g-docweb-display Portlet

Provvedimento del 13 ottobre 2008 [1565790]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1565790]

Provvedimento del 13 ottobre 2008

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali con particolare riferimento alle disposizioni concernenti l´ambito giudiziario e l´adozione delle misure di sicurezza nel trattamento dei dati (artt. 31 ss., 46 ss. e All. B d.lg. 30 giugno 2003, n. 196);

VISTO il provvedimento del 15 novembre 2007, adottato dal Garante a seguito di accertamenti effettuati presso il Tribunale ordinario di Roma, volti a verificare, limitatamente al settore civile, l´attuazione e l´idoneità delle misure di sicurezza adottate in relazione ai trattamenti di dati personali effettuati per motivi di giustizia;

RILEVATO che con detto provvedimento l´Autorità ha indicato al Tribunale ordinario di Roma, ai sensi dell´art. 160 del Codice, alcune modificazioni e integrazioni ritenute necessarie al trattamento dei dati svolto sia con l´ausilio di strumenti elettronici (attraverso le applicazioni informatiche in uso presso il Tribunale), sia senza l´ausilio di tali strumenti (relativamente alle informazioni contenute nei fascicoli processuali), volte a rafforzare il livello di protezione dei dati personali trattati ai sensi dell´art. 47, comma 2, del Codice, e in particolare:

a) trattamento dei dati svolto senza l´ausilio di strumenti elettronici
a1) misure strutturali

Al fine di assicurare un più idoneo controllo degli accessi ai dati personali contenuti nei fascicoli processuali da parte dei soli soggetti legittimati:

  • custodia dei fascicoli all´interno dei locali delle cancellerie;
  • presenza nei locali delle cancellerie di unità di personale in numero adeguato in funzione del controllo degli accessi ai dati.

Al fine di assicurare una più adeguata protezione dei dati:

a2) misura fisica di protezione

  • armadi dotati di chiusura, in sostituzione di quelli non più efficienti, per la custodia dei fascicoli;

b) trattamento dei dati svolto con l´ausilio di strumenti elettronici
b1) misure strutturali

Al fine di assicurare una più adeguata gestione dei dati:

  • utilizzo per l´accesso ai dati di password alfanumeriche di lunghezza non inferiore a otto caratteri e con periodicità di rinnovo non superiore a tre mesi;
  • estensione dell´uso delle smart-card a tutti gli accessi effettuati dagli avvocati, anche dalle postazioni interne al Tribunale;
  • conseguente eliminazione del sistema di accesso gestito dalla Corte d´appello;
  • estensione dell´uso delle smart-card anche agli accessi effettuati dal personale dipendente;
  • sviluppo di funzionalità di auditing, gestite direttamente dal Tribunale, che consentano il tracciamento di tutti gli accessi ai dati, anche di carattere tecnico (ad esempio, per manutenzione), e delle operazioni effettuate.

b2) misure fisiche di protezione

Al fine di assicurare una più adeguata protezione dei dati:

Sale server:

  • impianti automatici di estinzione incendi, collegati agli esistenti sistemi di rilevazione dei fumi;
  • porte antincendio dotate di idonee serrature di sicurezza;
  • monitoraggio dei locali, eventualmente anche attraverso impianti di videosorveglianza interni.

Log file:

  • custodia in locali controllati con misure fisiche di protezione analoghe a quelle indicate relativamente alle sale server.

Copie di backup:

  • custodia in armadi ignifughi dotati di idonee chiusure di sicurezza, collocati in locali controllati con misure fisiche di protezione analoghe a quelle indicate relativamente alle sale server;
  • locali distinti e lontani (ad esempio, nell´edificio di viale Giulio Cesare) dalla zona di elaborazione (posta nell´edificio di via Lepanto);

CONSIDERATO che il Garante ha assegnato al Tribunale ordinario di Roma il termine di otto mesi dalla comunicazione del predetto provvedimento per fornire riscontro all´Autorità circa l´adozione delle misure indicate;

RITENUTO che il Garante, in relazione agli obblighi di controllo ad esso affidati dal Codice (art. 160), deve verificare tale adozione;

VISTA la nota del 4 agosto 2008 con la quale il Presidente del Tribunale ordinario di Roma ha fornito riscontro all´Autorità assicurando che, allo stato, tutti i fascicoli sono collocati in armadi forniti di serratura;

RILEVATO, che il Presidente del Tribunale ha, peraltro, rappresentato, relativamente al trattamento dei dati personali svolto senza l´ausilio di strumenti elettronici, da un lato, la ristrettezza degli spazi a disposizione (che rende impossibile in quasi tutte le sezioni civili custodire i fascicoli all´interno delle cancellerie) e, dall´altro, la cronica mancanza di personale che deve essere adibito contemporaneamente sia al disbrigo dei quotidiani adempimenti, sia al controllo dei fascicoli processuali; considerato, relativamente al trattamento dei dati personali svolto con l´ausilio di strumenti elettronici, che il Presidente del Tribunale ha comunicato di avere interessato le competenti strutture del Ministero della giustizia;

RITENUTA quindi la necessità di dare atto che il Tribunale ordinario di Roma non ha adottato alcuna delle predette misure indicate con il provvedimento del 15 novembre 2007, ad eccezione di quella riguardante gli armadi forniti di serratura, misure che restano pertanto confermate;

CONSIDERATO che nel menzionato provvedimento il Garante ha, peraltro,  constatato che le modificazioni e integrazioni indicate dipendono, in misura preponderante, da misure strutturali -oltre che dalla disponibilità delle indispensabili risorse finanziarie-, la cui realizzazione richiede la necessaria collaborazione delle competenti strutture del Ministero della giustizia, a cui il Garante aveva, quindi, inoltrato copia del provvedimento, in relazione alle pertinenti attribuzioni in tema di organizzazione e funzionamento dei servizi relativi alla giustizia;

RITENUTA quindi la necessità di indicare al Ministero della giustizia la necessità di fornire al Tribunale ordinario di Roma le risorse materiali, tecniche e umane idonee a consentire al Tribunale medesimo di apportare le modificazioni e integrazioni indicate nel provvedimento del 15 novembre 2007  alle misure di sicurezza da adottare in relazione ai delicati trattamenti di dati personali effettuati ai sensi dell´art. 47, comma 2, del Codice;

RITENUTO che, attesa la particolare delicatezza delle informazioni oggetto di trattamento, il Garante rileva la necessità che il Ministero della giustizia fornisca riscontro all´Autorità circa le determinazioni che si intende adottare in un termine breve, che appare congruo fissare in tre mesi dalla data di ricezione del presente provvedimento;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

TUTTO CIÒ PREMESSO E RITENUTO IL GARANTE: 

a) dà atto che il Tribunale ordinario di Roma non ha adottato le misure, indicate in motivazione, prescritte con il provvedimento del 15 novembre 2007, che restano pertanto confermate;

b) indica al Ministero della giustizia la necessità di fornire al Tribunale ordinario di Roma le risorse materiali, tecniche e umane idonee a consentire al Tribunale medesimo di apportare le modificazioni e integrazioni indicate nel provvedimento del 15 novembre 2007 alle misure di sicurezza da adottare in relazione ai delicati trattamenti di dati personali effettuati ai sensi dell´art. 47, comma 2, del Codice;

c) indica al Ministero della giustizia il termine di tre mesi dalla data di ricezione del presente provvedimento per fornire riscontro all´Autorità circa le determinazioni che si intende adottare.

Roma, 13 ottobre 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1565790
Data
13/10/08

Tipologie

Prescrizioni del Garante