rigetto (cfr. par. 5, lett. e) ed f), del presente provvedimento), entro sei mesi dalla notifica del provvedimento;

vi. l’utilizzo di robuste procedure di delega presso i punti di accesso (cfr. par. 5, lett. g), del presente provvedimento), entro sei mesi dalla notifica del provvedimento;

vii. il tracciamento degli accessi e delle operazioni compiute nei termini sopra citati (cfr. par. 5, lett. h), del presente provvedimento), entro dodici mesi dalla notifica del provvedimento;

c)  ai sensi degli articoli 58, par. 1, lett. a), del Regolamento, 157 del Codice e 37, comma 3, lett. b), del Decreto, ingiunge al Ministero della Giustizia di fornire al Garante un riscontro in ordine alle iniziative che intende assumere o ha già assunto al fine di dare attuazione a quanto stabilito alla precedente lettera b), entro tre mesi dalla notifica del provvedimento.

Roma, 6 giugno 2024

 

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10050361
Data
06/06/24

Argomenti

Giustizia

Tipologie

Parere del Garante

Vedi anche (10)