DATA PROTECTION

Intercettazioni, giro di vite del Garante Privacy

L’Autorità concede 18 mesi alle Procure per rafforzare la tutela dei dati personali delle persone intercettate. Misure informatiche stringenti con postazioni abilitate, firewall per proteggere le reti e strumenti crittografici per cifrare i contenuti

Pubblicato il 24 Lug 2013

privacy-130508115703

Il Garante per la protezione dei dati personali ha prescritto alle Procure della Repubblica misure e accorgimenti per incrementare la sicurezza dei dati personali raccolti e usati nello svolgimento delle intercettazioni.

Il provvedimento è stato adottato all’esito di una indagine conoscitiva avviata dall’Autorità lo scorso anno presso un campione di Procure della Repubblica di medie dimensioni (Bologna, Catanzaro, Perugia, Potenza e Venezia) per valutare le misure tecnologiche e organizzative adottate negli Uffici giudiziari nell’attività di intercettazione di conversazioni telefoniche o di comunicazioni, anche informatiche e telematiche. Misure di sicurezza erano già state prescritte ai gestori di servizi di comunicazione elettronica che attivano la trasmissione dei dati relativi alle intercettazioni su richiesta dell’Autorità giudiziaria.

Dai riscontri ottenuti è emerso un quadro disomogeneo che ha posto l’esigenza di mettere in campo interventi volti al rafforzamento del livello di sicurezza dei dati e dei sistemi usati per gestirli, nonché di estendere tali interventi alla generalità degli Uffici inquirenti, armonizzando le misure a protezione dei dati anche alla luce delle tecnologie in costante evoluzione nel campo delle comunicazioni elettroniche e dei possibili rischi legati all’uso degli strumenti informatici.

“La protezione delle informazioni personali raccolte e usate nello svolgimento delle intercettazioni riveste particolare importanza per gli effetti che un loro uso improprio può determinare sia riguardo alla dignità e ai diritti delle persone intercettate e di quelle che comunicano con esse, sia alla necessaria efficacia delle indagini” sottolinea Antonello Soro, presidente dell’Autorità garante. Il Garante ha dunque prescritto alle Procure una serie di stringenti misure da adottare entro 18 mesi dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le misure riguardano sia i Centri Intercettazioni Telecomunicazioni (Cit) situati presso ogni Procura della Repubblica sia gli Uffici di polizia giudiziaria delegata all’attività di intercettazione.

Misure di sicurezza fisica
Nelle sale d’ascolto delle Procure, nei locali dove vengono custoditi i server per la registrazione dei flussi telefonici o telematici intercettati e in quelli in cui sono installati i terminali per la ricezione di questi flussi, l’accesso sarà possibile solo tramite badge individuali nominalmente assegnati (cui va associato un codice numerico a conoscenza solo dell’interessato) o dispositivi biometrici. Gli accessi dovranno essere tracciati. Il personale tecnico adibito alle operazioni di manutenzione o a interventi tecnici dovrà essere previamente autorizzato dalla Procura. Al personale tecnico dovrà comunque essere consentito l’accesso solo a dati, informazioni e documenti strettamente necessari al compimento degli interventi di manutenzione. Dovrà essere prevista l’adozione di impianti di videosorveglianza a circuito chiuso.

Misure di sicurezza informatica
L’accesso di ciascun operatore, compresi gli amministratori di sistema, ai sistemi e ai server utilizzati nelle attività di intercettazione dovrà avvenire solo da postazioni abilitate ed effettuato da operatori autenticati tramite procedure rafforzate. Le postazioni dovranno essere connesse a reti protette con firewall. Tutte le operazioni svolte nell’ambito delle attività di intercettazione (quali ascolto, consultazione, registrazione, duplicazione e archiviazione delle informazioni, trascrizione delle intercettazioni, manutenzione dei sistemi, distruzione delle registrazioni e dei supporti) dovranno essere annotate in registri informatici con tecniche che ne assicurino la inalterabilità.

La masterizzazione e l’eventuale duplicazione dei contenuti delle intercettazioni dovranno essere effettuate solo se indispensabili e solo da personale abilitato. Le registrazioni trasferite su supporti rimovibili ad esempio cd, dovranno essere protette con tecniche crittografiche. I contenitori o i plichi utilizzati per il trasporto dei supporti non dovranno recare indicazioni che consentano ad estranei di individuare l’oggetto dell’intercettazione.

La trasmissione all’Autorità giudiziaria dei supporti e della documentazione cartacea, quali le trascrizioni del contenuto delle intercettazioni, dovrà avvenire esclusivamente mediante personale di polizia giudiziaria.

Le tracce foniche, le altre informazioni acquisite e le eventuali copie di sicurezza (backup) dovranno essere conservate in forma cifrata. Ogni estrazione di dati dovrà essere effettuata con procedure crittografiche.

Lo scambio di dati tra Autorità giudiziaria e gestori di servizi Internet dovrà avvenire attraverso sistemi basati su protocolli di rete sicuri e in modo cifrato. Anche la trasmissione delle comunicazioni telematiche intercettate (flussi di indirizzi Ip, posta elettronica) dal punto di estrazione dalla rete del gestore fino agli apparati riceventi presso i Cit dovrà essere cifrata.

Remotizzazione degli ascolti
In caso di ricorso alla cosiddetta “remotizzazione” – cioè al reindirizzamento dei flussi delle comunicazioni oggetto di intercettazione dai centri presso le Procure verso gli Uffici di polizia giudiziaria delegata – le misure fisiche e informatiche da adottare nei locali di ascolto e registrazione delle intercettazioni dovranno essere le stesse prescritte per i Cit. I collegamenti tra le Procure e gli Uffici di polizia giudiziaria dovranno essere realizzati con connessioni “punto-punto” dedicate o con collegamenti in rete protetti (tipo Vpn).

Il Garante ha segnalato, infine, al Ministero della giustizia la necessità di fornire alle Procure della Repubblica le risorse idonee a dare attuazione a quanto prescritto nel provvedimento.

“Il provvedimento – conclude Soro – rientra nel quadro di una più generale azione di messa in sicurezza dei dati personali dei cittadini che il Garante sta portando avanti nei confronti di tutte le amministrazioni pubbliche”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati