Aggiornato al 28.10.2013
Nel periodo di riferimento, il Garante per la protezione dei dati personali ha adottato il Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica, (Gazzetta Ufficiale, n. 189 del 13 agosto 2013).
L’Autorità, dopo un’indagine conoscitiva presso alcune Procure per verificare le misure di sicurezza adottate nel corso delle intercettazioni, ha prescritto ulteriori accorgimenti per garantire la liceità e la correttezza del trattamento.
Nei C.I.T., Centro Intercettazioni Telecomunicazioni, presenti presso tutte le Procure della Repubblica, vengono svolte le diverse attività, tecniche e amministrative, relative alle intercettazioni.
Il Garante definisce, in primo luogo, le misure relative alla sicurezza del locali, dall’adozione di impianti per il rilevamento e l'estinzione di incendi, all’installazione di idonee serrature di sicurezza e di strumenti per il monitoraggio delle aree di ingresso. È disposto, poi, che venga limitato l’accesso fisico tramite l'utilizzo di badge individuali e nominali, associati a codici numerici individuali a conoscenza solo degli interessati, oppure attraverso strumenti elettronici che permettano l’identificazione con dispositivi biometrici, sempre necessari per l’accesso ai locali ove sono collocati i server e gli archivi. Anche gli accessi per le operazioni di manutenzione e per gli interventi tecnici sulle apparecchiature devono essere consentiti solo a personale previamente autorizzato dalla Procura, identificato e registrato al momento dell'accesso. Tutti gli accessi, in ogni caso, devono essere registrati.
Per quanto riguarda la sicurezza informatica, il Garante prescrive che le comunicazioni debbano avvenire attraverso canali di comunicazione sicuri, indicando la cifratura per le comunicazioni on line, la crittografia per quelle su supporti rimovibili, la PEC per le comunicazioni tra Autorità.
Tali misure di scurezza, fisiche e informatiche, devono essere adottate anche nel caso in cui le intercettazioni siano “remotizzate”, cioè realizzate presso strutture esterne agli uffici delle Procure.
Ulteriori misure sono poi definite per la sicurezza informatica dei sistemi utilizzati per le intercettazioni: i firewall, la strong authentication, l’attribuzione di utenze di amministratore di sistema a soggetti preventivamente individuati e designati, il collegamento tra Procure attraverso VPN, la restrizione per le masterizzazioni, l’adozione di idonei accorgimenti per occultare l'oggetto dell'intercettazione, la conservazione cifrata delle tracce e della copie di sicurezza, la trasmissione dei supporti a opera della polizia giudiziaria, la designazione delle società esterne come titolari del trattamento, tenute a cancellare i dati una volta finito il rapporto contrattuale.
È stato poi adottato il Regolamento sugli obblighi di pubblicità e trasparenza relativi all’organizzazione e all’attività del Garante per la protezione dei dati personali, (Gazzetta Ufficiale n. 193 del 19 agosto 2013), in ottemperanza alle prescrizione del d.lgs. 33/2013, relativo al "Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni".
L’Autorità, definisce nel Regolamento le condizioni per la pubblicazione dei dati relativi all'organizzazione e all'attività del Garante, allo scopo di favorire forme di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse ad essa assegnate.
In ottemperanza a quanto previsto dal d.lgs. 33/13, i dati oggetto di pubblicazione, sono resi disponibili e riutilizzabili da chiunque, compatibilmente con le funzioni per cui sono stati raccolti.
I dati pubblicati sul sito istituzionale del Garante possono essere trattati “secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 4, nel rispetto dei principi sul trattamento dei dati personali”.
Il Regolamento prescrive che la pubblicazione dei dati sul sito istituzionale avvenga assicurando l'integrità, l'esattezza, l'aggiornamento, la completezza, la tempestività, la semplicità di consultazione, la comprensibilità, l'omogeneità, la facile accessibilità, la conformità ai documenti originali in possesso del Garante, l'indicazione della loro provenienza e la loro riutilizzabilità.
Rispetto all’organizzazione dell’Autorità stessa, nella sezione “Autorità trasparente”, andranno pubblicati i dati relativi ai componenti del Collegio (compensi, curricula, dati relativi all’elezione parlamentare), i dati relativi all'organizzazione interna (articolazione degli uffici, indicazione dei dirigenti, recapiti per le comunicazioni) e quelli riguardanti i consulenti esterni (atto di conferimento dell’incarico, compenso, curricula). A ciò si aggiungono i dati aggregati relativi alla dotazione organica, al personale effettivamente in servizio e al relativo costo, con l'indicazione della sua distribuzione tra le diverse qualifiche e con la specificazione del personale assunto con contratto a tempo determinato.
Oltre alla trasparenza nella gestione del personale, è prevista la diffusione dei dati relativi all’attività amministrativa dell’Autorità, con la pubblicazione dei bandi di gara, dei bilanci, dei dati relativi alla gestione dei bandi di concorso e di gara, dei risultati delle valutazioni delle performance, dei dati aggregati relativi all'attività amministrativa, delle informazione riguardanti i beni immobili e la gestione del patrimonio, dei dati relativi ai controlli sull'organizzazione, sull'attività del Garante e sui tempi di pagamento.
Così come previsto dal Decreto, viene sancito il diritto di accesso civico, che riconosce il diritto a chiunque di richiedere la pubblicazione dei dati, qualora l’Autorità non vi abbia provveduto.