Ferma restando la radicale censura di ogni forma di smaterializzazione del processo penale in ragione della evidente compromissione dei principi costituzionali che lo regolano, l’Unione Camere Penali Italiane sottopone all’Ufficio del Garante per la protezione dei dati personali alcuni quesiti a cui le autorità preposte dovrebbero dare risposta, ringraziando il Dott. Soro e il Suo Ufficio per l’attenzione che agli stessi vorrà prestare e all’utilizzo che agli stessi vorrà far seguire. La lettera al Garante.

Al Garante per la protezione dei dati personali

Dott. Antonello Soro

Egregio Sig. Garante,

l’Unione Camere Penali Italiane Le scrive per sottoporre alla Sua attenzione alcune questioni ritenute rilevanti in materia di protezione dei dati personali, e dunque di potenziale interesse per il Suo ufficio, in merito al cosiddetto processo penale a distanza (da remoto) di fatto introdotto con il Decreto-Legge n. 18/2020. Ferma la contrarietà dell’Unione al processo penale svolto da remoto per la sua evidente incompatibilità con i principi costituzionali, ci permettiamo di sottoporle questo nostro documento per le materie e le problematiche di Sua competenza.

Una breve premessa.

Negli ultimi anni è stato creato il cd. Processo Civile Telematico, “PCT”, che si sostanzia non già in un processo civile da remoto, ma in una piattaforma (proprietaria) asincrona e dunque non real time di deposito di atti e di documenti inerenti l’avvio e le fasi del processo civile. Questa mera piattaforma ha richiesto anni di sviluppo e di approfondimenti e confronti anche tecnici, ed è di tipo “proprietario”, infatti non si “appoggia” a programmi di tipo commerciale di società private o a server esterni all’Amministrazione della giustizia.

Nel settore penale non è ancora stato possibile rendere operativa una piattaforma di deposito e scambio di documenti di questo genere, con tutta evidenza anche per la delicatezza di una materia che deve garantire la riservatezza dei dati di un “sistema” che gestisce diritti fondamentali dei cittadini, garantiti dalla Costituzione e dalle Convenzioni sovranazionali. L’invio degli atti giudiziari (mere notifiche) è infatti allo stato di fatto solo di tipo monodirezionale, dall’autorità giudiziaria al singolo avvocato.

La partecipazione a distanza nel processo penale è prevista, in via eccezionale solo per determinati soggetti detenuti che rispondono di reati di particolare allarme sociale, dall’art. 146 Disp. Att. c.p.p., ma avviene attraverso un sistema specifico e proprietario dell’Amministrazione della Giustizia.

L’emergenza epidemiologica e l’introduzione del processo penale da remoto.

A seguito dell’emergenza epidemiologica Covid-19, nel settore penale è stato introdotta con Decreto-Legge n. 11/2020 la partecipazione a distanza per qualsiasi processo penale avente ad oggetto le persone private della libertà, per qualsiasi tipo di reato.

Tale modalità di partecipazione non avviene attraverso gli strumenti di partecipazione da remoto già esistenti (che si presume abbiano già passato il vaglio della Sua autorità, per quanto di competenza), ma attraverso due programmi commerciali di una società estera, individuati dalla Direzione generale dei sistemi informativi e automatizzati (DGSIA) del Ministero della Giustizia, in ossequio alla delega prevista dall’art. 83 del suddetto Decreto-Legge.

La DSGIA ha individuato, con provvedimento del 10.03.20 (non sappiamo se sentito il Suo Ufficio), riproposto in data 20.03.20, i programmi commerciali Skype for Business e Teams, della società Microsoft Corporation, quali piattaforme per lo svolgimento del processo penale da remoto. Tali piattaforme vengono già utilizzate regolarmente da circa un mese, e ad oggi non è dato comprendere se l’utilizzo di tali piattaforme consenta di rispettare le garanzie minime di sicurezza, riservatezza e protezione dei dati personali richieste dalla normativa nazionale e sovranazionale.

Allo stato, infatti, non è dato sapere se un fornitore di servizi commerciali è in grado di garantire il rispetto degli stringenti principi, regole tecniche e normative vigenti, dal Codice dell’Amministrazione Digitale (Cad D. L.vo 82/2005), al G.D.P.R. sino alla Police Directive di cui al D. L.vo 51/2018, e se è compatibile con la suddetta normativa l’attività di una società statunitense soggetta al Cloud Act emanato dal Presidente degli U.S.A., che consente la discovery dei dati contenuti nei suoi server, anche se localizzati al di fuori del territorio U.S.A., su semplice richiesta dell’autorità governativa.

Occorre evidenziare che la legge di conversione del suddetto Decreto-Legge n. 18/2020, al momento approvata dal Senato della Repubblica, intende ampliare ulteriormente le ipotesi di processo penale da remoto, estendendole persino agli atti di indagine e alle camere di consiglio (segrete), nel corso delle quali i giudici possono costituire la camera di consiglio da remoto, collegandosi ad una stanza virtuale ognuno da un suo terminale.

Senza considerare, infine, che il collegamento da remoto per lo svolgimento delle udienze, degli atti di indagine e delle camere di consiglio avviene nella rete internet pubblica, e non nella R.U.G. (Rete Unica Giustizia), quindi i dati delle connessioni sono facilmente intercettabili.

I quesiti al Suo ufficio.

Premesso quanto sopra, l’Unione Camere Penali Italiane, attenta alla tutela dei diritti di tutti i cittadini - e quindi anche dei loro dati personali - coinvolti direttamente o indirettamente nei processi penali, e al corretto svolgimento del processo penale in tutte le sue fasi ed articolazioni,  ferma restando la propria radicale censura di ogni forma di smaterializzazione del processo penale in ragione della evidente compromissione dei principi costituzionali che lo regolano, sottopone al Suo Ufficio alcuni quesiti a cui le autorità preposte a nostro avviso dovrebbero dare risposta, ringraziandola per l’attenzione che agli stessi vorrà prestare e all’utilizzo che agli stessi vorrà far seguire.

1. Quali misure di sicurezza sono previste nei termini di servizio intercorrenti tra Microsoft Corporation e il Ministero della Giustizia?
2. Quali sono i termini del servizio offerti da Microsoft Corporation al Ministero della Giustizia italiano? Quali prodotti (applicativi e software) e con quali livelli di licenza sono stati forniti?
3. Le modalità di attuazione, di competenza della Direzione Generale per i Sistemi Informativi Automatizzati (D.G.S.I.A.) del Ministero della Giustizia e previste dalla delega conferita dall’ art. 83 del D.L. 18/2020, sono conformi alle norme del Decreto Legislativo n. 51/2018?
4. I termini del servizio che intercorrono tra Microsoft Corporation e il Ministero della Giustizia, sono stati conformi al Decreto Legislativo n. 51/2018?
5. Gli obblighi previsti dagli artt. 15 e 23 del Decreto Legislativo n. 51/2018 sono rispettati in modo conforme alla suddetta normativa?
6. Le caratteristiche e le specifiche tecniche degli applicativi individuati per i sistemi di partecipazione a distanza, individuati dalla D.G.S.I.A. del Ministero della Giustizia, sono state sottoposte dell’esame, per quanto di Sua competenza, dell’Autorità Garante per la protezione dei dati personali?
7. L’informativa privacy dei due suddetti programmi, individuati dalla D.G.S.I.A., è conforme all’uso dei programmi nei processi penali, considerato anche che tali programmi non sono specifici per gli stessi?
8. Il trattamento dei dati personali raccolti e archiviati nel corso delle udienze virtuali e dei probabili atti di indagine da remoto, effettuati attraverso i servizi offerti da Microsoft Corporation, è stato oggetto della valutazione di impatto prevista dall’articolo 23 D. L.vo n. 51/2018?
9. Microsoft Corporation è considerata responsabile del trattamento dei dati ex art. 18 D. L.vo n. 51/2018? Per lo specifico trattamento previsto per le udienze e gli atti di indagine da remoto, esiste un contratto o altro atto giuridico che preveda l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e diritti del titolare del trattamento? O sono stati individuati quali soggetti titolari del trattamento dei dati personali relativi ai processi penali, altri soggetti o parti del processo?
10. L’utilizzo di Teams o di Skype for Business per i collegamenti da remoto di utenti esterni prevede l’utilizzo di VPN dedicate? Il sistema di connessione audio-video ha una architettura P2P con cifratura end-to-end? Sono servizi cloud based con server centrali di distribuzione? Tali server sono gestiti direttamente da Microsoft Corporation o sono interni all’Amministrazione?
11. I sistemi di autenticazione/autorizzazione alla connessione alle stanze virtuali rispettano gli standard previsti dall’attuale normativa? I link di invito sono personalizzati e contengono marcatori per tracciare il loro utilizzo?
12. Considerando che alcuni sistemi di posta elettronica sono “leggibili” dai gestori per generare pubblicità, quali canali sono utilizzati per comunicare il link alla video-chat? Questi canali dispongono di cifratura end-to-end?
13. Quali dati e metadati sono raccolti nel corso di una sessione? Quali dati e metadati sono raccolti sui dispositivi connessi che utilizzano applicativi non commerciali o browser web esterni? Esistono cookie di sessione o altri cookie per i client esterni? Quali dati sono memorizzati da Microsoft Corporation per finalità proprie, del servizio o commerciali? Chi ha accesso ai metadati delle sessioni? Ad esempio, è possibile che Microsoft Corporation o un amministratore di sistema possa capire se una certa persona è indagata in un processo solo basandosi sui metadati, nome di una stanza in cui avviene un interrogatorio e/o altre informazioni contestuali quali la presenza dell’avvocato?
14. Dove sono custoditi i server che conservano tali dati?
15. Quale autorità dello Stato italiano ha accesso a tali server?
16. Quale altra autorità, ente, società, ha accesso a tali dati?
17. Quali dati permarranno e quali utilizzi farà il provider di tali dati?
18. Nel corso delle udienze virtuali, o peggio delle camere di consiglio (segrete) in cui i giudici decidono, vi sono sistemi che impediscano ai terminali connessi o a terminali esterni di registrare in autonomia l’intera sessione o parte di essa (operazione del resto banale per qualsiasi dispositivo connesso), con la relativa possibilità di renderla pubblica?
19. Esistono strumenti per verificare anche per gli ospiti chi è presente ed escludere con certezza che non vi siano utenti silenti o non visibili? Gli amministratori di sistema hanno accesso alle stanze virtuali o agli archivi generati dalle diverse connessioni, sia con riferimento ai contenuti, quanto con riferimento ai metadati e agli identificativi dei partecipanti?
20. Quali metriche sono visualizzabili dall’autorità o dagli amministratori o dai responsabili del trattamento, riguardo agli utenti che hanno usato il servizio, per esempio il numero di sessioni in cui l’avvocato partecipato, il tempo in cui ha parlato, le co-presenze nelle stanze virtuali?
21. Sono state dunque adottate dal Ministero della Giustizia tutte le disposizioni regolamentari e operative per tutelare la cd. “Cyber Security”?

Nel ringraziare per l’attenzione prestata, porgiamo distinti saluti.

Roma, 14 aprile 2020

Il Presidente dell’Unione Camere Penali Italiane

Gian Domenico Caiazza

Il Segretario dell’Unione Camere Penali Italiane

Eriberto Rosso