Segreto di Stato ed accesso agli archivi

(Nell’ambito del corso “Segreto di Stato e Procedimento Penale” – Organizzato da Scuola Superiore della Magistratura e Presidenza del Consiglio dei Ministri-Dipartimento delle Informazioni per la Sicurezza- 18 settembre 2015, Villa di Castel Pulci, Scandicci, Firenze)

1. Riservatezza individuale e pubblica, tra privacy e segreto di Stato

Riservatezza pubblica e riservatezza individuale, nel loro rapporto con la sicurezza nazionale, identificano due caratteri speculari del rapporto tra cittadino e Stato; tra le libertà del singolo e quella sicurezza pubblica cui qualsiasi interesse individuale si è sempre ritenuto di sacrificare.

Da un lato, quindi, è utile esaminare i limiti posti alla trasparenza dell’agire pubblico per ragioni di sicurezza nazionale (il segreto di Stato, appunto) e, dall’altro, i limiti che la riservatezza individuale impone persino all’intelligence e, quindi, alla tutela della sicurezza nazionale.

Approfondirò quest’ultimo aspetto, sempre più rilevante in un contesto di crescente informatizzazione della vita individuale e pubblica e in cui, quindi, tutto ciò che siamo e facciamo lascia tracce.

Questo, se da un lato può fornire utilissimi elementi per la prevenzione di crimini e la sicurezza pubblica, dall’altro può alimentare la degenerazione del controllo (legittimo se puntuale e fondato) in vera e propria sorveglianza di massa.

Soprattutto in un momento, quale quello presente, in cui il binomio libertà-sicurezza si sta ridefinendo con difficoltà, ma anche consapevolezza, maggiori di prima, tra spinte di segno opposto: tra il Datagate e Charlie Hebdo.E dunque, tra la consapevolezza dei rischi cui ci espone un’idea tirannica della sicurezza e il bisogno delle democrazie di “proteggersi”

I percorsi, opposti, di queste due direttrici, si snodano ancora tra Vecchio e Nuovo Continente.

Da un lato, nell’America dei Patriot Acts, la recente riforma voluta dal presidente Obama (il Freedom Act) ridisegna la disciplina dell’intelligence sul modello europeo, dunque rafforzandone i controlli giurisdizionali e parlamentari, circoscrivendone i limiti di azione in base al principio di legalità e a presupposti individualizzanti un po’ più stringenti.

Ed è di solo un anno fa la sentenza con cui la Corte suprema ha esteso alla perquisizione dei cellulari le tradizionali garanzie (soprattutto il mandato giurisdizionale) previste per le misure limitative della libertà personale.

All’Habeas data, dunque, si estendono le garanzie accordate all’Habeas corpus.

Di contro, nell’Europa della Carta di Nizza- che ha qualificato la protezione dati come diritto fondamentale, autonomo rispetto alla tutela della vita privata- la rinnovata minaccia terroristica pone in discussione certezze consolidate.

E si torna a parlare non solo di chiusura dello spazio Schengen ma anche di notevole ampliamento dei poteri di accesso sistematico dell’intelligence a dati personali da chiunque detenuti; di estensione dell’ambito e della tipologia delle intercettazioni; di attenuazione, in breve, delle garanzie individuali per ragioni, appunto, di sicurezza nazionale.

Dello smarrimento dell’Europa dinanzi alle nuove minacce e all’asimmetria del diritto rispetto alla tecnologia abbiamo colto un segnale nelle leggi di contrasto al terrorismo in Spagna, Francia e Portogallo, l’ultima delle quali è stata dichiarata incostituzionale il 28 agosto, nella parte relativa all’accesso dei Servizi ai tabulati, in assenza di adeguate garanzie giurisdizionali.

La Corte, in particolare, richiamando anche la sentenza Digital Rights della Corte di giustizia, ha ritenuto insufficiente la mera autorizzazione (estrinseca e di legittimità) della Commissione di controllo (3 magistrati scelti dal Csm), essendo necessario un vaglio intrinseco, analogo a quello previsto per il processo penale.

Ma un segnale in questo senso si è colto anche rispetto al nostro decreto anti-terrorismo (n. 5/2015), cui in fase di conversione sono state proposte una serie di previsioni che, se approvate, avrebbero alterato il giusto equilibrio tra privacy e sicurezza, sottovalutando anche le implicazioni di alcune tecnologie.

Ci riferiamo, in particolare, alle intercettazioni da remoto, che un emendamento governativo legittimava quale ordinaria tecnica investigativa, in assenza tuttavia di adeguate garanzie, che sarebbero invece particolarmente necessarie in casi simili.

Tale particolare tipologia di intercettazione, infatti, per le sue stesse caratteristiche di funzionamento, rischia di ostacolare il controllo sulla legittimità dell’azione investigativa (di polizia giudiziaria e servizi), come hanno rilevato la Corte tedesca, la Commissione di Venezia del Consiglio d’Europa e, da ultimo e soprattutto, la stessa Cassazione italiana.

Con sentenza del 26 giugno scorso, infatti, la Suprema Corte ha dichiarato illegittime (con conseguente inutilizzabilità dei dati raccolti) le intercettazioni realizzate, a distanza, mediante immissione di virus informatici in uno smartphone, in quanto in tal modo si consentono, oltre i limiti del decreto autorizzativo del gip, captazioni ambientali ovunque, in qualsiasi luogo e contesto si trovi l’indagato, attivando anche la videocamera del telefono stesso.

Si è esclusa, dunque, l’ammissibilità di modalità investigative che, eludendo codice di rito e decreto del gip, consentano di fatto di sottoporre a un controllo totale, in qualsiasi luogo e momento, l’indagato.

La differenza con le intercettazioni (ambientali, telefoniche, telematiche) previste dal codice di procedura penale è evidente: queste sono concepite (in ossequio all’art. 15 della Costituzione) come limitate nel tempo, nello spazio, previste come residuali nel caso di ambientali domiciliari. Da remoto, invece, il controllo dell’indagato è talmente pervasivo da non avere più alcun limite né, del resto, possibilità di riscontro effettivo.

Depone in tal senso anche la vicenda Hacking Team, che rivela come il ricorso a determinate tecnologie muti profondamente lo stesso mezzo di ricerca della prova, con il rischio dell’elusione delle garanzie sancite dal codice e pensate per strumenti investigativi così radicalmente diversi.

Alla luce di queste considerazioni, rispetto al citato decreto antiterrorismo possiamo dire che il testo definitivamente approvato abbia escluso fughe in avanti probabilmente eccessive.

Sono stati atti di saggezza sia lo stralcio della norma sulle intercettazioni da remoto, sia le opportune modifiche apportate alle previsioni che, da un lato, ammettevano le intercettazioni preventive per qualsiasi reato commesso on-line e che, dall’altro, estendevano ” a regime”, in misura rilevante e non selettiva, il tempo di conservazione dei dati di traffico.

E questo, in contrasto con le indicazioni fornite dalla Corte di giustizia, che imponendo un test di proporzionalità tra strumenti investigativi e privacy, ha riaffermato il valore centrale di quest’ultima.

2. Privacy, intelligence e sorveglianza strategica

Noi pensiamo che il modo migliore per difendere la nostra sicurezza consista nel proteggere i nostri dati (e, con essi, le infrastrutture e i sistemi cui li affidiamo) ed evitarne le raccolte massive, limitando in questo modo “la superficie d’attacco” per un terrorismo che sempre più si alimenta della rete per passare dallo spionaggio informatico alla concretissima violenza delle stragi.

Un’efficace azione di prevenzione del terrorismo dovrebbe dunque selezionare (con intelligenza, appunto) gli obiettivi “sensibili” in funzione del loro grado di rischio e fare della protezione dati una condizione strutturale della cyber-security.

E’ quanto abbiamo più volte sostenuto, in primo luogo rispetto all’attività d’intelligence, soprattutto strategica, anche in ragione del venir meno del confine tra sicurezza interna ed esterna, con la frequente estensione alla prima di strumenti e tecniche proprie della seconda.

Tutto questo – come ben ha sottolineato la Commissione di Venezia (del Consiglio d’Europa) e le Risoluzioni del PE dell’8.9.15 sui diritti fondamentali e sui sistemi di sorveglianza – ha un impatto importantissimo sulla libertà individuale.

La cosiddetta sorveglianza strategica, funzionale non all’accertamento di un reato commesso ma alla prevenzione di eventuali rischi futuri e all’analisi di fattori di rischio ha, infatti, un raggio di azione (temporale, spaziale e soggettivo) assai più ampio e meno “puntuale” della “sorveglianza mirata”, suscettibile quindi di degenerare- se non adeguatamente governato e limitato ad obiettivi realmente “sensibili” -in una sorveglianza massiva.

Rispetto a questo tipo di strumenti(comprensivi anche dell’accesso sistematico), inoltre, le verifiche di legittimità (quand’anche previste) sono tecnicamente più complesse e ben più alto è il rischio di eludere le garanzie accordate da ciascun ordinamento.

La Commissione di Venezia sottolinea inoltre l’importanza di previsioni legislative tassative che limitino l’ammissibilità di tali strumenti investigativi ai soli casi realmente indispensabili per la tutela di interessi fondamentali dell’ordinamento, preferibilmente evitandone l’utilizzo per fini di salvaguardia degli interessi economici, disciplinandone anche i limiti temporali massimi.

Vanno infatti garantiti – scrive la Commissione – prevedibilità e certezza del dettato normativo; legittimazione democratica della base giuridica; finalità istituzionale.

Va inoltre richiesto uno standard minimo di concretezza dei sospetti necessari per giustificare il ricorso a tali misure.

Necessaria anche la previsione della distruzione non solo dei dati illegittimamente acquisiti, ma anche di quelli non più necessari, come prescritto dalla Corte Europea per i diritti dell’uomo (Weber c. Germania, 2006).

E di qui anche l’importanza del triplice controllo parlamentare(previsto ad esempio da noi ma non in tutti i Paesi),nonché giudiziale (ancorché non giurisdizionale) e “tecnico” (di organi indipendenti quali ad esempio le Autorità di protezione dati) che possa quindi combinare i parametri politico, di legittimità giuridica e di proporzionalità sotto il profilo privacy, tutti necessari per impedire quella ” data over-collection”, che farebbe degenerare l’intelligence strategica in sorveglianza massiva.

Si tratta di un controllo che deve riferirsi non soltanto al mero controllo di conformità alla legge ma anche (attraverso il vaglio parlamentare) al merito e all’opportunità “politica” degli obiettivi selezionati.

Ad esempio sindacando, come nel sistema tedesco,

– l’ampiezza dei selettori utilizzati e la loro reale congruità rispetto al fenomeno monitorato;

– la “catena dei contatti” attraverso cui si sottopone a controllo un terzo solo perché in contatto con il soggetto inizialmente monitorato, limitando tale estensione ai soli casi nei quali, nei confronti del terzo, emergano autonomi indizi di coinvolgimento in attività terroristiche (la normativa americana attuale limita questi “salti” a due).

Sotto questo profilo, la previsione italiana di un triplice ordine di controlli (politico, giudiziale e tecnico) è sicuramente degna di nota.

Va, tuttavia, evitato un ulteriore ampliamento delle ipotesi di ammissibilità di intercettazioni (e acquisizioni di tabulati) preventive così come è importante che sia rigoroso e stringente il vaglio esercitato dal Copasir su tali attività, come anche sull’accesso sistematico alle banche dati.

Tale vaglio di adeguatezza è tanto più necessario alla luce della riscontrata scarsa efficacia di tali misure ad ampio raggio rispetto al terrorismo di oggi, che preferendo bersagli a bassa rilevanza strategica – ancorché non mediatica – dimostra l’impossibilità di sorvegliare tutti gli obiettivi, governativi e non.

L’importanza del vaglio di legittimità del Garante emerge anche considerando l’importanza annessa – da parte della Corte di giustizia, con la sentenza Digital Rights – al controllo delle Autorità indipendenti, sul trattamento dei dati nel contesto della data retention.

La cui invasività ha indotto la Corte portoghese a ritenere insufficienti le garanzie previste dalla legge interna, che non assegna, del resto, all’Autorità di protezione dati analoghe funzioni in materia.

3. Il trattamento dei dati personali coperti da segreto di Stato o comunque svolto dagli Organismi

Il trattamento di dati personali effettuato dagli Organismi per l’ informazione e la sicurezza dello Stato (Aisi, Aise, Dis) o comunque il trattamento di dati coperti da segreto di Stato, sono soggetti a una disciplina speciale, volta a bilanciare il diritto dell’interessato al controllo sui propri dati e quelle esigenze di tutela della “sicurezza della Repubblica” e delle “istituzioni democratiche” che la l.124/2007 assegna ai servizi.

E’ interessante notare anzitutto come, sin dalla l. 675/1996, questa particolare categoria di trattamenti – caratterizzata da esigenze pubblicistiche primarie e tradizionalmente prevalenti sui diritti individuali – non sia stata del tutto sottratta alla disciplina di protezione dati, ma sia stata invece normata in modo da riconoscere all’interessato una sfera essenziale di prerogative, anche mediante i poteri di intervento e controllo attribuiti al Garante.

Ai trattamenti – svolti dai Servizi o su dati coperti da segreto di Stato – si applicano i principi generali aventi carattere d’indirizzo e le norme generali del Codice; le disposizioni su modalità di trattamento e requisiti dei dati (principi di liceità, correttezza, pertinenza, non eccedenza, esattezza, aggiornamento, minimizzazione del trattamento di dati identificativi); divieto di profilazione; obblighi di sicurezza e adozione delle misure minime; regime del risarcimento del danno cagionato per effetto d’illecito trattamento, poteri d’intervento del Garante (art. 58, c.1).

Inoltre, qualora il trattamento sia effettuato da soggetti pubblici diversi dagli Organismi- ma comunque per fini di difesa o sicurezza dello Stato- in base a previsione legislativa espressa, restano applicabili non solo i suddetti principi, ma anche gli obblighi di notificazione del trattamento di dati genetici, biometrici, sanitari o inerenti la vita sessuale o trattati con tecniche di profilazione, con le relative sanzioni amministrative in caso d’inadempimento (art. 58, c. 2).

In questo caso, gli obblighi di sicurezza gravanti sui titolari concernono l’adozione delle misure minime di sicurezza previste direttamente dal Codice.

E’ invece demandata a un d.P.C.M.(il primo del 2004, il vigente del 2015)la previsione, nel dettaglio, e il periodico aggiornamento, delle misure di sicurezza da applicarsi ai trattamenti di dati coperti da segreto o comunque effettuati dagli Organismi.

Alla medesima fonte (d.P.C.M., tuttavia non ancora emanato) è demandata la previsione delle modalità di applicazione delle norme del Codice rispetto ai trattamenti in esame (svolti dagli Organismi o da altri soggetti pubblici, purché per fini di sicurezza dello Stato), tenendo conto delle diversità delle “tipologie di dati, di interessati, di operazioni di trattamento eseguibili e di incaricati” (art. 58, c.4).

In ordine ai poteri ispettivi del Garante rispetto a questi trattamenti, va richiamato l’art. 160 del Codice, che tra i “particolari accertamenti” effettuabili, annovera anche quelli “relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato”, prevedendo che in tal caso il componente il Collegio designato a svolgere gli accertamenti prenda “visione degli atti e dei documenti rilevanti” e riferisca “oralmente nelle riunioni del Garante”.

Si tratta di previsione di rilievo, in quanto conferisce all’Autorità un potere ispettivo – in un ambito, come quello in esame, tradizionalmente sottratto a controlli esterni – particolarmente incisivo, in ragione della prevista inopponibilità del segreto di Stato al membro del Garante delegato agli accertamenti.

Tuttavia, laddove gli atti consultati siano coperti da segreto o comunque la comunicazione dell’esito dell’accertamento possa pregiudicare la sicurezza dello Stato, non potrà darsi riscontro all’interessato che avesse, eventualmente, sollecitato il Garante a effettuate l’accertamento (art. 160, c. 2).

Si tratta, nel complesso, di previsioni particolarmente innovative, in quanto – pur con le necessarie deroghe del caso – sanciscono l’applicabilità di norme essenziali della disciplina di protezione dati al settore tradizionalmente e maggiormente caratterizzato, in assoluto, dalla prevalenza d’interessi pubblicistici rispetto ai diritti individuali e dalla pressoché totale assenza di controlli esterni.

La previsione della riserva di legge per i trattamenti svolti per le finalità in esame e l’obbligo di notifica al Garante introducono invece il principio di stretta legalità del trattamento (demandando dunque al legislatore il compito di autorizzare specifici trattamenti, così sottraendolo alla discrezionalità dell’amministrazione) e il potere ispettivo e prescrittivo di un organo terzo, quale il Garante, a tutela dell’interessato, al quale comunque non può essere opposto il segreto di Stato ex art. 160, c. 4.

Tra le norme extra-codicistiche rilevanti, va poi ricordato l’art. 26 della l. 124/2007 (di riforma dei Servizi), secondo cui la raccolta e il trattamento dei dati sono finalizzati esclusivamente al perseguimento degli scopi istituzionali del Sistema di informazione per la sicurezza.

Si ribadisce, in sintesi, il principio di necessaria funzionalità del trattamento rispetto ai fini istituzionalmente perseguiti, cui s’ispira l’intera disciplina del trattamento dei dati personali da parte dei soggetti pubblici.

Tale previsione è poi rafforzata da una specifica sanzione penale per i casi di violazione, con particolare riferimento all’esigenza di prevenire fenomeni di dossieraggio (il legislatore aveva considerato, in particolare, quelli svolti dal Sismi ai danni di esponenti politici, giornalisti e magistrati, scoperte nel luglio 2006).

La costituzione o l’utilizzazione, da parte del personale dei servizi, di “schedari informativi” realizzati abusivamente integra, infatti, gli estremi di una specifica fattispecie delittuosa, ulteriore, diversa e ben più grave rispetto al “trattamento illecito di dati personali” (art. 167 del Codice) e punita con la reclusione fino a dieci anni.

E’ poi sancito uno specifico divieto, in capo al Dis, all’Aisi e all’Aise, di istituzione di “archivi al di fuori di quelli la cui esistenza è stata ufficialmente comunicata” al Copasir.

4. L’accesso sistematico degli Organismi a banche dati: dalla riforma del 2007alla direttiva “Monti”

Successivamente all’entrata in vigore del Codice, la l. 124/2007, nel riformare struttura e disciplina dei Servizi
ha, in particolare,

– attribuito al Presidente del Consiglio la “responsabilità generale della politica dell’informazione per la sicurezza”;

– innovato la disciplina del segreto di Stato, prevendendone tra l’altro un limite massimo (30 anni) per la sua efficacia ed escludendo comunque la secretabilità rispetto a fatti che configurino delitti di terrorismo o comunque eversivi;

– attribuito al Copasir la funzione di controllo politico e di legittimità sulla politica dell’informazione e, in particolare, il potere di sindacare nel merito l’apposizione del segreto di Stato.

Ai nostri fini, gli aspetti di maggiore interesse della l. 124 (da leggersi in parallelo con il Codice, che integra, in parte qua) sono, in particolare, quelli relativi ai poteri attribuiti agli Organismi, che impongono oneri di collaborazione (e dunque anche obblighi di comunicazione di dati, ovviamente anche sensibili e giudiziari) in capo alle forze armate e di polizia e alla magistratura, la quale, in particolare, non può opporre il segreto investigativo alla richiesta avanzata dal Presidente del Consiglio.

Ancor più penetranti sono i poteri riconosciuti ai servizi dall’art. 13 della legge 124, in materia di accesso agli archivi informatici delle pubbliche amministrazioni e dei soggetti erogatori di servizi di pubblica utilità- legittimati dal mero presupposto dell’adempimento dei fini istituzionali – e di fatto estesi dalla direttiva “Monti” del 2013 all’accesso, per fini di cybersecurity, a banche dati detenute anche, tra gli altri, dai fornitori di servizi di comunicazione elettronica o dai gestori di infrastrutture critiche di rilievo nazionale ed europeo.

Con regolamento (d.P.C.M. 1/2009) – su cui il Garante ha reso parere– sono state disciplinate le modalità di accesso dei servizi alle banche dati e le misure idonee a garantire il controllo delle consultazioni effettuate, tracciandole e conservando per 10 anni i log.

I poteri di accesso sistematico degli Organismi sono stati significativamente estesi dal combinato disposto della l. 133/2013 (che ha attribuito loro competenze in tema di protezione cibernetica e sicurezza informatica nazionali) e della “direttiva Monti” (dPCM 24.1.2013, recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”).

Quest’ultima, in particolare, obbliga alcuni operatori privati – tra cui i fornitori di servizi di comunicazione elettronica e reti pubbliche di comunicazione e i gestori di infrastrutture critiche di rilievo nazionale ed europeo- a comunicare al Nucleo per la sicurezza cibernetica ogni “significativa violazione della sicurezza o dell’integrita’ dei propri sistemi informatici”, nonché, in particolare, a fornire informazioni agli Organismi e a consentire loro l’accesso alle banche dati d’interesse ai fini della sicurezza cibernetica di rispettiva pertinenza, nei casi previsti dalla legge 124/2007 (ovvero per mere esigenze di adempimento delle rispettive funzioni istituzionali).

Si consente, in tal modo, un accesso anche a dati personali detenuti da tali soggetti privati, per esigenze (non meglio specificate) di garanzia della sicurezza cibernetica.

Nozione, questa, definita genericamente dal decreto come “condizione per la quale lo spazio cibernetico risulti protetto grazie all’adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria od accidentale, consistenti nell’acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittima, ovvero nel danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi”.

Si è quindi delineato un ulteriore presupposto per l’accesso a banche dati private ai sensi dell’art. 13 della legge 124, connesso alla nuova funzione attribuita ai servizi dalla legge 133/2013, di prevenzione di rischi per la sicurezza cibernetica, che ha notevolmente esteso i poteri informativi degli Organismi.

5. Intercettazioni preventive e data retention

Ovviamente, come precisa lo stesso art. 13 della l. 124, quando gli accessi alle banche dati, da chiunque tenute, comportino (o comunque si renda necessaria) la consultazione di dati di traffico telefonico o telematico o delle stesse comunicazioni telefoniche, telematiche o ambientali (dunque sottoponendo gli interessati a intercettazioni), gli Organismi dovranno seguire la procedura prevista, per le intercettazioni preventive, dall’art. 226 delle disposizioni d’attuazione del c.p.p., richiedendo quindi l’autorizzazione al Procuratore generale presso la Corte d’appello di Roma.

I dati acquisiti in base a intercettazioni preventive o acquisizioni di tabulati possono essere utilizzati ai soli fini investigativi (mai in sede processuale); delle operazioni svolte è redatto “verbale sintetico”, che entro cinque giorni dal termine delle captazioni (dieci se siano necessarie traduzioni, ai sensi del d.l. 7/2015) deve essere depositato presso il Procuratore e immediatamente distrutto.

L’autorizzazione dell’a.g. e il controllo di conformità successivo sono tuttavia meramente estrinseci, limitandosi a verificare che siano correttamente allegati i presupposti per disporre le intercettazioni – ma non potendo giungere sino ad accertare se le invocate esigenze di prevenzione sussistano o meno- e che quindi dal verbale possa evincersi la conformità delle operazioni svolte al decreto di autorizzazione.

Il carattere meramente estrinseco dell’autorizzazione del PG è del resto dimostrata dalla labilità dei presupposti legittimanti le captazioni, ovvero l’indispensabilità ai fini dell'”espletamento delle attività demandate” ai servizi.

A fronte di una così ampia indicazione, fondata su presupposti dalla valenza selettiva assai limitata, l’autorizzazione giudiziale si riduce evidentemente a un mero visto. Si consideri infine che l’autorizzazione è data per un periodo massimo di quaranta giorni, ma prorogabile senza limite.

6. Criticità e prospettive della disciplina dell’accesso sistematico per fini di intelligence a dati personali

Come è stato rilevato nei lavori preparatori della legge 124, i presupposti delineati per l’accesso a banche dati (da chiunque detenute) e per disporre intercettazioni preventive o per conservare dati di traffico sono alquanto labili, fondandosi sulla ritenuta indispensabilità (mera necessità nel caso di collaborazione richiesta alla p.a. o a privati erogatori di servizi di pubblica utilità) per lo svolgimento delle attività connesse alle esigenze del Sistema informativo.

Si tratta di presupposti la cui valenza selettiva è indubbiamente limitata (anche in ragione della genericità con cui sono indicate le finalità perseguite dai servizi) e il cui sindacato più forte (attribuito al Copasir) è di natura squisitamente politica.

In questo senso, dunque, anche i regolamenti sull’accesso a banche dati, su cui si è espresso il Garante, rappresentano una garanzia essenzialmente rispetto ad accessi abusivi da parte di soggetti terzi, ma non consentono di impedire acquisizioni di dati che, pur formalmente realizzate da soggetti legittimati, siano invece, in realtà, non giustificati da reali ragioni di tutela della sicurezza dello Stato.

Il punto di maggiore, seppur inevitabile debolezza della disciplina in esame risiede, infatti, nella labilità dei presupposti che legittimano l’esercizio, da parte dei servizi, di così penetranti poteri acquisitivi.

Ciò vale, a maggior ragione, per l’acquisizione dei dati di traffico o le intercettazioni.

Tali accessi potrebbero poi, almeno in linea teorica, essere “coperti” da particolari cause di non punibilità (le garanzie funzionali) che “scriminano” condotte altrimenti previste come reato, in base a un’autorizzazione rilasciata dal Presidente del Consiglio (o dall’Autorità delegata), per esigenze di svolgimento di compiti istituzionali, non sindacabili nel merito se non dal Copasir.

Se questa discrezionalità e libertà di azione è una caratteristica tipica dei Servizi in pressoché tutti gli ordinamenti e dunque, in certa misura, connaturata alle loro funzioni, è però importante assicurare l’effettività dei vari tipi di controllo previsti: quello politico, di merito, del Copasir; quello giurisdizionale, di legittimità, rimesso al Procuratore generale presso la Corte d’appello di Roma; quello inerente la legittimità del trattamento, svolto dal Garante anche nelle forme innovative di recente istituite.

Ci riferiamo, in particolare, al protocollo d’intenti siglato con il Dis l’11.11.2013, volto a disciplinare alcune procedure informative specifiche, tali da fornire elementi conoscitivi utili all’esercizio delle funzioni attribuitele rispetto ai trattamenti in esame, anche considerando che non è stato ancora emanato il regolamento che avrebbe dovuto disciplinare nel dettaglio, ai sensi dell’art. 58, c.4, le modalità di applicazione del Codice rispetto ai trattamenti svolti per fini di sicurezza dello Stato o comunque dagli Organismi.

In particolare, il protocollo prevede la comunicazione al Garante del piano ricognitivo degli archivi informatici cui il Dis e le Agenzie hanno accesso ai sensi dell’art. 13, comma 2 della legge 124 del 2007, e le acquisizioni di dati effettuate in attuazione dell’art. 11 della direttiva Monti, laddove abbiano comportato l’identificazione dell’interessato da parte delle Agenzie.

Questa procedura informativa – che s’intende sistematizzare – rappresenta una modalità peculiare di esercizio della funzione di garanzia attribuita all’Autorità, che si aggiungerebbe a quella sinora utilizzata, mediante accertamenti svolti – ai sensi dell’art. 160 – prevalentemente su istanza di parte, per verificare puntualmente la legittimità del trattamento dei dati dei singoli richiedenti (senza peraltro che si siano mai riscontrate criticità).

L’elemento innovativo delle procedure informative instaurate consiste invece nella sistematicità e nello stesso ambito oggettivo degli accertamenti, non limitandosi essi allo specifico trattamento dei dati di un singolo, ma vertendo invece sulle modalità organizzative e procedurali complessivamente utilizzate per garantire che tutti i trattamenti effettuati rispettino le cautele previste dal Codice e che i dati così acquisiti non vengano trattati per finalità diverse o comunicati a terzi.

Tale forma di esercizio dei poteri di garanzia dell’Autorità è, infatti, maggiormente compatibile con le peculiarità che hanno assunto, oggi, le attività investigative degli Organismi, le loro stesse funzioni in materia di cybersecurity e, quindi, i poteri c.d. di “accesso sistematico”.

La funzione di garanzia del Garante non può non tenere conto di questa evoluzione e deve, pertanto, svolgersi secondo forme più aderenti alle stesse attività oggetto di analisi, incentrandosi più specificamente sulla sicurezza dei dati e dei sistemi con i quali i vari trattamenti sono svolti che non, invece, soltanto sulla legittimità del singolo, puntuale, trattamento.

Del resto, che la funzione di garanzia delle Autorità di protezione dati sia particolarmente rilevante in un contesto di progressivo ampliamento dei poteri informativi delle agenzie di intelligence, è tema condiviso, se non altro negli ordinamenti europei, particolarmente attenti al valore della protezione dei dati personali.

Particolarmente significativa in tal senso è la sentenza n. 31/2013 della Corte costituzionale tedesca, che nel dichiarare parzialmente illegittima la legge sulla raccolta e lo scambio di dati per fini di antiterrorismo ha, in particolare, ribadito il principio di separazione delle informazioni raccolte per fini di intelligence da quelle utilizzabili per fini di polizia e la necessaria tassatività dei presupposti legittimanti i poteri acquisitivi di dati personali da parte delle agenzie, precisando peraltro come, a fronte dell’estensione di tali poteri, sia ancor più necessaria un’adeguata supervisione da parte delle Autorità di protezione dati.

Nell’esercizio del proprio potere di supervisione, il Garante sta adottando ogni misura opportuna per garantire l’effettività del diritto dei cittadini alla protezione dei propri dati personali nel contesto dell’attività d’intelligence.

Ma, ovviamente, per impedire che l’accesso sistematico dei Servizi a banche dati e, quindi, ai dati personali dei cittadini degeneri in sorveglianza massiva, è necessaria la sinergia degli altri tipi di controlli previsti (in capo al Copasir e all’a.g.), oltre, naturalmente, a un consapevole e responsabile esercizio, da parte degli stessi Organismi, dei poteri loro attribuiti, nel rispetto dei limiti e dei vincoli loro imposti, a tutela dei diritti individuali.

Questo è il disegno tracciato dalla legge; questo sembra essere, almeno sinora, l’indirizzo che ciascuno degli organi coinvolti, con grande responsabilità, sta adottando.

PRIVACY POLICY