PROVVEDIMENTO 18 luglio 2013 - Misure di sicurezza nelle attivita' di intercettazione da parte delle Procure della Repubblica. (Provvedimento n. 356). (13A06934)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Viste le disposizioni del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito «Codice») concernenti l'adozione delle misure di sicurezza (artt. 31 e 33 - 35, e Disciplinare tecnico di cui all'Allegato B) al Codice);

Viste le disposizioni del Codice riguardanti il trattamento dei dati personali in ambito giudiziario (artt. 46 e ss.);

Visti i provvedimenti del Garante recanti «Misure di sicurezza obbligatorie per le intercettazioni» del 15 dicembre 2005 e «Intercettazioni: misure di sicurezza presso i gestori» del 20 settembre 2006 (pubblicati sul sito istituzionale www.gpdp.it, doc. web n. 1203890 e n. 1341009), con cui sono stati prescritti ai gestori di servizi di comunicazione elettronica misure e accorgimenti specificamente volti ad adeguare i livelli di sicurezza nel trattamento e nella trasmissione dei dati relativi alle intercettazioni telefoniche e telematiche che gli stessi gestori sono tenuti ad attivare su richiesta dell'Autorita' giudiziaria;

Visto il provvedimento del Garante sulla «Sicurezza dei dati di traffico telefonico e telematico» del 17 gennaio 2008 (doc. web n. 1482111), con cui sono stati prescritti ai gestori di servizi di comunicazione elettronica misure e accorgimenti volti a incrementare i livelli di sicurezza nel trattamento e nella trasmissione dei dati di traffico telefonico e telematico svolto ai sensi dell'art. 132 del Codice per finalita' di accertamento e repressione dei reati da parte dell'Autorita' giudiziaria;

Visto il provvedimento del Garante riguardante l'«Attribuzione delle funzioni di amministratore di sistema» del 27 novembre 2008 (doc. web n. 1577499), con cui sono stati prescritti ai titolari di trattamento con strumenti elettronici misure e accorgimenti di carattere organizzativo e tecnico relativi alla designazione degli «amministratori di sistema» di sistemi informativi e impianti informatici;

Rilevato che ai trattamenti di dati personali effettuati anche per ragioni di giustizia (art. 47, comma 2, del Codice) presso gli Uffici giudiziari, di ogni ordine e grado, si applicano le disposizioni del Codice che prevedono specifiche garanzie in materia di protezione dei dati per quanto riguarda le misure di sicurezza da adottare, in particolare, al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali e di accessi non autorizzati alle informazioni;

Ritenuto che, nel quadro dello svolgimento dei compiti previsti dal Codice, con provvedimento del 13 settembre 2012 il Garante ha deliberato di prendere in esame la problematica dell'applicazione delle misure di sicurezza ai trattamenti dei dati personali svolti presso le Procure della Repubblica, anche tramite la polizia giudiziaria o soggetti terzi, nell'ambito delle attivita' di intercettazione telefonica o ambientale di conversazioni o comunicazioni, anche informatiche o telematiche, effettuate per ragioni di giustizia, nonche' di controllo preventivo (artt. 266 e ss. c.p.p.;

art. 226 disp. att. c.p.p.), tema gia' affrontato dal Garante con i richiamati provvedimenti rivolti ai soli gestori di servizi di comunicazione elettronica;

Rilevato che, a tal fine, l'Autorita' ha deliberato di inoltrare una richiesta di informazioni a cura dell'ufficio volta ad acquisire da alcune Procure elementi conoscitivi utili;

Dato atto che con detto provvedimento tali uffici sono stati individuati in alcune Procure della Repubblica di medie dimensioni, dislocate in diverse aree del territorio nazionale e che hanno sede presso capoluoghi di regione e, in particolare, nelle Procure della Repubblica presso i Tribunali di Bologna, Catanzaro, Perugia, Potenza e Venezia;

Vista la documentazione in atti e, in particolare, le richieste di informazioni inoltrate a dette Procure a cura dell'ufficio e i riscontri trasmessi dagli uffici giudiziari, che hanno fornito piena collaborazione;

Considerato che da detti riscontri e' emerso un quadro sufficientemente ampio ed esauriente delle modalita' e delle procedure attraverso cui detti uffici acquisiscono e gestiscono le informazioni raccolte attraverso le attivita' di intercettazione, e delle misure che ciascuna Procura adotta per la protezione dei dati personali e dei sistemi utilizzati per gestirli;

Rilevato, peraltro, che da detti riscontri e' emerso un quadro variegato e disomogeneo di misure, di natura fisica ed informatica, adottate dagli uffici a protezione delle informazioni personali e dei sistemi;

Udito il capo del Dipartimento dell'organizzazione giudiziaria, del personale e dei servizi del Ministero della giustizia che ha illustrato le caratteristiche del progetto della gara unica per la fornitura di servizi di noleggio di apparati e di supporto informatico per le esigenze delle Procure della Repubblica connesse alla gestione delle intercettazioni;

Ritenuto che la sicurezza dei dati personali e dei sistemi in questione, per la tipologia delle informazioni trattate e delle finalita' perseguite, riveste particolare importanza e delicatezza per gli effetti che tali informazioni possono esplicare sia riguardo alla dignita' e ai diritti delle persone sottoposte a intercettazione e di quelle che comunicano con esse, sia alla necessaria efficacia delle indagini giudiziarie nel cui ambito le intercettazioni vengono compiute;

Considerato quindi che, come gia' deliberato in relazione ai trattamenti di dati personali effettuati presso alcuni uffici giudiziari, la documentazione e le informazioni acquisite hanno evidenziato l'esigenza di realizzare alcuni interventi volti ad assicurare un rafforzamento del livello di protezione dei dati personali trattati e dei sistemi utilizzati, commisurato alla indicata tipologia delle informazioni detenute;

Ritenuto, altresi', che l'evoluzione tecnologica nel campo delle comunicazioni elettroniche e gli aggravati scenari di rischio connessi all'elaborazione informatica dei dati personali richiedono di armonizzare e specificare maggiormente le misure di sicurezza di quei trattamenti svolti presso gli uffici giudiziari e relativi all'acquisizione e alla successiva elaborazione di dati personali prodotti dai gestori di servizi di comunicazione elettronica;

Considerato, quindi, che appare necessario estendere l'adozione di tali interventi alla generalita' degli uffici inquirenti, anche al fine di assicurare una tendenziale omogeneita' delle misure e degli accorgimenti volti alla tutela dei dati personali e dei sistemi, ferme restando eventuali diverse misure, gia' adottate dagli uffici, che assicurino un livello di sicurezza di pari o maggiore efficacia;

Ritenuto che, tenuto conto della menzionata evoluzione tecnologica nel campo delle comunicazioni elettroniche e dell'informatica, anche al fine di contenere i costi derivanti dalla realizzazione delle misure di sicurezza specie di natura fisica, nulla osta, nell'ottica della protezione dei dati personali e dei sistemi, all'eventuale accorpamento di piu' apparati tecnologici utilizzati da diversi Uffici di Procura per la gestione delle attivita' connesse alle intercettazioni;

Rilevato che il Garante ha il compito anche per gli uffici giudiziari di prescrivere al titolare del trattamento di dati personali le necessarie modificazioni e integrazioni, che il destinatario e' tenuto ad adottare;

rilevato che il Garante deve, altresi', verificare l'attuazione delle misure indicate, anche attraverso le particolari forme e modalita' previste dall'art. 160 del Codice;

Rilevata, quindi, la necessita' di prescrivere misure e accorgimenti volti al rafforzamento della sicurezza nel trattamento dei dati personali e dei sistemi nell'attivita' di intercettazione di conversazioni o comunicazioni elettroniche, anche informatiche o telematiche, nonche' di controllo preventivo, svolta presso le Procure della Repubblica nei termini di seguito individuati. 1. Centri Intercettazioni Telecomunicazioni Presso ogni Procura della Repubblica e' costituita una struttura, denominata Centro Intercettazioni Telecomunicazioni (C.I.T.), ove si svolgono le varie attivita' connesse all'effettuazione delle intercettazioni. La struttura e' costituita dai locali ove sono situate le postazioni di ascolto, unitamente agli apparati elettronici e informatici utilizzati per lo svolgimento dei servizi di intercettazione, tra cui: gli apparati su cui vengono indirizzate le telefonate e le altre forme di comunicazione intercettate...