Via libera del Garante privacy al decreto che istituisce l’archivio nazionale dei verbali e delle registrazioni delle intercettazioni disposte dalla Procura europea (EPPO. European Public Prosecutor’s Office) mediante postazioni individuate in alcune Procure nazionali. L’Autorità ha però chiesto che vengano adottate ulteriori misure tecnologiche a protezione dei dati.
L’EPPO è un’istituzione indipendente dell’Unione europea, operativa dal 1° giugno 2021, con sede in Lussemburgo competente ad indagare e perseguire reati che ledono gli interessi finanziari dell’UE.
Lo schema di decreto del Ministro della giustizia, esaminato dal Garante, disciplina le modalità di conservazione e di consultazione dei dati contenuti nell’archivio e i soggetti legittimati all’accesso mediante le postazioni istituite presso le sedi di servizio dei Procuratori europei delegati. Potranno dunque accedere all’archivio nazionale il giudice che procede e i suoi ausiliari; il pubblico ministero e i suoi ausiliari, ivi compresi gli ufficiali di polizia giudiziaria delegati all’ascolto; i difensori delle parti assistiti, se necessario, da un interprete. L’archivio nazionale, tenuto sotto la direzione e la sorveglianza esclusive del Procuratore europeo o, nei casi previsti, del Procuratore europeo delegato, conserverà la versione integrale di tutti i verbali e di tutte le registrazioni delle intercettazioni eseguite nei procedimenti in cui la Procura europea ha esercitato la sua competenza, nonché ogni altro atto ad esse relativo.
Nel rilasciare parere favorevole sullo schema di decreto, il Garante ha ritenuto che lo stesso non presenti particolari criticità sotto il profilo della protezione dei dati, ma ha comunque richiesto – in analogia con i sistemi nazionali – che venga previsto, riguardo ai flussi informativi e la memorizzazione dei dati, il ricorso a tecniche crittografiche, utilizzando protocolli di rete sicuri e algoritmi di cifratura robusti, anche tenendo conto di eventuali raccomandazioni fornite dall’Agenzia per la cybersicurezza nazionale.
L’Autorità ha inoltre richiesto di adottare procedure di autenticazione informatica a più fattori, con credenziali e dispositivi di autenticazione assegnati all’utente e auspicabilmente gestiti direttamente dal Ministero della giustizia. Lo schema di decreto dovrà infine contenere misure volte a garantire la continuità operativa e il disaster recovery (ripristino dei sistemi), nonché rilevare, tramite specifici alert, comportamenti anomali o a rischio, prevedendo il tracciamento delle operazioni compiute e audit con cadenza almeno annuale.