Mentre i tribunali italiani accelerano la corsa verso la digitalizzazione integrale, un’inchiesta giornalistica solleva il dubbio che i computer dei magistrati, custodi di segreti istruttori e dati sensibilissimi, siano accessibili da remoto con una semplicità disarmante.
Ma il problema non è solo tecnologico, è soprattutto giuridico.
Il passaggio al processo telematico è avvenuto in un pericoloso cono d’ombra normativo, dove le garanzie del diritto alla protezione dei dati personali sembrano arrestarsi sulla soglia dei tribunali.
Indice degli argomenti
Accesso da remoto alla consolle del magistrato e protezione dei dati personali
Un magistrato ha dichiarato che è possibile accedere da remoto al proprio computer d’ufficio, non usando le proprie credenziali, e riuscendo comunque a leggere e a modificare documenti di testo aperti sul desktop, senza necessità di segnalare l’intervento o chiedere consensi.
Per gestire la consolle all’insaputa dell’utente, basterebbe azionare, da un qualsiasi ufficio giudiziario, un software del sistema IT del processo telematico, fornito al Ministero della Giustizia da Microsoft.
L’azienda americana ha subito pubblicato una nota, affermando che il software è impiegato largamente nella pubblica amministrazione e serve ad “aiutare le organizzazioni a mantenere i propri ambienti IT sicuri, conformi alle normative e aggiornati”[2].
Tuttavia il quadro che emerge è tutt’altro che risolutivo.
La tecnologia non si pone al di sopra della legge.
Una misura adottata per garantire la sicurezza e l’aggiornamento del sistema IT, nonostante sia necessaria, deve comunque rispettare la normativa sulla protezione dei dati personali dettata dal GDPR (reg. UE 2016/679).
Tale regolamentazione, per garantire un livello di sicurezza appropriato alla gravità di rischio per i diritti e le libertà delle persone fisiche, prevede l’obbligo di mettere in atto misure tecniche congiuntamente a misure organizzative (art. 32).
Le misure tecniche, se non includano misure organizzative, risultano inadeguate.
Ad esempio, non basta un controllo degli apparati e della superficie esposta agli attacchi informatici, per evitare operazioni non autorizzate o illecite e la perdita dei dati giudiziari o la loro modifica o distruzione o danneggiamento anche accidentali: la sicurezza del processo telematico si deve basare anche sull’esecuzione di audit periodici di conformità normativa, sull’adozione di policy documentate e di misure appropriate per gestire le configurazioni, per monitorare gli accessi di rete, consentendoli solo con privilegio minimo e a postazioni o IP autorizzati[3].
Si possono ipotizzare casi in cui diverse misure di protezione siano ritenute nel contempo necessarie ma tra loro confliggenti.
Ad esempio, una pratica di rafforzamento del controllo del sistema IT potrebbe contrastare con delle misure adottate per proteggere i diritti e libertà degli interessati.
In questo e in altri casi analoghi, per risolvere il conflitto, si applica il principio di proporzionalità, come richiamato dal GDPR ed elaborato dalla giurisprudenza della Corte di Giustizia UE: non è sufficiente una decisione unilaterale, ma occorre un chiaro bilanciamento di tutti gli interessi in gioco.
L’applicazione del processo telematico e protezione dei dati personali nel GDPR
In materia di specifiche tecniche del processo telematico civile e penale, il Garante privacy, nel 2021, esprimeva parere favorevole su uno schema di decreto del Ministero della giustizia[4].
Con riferimento al tracciamento degli accessi e delle operazioni compiute, rilevava però delle criticità, elencando una serie di misure tecniche e organizzative da adottare necessariamente per ridurre al minimo i rischi di accesso non autorizzato ai dati e di trattamento non consentito o non conforme alle finalità previste.
Inoltre chiedeva che lo schema di provvedimento venisse integrato con l’indicazione specifica della titolarità dei trattamenti effettuati per il processo telematico, indicando quali possibili titolari il Ministero della giustizia, gli uffici giudiziari e i gestori dei punti di accesso.
Tale questione nasceva dal fatto che la normativa nazionale (Codice della privacy) non ha definito i ruoli e le responsabilità dei trattamenti di dati personali nell’ambito del processo telematico.
Il Garante privacy emanava un nuovo parere, con ingiunzioni, nel 2024, evidenziando ancora una volta delle criticità in ordine al tracciamento degli accessi e rilevando la mancanza di una verifica in merito a fornitori esterni che effettuano trattamenti al di fuori del territorio nazionale e, in alcuni casi, anche al di fuori dell’Unione europea, nell’ambito dei sistemi informatici utilizzati[5].
Il Ministero, acquisito il nuovo parere del Garante privacy, ha emanato un provvedimento con nuove specifiche[6].
All’art. 13 ha distinto ruoli e funzioni nel modo seguente:
- i gestori dei punti di accesso forniscono ai soggetti abilitati esterni al dominio giustizia i servizi di connessione al portale dei servizi telematici;
- il Ministero della giustizia è responsabile della gestione e organizzazione del portale dei servizi telematici, curando lo sviluppo, il funzionamento e la manutenzione delle componenti informatiche;
- gli organi giudiziari sono titolari del trattamento nell’ambito dell’esercizio delle proprie funzioni giurisdizionali e si avvalgono dei servizi telematici resi disponibili dal Ministero della giustizia, il quale in tale ambito agisce quale responsabile del trattamento per conto degli organi giudiziari;
- il Ministero della Giustizia, quale responsabile del trattamento per conto degli organi giudiziari, gestisce le violazioni dei dati personali, di cui viene a conoscenza, secondo la procedura indicata in un atto di designazione; sentiti gli organi giudiziari, può definire le modalità di gestione delle violazioni dei dati personali mediante l’adozione di specifici protocolli operativi.
L’esigenza di garantire l’autonomia degli organi giudiziari pone interrogativi di compatibilità con il punto sopra citato, evidenziando una potenziale tensione tra efficienza operativa e indipendenza istituzionale.
Il Ministero della giustizia non ha poteri di controllo sui trattamenti giurisdizionali, perché l’indipendenza dei giudici deve essere garantita segnatamente nei confronti dei poteri legislativo ed esecutivo[7].
Neanche il Garante privacy, che rappresenta l’autorità indipendente di controllo, ha competenze per i trattamenti delle autorità giurisdizionali, proprio al fine di salvaguardare l’indipendenza della magistratura nell’adempimento dei suoi compiti giurisdizionali (GDPR, art. 55, Considerando 20).
Il campo dei trattamenti riferibili all’attività giurisdizionale coincide con quello in cui il requisito di indipendenza degli organi giurisdizionali assume un valore costituzionale: in tale materia i controlli sulla conformità dei trattamenti devono essere svolti all’interno degli uffici giudiziari.
Il requisito di indipendenza degli organi giurisdizionali è intrinsecamente connesso al compito di giudicare e costituisce un aspetto essenziale del diritto a una tutela giurisdizionale effettiva e del diritto fondamentale a un equo processo, rivestendo un’importanza primaria in uno Stato di diritto[8].
La procedura di controllo della Corte di giustizia UE e protezione dei dati personali
In modo analogo, il Garante europeo non può controllare il trattamento di dati personali effettuato dalla Corte di giustizia UE nell’esercizio delle funzioni giurisdizionali.
La Corte ha quindi istituito un procedimento interno di controllo in materia di trattamento dei dati personali, con decisione adottata l’8 ottobre 2019.
Il Cancelliere è titolare del trattamento dei dati personali ed è competente a ricevere e decidere i reclami degli interessati.
Contro la decisione del Cancelliere può essere proposto un reclamo dinanzi a un Comitato interno alla Corte.
Il Comitato è composto da un presidente e da due membri, scelti tra i giudici e gli avvocati generali della Corte di giustizia.
Note
[2] V. Nota di Microsoft, citata in Claudia Morelli, Cos’è questa storia dei “software spia” installati nei computer dei magistrati italiani, in https://www.wired.it/article/giustizia-software-spia-nei-pc-dei-magistrati-report/?utm_source=facebook&utm_medium=social&utm_campaign=dhfacebook&utm_content=null&fbclid=IwY2xjawPkX6lleHRuA2FlbQIxMQBzcnRjBmFwcF9pZBAyMjIwMzkxNzg4MjAwODkyAAEeRmPx7uit7N9cnKLPe33tKGd6Fb0k_dbnbm0v3DLdTstzqZ3opvE7Qck5rkM_aem_roSdGa6Pmq_Ap8brwFGaVg#la-nota-di-microsoft, 21/01/2026.
[3] Analogamente, per sistemi di accesso remoto da rete pubblica, v. ACN, Bollettino, 25/6/2025, BL01/250626/CSIRT-ITA, testo disponibile al sito, in: https://www.acn.gov.it/portale/w/dispositivi-iot-e-servizi-di-accesso-remoto-connessi-ad-internet-rischi-e-mitigazioni.
[4] Garante per la protezione dei dati personali, Parere su schema di decreto del Ministero giustizia contenente le specifiche tecniche del processo telematico civile e penale, 15/4/2021, n. docweb 9590273.
[5] Garante per la protezione dei dati personali, Parere su uno schema di decreto recante le specifiche tecniche del processo telematico civile e penale, 6/6/2024, n. docweb 10050361.
[6] Ministero della giustizia, Dipartimento per l’innovazione tecnologica Direzione generale per i sistemi informativi automatizzati, provvedimento, 2-7/8/2024.
[7] Cfr: Corte UE, sentenza, 18/5/2021, Asociaţia «Forumul Judecătorilor din România» e a., C-83/19, C-127/19, C-195/19, C-291/19, C-355/19 e C-397/19, EU:C:2021:393, punto 195.
[8] Cfr.: Corte UE, sentenza cit.
