Diritti interna

Doveri interna

ricerca avanzata

Parere sullo schema di decreto del Ministro della giustizia recante disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l’accesso all’archivio informatico a norma dell’articolo 7, commi 1 e 3, del decreto legislativo 29 dicembre 2017, n. 216 - 12 aprile 2018 [8987309]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
8987309
Data:
12/04/18
Argomenti:
Giustizia , Misure di sicurezza , Archivi elettronici , Intercettazioni telefoniche , Sicurezza telematica
Tipologia:
Parere del Garante

[doc. web n. 8987309]

Parere sullo schema di decreto del Ministro della giustizia recante disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l’accesso all’archivio informatico a norma dell’articolo 7, commi 1 e 3, del decreto legislativo 29 dicembre 2017, n. 216 - 12 aprile 2018

Registro dei provvedimenti
n. 212 del 12 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto l’art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; 

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Il Ministero della giustizia ha richiesto il parere del Garante su uno schema di decreto recante disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l’accesso all’archivio informatico a norma dell’articolo 7, commi 1 e 3, del decreto legislativo 29 dicembre 2017, n. 216.

Il predetto articolo 7, ai commi 1 e 3, prevede, rispettivamente, che siano stabiliti i requisiti  tecnici  dei   programmi   informatici funzionali all'esecuzione delle intercettazioni mediante  inserimento di captatore informatico su dispositivo elettronico portatile e siano fissati  i criteri a cui il procuratore della Repubblica si deve attenere per regolare le modalità  di accesso all'archivio riservato di cui all'articolo 89-bis delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, a tutela della riservatezza degli atti ivi custoditi. 

L’odierno parere è reso su un testo integrato dello schema di decreto come risulta da due successive richieste del Ministero (cfr. note pervenute in data 15 marzo e 3 aprile 2018).

Si rammenta infine che sullo schema di decreto legislativo sopra citato il Garante ha espresso, a suo tempo, parere in data 2 novembre 2017 (il parere è reperibile in garanteprivacy.it, doc. web. n. 7083069).

RILEVATO

2. Lo schema di decreto si compone di 4 articoli. 

L’articolo 1 disciplina le funzioni dell’“archivio riservato” delle intercettazioni -istituito presso l’ufficio del pubblico ministero ai sensi dell’art. 89-bis delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale- prevedendo che in esso siano custoditi e conservati tutti gli originali dei verbali, delle annotazioni e degli atti e le registrazioni delle intercettazioni a cui afferiscono, inclusi quelli relativi alle comunicazioni o conversazioni inutilizzabili o non rilevanti ai sensi dell’articolo 268, comma 2-bis, del codice di procedura penale.

Esso dispone, inoltre, che fino alla attuazione del processo penale telematico, il pubblico ministero  provvederà a formare copia informatica di suddetta documentazione, al fine di consentirne la conservazione e la consultazione in formato digitale. Ciò in attesa che, con l’attuazione del processo penale telematico, la formazione dei verbali e degli atti avvenga direttamente con modalità telematiche.

L’articolo 2 stabilisce che il Ministero della Giustizia renda disponibile agli uffici del pubblico ministero, un sistema informatico (hardware e software) in grado di conservare tutte le conversazioni e comunicazioni disposte nell’ambito del procedimento e che, fino alla realizzazione delle sale server interdipartimentali delle intercettazioni, le modalità di gestione dei sistemi informatici di intercettazione presso le attuali strutture, si conformano alle specifiche tecniche, finalizzate ad assicurare standard adeguati di sicurezza dei sistemi informatici e di riservatezza dei dati trattati.

L’articolo 3 disciplina la consultazione dell’archivio riservato (commi 1 e 4). In esso viene infatti previsto che “presso ciascun ufficio del pubblico ministero sono rese disponibili postazioni sicure riservate per l’esercizio del diritto di accesso ai soggetti […]” legittimati e che “[…] ciascun soggetto ammesso alle postazioni verrà munito di un codice identificativo, generato dal sistema informatico di gestione degli accessi e fruibile una sola volta”.

Il medesimo articolo 3 prevede, altresì, che vengano adottate misure organizzative in grado di assicurare la massima vigilanza dei locali dove sono collocate le suddette “postazioni sicure”, anche attraverso sistemi di videosorveglianza, e l’identificazione di coloro che richiedono l’accesso all’archivio, nonché la registrazione delle operazioni di consultazione (art. 3 commi 2, 3 e 5).

L’articolo 4 dello schema, infine, definisce quali debbano essere i requisiti tecnici dei c.d. “programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”.

RITENUTO

3. Esaminato lo schema di decreto, il Garante fornisce di seguito le osservazioni di competenza, segnalando l’esigenza di apportare a taluni articoli del testo le modifiche appresso indicate, al fine di adeguarne maggiormente il contenuto alla disciplina in materia di protezione dei dati personali.

Preliminarmente si rileva l’opportunità di inserire nel preambolo dello schema, in aggiunta al riferimento al decreto legislativo 30 giugno 2003, n. 196,  il più attuale riferimento alla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 “relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio” e al relativo decreto legislativo di recepimento, ove pubblicato nelle more dell’adozione dell’odierno provvedimento. 

3.1 Gestione e sicurezza dei sistemi.

L’articolo 2, comma 1, stabilisce che il Ministero della Giustizia “renderà disponibile agli uffici del pubblico ministero, un sistema informatico (hardware e software) che consenta di conservare tutte le conversazioni e comunicazioni disposte nell’ambito del procedimento, nonché di classificarle, in conformità alla relativa disciplina procedimentale”.

Premesso che non risulta chiaro se tale “sistema informatico” sia quello attraverso il quale si realizzerà l’archivio riservato delle intercettazioni di cui all’articolo 1 dello schema, si rileva, in ogni caso, che manca nello schema ogni riferimento a specifiche misure di sicurezza fisiche e logiche adottate dal titolare del trattamento al fine di garantire la segretezza dei contenuti intercettati, come espressamente prospettato dal Garante nel parere sullo schema di decreto legislativo (cfr. parere 2 novembre 2017, punto 4). 

Al riguardo, atteso che lo schema di decreto sarà destinato a disciplinare attività che verranno poste in essere successivamente all’entrata in vigore del decreto attuativo della direttiva (UE) 2016/680, lo stesso dovrà definire le misure tecniche ed organizzative adottate dal titolare del trattamento, secondo quanto previsto dall’art. 29 della predetta direttiva, al fine di garantire un livello di sicurezza adeguato al rischio, con particolare riguardo al trattamento delle categorie di dati personali di cui all’art. 10 della medesima direttiva.

Con riferimento al secondo comma dell’articolo 2, inoltre, si rileva che il testo si limita a richiamare mere “specifiche tecniche” che la Direzione generale per i sistemi informativi automatizzati del Dipartimento dell’organizzazione giudiziaria e dei servizi, dovrà solo indicare. Al riguardo, è necessario che, nelle more della realizzazione delle sale server interdipartimentali delle intercettazioni, il Ministero della giustizia definisca le “specifiche tecniche, finalizzate ad assicurare standard adeguati di sicurezza dei sistemi informatici e di riservatezza dei dati trattati” tenendo anche conto delle misure e degli accorgimenti in materia di sicurezza (nell’ambito di attività di intercettazioni di conversazioni e comunicazioni) già prescritti dal Garante alle Procure della Repubblica con il provvedimento del 18 luglio 2013 (doc. web n. 2551507).

3.2. Consultazione dell’archivio riservato.

L’articolo 3, nel disciplinare la “consultazione” dell’archivio riservato (v. rubrica dell’articolo), ai commi 1 e 4 prevede che “presso ciascun ufficio del pubblico ministero sono rese disponibili postazioni sicure riservate per l’esercizio del diritto di accesso ai soggetti […]” legittimati e che “[…] ciascun soggetto ammesso alle postazioni verrà munito di un codice identificativo, generato dal sistema informatico di gestione degli accessi e fruibile una sola volta”.

In via preliminare, sotto il profilo formale si richiama l’attenzione sull’opportunità di coordinare, nel testo dell’articolo, l’utilizzo delle locuzioni “consultazione” (presente in rubrica) e “accesso”.

Con riferimento, poi, alla sicurezza della trasmissione dei dati, è necessario disporre  nello schema che i collegamenti telematici tra l’archivio riservato e le postazioni sicure, nonché quelli tra l’archivio riservato e gli apparati terminali per la ricezione dei flussi intercettati, vengano realizzati attraverso canali di comunicazione affidabili dal punto di vista delle prestazioni e da quello della sicurezza, adottando a tal fine protocolli di rete sicuri, in linea con quanto disposto dal provvedimento del 18 luglio 2013 (cfr. punto 1.b.).

3.3. Registrazione delle operazioni svolte sull’archivio riservato delle intercettazioni.

L’articolo 3, comma 3, dello schema prevede che “nel registro informatico di cui all’art. 89-bis, comma 3, secondo periodo, delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, denominato Mod. 37-bis, sono annotati i dati relativi all’identità dei soggetti che accedono, alla data, all’ora iniziale e finale dell’accesso e degli atti specificamente consultati”.

Al riguardo, è necessario individuare i termini di conservazione delle registrazioni che non devono eccedere quelli stabiliti per la conservazione dei dati a cui le stesse operazioni si riferiscono (a meno di specifiche esigenze connesse a verifiche e controlli da effettuarsi sull’uso della banca dati).

3.4. Requisiti tecnici dei programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore

L’articolo 4 dello schema definisce i requisiti tecnici dei c.d. “programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, a norma dell’art. 7, comma 1, del decreto legislativo 29 dicembre 2017, n. 216. 

Al fine di chiarire cosa si intenda per “programmi informatici funzionali all’esecuzione delle intercettazioni mediante captatore”, è necessario specificare se in tale categoria siano ricompresi uno o più dei seguenti moduli software che, comunemente, compongono un sistema di intercettazione mediante captatore informatico (es. il software che, installato sui dispositivi target, opera l’acquisizione delle informazioni; il sistema di inoculazione; il sistema di gestione; ecc.). Si rileva, inoltre, la necessità di integrare il suddetto articolo indicando in modo puntuale le misure tecniche da adottare al fine di garantire la riservatezza dei dati sui sistemi funzionali all’esecuzione delle intercettazioni mediante captatore informatico, specificando ad esempio:

a) le modalità di accesso ai citati sistemi da parte degli operatori autorizzati;

b) le funzionalità di registrazione delle operazioni svolte sui citati sistemi dagli operatori;

c) le modalità di trasmissione dei dati acquisiti mediante captatore.

Infine, è necessario prevedere nello schema che l’installazione del captatore informatico su  un   dispositivo   elettronico   portatile  non deve,  ove possibile,  abbassare  il  livello  di  sicurezza del medesimo dispositivo in cui è stato installato, sia nel corso delle operazioni di intercettazione, che al termine delle stesse. Ciò al fine di impedire che il dispositivo possa essere compromesso da terzi, con eventuali riflessi negativi sulla protezione dei dati personali ivi contenuti nonché sull’attività investigativa.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere, nei termini di cui in motivazione, sullo schema di decreto del Ministro della giustizia recante disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l’accesso all’archivio informatico a norma dell’articolo 7, commi 1 e 3, del decreto legislativo 29 dicembre 2017, n. 216, con le osservazioni di cui ai punti da 3. a 3.4.

Roma, 12 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia