Carta multiservizi della giustizia (Cmg). Le valutazioni del Garante della Privacy del 27 ottobre 2005

In progetto la carta multiservizi della giustizia (Cmg) per un accesso più sicuro ai sistemi informatici giudiziari. Le valutazioni del Garante - 27 ottobre 2005

GARANTE PER LA PROTEZIONE  DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la documentazione sottoposta, per le valutazioni di competenza del Garante, dal Ministero della giustizia, Dipartimento dell'organizzazione giudiziaria, del personale e dei servizi-Direzione generale per i sistemi informativi automatizzati, con nota del 5 settembre 2005;
Visto l'art. 17 del Codice;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

PREMESSO

È stata sottoposta alla valutazione di questa Autorità la documentazione relativa ad un progetto elaborato dal Ministero della giustizia volto a realizzare un sistema sicuro di accesso del personale dipendente e dei magistrati operanti negli uffici giudiziari delle regioni meridionali, sia ai sistemi informatici dell'amministrazione che trattano dati sensibili e giudiziari in sede locale (registri generali dei procedimenti penali e civili, basi dati investigative, ecc.), sia per il connesso accesso a banche dati centralizzate (ad esempio, il casellario giudiziale).

Il progetto ha l'obiettivo di innalzare la protezione dei dati sensibili e giudiziari trattati presso uffici giudiziari e banche dati centralizzate dell'amministrazione della giustizia, sulla base di una carta elettronica distribuita al personale abilitato all'accesso, nonché di rilevatori biometrici utilizzati per autenticare gli utenti all'atto dell'accesso a postazioni di lavoro o dell'ingresso in particolari locali.

Benché non espressamente precisato nella richiesta del Ministero la stessa rileva, riguardo agli aspetti di competenza del Garante, come interpello volto a promuovere una verifica preliminare all'inizio del trattamento dei dati.

L'art. 17 del Codice in materia di protezione dei dati personali, applicabile anche agli uffici giudiziari e all'amministrazione della giustizia (cfr. art. 47 del Codice), prevede infatti tale verifica preliminare in riferimento ai trattamenti di dati personali, diversi da quelli sensibili e giudiziari, che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che esso può determinare; in tale tipologia rientra il trattamento delle impronte digitali.

Nell'esercizio del compito previsto da tale disposizione, il Garante prescrive quindi, con il presente provvedimento, le misure e gli accorgimenti posti a garanzia dell'interessato, nel rispetto dei quali il trattamento è ammesso.

Le prescrizioni che seguono vengono rese in considerazione del trattamento previsto di dati biometrici –oltre che anagrafici– degli assegnatari della Carta multiservizi giustizia.

Il Garante esprime le proprie valutazioni tenendo conto degli elementi forniti dal Ministero della giustizia con la nota del 5 settembre 2005 e con riferimento ai soli profili di propria competenza.

OSSERVA

1.  Il progetto
Il progetto in esame prevede l'impiego di una carta microprocessore (Carta multiservizi giustizia: Cmg) affidata in dotazione a ciascuna persona fisica abilitata all'accesso ai locali (ad esempio, le sale C.e.d.) e agli ambienti ad alta criticità.

Nel progetto è previsto che all'uso della carta sia affiancato l'utilizzo di sensori biometrici che permettano la sicura autenticazione dell'utente al momento dell'accesso. A tal fine, la richiesta rivolta al Garante precisa che nella Cmg, oltre ai dati anagrafici, saranno registrati due template delle impronte digitali del dipendente, per permettere un'autenticazione informatica locale secondo la procedura one-to-one matching.

La Cmg verrà realizzata dall'Istituto poligrafico Zecca dello Stato (I.p.z.s.), secondo le specifiche della Carta nazionale dei servizi (Cns) adottate con d.m. 9 dicembre 2004 (di attuazione dell'art. 9 del d.P.R. 2 marzo 2004, n. 117).

È previsto che i dati del personale vengano acquisiti in sede locale attraverso apposite apparecchiature hardware e software, raccolti a livello centrale nel database del Ministero ed inoltrati all'I.p.z.s. che, effettuata la fornitura, provvederà a distruggerli. È, infine, previsto che i dati vengano mantenuti in custodia in detto database, in forma cifrata, per l'eventuale rilascio di duplicati dovuto a furto o smarrimento della carta.

2. Trattamento di dati personali con strumenti elettronici
La realizzazione di un sistema sicuro di accesso a contenuti informatici critici è un obiettivo coerente con le previsioni che il Codice detta per il trattamento dei dati personali effettuato con strumenti elettronici, descritte negli artt. 31 ss.  e nelle regole tecniche contenute nel disciplinare tecnico (All. B) al Codice).

Queste disposizioni prevedono che il trattamento dei dati personali con strumenti elettronici sia consentito ai soggetti, preventivamente designati quali incaricati (regola 1 Allegato B), che dispongano di una credenziale di autenticazione.

Tale credenziale può essere di vario tipo e può consistere anche in una caratteristica biometrica dell'incaricato eventualmente associata a un codice identificativo o a una parola chiave (regola 2 Allegato B).

Le regole tecniche dell'Allegato B devono essere inquadrate nel sistema del Codice. Il titolare del trattamento deve quindi scegliere il tipo di credenziale a seconda della natura o delle modalità del trattamento, del contesto in cui esso si inserisce e dei tipi di dati trattati, optando per la caratteristica biometrica solo quando il trattamento dei dati biometrici possa ritenersi necessario e proporzionato in rapporto alle finalità perseguite.

Di conseguenza, il Garante valuta positivamente la scelta nel caso in esame della caratteristica biometrica.

Nella realizzazione del sistema devono essere poi rispettate tutte le altre prescrizioni in materia di misure minime di sicurezza nel trattamento di dati personali con strumenti elettronici indicate nelle disposizioni richiamate.

3. Principi in materia di trattamento dei dati personali e relative prescrizioni
Detta realizzazione deve essere effettuata, altresì, in armonia con gli altri principi informatori della disciplina in materia di protezione dei dati personali, espressi in primo luogo nell'art. 11 del Codice.

n particolare:

  • 3.1 Con riferimento al principio di finalità (art. 11, comma 1, lett. b)), va prescritto che  i dati personali dei dipendenti e dei magistrati, di tipo sia anagrafico, sia biometrico, siano raccolti e trattati nell'ambito del progetto in esame solo per le finalità, che risultano giustificate, sottese alla realizzazione della Cmg. Le informazioni raccolte non potranno, quindi, essere utilizzate per scopi diversi (ad esempio, di rilevamento delle presenze o di controllo di accessi non compresi fra quelli ad alta criticità).
  • 3.2 In relazione al principio di pertinenza e non eccedenza (art. 11, comma 1, lett. d)) va prescritto che siano acquisiti e trattati i soli dati personali, anagrafici e biometrici, pertinenti e non eccedenti rispetto al perseguimento della finalità dell'autenticazione degli accessi fisici e logici, e in relazione alle sole persone fisiche abilitate; non potranno essere trattate informazioni ulteriori, o relative a persone fisiche non legittimate al trattamento di dati sensibili e giudiziari.
  • 3.3 Per quanto riguarda i tempi di conservazione (art. 11, comma 1, lett. e)), va prescritto che i dati siano conservati per il solo tempo necessario per raggiungere lo scopo per il quale essi sono stati raccolti e trattati; dovranno essere quindi distrutte periodicamente le informazioni relative a persone già abilitate che non siano più legittimate, per varie ragioni, ad accedere ai dati sensibili e giudiziari.
  • 3.4  Resta poi fermo che, ai sensi dell'art. 11, comma 2 del Codice, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non  potranno essere utilizzati.

4. Ulteriori misure di sicurezza
Il progetto prevede l'acquisizione delle informazioni nelle sedi locali, la successiva comunicazione all'amministrazione centrale e la trasmissione all'I.p.z.s..

Si valuta positivamente la circostanza, desumibile dalla nota di richiesta, che nel progetto sia previsto che le informazioni biometriche vengano trattate in sede di autenticazione/verifica dell'accesso in forma solo sintetizzata e compressa (template), anziché di immagine dattiloscopica.

Va tuttavia rescritto che:

  • 4.1 i flussi informativi prodotti dalla procedura adottino meccanismi di protezione delle comunicazioni (cifratura, protocolli di rete sicuri) in accordo con le previsioni contenute nelle "Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta nazionale dei servizi” (art. 5.1.7 del citato d.m. 9 dicembre 2004);
  • 4.2 siano adottati canali sicuri di trasmissione con sistemi di cifratura simmetrica con chiavi di lunghezza almeno pari a 128 bit;
  • 4.3  il modulo software per acquisire le informazioni utilizzi sessioni Ssl con meccanismi di autenticazione del server e delle postazioni client.

5. Database centralizzato
Il progetto prevede l'archiviazione centralizzata dei dati personali dei dipendenti e dei magistrati coinvolti nel sistema; quella concernente i dati biometrici avrebbe il fine specifico di consentire all'amministrazione l'eventuale rilascio di duplicati in caso di furto o smarrimento della carta.

Rilevato ancora che nella documentazione tecnica trasmessa non è esplicitata una previsione chiara sulla circostanza che anche il trattamento centralizzato delle informazioni biometriche debba avvenire solo in forma di template, anziché di immagine dattiloscopica, si rileva che, come il Garante ha avuto più volte modo di ribadire, la creazione di una banca dati centralizzata, che interessi una ampia generalità di soggetti, presuppone una rigorosa valutazione che va oltre l'aspetto della sicurezza e dell'integrità dei dati e che riguarda, in primo luogo, le finalità perseguite, i flussi di dati, l'utilizzazione ulteriore delle informazioni, l'individuazione di compiti e responsabilità.

Richiamato, al riguardo, quanto già rilevato in ordine al necessario rispetto dei principi posti dall'art. 11 del Codice, il Garante constata che, nella specie, la creazione di tale archivio non risulta in armonia con il principio di proporzionalità del trattamento dei dati (v. il già citato comma 1, lett. d) dell'art. 11), stante la sola finalità dichiarata di consentire l'eventuale rilascio di duplicati delle carte. La stessa esigenza può, infatti, essere soddisfatta agevolmente attraverso un processo di nuova acquisizione dei dati del singolo dipendente tramite procedura già collaudata.

In conclusione:

mentre il ricorso a caratteristiche biometriche degli interessati, oggetto della restante parte del progetto, risulta giustificato in rapporto alle finalità perseguite, il Garante ritiene che, per quanto riguarda i dati biometrici, non sussistano esigenze di complessiva funzionalità del sistema o di perseguimento di specifiche finalità, non altrimenti soddisfabili, che giustifichino la loro introduzione in una banca dati.

6. Designazione di responsabili ed incaricati
Come già rilevato, il progetto prevede che la produzione delle carte sia affidata all'I.p.z.s., soggetto esterno al Ministero della giustizia che riveste il ruolo di titolare del trattamento dei dati. Al riguardo, come pure nell'ipotesi di intervento di altri soggetti esterni all'amministrazione (come può verificarsi in caso di prestazione di servizi in outsourcing), devono essere regolati con attenzione i rapporti tra tutti i soggetti coinvolti, anche attraverso la designazione di incaricati e di eventuali responsabili.
 
Il Garante richiama in conclusione l'attenzione del Ministero sui predetti accorgimenti e misure da attuare ai sensi dell'art. 17 del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

prescrive al Ministero della giustizia, ai sensi dell'art. 17 del Codice, di adottare, nella realizzazione del progetto illustrato nella nota del 5 settembre 2005, le misure e gli accorgimenti a garanzia degli interessati, nei termini di cui in motivazione.

Roma, 27 ottobre 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli