Parere su uno schema di decreto recante i requisiti tecnici specifici...
Parere su uno schema di decreto recante i requisiti tecnici specifici per la gestione dei dati presso le infrastrutture digitali interdistrettuali per le intercettazioni - 29 dicembre 2023 [9978591]
Condividi
VEDI ANCHE Newsletter del 6 febbraio 2024
[doc. web n. 9978591]
Parere su uno schema di decreto recante i requisiti tecnici specifici per la gestione dei dati presso le infrastrutture digitali interdistrettuali per le intercettazioni - 29 dicembre 2023
Registro dei provvedimenti
n. 637 del 29 dicembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;
Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;
Vista la richiesta di parere del Ministero della giustizia;
Vista la documentazione in atti;
Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
PREMESSO
Il Ministero della giustizia ha richiesto il parere del Garante su di uno schema di decreto recante i requisiti tecnici specifici per la gestione dei dati presso le infrastrutture digitali interdistrettuali per le intercettazioni.
Esso è adottato ai sensi dell’articolo 2, comma 3 del d.l. 10 agosto 2023, n. 105, convertito, con modificazioni, dalla l. 137 del 2023, che demanda appunto a tale atto la definizione dei requisiti tecnici per la gestione dei dati presso le infrastrutture digitali centralizzate per le intercettazioni, al fine di assicurarne l'autenticità, l'integrità e la riservatezza, anche in relazione alla fase di conferimento e ai sistemi utilizzati per il ripristino. A tale atto è, inoltre, demandata la disciplina del collegamento telematico tra le infrastrutture digitali e i luoghi di ascolto presso le Procure della Repubblica, al fine di garantirne il massimo livello di sicurezza e riservatezza.
L’articolo 2 del decreto-legge istituisce infatti- mediante un percorso graduale segnato da decreti attuativi da sottoporre al parere del Garante (art. 2, c. 9, u.p., d.l. 105/23)- specifiche infrastrutture digitali centralizzate per le intercettazioni, destinate non solo a ospitare il relativo archivio, ma anche a consentire la realizzazione delle operazioni captative. Tale progetto -pur conservando in capo al Procuratore l’autonoma direzione (e quindi anche la responsabilità) delle operazioni- mira ad assicurare, in particolare, più elevati e uniformi livelli di sicurezza ed efficienza nelle attività di intercettazione.
Il primo decreto attuativo (volto a individuare le infrastrutture digitali e a definire i “requisiti tecnici essenziali al fine di assicurare la migliore capacità tecnologica, il più elevato livello di sicurezza e l'interoperabilità dei sistemi”), è stato adottato con d.M. 6 ottobre 2023, ai sensi dell’articolo 2, c. 2, del d.l. 105, previo parere favorevole del Garante reso il 28 settembre 2023.
L’odierno decreto è adottato, invece, ai sensi dell’articolo 2, comma 3 del d.l. 105, per definire i requisiti tecnici specifici per la gestione dei dati correlati al funzionamento delle infrastrutture per le intercettazioni, al fine di assicurarne l'autenticità, l'integrità e la riservatezza, anche in relazione all’aspetto relativo al conferimento dei dati e al collegamento tra le infrastrutture e con i luoghi di ascolto presso le Procure della Repubblica.
RILEVATO
Lo schema di decreto, al suo primo articolo, reca le definizioni rilevanti per la sua applicazione tra le quali si segnalano, in particolare, le seguenti:
- autenticità, quale capacità di identificare con certezza la provenienza di dati e delle informazioni (lett.a);
- integrità, quale caratteristica relativa alla necessità per dati e informazioni memorizzate in un sistema o scambiate tra due entità di essere protette da modifiche non autorizzate, quali alterazione, cancellazione o aggiunta, ovvero meccanismi per i l controllo dell'accesso ai dati (lett.b);
- riservatezza, quale limitazione dell’accessibilità a dati e informazioni ai soli utenti legittimati e nell’ambito di processi individuati, in base alle policy definite dal sistema;
- conferimento, inteso quale processo di riversamento dei verbali e delle registrazioni trasmesse al Pubblico Ministero dalla polizia giudiziaria nell'archivio digitale delle intercettazioni di cui all'articolo 269, comma 1, c.p.p. (lett. e);
- trasferimento logico, inteso quale trasferimento di un dato che non ne implica lo spostamento fisico, ottenuto attraverso una modifica delle regole di visibilità associate ad esso (lett.h);
- hash crittografico, quale funzione deterministica e non invertibile che mappa un dato arbitrario in input in una stringa di lunghezza predefinita (lett.i);
- meccanismo di autenticazione del dato, inteso quale processo che consente di associare ad un dato il relativo hash crittografico, generato anche utilizzando in ingresso alla funzione di hash uno o più segreti di natura simmetrica (lett. j);
- ldentity Access Management (IAM), quale sistema integrato di tecnologie, regole e processi per controllare gli accessi degli utenti ad applicazioni e dati (lett, t).
Il secondo articolo delinea l’oggetto e l’ambito di applicazione del decreto, individuando il primo nei requisiti tecnici specifici tesi ad assicurare l’autenticità, l’integrità e la riservatezza dei dati gestiti dai sistemi informativi funzionali alle attività di intercettazione eseguite da ciascun Ufficio del Pubblico Ministero, nonché il collegamento telematico – con garanzia di sicurezza e riservatezza- tra le infrastrutture digitali interdistrettuali e gli impianti installati nella procura della Repubblica.
Il secondo e il terzo comma dell’articolo 2 prevedono poi, rispettivamente, che le infrastrutture digitali interdistrettuali assicurino la memorizzazione delle conversazioni e delle comunicazioni intercettate nell'ambito di un procedimento penale e che i sistemi di ripristino dei dati siano nativamente integrati all'interno della piattaforma tecnologica di memorizzazione, operativa presso le infrastrutture digitali interdistrettuali.
L’articolo 3 dispone che ogni attività di conferimento dei dati, fino alla loro utilizzazione, debba essere processata mediante meccanismi di autenticazione e/o di firma digitale, al fine di assicurarne l’integrità e l’autenticità.
Il terzo comma dell’articolo prevede che vengano assicurate la tracciabilità e l’immediata e diretta conoscibilità, da parte del procuratore della Repubblica, di ogni accesso o intervento sulle infrastrutture e sui software, nonché di qualsiasi altra attività di accesso, acquisizione, trattamento e recupero dei dati.
L’articolo 4 prevede disposizioni tese ad assicurare la riservatezza e la sicurezza dei dati stabilendo, espressamente, che gli eventi “costituenti” le intercettazioni (il rinvio all’art. 2, c.2, lascia intendere ci si riferisca alle operazioni ad esse relative) siano contenuti in un file contenitore criptato mediante un algoritmo simmetrico, caratterizzato da elevata resistenza ad attacchi di tipo bruteforce (comma 2).
Lo stesso articolo dispone che la chiave simmetrica utilizzata come input dell'algoritmo debba essere trasmessa alla Procura garantendone la segretezza attraverso un processo di ulteriore cifratura (comma 3).
Il medesimo articolo prevede, poi, che l’accesso ai dati delle intercettazioni sia regolamentato attraverso politiche di gestione delle chiavi simmetriche, limitando l'operazione di decriptazione dei contenuti esclusivamente ai soggetti preposti all'esecuzione del meccanismo di “decifratura” (coloro che hanno facoltà di accedere ai dati senza ulteriori autorizzazioni).
Il comma 5 dell’articolo 4 stabilisce, inoltre, che l’accesso avvenga attraverso una piattaforma di Identity Access Management (IAM), quale “implementazione” delle modalità di accesso previste dall’articolo 64 del CAD e dal Regolamento UE 910/2014, in coordinamento con quanto previsto in materia di protezione dei dati dalla direttiva (UE) 2016/680 e dal decreto legislativo 18 maggio 2018, n. 51.
L’articolo 5, infine, norma il collegamento telematico – che si prevede avvenga su canali di comunicazione cifrati e mediante l 'utilizzo di firewall che monitorino il traffico in entrata e in uscita - tra le infrastrutture istituite con il decreto ministeriale 6 ottobre 2023.
RITENUTO
La disciplina proposta necessita, in ragione della rilevanza quantitativa e qualitativa dei dati trattati, di alcune integrazioni- suscettibili di introduzione anche, eventualmente, con rinvio ad apposite specifiche tecniche- volte a rafforzare le garanzie di sicurezza e trasparenza del trattamento.
Con riguardo al primo profilo, è opportuno prevedere - sulla base di una valutazione d’impatto sulla protezione dei dati ex articolo 23 del d.lgs. n. 51 del 2018, da trasmettere al Garante- misure tecniche e organizzative, da riesaminare a aggiornare periodicamente, tali da garantire, ai sensi dell’articolo 25 del citato d.lgs. n. 51, un livello di sicurezza adeguato al rischio potenzialmente connesso al trattamento, quali in particolare:
a) tecniche crittografiche allo stato dell’arte per la protezione dei dati “a riposo” (art. 4, cc.2 e 3) e “in transito” (cfr. art. 5 dello schema di decreto), adottando protocolli di rete sicuri e cipher suite robuste – anche tenendo conto di eventuali raccomandazioni fornite dall’Agenzia per la cybersicurezza nazionale al fine di attualizzare quanto indicato nelle “Raccomandazioni in merito allo standard Transport Layer Security (TLS)” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 471 del 5 novembre 2020, in particolare nell’ambito della trasmissione di dati tra i sistemi ubicati presso le Procure della Repubblica e le infrastrutture digitali interdistrettuali (assicurando, ove possibile, la mutua autenticazione dei sistemi) e dell’accesso, da parte dei soggetti autorizzati, ai servizi e sistemi messi a disposizione nell’ambito delle infrastrutture stesse;
b) procedure di autenticazione informatica a più fattori (cfr. art. 4, c. 5, 6 e 7, dello schema di decreto), con credenziali e dispositivi di autenticazione assegnati all’utente e auspicabilmente gestiti direttamente dal Ministero della giustizia;
c) misure volte a garantire la continuità operativa e il disaster recovery, nonché a rilevare, tramite specifici alert, comportamenti anomali o a rischio, prevedendo anche audit con cadenza almeno annuale, per la valutazione periodica dell’adeguatezza delle misure e la verifica a posteriori- a campione, o a seguito di alert- della legittimità delle operazioni effettuate;
d) la registrazione, ai fini del tracciamento delle operazioni compiute ai sensi dell’articolo 3, comma 3, di informazioni idonee a garantire l’identificazione univoca dell’operazione stessa (quali, in particolare, riferimenti temporali, codice identificativo dell’autore e della postazione di lavoro utilizzata);
e) un obbligo, in capo al Ministero e agli Uffici giudiziari, di mutua informazione in caso di violazione di dati personali che abbia implicazioni sui trattamenti di rispettiva attribuzione, ai fini della verifica dei presupposti per gli adempimenti di cui agli articoli 26 e 27 del d.lgs. n. 51 del 2018.
Con riguardo al secondo profilo- al fine di garantire il pieno rispetto del principio di trasparenza di cui all’articolo 5, p.1, lett.a) del Regolamento e fermo restando quanto osservato nell’ambito del citato parere del 28 settembre 2023, in ordine all’invarianza dell’assetto di responsabilità delineato dall’articolo 2 del d.M. 20 aprile 2018 e dall’articolo 1, comma 1, lettera d) del d,M. 6 ottobre 2022- è opportuno specificare ulteriormente le implicazioni, su tale assetto, del ruolo assunto dal Ministero della giustizia in ordine alla gestione e manutenzione dei sistemi che compongono le infrastrutture digitali interdistrettuali, ai flussi informativi previsti e alla definizione dei profili autorizzatori per l’accesso ai dati ivi conservati.
IL GARANTE
ai sensi dell’articolo 57, par. 1, c), del Regolamento, esprime parere favorevole sul proposto schema di decreto ministeriale con le condizioni, esposte nel “Ritenuto”, relative all’esigenza di:
a) prevedere misure tecniche e organizzative nei termini ivi descritti, previa trasmissione al Garante della valutazione di impatto sulla protezione dei dati ai sensi dell’articolo 23 del d.lgs. 51 del 2018;
b) specificare ulteriormente le implicazioni, sull’assetto di responsabilità delineato dall’articolo 2 del d.M. 20 aprile 2018 e dall’articolo 1, comma 1, lettera d) del d,M. 6 ottobre 2022 del ruolo, assunto dal Ministero della giustizia, in ordine ai profili di sicurezza del trattamento.
Roma, 29 dicembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
