g-docweb-display Portlet

Provvedimento del 15 novembre 2007 [1480605]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1480605]

Provvedimento del 15 novembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali con particolare riferimento alle disposizioni concernenti l´ambito giudiziario e l´adozione delle misure di sicurezza nel trattamento dei dati (artt. 31 ss., 46 ss. e All. B del d. lg. n. 30 giugno 2003, n. 196);

CONSIDERATO che, nel quadro dello svolgimento dei compiti previsti dal Codice, con provvedimento del 23 febbraio 2006 il Garante ha deliberato di prendere in esame la problematica relativa all´applicazione delle misure di sicurezza nel trattamento dei dati presso gli uffici giudiziari, adottando iniziative volte a sollecitare la collaborazione delle istituzioni e degli uffici interessati, nella convinzione che l´introduzione di livelli elevati di sicurezza nel trattamento dei dati personali contribuisca anche al buon funzionamento delle strutture giudiziarie; rilevato che, in tale ambito, con provvedimento del 1° febbraio 2007 l´Autorità ha deliberato di effettuare gli accertamenti necessari a verificare l´attuazione e l´idoneità delle misure di sicurezza adottate in relazione ai trattamenti di dati personali effettuati, per motivi di giustizia, presso il Tribunale ordinario di Roma, limitatamente, in una prima fase, al settore civile;

VISTA la documentazione in atti e, in particolare, la relazione sottoscritta dal componente designato dott. Giuseppe Chiaravalloti allegata al presente provvedimento quale parte integrante della relativa motivazione;

RILEVATO che la complessa attività espletata in conformità a quanto previsto dal Codice (art. 160) ha richiesto numerosi sopralluoghi e verifiche svolti con la piena collaborazione della magistratura e del personale amministrativo;

CONSIDERATO che gli accertamenti espletati hanno evidenziato l´esigenza di realizzare alcuni interventi volti ad assicurare un rafforzamento del livello di protezione dei dati personali trattati ai sensi dell´art. 47, comma 2, del Codice, e che le modificazioni e integrazioni individuate come necessarie concernono il trattamento dei dati svolto sia con l´ausilio di strumenti elettronici, attraverso le applicazioni informatiche in uso presso il Tribunale, sia senza l´ausilio di tali strumenti, relativo alle informazioni contenute nei fascicoli processuali;

RILEVATO che il Garante ha il compito anche per gli uffici giudiziari di svolgere accertamenti secondo le specifiche modalità di cui all´art. 160 del Codice e di indicare al titolare o al responsabile le necessarie modificazioni e integrazioni, che il destinatario è tenuto ad adottare; rilevato che il Garante deve, altresì, verificare l´attuazione delle misure indicate;

RILEVATA, per le ragioni evidenziate nella predetta relazione, nella quale sono compiutamente illustrate le risultanze degli accertamenti svolti, la necessità di indicare alcune modificazioni e integrazioni che dovranno essere attuate nel caso di specie;

RILEVATO, in particolare, che risultano allo stato necessarie le seguenti misure:

a) Trattamento dei dati svolto senza l´ausilio di strumenti elettronici
a1) Misure strutturali

Al fine di assicurare un più idoneo controllo degli accessi ai dati personali contenuti nei fascicoli processuali da parte dei soli soggetti legittimati:

  • custodia dei fascicoli all´interno dei locali delle cancellerie;
  • presenza nei locali delle cancellerie di unità di personale in numero adeguato in funzione del controllo degli accessi ai dati.

Al fine di assicurare una più adeguata protezione dei dati:

a2) Misura fisica di protezione

  • armadi dotati di chiusura, in sostituzione di quelli non più efficienti, per la custodia dei fascicoli;

b) Trattamento dei dati svolto con l´ausilio di strumenti elettronici
b1) Misure strutturali

Al fine di assicurare una più adeguata gestione dei dati:

  • utilizzo per l´accesso ai dati di password alfanumeriche di lunghezza non inferiore a otto caratteri e con periodicità di rinnovo non superiore a tre mesi;
  • estensione dell´uso delle smart-card a tutti gli accessi effettuati dagli avvocati, anche dalle postazioni interne al Tribunale;
  • conseguente eliminazione del sistema di accesso gestito dalla Corte d´appello;
  • estensione dell´uso delle smart-card anche agli accessi effettuati dal personale dipendente;
  • sviluppo di funzionalità di auditing, gestite direttamente dal Tribunale, che consentano il tracciamento di tutti gli accessi ai dati, anche di carattere tecnico (ad esempio, per manutenzione), e delle operazioni effettuate.

b2) Misure fisiche di protezione
Al fine di assicurare una più adeguata protezione dei dati:

Sale server:

  • impianti automatici di estinzione incendi, collegati agli esistenti sistemi di rilevazione dei fumi;
  • porte antincendio dotate di idonee serrature di sicurezza;
  • monitoraggio dei locali, eventualmente anche attraverso impianti di videosorveglianza interni.

Log file:

  • custodia in locali controllati con misure fisiche di protezione analoghe a quelle indicate relativamente alle sale server.

Copie di backup:

  • custodia in armadi ignifughi dotati di idonee chiusure di sicurezza, collocati in locali controllati con misure fisiche di protezione analoghe a quelle indicate relativamente alle sale server;
  • locali distinti e lontani (ad esempio, nell´edificio di viale Giulio Cesare) dalla zona di elaborazione (posta nell´edificio di via Lepanto);

RITENUTO che, attesa la particolare delicatezza delle informazioni in questione, il Garante rileva la necessità che le modificazioni e integrazioni indicate rispetto ad attività automatizzate e non automatizzate siano apportate, tenendo conto della complessità degli interventi amministrativi propedeutici alle modifiche stesse, in termini brevi. Si è comunque constatato che esse dipendono, in larga misura, da misure strutturali -oltre che dalla disponibilità delle indispensabili risorse finanziarie-, la cui realizzazione richiede la necessaria collaborazione delle competenti strutture del Ministero della giustizia, a cui il Garante ritiene quindi opportuno inoltrare copia del presente provvedimento, per ogni valutazione necessaria con riferimento alle pertinenti attribuzioni in tema di organizzazione e funzionamento dei servizi relativi alla giustizia;

RITENUTO che, alla luce delle considerazioni che precedono, l´Autorità ritiene congruo fissare per l´attuazione delle indicate modificazioni e integrazioni il termine di otto mesi dalla comunicazione del presente provvedimento;

RILEVATA la necessità che il Tribunale, ai fini dell´espletamento del predetto compito di verifica dell´attuazione delle misure da parte del Garante, fornisca riscontro all´Autorità circa la loro adozione entro il predetto termine;

VALUTATA l´opportunità che copia del presente provvedimento venga inviata al Consiglio superiore della magistratura, per ogni opportuna conoscenza in relazione alle relative attribuzioni;              

RISERVATA ogni ulteriore valutazione in relazione agli accertamenti effettuati;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO E RITENUTO IL GARANTE:

a) ai sensi dell´art. 160 del Codice, indica al Tribunale ordinario di Roma la necessità di apportare modificazioni e integrazioni alle misure di sicurezza adottate in relazione ai trattamenti di dati personali effettuati ai sensi dell´art. 47, comma 2, del Codice, che il Tribunale è tenuto ad adottare ai sensi del predetto art. 160 entro il termine di otto mesi dalla comunicazione del presente provvedimento.

Le modificazioni e integrazioni, secondo le specificazioni indicate in motivazione, riguardano:

a) Trattamento dei dati svolto senza l´ausilio di strumenti elettronici

a1) Misure strutturali

  • custodia dei fascicoli all´interno dei locali delle cancellerie;
  • presenza nei locali delle cancellerie di unità di personale in numero adeguato in funzione del controllo degli accessi ai dati;

a2) Misura fisica di protezione

  • armadi dotati di chiusura, in sostituzione di quelli non più efficienti, per la custodia dei fascicoli;

b) Trattamento dei dati svolto con l´ausilio di strumenti elettronici

b1) Misure strutturali

  • lunghezza e periodicità di rinnovo delle password utilizzate per l´accesso ai dati;
  • estensione dell´uso delle smart-card a tutti gli accessi effettuati dagli avvocati;
  • eliminazione del sistema di accesso gestito dalla Corte d´appello;
  • estensione dell´uso delle smart-card agli accessi effettuati dal personale dipendente;
  • sviluppo di funzionalità di auditing;

b2) Misure fisiche di protezione

Sale server:

  • impianti automatici di estinzione incendi;
  • porte antincendio, dotate di idonee serrature di sicurezza;
  • monitoraggio dei locali.

Log file:

  • custodia in locali controllati.

Copie di backup:

  • armadi ignifughi dotati di idonee chiusure di sicurezza, collocati in locali controllati;
  • locali distinti e lontani dalla zona di elaborazione;

b) ai sensi del medesimo art. 160 del Codice, indica al Tribunale ordinario di Roma il termine di otto mesi dalla data di ricezione del presente provvedimento per fornire riscontro all´Autorità circa l´adozione delle misure di cui alla lettera a);

c) dispone che copia del presente provvedimento venga inviata al Ministero della giustizia con riferimento alle pertinenti attribuzioni in tema di organizzazione e funzionamento dei servizi relativi alla giustizia;

d) dispone che copia del medesimo provvedimento venga trasmessa al Consiglio superiore della magistratura, per ogni opportuna conoscenza in relazione alle relative attribuzioni.

Roma, 15 novembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1480605
Data
15/11/07

Tipologie

Prescrizioni del Garante