Intercettazioni: rafforzare la privacy nelle infrastrutture centralizzate
Il Garante chiede di attivare procedure di autenticazione a più fattori, meccanismi di tracciamento delle operazioni effettuate e alert per segnalare eventuali anomalie
L’Autorità Garante per la Privacy nel dare il via libera allo schema di decreto del Ministero della Giustizia riguardante i requisiti tecnici per la gestione dei dati personali raccolti dalle infrastrutture digitali centralizzate per le intercettazioni, ha però chiesto - Parere 29 dicembre 2023, reso noto oggi - che venissero implementate ulteriori misure a tutela delle persone coinvolte nelle attività di captazione.
Le infrastrutture digitali centralizzate o “interdistrettuali” sono state istituite nell’agosto scorso e sono destinate non solo a ospitare il relativo archivio, ma anche a consentire la realizzazione delle operazioni captative. La loro creazione - pur conservando in capo al Procuratore l’autonoma direzione (e quindi anche la responsabilità) delle operazioni - mira ad assicurare, in particolare, più elevati e uniformi livelli di sicurezza ed efficienza nelle attività di intercettazione.
Lo schema dell’odierno decreto attuativo sottoposto al Garante definisce dunque i requisiti per la memorizzazione e la trasmissione da parte della Polizia giudiziaria al Pubblico ministero di registrazioni e verbali, al fine di assicurarne l’autenticità, l’integrità e la riservatezza.
Considerata la rilevanza quantitativa e qualitativa delle informazioni personali trattate, nel dare il proprio parere favorevole il Garante ha però indicato alcune misure tecniche ed organizzative che dovranno essere integrate per rafforzare le garanzie di sicurezza e trasparenza. In particolare le norme dovranno prevedere procedure di autenticazione a più fattori per l’accesso alle infrastrutture digitali, meccanismi di tracciamento delle operazioni effettuate e alert per segnalare eventuali anomalie.
Tali misure dovranno essere riesaminate e aggiornate periodicamente, sulla base di una valutazione di impatto che il Ministero della Giustizia dovrà trasmettere al Garante, in modo da garantire un livello di sicurezza adeguato ai potenziali rischi.
Il decreto dovrà anche specificare il ruolo assunto dal Ministero della Giustizia in merito alla gestione e manutenzione dei sistemi di collegamento digitale e alla definizione dei profili di autorizzazione per accedere all’archivio delle intercettazioni.
Comuni in ritardo nelle comunicazioni del Rpd - Con un diverso provvedimento, il Garante ha poi sanzionato 4 comuni dando il via ad una nuova serie di controlli su una vasta platea di enti locali. L’Autorithy ha infatti concluso la prima fase dell’indagine avviata per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO). Ed è già al via una nuova serie di controlli indirizzati ad una platea ancora più ampia di Comuni che non hanno comunicato all’Autorità i dati di contatto del RPD.
Rilevata la violazione per la mancata comunicazione del RPD il Garante ha comminato a tre enti locali una sanzione di 2.000 euro ciascuno, mentre al quarto ha applicato una sanzione di 5.000 euro, maggiorata poiché l’inadempimento ha riguardato la nomina di due RPD.
In tutti i provvedimenti sanzionatori il Garante ha ricordato che, per essere in linea con il Regolamento Ue, se il titolare del trattamento dei dati personali è un soggetto pubblico, quali, ad esempio, amministrazioni dello Stato, Regioni, Province, Comuni, università, aziende del Servizio sanitario nazionale, è obbligato a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura messa a disposizione dall’Autorità sul suo sito.
L’obbligo della comunicazione, previsto nel Regolamento Ue, mira a garantire la possibilità per l’Autorità di garanzia di contattare in modo facile e diretto il RPD, figura che ha tra i suoi compiti anche quello di fungere da punto di riferimento fra il titolare (o responsabile) del trattamento e l’Autorità stessa.
