Il Garante per la protezione dei dati personali (comunemente noto come Garante della privacy) ha disposto, lo scorso anno, una indagine conoscitiva presso alcune Procure della Repubblica di "medie dimensioni" (esattamente Bologna, Catanzaro, Perugia, Potenza e Venezia) per valutare, ai fini della tutela dei dati personali, il livello tecnico e gestionale in essere nell'attività di intercettazione delle comunicazioni (telefoniche, informatiche, telematiche ecc.).
Alcune criticità sono ben note a chi viene chiamato a lavorare nei C.I.T. delle Procure o nei punti di ascolto in delocalizzazione presso le singole unità di P.G. ovvero successivamente, come perito trascrittore nella fase processuale.
Alla luce di quanto riscontrato, il Garante ha adottato un provvedimento - il doc. web n. 2551507 - destinato alle Procure della Repubblica, che riguardano sia i C.I.T. che le singole unità di P.G. in delocalizzazione. Per quanto attiene alla fase processuale, sembra che si ritengano ancora sufficienti le Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero pubblicate sulla Gazzetta Ufficiale n. 178 del 31 Luglio 2008 (vedi qui).
Il Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica è stato emanato il 18 luglio 2013, ed è stato pubblicato sulla Gazzetta Ufficiale n. 189 del 13 agosto 2013, ed entreranno in vigore a diciotto mesi da questa data, anche se non è chiaro cosa possa accadere qualora il Ministero di Giustizia non fornisca le risorse idonee a consentire a detti Uffici di apportare le modificazioni e integrazioni indicate nel presente provvedimento volte a rafforzare la sicurezza nel trattamento dei dati personali e dei sistemi nell'ambito delle attività di intercettazione come chiede il Garante.
Le misure indicate dal Garante sono in buona parte norme di buona tecnica informatica ed investigativa, e questo ha dato la stura a non poche malignità nei primi commenti: se da una parte è risaputo che il concetto di informatizzazione che hanno i legislatori e i governanti è ben meritevole di critica, si deve anche ricordare che una qualsiasi normativa deve indicare un complesso integrato e coerente, compresi gli atti più elementari; è quindi fuor di luogo domandarsi se i C.I.T. fossero accessibili senza una identificazione minima, username e password per capirsi. Semmai, ci si dovrebbe domandare quanto robuste siano le password implementate e quanto sia posto in essere per impedirne l'uso promiscuo.
Le misure riguardano sia i Centri Intercettazioni Telecomunicazioni (C.I.T.) stabiliti presso ogni Procura della Repubblica sia gli Uffici di P.G. presso cui è delocalizzata l'attività di intercettazione.
Nei locali che ospitano i terminali per la ricezione, i server, gli archivi ed in ogni altro luogo deputato all'attività di intercettazione devono essere predisposti impianti di videosorveglianza a circuito chiuso e l'accesso deve essere consentito solo attraverso badge strettamente individuali ovvero attraverso identificazione biometrica; tutti gli accessi dovranno essere tracciati. Il personale di manutenzione non potrà in alcun modo accedere ai dati ultronei all'attività tecnica autorizzata direttamente dalle Procure. I protocolli di trasmissione dovranno essere interamente cifrati.
lwe postazioni di accesso dovranno tutte essere abilitate all'autenticazione degli operatori tramite "procedure rafforzate", e tutte le azioni dovranno essere annotate in registri non modificabili.
Tutte le copie dovranno essere criptate ed eseguite se e solo se ritenute indipsensabili; i contenitori degli archivi non debbono riportare informazioni intellegibili da estranei circa il contenuto; tutti i movimenti di supporti ionformatici o (sic est) cartacei dovranno avvenire solo ed esclusivamente tramite personale di P.G.
In caso di delocalizzazione degli ascolti, gli uffici di P.G. deputati debbono ottemperare alle stesse misure prescritte per i C.I.T. ed i collegamenti tra C.I.T. e i punti di ascolto remotizzati debbono essere realizzati con connessioni punto-punto o con collegamenti tipo VPN.
Il Garante, come già ricordato, ha sollecitato il Ministero della Giustizia a fornire alle Procure della Repubblica risorse idonee per attuare quanto indicato nel provvedimento.
E qui vi ci voglio ...
E qui vi ci voglio ...