VEDI ANCHE Newsletter del 28 marzo 2024

[doc. web n. 9995724]

Parere su uno schema di decreto ministeriale relativo all’attivazione dell’archivio digitale delle intercettazioni - 22 febbraio 2024

Registro dei provvedimenti
n. 90 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003 e successive modificazioni, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto il decreto legislativo 18 maggio 2018, n. 51 e successive modificazioni, recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio” e, in particolare, l’articolo 24, comma 2;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

Il Ministero della giustizia ha richiesto il parere del Garante su di uno schema di decreto ministeriale, non avente natura regolamentare, relativo all’attivazione dell’archivio digitale delle intercettazioni.

Lo schema di decreto è adottato ai sensi dell'articolo 2, commi 5 e 6, del decreto legge 10 agosto 2023, n. 105 convertito, con modificazioni, dalla legge 9 ottobre 2023 n. 137. Tali disposizioni demandano, infatti, a un decreto ministeriale l'attivazione, presso le infrastrutture digitali interdistrettuali (istituite ai sensi dell’articolo 2, comma 1, del d.l. 105) dell'archivio digitale delle intercettazioni di cui agli articoli 269, comma 1, del codice di procedura penale e 89-bis delle disposizioni di attuazione del medesimo codice definendo, al contempo, i tempi, le modalità e i requisiti di sicurezza della migrazione e del conferimento dei dati.

L’archivio digitale - tenuto sotto la direzione e la sorveglianza del Procuratore della Repubblica- custodisce, conformemente al disposto dell’articolo 269, comma 1, c.p.p., i verbali, gli atti e le registrazioni delle intercettazioni disposte.

Lo schema di decreto si inserisce nell’ambito di un percorso graduale segnato dall’articolo 2 del decreto-legge 105, attuato sinora con due decreti ministeriali recanti, rispettivamente, l’istituzione delle infrastrutture digitali centralizzate per le intercettazioni prevista dal comma 2 (d.M. 6 ottobre 2023, sul cui schema il Garante si è espresso con parere n.460 del 28 settembre 2023) e la definizione dei requisiti tecnici specifici per la gestione dei dati presso tali infrastrutture, come previsto dal comma 3 del medesimo articolo (d.M 5 gennaio 2024, sul cui schema il Garante si è espresso con parere n. 637 del 29 dicembre 2023).

A completamento di tale percorso, l’odierno schema di decreto dispone, in attuazione dei commi 5 e 6 dell’articolo 2 del decreto-legge l'attivazione, a decorrere dal 1° marzo 2024, presso le infrastrutture interdistrettuali, dell'archivio digitale delle intercettazioni (di seguito, per brevità: “ADI”)), con la conseguente migrazione dei dati (e il conferimento dei nuovi) dalle singole procure della Repubblica secondo i tempi, le modalità e i requisiti di sicurezza in esso previsti (art. 2).

Inoltre- in conformità alle indicazioni rese dal Garante con il parere del 29 dicembre e con la conseguente previsione dell’articolo 6, comma 2, del d.M. 5 gennaio 2024 - il decreto dettaglia le ulteriori misure tecnico-organizzative di funzionamento del sistema (art. 2, c.3).

RILEVATO

Il provvedimento introduce pertanto, all’articolo 1, le definizioni necessarie all’applicazione delle sue norme tra le quali si segnalano, in particolare, le seguenti:

- “storage”, indicante la conservazione delle informazioni tramite una tecnologia sviluppata appositamente per conservarle e renderle accessibili secondo necessità (lett. b);

- “crittografia dei dati at-rest”, quale applicazione di algoritmi crittografici volta a cifrare dati e informazioni memorizzati su dispositivi di archiviazione non volatili, con l’obiettivo di garantire la riservatezza delle informazioni non soltanto quando i dati vengono utilizzati ma anche quando i supporti fisici su cui sono memorizzati sono spenti o accesi, ma comunque inutilizzati: at-rest, appunto (lett. c);

- “riservatezza”, intesa quale limitazione dell’accessibilità a dati e informazioni ai soli utenti e processi legittimati, in base alle policy definite nel sistema (lett, f);

- “SSD (Solid state drive)”, che indica dispositivi di memoria di massa caratterizzati dalla capacità di memorizzare grandi quantità di dati in modo non volatile, in assenza del ricorso a parti meccaniche (lett,g).

L’articolo 4 prevede che le operazioni di migrazione dei dati esistenti dalle singole procure della Repubblica verso le infrastrutture digitali interdistrettuali vengano effettuate dalla Direzione generale per i sistemi informativi automatizzati del Dipartimento per la transizione digitale, l'analisi statistica e le politiche di coesione del Ministero della giustizia, d’intesa con i procuratori della Repubblica, nel periodo compreso tra il 1° marzo 2024 e il 28 febbraio 2025 (comma 1).

Il comma 3 dell’articolo specifica che le operazioni di migrazione attengono ai verbali, agli atti e alle registrazioni delle intercettazioni, nonché a tutti i metadati (definiti all’articolo 1, c.1, lett.r) gestiti dall'istanza locale dell'archivio digitale delle intercettazioni presso la procura di riferimento, indispensabili per il corretto funzionamento del sistema.

Il comma 4 specifica che la migrazione avviene mediante realizzazione, su un'area intermedia di staging sita presso la sala server di riferimento dell'infrastruttura digitale, di apposita copia temporanea dei dati presenti nell'attuale istanza locale di ADI operativa presso una determinata procura della Repubblica verso l'infrastruttura digitale interdistrettuale.

I commi 7, 8, 9 e 10 precisano le misure tecnico-organizzative funzionali allo svolgimento delle operazioni di migrazione, con cancellazione delle fonti informative originali (e dei corrispondenti supporti fisici), successivamente alla copia temporanea e al trasferimento dei dati.

L’articolo 5, nel prevedere che le operazioni di migrazione dei dati debbano essere condotte garantendo, per tutta la durata delle attività, la riservatezza, l'integrità e l'autenticità dei dati trasferiti, dispone che, laddove la migrazione avvenga con modalità non telematiche, i dati debbano essere trasferiti mediante l'utilizzo di appositi dispositivi di memorizzazione (dischi SSD), capaci di garantire l'integrità e la completezza dei dati in essi contenuti durante l'intera attività di spostamento.

L’articolo 6 disciplina le operazioni di conferimento dei dati verso le infrastrutture digitali interdistrettuali dalle singole procure della Repubblica, definendone i tempi, le modalità e i requisiti di sicurezza.

L’articolo 7 prevede le misure tecnico-organizzative del sistema, disponendo in particolare che l’ADI è organizzato in modo da garantire la segmentazione logica dei dati trattati rispetto a ogni singola procura della Repubblica.

Si dispone, inoltre, che gli accessi amministrativi ai vari componenti dell'ADI siano regolamentati e protetti da autenticazione a due fattori e da un sistema di log che consenta di ricostruire tutte le operazioni effettuate in modo da tracciare in maniera non modificabile le azioni di chi svolge attività di tipo sistemistico e manutentivo.

Il comma 3 precisa che i sistemi informatici costituenti le infrastrutture digitali interdistrettuali non hanno accesso ai dati in chiaro delle intercettazioni, poiché li ricevono in forma già cifrata, né hanno accesso alla chiave di decifratura, aggiunge però che in essi sono presenti in chiaro solo i metadati che non contengono informazioni sensibili, specificando che questi ultimi devono necessariamente rimanere in chiaro per il corretto funzionamento del sistema.

L’articolo 8 disciplina il trattamento dei dati personali connesso al funzionamento dell’ADI, dettagliandone le finalità e ascrivendone (sia pur implicitamente: arg. ex c. 1, 2 e 3, nonché sulla base di esplicita asserzione nel documento recante la valutazione di impatto sulla protezione dei dati) la titolarità agli Uffici del Pubblico Ministero e la responsabilità al Ministero della giustizia, il quale può avvalersi di soggetti fornitori quali subresponsabili secondo quanto previsto dall’articolo 18, commi 2 e 3 del d.lgs. 51 del 2018, per la realizzazione di attività descritte al comma 4 dell’articolo 8 del provvedimento. 

La norma precisa le finalità sottese al trattamento correlato al funzionamento dell’ADI, perseguite dalle Procure della Repubblica, con riferimento alle attività, del giudice, delle parti e del Pubblico Ministero previste in materia dal codice di rito penale, dall’articolo 89-bis delle disposizioni di attuazione del relativo codice, nonché dall’articolo 2 del d.l. 105 del 2023.

RITENUTO

Il testo dello schema di decreto sottoposto all’esame del Garante recepisce le indicazioni fornite, in fase istruttoria, dall’Autorità, anche al fine di adeguarne le previsioni ai rilievi espressi con il parere del 29 dicembre 2023.

Sono state, in particolare, delineate (sia pur con una formulazione perfettibile, come si illustrerà) le linee di responsabilità per il trattamento in modo conforme alle previsioni del decreto-legge e alla garanzia di autonomia nell’esercizio, da parte del Procuratore della Repubblica, delle funzioni di direzione, organizzazione e sorveglianza sulle attività di intercettazioni e sui relativi dati.

Sono state, inoltre, declinate con maggiore dettaglio e sufficiente esaustività le misure tecnico-organizzative funzionali alla garanzia di livelli di sicurezza adeguati al rischio connesso al trattamento dei dati personali sotteso alla funzionalità dell’ADI, nelle varie fasi in cui esso si articola. 

Il provvedimento risulta, pertanto, scevro da criticità.

E’, tuttavia, opportuno esplicitare con previsione espressa (al momento evincibile, benché univocamente, solo in via ermeneutica) il ruolo di titolare del trattamento dei dati personali svolto dalle Procure della Repubblica, al fine di fugare possibili dubbi interpretativi e agevolare, se del caso, l’esercizio dei diritti da parte degli interessati.

IL GARANTE

ai sensi dell’articolo 24, comma 2, del d.lgs. n. 51 del 2018, esprime parere favorevole sul proposto schema di decreto ministeriale, con la condizione, esposta nel “Ritenuto”, volta a rappresentare l’esigenza di esplicitare il ruolo di titolare del trattamento svolto dalle Procure della Repubblica.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei