Nella banca dati sulla pedofilia massima riservatezza per le vittime
Su richiesta del Ministro per le pari opportunità il Garante per la privacy ha fornito le proprie osservazioni su uno studio di fattibilità per la creazione della banca dati per il monitoraggio del fenomeno della pedofilia e della pedopornografia, prevista dalla legge n.269 del 1998. L’Autorità ha dato, in particolare, indicazioni affinché vengano potenziate le misure a protezione dei dati, con speciale riguardo all’anonimato dei minori vittime di questi gravi reati.
Lo studio – predisposto dal Centro nazionale di documentazione e analisi per l’infanzia e l’adolescenza e realizzato con il coordinamento dell’Osservatorio per il contrasto della pedofilia e della pornografia minorile – illustra le caratteristiche e il contenuto della banca dati nella quale confluiranno tutte le informazioni (tipi di reato, numero di persone coinvolte, aree geografiche, etc), presenti negli archivi della pubblica amministrazione, necessari per monitorare il fenomeno dell’abuso e dello sfruttamento sessuale dei minori e della pornografia minorile. Il nuovo database potrà acquisire, ad esempio, i dati conservati nei registri informatizzati del Ministero della giustizia (Re.Ge. e Sigma) e del Centro elaborazione dati interforze del Ministero dell’interno (Sdi).
Con un provvedimento di cui è stato relatore Mauro Paissan, il Garante ha riconosciuto l’importante funzione conoscitiva del progetto e ha nel contempo sottolineato come tale finalità debba essere perseguita tutelando con la massima attenzione la riservatezza e la dignità della vittima, che in quanto minore ha peraltro diritto ad una tutela rafforzata. L’Autorità ha chiesto in particolare che nella banca dati non confluiscano dati che consentano di rendere identificabili, anche indirettamente, i soggetti coinvolti, e che vengano comunque previste modalità di anonimizzazione dei dati mediante l’uso di appositi codici. Dovranno essere raccolti solamente dati pertinenti e indispensabili rispetto alle finalità che si intendono perseguire.
Il Garante evidenzia inoltre l’esigenza che la trasmissione delle informazioni tra le varie banche dati avvenga adottando sistemi di cifratura. Nel caso in cui tale trasferimento avvenga su supporto fisico, ad esempio su dvd, anche i dati in esso contenuti dovranno essere criptati e opportunamente certificati con firma digitale. L’Autorità richiama infine la necessità di garantire un’adeguata tutela dei dati personali anche nelle fasi successive del progetto, in particolare quando verranno stipulati accordi fra il Ministero per le pari opportunità e le amministrazioni che dovranno alimentare la banca dati sulla pedofilia.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;
Vista la richiesta della Presidenza del Consiglio dei Ministri -Dipartimento per le pari opportunità;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
PREMESSO
Con nota del Capo di Gabinetto del Ministro per la pari opportunità, sono state richieste al Garante osservazioni in ordine allo studio di fattibilità e progettazione operativa della banca dati di cui all’articolo 17, comma 1-bis, secondo periodo, della legge 3 agosto 1998, n. 269 e successive modificazioni (infra: Banca dati), predisposto dal Centro nazionale di documentazione ed analisi per l’infanzia e l’adolescenza – Istituto degli Innocenti di Firenze e realizzato con il coordinamento dell’Osservatorio per il contrasto della pedofilia e della pornografia minorile di cui al citato articolo 17, comma 1-bis.
Lo studio in esame fornisce talune indicazioni di massima volte a valutare la fattibilità e le effettive possibilità di realizzazione della Banca dati che dovrà “raccogliere, con l’apporto dei dati forniti dalle amministrazioni, tutte le informazioni necessarie per il monitoraggio del fenomeno dell’abuso e dello sfruttamento sessuale dei minori e della pornografia minorile e delle azioni di prevenzione e repressione ad esso collegate”, secondo quanto disposto dall’articolo 4, comma 1, del decreto del Ministro delle politiche per la famiglia 30 ottobre 2007, n. 240, su cui il Garante ha, a suo tempo, reso parere, avendo peraltro fornito la propria collaborazione nell’ambito dei lavori del Comitato ministeriale di coordinamento per la lotta alla pedofilia (Ciclope).
Va peraltro rilevato che lo studio in esame non sembra rappresentare, nel complesso, un progetto definitivo ma intende fornire informazioni utili in ordine ai presupposti, alle caratteristiche e al contenuto della Banca dati.
Non può del resto sottacersi come lo studio, che reca la data del novembre 2008, sia (e non potrebbe essere diversamente) in alcuni punti non del tutto aggiornato alle modifiche intervenute, successivamente alla data della sua conclusione, nell’ambito dei sistemi informatici appartenenti alle Amministrazioni interessate (Giustizia e Interno) e destinati ad alimentare la Banca dati. Si consideri, ad esempio, il sistema previsto dal progetto NDR1 del Ministero della giustizia sulle notizie di reato, che dovrebbe essere in una fase di sviluppo successiva a quella descritta dallo studio, almeno secondo quanto risulta al Garante.
RILEVATO
Ferma restando la piena disponibilità dell’Autorità a fornire ogni contributo che l’Amministrazione dovesse ritenere utile per ulteriori approfondimenti del progetto, anche in fasi successive, ivi comprese quelle relative alla stipulazione dei previsti accordi fra il Ministro e le amministrazioni che detengono i dati destinati ad alimentare la Banca dati (art. 4, comma 2, d.m. citato, su cui v. infra), si svolgono di seguito talune osservazioni volte a elevare lo standard di tutela del diritto alla protezione dei dati personali trattati nell’ambito della Banca dati, così da conformarne pienamente il funzionamento alle disposizioni previste dal Codice in materia di protezione dei dati personali (infra: Codice), dalla citata legge n. 269 del 1998, nonché dal richiamato decreto 30 ottobre 2007, n. 240.
1. Lo studio di fattibilità e i successivi accordi fra le Amministrazioni interessate.
L’articolo 17, comma 1-bis della legge n. 269 del 2008 attribuisce all’Osservatorio il compito di “acquisire e monitorare i dati e le informazioni relativi alle attività, svolte da tutte le pubbliche amministrazioni, per la prevenzione e la repressione della pedofilia” e a tal fine autorizza l’istituzione della Banca dati per raccogliere tutte le informazioni utili “per il monitoraggio del fenomeno”.
Come anticipato in premessa, poi, l’articolo 4, comma 1, del decreto del Ministro delle politiche per la famiglia 30 ottobre 2007, n. 240, precisa che la Banca dati è destinata a “raccogliere, con l’apporto dei dati forniti dalle amministrazioni, tutte le informazioni necessarie per il monitoraggio del fenomeno dell’abuso e dello sfruttamento sessuale dei minori e della pornografia minorile e delle azioni di prevenzione e repressione ad esso collegate”.
Infine, il medesimo articolo 4, al comma 2, stabilisce che con specifici accordi fra il Ministro interessato e le amministrazioni che detengono i dati destinati ad alimentare la Banca dati, devono essere identificati i dati e le informazioni destinati a confluire nell’archivio, le modalità di codificazione degli stessi e di regolazione dei flussi informativi, con esclusione di dati nominativi, individuando, altresì, le modalità di tracciabilità dei dati stessi.
In sostanza, il monitoraggio assegnato all’Osservatorio è orientato, in termini generali, su fenomeni e attività svolte da pubbliche amministrazioni, anziché su dettagli di singoli casi esaminati, e persegue un’importante funzione conoscitiva che non richiede l’inserimento nella costituenda banca dati di informazioni analitiche di tipo personale relative a persone identificate o direttamente identificabili (in particolare, a vittime di abusi e a responsabili).
In questo quadro, lo studio di fattibilità e progettazione della Banca dati non può non tenere conto delle predette finalità del data base, della necessità di individuare i dati destinati a confluirvi in conformità a tali finalità e al principio di pertinenza e non eccedenza dei dati di cui all’articolo 11 del Codice, nonché delle specifiche modalità del trattamento previste dal decreto e demandate ai successivi accordi.
2. Le finalità della Banca dati e l’individuazione dei dati destinati a confluirvi.
2.1. Dati pertinenti.
Alla luce di quanto sopra esposto, si rileva che i paragrafi 4.2 e 5.2 dello studio suggeriscono l’opportunità di integrare il sistema dei registri informatizzati Re.Ge. del Ministero della giustizia e lo SDI del Centro elaborazione dati interforze del Ministero dell’interno, destinati ad alimentare la Banca dati, con riferimento anche ai dati personali della vittima del reato, in modo da poter poi implementare adeguatamente la Banca dati con tali informazioni.
Tale indicazione si conforma alla più generale impostazione – sottesa al documento nel suo complesso e avvalorata da studi di vittimologia – tesa a conferire centralità alla persona offesa nell’ambito del monitoraggio del fenomeno dell’abuso e dello sfruttamento a fini lato sensu sessuali del minore, al fine di trarre tutte le indicazioni utili, in particolare, dall’analisi di eventuali condizioni di rischio o di maggiore esposizione al pericolo, così da prevenire o quantomeno minimizzare il fenomeno dell’abuso sessuale del minore.
Ferme restando, ovviamente, scelte che eventualmente il legislatore dovesse assumere in tal senso, non può tuttavia non rilevarsi come tali finalità possano e debbano essere perseguite tutelando al massimo il diritto alla protezione dei dati personali e la stessa dignità della vittima, cui in tale contesto va assicurata la massima protezione non solo in quanto vittima (peraltro di delitti particolarmente lesivi della sua dignità e del suo stesso sviluppo psico-fisico), ma anche in quanto minore e come tale destinatario di forme di tutela particolarmente pregnanti.
Sotto il primo profilo, si consideri infatti che la tutela della riservatezza delle vittime di delitti a sfondo sessuale rappresenta un principio cardine del nostro ordinamento penale, in ragione delle ripercussioni che simili reati hanno sulla stessa identità, dignità e vita sociale della persona offesa. Tale conclusione è avvalorata in primo luogo dalle disposizioni processuali che, in deroga al principio della pubblicità del dibattimento, ne consentono – su istanza della persona offesa da taluno dei pertinenti delitti (artt. 600-bis, 600-ter, 600-quinquies, 601, 602, 609-bis, 609-ter e 609-quinquies, c.p.) – lo svolgimento a porte chiuse, proprio al fine di evitare l’ulteriore lesione della dignità della vittima derivante dallo strepitus fori (cfr., in particolare, art. 472, comma 3-bis, c.p.p.).
In secondo luogo, si consideri che l’articolo 734-bis c.p., “Divulgazione delle generalità o dell’immagine della persona offesa da atti di violenza sessuale” (o della vittima di condotte inerenti la pedopornografia), significativamente ricompreso all’interno del titolo codicistico dedicato alle contravvenzioni concernenti la tutela della riservatezza, sanziona con l’arresto da tre a sei mesi chiunque divulghi, anche attraverso mezzi di comunicazione di massa, le generalità o l’immagine della persona offesa da taluni delitti a sfondo sessuale (artt. 600-bis, 600-ter, 600-quater, anche se relativi a materiale pedopornografico virtuale, 609-bis, 609-ter, 609-quater, 609-quinquies e 609-octies, c.p.) senza il suo consenso.
Tali disposizioni dimostrano peraltro come il minore vittima di abusi sessuali rappresenti il soggetto tutelato in via prioritaria rispetto a qualsiasi forma di pubblicità, al punto che il citato articolo 472, comma 3-bis, c.p.p. , impone comunque – anche in assenza della richiesta in tal senso della persona offesa – il dibattimento a porte chiuse in relazione a processi per delitti inerenti lo sfruttamento o l’abuso a fini sessuali del minore. In tal senso si consideri anche l’articolo 50 del Codice, rubricato “Notizie o immagini relative a minori”, che estende il divieto di pubblicare o divulgare con qualsiasi mezzo notizie o immagini idonee a consentire l’identificazione del minore (art. 13, D.P.R. 22 settembre 1998, n. 448), anche all’ipotesi di coinvolgimento a qualunque titolo di un minore in procedimenti giudiziari in materie diverse da quella penale, a dimostrazione di come al minore sia garantita una tutela pregnante rispetto a qualsiasi procedimento giudiziario, e a fortiori in sede penale.
Pertanto, e ferme restando – lo si ribadisce – eventuali, future, scelte normative al riguardo, è necessario prevedere che qualsiasi opzione venga in proposito adottata in relazione ai dati suscettibili di confluire nella Banca dati e in particolare a quelli relativi alla vittima, rispetti i principi di proporzionalità, pertinenza e non eccedenza dei dati trattati di cui all’articolo 11 del Codice, tenendo altresì in adeguata considerazione i principi del favor minoris e la particolare tutela accordata dall’ordinamento alla vittima del reato, in particolare se a sfondo sessuale.
2.2. Dati non identificativi dell’interessato.
Come già anticipato, l’articolo 4, comma 2, del decreto ministeriale citato, prescrive – accogliendo tra l’altro le osservazioni a suo tempo rese dal Garante nell’ambito dell’attività di collaborazione fornita – che nella Banca dati non confluiscano “dati nominativi”, idonei cioè a rivelare l’identità dell’interessato, ma siano comunque individuate modalità di “tracciabilità” dei dati, mediante “codificazione”.
La progettazione della Banca dati deve, pertanto, essere strutturata in conformità a tali prescrizioni.
A tale riguardo, è necessario che i moduli informatici previsti nel progetto (“Pubblicatore”, “Estrazione”, “Elaborazione”, ecc.) siano configurati in modo da consentire l’acquisizione alla Banca dati dei dati presenti in altri sistemi informativi, come i citati Re.Ge, Sigma e SDI, con modalità che assicurino l’estrazione dei soli dati non identificativi dei soggetti coinvolti o comunque di informazioni appositamente e previamente “codificate”.
Si raccomanda peraltro che il processo di anonimizzazione – intesa quale eliminazione, dai dati estratti dai sistemi di origine, di ogni dato identificativo – o comunque di codificazione venga effettuata dal modulo di “Elaborazione” (o da altro modulo a tal fine individuato) posto all’interno del “Pubblicatore”, escludendo in ogni caso la trasmissione alla Banca Dati di dati identificativi dell’interessato.
A questo proposito è necessario prestare particolare attenzione alle operazioni di trattamento di informazioni che, per quanto non consistano in “dati nominativi” in senso stretto, possono tuttavia prestarsi, in determinate situazioni, a rendere comunque identificabile l’interessato. Si pensi alla data completa di nascita (delle vittime, dell’autore del reato e del denunciante) associata al genere, al comune di nascita, alla nazionalità, al rapporto tra autore e vittima (pag. 70, fig. 5 dello studio di fattibilità). In relazione a queste informazioni si dovrà osservare il principio di indispensabilità, pertinenza e non eccedenza dei dati anche con riferimento al livello di aggregazione statistica. Ciò anche considerato che lo studio di fattibilità prevede diversi livelli di accessibilità della banca dati in oggetto, tra i quali anche uno dedicato ad utenti privati.
Nel caso in cui la specifica implementazione del sistema d’origine richieda, quale presupposto dell’invio alla Banca dati, di decifrare i dati stessi da parte del modulo “Pubblicatore” previsto dallo studio, si raccomanda di adottare ogni misura idonea a evitare pregiudizi al diritto alla protezione dei dati personali degli interessati.
Infine, allo scopo di elevare lo standard di tutela dei dati personali trattati nell’ambito della Banca dati, appare opportuno adottare ogni accorgimento idoneo a garantire che i dati siano comunque trasmessi in forma cifrata utilizzando sistemi di cifratura “robusti”.
3. Le garanzie di sicurezza del sistema.
Lo studio ipotizza, in più punti (cfr., ad es., pp. 63, 65, 77 e 84), la possibilità che, in ragione della indisponibilità di connessione al Sistema pubblico di connettività (infra: SPC), si debba ricorrere a modalità alternative di trasmissione dei dati, quali, ad esempio, il recapito mediante invio di supporto fisico sul quale siano registrati i dati medesimi. In proposito, si ravvisa l’esigenza di adottare ogni misura idonea a garantire la riservatezza e l’integrità dei dati, in particolare evitando la memorizzazione sul supporto di dati identificativi, assicurando l’utilizzo di tecniche di cifratura nonché – qualora sia possibile e opportuno con riferimento alle peculiarità del caso concreto – prevedendo l’apposizione della firma digitale da parte del soggetto che procede alla trasmissione dei dati.
IL GARANTE
in relazione allo studio di fattibilità e progettazione operativa della Banca dati di cui all’articolo 17, comma 1-bis, secondo periodo, della legge 3 agosto 1998, n. 269:
a) in merito all’individuazione dei dati destinati a confluire nella Banca dati e, in particolare, a quelli eventualmente relativi alla vittima del reato, ritiene che qualsiasi opzione venga in proposito adottata debba rispettare i principi di proporzionalità, pertinenza e non eccedenza dei dati trattati di cui all’articolo 11 del Codice (punto 2.1);
b) in merito all’esigenza di garantire la non identificazione degli interessati (punto 2.2), ritiene che:
– i moduli informatici previsti nel progetto debbano essere configurati in modo da consentire l’acquisizione dei dati presenti in sistemi informativi di altre amministrazioni con modalità che assicurino l’estrazione dei soli dati non identificativi dei soggetti coinvolti o comunque di informazioni appositamente e previamente “codificate”;
– nel caso in cui la specifica implementazione del sistema d’origine richieda, quale presupposto dell’invio alla Banca dati, di decifrare i dati stessi da parte del modulo “Pubblicatore” previsto dallo studio, debba essere adottata ogni misura idonea a evitare pregiudizi al diritto alla protezione dei dati personali degli interessati;
– debba essere adottato ogni accorgimento idoneo a garantire che i dati siano comunque trasmessi in forma cifrata utilizzando sistemi di cifratura “robusti”.
c) con riferimento alle garanzie di sicurezza del sistema – e in relazione alla prospettata ipotesi in cui debba ricorrersi a modalità di trasmissione dei dati che non presuppongano la connessione al SPC – sottolinea la necessità di adottare ogni misura idonea a garantire la riservatezza e l’integrità dei dati, in particolare evitando la memorizzazione sul supporto di dati identificativi, assicurando l’utilizzo di tecniche di cifratura nonché – qualora sia possibile e opportuno con riferimento alle peculiarità del caso concreto – prevedendo l’apposizione della firma digitale da parte del soggetto che procede alla trasmissione dei dati (punto 3);
d) manifesta la propria disponibilità a fornire ogni contributo che l’Amministrazione dovesse ritenere utile per ulteriori approfondimenti sul progetto, anche in fasi successive, ivi comprese quelle relative alla stipulazione degli accordi previsti dal citato decreto ministeriale.
Roma 22 luglio 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
De Paoli