Garante della Privacy – Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica – 18 luglio 2013
La moderna pervasività dei sistemi informatici impone maggiore rigore nel rispetto della privacy, affinché il dato che essi trattano venga correttamente gestito e trasformato in informazione. L’attenzione posta nel trattamento dei nostri dati dovrebbe essere commisurata al grado di importanza del dato stesso. La più alta attenzione deve essere quindi posta ai dati giudiziari. Qualunque sia stato il metodo di accettazione delle condizioni di trattamento del dato, esiste un modo per noi per comprendere se effettivamente le regole vengano rispettate? La risposta è Si e viene fornita dall’altrettanto moderno concetto di “Audit”.
1. Introduzione
I sistemi informatici hanno pervaso le Organizzazioni pubbliche e private ad un livello molto profondo, facendo così dipendere le attività istituzionali e di business dal moderno concetto di Information Technology o tecnologia di informazione, che altro non è che l’insieme delle tecnologie e delle metodologie che realizzano i sistemi di trasmissione, ricezione ed elaborazione di informazioni. Al giorno d’oggi ogni Organizzazione è ben identificata dai propri processi o sistemi informativi, dall’insieme di regole e tecnologie che gestiscono le informazioni. Alla base di tutto quindi ci sono i sistemi informatici su cui si poggiano i processi informativi e se oggi possiamo affermare che un’Organizzazione è rispettosa delle leggi e delle norme, un ruolo importante è assunto proprio dai sistemi informatici.
Questa moderna pervasività dei sistemi informatici impone però maggiore rigore nel rispetto della privacy, affinché il dato che essi trattano venga correttamente gestito e trasformato in informazione. L’attenzione che oggi poniamo nell’acquistare un computer, uno smartphone, un tablet (tutti esempi di sistemi informatici) dovrebbe essere posta soprattutto nella lettura delle condizioni contrattuali, all’interno delle quali è specificato quale uso o finalità avrà il dato che noi produciamo. Fanno eccezione le diffuse applicazioni per smartphone per le quali l’utilizzatore, in modo consapevole, rinuncia alla propria privacy in cambio della gratuità del servizio stesso. Nella maggior parte dei casi, ad esempio, le condizioni di utilizzo di servizi come Facebook, WhatsApp, Twitter, ecc., non vengono nemmeno esaminate ed accettate così come sono. Eppure i gestori del servizio ce la mettono tutta, rinviandoci le nuove condizioni contrattuali via email qualora cambino, così come è accaduto recentemente per Apple e Dropbox.
L’attenzione posta nel trattamento dei nostri dati dovrebbe essere commisurata al grado di importanza del dato stesso. Se da una parte posso concedere a WhatsApp di conoscere tutti i miei contatti della rubrica telefonica, dall’altra dovrei fare attenzione a non divulgare dati sensibili o addirittura giudiziari. Nella classificazione indicata dal Garante della privacy, la più alta attenzione deve essere posta proprio ai dati giudiziari. Diversamente dai dati sensibili che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, ecc., i dati giudiziari sono quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato.
Se mettiamo insieme il concetto di sistema informatico con quello di dato giudiziario è evidente che la naturale associazione è rappresentata dai sistemi preposti alla gestione delle intercettazioni, peraltro oggetto di attenzione del nostro Garante che è intervenuto negli anni 2005-2008 con alcune prescrizioni verso gli Operatori e nel 2013 con un’unica prescrizione verso le Procure della Repubblica. Senza dilungarci sull’esame di queste prescrizioni, peraltro già avvenuta in questa Rivista, sulla base di quanto esaminato in precedenza, la domanda che dovremmo porci è la seguente: qualunque sia stato il metodo di accettazione delle condizioni di trattamento del dato, esiste un modo per comprendere se effettivamente queste condizioni vengano rispettate? Nell’assunzione che queste condizioni siano l’esternalizzazione o il risultato esteriore di processi interni all’Organizzazione, allora la risposta è Si e viene fornita dall’altrettanto moderno concetto di Audit.
2. L’Audit
Audit è un termine appartenente al lessico tecnico dell’economia e della finanza e indica ”la verifica dei dati di bilancio e delle procedure di un’azienda per controllarne la correttezza”. In senso generico l’Audit è una verifica ed una valutazione di dati e/o procedure, applicabile anche all’informatica. Il termine proviene dal verbo latino “audire”, per cui se ne raccomanda la pronuncia alla latina, che vuol dire ascoltare perché durante la fase di Audit occorre appunto ascoltare per comprendere se nelle varie aree ed attività di un’Organizzazione siano rispettate le procedure, siano chiari ruoli e doveri e se le policy siano presenti e correttamente applicate.
Un Audit che abbia come perimetro di analisi anche i sistemi informatici si deve avvalere di strumenti opportuni, che gli stessi sistemi devono produrre. Si tratta dei c.d. file di log che il sistema genera e che hanno al loro interno messaggi inerenti il lavoro eseguito. Un file di log utilizzato al fine di verificare l’opportuna applicazione delle regole, delle policy e/o delle procedure è anche chiamato Audit log e deve contenere per lo più informazioni su “chi ha fatto cosa e quando”.
Per dovere di completezza, occorre precisare che il fine ultimo di un Audit è individuare le discordanze, evidenziare le cause e prospettare soluzioni. L’Audit deve essere ripetuto periodicamente anche per verificare che le precedenti soluzioni siano poi state effettivamente applicate. In questo contesto ci limiteremo a descrivere l’utilità di un Audit log che, nel caso specifico dei sistemi preposti alle intercettazioni, è stato previsto dal Garante della privacy quindi possiamo approfondire la sua applicazione.
3. L’Audit log previsto dal Garante della privacy
Nel 2013 il Garante della privacy è intervenuto verso le Procure della Repubblica indicando misure e accorgimenti per incrementare la sicurezza dei dati personali raccolti e usati nello svolgimento delle intercettazioni. In tale intervento, il Garante ha elencato una serie di requisiti in merito alla sicurezza fisica e la sicurezza informatica da implementare. Con due successivi interventi, il Garante ha poi sospeso il termine per l’attuazione di molte misure prescritte con il provvedimento del 2013, con riserva di rivalutarne la rilevanza alla luce delle iniziative che saranno state nel frattempo intraprese dal Ministero, ad eccezione di alcune inerenti la sicurezza informatica per le quali è previsto il differimento al 31 gennaio 2017.
Tra queste misure, quella che prescrive la creazione di un audit log è l’annotazione in registri informatici dell’esecuzione delle operazioni svolte nell’ambito delle attività di intercettazione. Questa è la misura di maggior interesse tra tutte quelle relative alla sicurezza informatica, con particolare riferimento all’autenticazione e all’autorizzazione, poiché consente di verificare a posteriore se le precedenti misure siano state implementate.
Andando ad esaminare il requisito, evidenziamo i seguenti aspetti:
..continua su EDICOLeA
Articoli di Giovanni Nazzaro