Giornata della protezione dei dati 2023 - temi: elezione e nuove legislazioni della Confederazione e dei cantoni
27.01.2023 - Le elezioni e votazioni a ogni livello statale in Svizzera si svolgono nel contesto globale della digitalizzazione, di cui gli attori dei processi politici sfruttano il potenziale per veicolare messaggi il più possibile conformi alle aspettative degli elettori. Questa prassi comporta rischi elevati per l’autodeterminazione e la sfera privata dei cittadini.
Chi elabora dati nell’ambito di elezioni e votazioni deve essere consapevole che tanto nell’attuale quanto nella nuova legge federale sulla protezione dei dati (LPD) le informazioni relative alle opinioni politiche e ideologiche sono classificate come degne di particolare protezione. La nuova legge entrerà in vigore il 1° settembre 2023, ossia poco prima delle prossime elezioni federali per il rinnovo del Parlamento.
Nella versione aggiornata delle linee guida, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) e la Conferenza degli incaricati svizzeri della protezione dei dati (privatim) pongono in particolare l’accento sull’importanza del principio di trasparenza per la protezione dei dati nel contesto delle elezioni e delle votazioni: gli elettori hanno il diritto di conoscere secondo quali metodi vengono trattati i dati e quali tecnologie digitali sono utilizzate per rivolgersi a loro.
Nuove legislazioni della Confederazione e dei Cantoni in materia di protezione dei dati
I lavori dell’IFPDT contestuali all’entrata in vigore della nuova LPD il 1° settembre 2023 procedono secondo i piani. L’IFPDT metterà a disposizione online tre portali di notifica:
gli organi federali potranno adempiere per via elettronica e in modo semplice l'obbligo di notifica dei loro registri (https://datareg.edoeb.admin.ch/search);
una piattaforma elettronica consentirà di notificare all’IFPDT anche i dati relativi ai consulenti per la protezione dei dati;
la nuova LPD prevede l’obbligo di notificare all’IFPDT le violazioni della sicurezza dei dati che comportano un rischio elevato: un portale apposito permetterà di trasmettere tali notifiche. Il modulo sarà corredato delle indicazioni necessarie per gli organi federali e i privati responsabili.
In concomitanza con l'entrata in vigore della nuova LPD, l'IFPDT adeguerà tutte le informazioni nel suo sito Internet alle nuove disposizioni di legge. Il sito offrirà inoltre spiegazioni sui nuovi strumenti, come la valutazione d'impatto sulla protezione dei dati.
Nei Cantoni è in corso l’adeguamento delle rispettive leggi sulla protezione dei dati ai nuovi requisiti europei. Una panoramica aggiornata dello stato dei lavori è disponibile nel sito di privatim.
Ciberattacco a Infopro AG - stato dell’indagine preliminare in corso dell’IFPDT e questionario a Winbiz SA
14.12.2022 - Con l’indagine preliminare in corso l’IFPDT persegue l'obiettivo di seguire, nel quadro della sua attività di vigilanza, i lavori avviati in tempi molto stretti per riprendere il controllo dei dati compromessi, contribuendo così ad adempiere correttamente agli obblighi d’informazione previsti dalla legislazione sulla protezione dei dati.
Da quando è stato reso noto il grave ciberattacco compiuto ai danni di Infopro AG, che tra l’altro ha trattato dati personali per conto di Winbiz, l’IFPDT è in contatto con i responsabili di Infopro, con il Centro nazionale per la cibersicurezza (NCSC) e con le autorità cantonali preposte alla protezione dei dati.
In questo contesto, l’IFPDT ha ricevuto domande dai clienti commerciali di Infopro AG in merito a questi fatti, cui ha costantemente risposto. Nella misura in cui si tratta di dati personali, l’IFPDT ha fatto presente a questi clienti i loro obblighi d’informazione e di riduzione dei rischi in materia di protezione dei dati e ha constatato che le aziende interessate si sono impegnate per adempiere a tali obblighi in tempi molto stretti.
Da questa settimana, l’IFPDT ha ricevuto anche domande da parte di clienti commerciali di Fiducial Winbiz SA che non possono più accedere ai loro dati poiché sono stati salvati da Winbiz sui server di Infopro colpiti dal ciberattacco. Inoltre, dopo che il 13.12.2022 è stato confrontato con la segnalazione secondo cui alcuni clienti commerciali di Fiducial Winbiz SA avrebbero avuto accesso a dati di altri clienti di Winbiz, l’IFPDT ha inviato oggi a Fiducial Winbiz SA un questionario chiedendole, nel quadro dell’indagine preliminare in corso, di prendere posizione in breve tempo sulla denunciata violazione delle limitazioni di accesso.
WhatsApp: dati in vendita sul web
25.11.2022 - Secondo quanto riportato da diversi media, circa 550 milioni di dati di utenti del servizio di messaggistica WhatsApp sono stati messi in vendita sulla darknet. Questo lotto di dati conterrebbe le informazioni di circa 1,5 milioni di utenti svizzeri. Non è ancora noto chi sia stato colpito da questa fuga di dati. A quanto si sa, sono stati rubati solo numeri di telefono.
Questi dati rubati potrebbero essere utilizzati da persone sconosciute per contatti non richiesti con gli utenti di WhatsApp. L'IFPDT raccomanda pertanto di prestare attenzione ai messaggi di chat provenienti da numeri sconosciuti, evitando in particolare di cliccare sui link presenti in questi messaggi. Allo stesso modo, quando si trasferisce denaro, è importante verificare in anticipo l'autenticità dell'autore del messaggio. Se l'autore non è affidabile, è meglio cancellare il messaggio e bloccare il numero.
Mondiali di calcio in Qatar - L'FDPIC consiglia ai viaggiatori di utilizzare un secondo smartphone
22.11.2022 - Il Qatar richiede ai visitatori della Coppa del Mondo di calcio di installare le due applicazioni "Ehteraz" e "Hayya to Qatar 2022" per entrare nel Paese. L'IFPDT ritiene che entrambe le applicazioni presentino rischi significativi per la protezione dei dati.
L' IFPDT accoglie quindi con favore il fatto che l'Amministrazione federale abbia bloccato l'installazione di entrambe le applicazioni sugli smartphone ufficiali del suo personale.
In generale, l'IFPDT raccomanda ai cittadini svizzeri di non portare con sé supporti su cui sono memorizzati dati personali sensibili quando viaggiano in Paesi che, come il Qatar, non dispongono di un livello di protezione dei dati paragonabile a quello della Svizzera.
In questo contesto, l’Incaricato consiglia alle circa 2000 persone che viaggiano al Qatar per i Mondiali di utilizzare un secondo smartphone privato a basso costo. Tali dispositivi sono disponibili in commercio a meno di 100 franchi. Un'altra possibilità è quella di portare con sé un vecchio smartphone che non serve più e che è stato resettato alle impostazioni di fabbrica.
L'FDPIC non dispone attualmente di informazioni affidabili sulla misura in cui la carta Hayya potrebbe essere stampata e sarebbe accettata all'ingresso e per l'accesso agli eventi.
Notificare una collezione di dati - notifica di registri (DataReg)
17.11.2022 - Con l’entrata in vigore della nuova legge sulla protezione dei dati (LPD), il 1° settembre 2023, la notifica delle collezioni di dati nel registro dell’IFPDT subirà un cambiamento. Da quel momento soltanto gli organi federali dovranno notificare all’IFPDT le loro collezioni di dati.
Fino all’entrata in vigore della nuova legge l’IFPDT mantiene temporaneamente due registri: il nuovo DataReg per le notifiche degli organi federali secondo la nuova legge e il registro già esistente per le notifiche dei privati secondo il diritto attualmente in vigore.
Oracle: le tecnologie di tracciamento interferiscono sui diritti della personalità degli utenti di Internet
27.09.2022 - Nella causa legale intentata negli Stati Uniti il 19 agosto 2022 contro la società «Oracle America Inc.» sono avanzate gravi accuse di tracciamento illegale degli utenti di Internet. In concreto Oracle è accusata di aver raccolto mediante tecnologie di tracciamento di dati di 5 miliardi di utenti di Internet e di averli incorporati in una banca dati. Oracle avrebbe analizzato e valutato le informazioni raccolte per allestire una banca dati su tutte queste persone. Oltre ai nomi e agli indirizzi sono state raccolte informazioni sul comportamento di ciascun utente di Internet, ad esempio il comportamento d’acquisto, i dati GPS o le informazioni sulla salute, e questo è stato fatto addirittura su tutti i dispositivi degli utenti. A tal fine Oracle avrebbe utilizzato diverse tecnologie, in particolare i cosiddetti «cookies» oppure «pixel» come pure gli script Java integrati nei siti Internet e nelle applicazioni.
Conseguenze per la popolazione svizzera
L’IFPDT sta attualmente analizzando le accuse avanzate nella causa legale dal punto di vista di possibili violazioni dei diritti della personalità della popolazione in Svizzera. È già possibile stabilire che Oracle fornisce «cookies», «pixel» e script Java ai gestori di siti Internet e di applicazioni. Integrando questi elementi nei siti Internet vengono raccolte sui vari siti Internet e sulle diverse app informazioni sugli utenti di Internet e poi trasmesse a Oracle. Dai primi accertamenti dell’IFPDT è emerso che le tecnologie di tracciamento oggetto della causa legale sono ampiamente impiegate anche in Svizzera e di conseguenza anche le persone che vi risiedono sono toccate dal tracciamento di Oracle.
L’IFPDT sta ora chiarendo in che misura, integrando tecnologie di tracciamento, i gestori di siti Internet e i fornitori di app svizzeri violino i principi della protezione dei dati sanciti dalla legislazione svizzera. La sua analisi è in particolare incentrata sui principi di trasparenza e di proporzionalità, nonché sulla necessità di un consenso esplicito per la creazione di profili della personalità e il trattamento di dati personali degni di particolare protezione.
Misure di protezione contro il tracciamento indesiderato nello spazio digitale
I gestori di siti Internet e i fornitori di app hanno innanzitutto l’obbligo di verificare quali tecnologie utilizzano e se queste possono tracciare i visitatori del sito Internet o gli utenti dell’app. In caso affermativo, devono rimuovere la tecnologia oppure informare gli utenti in modo trasparente e comprensibile sul trattamento dei dati, sul suo scopo e sulle possibilità di opporvisi come pure sull’eventuale trasmissione dei dati all’estero. Inoltre, devono offrire agli utenti un modo semplice per opporsi all’utilizzo dei loro dati (opt-out o considerazione delle impostazioni predefinite come «Do not track»). Poiché il tracciamento viola la personalità degli utenti, questi devono espressamente acconsentirvi (opt-in) in caso di creazione di profili della personalità o di trattamento di dati personali degni di particolare protezione.
Gli utenti di Internet possono proteggersi contro il tracciamento indesiderato su Internet scegliendo consapevolmente un browser rispettoso della protezione dei dati e adeguando debitamente le impostazioni. Possono anche utilizzare i cosiddetti Ad-blocker oppure impedire la raccolta dei loro dati mediante Add-ins.
Oltre a rispettare i principi della protezione dei dati, i gestori di banche dati contenenti dati personali devono anche sempre garantire i diritti degli interessati. Ciò significa che ogni persona può richiedere al titolare della raccolta di dati (in questo caso il gestore del sito Internet o dell’app) quali dati personali che la riguardano vengono trattati, per quale scopo e chi vi può accedere. Se una persona non è d’accordo con l’ulteriore trattamento dei suoi dati può richiederne la cancellazione.
L’IFPDT ha per ora preso atto delle gravi accuse contenute nella causa legale e le sta analizzando assieme alle eventuali ripercussioni per la Svizzera. Ha scritto a «Oracle Software (Svizzera)» il 2 settembre 2022 e si riserva il diritto di adottare, se necessario, ulteriori provvedimenti.
08.07.2022 - Credential stuffing: rapporto e linee guida
08.07.2022 - Il rapporto più recente della Conferenza internazionale degli incaricati della protezione dei dati (Global Privacy Assembly, GPA) ha identificato il credential stuffing quale minaccia crescente per i dati personali. Le linee guida menzionano le misure di sicurezza che spiegano come proteggersi da tale minaccia.
Il credential stuffing è una tecnica di attacco in Internet che sfrutta la cattiva abitudine di molte persone di utilizzare la stessa combinazione di nome utente e password per più account Internet. Gli attacchi avvengono in modo automatizzato e spesso su vasta scala. Si impiegano dati di accesso rubati al fine di accedere ad account in diverse piattaforme di Internet.
Il rapporto, pubblicato da un sottogruppo di lavoro dell’International Enforcement Working Group (IEWG) della GPA, cui aderiscono anche l’IFPDT e le autorità incaricate della protezione dei dati di Gran Bretagna, Canada, Gibilterra, Jersey e Turchia, sottolinea il tendenziale incremento di attacchi credential stuffing e offre a organizzazioni ed enti pubblici indicazioni su possibili modalità per impedire, riconoscere e ridurre il rischio di tali attacchi.
Tra le misure di sicurezza riportate nelle linee guida, il rapporto della GPA constata che l’autenticazione a più fattori costituisce la misura più efficace per proteggere gli account in rete dal credential stuffing.
La GPA conta oltre 130 autorità incaricate della protezione dei dati e costituisce una delle più importanti organizzazioni globali impegnate nei settori della protezione dei dati e della sfera privata.
I rapporti menzionati sono disponibili ai seguenti indirizzi:
Invio di dati concernenti le vaccinazioni da parte della Fondazione «lemievaccinazioni»
08.11.2021 - Venerdì 4 novembre 2021 la Fondazione «mievaccinazioni» ha iniziato a inviare agli utenti della piattaforma i rispettivi dati concernenti le vaccinazioni. Per farlo si è servita di e-mail non codificate.
Dopo aver concluso la procedura di accertamento dei fatti concernenti il portale lemievaccinazioni.ch, l’IFPDT ha fornito consulenza all’UFSP durante diverse riunioni svoltesi nel quadro del progetto di salvataggio dei dati «Datenrettung meineimpfungen»; in un documento ha inoltre illustrato dettagliatamente le esigenze in ambito di protezione di dati per l’invio agli utenti dei dati concernenti le vaccinazioni.
La procedura adottata ora dalla Fondazione per la trasmissione di questi dati non rispetta le esigenze poste dall’IFPDT sia nel suo rapporto finale del 31 agosto 2021 sia nei confronti dell’UFSP. L’invio di dati sanitari via e-mail non codificate senza una procedura di autenticazione a più fattori non è conforme alle esigenze in materia di protezione dei dati. La formulazione adottata nella lettera di accompagnamento della Fondazione (identica al testo pubblicato sul sito Internet della Fondazione il 05.11.2021) lascia erroneamente intendere che la procedura menzionata sia stata concordata con l’IFPDT. Questo non è il caso.
Rapporto finale dell’IFPDT concernente l’accertamento dei fatti relativo alla piattaforma www.mievaccinazioni.ch
07.09.2021 - Alla fine di luglio 2021 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha trasmesso alla Fondazione mievaccinazioni il rapporto finale che ha stilato sull’accertamento dei fatti relativo alla piattaforma www.mievaccinazioni.ch. In questo documento – pubblicato in data odierna − l’IFPDT formula tre raccomandazioni riguardanti in particolare l’integrità e la sorte dei dati in caso di chiusura della piattaforma. La Fondazione ha accettato le raccomandazioni entro il termine impartito di 30 giorni.
Al termine dell’accertamento dei fatti la Fondazione ha annunciato che avrebbe cessato le sue attività operative e chiesto la sua liquidazione. In questo quadro, le richieste di informazione e di cancellazione dei dati non sono più trattate.
L’IFPDT supporta la Fondazione e l’Ufficio federale della sanità pubblica (UFSP) nella ricerca di una soluzione rapida e pragmatica nell’interesse degli utenti interessati.
23.03.2021 Comunicato stampa: Piattaforma sulle vaccinazioni: aperto un procedimento contro la Fondazione mievaccinazioni
13.06.2022 - Esternalizzazione di dati personali in un cloud di Microsoft da parte della Suva
13.06.2022 - a causa di concezioni del diritto in parte contrastanti, l’IFPDT consiglia alla Suva di rivalutare la esternalizzazione di dati personali in un cloud gestito dal gruppo statunitense Microsoft.
Il 10 dicembre 2021 la Suva ha trasmesso di propria iniziativa all’IFPDT un documento intitolato «Risikobeurteilung Projekt Digital Workplace M365». Il progetto in questione concerne l’allora imminente delocalizzazione di dati personali della Suva, trattati fino a quel momento «on premise» (ossia su una propria infrastruttura), in un centro di calcolo gestito dal gruppo statunitense Microsoft sul territorio svizzero.
Dopo avere studiato la documentazione che gli era stata trasmessa facoltativamente, l’Incaricato approva il fatto che l’INSAI, dimostrando il proprio senso di responsabilità, abbia sottoposto il suo progetto di esternalizzazione a un esame relativo alla protezione dei dati. Egli consiglia alla Suva di sottoporre la esternalizzazione a una rivalutazione in tempi brevi.
Considerata la larga diffusione dei prodotti e dei servizi della ditta Microsoft nell’economia privata e nelle amministrazioni pubbliche in Svizzera, il progetto di esternalizzazione è d’interesse per il grande pubblico. L’Incaricato pubblica di conseguenza il suo parere sommario concernente il progetto.
Dato che in Svizzera non esiste ancora una giurisprudenza in merito alla questione sollevata, l’IFPDT pubblica anche la risposta della Suva, con la sua autorizzazione, dalla quale emergono tuttavia in parte interpretazioni divergenti.
A seconda dell’evoluzione dello scenario e della situazione giuridica, l’Incaricato si riserva, a titolo di autorità di vigilanza, di intervenire d’ufficio in un secondo momento.
Attacchi informatici a studi medici nella Svizzera romanda
31.03.2022 - Ieri si è saputo che diversi studi medici nella Svizzera romanda sono stati attaccati da hacker; una grande quantità di dati sanitari contenuta nei dossier dei pazienti è stata poi pubblicata nel darknet. L’IFPDT è in contatto con gli studi medici colpiti e si aspetta che i pazienti interessati vengano informati in modo esaustivo. Quanto successo è l’ennesima dimostrazione che in Svizzera i dati sanitari – degni di particolare protezione – non sono sufficientemente protetti.
Il 30 marzo numerosi media della Svizzera francese hanno riferito che una grande quantità di dati relativi alla salute è stata pubblicata nel darknet. L’IFPDT è in contatto con gli studi medici colpiti dai pirati informatici e si adopera in particolare affinché i pazienti interessati siano informati dell’accaduto. Gli studi medici colpiti hanno già introdotto le prime misure per contrastare eventuali lacune in materia di protezione e sicurezza dei dati.
Quest’ultimo episodio è l’ennesima dimostrazione che in Svizzera i dati sanitari – degni di particolare protezione – spesso non sono sufficientemente protetti. L’IFPDT spera che i medici e i rappresentati del ramo riconoscano l’urgenza di agire a livello di protezione e sicurezza dei dati.
Update Mitto AG
23.12.2021 - Nel quadro dell'inchiesta preliminare aperta sul caso Mitto AG, l'IFPDT ha preso contatto con l'azienda e con gli operatori di telefonia mobile in Svizzera.
Questi ultimi hanno confermato l'esistenza di una collaborazione con Mitto AG, precisando tuttavia che esistono misure tecniche di protezione atte a impedire l'accesso illecito ai dati personali. Sulla base di questi primi riscontri, l'IFPDT non ravvisa per il momento indicazioni su eventuali abusi a danno della popolazione svizzera.
Nelle prossime settimane, l'IFPDT riceverà ulteriori e più dettagliate informazioni sui fatti in questione. Dopo la loro valutazione, decideremo quale procedura seguire e informeremo il pubblico.
Comunicazione dei dati dei membri di società di tiro a fornitori di carte di credito
15.11.2021 - All’inizio di maggio la Federazione sportiva svizzera di tiro (FST) ha inviato a oltre 50 000 tiratori con licenza una nuova tessera di membro con funzione di carta di credito. Numerosi tiratori si sono così rivolti all’IFPDT per sapere se tale comunicazione dei loro dati sia legale.
L’IFPDT ha quindi contattato la FST, la quale è stata molto collaborativa nell’ambito degli accertamenti.
L’IFPDT ha dapprima stabilito che, nel caso in questione, non si è trattato di un semplice trattamento dei dati volto alla sola emissione di una tessera di licenza dato che i dati sono infatti stati trasmessi anche al fornitore di carte di credito, il quale potrà farne uso per i propri fini.
Una tale comunicazione di dati deve avvenire nel rispetto dei principi della legge federale sulla protezione dei dati, riguardanti segnatamente le finalità vincolate e la trasparenza nell’ambito dei trattamenti di dati. Per quanto concerne le finalità vincolate, dal 2016 gli statuti della FST prevedono la comunicazione dei dati dei propri membri a fini commerciali contro la quale è però data la possibilità di opporsi. La FST ha quindi creato le basi necessarie per l’impiego commerciale dei dati dei suoi membri.
Si rivela tuttavia problematico il fatto che tali disposizioni siano contenute espressamente soltanto negli statuti della FST. Gli statuti dei 36 membri affiliati alla federazione e quelli di oltre 2000 società non includono, nella gran parte dei casi, regole analoghe ma si limitano a rinviare in maniera generale agli statuti della FST. Di conseguenza risulta molto difficile per i singoli membri delle associazioni prendere atto di tali informazioni e, se del caso, opporvisi. L’IFPDT ha stabilito che la comunicazione dei dati da parte della FST al fornitore di carte di credito non è avvenuta in osservanza del principio di trasparenza sancito dalla legislazione in materia di protezione dei dati.
D’intesa con la FST è stato quindi convenuto che, sul suo sito Internet, nella sua rivista e inviando una newsletter, essa informerà nuovamente i tiratori sulla comunicazione dei loro dati a fini commerciali e gli stessi potranno quindi far valere il loro diritto a opporvisi mediante una semplice comunicazione alla Federazione. La FST deve di conseguenza assicurarsi che il fornitore di carte di credito tratti separatamente i dati di coloro che desiderano avere unicamente una tessera di membro senza funzione di carta di credito e che non utilizzi tali dati per fini propri (p. es. marketing o promozioni). I membri che vogliono rinunciare completamente alla tessera di membro nel formato carta di credito potranno continuare a partecipare agli eventi indicando il loro numero di membro e presentando un normale documento d’identità.
Parere dell'IFPDT sulla trasmissione dei dati alla United States Securities and Exchange Commission
04.08.2021 - L'IFPDT ha rilasciato la seguente dichiarazione alla US Securities and Exchange Commission (SEC) sulla questione dell'ammissibilità della trasmissione dei dati dei gestori patrimoniali svizzeri all'autorità di vigilanza statunitense:
Sentenza della Corte di giustizia dell’Unione europea (CGUE) sulle clausole contrattuali standard europee e sul Privacy Shield UE-USA
16.07.2020 - Nella sentenza del 16 luglio 2020 nella causa C-311/18, Data Protection Commissioner contro Facebook Ireland Ltd e Maximilian Schrems, la Corte di giustizia ha annullato la decisione 2016/1250 sull'adeguatezza della protezione fornita dal Privacy Shield UE-USA. Resta tuttavia valida la decisione 2010/87 della Commissione sulle clausole contrattuali standard per il trasferimento di dati personali a incaricati del trattamento dei dati in paesi terzi.
L'IFPDT ha preso atto della sentenza della Corte di giustizia dell’Unione europea. La sentenza non è direttamente applicabile alla Svizzera. L'IFPDT la esaminerà nel dettaglio e la commenterà a tempo debito.
Comunicato dell'IFPDT del 08.09.2020: Secondo l’IFPDT lo scudo per la privacy tra la Svizzera e gli Stati Uniti non garantisce un adeguato livello di protezione dei dati
Quali conseguenze ha la Brexit sul traffico internazionale di dati?
31.01.2020 - In seguito al referendum sull’uscita del Regno Unito dall’UE (Brexit), nel giugno 2016, il Governo britannico aveva annunciato la sua decisione di uscire dall’UE. L’uscita del Regno Unito dall’Unione europea ha luogo il 31 gennaio 2020.
Trasmissione di dati personali all’estero secondo la legge sulla protezione dei dati vigente (LPD)
Per trasmettere dati all’estero è necessario che siano adempiute le condizioni di cui all’articolo 6 LPD. Secondo questo articolo la trasmissione di dati all’estero può avvenire soltanto se il Paese di destinazione dispone di norme che assicurino un livello adeguato di protezione dei dati (art. 6 cpv. 1 LPD) o, in assenza delle stesse, se tale livello di protezione è assicurato mediante altre prescrizioni o garanzie (art. 6 cpv. 2 lett. a, g LPD). In virtù dell’articolo 31 capoverso 1 lettera d LPD, l’IFPDT può di principio stabilire se uno Stato offre un livello di protezione adeguato in modo che la trasmissione di tutti i dati sia ammessa. Ciò presuppone in particolare che il destinatario dei dati sia sottoposto a una legge che sancisca un livello di protezione dei dati comparabile a quello del diritto svizzero (garanzia dei diritti delle persone interessate, rispetto dei principi più importanti in materia di protezione dei dati, indipendenza delle autorità di vigilanza). L’IFPDT ha pubblicato sul suo sito web un elenco degli Stati che adempiono tali requisiti, il quale viene costantemente aggiornato.
Regno Unito e Gibilterra
Il Regno Unito e Gibilterra figurano attualmente fra i Paesi che offrono un adeguato livello di protezione e l’IFPDT non dispone al momento di indicazioni che lascino presupporre un cambiamento del loro statuto. In considerazione delle conseguenze giuridiche della Brexit sulla protezione di dati a carattere personale a partire dal 1° febbraio 2020, l’autorità britannica per la protezione di dati a carattere personale (ICO) ha anche indicato sul suo sito web che nel Regno Unito sarà garantito un elevato grado di protezione dei dati a carattere personale.
Qualora dovesse tuttavia considerare nel suo elenco un cambiamento dello statuto del Regno Unito o di Gibilterra, l’IFPDT provvederebbe a informarne a tempo debito le imprese affinché possano prepararsi, ricorrendo in particolare alla stipulazione di contratti standard.
Entro la fine del 2020 l’UE deciderà se per il Regno Unito potrà essere attestata un’adeguata protezione in materia di protezione dei dati. L’IFPDT osserva attivamente questi sviluppi.
Il regolamento generale dell’UE sulla protezione dei dati: le ripercussioni per la Svizzera
04.01.2018 – Il nuovo regolamento europeo sulla protezione dei dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutta l’Unione europea (UE). A partire da quella data, il GDPR sarà direttamente applicabile a tutti gli attori attivi sul territorio dell’Unione europea. Le nuove norme conferiscono ai cittadini più controllo sui loro dati personali, responsabilizzano maggiormente le imprese riducendo nel contempo i loro oneri dichiarativi e rafforzano il ruolo delle autorità di protezione dei dati. Questo testo di riferimento per l’Europa avrà ripercussioni dirette su numerose imprese svizzere.
Guida allo Swiss-US Privacy Shield
24.08.2017 - L'IFPDT ha elaborato un opuscolo pratico concernente allo Swiss-US Privacy Shield che informa in modo semplice e ben comprensibile sui doveri delle aziende certificate, i diritti delle persone interessate e come si deve presentare una reclamazione.
L’IFPDT raccomanda di usare il certificato COVID light
08.09.2021 – L’IFPDT ha seguito lo sviluppo del certificato COVID e ha lavorato affinché fosse concepito in modo conforme alla protezione dei dati. Ritiene positivo il fatto che l’attestazione circa l’avvenuta vaccinazione anti-COVID-19, la guarigione dalla COVID-19 o il risultato di un test COVID-19 debba ora essere fornita esclusivamente mediante il certificato COVID e non mediante altre fonti.
Il certificato dispone di una versione light contenente solo i dati indispensabili, da cui non è possibile accedere ai dati sanitari. Vista l’estensione temporanea dell’obbligo di certificato alle persone di più di 16 anni decisa l’8 settembre 2021 dal Consiglio federale, l’IFPDT raccomanda l’uso del certificato light.
Per quanto concerne la protezione dei dati, l’obbligo del certificato COVID negli spazi interni (p. es. ristoranti, bar e strutture per il tempo libero come musei, biblioteche, zoo, centri fitness, piscine coperte o case da gioco) va considerato proporzionato se costituisce una misura epidemiologicamente necessaria e appropriata per combattere la pandemia. Fornire questa attestazione rientra nella responsabilità dell’ufficio competente, sulle cui conclusioni e valutazioni si basa l’IFPDT.
Per quanto riguarda l’estensione del certificato COVID ai rapporti di lavoro, l’IFPDT prende atto del fatto che i datori di lavoro, nel quadro del loro obbligo di tutela, hanno la facoltà di verificare se i loro collaboratori sono in possesso di un certificato, ad esempio per attuare misure di protezione o piani di test. L’IFPDT considera positivo il fatto che sia menzionata esplicitamente anche la possibilità di ricorrere al certificato light. Dal punto di vista della protezione dei dati, questa opzione va sistematicamente preferita quando è irrilevante se una persona è stata testata, vaccinata o è guarita.
Al certificato light con pochi click: aprire l’app con il certificato COVID, scrollare fino in fondo, cliccare su «Certificato light» e poi su «Attiva».
Manifestazioni in Svizzera: l’IFPDT raccomanda l’uso del certificato COVID light, conforme alla protezione dei dati
19.07.2021 - La nuova versione dell’app «COVID certificate» permette di generare facilmente un certificato COVID light, conforme alla protezione dei dati. Esso non contiene dati sanitari. L’IFPDT raccomanda alla popolazione di utilizzare il certificato light per le manifestazioni in Svizzera.
Nel quadro dell’accompagnamento fornito dall’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) nello sviluppo del certificato COVID, previsto per i viaggi all’estero, l’IFPDT ha chiesto alla Confederazione di mettere a disposizione un secondo certificato light, contenente soltanto i dati strettamente necessari. La versione aggiornata dell’app «COVID Certificate» permette ora di generare in modo semplice il certificato light:
L’IFPDT raccomanda alla popolazione di utilizzare, in Svizzera - ad es. quando si partecipa a grandi manifestazioni - il certificato light, che contiene soltanto i dati personali strettamente necessari ed è conforme alla protezione dei dati.
Attivando il certificato light all’interno dell’app «COVID Certificate», dai dati del certificato COVID di base viene generato un nuovo codice QR che non contiene più nessun dato sanitario. Il certificato light include soltanto la firma elettronica e le informazioni necessarie per l’identificazione. In questo modo non vi è il rischio che i dati sanitari (ad es. il vaccino utilizzato) siano letti senza autorizzazione durante il controllo del certificato, ciò che potrebbe avvenire se fossero utilizzate app di controllo diverse dall’app «COVID Certificate Check» messa a disposizione dalla Confederazione. Il certificato light, anch’esso non falsificabile, può essere utilizzato solo in Svizzera e deve essere riattivato nell’app dopo 48 ore. Il breve periodo di validità è stato scelto deliberatamente per non permettere di desumere se il certificato è stato rilasciato sulla base di un test, di una vaccinazione o di una guarigione.
Sviluppi nella procedura «SocialPass»
22.06.2021 - La rappresentanza legale comune dei gestori di SocialPass ha terminato il mandato e si teme ora che la procedura di vigilanza in corso subisca nuovamente ritardi. Il 18 giugno 2021 i gestori hanno ritirato la domanda di ricusazione che era rivolta contro il personale dell’IFPDT incaricato di eseguire gli accertamenti. Nel frattempo il personale dell’IFPDT ha avviato con i gestori colloqui diretti che mirano a rimediare il più rapidamente possibile alle mancanze constatate e a concludere presto la procedura.
lI certificato COVID-19 soddisfa le principali esigenze legate alla vigilanza in materia di protezione dei dati
04.06.2021 - In occasione della conferenza stampa odierna il Consiglio federale ha informato sulla creazione e sull’introduzione del certificato COVID-19. Grazie alla possibilità di utilizzare i certificati anche in forma cartacea e alla creazione di un codice QR aggiuntivo per l’uso all’interno della Svizzera sono soddisfatte le principali esigenze legate alla vigilanza in materia di protezione dei dati.
Nell’ambito del suo dovere di consulenza sancito nella legge, nelle ultime settimane l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha accompagnato l’Ufficio federale della sanità pubblica (UFSP) e l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) nello sviluppo, giuridico e tecnico, del certificato COVID-19. I due Uffici hanno in gran parte integrato le richieste dell’IFPDT.
Da un lato l’IFPDT accoglie con favore il fatto che il certificato sarà disponibile anche in forma cartacea e non solo elettronica – in questo modo il certificato è a disposizione anche della popolazione che non dispone di uno smartphone o non vuole portarlo con sé.
D’altra parte l’IFPDT è riuscito a far sì che l’UFIT, oltre al codice QR compatibile con quello europeo pensato per gli spostamenti internazionali, sviluppi anche un secondo codice QR per l’uso in Svizzera. Quest’ultimo codice, che richiede meno dati, rende impossibile aggirare il principio della minimizzazione dei dati durante la lettura del certificato. Chi usa questo secondo codice QR impedisce a chi non è autorizzato di identificare, servendosi di software illeciti al momento della lettura del certificato, il motivo per cui il certificato è visualizzato come valido o non valido. Gli addetti che verificano gli accessi a una grande manifestazione non hanno ad esempio bisogno di conoscere il motivo per cui il detentore del certificato può accedere all’evento (per avvenuta vaccinazione anti-COVID-19, guarigione da un’infezione da SARS-CoV-2 o risultato negativo di un test).
Considerato che le informazioni concernenti la vaccinazione, i test e la guarigione costituiscono dati sanitari, l’IFPDT considera con una certa preoccupazione il fatto che prima dell’introduzione del certificato, durante una fase di transizione per le manifestazioni pilota, dovrebbe essere accettata la cosiddetta "prova sufficiente". Si rammarica anche che il codice QR che richiede meno dati sarà messo a disposizione della popolazione soltanto in un secondo momento. L’IFPDT si adopererà affinché queste disposizioni transitorie restino in vigore il minor tempo possibile.
Accompagnamento del progetto dell’UFSP per un certificato COVID-19 conforme alla protezione dei dati
13.04.2021 - L’IFPDT collabora alla definizione di un certificato COVID-19 conforme alla protezione dei dati nell’ambito di un gruppo di lavoro appositamente istituito dall’UFSP. Le richieste dell’IFPDT coincidono ampiamente anche con il parere del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati in merito alla bozza di regolamento per il «certificato verde» dell’UE.
L’UFSP ha istituito un gruppo di lavoro per implementare un certificato vaccinale COVID-19 armonizzato, non falsificabile e riconosciuto a livello internazionale. L’IFPDT fa parte di questo gruppo in virtù del suo obbligo legale di consulenza e si adopera per un’attuazione conforme al mandato legislativo sancito nell’articolo 6a della legge COVID-19. Questa disposizione stabilisce i requisiti del documento che certifica l’avvenuta vaccinazione contro la COVID-19, la guarigione da un’infezione da COVID-19 o il risultato del test COVID-19. Di conseguenza un certificato di questo tipo dev’essere personale, non falsificabile, verificabile nel rispetto delle norme sulla protezione dei dati e concepito in modo tale da consentire unicamente una verifica decentralizzata o locale della sua autenticità e validità. Tale certificato dovrà quindi poter essere utilizzato per entrare in altri Paesi e uscirne.
Nell’ambito dell’accompagnamento del progetto l’IFPDT si adopererà anche affinché l’uso futuro del certificato soddisfi i requisiti della legislazione sulla protezione dei dati, qualora sia utilizzato da privati per l’acquisizione sistematica di dati sulla vaccinazione o di altri dati personali per l’apertura dell’accesso a beni o prestazioni. A tale riguardo, secondo l’IFPDT non vanno create solo le condizioni di diritto pubblico nel diritto d’esecuzione, bensì i privati stessi sono pure tenuti a garantire i principi relativi alla protezione dei dati contenuti nella LPD. In particolare i trattamenti di dati da parte di privati devono essere proporzionati, ragionevoli e trasparenti. Inoltre, l’IFPDT ha più volte ripetuto pubblicamente che la prevista introduzione del certificato non comporterà un obbligo generalizzato di avere con sé uno smartphone (si veda in proposito il comunicato del 22.01.2021). Per questa ragione l’IFPDT è favorevole a un formato sia cartaceo sia digitale del certificato.
Le richieste dell’IFPDT coincidono ampiamente con quelle del parere congiunto del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (GEPD) del 31 marzo 2021 in merito alla bozza di regolamento della Commissione UE per un «certificato verde digitale». Nel loro parere congiunto, l’EDPB e il GEPD stabiliscono che il «certificato verde digitale» poggia su una sufficiente base legale e che debba rispettare in particolare i principi dell’efficacia, della necessità, della proporzionalità e della non discriminazione. Come parimenti richiesto dall’IFPDT, il parere congiunto stabilisce inoltre che il «certificato verde» dovrà essere disponibile anche in formato cartaceo.
Requisiti in materia di diritto di protezione dei dati per la raccolta di dati relativi alla salute da parte di privati nel contesto della lotta alla pandemia
22.01.2021 - Nella lotta alla pandemia di COVID-19 si ricorre sempre più spesso ad applicazioni digitali installate su smartphone sui quali solitamente si trovano tracce piuttosto consistenti dello stile di vita digitale dei relativi proprietari. Ne sono un esempio l’app SwissCovid lanciata dalla Confederazione o le cosiddette «tracing app» offerte da privati che dovrebbero facilitare il tracciamento di prossimità nei Cantoni.
In seguito alla disponibilità di test diagnostici rapidi e di vaccinazioni per far fronte all’attuale pandemia, diversi fornitori privati hanno annunciato di prendere in considerazione la possibilità di subordinare l’accesso a beni o servizi, a tempo debito, alla divulgazione dei risultati dei test o alla prova dell’avvenuta vaccinazione.
Se acquisiscono dati relativi alla salute dai propri concittadini nel contesto della pandemia, oltre alle prescrizioni di diritto pubblico concernenti i relativi piani di protezione per limitare la diffusione del coronavirus i privati sono tenuti a osservare anche le disposizioni della legge sulla protezione dei dati della Confederazione (LPD) e i principi ivi sanciti di proporzionalità e finalità del trattamento dei dati. Se i privati subordinano l’accesso a beni o servizi alla divulgazione di dati relativi alla salute, ciò può ledere la personalità degli interessati. Secondo l’articolo 13 LPD una simile lesione è ammissibile soltanto se è giustificata dal consenso della persona lesa, da un interesse preponderante privato o pubblico o dalla legge.
Se la richiesta e l’eventuale trattamento ulteriore dei dati relativi al test o alla vaccinazione rappresentano una violazione della personalità dipende dalle circostanze concrete del singolo caso, tanto più che né il diritto pubblico né quello privato prevedono normative esaustive in materia. L’IFPDT si compiace pertanto che gli uffici federali competenti stiano elaborando un regolamento interpretativo di un’eventuale normativa e delle sue conseguenze all’attenzione del Consiglio federale.
A prescindere dal fatto che si adottino o meno disposizioni in tal senso e da quando ciò avverrà, nell’attuale situazione pandemica l’Incaricato deve sempre attendersi che i privati possano acquisire sistematicamente dati relativi al test o alla vaccinazione nonché altri dati personali. L’IFPDT segnala quindi qui di seguito i requisiti in materia di diritto di protezione dei dati che i privati devono garantire di rispettare prima di subordinare l’accesso a beni o servizi alla divulgazione di questi dati personali.
Adeguatezza del trattamento: per rispettare il principio di proporzionalità in materia di diritto di protezione dei dati, l’acquisizione e l’ulteriore trattamento dei dati personali devono essere idonei allo scopo. Nel valutare se l’acquisizione privata e l’eventuale ulteriore trattamento dei risultati di test e vaccinazioni sono adatti a contribuire in modo significativo alla protezione contro la trasmissione e la malattia, occorre tenere conto dei pareri delle autorità sanitarie competenti – in particolare dell’Ufficio federale della sanità pubblica – sulla validità dei test e sugli effetti della vaccinazione. La valutazione in materia di diritto di protezione dei dati si basa sui pareri e sulle pubblicazioni delle summenzionate autorità competenti in materia.
Esigibilità del trattamento: occorre rinunciare ad acquisire i dati personali menzionati se fosse subordinato a essi l’accesso a beni o servizi, la rinuncia a questi ultimi non fosse ragionevole e se l’accesso potesse essere assicurato ragionevolmente anche in altro modo.
Entità del trattamento e sicurezza dei dati: dopo aver valutato l’accesso occorre rinunciare a salvare o a trasmettere i dati personali acquisiti, a meno che un loro trattamento ulteriore non sia strettamente necessario e motivato in modo obiettivo o sia esplicitamente richiesto dalle parti interessate. Qualora sia necessario effettuare un trattamento ulteriore, occorre limitarne entità e durata al minimo indispensabile necessario per contrastare la pandemia. Occorre inoltre garantire la sicurezza dei dati mediante adeguate misure tecniche e organizzative.
Tipo di trattamento: vi sono persone che sono riluttanti a mostrare uno smartphone dotato di un determinato programma perché temono un accesso ai dati del loro stile di vita digitale. E ve ne sono altre che per età, stato di salute o disabilità non sono neppure in grado di farlo. A esse occorre offrire, a condizioni analoghe, alternative ragionevoli all’acquisizione digitale dei dati personali menzionati.
Trasparenza del trattamento: occorre informare gli interessati in modo completo e comprensibile sullo scopo e sulle modalità dell’acquisizione di dati e sull’eventuale trattamento ulteriore dei dati personali menzionati.
L’IFPDT segue l’evoluzione della situazione e si riserva il diritto di adottare misure relative al diritto della vigilanza nei confronti di privati se dovesse giungere alla conclusione che essi non adempiono i summenzionati requisiti della legge sulla protezione dei dati. Sono fatti salvi nuovi sviluppi e conoscenze scientifiche che richiedano una nuova valutazione o un’integrazione dei suddetti requisiti.
Lista di ospiti: i gestori devono garantire la protezione dei dati
29.10.2020 - Per la registrazione dei dati di contatto destinati al Contact Tracing esiste una base legale. L’ordinanza COVID-19 situazione particolare prevede quali dati possano essere rilevati a quale scopo. La modalità di tale registrazione può invece essere decisa liberamente dai gestori e dagli organizzatori responsabili. L’utilizzazione di applicazioni è ammessa, sempre che siano rispettate le disposizioni in materia di protezioni dei dati.
Alla luce del rapido aumento del numero di casi, le misure per contrastare la pandemia vengono attualmente rafforzate ricorrendo segnatamente al «classico» Contact Tracing che mira a interrompere le catene del contagio.
La base legale per il Contact Tracing si trova nella legge sulle epidemie. L’ordinanza COVID-19 situazione particolare contiene inoltre disposizioni esecutive in relazione a misure riguardanti le strutture accessibili al pubblico e le manifestazioni.
Su questa base i gestori di strutture accessibili al pubblico e gli organizzatori di manifestazioni sono tenuti, a determinate condizioni, a registrare i dati di contatto dei visitatori o dei partecipanti. La quantità di dati da rilevare è definita; i dati possono essere raccolti soltanto per il Contact Tracing e devono essere cancellati dopo 14 giorni. I Cantoni possono prevedere in alcuni casi misure più incisive e quindi anche una registrazione di dati più completa, sempre che i requisiti legali in materia di protezione dei dati siano rispettati.
Le modalità della registrazione dei dati non sono esplicitamente precisate nell’ordinanza. I gestori e gli organizzatori sono tuttavia responsabili in ogni momento della confidenzialità della registrazione dei dati e della sicurezza degli stessi.
Alla luce di queste considerazioni, anche una registrazione tramite un’applicazione è ammessa. In particolare nei settori della ristorazione e degli eventi sono oggi disponibili molti prodotti digitali. Come per altri metodi di registrazione occorre osservare le norme in materia di protezione dei dati. Anche impiegando un’applicazione i gestori e gli organizzatori rimangono responsabili del rispetto della confidenzialità e della sicurezza dei dati. Devono garantire in particolare che siano trattati soltanto i dati previsti dall’ordinanza (ed eventualmente da atti normativi aggiuntivi cantonali) e che i dati, come menzionato più sopra, siano cancellati dopo 14 giorni.
La registrazione di ulteriori dati o l’utilizzazione dei dati registrati per scopi diversi dal Contact Tracing, come l’invio di pubblicità online, è possibile soltanto con il consenso degli interessati. In tal caso occorre garantire che gli interessati siano stati espressamente informati di questo trattamento ulteriore e che possano opporvisi in ogni momento senza subire svantaggi. Dato che sovente simili applicazioni sono installate spontaneamente sul posto quando si visitano strutture e si partecipa a manifestazioni, un eventuale impiego dei dati rilevati per scopi diversi, come l’Opt-in, dovrebbe avvenire con il consenso esplicito degli interessati.
Inoltre, dai principi generali del diritto in materia di protezione dei dati si deduce che per le persone che non portano con sé un telefono cellulare, è necessario fornire un altro mezzo per raccogliere i propri dati di contatto, come ad esempio elenchi cartacei. Questa posizione dell'IFPDT è valida con riserva di una successiva decisione dei tribunali competenti.
Update Proximity Tracing App: confermata la sicurezza tecnica dell’app SwissCovid
12.06.2020 - Dopo aver valutato il rapporto «Risk Estimation Proximity Tracing» del Centro nazionale per la cibersicurezza pubblicato oggi, l’IFPDT conferma la propria valutazione secondo cui il sistema svizzero di tracciamento di prossimità gestito dall’Ufficio federale della sanità pubblica e l’app SwissCovid sono conformi alle norme sulla protezione dei dati.
L’IFPDT è consapevole che la mancata pubblicazione dell’interfaccia per la programmazione di applicazioni («application programming interface», API) – ovvero l’interfaccia di programmazione di Google e Apple per l’applicazione SwissCovid – è stata criticata dall’opinione pubblica. Non è la prima volta che accade. Questa mancanza è infatti già stata rilevata nella valutazione d’impatto sulla protezione dei dati del 1° maggio 2020 e nel rapporto del Centro nazionale per la cibersicurezza del 28 maggio 2020, pubblicato in data odierna.
Le interfacce standardizzate a livello mondiale e i rispettivi sistemi operativi sottostanti costituiscono le basi dell’app SwissCovid. Il codice sorgente dei sistemi operativi e delle interfacce non è liberamente disponibile o lo è solo in parte. Anche questo fatto è noto e non concerne l’app SwissCovid in modo specifico.
Secondo l’IFPDT l’impiego dell’API di Google e Apple per l’app SwissCovid non rappresenta un rischio significativo per i dati personali degli utenti, considerato l'uso quotidiano che questi fanno degli apparecchi di entrambi i produttori. Chiunque ritenga – in riferimento all’app SwissCovid – che Google e Apple non terranno conto delle limitazioni d’uso alle quali hanno dichiarato di attenersi, ignorando le conseguenze legali e i rischi di reputazione, deve essere consapevole di quanto segue: anche senza l'utilizzo dell'API per il sistema di tracciamento di prossimità di detti produttori, l’app SwissCovid dovrebbe comunque basarsi su un sistema operativo e sull'interfaccia bluetooth generale degli stessi produttori.
Chi per principio è scettico nei confronti dei due produttori, indipendentemente dalle caratteristiche dell’app SwissCovid, dovrebbe rinunciare non solo a utilizzare quest’ultima, ma anche tutti gli apparecchi e sistemi informatici di questi produttori. La possibilità di tale rinuncia è sempre garantita.
Per ulteriori informazioni, vi invitiamo a consultare il testo completo della nostra valutazione:
13.05.2020 - L’applicazione di tracciamento di prossimità soddisfa le esigenze in materia di protezione dei dati – Parere secondo l’articolo 17a LPD sul test pilota con il sistema svizzero di tracciamento di prossimità (SPTS).
L’IFPDT ritiene che il test pilota con il SPTS autorizzato oggi dal Consiglio federale rispetti le disposizioni in materia di protezione dei dati. I documenti mancanti devono essere presentati all’IFPDT in tempo prima della data prevista per l’attivazione completa.
Sono fatte salve le misure di vigilanza e le raccomandazioni applicabili durante il test pilota e dopo il passaggio alla prevista attivazione completa.
30.04.2020 - L’IFPDT ritiene proporzionato il trattamento dei dati nel backend della «Proximity Tracing-Application (PTAPP)».
Verrà introdotta in Svizzera un'applicazione di rintracciamento «Proximity Tracing-Application (PTAPP)» basata sull'approccio decentralizzato "DP-3T". Anche se con questa app vengono memorizzate molte meno informazioni in modo centralizzato che tramite una app con approccio centralizzato, l'architettura del sistema ha bisogno di un cosiddetto “backend” in un server.
La Task Force Corona dell'IFPDT ha esaminato l’implementazione tecnica nel backend dell’applicazione PTAPP prevista e giunge alla conclusione che l'elaborazione dei dati prevista è proporzionata. L’IFPDT sta esaminando attualmente anche il progetto di Ordinanza del Consiglio federale su questa applicazione e le basi legali su cui poggia.
L'IFPDT sta elaborando una valutazione complessiva dell'applicazione PTAPP sotto forma di rapporto, che riunirà le precedenti valutazioni parziali e la completerà con ulteriori aspetti.
21.04.2020 - L'IFPDT esamina l'architettura del sistema DP3-T e richiede la prova di una base legale sufficiente.
L'IFPDT e la sua Task Force Corona hanno partecipato ai lavori di realizzazione della "Covid proximity tracing app" dell'amministrazione federale. L'implementazione si basa sul modello "DP3-T" sviluppato dall'EPFL, che segue un approccio decentralizzato. DP3-T è indipendente dagli sviluppi del progetto europeo "PEPP-PT". La task force dell’IFPDT sta esaminando gli aspetti relativi alla protezione dei dati dell'architettura del sistema sviluppato dall’amministrazione. In linea di principio, l'IFPDT esige in particolare la prova di una base legale sufficiente ai sensi dell'articolo 17 della legge federale sulla protezione dei dati.
Maggior protezione dei dati con l’ulteriore elaborazione del progetto del Politecnico federale di Losanna per una «Covid proximity tracing App»
17.04.2020 – Dopo la prima valutazione sommaria dell’app «Proximity Tracing» da parte della task force «Corona» dell’IFPDT, il Politecnico federale di Losanna e i suoi partner hanno continuato a lavorare al progetto denominato DP-3T. Dal punto di vista della protezione dei dati l’IFPDT constata dei miglioramenti, segnatamente grazie all’approccio decentralizzato. Continuerà a intervenire affinché la protezione dei dati sia garantita in modo ottimale al momento dell’introduzione ormai prossima.
La prima valutazione sommaria della task force «Corona» dell’IFPDT del 2 aprile 2020 si riferiva a un’impostazione oggi superata, secondo la quale le persone esposte a rischio venivano contattate dal server centrale. Nel frattempo la task force ha preso atto dell’ulteriore sviluppo del progetto denominato «Decentralized Privacy-Preserving Proximity Tracing» (DP-3T), che si fonda su un approccio decentralizzato. Dal profilo della protezione dei dati un vantaggio considerevole è costituito dal fatto che, in una logica di minimizzazione dei dati, al server centrale vengono trasmesse soltanto chiavi anonime in relazione agli utenti infetti, ossia che non consentono di risalire alle persone. Le app dei singoli utenti segnaleranno la vicinanza fisica a un utente (anonimo) infetto soltanto a livello locale. L’IFPDT riconosce che sia le soluzioni centralizzate che quelle decentralizzate presentano vantaggi e svantaggi. Per motivi legati alle norme sulla protezione dei dati e tenendo conto della tendenza in atto a livello internazionale, si dice complessivamente favorevole a proseguire lo sviluppo del DP-3T, che si fonda su un approccio decentralizzato. Precisa tuttavia che per una valutazione giuridica definitiva in materia di protezione dei dati sarà determinante l’attuazione concreta.
Nel frattempo è stato annunciato che l'Ufficio federale di statistica sarà il centro di raccolta dati (Data Trust Center). L’Ufficio federale dell’informatica e della telecomunicazione avrà il compito di sviluppare e ospitare l’infrastruttura e di provvedere alla sua manutenzione. Congiuntamente ad altri servizi, anche l’IFPDT, per il tramite della sua task force «Corona», dovrà essere consultato nelle prossime fasi di implementazione. L’IFPDT continuerà a intervenire affinché i requisiti giuridici in materia di protezione dei dati siano considerati in maniera ottimale.
Valutazione sommaria del progetto di «Covid proximity tracing App» del Politecnico di Losanna
02.04.2020 -Poiché partecipa a un progetto volto alla creazione di una «Covid proximity tracing App», il 21 marzo 2020 il Politecnico federale di Losanna (PFL) ha chiesto all’IFPDT di sottoporre tale progetto a una valutazione sommaria.
Nella sua valutazione, la Task Force «Corona» dell’IFPDT rileva con soddisfazione che diversi provvedimenti previsti dal progetto, quali il carattere facoltativo della partecipazione, la rinuncia alla geolocalizzazione e l’impiego di identificatori temporanei dimostrano la volontà di prendere in considerazione importanti aspetti legati alla protezione dei dati. Una valutazione definitiva sotto il profilo della protezione dei dati di questa iniziativa, finora portata avanti im ambito strettamente privato, non è tuttavia ancora possibile: essa dipenderà dalla forma che assumerà il progetto definitivo e dalle modalità con cui verrà messo in pratica.
Coronavirus: piani di protezione
19.05.2020 - L’attuazione dei piani di protezione ricade sotto la sorveglianza dell’IFPDT. Egli ritiene che la raccolta e la trasmissione di dati personali secondo questi piani sono volontari.
Nell'ordinanza 2 sui provvedimenti per combattere il coronavirus (COVID-19; RS 818.101.24) il Consiglio federale, nel quadro dell’allentamento dei provvedimenti, ha vincolato la ripresa delle attività e la riapertura delle strutture con l’emanazione dei cosiddetti piani di protezione (v. Raccomandazioni dell'UFSP per il mondo del lavoro e le scuole).
I piani di protezione, la cui responsabilità di attuazione è delle strutture, che prevendono l’elaborazione di dati di persone (clienti, membri, lavoratori ecc.) ricadono sotto la sorveglianza dell’IFPDT. Quest’ultimo si adopera affinché che le strutture rispettino i principi della legge federale sulla protezione dei dati, in particolare quello della proporzionalità. A seconda del ramo e della dimensione della struttura anche i servizi giuridici interni e i consulenti in materia di protezione dei dati contribuiscono all’attuazione di questi piani conformemente alla legislazione sulla protezione dei dati.
L’IFPDT si assicura che le persone di cui sopra, oggetto dell’elaborazione e della trasmissione di dati nell’ambito dei piani di protezione, possano fornire questi dati su base volontaria e che non venga esercitato alcun obbligo indiretto: il diritto a prestazioni e vantaggi non è dunque vincolato con la registrazione dei loro dati personali.
L’IFPDT ritiene che l’obbligo diretto o indiretto di fornire ed elaborare dati di queste persone rappresenti un’ingerenza della sfera privata e della loro autodeterminazione in materia di informazione, il che è in contrasto con il principio della proporzionalità. Sono fatte salve le prescrizioni obbligatorie di elaborazione fondate sulle basi legali sufficientemente specifiche di diritto pubblico della Confederazione o dei Cantoni.
Misure per un impiego sicuro delle soluzioni di audio e videoconferenza
10.04.2020 - Da un giorno all'altro non è più stato possibile incontrare parenti e conoscenti né scambiare informazioni con i colleghi o tenere riunioni in ufficio. Per rimanere in contatto, cittadini e imprese sono quindi stati costretti a impiegare rapidamente soluzioni di audio e videoconferenza. La fretta di spostare nel mondo virtuale riunioni di lavoro, comunicazioni di bambini o nonni e feste non deve però farci dimenticare l'importanza di garantire la sicurezza delle informazioni e di evitare violazioni della privacy durante le videoconferenze.
Nella sua scheda informativa l'IFPDT raccomanda pertanto, come primo passo, misure immediate per garantire che la soluzione attualmente in uso possa essere utilizzata nel modo più sicuro possibile, quantomeno temporaneamente durante una situazione straordinaria. A posteriori o durante l'uso, l'impiego di questi servizi e prodotti deve essere sottoposto a una nuova valutazione nell'ambito di un'analisi dei rischi conforme ai criteri dettati dalla normativa in materia di protezione dei dati; se del caso va valutato e impiegato un prodotto maggiormente adatto alle esigenze. A tale scopo, la presente scheda informativa contiene i punti da osservare durante la preparazione e la successiva introduzione di una soluzione di audio e videoconferenza conforme alle norme sulla protezione dei dati.
Questa scheda informativa si rivolge a tutti i gruppi di utenti, sia in ambito privato che professionale.
Aggiornamento - Quadro giuridico sulla protezione dei dati per il contenimento del coronavirus:
L’accesso da parte dell’Ufficio federale della sanità pubblica (UFSP) ai dati visualizzati di Swisscom è conforme alla legislazione sulla protezione dei dati
03.04.2020 - Il 25 marzo 2020 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha invitato la Swisscom a prendere posizione sull’accesso ai suoi dati da parte dell’UFSP. L’IFPDT, dopo aver esaminato le informazioni fornite da Swisscom, conclude che Swisscom permette all’UFSP di accedere esclusivamente a dati anonimizzati. L'IFPDT ha chiesto a Swisscom di fornire al pubblico informazioni più dettagliate sulla procedura di elaborazione dei dati. Swisscom ha risposto a questa richiesta e ha preparato delle FAQ sul trattamento dei dati in questione.
Swisscom ricorre alla piattaforma Mobility Insights (MIP)per elaborare statistiche di gruppo anonimizzate basate su dati aggregati sulla mobilità al fine di analizzare i comportamenti in questo ambito sul territorio svizzero. Le analisi di Swisscom, rese accessibili all’UFSP con uno scarto di almeno 8 ore sotto forma di visualizzazioni, illustrano se sul territorio svizzero si sono tenuti assembramenti; scopo di tale misura è la la lotta contro la pandemia di coronavirus. Queste visualizzazioni mostrano l’andamento temporale delle frequentazioni di superfici di 100 metri quadrati da parte dei possessori di telefoni cellulari, ma solo quando su queste aree sono presenti oltre 20 apparecchi di abbonati Swisscom.
Il 25 marzo 2020 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha invitato la Swisscom a prendere posizione sull’accesso ai suoi dati da parte dell’UFSP. Swisscom ha dato seguito a questa richiesta mediante lettera del 27 marzo 2020 ed una presa di posizione complementare de 2 aprile 2020. L’IFPDT, dopo aver esaminato le informazioni fornite da Swisscom e dopo aver considerato le conoscenze che aveva acquisito da precedenti consultazioni di Swisscom su tematiche analoghe, conclude quanto segue:
I dati relativi alla localizzazione sono pseudonimizzati automaticamente (senza presa di conoscenza umana) da Swisscom (mediante tecniche di hash) appena possibile e successivamente aggregati.
Le misure organizzative non sono descritte. Tuttavia, non vi è attualmente alcun motivo di ritenere che vi siano evidenti carenze, soprattutto perché la piattaforma MIP è un prodotto che è in funzione da diversi anni.
Swisscom mette a disposizione dell'UFSP informazioni visualizzate tramite MIP, ma né dati in chiaro né dati pseudonimizzati che sono alla base delle visualizzazioni nella piattaforma MIP.
I risultati (visualizzazione dei dati aggregati relativi alla localizzazione), alla quale Swisscom consente all’UFSP di accedere, sono anonime.
Ne consegue che Swisscom permette all’UFSP di accedere esclusivamente a dati anonimizzati. L’IFPDT ritiene pertanto che l’elaborazione dei dati da parte di Swisscom e la trasmissione di dati anonimi all’UFSP siano ammesse dalla legislazione sulla protezione dei dati.
Sulla base dei documenti messi a sua disposizione, l’IFPDT non ha motivo di dubitare che Swisscom non si attenga al trattamento dei dati illustrato nelle sue prese di posizione del 27 marzo e del 2 aprile 2020. Ammette di aver ricevuto segnalazioni divergenti, che però non hanno potuto essere corroborate. Pertanto, attualmente non vi sono indizi che inducano l’IFPDT a procedere a un accertamento formale dei fatti in virtù dell’articolo 29 della legge federale sulla protezione dei dati.
L’IFPDT ritiene invece che le informazioni accessibili al pubblico sulla collaborazione tra l’UFSP e Swisscom e sulla relativa elaborazione dei dati siano scarse e non facilmente reperibili. Ha pertanto esortato la Swisscom a fornire al pubblico informazioni più dettagliate sulla procedura di elaborazione dei dati. Swisscom ha risposto a questa richiesta e ha preparato delle FAQ sull'utilizzo della piattaforma Mobility Insights da parte dell'Ufficio federale della sanità pubblica (UFSP).
27.03.2020 - Ieri l'IFPDT è stato informato dall'Ufficio federale della sanità pubblica (UFSP) della collaborazione in corso con Swisscom per la lotta contro la pandemia (cfr. comunicato dell'UFSP del 26.03.2020).
Nel frattempo l'IFPDT ha ricevuto dall'UFSP e da Swisscom la documentazione pertinente in materia. Entrambi hanno inoltre assicurato all'IFPDT che in futuro lo terranno costantemente informato sui progetti rilevanti per la protezione dei dati nella lotta contro la pandemia.
La task force interna dell'IFPDT "Corona", fondata il 24 marzo 2020, sta ora analizzando questi documenti. Già pochi giorni fa sono state presentate all'IFPDT due iniziative private per le precauzioni digitali contro ulteriori infezioni. Anche questi sono attualmente oggetto di una prima analisi sommaria della protezione dei dati da parte della nostra task force.
Quadro giuridico sulla protezione dei dati per il contenimento del coronavirus
17.03.2020 - Le autorità, in collaborazione con le istituzioni sanitarie pubbliche, fanno di tutto per frenare la diffusione del coronavirus. Le persone private, in particolare i datori di lavoro, che trattano dati personali per combattere la pandemia, devono rispettare i principi della legge federale sulla protezione dei dati.
1. trattamento dei dati da parte delle istituzioni sanitarie
In seguito alla dichiarazione della situazione straordinaria ai sensi dell'articolo 7 della legge sulle epidemie (art. 7 LEp) da parte del Consiglio federale, le autorità federali, cantonali e comunali continuano a collaborare con le istituzioni sanitarie pubbliche per combattere l'attuale pandemia di coronavirus.
L'Ufficio federale della sanità pubblica (UFSP), le autorità cantonali competenti e le istituzioni pubbliche e private cui sono affidati compiti secondo la LEp elaborano i dati sanitari personali secondo l'articolo 2 della LEp, nella misura in cui ciò è necessario per identificare persone malate, sospettate di essere malate, infette o sospettate di essere infette, al fine di adottare misure di protezione della salute pubblica. Nel fare ciò, essi osservano anche i principi generali della legislazione federale e cantonale sulla protezione dei dati. Anche gli ospedali e altre istituzioni sanitarie pubbliche o private, così come i laboratori e il personale medico, sono soggetti a speciali obblighi di notifica ai sensi della LEp.
2. trattamento dei dati da parte di privati
Nella misura in cui la società civile, in particolare i datori di lavoro, tratta dati personali per combattere la pandemia, il trattamento deve essere effettuato nel rispetto dei principi di cui all'articolo 4 della legge federale sulla protezione dei dati:
• I dati sanitari sono particolarmente degni di protezione e, in linea di principio, non possono essere ottenuti da privati contro la volontà delle persone interessate.
• Inoltre, il trattamento dei dati sanitari da parte di privati deve essere commisurato allo scopo e proporzionato. Ciò significa che devono essere necessari e adeguati per prevenire ulteriori infezioni e non devono andare oltre quanto necessario per raggiungere questo obiettivo.
• Ove possibile, i dati appropriati sui sintomi dell'influenza, come la febbre, devono essere raccolti e trasmessi dalle persone che ne sono affette.
• La raccolta e l'ulteriore elaborazione dei dati sanitari da parte di terzi privati deve essere comunicata agli interessati affinché questi ultimi comprendano lo scopo e la portata del trattamento, nonché il suo contenuto e la sua durata.
3. temperatura corporea e tracciabilità
Nella misura in cui i privati raccolgono dati medici come la temperatura corporea prima di entrare negli edifici o nei luoghi di lavoro allo scopo di prevenire le infezioni, il trattamento di questi dati deve essere limitato al minimo necessario per raggiungere lo scopo in termini di contenuto e di tempo. Nella raccolta dei dati devono essere rispettate le informazioni e l'autodeterminazione delle persone interessate. In questo contesto, rispondere ad ampie domande sullo stato di salute di persone non mediche si rivela inappropriato e sproporzionato.
Lo stesso vale per i dati personali trattati da privati nell'ambito di misure operative e organizzative volte a prevenire il contagio. Al più tardi quando la minaccia pandemica è cessata, questi dati devono essere cancellati nel loro insieme.
Se si considera l'uso di metodi digitali per la raccolta e l'analisi dei dati sulla mobilità e sulla prossimità, essi devono risultare proporzionati allo scopo di prevenire l'infezione. Lo sono solo se sono epidemiologicamente giustificati e idonei ad avere un effetto che giustifichi l'intervento nella personalità delle persone colpite al fine di contenere la pandemia allo stadio attuale della pandemia.
Fughe di dati dalle reti sociali
15.04.2021 - Dopo Facebook è toccato anche a LinkedIn subire una massiccia fuga di dati personali (scraping). Secondo il sito CyberNews i dati di 500 milioni di utenti della rete sociale professionale sono in vendita su un forum specializzato. Questi dati comprendono in particolare gli ID utenti, i nomi completi, gli indirizzi di posta elettronica, i numeri di telefono, i link ad altri profili LinkedIn e a quelli di altre reti sociali.
In base alle ultime notizie anche Clubhouse è stato colpito da una fuga di dati.
L’IFPDT si è messo in contatto con i suoi omologhi europei e continuerà a monitorare la situazione.
Dato che le sedi sociali di queste due società sono in Irlanda, l’autorità irlandese per la protezione dei dati ne è l’autorità responsabile nell’UE e ha pubblicato un comunicato stampa sulla fuga di dati Facebook e sui relativi provvedimenti.
Il Garante, l’autorità italiana per la protezione dei dati, ha contattato le due reti sociali per sapere se avessero l’intenzione di mettere a disposizione degli utenti interessati uno strumento che permettesse loro di controllare se i loro dati erano stati violati. Invita anche gli utenti a prestare particolare attenzione a eventuali anomalie connesse al loro numero di telefono e ai loro account Facebook / LinkedIn (vedi link).
Che cosa fare in caso di fuga di dati?
In caso di fuga di dati (comunemente detta anche «data leak») le seguenti misure generali possono aiutare a stabilire se se ne è interessati e a proteggersi:
Stabilire se si è interessati:
Per stabilire se si è oggetto di una fuga di dati, esistono in Internet piattaforme come Identity Leak Checker dell’Istituto Hasso Plattner o il noto servizio https://haveibeenpwned.com del consulente australiano in materia di sicurezza Troy Hunt. Questi servizi possono essere utilizzati per verificare se il proprio indirizzo di posta elettronica o il proprio numero di telefono sono già stati oggetto di una fuga. Anche se non consente sempre di avere indicazioni su un’eventuale fuga, il risultato del controllo dovrebbe essere accolto con prudenza. Nel caso di LinkedIn gli autori del reato hanno pubblicato innanzitutto un «campione», cioè un estratto parziale per verificarne l'autenticità.
Istruzioni da parte del gestore:
Di regola i gestori informano essi stessi gli utenti interessati da una fuga di dati non autorizzata di questa portata o se sussiste un rischio elevato che si verifichi. Occorre seguire le loro istruzioni.
Cambiare la password:
È spesso difficile capire se sono state rubate anche le password. Se vi sono forti sospetti, occorre assolutamente reimpostare la password, anche se si utilizza un’autentificazione forte per effettuare il login, per esempio mediante un secondo fattore. Il fatto che le password siano o meno criptate ha poca importanza. Nel caso di password criptate o «valori di hash» occorre partire dal presupposto che possono essere decriptate; di conseguenza anch’esse devono essere cambiate.
Mezzi di pagamento:
Qualora non vi sia la certezza che anche i mezzi di pagamento non siano stati compromessi, occorre sorvegliarli attentamente. Se vi sono segnali di abuso, il mezzo di pagamento deve essere immediatamente bloccato presso il gestore.
Maggiore prudenza:
Nel caso di Facebook vi sono già segnali che indicano che i dati sono utilizzati in modo improprio; sono stati ad esempio inviati SMS con link, cliccando sui quali si scaricano programmi maligni (malware). Gli utenti interessati dovrebbero essere particolarmente diffidenti, in particolare nei confronti di messaggi di posta elettronica o di SMS provenienti da mittenti sconosciuti.
Dossier nuova legge federale sulla protezione dei dati (nLPD)
Punto di vista dell'IFPDT
05.03.2021 / aggiornato il 27.10.2022 - Il settore privato e le autorità federali dovranno adattare il trattamento dei dati personali alle disposizioni della nuova legge federale sulla protezione dei dati. L'IFPDT indica le novità più importanti che dovranno prendere in considerazione a questo proposito.
(Il documento completo è allegato qui sotto in formato pdf)
La LPD rivista ha esclusivamente lo scopo di proteggere la personalità delle persone fisiche di cui vengono trattati i dati, mentre non tratta più i dati di persone giuridiche quali società commerciali, associazioni o fondazioni, rendendo così il suo ambito di applicazione conforme al RGPD. Le imprese possono continuare ad appellarsi alla protezione della personalità di cui all’articolo 28 CC, alla protezione del segreto di fabbrica o commerciale di cui all’articolo 162 CP e alle disposizioni pertinenti delle leggi federali contro la concorrenza sleale e sui cartelli.
La nozione di «dati personali degni di particolare protezione» è estesa ai dati genetici e ai dati biometrici che identificano in modo univoco una persona fisica.
Nella LPD rivista sono stati introdotti i principi di «privacy by design» (protezione dei dati sin dalla progettazione) e di «privacy by default» (protezione dei dati per impostazione predefinita) che obbligano le autorità e le imprese ad attuare i principi di trattamento di cui alla LPD sin dalla fase di progettazione prendendo misure di protezione adeguate tanto tecniche quanto organizzative. La protezione dei dati sin dalla progettazione prevede che le autorità e le imprese impostino le loro applicazioni in modo che i dati siano cancellati o anonimizzati in maniera standardizzata. La protezione dei dati per impostazione predefinita ammette soltanto il trattamento dei dati direttamente necessari allo scopo e protegge così gli utenti di offerte online private che non esaminano le condizioni di utilizzazione né i diritti di opposizione che ne derivano; resta salva la facoltà dell’utente di autorizzare un trattamento più ampio se lo desidera. Al fine di garantire questo nuovo tipo di protezione, le imprese svizzere dovrebbero controllare per tempo la propria offerta ed eventualmente adeguarla mediante programmi favorevoli alla protezione dei dati e ai clienti.
Ai sensi dell’articolo 10 della LPD rivista le imprese private possono designare un consulente per la protezione dei dati che può, ma non deve, essere legato all’impresa mediante un contratto di lavoro. In entrambi i casi l’attività di consulenza deve essere svolta in modo indipendente dalle altre mansioni dell’impresa. È anche opportuno che le attività dei consulenti per la protezione dei dati siano separate da quelle di consulenza di altro genere o di rappresentanza giuridica. Inoltre ai consulenti per la protezione dei dati occorre permettere di esprimere il proprio punto di vista in caso di divergenze d’opinione con la direzione aziendale art. 23 lit. c OPDa). Contrariamente a quanto previsto nel RGPD europeo, per le imprese private la designazione del consulente per la protezione dei dati è sempre facoltativa – soltanto per gli organi federali è obbligatoria. Il consulente per la protezione dei dati non è soltanto il punto di riferimento all’interno dell’impresa, ma anche l’anello di congiunzione con l’autorità di protezione dei dati e la prima persona di contatto per l’IFPDT. Nelle sue mansioni rientra la consulenza generalizzata e la formazione dell’impresa nelle questioni che riguardano la protezione dei dati, la partecipazione all’emanazione e all’applicazione di condizioni di utilizzazione e disposizioni di protezione dei dati. Se la consulenza interna è svolta in modo tecnicamente e gerarchicamente indipendente e senza mansioni incompatibili con la funzione, dopo l’analisi d’impatto sulla protezione dei dati l’impresa può limitarsi alla consulenza interna senza dover consultare l’IFPDT, anche in caso di rischio permanentemente elevato (vedi in proposito «Valutazioni d’impatto sulla protezione dei dati»).
Le valutazioni d’impatto sulla protezione dei dati non sono un elemento nuovo nel diritto svizzero della protezione dei dati: gli organi federali sono già oggi tenuti a svolgerle. Quando un trattamento può comportare un rischio elevato per la personalità o per i diritti fondamentali della persona interessata, anche i titolari privati del trattamento devono farlo precedere da una valutazione d’impatto sulla protezione dei dati (art. 22 LPD). In particolare quando si usano nuove tecnologie, il rischio elevato risulta dal modo, dalla portata, dalle condizioni e dallo scopo del trattamento, soprattutto se è prevista una profilazione a rischio elevato o un ampio trattamento di dati personali degni di particolare protezione. Anche se è impostata in modo generale, la valutazione d’impatto sulla protezione dei dati non può dispensare da rischi riconoscibili che non vi sono menzionati. Se un prodotto, un sistema o un servizio è certificato ai sensi della legge sulla protezione dei dati o se si rispetta un codice di condotta basato su una valutazione d’impatto, si può prescindere dal redigerne un’altra. Se la valutazione d’impatto sulla protezione dei dati lascia prevedere che il trattamento pianificato comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata nonostante le misure prese dal titolare, questi deve dapprima chiedere il parere dell’IFPDT. Quest’ultimo consiglia di precisarla o di completarla se ha obiezioni riguardo alla valutazione d’impatto perché il testo è redatto in maniera troppo generale e descrive gli eventuali rischi o le misure solo in modo insufficiente. Se tuttavia le obiezioni riguardanti la protezione dei dati si riferiscono al trattamento vero e proprio, l’IFPDT propone al titolare misure adeguate per modificarlo (vedi in proposito «Consulenze»). Contrariamente a quanto avviene per i codici di condotta, i pareri dell’IFPDT non sottostanno all’obbligo di pubblicazione. Tuttavia, in quanto documenti ufficiali, sottostanno alla legge federale sul principio di trasparenza dell’amministrazione. È possibile rinunciare a consultare l’IFPDT quando è già stato interpellato il consulente interno per la protezione dei dati (vedi in proposito «Consulenti per la protezione dei dati»).
Per associazioni professionali, settoriali ed economiche la nuova LPD prevede all’articolo 11 incentivi a sviluppare codici di condotta propri e a sottoporli per parere all’IFPDT. I pareri sono pubblicati e possono contenere obiezioni e raccomandare relative modifiche o precisazioni. I pareri positivi dell’IFPDT fungono da base alla presunzione giuridica che la condotta riportata nel codice sia conforme alle disposizioni di protezione dei dati. I codici formulati in maniera generale non possono invece dispensare da ogni rischio che non sia citato con precisione nel testo. Accettando un codice di condotta, i membri delle associazioni possono rinunciare ad elaborare supporti e indicazioni per l’applicazione della nuova LPD. Questa forma di autoregolamentazione presenta inoltre il vantaggio per queste associazioni di non dover svolgere valutazioni proprie d’impatto sulla protezione dei dati se è rispettato un codice di condotta basato su una valutazione d’impatto già svolta ed ancora attuale, che preveda misure di protezione della personalità o dei diritti fondamentali e sia stata sottoposta all’attenzione dell’IFPDT.
Oltre ai sistemi di gestione e ai prodotti, ora sono certificabili servizi e processi (art. 13). La certificazione permette alle imprese ad esempio di comprovare che rispettano il principio della protezione dei dati per impostazione predefinita e che dispongono di un sistema adeguato di gestione della protezione dei dati. Se un titolare privato del trattamento impiega un sistema, prodotto o servizio certificato, può rinunciare a svolgere una valutazione d’impatto sulla protezione dei dati. Il Consiglio federale ha disciplinato ulteriori disposizioni sulla procedura di certificazione e sul marchio di qualità mediante ordinanza (OCPD).
Secondo la nuova legge i titolari e i responsabili del trattamento devono tenere un registro di tutte le attività di trattamento; l’articolo 12 elenca quelle fondamentali. Il registro deve sempre essere aggiornato. Nell’ordinanza il Consiglio federale ha previsto eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate (art. 24 OPDa). Gli organi federali devono notificare all’IFPDT i registri; per i responsabili privati del trattamento dei dati le nuove disposizioni non prevedono l’obbligo di notifica.
La LPD rivista stabilisce all’articolo 16 che i dati personali possono essere comunicati all’estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l’organismo internazionale garantisce una protezione adeguata dei dati. L'elenco tenuto sinora dall'IFPDT è ora parte dell'OPDa (allegato 1). Se lo Stato destinatario non figura nell’elenco del Consiglio federale, i dati possono comunque essergli comunicati, come avvenuto finora con il diritto vigente, se la protezione dei dati viene assicurata in modo adeguato con altri strumenti, ad esempio mediante un trattato di diritto internazionale, clausole contrattuali di protezione dei dati che devono essere precedentemente comunicate all’IFPDT o norme interne dell’impresa vincolanti, le cosiddette Binding Corporate Rules. Clausole standard della Commissione europea già autorizzate con il RGPD sono riconosciute dall’IFPDT.
Se si prevede di pubblicare i dati all’estero – anche in caso di memorizzazione su sistemi esteri (cloud) – devono essere indicati alle persone interessate i Paesi in questione, indipendentemente dal fatto che offrano o meno una protezione dei dati adeguata. In questo ambito la LPD è più severa del RGPD. È inoltre necessario indicare quali garanzie di protezione dei dati potrebbero eventualmente essere applicate (p. es. clausole contrattuali standard dell’UE) oppure a quali eccezioni si riferisce il titolare del trattamento (art.17); anche in questo caso la LPD differisce dal RGPD.
In adempimento dell’obiettivo di trasparenza perseguito dalla revisione, l’articolo 19 della LPD rivista estende l’obbligo di informazione per le imprese. In linea di massima in futuro il titolare privato deve precedentemente informare in ogni caso e in modo adeguato la persona interessata sulla prevista raccolta di dati personali anche se i dati non sono raccolti presso di essa. La LPD vigente prescrive questo obbligo di informazione soltanto in caso di dati personali e profili della personalità degni di particolare protezione. Concretamente, devono essere resi noti l’identità e le coordinate di contatto del titolare del trattamento, lo scopo del trattamento ed eventualmente i destinatari o le categorie di destinatari cui sono stati comunicati i dati personali. Diversamente da quanto previsto nel RGPD, devono essere fornite informazioni anche sullo Stato destinatario e sulle eventuali garanzie di un adeguato livello di protezione di dati (vedi sopra, Comunicazione di dati personali all'estero). Le imprese devono dunque esaminare e tenere aggiornate le proprie dichiarazioni relative alla protezione dei dati. Sono esclusi dall’obbligo di informazione i dati personali rilevati soltanto incidentalmente o per caso. L’obbligo di informazione è inoltre limitato o abolito in presenza dei numerosi motivi di limitazione ed eccezione (art.20). Ciò si verifica ad esempio quando le persone interessate dispongono già delle informazioni o il trattamento dei dati è previsto per legge. Se il trattamento comporta decisioni individuali automatizzate, il titolare del trattamento deve rispettare nuovi obblighi di informazione nei confronti della persona interessata e accordarle i diritti di essere sentita e di riesaminare la decisione (art. 21).
La nuova LPD estende il diritto della persona interessata di chiedere se dati personali che la concernono sono oggetto di trattamento. Il nuovo articolo 25 presenta un elenco più esteso delle informazioni che il titolare del trattamento deve comunicare, ad esempio sulla durata di conservazione dei dati personali della persona interessata. Inoltre l’articolo sancisce che alla persona interessata devono essere messe a disposizione le informazioni necessarie affinché possa far valere i suoi diritti secondo la nuova LPD e sia garantito un trattamento trasparente dei dati. Come nel diritto vigente a determinate condizioni il titolare può rifiutare, limitare o differire l’informazione.
Conformemente all’articolo 24 della nuova LPD il titolare del trattamento deve notificare all’IFPDT ogni violazione della sicurezza dei dati che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata. La disposizione vale sia per i titolari privati sia per gli organi federali. La notifica deve pervenire quanto prima all’IFPDT, dopo che il titolare ha redatto una previsione delle possibili conseguenze della violazione e ha valutato se sussistono rischi, se la persona interessata debba essere informata della violazione e in che modo. Se il titolare ritiene che il rischio non sia elevato può comunque far pervenire all’IFPDT una notifica in merito. L’obbligo di notifica all’IFPDT sussiste soltanto in caso di violazione della personalità o dei diritti fondamentali, ma non di attacchi cibernetici respinti con successo o falliti. Anche il RGPD europeo prevede un obbligo di notifica corrispondente e indica scadenze concrete da rispettare presso le autorità di protezione dei dati dell’UE. Inoltre il diritto europeo prevede una soglia di notifica più bassa dato che presuppone soltanto un rischio semplice.
Il diritto di farsi consegnare dati o di esigerne la trasmissione a terzi secondo l’articolo 28, sancisce la possibilità della persona interessata di chiedere che i propri dati personali che ha reso noti ad un titolare privato le siano consegnati in un formato elettronico usuale o siano trasmettessi a terzi. Questo presuppone che il titolare tratta i dati personali in modo automatizzato e che il trattamento sia effettuato con il consenso della persona interessata oppure in relazione diretta con un contratto. Il diritto può esser fatto valere in modo gratuito a meno che la consegna o la trasmissione richieda un onere sproporzionato, come ad esempio nel caso di dati inerenti la comunicazione, per i quali si rende necessario un complicato smistamento tra le dichiarazioni proprie e quelle di terzi.
In futuro l’IFPDT sarà tenuto a svolgere d’ufficio un’inchiesta in caso di violazioni della nuova LPD da parte di organi federali o di privati (art. 49 cpv. 1). Nella LPD vigente si applica ancora la limitazione secondo la quale l’IFPDT svolge di propria iniziativa un’inchiesta con accertamento dei fatti contro privati soltanto quando il metodo di trattamento può violare i diritti della personalità di un numero considerevole di persone. Questa soglia di intervento definita quale «errore di sistema» viene abolita. Tuttavia anche nella nuova LPD se la violazione delle disposizioni sulla protezione dei dati è di poca importanza, l’IFPDT può rinunciare ad aprire un’inchiesta (art. 49 cpv. 2 LPD). Inoltre, come avvenuto finora, può rinunciare a misure formali quando, dopo un primo scambio di informazioni, il titolare del trattamento riconosce la lacuna che gli è stata notificata e vi pone rimedio in tempo utile. Date le risorse limitate di cui dispone, si può prevedere che anche dopo l’entrata in vigore della nuova legge in generale l’IFPDT intenda determinare delle priorità nel trattamento di notifiche in base al principio dell’opportunità.
L’IFPDT potrà ora svolgere procedure secondo la legge federale sulla procedura amministrativa e ordinare formalmente a organi federali o titolari privati di trattamenti di dati di adeguare, sospendere o cessare del tutto o in parte il trattamento nonché di cancellare o distruggere del tutto o in parte i dati personali (art. 51). Può ad esempio ordinare che un’impresa informi la persona interessata della violazione notificata della sicurezza dei dati. Finora l’IFPDT aveva soltanto la competenza di emanare raccomandazioni e di adire il Tribunale amministrativo federale in caso di mancata ottemperanza.Contro le decisioni dell’IFPDT è possibile opporre ricorso presso il Tribunale amministrativo federale e proseguire la causa presso il Tribunale federale. Anche l’IFPDT può impugnare presso il Tribunale federale le decisioni su ricorso pronunciate dal Tribunale amministrativo federale (art. 52 cpv. 3).
L’IFPDT non è né un’autorità di approvazione né un servizio di omologazione per applicazioni, prodotti, regolamentazioni e progetti. Tuttavia, la nuova legge prevede in svariati articoli che i titolari debbano consultare l’IFPDT prima della conclusione definitiva di lavori e la realizzazione di progetti. Devono dunque essergli sottoposti per parere codici di condotta nonché valutazioni d’impatto sulla protezione dei dati in caso di elevati rischi residui. Data la natura astratta di questi oggetti di consultazione, i pareri dell’IFPDT non avranno in genere un carattere vincolante e le misure e gli obblighi raccomandati non permetteranno il ricorso. Se non ottemperano ai pareri dell’IFPDT, i titolari del trattamento devono prendere tuttavia in considerazione la possibilità che trattamenti specifici di dati nell’ambito di raccomandazioni dell’IFPDT saranno in seguito oggetto di decisioni. Queste ultime potranno vietare comple-tamente il trattamento di dati; i titolari potranno comunque avvalersi dei rimedi giuridici ordinari previsti dalla procedura amministrativa.
A parte i pareri nel quadro di consultazioni formali, l’IFPDT può continuare ad esprimersi in modo spontaneo su nuove tecnologie, questioni di digitalizzazione o pratiche di trattamento di determinati settori e pubblicare la propria opinione e la propria valutazione. Inoltre, in caso di interesse generale l’IFPDT informa il pubblico, come secondo il diritto finora vigente, delle proprie constatazioni e misure. Ciò vale anche per gli accertamenti ed i provvedimenti amministrativi scaturiti da indagini formali dell’IFPDT.
La legge disciplina le prestazioni dell’IFPDT per le quali i privati dovranno versare emolumenti (art.59): ad esempio per un parere in merito ad un codice di condotta o per una valutazione d’impatto sulla protezione dei dati o ancora per l’approvazione di clausole tipo di protezione dei dati e di norme interne d’impresa vincolanti. L’IFPDT potrà però riscuotere dai privati emolumenti anche per servizi di consulenza generale. I particolari sono determinati nell'ordinanza (OPDa).
Nella nuova LPD sono previste multe per privati fino a 250 000 franchi (art. 60). Sono punibili atti od omissioni intenzionali, ma non quelli colposi. Il mancato rispetto degli obblighi di informare, di concedere l’accesso e di collaborare nonché la violazione degli obblighi di diligenza e del segreto professionale sono punibili a querela di parte. Invece il mancato rispetto di provvedimenti amministrativi dell’IFPDT è perseguito d’ufficio. In linea di massima sono punibili con multa soltanto le persone fisiche, ma in futuro potranno esserlo anche le imprese stesse fino a 50 000 franchi, se la ricerca della persona fisica all’interno dell’impresa o dell’organizzazione esige un onere sproporzionato.Contrariamente a quanto avviene nel caso delle autorità europee di protezione dei dati, nel regime previsto dalla nuova LPD l’IFPDT continuerà a non avere la facoltà di pronunciare sanzionie. Le persone che si sono rese colpevoli sono sanzionate dalle autorità di perseguimento cantonali. L’IFPDT può sporgere denuncia e avvalersi nel procedimento dei diritti dell’accusatore privato (art. 65 cpv. 2), ma non ha il diritto di querela. Diversamente da quanto previsto nella nuova LPD, nel RGPD le sanzioni amministrative sono pronunciate soltanto contro persone giuridiche. Le autorità di protezione dei dati dell’UE possono emettere contro le imprese multe fino a 20 milioni di euro o fino al 4 per cento del loro fatturato annuo a livello mondiale.
Nuova LPD: reclutamento di personale per altri 5 posti a partire da luglio 2022
13.07.2021 - Nel 2019, in vista dell’entrata in vigore della nuova legge federale sulla protezione dei dati (LPD) fissata per il secondo semestre 2022, il Consiglio federale ha approvato la creazione di tre posti, che nel frattempo sono già stati occupati dall’IFPDT. Esso ha autorizzato ora la creazione di altri cinque posti. Se nel dicembre 2021 il Parlamento federale approverà tale aumento nel decreto federale concernente il preventivo 2022, l’IFPDT potrà mettere a concorso i cinque posti a partire dal 1º luglio 2022.
Grazie a questi 5 posti, l’IFPDT si adopererà per svolgere i suoi compiti e le sue competenze ampliati. Questo vale in particolare per il nuovo obbligo di trattare tutti i reclami individuali, il quale non è “di poca importanza”.
Un altro passo verso una protezione dei dati moderna
25.09.2020 - Oggi le Camere federali hanno approvato in votazione finale la revisione totale della legge federale sulla protezione dei dati (LPD). Sono stati in grado di risolvere le ultime divergenze verso una protezione della sfera privata più moderna.
L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) accoglie con favore la conclusione delle deliberazioni parlamentari circa la revisione totale della LPD. Il Consiglio federale aveva sottoposto il relativo messaggio alle Camere tre anni fa. La protezione della sfera privata e l’autodeterminazione informativa della popolazione svizzera potranno così essere migliorate e adeguate alla realtà digitale.
L’IFPDT si esprimerà in modo più dettagliato sulla legge adottata una volta decorso il termine di referendum.
Il secondo Consiglio conclude la consultazione sulla legge federale sulla protezione dei dati (LPD)
18.12.2019 - L'IFPDT è soddisfatto che il Consiglio degli Stati abbia terminato la consultazione sulla LPD totalmente riveduta e abbia adottato in ampia misura i miglioramenti proposti dalla sua Commissione rispetto alla versione del Consiglio nazionale.
La legge sulla protezione dei dati al vaglio del Consiglio degli Stati nella sessione invernale
20.11.2019 - L'IFPDT si compiace del fatto che, nel breve tempo a sua disposizione fino alla fine della sessione, la Commissione delle istituzioni politiche del Consiglio degli Stati (CIP-S) è riuscita ad adottare un testo legislativo all'attenzione del Consiglio degli Stati, pronto per la consultazione e notevolmente migliorato rispetto alla versione del Consiglio nazionale.
La revisione totale della LPD è trasmessa alla Commissione del Consiglio degli Stati
25.09.2019 – Ora che il Consiglio nazionale in prima camera ha terminato di trattare la revisione totale della legge sulla protezione dei dati (LPD), l'IFPDT spera che la seconda camera inizi la discussione del disegno di legge durante la sessione invernale e che possa migliorare ulteriormente la protezione della popolazione svizzera adeguandola agli standard europei.
Revisione totale della LPD sottoposta al Consiglio nazionale in quanto Camera prioritaria
30.08.2019 - Dopo aver esaminato il messaggio del 15 settembre 2017, in data 16 agosto 2019 la Commissione delle istituzioni politiche del Consiglio nazionale ha deciso, con il voto determinante del presidente, di trasmettere al Consiglio nazionale in quanto Camera prioritaria il progetto relativo a una revisione totale della legge sulla protezione dei dati.
La proposta presentata alla Camera contiene diverse disposizioni che, nella versione della maggioranza della Commissione, condurrebbero a una minor protezione dei dati per la popolazione svizzera rispetto agli Stati europei circostanti e a una riduzione parziale del livello di protezione previsto nella legge del 1992 sulla protezione dei dati attualmente in vigore.
In occasione del dibattito del 24 e 25 settembre 2019 il Consiglio nazionale avrà la possibilità di decidere, raffrontando la versione della maggioranza con quelle delle minoranze e ponderando le rispettive motivazioni, se migliorare la protezione della popolazione svizzera adeguandola agli standard europei.
01.03.2019 - In seguito alla decisione del Parlamento di suddividere la revisione della legge sulla protezione dei dati (LPD) in due parti, la legge sulla protezione dei dati in ambito Schengen (LPDS) è entrata in vigore il 1° marzo 2019 con gli adeguamenti al diritto europeo necessari per l’acquis di Schengen. Concepita come una legge transitoria, essa contiene alcune novità, tra cui il fatto che nel quadro dell’applicazione dell’acquis di Schengen per le questioni penali sono attribuite all’IFPDT competenze di inchiesta e decisionali.
La Commissione del Consiglio nazionale decide revisione a tappe della LPD - Bisogna tutelare il diritto fondamentale alla privacy
12.01.2018 – La Commissione delle istituzioni politiche del Consiglio nazionale (CIP-N) ha avviato ieri il dibattito sulla revisione totale della legge sulla protezione dei dati (LPD), deliberando contestualmente lo scaglionamento dell'iter parlamentare. L'IFPDT chiede che tale procedura, oltre al rapido varo degli aspetti rilevanti ai fini Schengen, si traduca comunque in una veloce attuazione dell'intera revisione.
L'IFPDT prende atto della decisione della CIP-N di voler procedere per tappe, sebbene ritenga che questo comporti notevoli sfide dal punto di vista giuridico e il rischio di ulteriori ritardi. Stante il fatto che la Commissione per il momento dovrebbe interrompere il proprio lavoro, occorre accertare che resti garantito il diritto fondamentale dei cittadini, la cui sfera privata risulta esposta ai crescenti rischi della progressiva digitalizzazione.
A questo scopo la Svizzera necessita di una legislazione sulla privacy in grado di garantire un'adeguata tutela di tale diritto, in linea con le normative europee ed efficace rispetto alle sfide poste dalla digitalizzazione. Tutto questo richiederebbe una rapida riforma completa della LPD vigente, varata nel 1993.
Il 15 settembre 2017 il Consiglio federale ha presentato una revisione totale del testo di legge che l'IFPDT, con un comunicato rilasciato il giorno stesso, ha accolto favorevolmente nelle sue linee generali, in quanto adeguato a soddisfare le condizioni fondamentali di cui sopra. Nel corso del dibattito di entrata in materia della CIP-N, in data 11 gennaio 2018, l'Incaricato ha richiesto invano l'avvio immediato della discussione integrale del progetto del Consiglio federale, suggerendo di affrontare i punti ancora critici nel quadro della deliberazione di dettaglio.
Messaggio concernente la revisione della legge sulla protezione dei dati: valutazione da parte dell'IFPDT
Obiettivi
Il rapidissimo sviluppo delle tecnologie dell’informazione e della telecomunicazione e la connessa digitalizzazione della società hanno reso necessario un aggiornamento delle legislazioni del Consiglio d'Europa e dell'Unione europea in materia di protezione dei dati e ora anche la revisione totale della legge federale sulla protezione dei dati, entrata in vigore nel 1993. Il disegno presentato dal Consiglio federale ha lo scopo di rafforzare la protezione dei dati migliorando la trasparenza del trattamento dei dati e le possibilità per le persone interessate di controllare i dati che le concernono. Con la revisione l’equivalenza del livello di protezione dei dati tra Svizzera e UE dovrà inoltre rimanere garantita. Un livello di protezione dei dati comparabile a quello degli Stati europei è di primissima importanza in particolare per l’economia svizzera, dato che il nuovo regolamento generale dell’UE sulla protezione dei dati (RGPD-UE), che entrerà in vigore il 25 maggio del 2018, avrà ripercussioni dirette per molte imprese svizzere.
Valutazione globale da parte dell’IFPDT
L’IFPDT è d’accordo con i punti centrali della revisione. Rimangono tuttavia alcune differenze dovute in gran parte al fatto che il disegno sottoposto prevede, dal punto di vista sia terminologico che contenutistico, differenze rispetto al RGPD-UE e alla Convenzione STE 108 riveduta del Consiglio d’Europa. Secondo l’IFPDT, molte di queste differenze sono inopportune in quanto, fra le altre cose, complicherebbero inutilmente la situazione giuridica per quei settori dell’economia e dell’amministrazione svizzera che devono applicare direttamente il RGPD-UE.
Aspetti positivi
L’IFPDT apprezza segnatamente il fatto che la trasparenza del trattamento dei dati venga aumentata estendendo l’obbligo di informare la persona interessata in occasione della raccolta dei dati a tutti i trattamenti da parte dei privati, indipendentemente dal grado di sensibilità dei dati. Approva inoltre l’introduzione di una valutazione d’impatto sulla protezione dei dati per i progetti di imprese private o autorità che comportano un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Viene anche esteso, a vantaggio della persona interessata, l’obbligo di informare in merito al diritto d’accesso. L’IFPDT ritiene che un altro miglioramento venga realizzato con la promozione dell’autoregolazione, ottenuta attraverso codici di condotta tesi ad agevolare le attività dei titolari del trattamento e a migliorare il rispetto della legge. Un altro aspetto positivo è costituito dall’esplicita menzione dei principi di trattamento denominati «privacy by design» e «privacy by default». Inoltre vengono potenziate l’indipendenza e la posizione dell’Incaricato. La revisione prevede che quest’ultimo, analogamente ai suoi omologhi europei, possa aprire un’inchiesta, d’ufficio o a querela di parte, nei confronti dei titolari del trattamento e dei responsabili del trattamento e possa emanare una decisione al termine dell’inchiesta. L’IFPDT prende atto che il Consiglio federale gli prospetta mezzi supplementari per l’esecuzione della nuova legge.
Divergenze rimanenti
Fra le divergenze rimanenti figura l’assenza del diritto alla portabilità dei dati, che agevolerebbe gli utenti nel controllo sui loro dati personali. Nel disegno non è neppure stata integrata l’inversione dell’onere della prova a favore delle persone interessate nella procedura civile. L’IFPDT avrebbe inoltre gradito che la nuova legge sulla protezione dei dati – analogamente al RGPD-UE – menzionasse espressamente che la legge si applicherà anche a titolari del trattamento di dati che non hanno sede in Svizzera ma il cui trattamento esplica effetti nel nostro Paese e interessa persone domiciliate in Svizzera. Tali imprese sarebbero inoltre state obbligate ad avere un interlocutore in Svizzera affinché le persone interessate potessero usufruire più facilmente dei loro diritti.
Il nuovo diritto svizzero avrebbe dovuto prescrivere, alle stesse condizioni del RGPD-UE, la designazione di responsabili aziendali della protezione dei dati alle imprese che sottostanno comunque al RGPD-UE. La stessa cosa si può dire dei codici di condotta. Le associazioni e i settori svizzeri dovrebbero sottoporre i codici di condotta all’IFPDT alle stesse condizioni secondo cui devono sottoporli, conformemente al RGPD-UE, alle autorità competenti per la protezione dei dati nell’UE. Sarebbe inoltre necessario obbligare a realizzare una valutazione d’impatto dei rischi anche le imprese che hanno nominato un consulente per la protezione dei dati e prevedere un obbligo di certificazione per i trattamenti particolarmente rischiosi.
L’IFPDT ritiene che le sanzioni proposte (tetto massimo delle multe di 250 000 fr.) abbiano un effetto deterrente troppo limitato rispetto al RGPD-UE (20 mio. di euro o il 4 % del fatturato annuo). Teme inoltre che nella prassi le sanzioni colpirebbero soprattutto il personale subalterno delle imprese inadempienti anziché le imprese stesse. Lamenta pure l’assenza di sanzioni di diritto penale amministrativo.
Infine dovrebbe essere il Parlamento, e non il Consiglio federale, ad approvare il preventivo dell’IFPDT, analogamente a quanto avviene nei confronti di altre autorità di vigilanza indipendenti quali il Controllo federale delle finanze o l’Autorità di vigilanza sul Servizio delle attività informative.
Regolamentazione insufficiente del trattamento dei dati nella nuova legge sulla polizia doganale
11.09.2020 - Il Consiglio federale ha inviato oggi in consultazione la «legge sui compiti d’esecuzione dell’UDSC», facente parte di un pacchetto legislativo con cui intende istituire la base giuridica per il programma di digitalizzazione e trasformazione (DaziT) dell’Amministrazione federale delle dogane (link). Si tratta di un progetto di ampia portata rilevante sotto il profilo finanziario e sensibile nell’ottica della protezione dei dati. Nel nuovo ufficio di polizia doganale, l’UDSC, confluiranno l’Amministrazione delle dogane e il Corpo delle guardie di confine ad essa integrato. Tutto il personale avrà attribuzioni di polizia e quindi competenze coercitive in materia di raccolta dei dati.
Durante la consultazione degli uffici l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha invano segnalato all’Amministrazione federale delle dogane che dal suo punto di vista le disposizioni previste in materia di trattamento dei dati personali contengono gravi lacune. Tali disposizioni trascurano in particolare la facoltà assicurata ai cittadini, secondo la legislazione in materia di protezione dei dati, di valutare sia i trattamenti di dati da parte dello Stato suscettibili di ingerirsi nella sfera privata e limitarne l’autodeterminazione, sia i diritti di protezione di cui dispongono per opporvisi.
L’Incaricato ha consigliato al Consiglio federale di fare in modo che il Governo e il Parlamento, in quanto organi politici della Confederazione, si riservino il diritto di disciplinare sia gli aspetti essenziali dei trattamenti di dati, che saranno ora gestiti in un unico sistema della polizia doganale, sia le interfacce verso tale sistema. Così com’è concepito attualmente, il progetto lascia al nuovo ufficio di polizia doganale la libertà di trattare i dati personali nel proprio sistema, sulla base di tutta una serie di compiti amministrativi, fiscali, di polizia e di diritto penale, secondo direttive ampiamente autonome e di interconnettere le informazioni a piacimento. Dal rapporto esplicativo non è desumibile alcuna motivazione convincente della necessità di scostarsi in maniera così incisiva dalla vigente legge sulle dogane.
A queste lacune del trattamento dei dati relative ai principi dello Stato di diritto si aggiungono lacune normative d’ordine materiale. Ad esempio, il concetto di «analisi dei rischi», menzionato 44 volte nel testo di legge, attraversa come un filo rosso il progetto senza che dal testo di legge si possa dedurre in modo sufficientemente chiaro in cosa consista questo metodo di trattamento in base al quale il nuovo ufficio di polizia doganale potrà trattare dati personali degni di particolare protezione concernenti fra l’altro la sfera intima o le opinioni religiose, filosofiche e politiche.
Tenendo conto di queste osservazioni, il Consiglio federale ha incaricato l’Amministrazione di rielaborare le disposizioni sul trattamento dei dati, come si accenna nei documenti della consultazione. L’Incaricato approva tale passo. Si è impegnato invano affinché tali disposizioni fossero rielaborate prima dell’apertura della consultazione.
Revisione della LAMal: IFPDT per la trasparenza nei modelli di prezzo
20.08.2020 - L'Incaricato si dichiara contrario all'intenzione del Consiglio federale di escludere dalla legge sulla trasparenza i documenti relativi ai modelli di prezzo per l'approvazione dei prezzi dei medicamenti.
Il Consiglio federale ha lanciato ieri una procedura di consultazione per una revisione parziale della legge federale sull’assicurazione malattie LAMal. L’avanprogetto prevede tra le altre cose un’eccezione all’accesso di tutti i documenti riguardanti il sistema dei modelli di prezzo e il relativo rimborso nell’assicurazione obbligatoria delle cure medico-sanitarie. L’inserimento di una disposizione di segretezza nella LAMal contrasta con il principio di trasparenza, motivo per cui l’Incaricato già nella consultazione degli uffici si era dichiarato contrario.
L’Incaricato considera quindi indispensabile che la popolazione possa continuare a seguire e controllare la prassi dell’UFSP in materia di approvazione dei prezzi.
20.04.2020 - L’Associazione Libra ha presentato una richiesta d’autorizzazione alla FINMA e intensifica i suoi lavori sul concetto di protezione dei dati.
Il 16 aprile 2020 l'Associazione Libra ha comunicato all'IFPDT di aver presentato alla FINMA una richiesta di autorizzazione quale sistema di pagamento (cf. informazioni pubblicate dalla FINMA). Ha pure informato l'IFPDT di proseguire ed intensificare i lavori sul concetto di protezione dei dati.
19.09.2019 - In occasione di un incontro a Berna con l’IFPDT, l’Associazione Libra ha ribadito la propria intenzione di sviluppare uno standard uniforme di protezione dei dati per tutto il sistema. L’Associazione coinvolgerà l’IFPDT già nelle fasi iniziali della sua attività di sviluppo al fine di soddisfare sin da subito i requisiti in materia di protezione dei dati.
Lo scorso 17 settembre l’Incaricato ha incontrato a Berna alcuni rappresentanti dell’Associazione, dopo che quest’ultima gli aveva trasmesso entro i termini richiesti la documentazione sollecitata sul progetto Libra.
L’Associazione Libra ha ribadito la propria intenzione di sviluppare uno standard uniforme di protezione dei dati per il sistema, allineandosi così alla posizione dell’IFPDT, che in questo modo vuole ottenere un elevato livello di protezione dei dati personali degli utenti.
L’associazione Libra coinvolgerà l’IFPDT già nelle fasi iniziali della sua attività di sviluppo al fine di soddisfare sin da subito i requisiti in materia di protezione dei dati (privacy by design). L’Associazione effettuerà una valutazione dei rischi e attuerà le misure necessarie − anche a livello organizzativo, con ad esempio la creazione di un servizio per la protezione dei dati – per raggiungere uno standard uniforme di protezione dei dati.
3o aggiornamento concernente il progetto Libra
23.08.2019 - La Libra Association ha inviato all'IFPDT la prima parte dei documenti richiesti in tempo utile. Ulteriori documenti e informazioni esplicative seguiranno nelle prossime settimane.
Questi contributi serviranno all’IFPDT per l'esame delle sue competenze e per la pianificazione delle attività future. A tempo debito l'IFPDT informerà il pubblico dell'esito dellaverifica della sua competenza e di ogni altro provvedimento che dovesse adottare.
L'IFPDT parteciperà al prossimo incontro con il U.S. House Committee on Financial Services e gli informerà personalmente sullo stato attuale della procedura in corso.
2o aggiornamento concernente il progetto Libra
06./08.08.2019 -Le autorità di protezione dei dati del Regno Unito e di altri Paesi hanno pubblicato una dichiarazione congiunta con cui chiedono una maggiore trasparenza sul progetto Libra da parte dei promotori. L'IFPDT è in contatto con il comitato europeo per la protezione dei dati (EDPB) e la Conferenza internazionale delle autorità di protezione dei dati personali (ICDPPC).
Poiché il progetto Libra e la sua rete globale rientrano nella sfera di competenze dell’IFPDT – come in quella di tutte le altre autorità di protezione dei dati – l’IFPDT intende sostenere la comunità globale delle autorità di protezione dei dati nei suoi sforzi congiunti per proteggere le persone. Per questo motivo è in contatto con l'EDPB e l'ICDPPC.
Tuttavia, in qualità di autorità svizzera di protezione dei dati, l'IFPDT è tenuto a svolgere i suoi compiti legali nei confronti della sede ginevrina dell'Associazione Libra. L'IFPDT ha pertanto avviato una procedura ufficiale volta a chiarire le sue competenze nei confronti dell'associazione con sede a Ginevra. Nel frattempo quest'ultima ha nominato uno studio legale svizzero e ha accettato di fornire informazioni più dettagliate sul progetto, come richiesto dall'IFPDT nella lettera del 17 luglio 2019. L'IFPDT analizzerà le informazioni promesse innanzitutto per valutare in che misura sono applicabili le sue competenze consultive e di vigilanza. Solo allora potrà aderire a una qualsiasi dichiarazione oppure esprimersi sul progetto Libra e sulla sua rete nel suo insieme.
29.07.2019 - La Libra Association ha risposto alla lettera dell'IFPDT del 17 luglio 2019 e ha promesso una risposta tempestiva. Si incontrerà con l'IFPDT nelle prossime settimane per una serie di colloqui. L'IFPDT informerà l’opinione pubblica sui passi successivi non appena avrà analizzato le informazioni promesse e avrà ottenuto una panoramica dello stato attuale del progetto.
10.03.2020 - Le autorità federali di polizia non utilizzano software di riconoscimento facciale.
Nella sua comunicazione dell'11.02.2020 (vedi qua sotto) l'IFPDT ha spiegato dettagliatamente perché considera l'acquisizione non autorizzata di dati facciali una violazione della sfera privata.
In risposta alla nostra richiesta (cf. la dichiarazione del 21.01.2020 qua sotto), le direzioni di Fedpol, dell’AFD e del SIC hanno confermato di non utilizzare né intendono utilizzare software come Clearview nelle loro attività.
Tuttavia, la richiesta di informazioni e di cancellazione dell’Incaricato del 24 gennaio 2020 non ha ancora ricevuto risposta da Clearview, motivo per cui ha emesso un avviso all'azienda.
L’acquisizione non autorizzata di dati inerenti al riconoscimento facciale è lesiva della personalità
11.02.2020 - A complemento della sua comunicazione in merito all’applicazione Clearview, l’IFPDT precisa la sua posizione sull’acquisizione massiccia e il trattamento di dati inerenti al riconoscimento facciale attraverso Internet.
Anche se i dati inerenti al riconoscimento facciale non sono di per sé da considerare degni di particolare protezione ai sensi dell’articolo 3 lettera c della legge federale sulla protezione dei dati (LPD), l’acquisizione massiccia di questo tipo di dati da fonti accessibili in Internet rappresenta una lesione della personalità ai sensi dell’articolo 12 capoverso 2 lettera a LPD, se il loro trattamento lede i principi sanciti negli articoli 4, 5 capoverso 1 e 7 capoverso 1. Chi, senza autorizzazione, acquisisce in modo massiccio dati inerenti al riconoscimento facciale e li tratta per scopi non menzionati al momento della raccolta, non risultanti dalle circostanze o non previsti da una legge, lede i principi della trasparenza, della proporzionalità e della finalità.
Questi principi valgono per tutti i trattamenti di dati riguardanti persone in Svizzera, indipendentemente dal fatto che chi li tratta proceda, manualmente o con l’impiego di robot, all’acquisizione di dati in Svizzera o all’estero senza preventivo consenso.
Lo scaricamento non autorizzato è difficilmente giustificabile
Se una persona ha affidato i propri dati inerenti al riconoscimento facciale a una rete sociale che nelle sue condizioni generali («Terms of Service») vieta in linea di principio l’acquisizione automatica di dati o il cosiddetto «Crawling», significa che quale utente di questa rete tale persona proibisce espressamente il trattamento di dati da parte di terzi. Se questi dati sono scaricati dalla rete sociale da terzi senza autorizzazione, si può concludere che vi è un'illecita lesione della personalità, salvo se il trattamento è giustificato da un interesse preponderante privato o pubblico oppure dalla legge conformemente all’articolo 13 LPD. Nella prassi giustificazioni di questo genere dovrebbero presentarsi piuttosto raramente.
Il confronto con immagini del volto richiede il consenso
Secondo l’articolo 13 capoverso 1 LPD non vi è invece lesione della personalità se la persona interessata ha reso i dati accessibili a tutti e non si è opposta espressamente al loro trattamento. Questa regola non può essere applicata se, in violazione del principio di trasparenza, i dati relativi al riconoscimento facciale dell’interessato sono confrontati con dati acquisiti senza autorizzazione – come evidenziato in precedenza – da una rete sociale o da una piattaforma in Internet. L’IFPDT sconsiglia pertanto di effettuare confronti con immagini del volto senza il consenso dell’interessato.
Chi costituisce banche di dati biometrici centralizzate e le mette a disposizione in particolare di autorità penali per consentire confronti lede gravemente il principio di trasparenza, poiché questo tipo di trattamento eccede di gran lunga gli scopi usuali dei motori di ricerca e gli interessati non possono prevedere una simile sottrazione a scopo di impiego non autorizzato delle immagini del loro volto.
Responsabilità di chi tratta i dati e dei gestori delle piattaforme sociali
Le immagini tratte da reti sociali possono essere trasmesse scientemente soltanto in conformità con le impostazioni predefinite scelte dagli interessati nonché con i «Terms of Service» rispettivamente con le disposizioni di utilizzazione. L’acquisizione di dati da parte di terzi contro le disposizioni delle reti sociali costituisce in linea di principio un'esportazione incontrollata di dati personali (Data Breach), per la quale devono rispondere sia chi tratta i dati sia i gestori delle piattaforme. Se i dati sono acquisiti o trasmessi da utenti della rete sociale, si è in presenza di una violazione delle condizioni di utilizzazione la cui responsabilità ricade sia sugli utenti in questione sia sui gestori della piattaforma.
Conclusione: nella prassi l’acquisizione non autorizzata di dati inerenti al riconoscimento facciale a scopo di ulteriore trattamento con tecnologie automatizzate per il riconoscimento facciale è raramente conforme ai principi in materia di trattamento dei dati della LPD. Di regola tali trattamenti necessitano di una base legale conforme alla Costituzione, per quanto concerne le autorità, rispettivamente del consenso, per quanto concerne i privati.
Che cosa intraprende l’Incaricato?
Oltre agli accertamenti concreti svolti nel caso Clearview (cfr. dichiarazione del 21.01.2020 sotto), nei limiti delle sue competenze legali l’Incaricato farà di tutto per proteggere la popolazione svizzera da acquisizioni non autorizzate di immagini del volto. Continuerà inoltre ad impegnarsi, affinché la popolazione svizzera possa muoversi liberamente nello spazio pubblico nel rispetto dell’anonimato, sia a piedi che con i mezzi di trasporto.
21.01.2020 - L’IFPDT ha preso atto dell’articolo pubblicato sul New York Times il 18 gennaio 2020 e, in merito all’applicazione Clearview creata da un'impresa privata menzionata nell’articolo, si è espresso come segue:
la rete Internet pubblicamente accessibile contiene dati inerenti il riconoscimento facciale che, tramite un confronto incrociato tra attributi personali quali il nome o i dati geografici, possono essere ricondotti a miliardi di persone in tutto il mondo;
a fronte dei possibili rischi per la loro privacy, l’IFPDT consiglia per esempio agli utenti delle reti sociali di scegliere nelle impostazioni predefinite di impedire l’accesso dei motori di ricerca al materiale fotografico (v.link);
l’IFPDT presume che, nella fase di acquisizione dei dati inerenti il riconoscimento facciale, gli offerenti dell'applicazione Clearview commettano una violazione della sfera personale degli interessati in Svizzera, come pure delle condizioni d’uso delle reti sociali interessate;
l’IFPDT sconsiglia pertanto a privati e alle autorità in Svizzera di elaborare i dati ottenuti tramite Clearview; a questo proposito, l’IFPDT informerà anche le autorità di perseguimento penale della Confederazione;
in nome degli interessati in Svizzera, l’IFPDT invierà una richiesta di informazioni e di cancellazione dei dati trattati che lo concernono. In seguito informerà il pubblico circa la gestione delle sue richieste da parte di Clearview.
Facebook introduce in Svizzera nuove funzioni relative alle elezioni
17.10.2019 - Dalla vigilia delle elezioni federali del 20 ottobre 2019 Facebook introdurrà sulla sua piattaforma sociale alcune funzioni rivolte direttamente agli aventi diritto di voto svizzeri. È quanto ha confermato l’azienda su richiesta dell’Incaricato federale della protezione dei dati. L’IFPDT è soddisfatto della trasparenza annunciata.
Dopo aver preso atto da rapporti che Facebook intende introdurre sulla propria piattaforma sociale alcune funzioni elettorali come il pulsante «Votare» in vista delle elezioni parlamentari svizzere del 2019, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha interpellato l’azienda invitandola ad esprimersi in merito.
Nella sua lettera l’IFPDT ha fatto riferimento ai numeri 5.3 e 7 delle sue Linee guida, ribadendo che anche i gestori di piattaforme sociali sono esortati a informare in modo corretto e completo in merito al trattamento dei dati e al funzionamento dei metodi introdotti a tale scopo. Soltanto grazie a una tale trasparenza i votanti possono valutare se e come il trattamento dei loro dati, basato sulle corrispondenti applicazioni, abbia un impatto sulla formazione delle opinioni o sul comportamento in materia di voto.
Facebook Ireland Ltd. ha confermato che sulla sua piattaforma sociale saranno introdotte corrispondenti funzioni alla vigilia delle elezioni e il giorno delle stesse. Ha intenzione di ricordare la data delle elezioni in Svizzera a tutti gli utenti di Facebook che hanno compiuto 18 anni. Non è prevista una selezione di gruppi o di persone.
Secondo le assicurazioni scritte di Facebook le funzioni introdotte mirano soltanto a sensibilizzare gli utenti in merito alle imminenti elezioni e a promuoverne anche la partecipazione, dal momento che le persone interessate possono ad esempio postare sul proprio profilo di aver votato. Facebook sottolinea che a questo proposito non saranno analizzati i dati relativi alle opinioni politiche dei singoli utenti.
Facebook ha inoltre assicurato che l’azienda avrebbe tenuto conto delle esigenze in materia di trasparenza espresse nelle nostre Linee guida. Le persone interessate devono poter accedere a un’informazione a più livelli sulle funzioni introdotte, sui metodi e sulle relative basi di trattamento grazie a collegamenti ipertestuali. cfr. in merito i seguenti link:
Controversie fiscali statunitensi - Il Tribunale amministrativo federale protegge i diritti fondamentali
10.09.2019 - Con decisione del 3 settembre 2019, il Tribunale amministrativo federale (TAF) ha accolto il ricorso dell'IFPDT contro l'Amministrazione federale delle contribuzioni (AFC) e il Dipartimento federale delle finanze (DFF). Nella sua sentenza, il tribunale giunge alla conclusione che, nell'assistenza fiscale internazionale, le persone non formalmente interessate dalla domanda di assistenza amministrativa i cui nomi devono essere trasferiti, in linea di principio, devono essere preventivamente informate ai sensi della legge sull'assistenza fiscale.
Il tribunale segue quindi la raccomandazione dell'IFPDT di oscurare tali nomi e di concedere il diritto di essere sentiti prima del trasferimento. L’Incaricato accoglie con favore la sentenza in quanto tutela i diritti fondamentali dei dipendenti delle banche e di altri terzi. Ora si aspetta che l'AFC trovi soluzioni conformi alla protezione dei dati.
Il TAF intima le autorità competenti di attuare la sentenza e di disciplinare in modo adeguato le eccezioni. La sentenza non è ancora entrata in giudicato.
Postfinance: nessuna parità di trattamento dei clienti svizzeri secondo il diritto vigente
30.08.2019 - Con lettera del 13 giugno 2019 Postfinance SA ha ribadito, su domanda dell’IFPDT, che i suoi clienti svizzeri devono tuttora attivarsi, negando esplicitamente il loro consenso, se non vogliono l’autenticazione mediante impronta vocale. Per i clienti stranieri Postfinance prevede invece che l’autenticazione mediante impronta vocale sia oggetto di un consenso esplicito. La disparità di trattamento criticata pubblicamente dall’IFPDT (trasmissione SRF 10vor10 del 20.5.2019) rimane pertanto irrisolta..
Postfinance SA fa valere nei confronti dell’Incaricato che questo «diverso trattamento» è da ricondurre ai requisiti divergenti posti dal diritto applicabile e che la trasposizione del diritto estero alle relazioni contrattuali all’interno del Paese è un processo politico riservato al legislatore. Postfinance SA continuerà pertanto a trattare in modo non paritario i clienti svizzeri sintanto che le norme svizzere sulla protezione dei dati non saranno adeguate a quelle dell’UE.
Indirizzi e-mail errati presso Swisscom
29.08.2019 - Grazie ad una segnalazione di un cittadino, l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha appreso che un cliente Swisscom ha ricevuto alcune e-mail che non gli erano destinate.
L'IFPDT ha confrontato Swisscom con questa segnalazione e le ha chiesto di esprimersi al riguardo. Nella sua risposta, l’azienda ha dichiarato di essere già a conoscenza del problema a seguito di segnalazioni dei clienti, di aver istituito una task force e di averle commissionato un'analisi dei rischi. Ne è risultato che un sistema di clienti conteneva indirizzi e-mail registrati in modo generico e che questi indirizzi non erano stati attribuiti ai clienti corretti. Di conseguenza, alcune e-mail sono state inviate a conti estranei. Secondo quanto comunicato da Swisscom, nel frattempo sono stati individuati gli indirizzi attribuiti in modo errato e ci si è immediatamente assicurati di non inviare loro più e-mail. Per quanto possibile, le e-mail inviate per sbaglio sono state eliminate dai conti dei destinatari non autorizzati. Inoltre secondo l’azienda, non vi sono indicazioni di uso scorretto delle e-mail inviate per sbaglio. Swisscom sta inoltre adattando i propri processi in modo da poter prevenire tali incidenti.
L'IFPDT ha preso atto dei provvedimenti immediati avviati in base all’analisi dei rischi di Swisscom. L'IFPDT continuerà a seguire la situazione, ma può per il momento astenersi dal formulare ulteriori raccomandazioni d'intervento sulla base dei provvedimenti avviati da Swisscom.
26o Rapporto d'attività 2018/19: la Svizzera deve mantenere alto il livello di protezione dei dati
18.06.2019 - L’IFPDT si aspetta che Consiglio federale e Parlamento continuino a garantire alla popolazione svizzera un livello di protezione armonizzato a quello europeo, firmando quanto prima la Convenzione 108 del Consiglio d’Europa e concluden-do in tempi brevi la revisione totale della legge federale sulla protezione dei dati.
Helsana+: la sentenza del Tribunale amministrativo federale è passata in giudicato
15.05.2019 - Scaduto il termine utile per il ricorso al Tribunale federale, la sentenza del Tribunale amministrativo federale del 19 marzo 2019 relativa a Helsana+ è passata in giudicato. Il Tribunale amministrativo federale ha preso importanti decisioni; l’IFPDT ne valuterà l’attuazione da parte di Helsana.
Helsana+: la raccolta di dati presso l’assicurazione di base era illegale
29.03.2019 - Sentenza del Tribunale amministrativo federale del 19 marzo 2019: la Helsana Assicurazioni complementari SA si è procurata illecitamente dati personali per il programma bonus «Helsana+» presso gli assicuratori di base. Secondo tale sentenza, gli altri trattamenti di dati sono ammissibili poiché non è stata violata alcuna disposizione a tutela della personalità.
2a Giornata digitale – L’economia deve investire in tecnologie conformi ai principi della protezione dei dati
23.10.2018 - Le imprese dovrebbero investire in tecnologie conformi ai principi della protezione dei dati e offrire ai loro clienti effettive possibilità di scelta. È quanto auspica l’IFPDT in occasione della 2a Giornata digitale svizzera lanciando un appello all’economia affinché utilizzi il suo slancio innovativo anche per garantire autonomia decisionale ai propri clienti.
Le imprese oggi investono molti capitali nel processo di digitalizzazione. In occasione della 2a Giornata digitale svizzera, l’Incaricato federale per la protezione dei dati e la trasparenza (IFPDT), Adrian Lobsiger, auspica che l’economia utilizzi il suo slancio innovativo anche per garantire l’autodeterminazione dei propri clienti. Essi dovrebbero poter decidere in modo autonomo per quali scopi mettere a disposizione i loro dati e quando invece tenerli per sé. L’economia dovrebbe quindi investire nelle tecnologie che offrono agli utenti effettive possibilità di scelta.
L’IFPDT auspica inoltre che, nonostante l’acquisizione di grandi quantità di dati, lo Stato di diritto e democratico riesca a tutelare la sfera privata e l’anonimato dei propri cittadini e non indaghi sull’identità dei singoli. In caso di dubbio si deve attribuire maggior peso alla libertà del singolo piuttosto che alla sicurezza collettiva.
Per questi motivi l’IFPDT lancia un appello all’economia e allo Stato affinché tengano conto di queste aspettative e agiscano di conseguenza, e li sprona ad affrontare la crescita globale dei dati digitali con investimenti efficaci negli strumenti a tutela della protezione dei dati.
Controversie fiscali statunitensi - reclamo contro la decisione del Dipartimento federale delle finanze
10.10.2018 - Il 5 ottobre 2018 l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha presentato ricorso al Tribunale amministrativo federale contro l'ordinanza del Dipartimento federale delle finanze (DFF) del 20 settembre 2018. Con questa decisione, l'IFPDT ha respinto la richiesta dell'IFPDT di informare anticipatamente i terzi interessati da un trasferimento di dati all'estero nell'ambito della legge sull'assistenza amministrativa fiscale. Nella sua denuncia, l'IFPDT mantiene la sua richiesta relativa al diritto all'informazione.
Per ulteriori informazioni:
Aggiornamento sul contenzioso fiscale con gli Stati Uniti del 9 agosto 2018 (v. in basso)
Aggiornamento sul contenzioso fiscale con gli Stati Uniti
09.08.2018 - A causa dell'attesa decisione del dipartimento competente, al momento non è chiaro quale sia l'effettiva prassi dell'Amministrazione federale delle contribuzioni (AFC) in materia di trasmissione dei dati.
Nel chiarire i fatti relativi al trasferimento di dati personali da parte dell'AFC nell'ambito dell'assistenza amministrativa in materia fiscale tra la Svizzera e gli Stati Uniti, l'IFPDT ha concluso che, nell'ambito dell'assistenza amministrativa internazionale in materia fiscale, le persone non formalmente interessate dalla richiesta di assistenza amministrativa, i cui nomi devono essere resi noti, ossia non anneriti, devono essere preventivamente informate ai sensi dell'articolo 14 capoverso 2 della legge sull'assistenza amministrativa fiscale. Di conseguenza, il 18 dicembre 2017, in una raccomandazione formale, abbiamo chiesto che il diritto all'informazione sia preso in considerazione nell'assistenza fiscale internazionale.
Il 18 gennaio 2018 l'AFC ha respinto la nostra raccomandazione e il 13 febbraio 2018 l’IFPDT ha sottoposto la questione al Dipartimento federale delle finanze (DFF). A tutt'oggi non è stata presa una decisione. Non appena saremo a conoscenza della posizione del DFF, potremo decidere in merito a un eventuale ricorso al Tribunale amministrativo federale. L'IFPDT ha invitato il dipartimento competente a prendere rapidamente una decisione nell'interesse degli interessati.
25o Rapporto annuale: prima autodeterminazione, poi sicurezza
25.06.2018 - Monitorare grandi progetti digitali continua a rappresentare l’attività principale dell’IFPDT. La legge sull’eID come fondamento per utilizzare una SwissID, il rapporto sui rischi legati all’impiego del numero AVS quale identificatore personale universale, le condizioni per l’e-ticketing o le app nei trasporti pubblici (TP) evidenziano questa priorità. Come autorità di vigilanza l’Incaricato ha dovuto intervenire contro l’elaborazione dei dati degli assicurati di base all’assicurazione malattie e concentrarsi sulla fuga di dati di numerose grandi aziende.
Come Incaricato della trasparenza l’IFPDT ha potuto aumentare notevolmente l’efficienza della sua procedura di mediazione e prendere atto che il Consiglio nazionale si fa garante, senza aver espresso voti contrari, affinché la trasparenza in materia di acquisti pubblici sia assicurata e il principio di trasparenza non diventi una farsa.
Programma bonus Helsana+: l’IFPDT fa ricorso al tribunale
19.06.2018 - A fine aprile l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) aveva raccomandato ad Helsana assicurazioni integrative SA di interrompere, nell’ambito del programma di bonus, il trattamento dei dati degli affiliati assicurati nell’assicurazione di base allo scopo di calcolare e versare rimborsi in denaro. L’assicurazione ha rifiutato questa raccomandazione. L’IFPDT ha portato ora il caso davanti al Tribunale amministrativo federale.
Il Consiglio nazionale vuole mantenere la trasparenza negli acquisti pubblici
18.06.2018 - Il Consiglio nazionale mantiene il principio di trasparenza negli gli acquisti pubblici. Tale decisione è stata presa all’unanimità nell’ultima settimana della sessione parlamentare estiva nel quadro della deliberazione di dettaglio sulla revisione totale della legge federale sugli acquisti pubblici (LAPub). Il Consiglio nazionale respinge così la limitazione del principio di trasparenza proposta dal Consiglio federale.
Infrastruttura ferroviaria: il Parlamento stabilisce un’eccezione alla legge sulla trasparenza
31.05.2018 - Dopo il Consiglio nazionale, ora anche il Consiglio degli Stati vuole escludere dal campo di applicazione della legge sulla trasparenza le attività di vigilanza dell’Ufficio federale dei trasporti (UFT) nell’ambito della sicurezza dei trasporti pubblici. L’Incaricato federale della protezione dei dati prende atto di questa decisione.
Decathlon Svizzera – l'IFPDT apre una procedura di accertamento dei fatti
07.05.2018 - L'IFPDT ha preso conoscenza del fatto che la Decathlon Svizzera obbliga i potenziali acquirenti di merci nei suoi negozi di fornire all'azienda informazioni personali di contatto. Dopo una prima corrispondenza con la Decathlon Svizzera, l'IFPDT è giunto alla conclusione che il trattamento dei dati dalla Decathlon deve essere analizzato in modo più approfondito. Per questo motivo, il 3 maggio 2018 l'IFPDT ha aperto un'inchiesta ai sensi dell'art. 29 LPD.
L’Incaricato federale della protezione dei dati ha emesso una raccomandazione riguardo al programma bonus Helsana+
27.04.2018 – Allo scopo di rimborsare parzialmente i premi agli affiliati del gruppo Helsana assicurati nell’assicurazione di base, i loro dati vengono trattati con l’applicazione Helsana+. In assenza di una base legale, l’IFPDT raccomanda di interrompere tale trattamento.
12.02.2018 - Dopo la notifica all' IFPDT, in data 9 febbraio 2018, di un presunto accesso non autorizzato ai dati di un cliente Swisscom, lo stesso giorno l’IFPDT ha chiesto alla Swisscom di prendere posizione sull’avvenuto in applicazione dell'art. 29 cpv. 2 della LPD.
I primi chiarimenti da parte della Swisscom non hanno confermato alcuna relazione con il furto di dati segnalato il 7 febbraio 2018. L' IFPDT richiede alla Swisscom ulteriori informazioni in merito al rischio di possibili danni derivati.
Accesso non autorizzato ai dati di clienti Swisscom
Berna, 07.02.2018 – La Swisscom ha informato l’Incaricato che durante l’autunno scorso si sono verificati degli accessi non autorizzati ai dati di circa 800’000 clienti. Secondo le informazioni in possesso dell’Incaricato, si tratterebbe del nome, cognome, indirizzo, data di nascita e numero di cellulare di utenti di cellulare privati e di alcuni abbonati di rete fissa.
Fuga di dati in una società di recupero crediti – l’IFPDT avvia una procedura di accertamento dei fatti
05.01.2018 – Secondo un articolo pubblicato dalla Süddeutsche Zeitung il 27 dicembre 2017, l’anno scorso la società di recupero crediti EOS è stata vittima di una fuga di dati, durante la quale sono stati trasmessi svariati gigabyte di dati personali. Tra le persone colpite figurano in particolare pazienti di medici svizzeri. La società di recupero crediti ha informato l’IFPDT della presunta fuga di dati poco prima della pubblicazione dell’articolo. Allo scopo di chiarire gli aspetti relativi alla protezione dei dati, il 28 dicembre l’IFPDT ha avviato una procedura di accertamento dei fatti nei confronti di EOS Svizzera.
Nel contempo ricorda ai medici che possono trasmettere a terzi unicamente i dati dei propri pazienti effettivamente necessari per la fatturazione o il recupero dei crediti. Sono invece punibili se trasmettono a terzi in modo ingiustificato informazioni mediche relative ai propri pazienti.
Impiego di strumenti digitali per gestire campagne a fini politici
19.10.2017 - Alcuni raggruppamenti politici e altre associazioni d'interesse utilizzano applicazioni digitali per esempio per integrare determinate azioni sul loro sito Internet, in vista di pianificare e svolgere le stesse per interagire con gruppi
mirati di persone. L'Incaricato federale della protezione dei dati e della trasparenza ha elaborato un promemoria in merito alla compatibilità di tali strumenti con la protezione della sfera privata ed il diritto all'autodeterminazione in materia di informazione dei cittadini.
12.10.2017 - L'IFPDT ha preso atto del programma bonus Helsana+ che intende incoraggiare gli assicurati a condurre una vita più sana. Il programma è stato lanciato il 25 settembre 2017. Per verificare se i dati personali vengono trattati correttamente, l'11 ottobre l'IFPDT ha aperto una procedura di accertamento dei fatti. Essenzialmente, l'indagine ha lo scopo di chiarire se nel programma saranno trattati anche dati attinenti l'assicurazione obbligatoria.
Stima dei rischi legati all’utilizzazione del numero AVS quale identificatore personale
03.10.2017 - Per chiarire i particolari rischi connessi all'impiego di un identificatore personale l'Ufficio federale di giustizia (UFG) e l'IFPDT hanno commissionato una valutazione esterna intesa a illustrare i rischi eventuali che possono insorgere nell'utilizzazione del numero AVS o di identificatori alternativi. I risultati dello studio, condotto da David Basin, professore di sicurezza informatica al PF di Zurigo, sono ora disponibili.Il mandato di studio è stato attribuito in seguito alle numerose discussioni svolte in passato in Parlamento circa l'impiego del numero AVS quale identificatore personale al di fuori del settore delle assicurazioni sociali. Recentemente se ne è parlato in occasione di un pacchetto concernente il registro fondiario (14.034 CC. Atti dello stato civile e registro fondiario), sul quale la Commissione degli affari giuridici del Consiglio nazionale si chinerà nuovamente a fine ottobre 2017. Già precedentemente, il 1° febbraio 2017, il Consiglio federale ha conferito l'incarico di elaborare un progetto normativo volto ad agevolare l'impiego del numero AVS da parte delle autorità della Confederazione, dei Cantoni e dei Comuni al di fuori del settore delle assicurazioni sociali.
Outsourcing in ambito medico: i fornitori vogliono informare di più
01.09.2017 - A metà agosto 2017, l'IFPDT ha scritto a due aziende incaricate della fatturazione per conto dei medici, invitandoli a una maggiore trasparenza. Per alcuni pazienti risulta talvolta poco chiaro come vengono elaborati i loro dati e se questi ultimi sono trasmessi a terzi. Sia la Cassa dei Medici sia Swisscom Health si dichiarano ora disposte a informare in futuro meglio i pazienti, pubblicando sui propri siti Internet regolamenti ed elementi dei contratti relativi alle singole prestazioni. Le due aziende sottoporranno prossimamente all'IFPDT le loro proposte per l'attuazione di quest'obiettivo.
L’IFPDT chiede maggior trasparenza nell’outsourcing in ambito medico
17.08.2017 - In ambito sanitario è prassi comune tra i medici affidare la fatturazione a fornitori di servizi esterni come la Cassa dei Medici o Swisscom Health. Per garantire la protezione della sfera privata dei pazienti è importante che questi fornitori elaborino i dati solo per gli scopi fissati. Devono inoltre indicare chiaramente l’uso che fanno di questi dati dopo averli ricevuti dai medici.L’IFPDT ha constatato che a questo proposito sono necessari dei miglioramenti. Al fine di aumentare la trasparenza nei confronti dei pazienti, questa settimana l’IFPDT ha scritto ai fornitori interessati chiedendo loro di pubblicare le disposizioni dei contratti tipo relative all’elaborazione dei dati dei pazienti unitamente alle condizioni generali di contratto e ai regolamenti per il trattamento dei dati. Finora queste informazioni non erano state divulgate o comunque non integralmente. In un secondo tempo l’IFPDT si riserva la possibilità di esaminare nel dettaglio le disposizioni sensibili dal punto di vista della protezione dei dati.
Rapporto d'attività 2016/2017
26.06.2017 - L'incaricato federale della protezione dei dati e della trasparenza presenta il suo rapporto d'attività per il periodo del 1 aprile 2016 al 31 marzo 2017.
Sistemi di informazioni creditizie: il Tribunale amministrativo federale protegge la sfera privata dei soggetti interessati
11.05.2017 - Nell'azione giudiziaria contro la società di informazioni Moneyhouse il Tribunale amministrativo federale emette una sentenza epocale nell'attuale contesto di digitalizzazione, ponendo chiari limiti all'associazione di informazioni profilanti e la loro pubblicazione.
