Intercettazioni EPPO
Il Garante Privacy ha dato il via libera al decreto che istituisce l’archivio nazionale dei verbali e delle registrazioni delle intercettazioni disposte dalla Procura europea (EPPO. European Public Prosecutor’s Office) mediante postazioni individuate in alcune Procure nazionali.
L’Autorità ha chiesto, tuttavia, che vengano adottate ulteriori misure tecnologiche a protezione dei dati.
Cos’è EPPO
L’EPPO è un’istituzione indipendente dell’Unione europea, operativa dal 1° giugno 2021, con sede in Lussemburgo competente ad indagare e perseguire reati che ledono gli interessi finanziari dell’UE.
Il database nazionale intercettazioni
Lo schema di decreto del Ministro della giustizia, esaminato dal Garante, disciplina le modalità di conservazione e di consultazione dei dati contenuti nell’archivio e i soggetti legittimati all’accesso mediante le postazioni istituite presso le sedi di servizio dei Procuratori europei delegati.
Potranno dunque accedere all’archivio nazionale il giudice che procede e i suoi ausiliari; il pubblico ministero e i suoi ausiliari, ivi compresi gli ufficiali di polizia giudiziaria delegati all’ascolto; i difensori delle parti assistiti, se necessario, da un interprete.
L’archivio nazionale, tenuto sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi previsti, del Procuratore europeo delegato, conserverà la versione integrale di tutti i verbali e di tutte le registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza, nonché ogni altro atto ad esse relativo.
Il parere del Garante
Nel rilasciare parere favorevole, il Garante ha ritenuto che il decreto non presenta particolari criticità sotto il profilo della protezione dei dati, ma ha comunque richiesto – in analogia con i sistemi nazionali – “che venga previsto, riguardo ai flussi informativi e la memorizzazione dei dati, il ricorso a tecniche crittografiche, utilizzando protocolli di rete sicuri e algoritmi di cifratura robusti, anche tenendo conto di eventuali raccomandazioni fornite dall’Agenzia per la cybersicurezza nazionale”.
Inoltre, l’autorità ha chiesto di “adottare procedure di autenticazione informatica a più fattori, con credenziali e dispositivi di autenticazione assegnati all’utente e auspicabilmente gestiti direttamente dal Ministero della giustizia”.
Lo schema di decreto, infine, dovrà contenere misure volte a garantire la continuità operativa e il disaster recovery (ripristino dei sistemi), nonché rilevare, tramite specifici alert, comportamenti anomali o a rischio, prevedendo il tracciamento delle operazioni compiute e audit con cadenza almeno annuale.