[doc. web n. 9942101]

Parere su uno Schema di decreto del Ministro della giustizia relativo alle infrastrutture digitali per le intercettazioni - 28 settembre 2023

Registro dei provvedimenti
n. 460 del 28 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003 e successive modificazioni, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto il decreto legislativo 18 maggio 2018, n. 51 e successive modificazioni, recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio” e, in particolare, l’articolo 24, comma 2;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della giustizia ha richiesto il parere del Garante su di uno schema di decreto ministeriale, non avente natura regolamentare, relativo alle infrastrutture digitali per le intercettazioni.

Il decreto è adottato ai sensi del comma 2 dell’articolo 2 del decreto-legge n. 105 del 2023, attualmente in fase di esame parlamentare ai fini della conversione in legge, istitutivo delle infrastrutture digitali centralizzate per le intercettazioni.

Tale previsione è funzionale – come si evince dal comma 1 del medesimo articolo 2 - ad “assicurare i più elevati e uniformi livelli di sicurezza, aggiornamento tecnologico, efficienza, economicità e capacità di risparmio energetico dei sistemi informativi funzionali alle attività di intercettazione eseguite da ciascun ufficio del pubblico ministero”.

La realizzazione delle infrastrutture interdistrettuali mira a consolidare quel percorso di “razionalizzazione tecnica ed organizzativa dei sistemi di intercettazione, avente quale obiettivo finale la realizzazione dei cinque data center nazionali”, cui allude il d. M. 6 ottobre 2022 e che è stato auspicato dal Garante più volte, da ultimo in sede di audizione, dinanzi alla 2^ Commissione del Senato, sul disegno di legge AS 808 e nell’ambito del parere reso, sullo stesso testo, con provv. n. 342 del 3 agosto 2023.

L’articolo 2 del decreto-legge istituisce, infatti, specifiche infrastrutture digitali interdistrettuali, destinate non solo a ospitare l’archivio digitale delle intercettazioni (artt. 269, comma 1, del codice di procedura penale e 89-bis delle disposizioni di attuazione del codice di procedura penale), ma anche a consentire- per i procedimenti penali iscritti dopo il 28 febbraio 2025- lo svolgimento delle operazioni captative. La realizzazione di tali infrastrutture e l’attribuzione, alle stesse, delle funzioni indicate è previsto avvenga mediante un percorso graduale, segnato da decreti attuativi sui quali, appunto, è previsto il parere del Garante.

Pur conservando in capo al Procuratore l’autonoma direzione (e quindi anche la responsabilità) delle operazioni captative, tale progetto mira ad assicurare, in particolare, più elevati e uniformi livelli di sicurezza ed efficienza nelle attività di intercettazione, come enunciato espressamente al comma 1 dell’articolo.

In particolare, dal punto di vista dei ruoli e delle responsabilità, la norma conserva espressamente in capo al Procuratore dell’ufficio che ha disposto le intercettazioni l’autonomia delle funzioni di direzione, organizzazione e sorveglianza sulle attività di intercettazione e sui relativi dati, nonché sugli accessi e sulle operazioni compiute sui dati stessi.

Il Ministero della giustizia, di contro, si limita ad assicurare l’allestimento e la manutenzione delle infrastrutture nel rispetto delle funzioni del Procuratore, con esclusione dell’accesso ai dati in chiaro, fermi restando il segreto investigativo e le garanzie di riservatezza e sicurezza dei dati.

Come è stato osservato in sede di audizione sul decreto-legge, rispetto all’assetto attuale resta invariata la titolarità del trattamento (in capo all’ufficio giudiziario procedente). Per altro verso, i compiti che il decreto-legge assegna al Ministero della giustizia, rispetto alla manutenzione delle infrastrutture digitali, sembrano sovrapponibili a quelli già attribuitigli dall’articolo 2 del vigente d.M. 20 aprile 2018 recante “Disposizioni di attuazione per le intercettazioni mediante inserimento di captatore informatico e per l'accesso all'archivio informatico a norma dell'articolo 7, commi 1 e 3, del d.lgs. 216/2017”, sul quale il Garante ha reso parere con provv. n. 212 del 12 aprile 2018 e dall’articolo 1, comma 1, lettera d) del citato d,M. 6 ottobre 2022 (cfr. anche circolare 20 luglio 2020 del Ministero della giustizia recante “Indicazioni operative sul completamento della digitalizzazione e securizzazione delle intercettazioni e delle ulteriori conseguenti attività logistiche e organizzative ex art. 269 c.p.p. e art. 89 bis disp. att. c.p.p.”; provvedimento del 5.12.2019 del Direttore generale dei servizi informativi automatizzati di adozione delle specifiche tecniche per il conferimento nell’archivio delle intercettazioni, sostituito dall’ulteriore Provvedimento del Direttore generale dei servizi informativi automatizzati datato 23 dicembre 2020; nonché Consiglio superiore della magistratura, delibera 20 ottobre 2022 recante risoluzione sulle buone prassi in materia di intercettazioni).

RILEVATO

L’oggetto del presente decreto consiste- secondo quanto previsto dal comma 2 dell’articolo 2 del decreto-legge- nell’individuazione delle infrastrutture digitali e nella definizione dei  “requisiti tecnici essenziali al  fine  di  assicurare  la  migliore capacita'  tecnologica,  il  piu'  elevato  livello  di  sicurezza  e l'interoperabilita' dei sistemi”.

E’ demandata, invece, a specifiche tecniche di successiva adozione la disciplina, nel dettaglio, dei “requisiti tecnici specifici per la  gestione dei  dati,  che  assicurano   l'autenticita',   l'integrita'   e   la riservatezza dei dati medesimi anche in relazione al  conferimento  e ai  sistemi  di  ripristino” e del “ collegamento telematico tra le infrastrutture di cui al comma  1  e  i  luoghi  di ascolto presso le procure della  Repubblica,  garantendo  il  massimo livello di sicurezza e riservatezza”.

Ad altro decreto spetta, peraltro, disporre l'attivazione, presso le infrastrutture interdistrettuali, dell'archivio digitale delle intercettazioni, con la conseguente
migrazione dei dati (e il conferimento dei nuovi) dalle singole procure della Repubblica secondo tempi, modalità e requisiti di sicurezza definiti con un ulteriore decreto ministeriale.

Su entrambi i decreti è prevista l’acquisizione del parere del Garante (art.2, c.9, d.l. 105 del 2023).

Sulla base di questo quadro normativo il decreto in esame introduce anzitutto, all’articolo 1, alcune definizioni applicabili all’interpretazione del testo. Tra queste, rileva in particolare quella di “dato”, riferita al contenuto delle intercettazioni, ai verbali e a ogni altra informazione digitale ad esse relativa.

Per altro verso, si definisce la nozione di infrastrutture digitali interdistrettuali, quale insieme di risorse hardware e software e relativi sistemi di comunicazione per la registrazione e memorizzazione dei “dati” così definiti, la conservazione nell’archivio digitale per le intercettazioni, l’accessibilità e interoperabilità con i punti di rete allocati presso le procure.

L’articolo 2 individua nei data center del Ministero della Giustizia ubicati nei capoluoghi dei distretti di corte d’appello di Milano, Napoli, Roma e Palermo la collocazione delle infrastrutture digitali interdistrettuali.

La norma esige inoltre il rispetto, da parte dell’archivio digitale realizzato mediante le infrastrutture digitali interdistrettuali, di requisiti di autenticità, integrità, sicurezza, riservatezza e accessibilità dei dati (da parte, è da intendersi, dei soggetti legittimati, come si evince dal comma 3 del medesimo articolo).

Tali requisiti saranno dettagliati – come si evince dal medesimo articolo 2, comma 2- nell’ambito delle specifiche tecniche da emanarsi, previo parere del Garante, ai sensi dell’articolo 2, comma 3, del decreto-legge n. 105 del 2023.

Si dispone, inoltre, che i dati siano cifrati e memorizzati in aree logiche distinte e segregate per ciascun ufficio, accessibili solo ai soggetti legittimati.

L’articolo 3 disciplina la trasmissione dei dati all’archivio digitale, da parte della Procura della Repubblica che ha disposto le operazioni di intercettazione, mediante file e un canale di comunicazione cifrati. Si dispone, inoltre, che i sistemi frammentino i file ricevuti in blocchi distinti, cifrati singolarmente e distribuiti nei diversi apparati presenti nei data center, “per garantire la sicurezza dei dati e la resilienza”.

L’articolo 4 disciplina il transito, la fruizione e l’eventuale copia temporanea dei dati conservati nell’archivio digitale, nonché la consultazione telematica da parte dei soggetti legittimati, secondo la disciplina processuale.

RITENUTO

Il parere è reso su di un testo che recepisce le indicazioni fornite dall’Autorità, nell’ambito dell’istruttoria preliminare, relative, in particolare, al rinvio (in conformità al decreto-legge) a successivi provvedimenti attuativi della definizione, nel dettaglio, delle misure tecniche e organizzative volte a garantire “l'autenticita',   l'integrita'   e   la riservatezza dei dati (…) anche in relazione al  conferimento  e ai  sistemi  di  ripristino” e “il  massimo livello di sicurezza e riservatezza” nel  collegamento telematico tra le infrastrutture interdistrettuali  e  i  luoghi  di ascolto presso le procure della  Repubblica.

Inoltre, l’attuale versione del provvedimento si conforma ai rilievi espressi in ordine alle caratteristiche del canale di comunicazione deputato alla trasmissione dei file contenenti i dati relativi alle conversazioni, che saranno poi dettagliatamente definiti con l’ulteriore decreto di cui all’articolo 2, comma 3, del decreto-legge.

Il testo definitivamente trasmesso per il parere non presenta particolari criticità sotto il profilo della protezione dei dati e, per questo aspetto, si conforma al perimetro d’intervento delineato dalla norma attributiva del potere.

Nell’ambito del procedimento di adozione, ai sensi dell’articolo 2, c.9, del d.l. 105 del 2023, dei successivi decreti, il Garante raccomanda tuttavia la trasmissione, unitamente ai testi, anche del documento recante la valutazione d’impatto sulla protezione dei dati di cui all’articolo 23 del d.lgs. n. 51 del 2018, in ragione della rilevanza del trattamento considerato.

IL GARANTE

ai sensi dell’articolo 24, comma 2, del d.lgs. n. 51 del 2018, esprime parere favorevole sul proposto schema di decreto ministeriale.

Roma, 28 settembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei