Attualità

Oracle: le tecnologie di tracciamento interferiscono sui diritti della personalità degli utenti di Internet 

27.09.2022 - Nella causa legale intentata negli Stati Uniti il 19 agosto 2022 contro la società «Oracle America Inc.» sono avanzate gravi accuse di tracciamento illegale degli utenti di Internet. In concreto Oracle è accusata di aver raccolto mediante tecnologie di tracciamento di dati di 5 miliardi di utenti di Internet e di averli incorporati in una banca dati. Oracle avrebbe analizzato e valutato le informazioni raccolte per allestire una banca dati su tutte queste persone. Oltre ai nomi e agli indirizzi sono state raccolte informazioni sul comportamento di ciascun utente di Internet, ad esempio il comportamento d’acquisto, i dati GPS o le informazioni sulla salute, e questo è stato fatto addirittura su tutti i dispositivi degli utenti. A tal fine Oracle avrebbe utilizzato diverse tecnologie, in particolare i cosiddetti «cookies» oppure «pixel» come pure gli script Java integrati nei siti Internet e nelle applicazioni. 

Conseguenze per la popolazione svizzera

L’IFPDT sta attualmente analizzando le accuse avanzate nella causa legale dal punto di vista di possibili violazioni dei diritti della personalità della popolazione in Svizzera. È già possibile stabilire che Oracle fornisce «cookies», «pixel» e script Java ai gestori di siti Internet e di applicazioni. Integrando questi elementi nei siti Internet vengono raccolte sui vari siti Internet e sulle diverse app informazioni sugli utenti di Internet e poi trasmesse a Oracle. Dai primi accertamenti dell’IFPDT è emerso che le tecnologie di tracciamento oggetto della causa legale sono ampiamente impiegate anche in Svizzera e di conseguenza anche le persone che vi risiedono sono toccate dal tracciamento di Oracle.

L’IFPDT sta ora chiarendo in che misura, integrando tecnologie di tracciamento, i gestori di siti Internet e i fornitori di app svizzeri violino i principi della protezione dei dati sanciti dalla legislazione svizzera. La sua analisi è in particolare incentrata sui principi di trasparenza e di proporzionalità, nonché sulla necessità di un consenso esplicito per la creazione di profili della personalità e il trattamento di dati personali degni di particolare protezione. 

Misure di protezione contro il tracciamento indesiderato nello spazio digitale 

I gestori di siti Internet e i fornitori di app hanno innanzitutto l’obbligo di verificare quali tecnologie utilizzano e se queste possono tracciare i visitatori del sito Internet o gli utenti dell’app. In caso affermativo, devono rimuovere la tecnologia oppure informare gli utenti in modo trasparente e comprensibile sul trattamento dei dati, sul suo scopo e sulle possibilità di opporvisi come pure sull’eventuale trasmissione dei dati all’estero. Inoltre, devono offrire agli utenti un modo semplice per opporsi all’utilizzo dei loro dati (opt-out o considerazione delle impostazioni predefinite come «Do not track»). Poiché il tracciamento viola la personalità degli utenti, questi devono espressamente acconsentirvi (opt-in) in caso di creazione di profili della personalità o di trattamento di dati personali degni di particolare protezione. 

Gli utenti di Internet possono proteggersi contro il tracciamento indesiderato su Internet scegliendo consapevolmente un browser rispettoso della protezione dei dati e adeguando debitamente le impostazioni. Possono anche utilizzare i cosiddetti Ad-blocker oppure impedire la raccolta dei loro dati mediante Add-ins.

Oltre a rispettare i principi della protezione dei dati, i gestori di banche dati contenenti dati personali devono anche sempre garantire i diritti degli interessati. Ciò significa che ogni persona può richiedere al titolare della raccolta di dati (in questo caso il gestore del sito Internet o dell’app) quali dati personali che la riguardano vengono trattati, per quale scopo e chi vi può accedere. Se una persona non è d’accordo con l’ulteriore trattamento dei suoi dati può richiederne la cancellazione. 

L’IFPDT ha per ora preso atto delle gravi accuse contenute nella causa legale e le sta analizzando assieme alle eventuali ripercussioni per la Svizzera. Ha scritto a «Oracle Software (Svizzera)» il 2 settembre 2022 e si riserva il diritto di adottare, se necessario, ulteriori provvedimenti. 

Raccomandazioni dell'IFPDT nel quadro del principio di trasparenza

25.08.2022 - L'IFPDT nel quadro del principio di trasparenza riguardo l'accesso a documenti ufficiali ha rilasciato le seguenti raccomandazioni:

08.07.2022 - Credential stuffing: rapporto e linee guida

08.07.2022 - Il rapporto più recente della Conferenza internazionale degli incaricati della protezione dei dati (Global Privacy Assembly, GPA) ha identificato il credential stuffing quale minaccia crescente per i dati personali. Le linee guida menzionano le misure di sicurezza che spiegano come proteggersi da tale minaccia.

Il credential stuffing è una tecnica di attacco in Internet che sfrutta la cattiva abitudine di molte persone di utilizzare la stessa combinazione di nome utente e password per più account Internet. Gli attacchi avvengono in modo automatizzato e spesso su vasta scala. Si impiegano dati di accesso rubati al fine di accedere ad account in diverse piattaforme di Internet.

Il rapporto, pubblicato da un sottogruppo di lavoro dell’International Enforcement Working Group (IEWG) della GPA, cui aderiscono anche l’IFPDT e le autorità incaricate della protezione dei dati di Gran Bretagna, Canada, Gibilterra, Jersey e Turchia, sottolinea il tendenziale incremento di attacchi credential stuffing e offre a organizzazioni ed enti pubblici indicazioni su possibili modalità per impedire, riconoscere e ridurre il rischio di tali attacchi.

Tra le misure di sicurezza riportate nelle linee guida, il rapporto della GPA constata che l’autenticazione a più fattori costituisce la misura più efficace per proteggere gli account in rete dal credential stuffing.
La GPA conta oltre 130 autorità incaricate della protezione dei dati e costituisce una delle più importanti organizzazioni globali impegnate nei settori della protezione dei dati e della sfera privata.

I rapporti menzionati sono disponibili ai seguenti indirizzi:

Dossier «lemievaccinazioni»

13.06.2022 - Esternalizzazione di dati personali in un cloud di Microsoft da parte della Suva

13.06.2022 - a causa di concezioni del diritto in parte contrastanti, l’IFPDT consiglia alla Suva di rivalutare la esternalizzazione di dati personali in un cloud gestito dal gruppo statunitense Microsoft.

Il 10 dicembre 2021 la Suva ha trasmesso di propria iniziativa all’IFPDT un documento intitolato «Risikobeurteilung Projekt Digital Workplace M365». Il progetto in questione concerne l’allora imminente delocalizzazione di dati personali della Suva, trattati fino a quel momento «on premise» (ossia su una propria infrastruttura), in un centro di calcolo gestito dal gruppo statunitense Microsoft sul territorio svizzero.

Dopo avere studiato la documentazione che gli era stata trasmessa facoltativamente, l’Incaricato approva il fatto che l’INSAI, dimostrando il proprio senso di responsabilità, abbia sottoposto il suo progetto di esternalizzazione a un esame relativo alla protezione dei dati. Egli consiglia alla Suva di sottoporre la esternalizzazione a una rivalutazione in tempi brevi. 

Considerata la larga diffusione dei prodotti e dei servizi della ditta Microsoft nell’economia privata e nelle amministrazioni pubbliche in Svizzera, il progetto di esternalizzazione è d’interesse per il grande pubblico. L’Incaricato pubblica di conseguenza il suo parere sommario concernente il progetto. 

Dato che in Svizzera non esiste ancora una giurisprudenza in merito alla questione sollevata, l’IFPDT pubblica anche la risposta della Suva, con la sua autorizzazione, dalla quale emergono tuttavia in parte interpretazioni divergenti. 

A seconda dell’evoluzione dello scenario e della situazione giuridica, l’Incaricato si riserva, a titolo di autorità di vigilanza, di intervenire d’ufficio in un secondo momento.

Attacchi informatici a studi medici nella Svizzera romanda

31.03.2022 - Ieri si è saputo che diversi studi medici nella Svizzera romanda sono stati attaccati da hacker; una grande quantità di dati sanitari contenuta nei dossier dei pazienti è stata poi pubblicata nel darknet. L’IFPDT è in contatto con gli studi medici colpiti e si aspetta che i pazienti interessati vengano informati in modo esaustivo. Quanto successo è l’ennesima dimostrazione che in Svizzera i dati sanitari – degni di particolare protezione – non sono sufficientemente protetti.

Il 30 marzo numerosi media della Svizzera francese hanno riferito che una grande quantità di dati relativi alla salute è stata pubblicata nel darknet. L’IFPDT è in contatto con gli studi medici colpiti dai pirati informatici e si adopera in particolare affinché i pazienti interessati siano informati dell’accaduto. Gli studi medici colpiti hanno già introdotto le prime misure per contrastare eventuali lacune in materia di protezione e sicurezza dei dati.

Quest’ultimo episodio è l’ennesima dimostrazione che in Svizzera i dati sanitari – degni di particolare protezione – spesso non sono sufficientemente protetti. L’IFPDT spera che i medici e i rappresentati del ramo riconoscano l’urgenza di agire a livello di protezione e sicurezza dei dati.

Update Mitto AG

23.12.2021 - Nel quadro dell'inchiesta preliminare aperta sul caso Mitto AG, l'IFPDT ha preso contatto con l'azienda e con gli operatori di telefonia mobile in Svizzera.

Questi ultimi hanno confermato l'esistenza di una collaborazione con Mitto AG, precisando tuttavia che esistono misure tecniche di protezione atte a impedire l'accesso illecito ai dati personali. Sulla base di questi primi riscontri, l'IFPDT non ravvisa per il momento indicazioni su eventuali abusi a danno della popolazione svizzera. 

Nelle prossime settimane, l'IFPDT riceverà ulteriori e più dettagliate informazioni sui fatti in questione. Dopo la loro valutazione, decideremo quale procedura seguire e informeremo il pubblico.

Comunicato stampa del 07.12.2021

Comunicazione dei dati dei membri di società di tiro a fornitori di carte di credito

15.11.2021 - All’inizio di maggio la Federazione sportiva svizzera di tiro (FST) ha inviato a oltre 50 000 tiratori con licenza una nuova tessera di membro con funzione di carta di credito. Numerosi tiratori si sono così rivolti all’IFPDT per sapere se tale comunicazione dei loro dati sia legale. 

L’IFPDT ha quindi contattato la FST, la quale è stata molto collaborativa nell’ambito degli accertamenti. 

L’IFPDT ha dapprima stabilito che, nel caso in questione, non si è trattato di un semplice trattamento dei dati volto alla sola emissione di una tessera di licenza dato che i dati sono infatti stati trasmessi anche al fornitore di carte di credito, il quale potrà farne uso per i propri fini. 

Una tale comunicazione di dati deve avvenire nel rispetto dei principi della legge federale sulla protezione dei dati, riguardanti segnatamente le finalità vincolate e la trasparenza nell’ambito dei trattamenti di dati. Per quanto concerne le finalità vincolate, dal 2016 gli statuti della FST prevedono la comunicazione dei dati dei propri membri a fini commerciali contro la quale è però data la possibilità di opporsi. La FST ha quindi creato le basi necessarie per l’impiego commerciale dei dati dei suoi membri. 

Si rivela tuttavia problematico il fatto che tali disposizioni siano contenute espressamente soltanto negli statuti della FST. Gli statuti dei 36 membri affiliati alla federazione e quelli di oltre 2000 società non includono, nella gran parte dei casi, regole analoghe ma si limitano a rinviare in maniera generale agli statuti della FST. Di conseguenza risulta molto difficile per i singoli membri delle associazioni prendere atto di tali informazioni e, se del caso, opporvisi. L’IFPDT ha stabilito che la comunicazione dei dati da parte della FST al fornitore di carte di credito non è avvenuta in osservanza del principio di trasparenza sancito dalla legislazione in materia di protezione dei dati. 

D’intesa con la FST è stato quindi convenuto che, sul suo sito Internet, nella sua rivista e inviando una newsletter, essa informerà nuovamente i tiratori sulla comunicazione dei loro dati a fini commerciali e gli stessi potranno quindi far valere il loro diritto a opporvisi mediante una semplice comunicazione alla Federazione. La FST deve di conseguenza assicurarsi che il fornitore di carte di credito tratti separatamente i dati di coloro che desiderano avere unicamente una tessera di membro senza funzione di carta di credito e che non utilizzi tali dati per fini propri (p. es. marketing o promozioni). I membri che vogliono rinunciare completamente alla tessera di membro nel formato carta di credito potranno continuare a partecipare agli eventi indicando il loro numero di membro e presentando un normale documento d’identità. 

Dossier trasmissione all'estero

Dossier Corona

Fughe di dati dalle reti sociali

15.04.2021 - Dopo Facebook è toccato anche a LinkedIn subire una massiccia fuga di dati personali (scraping). Secondo il sito CyberNews i dati di 500 milioni di utenti della rete sociale professionale sono in vendita su un forum specializzato. Questi dati comprendono in particolare gli ID utenti, i nomi completi, gli indirizzi di posta elettronica, i numeri di telefono, i link ad altri profili LinkedIn e a quelli di altre reti sociali. 

In base alle ultime notizie anche Clubhouse è stato colpito da una fuga di dati. 

L’IFPDT si è messo in contatto con i suoi omologhi europei e continuerà a monitorare la situazione.

Dato che le sedi sociali di queste due società sono in Irlanda, l’autorità irlandese per la protezione dei dati ne è l’autorità responsabile nell’UE e ha pubblicato un comunicato stampa sulla fuga di dati Facebook e sui relativi provvedimenti.

Il Garante, l’autorità italiana per la protezione dei dati, ha contattato le due reti sociali per sapere se avessero l’intenzione di mettere a disposizione degli utenti interessati uno strumento che permettesse loro di controllare se i loro dati erano stati violati. Invita anche gli utenti a prestare particolare attenzione a eventuali anomalie connesse al loro numero di telefono e ai loro account Facebook / LinkedIn (vedi link).

Che cosa fare in caso di fuga di dati?

In caso di fuga di dati (comunemente detta anche «data leak») le seguenti misure generali possono aiutare a stabilire se se ne è interessati e a proteggersi:

Stabilire se si è interessati:
Per stabilire se si è oggetto di una fuga di dati, esistono in Internet piattaforme come Identity Leak Checker dell’Istituto Hasso Plattner o il noto servizio https://haveibeenpwned.com del consulente australiano in materia di sicurezza Troy Hunt. Questi servizi possono essere utilizzati per verificare se il proprio indirizzo di posta elettronica o il proprio numero di telefono sono già stati oggetto di una fuga. Anche se non consente sempre di avere indicazioni su un’eventuale fuga, il risultato del controllo dovrebbe essere accolto con prudenza. Nel caso di LinkedIn gli autori del reato hanno pubblicato innanzitutto un «campione», cioè un estratto parziale per verificarne l'autenticità.

Istruzioni da parte del gestore:
Di regola i gestori informano essi stessi gli utenti interessati da una fuga di dati non autorizzata di questa portata o se sussiste un rischio elevato che si verifichi. Occorre seguire le loro istruzioni.

Cambiare la password: 

È spesso difficile capire se sono state rubate anche le password. Se vi sono forti sospetti, occorre assolutamente reimpostare la password, anche se si utilizza un’autentificazione forte per effettuare il login, per esempio mediante un secondo fattore. Il fatto che le password siano o meno criptate ha poca importanza. Nel caso di password criptate o «valori di hash» occorre partire dal presupposto che possono essere decriptate; di conseguenza anch’esse devono essere cambiate.

Mezzi di pagamento: 
Qualora non vi sia la certezza che anche i mezzi di pagamento non siano stati compromessi, occorre sorvegliarli attentamente. Se vi sono segnali di abuso, il mezzo di pagamento deve essere immediatamente bloccato presso il gestore.

Maggiore prudenza: 
Nel caso di Facebook vi sono già segnali che indicano che i dati sono utilizzati in modo improprio; sono stati ad esempio inviati SMS con link, cliccando sui quali si scaricano programmi maligni (malware). Gli utenti interessati dovrebbero essere particolarmente diffidenti, in particolare nei confronti di messaggi di posta elettronica o di SMS provenienti da mittenti sconosciuti.

Informazioni complementari:
14.04.2021 - DPC launches inquiry into Facebook in relation to a collated dataset of Facebook user personal data made available on the internet
Centro nazionale per la cibersicurezza NCSC
Clubhouse-App von Daten-Leak betroffen – das musst du wissen - watson
Communiqué der irischen Datenschutzbehörde
Come limitare i danni per la violazione dei dati di 36 milioni di utenti Facebook italiani - Garante Privacy
Facebook Data Leak - 533M Users Data Leaked Online | CyberNews
LinkedIn Leak - 500M Records Leaked and Being Sold | CyberNews
Clubhouse Data Leak - 1.3M SQL Database Leaked Online | CyberNews

Dossier nuova legge federale sulla protezione dei dati (nLPD)

Punto di vista dell'IFPDT

05.03.2021 - Il settore privato e le autorità federali dovranno adattare il trattamento dei dati personali alle disposizioni della nuova legge federale sulla protezione dei dati. L'IFPDT indica le novità più importanti che dovranno prendere in considerazione a questo proposito.

(Il documento completo è allegato qui sotto in formato pdf)

Regolamentazione insufficiente del trattamento dei dati nella nuova legge sulla polizia doganale

11.09.2020 - Il Consiglio federale ha inviato oggi in consultazione la «legge sui compiti d’esecuzione dell’UDSC», facente parte di un pacchetto legislativo con cui intende istituire la base giuridica per il programma di digitalizzazione e trasformazione (DaziT) dell’Amministrazione federale delle dogane (link). Si tratta di un progetto di ampia portata rilevante sotto il profilo finanziario e sensibile nell’ottica della protezione dei dati. Nel nuovo ufficio di polizia doganale, l’UDSC, confluiranno l’Amministrazione delle dogane e il Corpo delle guardie di confine ad essa integrato. Tutto il personale avrà attribuzioni di polizia e quindi competenze coercitive in materia di raccolta dei dati.

Durante la consultazione degli uffici l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha invano segnalato all’Amministrazione federale delle dogane che dal suo punto di vista le disposizioni previste in materia di trattamento dei dati personali contengono gravi lacune. Tali disposizioni trascurano in particolare la facoltà assicurata ai cittadini, secondo la legislazione in materia di protezione dei dati, di valutare sia i trattamenti di dati da parte dello Stato suscettibili di ingerirsi nella sfera privata e limitarne l’autodeterminazione, sia i diritti di protezione di cui dispongono per opporvisi.

L’Incaricato ha consigliato al Consiglio federale di fare in modo che il Governo e il Parlamento, in quanto organi politici della Confederazione, si riservino il diritto di disciplinare sia gli aspetti essenziali dei trattamenti di dati, che saranno ora gestiti in un unico sistema della polizia doganale, sia le interfacce verso tale sistema. Così com’è concepito attualmente, il progetto lascia al nuovo ufficio di polizia doganale la libertà di trattare i dati personali nel proprio sistema, sulla base di tutta una serie di compiti amministrativi, fiscali, di polizia e di diritto penale, secondo direttive ampiamente autonome e di interconnettere le informazioni a piacimento. Dal rapporto esplicativo non è desumibile alcuna motivazione convincente della necessità di scostarsi in maniera così incisiva dalla vigente legge sulle dogane.

A queste lacune del trattamento dei dati relative ai principi dello Stato di diritto si aggiungono lacune normative d’ordine materiale. Ad esempio, il concetto di «analisi dei rischi», menzionato 44 volte nel testo di legge, attraversa come un filo rosso il progetto senza che dal testo di legge si possa dedurre in modo sufficientemente chiaro in cosa consista questo metodo di trattamento in base al quale il nuovo ufficio di polizia doganale potrà trattare dati personali degni di particolare protezione concernenti fra l’altro la sfera intima o le opinioni religiose, filosofiche e politiche.

Tenendo conto di queste osservazioni, il Consiglio federale ha incaricato l’Amministrazione di rielaborare le disposizioni sul trattamento dei dati, come si accenna nei documenti della consultazione. L’Incaricato approva tale passo. Si è impegnato invano affinché tali disposizioni fossero rielaborate prima dell’apertura della consultazione. 

Revisione della LAMal: IFPDT per la trasparenza nei modelli di prezzo

20.08.2020 - L'Incaricato si dichiara contrario all'intenzione del Consiglio federale di escludere dalla legge sulla trasparenza i documenti relativi ai modelli di prezzo per l'approvazione dei prezzi dei medicamenti.

Il Consiglio federale ha lanciato ieri una procedura di consultazione per una revisione parziale della legge federale sull’assicurazione malattie LAMal. L’avanprogetto prevede tra le altre cose un’eccezione all’accesso di tutti i documenti riguardanti il sistema dei modelli di prezzo e il relativo rimborso nell’assicurazione obbligatoria delle cure medico-sanitarie. L’inserimento di una disposizione di segretezza nella LAMal contrasta con il principio di trasparenza, motivo per cui l’Incaricato già nella consultazione degli uffici si era dichiarato contrario.

L’Incaricato considera quindi indispensabile che la popolazione possa continuare a seguire e controllare la prassi dell’UFSP in materia di approvazione dei prezzi.

v. art. 52c dell'atto di modifica della LAMal

Informazioni complementari:
Modifica della LAMal: misure di contenimento dei costi – pacchetto 2

27o Rapporto d'attività, pagina 75

Update Libra

20.04.2020 - L’Associazione Libra ha presentato una richiesta d’autorizzazione alla FINMA e intensifica i suoi lavori  sul concetto di protezione dei dati.

Il 16 aprile 2020 l'Associazione Libra ha comunicato all'IFPDT di aver presentato alla FINMA una richiesta di autorizzazione quale sistema di pagamento (cf. informazioni pubblicate dalla FINMA). Ha pure informato l'IFPDT di proseguire ed intensificare  i lavori sul concetto di protezione dei dati.

 
 
 
 
 
 
 
 
 
 
 
 
 

Aggiornamento concernente Clearview 

10.03.2020 - Le autorità federali di polizia non utilizzano software di riconoscimento facciale.

Nella sua comunicazione dell'11.02.2020 (vedi qua sotto) l'IFPDT ha spiegato dettagliatamente perché considera l'acquisizione non autorizzata di dati facciali una violazione della sfera privata.

In risposta alla nostra richiesta (cf. la dichiarazione del 21.01.2020 qua sotto), le direzioni di Fedpol, dell’AFD e del SIC hanno confermato di non utilizzare né intendono utilizzare software come Clearview nelle loro attività.
Tuttavia, la richiesta di informazioni e di cancellazione dell’Incaricato del 24 gennaio 2020 non ha ancora ricevuto risposta da Clearview, motivo per cui ha emesso un avviso all'azienda.

 
 
 
 
 
 

Facebook introduce in Svizzera nuove funzioni relative alle elezioni

17.10.2019 - Dalla vigilia delle elezioni federali del 20 ottobre 2019 Facebook introdurrà sulla sua piattaforma sociale alcune funzioni rivolte direttamente agli aventi diritto di voto svizzeri. È quanto ha confermato l’azienda su richiesta dell’Incaricato federale della protezione dei dati. L’IFPDT è soddisfatto della trasparenza annunciata.

Dopo aver preso atto da rapporti che Facebook intende introdurre sulla propria piattaforma sociale alcune funzioni elettorali come il pulsante «Votare» in vista delle elezioni parlamentari svizzere del 2019, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha interpellato l’azienda invitandola ad esprimersi in merito.

Nella sua lettera l’IFPDT ha fatto riferimento ai numeri 5.3 e 7 delle sue Linee guida, ribadendo che anche i gestori di piattaforme sociali sono esortati a informare in modo corretto e completo in merito al trattamento dei dati e al funzionamento dei metodi introdotti a tale scopo. Soltanto grazie a una tale trasparenza i votanti possono valutare se e come il trattamento dei loro dati, basato sulle corrispondenti applicazioni, abbia un impatto sulla formazione delle opinioni o sul comportamento in materia di voto.

Facebook Ireland Ltd. ha confermato che sulla sua piattaforma sociale saranno introdotte corrispondenti funzioni alla vigilia delle elezioni e il giorno delle stesse. Ha intenzione di ricordare la data delle elezioni in Svizzera a tutti gli utenti di Facebook che hanno compiuto 18 anni. Non è prevista una selezione di gruppi o di persone.

Secondo le assicurazioni scritte di Facebook le funzioni introdotte mirano soltanto a sensibilizzare gli utenti in merito alle imminenti elezioni e a promuoverne anche la partecipazione, dal momento che le persone interessate possono ad esempio postare sul proprio profilo di aver votato. Facebook sottolinea che a questo proposito non saranno analizzati i dati relativi alle opinioni politiche dei singoli utenti.

Facebook ha inoltre assicurato che l’azienda avrebbe tenuto conto delle esigenze in materia di trasparenza espresse nelle nostre Linee guida. Le persone interessate devono poter accedere a un’informazione a più livelli sulle funzioni introdotte, sui metodi e sulle relative basi di trattamento grazie a collegamenti ipertestuali. cfr. in merito i seguenti link:

Normativa sui dati Facebook

Chi può vedere i contenuti che condividi?

Perché vedo un promemoria su un'elezione e sul voto su Facebook?

Quali informazioni usa Facebook per fornire dettagli su elezioni e governo?

 
 

Controversie fiscali statunitensi - Il Tribunale amministrativo federale protegge i diritti fondamentali 

10.09.2019 - Con decisione del 3 settembre 2019, il Tribunale amministrativo federale (TAF) ha accolto il ricorso dell'IFPDT contro l'Amministrazione federale delle contribuzioni (AFC) e il Dipartimento federale delle finanze (DFF).  Nella sua sentenza, il tribunale giunge alla conclusione che, nell'assistenza fiscale internazionale, le persone non formalmente interessate dalla domanda di assistenza amministrativa i cui nomi devono essere trasferiti, in linea di principio, devono essere preventivamente informate ai sensi della legge sull'assistenza fiscale.

Il tribunale segue quindi la raccomandazione dell'IFPDT di oscurare tali nomi e di concedere il diritto di essere sentiti prima del trasferimento. L’Incaricato accoglie con favore la sentenza in quanto tutela i diritti fondamentali dei dipendenti delle banche e di altri terzi. Ora si aspetta che l'AFC trovi soluzioni conformi alla protezione dei dati.

Il TAF intima le autorità competenti di attuare la sentenza e di disciplinare in modo adeguato le eccezioni. La sentenza non è ancora entrata in giudicato.

Sentenza del TAF (in tedesco)

 
 
 
 
 
 
 
 

Postfinance: nessuna parità di trattamento dei clienti svizzeri secondo il diritto vigente

30.08.2019 - Con lettera del 13 giugno 2019 Postfinance SA ha ribadito, su domanda dell’IFPDT, che i suoi clienti svizzeri devono tuttora attivarsi, negando esplicitamente il loro consenso, se non vogliono l’autenticazione mediante impronta vocale. Per i clienti stranieri Postfinance prevede invece che l’autenticazione mediante impronta vocale sia oggetto di un consenso esplicito. La disparità di trattamento criticata pubblicamente dall’IFPDT (trasmissione SRF 10vor10 del 20.5.2019) rimane pertanto irrisolta..

Postfinance SA fa valere nei confronti dell’Incaricato che questo «diverso trattamento» è da ricondurre ai requisiti divergenti posti dal diritto applicabile e che la trasposizione del diritto estero alle relazioni contrattuali all’interno del Paese è un processo politico riservato al legislatore. Postfinance SA continuerà pertanto a trattare in modo non paritario i clienti svizzeri sintanto che le norme svizzere sulla protezione dei dati non saranno adeguate a quelle dell’UE.

 
 
 
 
 
 
 
 

Indirizzi e-mail errati presso Swisscom

29.08.2019 - Grazie ad una segnalazione di un cittadino, l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha appreso che un cliente Swisscom ha ricevuto alcune e-mail che non gli erano destinate.

L'IFPDT ha confrontato Swisscom con questa segnalazione e le ha chiesto di esprimersi al riguardo. Nella sua risposta, l’azienda ha dichiarato di essere già a conoscenza del problema a seguito di segnalazioni dei clienti, di aver istituito una task force e di averle commissionato un'analisi dei rischi. Ne è risultato che un sistema di clienti conteneva indirizzi e-mail registrati in modo generico e che questi indirizzi non erano stati attribuiti ai clienti corretti. Di conseguenza, alcune e-mail sono state inviate a conti estranei. Secondo quanto comunicato da Swisscom, nel frattempo sono stati individuati gli indirizzi attribuiti in modo errato e ci si è immediatamente assicurati di non inviare loro più e-mail. Per quanto possibile, le e-mail inviate per sbaglio sono state eliminate dai conti dei destinatari non autorizzati. Inoltre secondo l’azienda, non vi sono indicazioni di uso scorretto delle e-mail inviate per sbaglio. Swisscom sta inoltre adattando i propri processi in modo da poter prevenire tali incidenti.

L'IFPDT ha preso atto dei provvedimenti immediati avviati in base all’analisi dei rischi di Swisscom. L'IFPDT continuerà a seguire la situazione, ma può per il momento astenersi dal formulare ulteriori raccomandazioni d'intervento sulla base dei provvedimenti avviati da Swisscom.

 
 
 
 
 
 
 

26o Rapporto d'attività 2018/19: la Svizzera deve mantenere alto il livello di protezione dei dati 

18.06.2019 - L’IFPDT si aspetta che Consiglio federale e Parlamento continuino a garantire alla popolazione svizzera un livello di protezione armonizzato a quello europeo, firmando quanto prima la Convenzione 108 del Consiglio d’Europa e concluden-do in tempi brevi la revisione totale della legge federale sulla protezione dei dati.

Comunicato

 

Helsana+: la sentenza del Tribunale amministrativo federale è passata in giudicato

15.05.2019 - Scaduto il termine utile per il ricorso al Tribunale federale, la sentenza del Tribunale amministrativo federale del 19 marzo 2019 relativa a Helsana+ è passata in giudicato. Il Tribunale amministrativo federale ha preso importanti decisioni; l’IFPDT ne valuterà l’attuazione da parte di Helsana.

Comunicato dell'IFPDT

 
 
 
 
 

Helsana+: la raccolta di dati presso l’assicurazione di base era illegale

29.03.2019 - Sentenza del Tribunale amministrativo federale del 19 marzo 2019: la Helsana Assicurazioni complementari SA si è procurata illecitamente dati personali per il programma bonus «Helsana+» presso gli assicuratori di base. Secondo tale sentenza, gli altri trattamenti di dati sono ammissibili poiché non è stata violata alcuna disposizione a tutela della personalità.

Comunicato dell'IFPDT

Comunicato del TAF

Sentenza A3548/2018 (in tedesco)

Raccomandazione dell'IFPDT del 27.4.2018

 
 
 
 

Giornata della protezion dei dati 2019 - 3 priorità per Confederazione e Cantoni: elezioni, polizia, AVS

28.01.2019 - Comunicato delle autorità della protezione dei dati della Convederazione e dei Cantoni:

 

2a Giornata digitale – L’economia deve investire in tecnologie conformi ai principi della protezione dei dati

23.10.2018 - Le imprese dovrebbero investire in tecnologie conformi ai principi della protezione dei dati e offrire ai loro clienti effettive possibilità di scelta. È quanto auspica l’IFPDT in occasione della 2a Giornata digitale svizzera lanciando un appello all’economia affinché utilizzi il suo slancio innovativo anche per garantire autonomia decisionale ai propri clienti.

Le imprese oggi investono molti capitali nel processo di digitalizzazione. In occasione della 2a Giornata digitale svizzera, l’Incaricato federale per la protezione dei dati e la trasparenza (IFPDT), Adrian Lobsiger, auspica che l’economia utilizzi il suo slancio innovativo anche per garantire l’autodeterminazione dei propri clienti. Essi dovrebbero poter decidere in modo autonomo per quali scopi mettere a disposizione i loro dati e quando invece tenerli per sé. L’economia dovrebbe quindi investire nelle tecnologie che offrono agli utenti effettive possibilità di scelta.

L’IFPDT auspica inoltre che, nonostante l’acquisizione di grandi quantità di dati, lo Stato di diritto e democratico riesca a tutelare la sfera privata e l’anonimato dei propri cittadini e non indaghi sull’identità dei singoli. In caso di dubbio si deve attribuire maggior peso alla libertà del singolo piuttosto che alla sicurezza collettiva.

Per questi motivi l’IFPDT lancia un appello all’economia e allo Stato affinché tengano conto di queste aspettative e agiscano di conseguenza, e li sprona ad affrontare la crescita globale dei dati digitali con investimenti efficaci negli strumenti a tutela della protezione dei dati.

Controversie fiscali statunitensi - reclamo contro la decisione del Dipartimento federale delle finanze

10.10.2018 - Il 5 ottobre 2018 l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha presentato ricorso al Tribunale amministrativo federale contro l'ordinanza del Dipartimento federale delle finanze (DFF) del 20 settembre 2018. Con questa decisione, l'IFPDT ha respinto la richiesta dell'IFPDT di informare anticipatamente i terzi interessati da un trasferimento di dati all'estero nell'ambito della legge sull'assistenza amministrativa fiscale. Nella sua denuncia, l'IFPDT mantiene la sua richiesta relativa al diritto all'informazione.

Per ulteriori informazioni:

Aggiornamento sul contenzioso fiscale con gli Stati Uniti del 9 agosto 2018 (v. in basso)

Raccomandazione del 18 dicembre 2017 (in tedesco)

Estratto del 25° rapporto di attività del 25 giugno 2018 (PDF, 102 kB, 09.08.2018)

Aggiornamento sul contenzioso fiscale con gli Stati Uniti

09.08.2018 - A causa dell'attesa decisione del dipartimento competente, al momento non è chiaro quale sia l'effettiva prassi dell'Amministrazione federale delle contribuzioni (AFC) in materia di trasmissione dei dati.

Nel chiarire i fatti relativi al trasferimento di dati personali da parte dell'AFC nell'ambito dell'assistenza amministrativa in materia fiscale tra la Svizzera e gli Stati Uniti, l'IFPDT ha concluso che, nell'ambito dell'assistenza amministrativa internazionale in materia fiscale, le persone non formalmente interessate dalla richiesta di assistenza amministrativa, i cui nomi devono essere resi noti, ossia non anneriti, devono essere preventivamente informate ai sensi dell'articolo 14 capoverso 2 della legge sull'assistenza amministrativa fiscale. Di conseguenza, il 18 dicembre 2017, in una raccomandazione formale, abbiamo chiesto che il diritto all'informazione sia preso in considerazione nell'assistenza fiscale internazionale.

Il 18 gennaio 2018 l'AFC ha respinto la nostra raccomandazione e il 13 febbraio 2018 l’IFPDT ha sottoposto la questione al Dipartimento federale delle finanze (DFF). A tutt'oggi non è stata presa una decisione. Non appena saremo a conoscenza della posizione del DFF, potremo decidere in merito a un eventuale ricorso al Tribunale amministrativo federale. L'IFPDT ha invitato il dipartimento competente a prendere rapidamente una decisione nell'interesse degli interessati.

Per ulteriori informazioni:

Raccomandazione del 18 dicembre 2017 (in tedesco)

Estratto del 25° rapporto di attività del 25 giugno 2018 (PDF, 102 kB, 09.08.2018)

25o Rapporto annuale: prima autodeterminazione, poi sicurezza  

25.06.2018 - Monitorare grandi progetti digitali continua a rappresentare l’attività principale dell’IFPDT. La legge sull’eID come fondamento per utilizzare una SwissID, il rapporto sui rischi legati all’impiego del numero AVS quale identificatore personale universale, le condizioni per l’e-ticketing o le app nei trasporti pubblici (TP) evidenziano questa priorità. Come autorità di vigilanza l’Incaricato ha dovuto intervenire contro l’elaborazione dei dati degli assicurati di base all’assicurazione malattie e concentrarsi sulla fuga di dati di numerose grandi aziende.
Come Incaricato della trasparenza l’IFPDT ha potuto aumentare notevolmente l’efficienza della sua procedura di mediazione e prendere atto che il Consiglio nazionale si fa garante, senza aver espresso voti contrari, affinché la trasparenza in materia di acquisti pubblici sia assicurata e il principio di trasparenza non diventi una farsa.

Continua...

Programma bonus Helsana+: l’IFPDT fa ricorso al tribunale

19.06.2018 - A fine aprile l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) aveva raccomandato ad Helsana assicurazioni integrative SA di interrompere, nell’ambito del programma di bonus, il trattamento dei dati degli affiliati assicurati nell’assicurazione di base allo scopo di calcolare e versare rimborsi in denaro. L’assicurazione ha rifiutato questa raccomandazione. L’IFPDT ha portato ora il caso davanti al Tribunale amministrativo federale.

Raccomandazione e comunicato del 27.04.2018

Il Consiglio nazionale vuole mantenere la trasparenza negli acquisti pubblici

18.06.2018 - Il Consiglio nazionale mantiene il principio di trasparenza negli gli acquisti pubblici. Tale decisione è stata presa all’unanimità nell’ultima settimana della sessione parlamentare estiva nel quadro della deliberazione di dettaglio sulla revisione totale della legge federale sugli acquisti pubblici (LAPub). Il Consiglio nazionale respinge così la limitazione del principio di trasparenza proposta dal Consiglio federale.

Continua...

Infrastruttura ferroviaria: il Parlamento stabilisce un’eccezione alla legge sulla trasparenza

31.05.2018 - Dopo il Consiglio nazionale, ora anche il Consiglio degli Stati vuole escludere dal campo di applicazione della legge sulla trasparenza le attività di vigilanza dell’Ufficio federale dei trasporti (UFT) nell’ambito della sicurezza dei trasporti pubblici. L’Incaricato federale della protezione dei dati prende atto di questa decisione.

Continua...

Decathlon Svizzera – l'IFPDT apre una procedura di accertamento dei fatti

07.05.2018 - L'IFPDT ha preso conoscenza del fatto che la Decathlon Svizzera obbliga i potenziali acquirenti di merci nei suoi negozi di fornire all'azienda informazioni personali di contatto. Dopo una prima corrispondenza con la Decathlon Svizzera, l'IFPDT è giunto alla conclusione che il trattamento dei dati dalla Decathlon deve essere analizzato in modo più approfondito. Per questo motivo, il 3 maggio 2018 l'IFPDT ha aperto un'inchiesta ai sensi dell'art. 29 LPD.

L’Incaricato federale della protezione dei dati ha emesso una raccomandazione riguardo al programma bonus Helsana+

27.04.2018 – Allo scopo di rimborsare parzialmente i premi agli affiliati del gruppo Helsana assicurati nell’assicurazione di base, i loro dati vengono trattati con l’applicazione Helsana+. In assenza di una base legale, l’IFPDT raccomanda di interrompere tale trattamento.

Continua...

Sviluppo nel caso Swisscom

12.02.2018 - Dopo la notifica all' IFPDT, in data 9 febbraio 2018, di un presunto accesso non autorizzato ai dati di un cliente Swisscom, lo stesso giorno l’IFPDT ha chiesto alla Swisscom   di prendere posizione sull’avvenuto in applicazione dell'art. 29 cpv. 2 della LPD.

I primi chiarimenti da parte della Swisscom non hanno confermato alcuna relazione con il furto di dati segnalato il 7 febbraio 2018. L' IFPDT richiede alla Swisscom ulteriori informazioni in merito al rischio di possibili danni derivati.

Accesso non autorizzato ai dati di clienti Swisscom

Berna, 07.02.2018 – La Swisscom ha informato l’Incaricato che durante l’autunno scorso si sono verificati degli accessi non autorizzati ai dati di circa 800’000 clienti. Secondo le informazioni in possesso dell’Incaricato, si tratterebbe del nome, cognome, indirizzo, data di nascita e numero di cellulare di utenti di cellulare privati e di alcuni abbonati di rete fissa.  

Continua...

Fuga di dati in una società di recupero crediti – l’IFPDT avvia una procedura di accertamento dei fatti

05.01.2018 – Secondo un articolo pubblicato dalla Süddeutsche Zeitung il 27 dicembre 2017, l’anno scorso la società di recupero crediti EOS è stata vittima di una fuga di dati, durante la quale sono stati trasmessi svariati gigabyte di dati personali. Tra le persone colpite figurano in particolare pazienti di medici svizzeri. La società di recupero crediti ha informato l’IFPDT della presunta fuga di dati poco prima della pubblicazione dell’articolo. Allo scopo di chiarire gli aspetti relativi alla protezione dei dati, il 28 dicembre l’IFPDT ha avviato una procedura di accertamento dei fatti nei confronti di EOS Svizzera.

Nel contempo ricorda ai medici che possono trasmettere a terzi unicamente i dati dei propri pazienti effettivamente necessari per la fatturazione o il recupero dei crediti. Sono invece punibili se trasmettono a terzi in modo ingiustificato informazioni mediche relative ai propri pazienti.

Impiego di strumenti digitali per gestire campagne a fini politici

19.10.2017 - Alcuni raggruppamenti politici e altre associazioni d'interesse utilizzano applicazioni digitali per esempio per integrare determinate azioni sul loro sito Internet, in vista di pianificare e svolgere le stesse per interagire con gruppi
mirati di persone. L'Incaricato federale della protezione dei dati e della trasparenza ha elaborato un promemoria in merito alla compatibilità di tali strumenti con la protezione della sfera privata ed il diritto all'autodeterminazione in materia di informazione dei cittadini.

L'IFPDT esamina il programma bonus Helsana+

12.10.2017 -  L'IFPDT ha preso atto del programma bonus Helsana+ che intende incoraggiare gli assicurati a condurre una vita più sana. Il programma è stato lanciato il 25 settembre 2017. Per verificare se i dati personali vengono trattati correttamente, l'11 ottobre l'IFPDT ha aperto una procedura di accertamento dei fatti. Essenzialmente, l'indagine ha lo scopo di chiarire se nel programma saranno trattati anche dati attinenti l'assicurazione obbligatoria.

Informazioni maggiori a questo soggetto

Stima dei rischi legati all’utilizzazione del numero AVS quale identificatore personale

03.10.2017 - Per chiarire i particolari rischi connessi all'impiego di un identificatore personale l'Ufficio federale di giustizia (UFG) e l'IFPDT hanno commissionato una valutazione esterna intesa a illustrare i rischi eventuali che possono insorgere nell'utilizzazione del numero AVS o di identificatori alternativi. I risultati dello studio, condotto da David Basin, professore di sicurezza informatica al PF di Zurigo, sono ora disponibili.Il mandato di studio è stato attribuito in seguito alle numerose discussioni svolte in passato in Parlamento circa l'impiego del numero AVS quale identificatore personale al di fuori del settore delle assicurazioni sociali. Recentemente se ne è parlato in occasione di un pacchetto concernente il registro fondiario (14.034 CC. Atti dello stato civile e registro fondiario), sul quale la Commissione degli affari giuridici del Consiglio nazionale si chinerà nuovamente a fine ottobre 2017. Già precedentemente, il 1° febbraio 2017, il Consiglio federale ha conferito l'incarico di elaborare un progetto normativo volto ad agevolare l'impiego del numero AVS da parte delle autorità della Confederazione, dei Cantoni e dei Comuni al di fuori del settore delle assicurazioni sociali.

Stima dei rischi legati all’utilizzazione del numero AVS, 27.09.17 (in inglese) (PDF, 1 MB, 06.12.2017)

Outsourcing in ambito medico: i fornitori vogliono informare di più

01.09.2017 - A metà agosto 2017, l'IFPDT ha scritto a due aziende incaricate della fatturazione per conto dei medici, invitandoli a una maggiore trasparenza. Per alcuni pazienti risulta talvolta poco chiaro come vengono elaborati i loro dati e se questi ultimi sono trasmessi a terzi. Sia la Cassa dei Medici sia Swisscom Health si dichiarano ora disposte a informare in futuro meglio i pazienti, pubblicando sui propri siti Internet regolamenti ed elementi dei contratti relativi alle singole prestazioni. Le due aziende sottoporranno prossimamente all'IFPDT le loro proposte per l'attuazione di quest'obiettivo.

L’IFPDT chiede maggior trasparenza nell’outsourcing in ambito medico

17.08.2017 - In ambito sanitario è prassi comune tra i medici affidare la fatturazione a fornitori di servizi esterni come la Cassa dei Medici o Swisscom Health. Per garantire la protezione della sfera privata dei pazienti è importante che questi fornitori elaborino i dati solo per gli scopi fissati. Devono inoltre indicare chiaramente l’uso che fanno di questi dati dopo averli ricevuti dai medici.L’IFPDT ha constatato che a questo proposito sono necessari dei miglioramenti. Al fine di aumentare la trasparenza nei confronti dei pazienti, questa settimana l’IFPDT ha scritto ai fornitori interessati chiedendo loro di pubblicare le disposizioni dei contratti tipo relative all’elaborazione dei dati dei pazienti unitamente alle condizioni generali di contratto e ai regolamenti per il trattamento dei dati. Finora queste informazioni non erano state divulgate o comunque non integralmente. In un secondo tempo l’IFPDT si riserva la possibilità di esaminare nel dettaglio le disposizioni sensibili dal punto di vista della protezione dei dati.

Sistemi di informazioni creditizie: il Tribunale amministrativo federale protegge la sfera privata dei soggetti interessati

11.05.2017 - Nell'azione giudiziaria contro la società di informazioni Moneyhouse il Tribunale amministrativo federale emette una sentenza epocale nell'attuale contesto di digitalizzazione, ponendo chiari limiti all'associazione di informazioni profilanti e la loro pubblicazione.

Continua...

Webmaster
Ultima modifica 27.09.2022

Inizio pagina