Con provvedimento del giugno dello scorso anno, il Garante per la tutela dei dati personali ha adottato le ” Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero “.
La delibera prevede che:
1 – il consulente possa trattare i dati anche se sensibili o giudiziari, solo “se ciò è indispensabile”;
2 – i dati così acquisiti siano pertinenti e non eccedenti in relazione all’incarico ricevuto;
3 – i dati possano essere comunicati a terzi solo ove ciò sia necessario a tutela dell’assistito (ossia della parte che lo ha nominato);
4 – il consulente sia responsabile del rispetto delle misure di sicurezza (ivi inclusa la redazione del DPS);
5 – il consulente nomini con atto scritto eventuali collaboratori impartendo precise istruzioni.
Di primo acchito, sembrerebbe che si tratti solo della piana applicazione del codice privacy all’attività dei consulenti. Ma c’è perizia e perizia, e se ci sono di mezzo i computer la cosa si fa interessante.
Come nota attentamente il Maggiore Marco Mattiucci del RACIS, infatti, talvolta gli incarichi sono conferiti con quesiti piuttosto ampi del tipo: “si autorizza ad accedere il sistema di archiviazione elettronico X ed a prelevare i dati di possibile interesse per le indagini Y”. Gli avvocati (almeno quelli scrupolosi) di solito si oppongo a formulazioni così generaliste da sembrare quasi esplorative (ossia finalizzate a cercare “un” qualcosa). La perizia dovrebbe infatti servire solo a colmare una carenza di competenza tecnica in capo al giudice, ma non a trasferire scelte “politiche” sull’oggetto della perizia.
La delibera del Garante pone, allora, più di un dubbio: come si potrà valutare se l’esame di un determinato dato è pertinente o meno, se non è stato ben circoscritto l’oggetto dell’indagine tecnica? Come capire se è indispensabile accedere ad un certo dato? Certo è che l’indagine meramente esplorativa, del tipo “guarda tutto quello che c’è nel computer di Tizio” (posto che sia possibile nei tempi entro i quali la perizia deve essere redatta in relazione alla la mole dei dati da analizzare), sarebbe poco in linea con la prescrizione del Garante.
Si tratta allora di un problema di “information filtering” sul quale, però, la legge non dice granché. Anzi, le problematiche della computer forensics sono – in generale – assai delicate proprio perché molti aspetti non godono di alcuna disciplina legale. Non c’è infatti una norma che consenta – ad esempio – di discriminare tra tipi di file o che prescriva l’utilizzo di un certo strumento piuttosto che di un altro.
Lungi dall’invocare una legge in materia (non è questo lo scopo di questo commento) si segnala solo che svolgere una perizia su un sistema informatico implica conseguenze anche serie in capo al consulente: magari nel momento in cui costui accetta l’incarico, potrebbe far riflettere attentamente il magistrato sull’oggetto dell’indagine tecnica. Se i dati trattati in tale sede fossero non pertinenti, non indispensabili o eccedenti, gli stessi potrebbero risultare – ai fini del giudizio – inutilizzabili ai sensi dell’ art. 11 del codice privacy , mentre il consulente rischierebbe in prima persona, in quanto titolare del trattamento, per aver trattato dati che non doveva… trattare.
Avv. Andrea Buti
www.tglex.co
Ti potrebbe interessare
27 mar 2009