Il Garante della Privacy, con un nuovo Provvedimento, ha prolungato i termini a suo tempo stabiliti per l’adozione di adeguate misure di sicurezza per lo svolgimento delle attività di intercettazione autorizzate dall’Autorità giudiziaria.

Se si approfondisce la vicenda, risulta chiaro che ci si trova di fronte ad un classico caso dove lo Stato non dimostra di fare il proprio dovere nei confronti dei cittadini.

La vicenda è nota, ma merita di essere raccontata e compresa nei suoi risvolti. Cominciamo dal principio.

Ancora a partire dal 2005 l’Autorità Garante della Privacy è intervenuta più volte (2006 e 2008) presso i gestori dei servizi telefonici e dati, imponendo loro l’adozione di adeguate misure al riguardo, per evitare fughe di notizie o lo svolgimento di attività illegittime.

Misure, peraltro, adottate anche a seguito del c.d. “Caso Genchi” in tema di intercettazioni telefoniche, che portò anche all’adozione delle linee guida per i consulenti tecnici e i periti giudiziari, che hanno limitato pesantemente la capacità d’azione di detta categoria.

Quanto sopra sul fronte delle aziende private, ma nel 2012 il Garante ha deciso di svolgere una attività di verifica presso le procure dela Repubblica di Bologna, Catanzaro, Perugia, Potenza e Venezia.

Al di là delle formali e cortesi attestazioni della completa collaborazione offerta dall’Autorità giudiziaria, la sostanza è che da tale attività è emerso un “quadro variegato e disomogeneo di misure, di natura fisica ed informatica”, tanto che emergeva “l’esigenza di realizzare alcuni interventi volti ad assicurare un rafforzamento del livello di protezione dei dati personali trattati e dei sistemi utilizzati”, nonchè di “armonizzare e specificare maggiormente le misure di sicurezza di quei trattamenti svolti presso gli Uffici giudiziari e relativi all’acquisizione e alla successiva elaborazione di dati personali prodotti dai gestori di servizi di comunicazione elettronica”.

In conseguenza, ad agosto 2013 il Garante ha pubblicato sulla Gazzetta Ufficiale un Provvedimento con il quale ha previsto tre pagine di prescrizioni molto complesse e articolate, tra le quali:

– misure di sicurezza fisica antincendio (oltre agli armadi ignifughi), di sicurezza e antintrusione, di controllo accessi, TVCC, biometrici, ecc.;

– misure di sicurezza informatica, cifratura, di logging delle operazioni, di firma sicura;

– particolari misure in caso di remotizzazione di solo ascolto o anche registrazione, analoghe alle precedenti;

– inoltre, tecniche strong authentication, VPN, firewalling, comunicazioni punto-punto, registri informatici (oltre che cartacei), cancellazione sicura, uso della PEC.

Al riguardo, non intendiamo ora approfondire la materia, ma ci limitiamo a considerare che a fronte della grave carenza iniziale, alcune di esse (ad esempio in materia di biometria), sono sembrate eccessive e soprattutto scarsamente applicabili.

In ogni caso l’Autorità ha stabitito che dette misure sarebbero state adottate entro 18 mesi (quindi entro il febbraio 2015) ma ha anche richiesto che il Ministero della Giustizia aggiornasse il Garante sullo stato della situazione entro il 30 giugno 2014.

Riassumendo, a partire dall’agosto 2013 bisognava riferire al Garante entro un anno e completare gli adempimenti entro febbraio 2015.

Sennonchè il 30 giugno di quest’anno sempre il Garante ha varato il nuovo, già citato, Provvedimento di differimento dei termini.

Dove, tra l’altro, si da atto:

– “che le misure indicate dipendono significativamente dalla collaborazione delle competenti strutture del Ministero della giustizia”;

– “della opportuna iniziativa assunta dal Ministero della giustizia di istituzion [non completamento dei lavori! – n.d.r.] di un gruppo di lavoro per l’attuazione del provvedimento”;

– “che il Ministero ha intrapreso [non completato! –n.d.r.] una aggiornata ricognizione”.

Dulcis in fundo, l’Autorità precisa che “è stato predisposto un programma di rilevazione dei fabbisogni, volto anche a quantificare gli oneri necessari agli interventi strutturali o infrastrutturali da realizzarsi presso gli Uffici interessati, coerente con le finalità di razionalizzazione organizzativa e contenimento dei costi correlate al progetto della cd. “gara unica nazionale delle intercettazioni“, che deve essere oggetto di valutazione finale”.

Traduciamo dal buocratese: fino ad ora è stato fatto poco e non si sa quanto e come potremo spendere, poi si dovrà bandire un appalto nazionale…”.

In conseguenza, l’Autorità ha disposto il differimento dei termini al 20 giugno 2015, nonché stabilendo al 30 ottobre 2014 il termine assegnato alle Procure per riferire all’Autorità sullo stato di avanzamento dell’attuazione delle misure prescritte.

Ci permettiamo di trarre la sintesi di questa vicenda.

Avendo il Garante constato che veniva fatto ben poco in materia di sicurezza delle intercettazioni, nonché che lo Stato (in particolare, le procure e il Ministero della Giustizia), non rispondeva alle misure imposte, l’Autorità dopo un anno di attesa ha… prorogato i termini di alcuni mesi.

Qualcuno crede che in questi tempi stretti verranno adottate tutte le misure previste? Soprattutto, se la gara (secretata…) non è stata ancora valutata, si troveranno i fondi per pagare le ingenti misure previste?

Una domanda sorge spontanea: se una misura di questo genere fosse stata imposta ad aziende private, l’Autorità, da un lato, e il Ministero della Giustizia e le procure, dall’altro, avrebbe tenuto lo stesso comportamento?