Tre mesi di tempo ai
gestori di servizi telefonici per adeguarsi alle norme sulla privacy per le
attività svolte per le intercettazioni disposte dalla magistratura. Scaduto
questo termine, per i gestori che non risulteranno in regola, scatterà il
blocco delle operazioni di trattamento dei dati. Lo ha deciso il Garante della
Privacy che in un nota (che richiama una decisione del 15 dicembre 2005) con la
quale ricorda che dai riscontri forniti all’Autorità dai gestori telefonici è
emerso un quadro complessivo che evidenzia una mancata, parziale o ritardata
attuazione delle misure prescritte con il provvedimento del dicembre scorso,
nel quale era stato fissato un termine di 180 giorni per la loro completa
adozione, termine scaduto nelle scorse settimane. La decisione dell’Autorità di
concedere un breve ed ultimo termine tiene conto della necessità di non
pregiudicare le attività di intercettazione legale in corso e del fatto che i
gestori hanno comunque attestato di essere in procinto di ultimare le procedure
per adempiere a quanto richiesto. Gli accorgimenti prescritti dal Garante ai
gestori riguardano in particolare: l’individuazione più selettiva del ristretto
numero di incaricati designati a trattare i dati; la separazione tra i dati di
carattere contabile e i dati documentali prodotti nel corso delle attività
svolte su richiesta dell’autorità giudiziaria; l’adozione di procedure di
autenticazione robuste per l’accesso informatico da parte del personale
incaricato ai dati trattati, con il ricorso anche a caratteristiche
biometriche; l’adozione di sistemi di comunicazione con l’autorità giudiziaria
basati su aggiornati strumenti telematici e tecniche di firma digitale,
evitando l’uso di sistemi meno sicuri (es.telefax); la maggiore protezione dei
dati, per il periodo di presenza nei data base dei gestori, con strumenti
avanzati di cifratura; la cancellazione immediata dei dati dopo la loro
comunicazione all’autorità giudiziaria.(26
settembre 2006) Nuove misure di sicurezza presso i
gestori per le intercettazioni - 15 dicembre 2005 IL GARANTE PER LA PROTEZIONE DEI
DATI PERSONALI NELLA riunione odierna, in
presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe
Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale; VISTI gli accertamenti disposti
dal Garante per verificare la liceità e la correttezza dei trattamenti di dati
personali effettuati da fornitori di servizi di comunicazione elettronica per
dare esecuzione a provvedimenti di intercettazione telefonica e telematica
adottati dall’autorità giudiziaria; VISTA la documentazione in atti; VISTE le osservazioni dell’Ufficio
formulate dal segretario generale ai sensi dell’art. 15 del regolamento del
Garante n. 1/2000; RELATORE il prof. Francesco
Pizzetti; PREMESSO Il 2 agosto 2005 il Garante ha
avviato accertamenti nei confronti dei principali fornitori di servizi di
comunicazione elettronica (di seguito, "fornitori") sulle modalità
con le quali essi adempiono ai provvedimenti dell’autorità giudiziaria in
materia di intercettazioni. Ciò, al fine di verificare la liceità e la
correttezza dei trattamenti di dati in riferimento alla disciplina rilevante in
materia di protezione dei dati personali, con particolare riguardo alle disposizioni
a garanzia della libertà e della segretezza della corrispondenza e di ogni
altra forma di comunicazione. Nell’ambito degli accertamenti,
effettuati in conformità al predetto Codice con richiesta ai sensi del relativo
art. 157, sono stati acquisiti presso i fornitori vari elementi necessari per
il controllo sulle attività dagli stessi svolte a qualunque titolo per eseguire
intercettazioni lecite (telefoniche, informatiche, telematiche o ambientali,
anche di tipo preventivo: artt. 266 ss. e 226 disp. att. c.p.p.), o comunque
correlate con le intercettazioni medesime. Il 7 ottobre 2005 è stato disposto
un supplemento di istruttoria, anche in riferimento alle operazioni svolte a
supporto di attività investigative o di indagine in attuazione del recente d.l.
n. 144/2005 sul contrasto al terrorismo. In questo quadro, sono stati esaminati
anche i dati numerici delle richieste provenienti dall’autorità giudiziaria,
inerenti al numero di intercettazioni che hanno avuto inizio e alla loro durata
media, espressa in giorni, nonché al numero di tabulati forniti per la
documentazione del traffico c.d. "storico". OSSERVA 1. Intercettazioni telefoniche e
telematiche Il tema del trattamento dei dati
connessi alle intercettazioni presso i fornitori riveste particolare
delicatezza con riferimento alla sfera personale degli indagati (e delle altre
persone estranee alle indagini, ma coinvolte nelle comunicazioni e
conversazioni) e alla segretezza delle indagini. L’esame dei vari profili, compreso
quello della riservatezza dei dati e della sicurezza dei sistemi utilizzati per
trattarli, è stato quindi condotto con particolare attenzione in considerazione
dei diritti fondamentali delle persone interessate e degli interessi pubblici
coinvolti. Dagli elementi acquisiti e che i
fornitori hanno prodotto sotto la propria responsabilità, anche penale, con
riguardo alla genuinità di quanto attestato o documentato (art. 168 del
Codice-Falsità nelle dichiarazioni e notificazioni al Garante), emerge che
l’attività dei medesimi fornitori resta caratterizzata da una funzione
strumentale rispetto a quanto disposto dall’autorità giudiziaria penale. I fornitori hanno attestato di
limitarsi a svolgere i soli adempimenti di carattere tecnico necessari a porre
in essere le attività richieste dall’autorità giudiziaria (intercettazioni;
fornitura di flussi di linee e circuiti; interruzione o sospensione di servizi;
supporti tecnici per servizi di emergenza). I medesimi fornitori hanno altresì
attestato di non avere alcun accesso ai contenuti delle comunicazioni e delle
conversazioni, anche temporaneo o mediante trascrizioni, a livello centrale o
locale. Ciò, anche in quanto le medesime comunicazioni e conversazioni sono
effettuate duplicando la linea di comunicazione dell’indagato e instradando la linea
duplicata verso un c.d. Cit (Centro intercettazioni telefoniche), indicato
dall’autorità giudiziaria richiedente e connesso ad una rete fissa. Le predette
attività sono svolte senza intermediazione di terzi e -salvo che in alcuni casi
di roaming- nei confronti solo degli utenti dei fornitori medesimi. Pur non venendo a conoscenza dei
predetti "contenuti", i fornitori raccolgono, selezionano, elaborano
e trattano con altre operazioni una notevole quantità di dati personali
riferibili agli indagati e ai terzi con i quali essi comunicano. Si tratta di dati personali
riservati e delicati che attengono, in particolare, all’identità dei soggetti
sottoposti ad intercettazione, all’arco temporale di svolgimento
dell’intercettazione e ai dati di traffico telefonico o telematico inerenti
alle linee intercettate (data, ora, numero chiamato e durata della
comunicazione o conversazione). A seconda dei casi, tenendo conto
delle specifiche richieste dell’autorità giudiziaria, i medesimi dati sono
integrati da informazioni tecniche aggiuntive relative ai dettagli delle
chiamate entranti, ai tentativi di chiamata in entrata o in uscita e ai i dati
di localizzazione geografica dell’utenza intercettata. I fornitori di telefonia
mobile tengono traccia anche dell’identificativo numerico della stazione base
impegnata dall’utenza intercettata. I servizi di messaggistica del
tipo sms/mms sono compresi nelle attività di intercettazione; i fornitori hanno
specificamente attestato di non avere alcuna possibilità di accedere, anche retroattivamente,
al loro contenuto. Tuttavia, una società (TIM Italia
S.p.a.) ha espressamente specificato che, nei casi in cui il Cit non è dotato
di risponditore idoneo a ricevere tali messaggi (risulta che ad oggi solo il 7%
dei Cit ne disponga), alla documentazione di traffico viene abbinata la
registrazione del testo del messaggio, per un tempo determinato. In tali casi,
i messaggi vengono a volte archiviati dal fornitore, in forma cifrata, e
successivamente trasmessi all’autorità giudiziaria richiedente. In questi
stessi casi, il fornitore ha la materiale possibilità di entrare a contatto con
il contenuto delle comunicazioni, la cui concreta riservatezza dipende dalle
misure tecniche messe in atto e dal controllo esercitato sugli incaricati del
trattamento. Le intercettazioni telematiche
sono quantitativamente meno rilevanti rispetto a quelle telefoniche e
riguardano in prevalenza sia il traffico Ip sviluppato su linee telefoniche o
collegamenti a larga banda (Internet Protocol), sia comunicazioni tramite posta
elettronica. Queste ultime vengono realizzate predisponendo un inoltro
automatico della corrispondenza ricevuta e spedita dall’intercettato mediante
un’utenza di posta elettronica fornita dal fornitore. 2. Ulteriori servizi Le operazioni svolte a supporto
dell’attività investigativa possono riguardare aspetti diversi dalle
intercettazioni. Si tratta di operazioni che coincidono con quelle elencate nel
listino di cui al decreto interministeriale 26 aprile 2001 ("Approvazione
del listino relativo alle prestazioni obbligatorie per gli organismi di
telecomunicazione"), in attesa dell’approvazione in proposito del
"Repertorio" previsto dal Codice delle comunicazioni (art. 96, comma
2). Tra tali operazioni sono comprese
le interrogazioni anagrafiche, la localizzazione dell’utenza, l’identificazione
della linea chiamante o della linea connessa, il tracciamento, la sospensione o
la limitazione dei servizi agli utenti, la documentazione del traffico
pregresso contabilizzato e la documentazione integrale del traffico storico. A differenza di quanto avviene in
occasione delle conversazioni telefoniche intercettate, i fornitori hanno la
possibilità di conoscere tali informazioni prodotte o raccolte nel compimento
delle predette operazioni. Sono i fornitori, infatti, ad estrarre i dati, a
selezionarli secondo i criteri richiesti dall’autorità giudiziaria, ad
organizzarli in tabulati e a spedirli al richiedente. In tutte queste fasi, i
dati restano nella disponibilità del fornitore e non può essere escluso che gli
incaricati operanti in ambito aziendale debbano poterli conoscere, anche in
parte, per svolgere alcune tra le operazioni medesime. In alcuni casi, inoltre, i
fornitori sono chiamati a prestare un supporto tecnico alla realizzazione di
intercettazioni ambientali o di operazioni di videosorveglianza investigativa.
Quest’ultima risulta svolta utilizzando la rete telefonica fissa per
convogliare verso il centro indicato dall’autorità giudiziaria le immagini
riprese da apposite telecamere. 3. Profili critici e prescrizioni
del Garante Dagli accertamenti svolti non
emergono profili di illiceità nel trattamento dei dati personali. In termini generali, le modalità
esecutive previste dai diversi fornitori per le varie fasi di svolgimento dei
servizi garantiscono un primo livello di sicurezza dei dati personali, con
procedure sottoposte a un processo di certificazione di regola secondo standard
internazionali di sicurezza. In base agli elementi acquisiti va
però constatata la necessità di incrementare sensibilmente tale livello di
sicurezza, in particolare per quanto riguarda le diverse interazioni tra i
fornitori e l’autorità giudiziaria. Il Garante rileva quindi la
necessità di prescrivere ai fornitori di adottare alcuni accorgimenti e misure,
ulteriori rispetto a quelle minime di cui agli artt. 33 ss. del Codice in
materia di protezione dei dati personali e al disciplinare tecnico allegato,
atti a garantire maggiormente la protezione dei dati. Tali prescrizioni riguardano la
forma e l’autenticità dei decreti di inizio attività che pervengono ai
fornitori, le modalità di invio e di ricezione della relativa documentazione,
la gestione dei profili di autorizzazione e l’attribuzione dei diritti di
accesso alle risorse informatiche, anche con riferimento a singoli incaricati. Non sono oggetto di prescrizione i
profili concernenti più direttamente la conservazione dei dati di traffico per
finalità di accertamento e repressione dei reati, che saranno oggetto
dell’apposito provvedimento del Garante da adottare ai sensi dell’art. 132,
comma 5, del Codice. 3.1
Aspetti organizzativi della sicurezza Profili esaminati L’organizzazione delle funzioni
aziendali dedicate ai servizi di supporto all’autorità giudiziaria, come
attestata dai fornitori, risulta nel suo complesso sufficiente, rispondendo in
termini generali a criteri di suddivisione delle competenze e di accentramento
della responsabilità. Devono essere tuttavia perseguiti,
con idonei strumenti organizzativi, livelli di sicurezza più elevati, limitando
in particolare la conoscibilità delle informazioni comunque attinenti
all’attività svolta per scopi di giustizia. Prescrizione Le funzioni aziendali cui compete
lo svolgimento di servizi per conto dell’autorità giudiziaria devono adottare
un modello organizzativo che limiti al minimo la conoscibilità delle
informazioni relative alle attività svolte per esigenze di giustizia, con una
rigida partizione della visibilità dei dati su base organizzativa, funzionale e
di area geografica di competenza. Il personale che a qualsiasi
titolo tratti questi dati deve essere designato in termini selettivi quale
incaricato del trattamento. Deve essere garantito ogni
scrupolo nella gestione e nel mantenimento della qualità delle credenziali di
autenticazione per l’accesso informatico ai dati trattati, conformando le
procedure di gestione delle credenziali e i sistemi di autorizzazione a
principi rigidi di coerenza delle abilitazioni nei sistemi informativi con i
ruoli e le funzioni assegnate agli incaricati designati. I mutamenti di ruolo o di funzione
di un incaricato devono essere pertanto recepiti immediatamente, con le
conseguenti opportune variazioni dei relativi profili di autorizzazione. Deve essere realizzata, anche
attraverso l’opportuna configurazione dei sistemi informatici utilizzati nel
processo di gestione delle attività, una separazione marcata tra i dati di
carattere amministrativo-contabile e i dati documentali prodotti nel corso
delle attività svolte su richiesta dell’a.g., inibendo la possibilità per un
operatore amministrativo-contabile di accedere ai dati documentali prodotti
nell’ambito dell’attività svolta. L’accesso ai sistemi informatici di
protocollazione ed archiviazione dei documenti scambiati con l’a.g. deve essere
controllato tramite procedure di autenticazione robuste, con il ricorso anche a
caratteristiche biometriche, in sintonia con le previsioni di cui alla regola
n. 2 del predetto disciplinare tecnico in materia di misure minime di
sicurezza. 3.2
Sicurezza dei flussi informativi con l’autorità giudiziaria Profili esaminati La gestione da parte del fornitore
dei provvedimenti di intercettazione o che richiedono altri tipi di servizio
sempre per conto dell’autorità giudiziaria è articolata in varie fasi, che
comprendono: la ricezione in copia, con
differenti modalità (posta ordinaria, messaggio telefax, posta elettronica o
consegna diretta), del decreto di inizio attività; la verifica dell’autenticità e
dell’esistenza dei requisiti formali della richiesta, nonché della loro
completezza; gli accertamenti e le attività tecniche
strumentali che portano a svolgere, anche attraverso flussi di informazioni
interni al fornitore ed eventuali contatti con l’autorità giudiziaria, la vera
e propria azione di intercettazione, per consentire la conoscenza delle
conversazioni e delle comunicazioni da parte dei Cit; la trasmissione all’autorità
giudiziaria dei dati accessori (dati di traffico, localizzazione, altre
informazioni), utilizzando un mezzo di comunicazione concordato con la medesima
autorità; la fatturazione e la cancellazione
dei dati trattati (eccetto quelli necessari per scopi contabili e di
documentazione delle attività svolte, che vengono custoditi con particolari
modalità). Dall’analisi dei vari flussi
informativi si evidenzia la necessità di un rigoroso controllo, per evitare che
venga dato seguito ad ipotetiche richieste da parte di soggetti non
legittimati. Sono altresì necessarie modalità di comunicazione tra i fornitori
e l’autorità giudiziaria che garantiscano maggiormente la riservatezza delle
informazioni scambiate. Va in proposito constatata
favorevolmente la messa a disposizione per questi scopi, da parte di alcuni
fornitori, di servizi e-mail con interfaccia web di tipo Ssl (Secure Socket
Layer–connessione cifrata), o anche di più articolati strumenti software basati
sullo stesso tipo di interfaccia, che evitano la circolazione in rete di
messaggi, con relativi allegati, ancorché protetti da forme di cifratura, che
potrebbero andare incontro a tutti gli ordinari inconvenienti che possono
interessare i sistemi di posta Smtp: ritardate consegne, mancate consegne a
causa di errori di indirizzo o di condizioni di traffico sulla rete, fino al
caso più preoccupante di possibile erronea consegna a un destinatario diverso
da quello legittimo. Prescrizione I fornitori devono provvedere
affinché l’interscambio di informazioni con l’autorità giudiziaria avvenga
evitando il ricorso a canali non affidabili, o affidabili solo parzialmente,
sia dal punto di vista delle prestazioni, sia da quello della sicurezza, adottando
a tal fine sistemi di comunicazione basati su aggiornati strumenti telematici
sviluppati con protocolli di rete sicuri. In questo ambito devono essere
adottate tecniche di firma digitale evitando la cifratura dei documenti con
strumenti tecnicamente deboli a livello applicativo, ed altre prassi inidonee,
come la negoziazione di chiavi crittografiche simmetriche in modo informale su
canali insicuri. La comunicazione all’autorità
giudiziaria dei risultati dell’attività strumentale svolta (tramite tabulati
elettronici o in altro formato informatico), deve quindi avvenire
esclusivamente in modo cifrato con strumenti di firma digitale che assicurino
l’identificazione delle parti comunicanti, l’integrità e la protezione dei
dati, nonché la completezza e la correttezza delle informazioni temporali (date
ed orari di formazione dei documenti o della loro trasmissione e consegna). Queste forme più sicure di
comunicazione possono essere realizzate con tecnologie di rete disponibili
anche in forma di applicazioni web oriented dedicate, accessibili ai soli
utenti legittimati e che consentano anche l’interscambio di messaggi tra i
fornitori e l’autorità giudiziaria. La posta elettronica Internet può
essere utilizzata esclusivamente nella forma della posta elettronica
certificata (Pec) di cui al d.P.R. 11 febbraio 2005, n. 68 e relative regole
tecniche di attuazione. Sia il ricevimento delle
richieste, sia la comunicazione dei risultati, possono avvenire anche mediante
consegna manuale della documentazione, da effettuarsi tramite soggetti delegati
dall’autorità giudiziaria. I fornitori, al momento della consegna, dovranno
acquisire i dati identificativi del latore della comunicazione e annotare in un
apposito registro gli estremi della comunicazione (data, ora, identità del
messo, ecc.). Durante il decorso del termine di
seguito stabilito per adempiere al presente provvedimento, i mezzi di
comunicazione meno sicuri, come ad esempio il telefax analogico, vanno
utilizzati soltanto in caso di impossibilità tecnica di utilizzare i canali
sicuri eventualmente già disponibili. 3.3
Protezione dei dati trattati per scopi di giustizia Profili esaminati Come già rilevato, nel prestare
altri servizi a supporto di indagini giudiziarie oltre alle intercettazioni, i
fornitori vengono a conoscenza di una notevole mole di informazioni personali
collegate alle modalità di comunicazione della persona sottoposta ad
intercettazione con i propri interlocutori. Queste informazioni vengono
elaborate e raccolte dal fornitore, per essere successivamente consegnate
all’autorità giudiziaria che le ha richieste. Almeno per il lasso di tempo
intercorrente tra la loro raccolta e la comunicazione all’autorità giudiziaria,
queste stesse informazioni possono essere trattate lecitamente tramite i sistemi
tecnologici e le funzioni aziendali preposte dal fornitore, il quale rimane
però investito della responsabilità di proteggerle in modo idoneo a prevenire,
per quanto tecnicamente possibile, ogni forma di abuso. Prescrizione Il Garante ritiene necessario che
i fornitori sviluppino o integrino nei propri sistemi informativi rivolti al
trattamento dei dati personali acquisiti o formati per scopi di giustizia
strumenti informatici idonei ad assicurare il controllo sulle attività svolte
da ciascun incaricato sui singoli elementi di informazione presenti nei
database utilizzati. Ogni accesso a dati personali relativi a persone
sottoposte ad intercettazione o a persone che comunicano con esse deve essere
tracciato tramite una registrazione in un apposito audit log che consenta di
verificare a posteriori il corretto utilizzo delle informazioni. Tutti i dati personali acquisiti o
formati per scopi di giustizia devono essere protetti con moderni strumenti di
cifratura precludendo la loro conoscibilità da parte di soggetti non
legittimati -dipendenti del fornitore, addetti alla manutenzione, ecc.- nel
periodo di loro presenza nel sistema informativo del fornitore. La persistenza di dati personali
nei sistemi informativi dei fornitori, se imposta da ragioni tecniche, deve
essere comunque strettamente limitata a quanto necessario per attuare i
provvedimenti dell’autorità giudiziaria, prevedendone la cancellazione
immediatamente dopo la loro corretta comunicazione all’a.g. richiedente. Le prescrizioni di cui al presente
punto 3 sono impartite prevedendo un termine di adeguamento di 180 giorni
decorrenti dalla data di ricezione del presente provvedimento, termine che
tiene in debito conto anche la necessità che l’evoluzione e l’aggiornamento
tecnologico in corso negli uffici giudiziari avvengano secondo modalità
coerenti con le prescrizioni suindicate. Entro tale termine, i singoli
fornitori oggetto degli accertamenti dovranno fornire al Garante un dettagliato
riscontro sulle misure e sugli accorgimenti adottati in attuazione del presente
provvedimento, anche in relazione alle attività pianificate e al loro stato di
avanzamento. TUTTO CIÒ PREMESSO IL GARANTE ai sensi dell’articolo 154, comma
1, lett. c), del Codice prescrive ai fornitori di servizi di comunicazione
elettronica che svolgono le attività su richiesta dell’autorità giudiziaria di
adottare, nei termini di cui in motivazione, le misure e gli accorgimenti
indicati al punto 3, in particolare per quanto riguarda: a) aspetti organizzativi della
sicurezza adozione di un modello
organizzativo che limiti al minimo la conoscibilità delle informazioni
trattate, con una rigida partizione della visibilità dei dati su base
organizzativa, funzionale e di area geografica di competenza; designazione selettiva degli
incaricati, a qualsiasi titolo, del trattamento di dati personali; rigoroso controllo della qualità e
della coerenza delle credenziali di autenticazione per l’accesso informatico ai
dati trattati; separazione tra i dati di
carattere amministrativo-contabile e i dati documentali prodotti; procedure di autenticazione
robuste, con il ricorso anche a caratteristiche biometriche; b) sicurezza dei flussi
informativi con l’autorità giudiziaria adozione di sistemi di
comunicazione basati su aggiornati strumenti telematici sviluppati con
protocolli di rete sicuri; adozione di tecniche di firma
digitale per la cifratura dei documenti; utilizzo di strumenti di cifratura
basati su firma digitale per la comunicazione all’autorità giudiziaria dei
risultati dell’attività strumentale svolta; utilizzo della posta elettronica
Internet esclusivamente nella forma della posta elettronica certificata (Pec); ricorso alla consegna manuale di
documenti esclusivamente tramite soggetti delegati dall’autorità giudiziaria,
provvedendo alla tenuta di un apposito registro delle consegne; limitazione dell’uso dei mezzi di
comunicazione meno sicuri ai soli casi di impossibilità tecnica di utilizzare i
canali sicuri eventualmente già disponibili; c) protezione dei dati trattati
per scopi di giustizia sviluppo di strumenti informatici
idonei ad assicurare il controllo delle attività svolte da ciascun incaricato
sui singoli elementi di informazione presenti nei database utilizzati, con
registrazione delle operazioni compiute in un apposito audit log; adozione di moderni strumenti di
cifratura per la protezione dei dati nel periodo di loro presenza nel sistema
informativo del fornitore; limitazione della persistenza dei
dati personali a quanto strettamente necessario per attuare i provvedimenti
dell’autorità giudiziaria, prevedendone la cancellazione immediatamente dopo la
loro corretta comunicazione all’autorità giudiziaria richiedente; d) integrale adeguamento entro 180
giorni decorrenti dalla data di ricezione del presente provvedimento e
riscontro al Garante sulle misure e sugli accorgimenti adottati, termine che
tiene in debito conto anche la necessità che l’evoluzione e l’aggiornamento
tecnologico in corso negli uffici giudiziari avvengano secondo modalità
coerenti con le prescrizioni su indicate. Da Cittadinolex.it |
|
|
© asaps.it |