VEDI ANCHE Newsletter del 10 aprile 2024

[doc. web n. 9999936]

Parere su uno schema di decreto recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2017/1939, relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea “EPPO” - 22 febbraio 2024

Registro dei provvedimenti
n. 91 del 22 febbario 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere del Ministero della giustizia;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”);

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto il decreto legislativo 18 maggio 2018, n. 51 e successive modificazioni, recante “Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio” e, in particolare, l’articolo 24, comma 2;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della giustizia ha richiesto il parere del Garante su di uno schema di decreto adottato ai sensi dell'articolo 1, comma 2, del d.lgs. 4 maggio 2023, n. 54, recante disposizioni integrative e correttive del decreto legislativo 2 febbraio 2021, n. 9, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2017/1939, relativo all'attuazione di una cooperazione rafforzata sull'istituzione della Procura europea “EPPO”.

Tale norma demanda, infatti, a un decreto del Ministro della giustizia l’istituzione dell’archivio nazionale dei verbali e delle registrazioni delle intercettazioni disposte dall’EPPO e la disciplina, al contempo, delle modalità di conservazione dei (e accesso ai) dati in esso contenuti da parte dei soggetti indicati dall'articolo 89-bis, comma 3, delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, mediante le postazioni istituite presso le sedi di servizio dei Procuratori europei delegati, individuate in alcune procure distrettuali.

L’articolo 17-bis, comma 1, del d.lgs. n. 9 del 2021, inserito dall’articolo 1 del citato d.lgs. 54 del 2023 dispone, infatti, che i verbali e le registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza, nonché ogni altro atto ad esse relativo, sono conservati integralmente in un apposito archivio nazionale tenuto sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi normativamente previsti, del Procuratore europeo delegato, nominato quale sostituto del Procuratore europeo dal Collegio della Procura europea.

Ai sensi dell’articolo 9 d.lgs. n. 9 del 2021, infatti, in relazione ai procedimenti per i quali la Procura europea ha assunto la decisione di avviare o avocare un'indagine, i procuratori europei delegati esercitano, in via esclusiva e fino alla definizione del procedimento, nell'interesse della Procura europea, le funzioni e i poteri spettanti ai pubblici ministeri nazionali.

Da tali ultime previsioni deriva anche, coerentemente con il modello interno e le previsioni del Regolamento (UE) 2017/193 (art.2, n.13), la riferibilità, alla Procura europea, della titolarità del trattamento dei dati relativi alle intercettazioni disposte, con invarianza del ruolo del Ministero della giustizia rispetto a quanto previsto dall’articolo 2 del d.l. 105 del 2023 e dai relativi decreti attuativi, in ordine alle infrastrutture digitali delle intercettazioni, utilizzate appunto per il funzionamento dell’archivio nazionale in esame.   Nel trattamento dei dati in questione, peraltro, la Procura europea osserverà precipuamente le regole di protezione dati contenute nel citato Regolamento (UE) 2017/1939 e riferite, in modo particolare, a quelli che lì vengono definiti “dati operativi” (art.2, n. 18).

RILEVATO

Lo schema di decreto, conformemente alla previsione legislativa, istituisce l'archivio nazionale dei verbali e delle registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza disciplinando, al contempo, le modalità di conservazione dei dati in esso contenuti e di accesso agli stessi.

In apertura, all’articolo 1, lo schema di decreto introduce alcune definizioni rilevanti per l’applicazione del decreto tra le quali si segnalano, in particolare, le seguenti:

- autenticità, quale capacità di identificare con certezza la provenienza di dati e delle informazioni (lett.a);

- integrità, quale caratteristica relativa alla necessità, per dati e informazioni memorizzati in un sistema o scambiati tra due entità, di essere protetti da modifiche non autorizzate, quali alterazione, cancellazione o aggiunta, ovvero meccanismi per i il controllo dell'accesso ai dati (lett.b);

- riservatezza, quale limitazione dell’accessibilità a dati e informazioni ai soli utenti legittimati e nell’ambito di processi individuati, in base alle policy definite dal sistema (lett.c);

- conferimento, inteso quale processo di riversamento dei verbali e delle registrazioni trasmesse al Pubblico Ministero, dalla polizia giudiziaria, nell'archivio digitale delle intercettazioni di cui all'articolo 269, comma 1, c.p.p. (lett. e);

- trasferimento logico, inteso quale trasferimento di un dato che non ne implica lo spostamento fisico, ottenuto attraverso una modifica delle regole di visibilità associate ad esso (lett.h);

- hash crittografico, quale funzione deterministica e non invertibile che mappa un dato arbitrario in input in una stringa di lunghezza predefinita (lett.i);

- meccanismo di autenticazione del dato, inteso quale processo che consente di associare a un dato il relativo hash crittografico, generato anche utilizzando in ingresso alla funzione di hash uno o più “segreti” di natura simmetrica (lett. j);

- Identity Access Management (IAM), quale sistema integrato di tecnologie, regole e processi per controllare gli accessi degli utenti ad applicazioni e dati (lett, t).

Tali definizioni si conformano a quelle contenute nel decreto del Ministro della Giustizia del 5 gennaio 2024, recante i “Requisiti tecnici specifici per la gestione dei dati presso le infrastrutture digitali interdistrettuali, ai sensi dell’articolo 2, comma 2, del decreto-legge 10 agosto 2023, n. 105”, sul cui schema il Garante ha reso parere il 29 dicembre 2023.

L’ archivio istituito -tenuto, ai sensi dell’articolo 2, comma 2, sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi previsti, del Procuratore europeo delegato nominato quale sostituto- si conforma a specifici requisiti tecnici, la definizione dei quali tiene conto in particolare, secondo quanto disposto dall’articolo 2, comma 3, del fatto che:

- il processo di conferimento prevede il trasferimento di tutti i file relativi all'intercettazione, ivi compresi i metadati associati e quelli necessari per la corretta fruizione dei contenuti (lett. a);

- la consultazione prevede l’accesso in sola lettura da parte dei soggetti legittimati ai sensi dell’articolo 89-bis, c.3, disp. att. c.p.p.;

- nei casi di trasferimento per competenza dei procedimenti penali si effettua il contestuale trasferimento logico dei file relativi ad alcuni dei contenuti costituenti l'intercettazione, per consentirne l'utilizzo ai soggetti destinatari, garantendo l'autenticità, l 'integrità e la riservatezza dei contenuti (lett. c);

- in caso di trasmissione, ad altro ufficio giudiziario, di contenuti ritenuti di interesse per altre indagini ovvero di consegna a terze parti autorizzate di copia delle intercettazioni, si svolge un processo di estrazione di eventuali copie dalla piattaforma tecnologica di memorizzazione dei dati operativa presso le infrastrutture digitali interdistrettuali, che consente l'esportazione di tutti e soli i contenuti e/o porzioni di essi autorizzati, garantendo l'autenticità, l'integrità e la riservatezza dei contenuti, oltre che l'autenticazione del soggetto destinatario (lett. d);

- i requisiti tecnici delle infrastrutture digitali interdistrettuali devono garantire l'autonomo esercizio delle funzioni del Procuratore europeo di direzione, organizzazione e sorveglianza sulle attività di intercettazione e sul trattamento dei relativi dati, nonché sugli accessi e sulle operazioni compiute sui dati stessi, restando escluso, in ogni caso, l’accesso ai dati in chiaro da parte di soggetti non autorizzati (lett. h).

Particolarmente rilevante è l’articolo 3 del decreto, il cui comma 1 dispone che l’archivio nazionale utilizzi le infrastrutture digitali interdistrettuali di cui all’articolo 2, c.1, d.l. 105 del 2023, al fine di assicurare la memorizzazione di tutte le conversazioni e comunicazioni registrate mediante gli impianti degli uffici di Procura, nell'ambito di un procedimento penale in cui la Procura europea ha esercitato la sua competenza.

Il quarto comma del medesimo articolo assicura infine che l’archivio, utilizzando appunto le medesime infrastrutture digitali, rispetti i requisiti di sicurezza di tutti i dati ivi memorizzati, garantendone la riservatezza, integrità, autenticità e disponibilità.

L’articolo 4 dispone che le conversazioni e comunicazioni registrate nell'ambito di un procedimento penale vengano trasmesse con modalità esclusivamente telematiche alle infrastrutture digitali e i dati conferiti inviati in modalità cifrata tramite canale di comunicazione criptato (comma 2). Tale ultima previsione differisce, sia pur in parte, dal disposto di cui all’articolo 3, c.2, d.M. 6 ottobre 2023, che qualifica come “cifrato”, anziché “criptato”, il canale di trasmissione utilizzato a tal fine.

Il terzo comma dell’articolo 4 precisa, altresì, che i dati vengono memorizzati nell'archivio, in un'area logica univoca e distinta.

L’articolo 5 prevede che ogni attività di conferimento dei dati, fino alla loro utilizzazione, debba essere processata mediante meccanismi di autenticazione del dato e/o di firma digitale, al fine di assicurarne l’integrità e l’autenticità.

Il terzo comma dell’articolo prevede che vengano assicurate la tracciabilità e l’immediata e diretta conoscibilità, da parte del Procuratore europeo e del Procuratore europeo delegato, di ogni accesso o intervento di manutenzione o di assistenza sulle infrastrutture e sui software, nonché di qualsiasi altra attività di accesso, acquisizione, trattamento e recupero dei dati

L’articolo 6 reca disposizioni tese ad assicurare la riservatezza e la sicurezza dei dati stabilendo, al primo comma, che vengano adottate pratiche di sicurezza informatica previste per la protezione dei dati da usi impropri, quali crittografia e restrizioni di accesso, sia fisiche sia digitali.

Al secondo comma si prevede, invece, che gli eventi (ovvero i contenuti, anche in parte) “costituenti” le intercettazioni rifluiscano in un file contenitore criptato mediante un algoritmo simmetrico, caratterizzato da elevata resistenza ad attacchi di tipo bruteforce e che la chiave simmetrica utilizzata come input dell'algoritmo debba essere trasmessa alla Procura europea, garantendone la segretezza attraverso un processo di ulteriore cifratura (comma 3).

Il medesimo articolo prevede, poi, che l’accesso ai dati delle intercettazioni sia regolamentato attraverso politiche di gestione delle chiavi, limitando l'operazione di decriptazione dei contenuti esclusivamente ai soggetti preposti all'esecuzione del meccanismo di “decifratura” (coloro i quali, cioè, hanno facoltà di accedere ai dati senza ulteriori autorizzazioni).

Il comma 5 dell’articolo 6 dispone, inoltre, che l’accesso ai dati avvenga attraverso una piattaforma di Identity Access Management (IAM), quale “implementazione” delle modalità di accesso previste dall’articolo 64 del CAD e dal Regolamento EIDAS, in coordinamento con quanto previsto in materia di protezione dei dati dalla direttiva (UE) 2016/680 e dal decreto legislativo 18 maggio 2018, n. 51. Tale piattaforma, come previsto poi al comma 6, riconosce e gestisce tutte le utenze censite all'interno della “foresta” Active Directory Nazionale, contenente i riferimenti del personale interno al Ministero della Giustizia. Inoltre, fornisce le informazioni dei gruppi e dei ruoli associati alle utenze riconosciute – sia ordinarie che esterne- permettendo la corretta gestione dei permessi.

L’articolo 7, infine, norma il collegamento telematico - che si prevede avvenga su canali di comunicazione che utilizzino linee dedicate, fisicamente o logicamente, o comunque su collegamenti basati su Virtual Private Network - tra l’archivio e le Procure. Attraverso i medesimi canali si svolgono le attività intercettive disposte nei procedimenti di competenza della Procura europea, ivi comprese quelle svolte dal Procuratore europeo o, nei casi previsti dall'articolo 16, paragrafo 7, del citato regolamento (UE) 2017/1939, dal Procuratore europeo delegato, nominato quale sostituto dal collegio della Procura europea, nell'esercizio dei propri compiti di direzione e sorveglianza dell'archivio delle intercettazioni, oltre che di gestione e tenuta dello stesso.

RITENUTO

Lo schema di decreto non presenta particolari criticità sotto il profilo della protezione dei dati, risultando peraltro in massima parte conforme ai (e coordinato con i) decreti di attuazione del d.l. 10 agosto 2023, n. 105, convertito, con modificazioni, dalla l. 137 del 2023, quali  il d.M. 6 ottobre 2023, volto a individuare le infrastrutture digitali e a definirne i requisiti tecnici essenziali delle infrastrutture digitali, sul cui schema il Garante ha reso parere il 28 settembre 2023 e il d.M 5 gennaio 2024,  recante i requisiti tecnici specifici per la gestione dei dati presso le infrastrutture digitali interdistrettuali nel cui ambito, del resto, si inserisce l’archivio nazionale della documentazione relativa alle intercettazioni dell’EPPO, su cui il Garante si è espresso con parere del 29 dicembre 2023.

Ai fini di una piena conformità con i citati decreti attuativi è, tuttavia, opportuno sostituire, all’articolo 4, comma 2, la parola: “criptato” con la seguente: “cifrato”, così da evitare possibili dubbi interpretativi e assicurare una completa coerenza sistematica del testo con le previsioni del d.M. del 6 ottobre 2023.

Inoltre, in relazione ai flussi informativi funzionali al conferimento nell’archivio e alla memorizzazione dei dati, all’interno delle infrastrutture digitali interdistrettuali ma in area logicamente distinta e univoca (art. 4, c.3), è opportuno adottare le misure già segnalate dal Garante con il parere del 29 dicembre 2023, al punto a) del dispositivo, così da uniformare le relative garanzie.

In particolare, è opportuno prevedere:

- il ricorso a tecniche crittografiche allo stato dell’arte per la protezione dei dati “a riposo” e “in transito” (cfr. artt. 6, c.2 e 3, 7 dello schema di decreto), adottando protocolli di rete sicuri e cipher suite robuste – anche tenendo conto di eventuali raccomandazioni fornite dall’Agenzia per la cybersicurezza nazionale al fine di attualizzare quanto indicato nelle “Raccomandazioni in merito allo standard Transport Layer Security (TLS)” adottate dall’Agenzia per l’Italia Digitale con determinazione n. 471 del 5 novembre 2020

- procedure di autenticazione informatica a più fattori (cfr. art. 6, commi 5, 6 e 7), con credenziali e dispositivi di autenticazione assegnati all’utente e auspicabilmente gestiti direttamente dal Ministero della giustizia;

- misure volte a garantire la continuità operativa e il disaster recovery, nonché a rilevare, tramite specifici alert, comportamenti anomali o a rischio, prevedendo anche audit con cadenza almeno annuale, per la valutazione periodica dell’adeguatezza delle misure e la verifica a posteriori- a campione, o a seguito di alert- della legittimità delle operazioni effettuate;

- la registrazione, ai fini del tracciamento delle operazioni compiute, di informazioni idonee a garantire l’identificazione univoca dell’operazione stessa (quali, in particolare, riferimenti temporali, codice identificativo dell’autore e della postazione di lavoro utilizzata);

IL GARANTE

ai sensi dell’articolo 24, comma 2, del d.lgs. n. 51 del 2018, esprime parere favorevole sul proposto schema di decreto con le condizioni, esposte nel “Ritenuto”, volta a rappresentare l’esigenza di:

a) sostituire, all’articolo 4, comma 2, la parola: “criptato” con la seguente: “cifrato”;

b) prevedere misure analoghe a quelle indicate, rispetto alle infrastrutture digitali interdistrettuali, con il parere del 29 dicembre 2023, nei termini descritti.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei