Addentrarsi nella vita privata del cittadino è lecito per le forze dell’ordine, ma solo con le dovute attenzioni alla privacy: è il monito che Garante per la protezione dei dati personali concentra in un provvedimento notificato alle Procure italiane. Dalla biometria nelle sale che ospitano i server che contengono i dati auscultati alle VPN per la trasmissione delle informazioni fra gli uffici delle autorità, le raccomandazioni aggiornate del Garante si rivolgono anche al Ministero della Giustizia, che deve adoperarsi per garantire gli strumenti necessari a proteggere il sistema di monitoraggio della vita dei cittadini italiani.
Bologna, Catanzaro, Perugia, Potenza e Venezia sono le Procure prese in esame dal Garante nel corso dell’ultimo anno: dall’osservazione di questi uffici di medie dimensioni è emerso un quadro frammentato e carente delle misure di sicurezza messe in campo per proteggere le “attività di intercettazione di conversazioni telefoniche o di comunicazioni, anche informatiche e telematiche”. Per questo motivo l’Authority italiana si è mossa per sollecitare l’adozione di pratiche unitarie e dettagliate volte ad armonizzare le modalità di tutela dei frammenti della vita privata dei cittadini rastrellati nel corso delle indagini delle forze dell’ordine. Una misura, ricorda il presidente Soro, indispensabile per scongiurarne un “uso improprio”, lesivo rispetto “alla dignità e ai diritti delle persone intercettate e di quelle che comunicano con esse” e pericoloso rispetto “alla necessaria efficacia delle indagini”.
Il Garante concentra l’attenzione in primo luogo sulle sale d’ascolto, sui locali che ospitano i terminali per la ricezione e sulle aree dove sono custoditi i server che immagazzinano i flussi di intercettazioni telematiche o telefoniche: presieduti da impianti di videosorveglianza a circuito chiuso, queste aree dovranno essere accessibili tramite badge individuali o dispositivi biometrici, volti a tracciare gli accessi e a limitarli al solo personale autorizzato. Controlli più ferrei dovranno essere effettuati su coloro che si occupano della manutenzione tecnica, che dovranno poter accedere “solo a dati, informazioni e documenti strettamente necessari al compimento degli interventi”.
Per quanto attiene la sicurezza informatica, dovranno essere messe in campo tutte le misure idonee per prevenire le violazioni. Da quelle più basilari, come la limitazione al minimo delle copie dei dati frutto delle intercettazioni, comunque da stoccare in forma cifrata , su supporti il cui contenuto deve essere irriconoscibile ad un occhio esterno, a quelle più pervasive, come il tracciamento di ogni operazione compiuta (dall’intercettazione alla distruzione dei supporti, passando per la manutenzione dei sistemi) su “registri informatici con tecniche che ne assicurino la inalterabilità”. Le postazioni connesse degli operatori, che si autenticheranno tramite quelle che vengono definite “procedure rafforzate”, dovranno essere protette da firewall, e lo scambio dei dati tra i Centri Intercettazioni Telecomunicazioni, l’autorità giudiziaria e i fornitori di servizi Internet “dovrà avvenire attraverso sistemi basati su protocolli di rete sicuri e in modo cifrato”.
Nel caso di “remotizzazione” delle attività di intercettazione, cioè qualora i flussi di dati vengano reindirizzati dai centri di ascolto presso le Procure agli uffici di Polizia Giudiziaria, il Garante prescrive che il sistema non abbia anelli deboli: indispensabile realizzare connessioni dedicate o appoggiarsi a VPN , in modo da impedire l’intercettazione delle intercettazioni.
Come ergere queste protezioni a tutela dei dati rastrellati nella vita privata dei cittadini? Il Garante si raccomanda al Ministero della Giustizia, che dovrà “fornire alle Procure della Repubblica le risorse idonee a dare attuazione a quanto prescritto nel provvedimento”. E quanto prima: le misure di sicurezza vanno adottate entro 18 mesi.
Gaia Bottà