Attualità

Invio di dati concernenti le vaccinazioni da parte della Fondazione «lemievaccinazioni»

08.11.2021 - Venerdì 4 novembre 2021 la Fondazione «mievaccinazioni» ha iniziato a inviare agli utenti della piattaforma i rispettivi dati concernenti le vaccinazioni. Per farlo si è servita di e-mail non codificate.  

Dopo aver concluso la procedura di accertamento dei fatti concernenti il portale lemievaccinazioni.ch, l’IFPDT ha fornito consulenza all’UFSP durante diverse riunioni svoltesi nel quadro del progetto di salvataggio dei dati «Datenrettung meineimpfungen»; in un documento ha inoltre illustrato dettagliatamente le esigenze in ambito di protezione di dati per l’invio agli utenti dei dati concernenti le vaccinazioni.

La procedura adottata ora dalla Fondazione per la trasmissione di questi dati non rispetta le esigenze poste dall’IFPDT sia nel suo rapporto finale del 31 agosto 2021 sia nei confronti dell’UFSP. L’invio di dati sanitari via e-mail non codificate senza una procedura di autenticazione a più fattori non è conforme alle esigenze in materia di protezione dei dati. La formulazione adottata nella lettera di accompagnamento della Fondazione (identica al testo pubblicato sul sito Internet della Fondazione il 05.11.2021) lascia erroneamente intendere che la procedura menzionata sia stata concordata con l’IFPDT. Questo non è il caso.

Rapporto finale dell’IFPDT concernente l’accertamento dei fatti relativo alla piattaforma www.mievaccinazioni.ch

07.09.2021 - Alla fine di luglio 2021 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha trasmesso alla Fondazione mievaccinazioni il rapporto finale che ha stilato sull’accertamento dei fatti relativo alla piattaforma www.mievaccinazioni.ch. In questo documento – pubblicato in data odierna − l’IFPDT formula tre raccomandazioni riguardanti in particolare l’integrità e la sorte dei dati in caso di chiusura della piattaforma. La Fondazione ha accettato le raccomandazioni entro il termine impartito di 30 giorni. 

Al termine dell’accertamento dei fatti la Fondazione ha annunciato che avrebbe cessato le sue attività operative e chiesto la sua liquidazione. In questo quadro, le richieste di informazione e di cancellazione dei dati non sono più trattate.  

L’IFPDT supporta la Fondazione e l’Ufficio federale della sanità pubblica (UFSP) nella ricerca di una soluzione rapida e pragmatica nell’interesse degli utenti interessati. 

23.03.2021 Comunicato stampa: Piattaforma sulle vaccinazioni: aperto un procedimento contro la Fondazione mievaccinazioni

Parere dell'IFPDT sulla trasmissione dei dati alla United States Securities and Exchange Commission

04.08.2021 - L'IFPDT ha rilasciato la seguente dichiarazione alla US Securities and Exchange Commission (SEC) sulla questione dell'ammissibilità della trasmissione dei dati dei gestori patrimoniali svizzeri all'autorità di vigilanza statunitense:

Sentenza della Corte di giustizia dell’Unione europea (CGUE) sulle clausole contrattuali standard europee e sul Privacy Shield UE-USA

16.07.2020 - Nella sentenza del 16 luglio 2020 nella causa C-311/18, Data Protection Commissioner contro Facebook Ireland Ltd e Maximilian Schrems, la Corte di giustizia ha annullato la decisione 2016/1250 sull'adeguatezza della protezione fornita dal Privacy Shield UE-USA. Resta tuttavia valida la decisione 2010/87 della Commissione sulle clausole contrattuali standard per il trasferimento di dati personali a incaricati del trattamento dei dati in paesi terzi.

L'IFPDT ha preso atto della sentenza della Corte di giustizia dell’Unione europea. La sentenza non è direttamente applicabile alla Svizzera. L'IFPDT la esaminerà nel dettaglio e la commenterà a tempo debito.

Link al comunicato della CGEU

Comunicato dell'IFPDT del 08.09.2020: Secondo l’IFPDT lo scudo per la privacy tra la Svizzera e gli Stati Uniti non garantisce un adeguato livello di protezione dei dati 

Quali conseguenze ha la Brexit sul traffico internazionale di dati?

31.01.2020 - In seguito al referendum sull’uscita del Regno Unito dall’UE (Brexit), nel giugno 2016, il Governo britannico aveva annunciato la sua decisione di uscire dall’UE. L’uscita del Regno Unito dall’Unione europea ha luogo il 31 gennaio 2020. 

Trasmissione di dati personali all’estero secondo la legge sulla protezione dei dati vigente (LPD)
Per trasmettere dati all’estero è necessario che siano adempiute le condizioni di cui all’articolo 6 LPD. Secondo questo articolo la trasmissione di dati all’estero può avvenire soltanto se il Paese di destinazione dispone di norme che assicurino un livello adeguato di protezione dei dati (art. 6 cpv. 1 LPD) o, in assenza delle stesse, se tale livello di protezione è assicurato mediante altre prescrizioni o garanzie (art. 6 cpv. 2 lett. a, g LPD). In virtù dell’articolo 31 capoverso 1 lettera d LPD, l’IFPDT può di principio stabilire se uno Stato offre un livello di protezione adeguato in modo che la trasmissione di tutti i dati sia ammessa. Ciò presuppone in particolare che il destinatario dei dati sia sottoposto a una legge che sancisca un livello di protezione dei dati comparabile a quello del diritto svizzero (garanzia dei diritti delle persone interessate, rispetto dei principi più importanti in materia di protezione dei dati, indipendenza delle autorità di vigilanza). L’IFPDT ha pubblicato sul suo sito web un elenco degli Stati che adempiono tali requisiti, il quale viene costantemente aggiornato.

Regno Unito e Gibilterra
Il Regno Unito e Gibilterra figurano attualmente fra i Paesi che offrono un adeguato livello di protezione e l’IFPDT non dispone al momento di indicazioni che lascino presupporre un cambiamento del loro statuto. In considerazione delle conseguenze giuridiche della Brexit sulla protezione di dati a carattere personale a partire dal 1° febbraio 2020, l’autorità britannica per la protezione di dati a carattere personale (ICO) ha anche indicato sul suo sito web che nel Regno Unito sarà garantito un elevato grado di protezione dei dati a carattere personale.

Qualora dovesse tuttavia considerare nel suo elenco un cambiamento dello statuto del Regno Unito o di Gibilterra, l’IFPDT provvederebbe a informarne a tempo debito le imprese affinché possano prepararsi, ricorrendo in particolare alla stipulazione di contratti standard.

Entro la fine del 2020 l’UE deciderà se per il Regno Unito potrà essere attestata un’adeguata protezione in materia di protezione dei dati. L’IFPDT osserva attivamente questi sviluppi.

Per ulteriori informazioni:

IFPDT, trasmissione di dati a carattere personale all’estero

DFAE, Direzione degli affari europei DAE : FAQ Brexit

ICO Statement on data proteciton and Brexit implementation

ICO, Data Protection and Brexit

Commissione europea, UKTF, Task force per le relazioni con il Regno Unito

Il regolamento generale dell’UE sulla protezione dei dati: le ripercussioni per la Svizzera

04.01.2018 – Il nuovo regolamento europeo sulla protezione dei dati (GDPR) entrerà in vigore il 25 maggio 2018 in tutta l’Unione europea (UE). A partire da quella data, il GDPR sarà direttamente applicabile a tutti gli attori attivi sul territorio dell’Unione europea. Le nuove norme conferiscono ai cittadini più controllo sui loro dati personali, responsabilizzano maggiormente le imprese riducendo nel contempo i loro oneri dichiarativi e rafforzano il ruolo delle autorità di protezione dei dati. Questo testo di riferimento per l’Europa avrà ripercussioni dirette su numerose imprese svizzere.

Guida allo Swiss-US Privacy Shield

24.08.2017 - L'IFPDT ha elaborato un opuscolo pratico concernente allo Swiss-US Privacy Shield che informa in modo semplice e ben comprensibile sui doveri delle aziende certificate, i diritti delle persone interessate e come si deve presentare una reclamazione.

Swiss-US Privacy Shield Guide (PDF, 175 kB, 06.12.2017)

Trasmissioni di dati verso gli Stati Uniti

L’IFPDT raccomanda di usare il certificato COVID light

08.09.2021 – L’IFPDT ha seguito lo sviluppo del certificato COVID e ha lavorato affinché fosse concepito in modo conforme alla protezione dei dati. Ritiene positivo il fatto che l’attestazione circa l’avvenuta vaccinazione anti-COVID-19, la guarigione dalla COVID-19 o il risultato di un test COVID-19 debba ora essere fornita esclusivamente mediante il certificato COVID e non mediante altre fonti.

Il certificato dispone di una versione light contenente solo i dati indispensabili, da cui non è possibile accedere ai dati sanitari. Vista l’estensione temporanea dell’obbligo di certificato alle persone di più di 16 anni decisa l’8 settembre 2021 dal Consiglio federale, l’IFPDT raccomanda l’uso del certificato light. 

Per quanto concerne la protezione dei dati, l’obbligo del certificato COVID negli spazi interni (p. es. ristoranti, bar e strutture per il tempo libero come musei, biblioteche, zoo, centri fitness, piscine coperte o case da gioco) va considerato proporzionato se costituisce una misura epidemiologicamente necessaria e appropriata per combattere la pandemia. Fornire questa attestazione rientra nella responsabilità dell’ufficio competente, sulle cui conclusioni e valutazioni si basa l’IFPDT.

Per quanto riguarda l’estensione del certificato COVID ai rapporti di lavoro, l’IFPDT prende atto del fatto che i datori di lavoro, nel quadro del loro obbligo di tutela, hanno la facoltà di verificare se i loro collaboratori sono in possesso di un certificato, ad esempio per attuare misure di protezione o piani di test. L’IFPDT considera positivo il fatto che sia menzionata esplicitamente anche la possibilità di ricorrere al certificato light. Dal punto di vista della protezione dei dati, questa opzione va sistematicamente preferita quando è irrilevante se una persona è stata testata, vaccinata o è guarita.

Comunicato stampa dell'UFSP

Comunicato stampa dell'IFPDT dal 19.07.2021

Manifestazioni in Svizzera: l’IFPDT raccomanda l’uso del certificato COVID light, conforme alla protezione dei dati

19.07.2021 - La nuova versione dell’app «COVID certificate» permette di generare facilmente un certificato COVID light, conforme alla protezione dei dati. Esso non contiene dati sanitari. L’IFPDT raccomanda alla popolazione di utilizzare il certificato light per le manifestazioni in Svizzera.

Nel quadro dell’accompagnamento fornito dall’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) nello sviluppo del certificato COVID, previsto per i viaggi all’estero,  l’IFPDT ha chiesto alla Confederazione di mettere a disposizione un secondo certificato light, contenente soltanto i dati strettamente necessari. La versione aggiornata dell’app «COVID Certificate» permette ora di generare in modo semplice il certificato light: 

Sito dell'UFSP: Certificato COVID (admin.ch) 

L’IFPDT raccomanda alla popolazione di utilizzare, in Svizzera - ad es. quando si partecipa a grandi manifestazioni - il certificato light, che contiene soltanto i dati personali strettamente necessari ed è conforme alla protezione dei dati. 

Attivando il certificato light all’interno dell’app «COVID Certificate», dai dati del certificato COVID di base viene generato un nuovo codice QR che non contiene più nessun dato sanitario. Il certificato light include soltanto la firma elettronica e le informazioni necessarie per l’identificazione. In questo modo non vi è il rischio che i dati sanitari (ad es. il vaccino utilizzato) siano letti senza autorizzazione durante il controllo del certificato, ciò che potrebbe avvenire se fossero utilizzate app di controllo diverse dall’app «COVID Certificate Check» messa a disposizione dalla Confederazione. Il certificato light, anch’esso non falsificabile, può essere utilizzato solo in Svizzera e deve essere riattivato nell’app dopo 48 ore. Il breve periodo di validità è stato scelto deliberatamente per non permettere di desumere se il certificato è stato rilasciato sulla base di un test, di una vaccinazione o di una guarigione.

Sviluppi nella procedura «SocialPass» 

22.06.2021 - La rappresentanza legale comune dei gestori di SocialPass ha terminato il mandato e si teme ora che la procedura di vigilanza in corso subisca nuovamente ritardi. Il 18 giugno 2021 i gestori hanno ritirato la domanda di ricusazione che era rivolta contro il personale dell’IFPDT incaricato di eseguire gli accertamenti. Nel frattempo il personale dell’IFPDT ha avviato con i gestori colloqui diretti che mirano a rimediare il più rapidamente possibile alle mancanze constatate e a concludere presto la procedura.

Comunicato stampa dell'IFPDT dal 31.05.2021: SocialPass: richiesta una limitazione delle possibilità di ricerca

lI certificato COVID-19 soddisfa le principali esigenze legate alla vigilanza in materia di protezione dei dati

04.06.2021 - In occasione della conferenza stampa odierna il Consiglio federale ha informato sulla creazione e sull’introduzione del certificato COVID-19. Grazie alla possibilità di utilizzare i certificati anche in forma cartacea e alla creazione di un codice QR aggiuntivo per l’uso all’interno della Svizzera sono soddisfatte le principali esigenze legate alla vigilanza in materia di protezione dei dati.

Nell’ambito del suo dovere di consulenza sancito nella legge, nelle ultime settimane l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha accompagnato l’Ufficio federale della sanità pubblica (UFSP) e l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) nello sviluppo, giuridico e tecnico, del certificato COVID-19. I due Uffici hanno in gran parte integrato le richieste dell’IFPDT.

• Da un lato l’IFPDT accoglie con favore il fatto che il certificato sarà disponibile anche in forma cartacea e non solo elettronica – in questo modo il certificato è a disposizione anche della popolazione che non dispone di uno smartphone o non vuole portarlo con sé. 
• D’altra parte l’IFPDT è riuscito a far sì che l’UFIT, oltre al codice QR compatibile con quello europeo pensato per gli spostamenti internazionali, sviluppi anche un secondo codice QR per l’uso in Svizzera. Quest’ultimo codice, che richiede meno dati, rende impossibile aggirare il principio della minimizzazione dei dati durante la lettura del certificato. Chi usa questo secondo codice QR impedisce a chi non è autorizzato di identificare, servendosi di software illeciti al momento della lettura del certificato, il motivo per cui il certificato è visualizzato come valido o non valido. Gli addetti che verificano gli accessi a una grande manifestazione non hanno ad esempio bisogno di conoscere il motivo per cui il detentore del certificato può accedere all’evento (per avvenuta vaccinazione anti-COVID-19, guarigione da un’infezione da SARS-CoV-2 o risultato negativo di un test).  

Considerato che le informazioni concernenti la vaccinazione, i test e la guarigione costituiscono dati sanitari, l’IFPDT considera con una certa preoccupazione il fatto che prima dell’introduzione del certificato, durante una fase di transizione per le manifestazioni pilota, dovrebbe essere accettata la cosiddetta "prova sufficiente". Si rammarica anche che il codice QR che richiede meno dati sarà messo a disposizione della popolazione soltanto in un secondo momento. L’IFPDT si adopererà affinché queste disposizioni transitorie restino in vigore il minor tempo possibile.

Accompagnamento del progetto dell’UFSP per un certificato COVID-19 conforme alla protezione dei dati

13.04.2021 - L’IFPDT collabora alla definizione di un certificato COVID-19 conforme alla protezione dei dati nell’ambito di un gruppo di lavoro appositamente istituito dall’UFSP. Le richieste dell’IFPDT coincidono ampiamente anche con il parere del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati in merito alla bozza di regolamento per il «certificato verde» dell’UE.

L’UFSP ha istituito un gruppo di lavoro per implementare un certificato vaccinale COVID-19 armonizzato, non falsificabile e riconosciuto a livello internazionale. L’IFPDT fa parte di questo gruppo in virtù del suo obbligo legale di consulenza e si adopera per un’attuazione conforme al mandato legislativo sancito nell’articolo 6a della legge COVID-19. Questa disposizione stabilisce i requisiti del documento che certifica l’avvenuta vaccinazione contro la COVID-19, la guarigione da un’infezione da COVID-19 o il risultato del test COVID-19. Di conseguenza un certificato di questo tipo dev’essere personale, non falsificabile, verificabile nel rispetto delle norme sulla protezione dei dati e concepito in modo tale da consentire unicamente una verifica decentralizzata o locale della sua autenticità e validità. Tale certificato dovrà quindi poter essere utilizzato per entrare in altri Paesi e uscirne. 

Nell’ambito dell’accompagnamento del progetto l’IFPDT si adopererà anche affinché l’uso futuro del certificato soddisfi i requisiti della legislazione sulla protezione dei dati, qualora sia utilizzato da privati per l’acquisizione sistematica di dati sulla vaccinazione o di altri dati personali per l’apertura dell’accesso a beni o prestazioni. A tale riguardo, secondo l’IFPDT non vanno create solo le condizioni di diritto pubblico nel diritto d’esecuzione, bensì i privati stessi sono pure tenuti a garantire i principi relativi alla protezione dei dati contenuti nella LPD. In particolare i trattamenti di dati da parte di privati devono essere proporzionati, ragionevoli e trasparenti. Inoltre, l’IFPDT ha più volte ripetuto pubblicamente che la prevista introduzione del certificato non comporterà un obbligo generalizzato di avere con sé uno smartphone (si veda in proposito il comunicato del 22.01.2021). Per questa ragione l’IFPDT è favorevole a un formato sia cartaceo sia digitale del certificato.

Le richieste dell’IFPDT coincidono ampiamente con quelle del parere congiunto del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo della protezione dei dati (GEPD) del 31 marzo 2021 in merito alla bozza di regolamento della Commissione UE per un «certificato verde digitale». Nel loro parere congiunto, l’EDPB e il GEPD stabiliscono che il «certificato verde digitale» poggia su una sufficiente base legale e che debba rispettare in particolare i principi dell’efficacia, della necessità, della proporzionalità e della non discriminazione. Come parimenti richiesto dall’IFPDT, il parere congiunto stabilisce inoltre che il «certificato verde» dovrà essere disponibile anche in formato cartaceo.

Requisiti in materia di diritto di protezione dei dati per la raccolta di dati relativi alla salute da parte di privati nel contesto della lotta alla pandemia

22.01.2021 - Nella lotta alla pandemia di COVID-19 si ricorre sempre più spesso ad applicazioni digitali installate su smartphone sui quali solitamente si trovano tracce piuttosto consistenti dello stile di vita digitale dei relativi proprietari. Ne sono un esempio l’app SwissCovid lanciata dalla Confederazione o le cosiddette «tracing app» offerte da privati che dovrebbero facilitare il tracciamento di prossimità nei Cantoni.

In seguito alla disponibilità di test diagnostici rapidi e di vaccinazioni per far fronte all’attuale pandemia, diversi fornitori privati hanno annunciato di prendere in considerazione la possibilità di subordinare l’accesso a beni o servizi, a tempo debito, alla divulgazione dei risultati dei test o alla prova dell’avvenuta vaccinazione.

 Se acquisiscono dati relativi alla salute dai propri concittadini nel contesto della pandemia, oltre alle prescrizioni di diritto pubblico concernenti i relativi piani di protezione per limitare la diffusione del coronavirus i privati sono tenuti a osservare anche le disposizioni della legge sulla protezione dei dati della Confederazione (LPD) e i principi ivi sanciti di proporzionalità e finalità del trattamento dei dati. Se i privati subordinano l’accesso a beni o servizi alla divulgazione di dati relativi alla salute, ciò può ledere la personalità degli interessati. Secondo l’articolo 13 LPD una simile lesione è ammissibile soltanto se è giustificata dal consenso della persona lesa, da un interesse preponderante privato o pubblico o dalla legge. 

Se la richiesta e l’eventuale trattamento ulteriore dei dati relativi al test o alla vaccinazione rappresentano una violazione della personalità dipende dalle circostanze concrete del singolo caso, tanto più che né il diritto pubblico né quello privato prevedono normative esaustive in materia. L’IFPDT si compiace pertanto che gli uffici federali competenti stiano elaborando un regolamento interpretativo di un’eventuale normativa e delle sue conseguenze all’attenzione del Consiglio federale.

A prescindere dal fatto che si adottino o meno disposizioni in tal senso e da quando ciò avverrà, nell’attuale situazione pandemica l’Incaricato deve sempre attendersi che i privati possano acquisire sistematicamente dati relativi al test o alla vaccinazione nonché altri dati personali. L’IFPDT segnala quindi qui di seguito i requisiti in materia di diritto di protezione dei dati che i privati devono garantire di rispettare prima di subordinare l’accesso a beni o servizi alla divulgazione di questi dati personali.

• Adeguatezza del trattamento: per rispettare il principio di proporzionalità in materia di diritto di protezione dei dati, l’acquisizione e l’ulteriore trattamento dei dati personali devono essere idonei allo scopo. Nel valutare se l’acquisizione privata e l’eventuale ulteriore trattamento dei risultati di test e vaccinazioni sono adatti a contribuire in modo significativo alla protezione contro la trasmissione e la malattia, occorre tenere conto dei pareri delle autorità sanitarie competenti – in particolare dell’Ufficio federale della sanità pubblica – sulla validità dei test e sugli effetti della vaccinazione. La valutazione in materia di diritto di protezione dei dati si basa sui pareri e sulle pubblicazioni delle summenzionate autorità competenti in materia.
• Esigibilità del trattamento: occorre rinunciare ad acquisire i dati personali menzionati se fosse subordinato a essi l’accesso a beni o servizi, la rinuncia a questi ultimi non fosse ragionevole e se l’accesso potesse essere assicurato ragionevolmente anche in altro modo.
• Entità del trattamento e sicurezza dei dati: dopo aver valutato l’accesso occorre rinunciare a salvare o a trasmettere i dati personali acquisiti, a meno che un loro trattamento ulteriore non sia strettamente necessario e motivato in modo obiettivo o sia esplicitamente richiesto dalle parti interessate. Qualora sia necessario effettuare un trattamento ulteriore, occorre limitarne entità e durata al minimo indispensabile necessario per contrastare la pandemia. Occorre inoltre garantire la sicurezza dei dati mediante adeguate misure tecniche e organizzative. 
• Tipo di trattamento: vi sono persone che sono riluttanti a mostrare uno smartphone dotato di un determinato programma perché temono un accesso ai dati del loro stile di vita digitale. E ve ne sono altre che per età, stato di salute o disabilità non sono neppure in grado di farlo. A esse occorre offrire, a condizioni analoghe, alternative ragionevoli all’acquisizione digitale dei dati personali menzionati.
• Trasparenza del trattamento: occorre informare gli interessati in modo completo e comprensibile sullo scopo e sulle modalità dell’acquisizione di dati e sull’eventuale trattamento ulteriore dei dati personali menzionati.

L’IFPDT segue l’evoluzione della situazione e si riserva il diritto di adottare misure relative al diritto della vigilanza nei confronti di privati se dovesse giungere alla conclusione che essi non adempiono i summenzionati requisiti della legge sulla protezione dei dati. Sono fatti salvi nuovi sviluppi e conoscenze scientifiche che richiedano una nuova valutazione o un’integrazione dei suddetti requisiti.

Lista di ospiti: i gestori devono garantire la protezione dei dati 

29.10.2020 - Per la registrazione dei dati di contatto destinati al Contact Tracing esiste una base legale. L’ordinanza COVID-19 situazione particolare prevede quali dati possano essere rilevati a quale scopo. La modalità di tale registrazione può invece essere decisa liberamente dai gestori e dagli organizzatori responsabili. L’utilizzazione di applicazioni è ammessa, sempre che siano rispettate le disposizioni in materia di protezioni dei dati.

Alla luce del rapido aumento del numero di casi, le misure per contrastare la pandemia vengono attualmente rafforzate ricorrendo segnatamente al «classico» Contact Tracing che mira a interrompere le catene del contagio.

La base legale per il Contact Tracing si trova nella legge sulle epidemie. L’ordinanza COVID-19 situazione particolare contiene inoltre disposizioni esecutive in relazione a misure riguardanti le strutture accessibili al pubblico e le manifestazioni.

Su questa base i gestori di strutture accessibili al pubblico e gli organizzatori di manifestazioni sono tenuti, a determinate condizioni, a registrare i dati di contatto dei visitatori o dei partecipanti. La quantità di dati da rilevare è definita; i dati possono essere raccolti soltanto per il Contact Tracing e devono essere cancellati dopo 14 giorni. I Cantoni possono prevedere in alcuni casi misure più incisive e quindi anche una registrazione di dati più completa, sempre che i requisiti legali in materia di protezione dei dati siano rispettati.

Le modalità della registrazione dei dati non sono esplicitamente precisate nell’ordinanza. I gestori e gli organizzatori sono tuttavia responsabili in ogni momento della confidenzialità della registrazione dei dati e della sicurezza degli stessi.

Alla luce di queste considerazioni, anche una registrazione tramite un’applicazione è ammessa. In particolare nei settori della ristorazione e degli eventi sono oggi disponibili molti prodotti digitali. Come per altri metodi di registrazione occorre osservare le norme in materia di protezione dei dati. Anche impiegando un’applicazione i gestori e gli organizzatori rimangono responsabili del rispetto della confidenzialità e della sicurezza dei dati. Devono garantire in particolare che siano trattati soltanto i dati previsti dall’ordinanza (ed eventualmente da atti normativi aggiuntivi cantonali) e che i dati, come menzionato più sopra, siano cancellati dopo 14 giorni.

La registrazione di ulteriori dati o l’utilizzazione dei dati registrati per scopi diversi dal Contact Tracing, come l’invio di pubblicità online, è possibile soltanto con il consenso degli interessati. In tal caso occorre garantire che gli interessati siano stati espressamente informati di questo trattamento ulteriore e che possano opporvisi in ogni momento senza subire svantaggi. Dato che sovente simili applicazioni sono installate spontaneamente sul posto quando si visitano strutture e si partecipa a manifestazioni, un eventuale impiego dei dati rilevati per scopi diversi, come l’Opt-in, dovrebbe avvenire con il consenso esplicito degli interessati.

Inoltre, dai principi generali del diritto in materia di protezione dei dati si deduce che per le persone che non portano con sé un telefono cellulare, è necessario fornire un altro mezzo per raccogliere i propri dati di contatto, come ad esempio elenchi cartacei. Questa posizione dell'IFPDT è valida con riserva di una successiva decisione dei tribunali competenti.

Update Proximity Tracing App: confermata la sicurezza tecnica dell’app SwissCovid

12.06.2020 - Dopo aver valutato il rapporto «Risk Estimation Proximity Tracing» del Centro nazionale per la cibersicurezza pubblicato oggi, l’IFPDT conferma la propria valutazione secondo cui il sistema svizzero di tracciamento di prossimità gestito dall’Ufficio federale della sanità pubblica e l’app SwissCovid sono conformi alle norme sulla protezione dei dati. 

Rapporto del Centro nazionale per la cibersicurezza (NCSC) 

L’IFPDT è consapevole che la mancata pubblicazione dell’interfaccia per la programmazione di applicazioni («application programming interface», API) – ovvero l’interfaccia di programmazione di Google e Apple per l’applicazione SwissCovid – è stata criticata dall’opinione pubblica. Non è la prima volta che accade. Questa mancanza è infatti già stata rilevata nella valutazione d’impatto sulla protezione dei dati del 1° maggio 2020 e nel rapporto del Centro nazionale per la cibersicurezza del 28 maggio 2020, pubblicato in data odierna.

Le interfacce standardizzate a livello mondiale e i rispettivi sistemi operativi sottostanti costituiscono le basi dell’app SwissCovid. Il codice sorgente dei sistemi operativi e delle interfacce non è liberamente disponibile o lo è solo in parte. Anche questo fatto è noto e non concerne l’app SwissCovid in modo specifico.

Secondo l’IFPDT l’impiego dell’API di Google e Apple per l’app SwissCovid non rappresenta un rischio significativo per i dati personali degli utenti, considerato l'uso quotidiano che questi fanno degli apparecchi di entrambi i produttori. Chiunque ritenga – in riferimento all’app SwissCovid – che Google e Apple non terranno conto delle limitazioni d’uso alle quali hanno dichiarato di attenersi, ignorando le conseguenze legali e i rischi di reputazione, deve essere consapevole di quanto segue: anche senza l'utilizzo dell'API per il sistema di tracciamento di prossimità di detti produttori, l’app SwissCovid dovrebbe comunque basarsi su un sistema operativo e sull'interfaccia bluetooth generale degli stessi produttori.

Chi per principio è scettico nei confronti dei due produttori, indipendentemente dalle caratteristiche dell’app SwissCovid, dovrebbe rinunciare non solo a utilizzare quest’ultima, ma anche tutti gli apparecchi e sistemi informatici di questi produttori. La possibilità di tale rinuncia è sempre garantita.

Per ulteriori informazioni, vi invitiamo a consultare il testo completo della nostra valutazione:

Testo completo (in tedesco) (PDF, 134 kB, 12.06.2020)

Update Proximity Tracing App

13.05.2020 - L’applicazione di tracciamento di prossimità soddisfa le esigenze in materia di protezione dei dati – Parere secondo l’articolo 17a LPD sul test pilota con il sistema svizzero di tracciamento di prossimità (SPTS).

L’IFPDT ritiene che il test pilota con il SPTS autorizzato oggi dal Consiglio federale rispetti le disposizioni in materia di protezione dei dati. I documenti mancanti devono essere presentati all’IFPDT in tempo prima della data prevista per l’attivazione completa.

Sono fatte salve le misure di vigilanza e le raccomandazioni applicabili durante il test pilota e dopo il passaggio alla prevista attivazione completa. 

Update Proximity Tracing App

30.04.2020 - L’IFPDT ritiene proporzionato il trattamento dei dati nel backend della «Proximity Tracing-Application (PTAPP)».

Verrà introdotta in Svizzera un'applicazione di rintracciamento «Proximity Tracing-Application (PTAPP)» basata sull'approccio decentralizzato "DP-3T". Anche se con questa app vengono memorizzate molte meno informazioni in modo centralizzato che tramite una app con approccio centralizzato, l'architettura del sistema ha bisogno di un cosiddetto “backend” in un server.

La Task Force Corona dell'IFPDT ha esaminato l’implementazione tecnica nel backend dell’applicazione PTAPP prevista e giunge alla conclusione che l'elaborazione dei dati prevista è proporzionata. L’IFPDT sta esaminando attualmente anche il progetto di Ordinanza del Consiglio federale su questa applicazione e le basi legali su cui poggia.

L'IFPDT sta elaborando una valutazione complessiva dell'applicazione PTAPP sotto forma di rapporto, che riunirà le precedenti valutazioni parziali e la completerà con ulteriori aspetti.

Update «Covid proximity tracing App»

21.04.2020 - L'IFPDT esamina l'architettura del sistema DP3-T e richiede la prova di una base legale sufficiente.

L'IFPDT e la sua Task Force Corona hanno partecipato ai lavori di realizzazione della "Covid proximity tracing app" dell'amministrazione federale. L'implementazione si basa sul modello "DP3-T" sviluppato dall'EPFL, che segue un approccio decentralizzato. DP3-T è indipendente dagli sviluppi del progetto europeo "PEPP-PT". La task force dell’IFPDT sta esaminando gli aspetti relativi alla protezione dei dati dell'architettura del sistema sviluppato dall’amministrazione. In linea di principio, l'IFPDT esige in particolare la prova di una base legale sufficiente ai sensi dell'articolo 17 della legge federale sulla protezione dei dati.

Maggior protezione dei dati con l’ulteriore elaborazione del progetto del Politecnico federale di Losanna per una «Covid proximity tracing App»  

17.04.2020 – Dopo la prima valutazione sommaria dell’app «Proximity Tracing» da parte della task force «Corona» dell’IFPDT, il Politecnico federale di Losanna e i suoi partner hanno continuato a lavorare al progetto denominato DP-3T. Dal punto di vista della protezione dei dati l’IFPDT constata dei miglioramenti, segnatamente grazie all’approccio decentralizzato. Continuerà a intervenire affinché la protezione dei dati sia garantita in modo ottimale al momento dell’introduzione ormai prossima.

La prima valutazione sommaria della task force «Corona» dell’IFPDT del 2 aprile 2020 si riferiva a un’impostazione oggi superata, secondo la quale le persone esposte a rischio venivano contattate dal server centrale. Nel frattempo la task force ha preso atto dell’ulteriore sviluppo del progetto denominato «Decentralized Privacy-Preserving Proximity Tracing» (DP-3T), che si fonda su un approccio decentralizzato. Dal profilo della protezione dei dati un vantaggio considerevole è costituito dal fatto che, in una logica di minimizzazione dei dati, al server centrale vengono trasmesse soltanto chiavi anonime in relazione agli utenti infetti, ossia che non consentono di risalire alle persone. Le app dei singoli utenti segnaleranno la vicinanza fisica a un utente (anonimo) infetto soltanto a livello locale. L’IFPDT riconosce che sia le soluzioni centralizzate che quelle decentralizzate presentano vantaggi e svantaggi. Per motivi legati alle norme sulla protezione dei dati e tenendo conto della tendenza in atto a livello internazionale, si dice complessivamente favorevole a proseguire lo sviluppo del DP-3T, che si fonda su un approccio decentralizzato. Precisa tuttavia che per una valutazione giuridica definitiva in materia di protezione dei dati sarà determinante l’attuazione concreta.

Nel frattempo è stato annunciato che l'Ufficio federale di statistica sarà il centro di raccolta dati (Data Trust Center). L’Ufficio federale dell’informatica e della telecomunicazione avrà il compito di sviluppare e ospitare l’infrastruttura e di provvedere alla sua manutenzione. Congiuntamente ad altri servizi, anche l’IFPDT, per il tramite della sua task force «Corona», dovrà essere consultato nelle prossime fasi di implementazione. L’IFPDT continuerà a intervenire affinché i requisiti giuridici in materia di protezione dei dati siano considerati in maniera ottimale.

Valutazione sommaria del progetto di «Covid proximity tracing App» del Politecnico di Losanna  

02.04.2020 -Poiché partecipa a un progetto volto alla creazione di una «Covid proximity tracing App», il 21 marzo 2020 il Politecnico federale di Losanna (PFL) ha chiesto all’IFPDT di sottoporre tale progetto a una valutazione sommaria.

Nella sua valutazione, la Task Force «Corona» dell’IFPDT rileva con soddisfazione che diversi provvedimenti previsti dal progetto, quali il carattere facoltativo della partecipazione, la rinuncia alla geolocalizzazione e l’impiego di identificatori temporanei dimostrano la volontà di prendere in considerazione importanti aspetti legati alla protezione dei dati. Una valutazione definitiva sotto il profilo della protezione dei dati di questa iniziativa, finora portata avanti im ambito strettamente privato, non è tuttavia ancora possibile: essa dipenderà dalla forma che assumerà il progetto definitivo e dalle modalità con cui verrà messo in pratica.

Coronavirus: piani di protezione

19.05.2020 - L’attuazione dei piani di protezione ricade sotto la sorveglianza dell’IFPDT. Egli ritiene che la raccolta e la trasmissione di dati personali secondo questi piani sono volontari.

Nell'ordinanza 2 sui provvedimenti per combattere il coronavirus (COVID-19; RS 818.101.24) il Consiglio federale, nel quadro dell’allentamento dei provvedimenti, ha vincolato la ripresa delle attività e la riapertura delle strutture con l’emanazione dei cosiddetti piani di protezione (v. Raccomandazioni dell'UFSP per il mondo del lavoro e le scuole).

I piani di protezione, la cui responsabilità di attuazione è delle strutture, che prevendono l’elaborazione di dati di persone (clienti, membri, lavoratori ecc.) ricadono sotto la sorveglianza dell’IFPDT. Quest’ultimo si adopera affinché che le strutture rispettino i principi della legge federale sulla protezione dei dati, in particolare quello della proporzionalità. A seconda del ramo e della dimensione della struttura anche i servizi giuridici interni e i consulenti in materia di protezione dei dati contribuiscono all’attuazione di questi piani conformemente alla legislazione sulla protezione dei dati.

L’IFPDT si assicura che le persone di cui sopra, oggetto dell’elaborazione e della trasmissione di dati nell’ambito dei piani di protezione, possano fornire questi dati su base volontaria e che non venga esercitato alcun obbligo indiretto:  il diritto a prestazioni e vantaggi non è dunque vincolato con la registrazione dei loro dati personali.

L’IFPDT ritiene che l’obbligo diretto o indiretto di fornire ed elaborare dati di queste persone rappresenti un’ingerenza della sfera privata e della loro autodeterminazione in materia di informazione, il che è in contrasto con il principio della proporzionalità. Sono fatte salve le prescrizioni obbligatorie di elaborazione fondate sulle basi legali sufficientemente specifiche di diritto pubblico della Confederazione o dei Cantoni.

Misure per un impiego sicuro delle soluzioni di audio e videoconferenza  

10.04.2020 - Da un giorno all'altro non è più stato possibile incontrare parenti e conoscenti né scambiare informazioni con i colleghi o tenere riunioni in ufficio. Per rimanere in contatto, cittadini e imprese sono quindi stati costretti a impiegare rapidamente soluzioni di audio e videoconferenza. La fretta di spostare nel mondo virtuale riunioni di lavoro, comunicazioni di bambini o nonni e feste non deve però farci dimenticare l'importanza di garantire la sicurezza delle informazioni e di evitare violazioni della privacy durante le videoconferenze.

Nella sua scheda informativa l'IFPDT raccomanda pertanto, come primo passo, misure immediate per garantire che la soluzione attualmente in uso possa essere utilizzata nel modo più sicuro possibile, quantomeno temporaneamente durante una situazione straordinaria. A posteriori o durante l'uso, l'impiego di questi servizi e prodotti deve essere sottoposto a una nuova valutazione nell'ambito di un'analisi dei rischi conforme ai criteri dettati dalla normativa in materia di protezione dei dati; se del caso va valutato e impiegato un prodotto maggiormente adatto alle esigenze. A tale scopo, la presente scheda informativa contiene i punti da osservare durante la preparazione e la successiva introduzione di una soluzione di audio e videoconferenza conforme alle norme sulla protezione dei dati.

Questa scheda informativa si rivolge a tutti i gruppi di utenti, sia in ambito privato che professionale.

Aggiornamento - Quadro giuridico sulla protezione dei dati per il contenimento del coronavirus:

L’accesso da parte dell’Ufficio federale della sanità pubblica (UFSP) ai dati visualizzati di Swisscom è conforme alla legislazione sulla protezione dei dati  

03.04.2020 - Il 25 marzo 2020 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha invitato la Swisscom a prendere posizione sull’accesso ai suoi dati da parte dell’UFSP. L’IFPDT, dopo aver esaminato le informazioni fornite da Swisscom, conclude che Swisscom permette all’UFSP di accedere esclusivamente a dati anonimizzati. L'IFPDT ha chiesto a Swisscom di fornire al pubblico informazioni più dettagliate sulla procedura di elaborazione dei dati. Swisscom ha risposto a questa richiesta e ha preparato delle FAQ sul trattamento dei dati in questione.

Swisscom ricorre alla piattaforma Mobility Insights (MIP)per elaborare statistiche di gruppo anonimizzate basate su dati aggregati sulla mobilità al fine di analizzare i comportamenti in questo ambito sul territorio svizzero. Le analisi di Swisscom, rese accessibili all’UFSP con uno scarto di almeno 8 ore sotto forma di visualizzazioni, illustrano se sul territorio svizzero si sono tenuti assembramenti; scopo di tale misura è la la lotta contro la pandemia di coronavirus. Queste visualizzazioni mostrano l’andamento temporale delle frequentazioni di superfici di 100 metri quadrati da parte dei possessori di telefoni cellulari, ma solo quando su queste aree sono presenti oltre 20 apparecchi di abbonati Swisscom.

Il 25 marzo 2020 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha invitato la Swisscom a prendere posizione sull’accesso ai suoi dati da parte dell’UFSP. Swisscom ha dato seguito a questa richiesta mediante lettera del 27 marzo 2020 ed una presa di posizione complementare de 2 aprile 2020. L’IFPDT, dopo aver esaminato le informazioni fornite da Swisscom e dopo aver considerato le conoscenze che aveva acquisito da precedenti consultazioni di Swisscom su tematiche analoghe, conclude quanto segue:

• I dati relativi alla localizzazione sono pseudonimizzati automaticamente (senza presa di conoscenza umana) da Swisscom (mediante tecniche di hash) appena possibile e successivamente aggregati.
• Le misure organizzative non sono descritte. Tuttavia, non vi è attualmente alcun motivo di ritenere che vi siano evidenti carenze, soprattutto perché la piattaforma MIP è un prodotto che è in funzione da diversi anni.
• Swisscom mette a disposizione dell'UFSP informazioni visualizzate tramite MIP, ma né dati in chiaro né dati pseudonimizzati che sono alla base delle visualizzazioni nella piattaforma MIP.
• I risultati (visualizzazione dei dati aggregati relativi alla localizzazione), alla quale Swisscom consente all’UFSP di accedere, sono anonime. 

Ne consegue che Swisscom permette all’UFSP di accedere esclusivamente a dati anonimizzati. L’IFPDT ritiene pertanto che l’elaborazione dei dati da parte di Swisscom e la trasmissione di dati anonimi all’UFSP siano ammesse dalla legislazione sulla protezione dei dati. 

Sulla base dei documenti messi a sua disposizione, l’IFPDT non ha motivo di dubitare che Swisscom non si attenga al trattamento dei dati illustrato nelle sue prese di posizione del 27 marzo e del 2 aprile 2020. Ammette di aver ricevuto segnalazioni divergenti, che però non hanno potuto essere corroborate. Pertanto, attualmente non vi sono indizi che inducano l’IFPDT a procedere a un accertamento formale dei fatti in virtù dell’articolo 29 della legge federale sulla protezione dei dati.

L’IFPDT ritiene invece che le informazioni accessibili al pubblico sulla collaborazione tra l’UFSP e Swisscom e sulla relativa elaborazione dei dati siano scarse e non facilmente reperibili. Ha pertanto esortato la Swisscom a fornire al pubblico informazioni più dettagliate sulla procedura di elaborazione dei dati. Swisscom ha risposto a questa richiesta e ha preparato delle FAQ sull'utilizzo della piattaforma Mobility Insights da parte dell'Ufficio federale della sanità pubblica (UFSP).

Viene pubblicata la valutazione dell'IFPT.

27.03.2020 - Ieri l'IFPDT è stato informato dall'Ufficio federale della sanità pubblica (UFSP) della collaborazione in corso con Swisscom per la lotta contro la pandemia (cfr. comunicato dell'UFSP del 26.03.2020).

Nel frattempo l'IFPDT ha ricevuto dall'UFSP e da Swisscom la documentazione pertinente in materia. Entrambi hanno inoltre assicurato all'IFPDT che in futuro lo terranno costantemente informato sui progetti rilevanti per la protezione dei dati nella lotta contro la pandemia.

La task force interna dell'IFPDT "Corona", fondata il 24 marzo 2020, sta ora analizzando questi documenti. Già pochi giorni fa sono state presentate all'IFPDT due iniziative private per le precauzioni digitali contro ulteriori infezioni. Anche questi sono attualmente oggetto di una prima analisi sommaria della protezione dei dati da parte della nostra task force.

Quadro giuridico sulla protezione dei dati per il contenimento del coronavirus 

17.03.2020 - Le autorità, in collaborazione con le istituzioni sanitarie pubbliche, fanno di tutto per frenare la diffusione del coronavirus. Le persone private, in particolare i datori di lavoro, che trattano dati personali per combattere la pandemia, devono rispettare i principi della legge federale sulla protezione dei dati.

1. trattamento dei dati da parte delle istituzioni sanitarie

In seguito alla dichiarazione della situazione straordinaria ai sensi dell'articolo 7 della legge sulle epidemie (art. 7 LEp) da parte del Consiglio federale, le autorità federali, cantonali e comunali continuano a collaborare con le istituzioni sanitarie pubbliche per combattere l'attuale pandemia di coronavirus.

L'Ufficio federale della sanità pubblica (UFSP), le autorità cantonali competenti e le istituzioni pubbliche e private cui sono affidati compiti secondo la LEp elaborano i dati sanitari personali secondo l'articolo 2 della LEp, nella misura in cui ciò è necessario per identificare persone malate, sospettate di essere malate, infette o sospettate di essere infette, al fine di adottare misure di protezione della salute pubblica. Nel fare ciò, essi osservano anche i principi generali della legislazione federale e cantonale sulla protezione dei dati. Anche gli ospedali e altre istituzioni sanitarie pubbliche o private, così come i laboratori e il personale medico, sono soggetti a speciali obblighi di notifica ai sensi della LEp.

2. trattamento dei dati da parte di privati

Nella misura in cui la società civile, in particolare i datori di lavoro, tratta dati personali per combattere la pandemia, il trattamento deve essere effettuato nel rispetto dei principi di cui all'articolo 4 della legge federale sulla protezione dei dati:

• I dati sanitari sono particolarmente degni di protezione e, in linea di principio, non possono essere ottenuti da privati contro la volontà delle persone interessate.

• Inoltre, il trattamento dei dati sanitari da parte di privati deve essere commisurato allo scopo e proporzionato. Ciò significa che devono essere necessari e adeguati per prevenire ulteriori infezioni e non devono andare oltre quanto necessario per raggiungere questo obiettivo.

• Ove possibile, i dati appropriati sui sintomi dell'influenza, come la febbre, devono essere raccolti e trasmessi dalle persone che ne sono affette.

• La raccolta e l'ulteriore elaborazione dei dati sanitari da parte di terzi privati deve essere comunicata agli interessati affinché questi ultimi comprendano lo scopo e la portata del trattamento, nonché il suo contenuto e la sua durata.

3. temperatura corporea e tracciabilità

Nella misura in cui i privati raccolgono dati medici come la temperatura corporea prima di entrare negli edifici o nei luoghi di lavoro allo scopo di prevenire le infezioni, il trattamento di questi dati deve essere limitato al minimo necessario per raggiungere lo scopo in termini di contenuto e di tempo. Nella raccolta dei dati devono essere rispettate le informazioni e l'autodeterminazione delle persone interessate. In questo contesto, rispondere ad ampie domande sullo stato di salute di persone non mediche si rivela inappropriato e sproporzionato.

Lo stesso vale per i dati personali trattati da privati nell'ambito di misure operative e organizzative volte a prevenire il contagio. Al più tardi quando la minaccia pandemica è cessata, questi dati devono essere cancellati nel loro insieme.

Se si considera l'uso di metodi digitali per la raccolta e l'analisi dei dati sulla mobilità e sulla prossimità, essi devono risultare proporzionati allo scopo di prevenire l'infezione. Lo sono solo se sono epidemiologicamente giustificati e idonei ad avere un effetto che giustifichi l'intervento nella personalità delle persone colpite al fine di contenere la pandemia allo stadio attuale della pandemia.

Nuova LPD: reclutamento di personale per altri 5 posti a partire da luglio 2022

13.07.2021 - Nel 2019, in vista dell’entrata in vigore della nuova legge federale sulla protezione dei dati (LPD) fissata per il secondo semestre 2022, il Consiglio federale ha approvato la creazione di tre posti, che nel frattempo sono già stati occupati dall’IFPDT. Esso ha autorizzato ora la creazione di altri cinque posti. Se nel dicembre 2021 il Parlamento federale approverà tale aumento nel decreto federale concernente il preventivo 2022, l’IFPDT potrà mettere a concorso i cinque posti a partire dal 1º luglio 2022.

Grazie a questi 5 posti, l’IFPDT si adopererà per svolgere i suoi compiti e le sue competenze ampliati. Questo vale in particolare per il nuovo obbligo di trattare tutti i reclami individuali, il quale non è “di poca importanza”.

Un altro passo verso una protezione dei dati moderna

25.09.2020 - Oggi le Camere federali hanno approvato in votazione finale la revisione totale della legge federale sulla protezione dei dati (LPD). Sono stati in grado di risolvere le ultime divergenze verso una protezione della sfera privata più moderna.

L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) accoglie con favore la conclusione delle deliberazioni parlamentari circa la revisione totale della LPD. Il Consiglio federale aveva sottoposto il relativo messaggio alle Camere tre anni fa. La protezione della sfera privata e l’autodeterminazione informativa della popolazione svizzera potranno così essere migliorate e adeguate alla realtà digitale.

L’IFPDT si esprimerà in modo più dettagliato sulla legge adottata una volta decorso il termine di referendum.

Il secondo Consiglio conclude la consultazione sulla legge federale sulla protezione dei dati (LPD)

18.12.2019 - L'IFPDT è soddisfatto che il Consiglio degli Stati abbia terminato la consultazione sulla LPD totalmente riveduta e abbia adottato in ampia misura i miglioramenti proposti dalla sua Commissione rispetto alla versione del Consiglio nazionale.

La legge sulla protezione dei dati al vaglio del Consiglio degli Stati nella sessione invernale

20.11.2019 - L'IFPDT si compiace del fatto che, nel breve tempo a sua disposizione fino alla fine della sessione, la Commissione delle istituzioni politiche del Consiglio degli Stati (CIP-S) è riuscita ad adottare un testo legislativo all'attenzione del Consiglio degli Stati, pronto per la consultazione e notevolmente migliorato rispetto alla versione del Consiglio nazionale.

Comunicato della CIP-S

La revisione totale della LPD è trasmessa alla Commissione del Consiglio degli Stati

25.09.2019 – Ora che il Consiglio nazionale in prima camera ha terminato di trattare la revisione totale della legge sulla protezione dei dati (LPD), l'IFPDT spera che la seconda camera inizi la discussione del disegno di legge durante la sessione invernale e che possa migliorare ulteriormente la protezione della popolazione svizzera adeguandola agli standard europei.

Revisione totale della LPD sottoposta al Consiglio nazionale in quanto Camera prioritaria

30.08.2019 - Dopo aver esaminato il messaggio del 15 settembre 2017, in data 16 agosto 2019 la Commissione delle istituzioni politiche del Consiglio nazionale ha deciso, con il voto determinante del presidente, di trasmettere al Consiglio nazionale in quanto Camera prioritaria il progetto relativo a una revisione totale della legge sulla protezione dei dati.

La proposta presentata alla Camera contiene diverse disposizioni che, nella versione della maggioranza della Commissione, condurrebbero a una minor protezione dei dati per la popolazione svizzera rispetto agli Stati europei circostanti e a una riduzione parziale del livello di protezione previsto nella legge del 1992 sulla protezione dei dati attualmente in vigore.

In occasione del dibattito del 24 e 25 settembre 2019 il Consiglio nazionale avrà la possibilità di decidere, raffrontando la versione della maggioranza con quelle delle minoranze e ponderando le rispettive motivazioni, se migliorare la protezione della popolazione svizzera adeguandola agli standard europei.

È stato pubblicato il programma con le proposte della Commissione delle istituzioni politiche del Consiglio nazionale per la revisione della legge federale sulla protezione dei dati. (programma disponibile in tedesco o francese)

Nuova LPD Schengen in vigore

01.03.2019 - In seguito alla decisione del Parlamento di suddividere la revisione della legge sulla protezione dei dati (LPD) in due parti, la legge sulla protezione dei dati in ambito Schengen (LPDS) è entrata in vigore il 1° marzo 2019 con gli adeguamenti al diritto europeo necessari per l’acquis di Schengen. Concepita come una legge transitoria, essa contiene alcune novità, tra cui il fatto che nel quadro dell’applicazione dell’acquis di Schengen per le questioni penali sono attribuite all’IFPDT competenze di inchiesta e decisionali.

Informazioni complementari alla LPD Schengen

La Commissione del Consiglio nazionale decide revisione a tappe della LPD - Bisogna tutelare il diritto fondamentale alla privacy

12.01.2018 – La Commissione delle istituzioni politiche del Consiglio nazionale (CIP-N) ha avviato ieri il dibattito sulla revisione totale della legge sulla protezione dei dati (LPD), deliberando contestualmente lo scaglionamento dell'iter parlamentare. L'IFPDT chiede che tale procedura, oltre al rapido varo degli aspetti rilevanti ai fini Schengen, si traduca comunque in una veloce attuazione dell'intera revisione.

L'IFPDT prende atto della decisione della CIP-N di voler procedere per tappe, sebbene ritenga che questo comporti notevoli sfide dal punto di vista giuridico e il rischio di ulteriori ritardi. Stante il fatto che la Commissione per il momento dovrebbe interrompere il proprio lavoro, occorre accertare che resti garantito il diritto fondamentale dei cittadini, la cui sfera privata risulta esposta ai crescenti rischi della progressiva digitalizzazione.

A questo scopo la Svizzera necessita di una legislazione sulla privacy in grado di garantire un'adeguata tutela di tale diritto, in linea con le normative europee ed efficace rispetto alle sfide poste dalla digitalizzazione. Tutto questo richiederebbe una rapida riforma completa della LPD vigente, varata nel 1993.

Il 15 settembre 2017 il Consiglio federale ha presentato una revisione totale del testo di legge che l'IFPDT, con un comunicato rilasciato il giorno stesso, ha accolto favorevolmente nelle sue linee generali, in quanto adeguato a soddisfare le condizioni fondamentali di cui sopra. Nel corso del dibattito di entrata in materia della CIP-N, in data 11 gennaio 2018, l'Incaricato ha richiesto invano l'avvio immediato della discussione integrale del progetto del Consiglio federale, suggerendo di affrontare i punti ancora critici nel quadro della deliberazione di dettaglio.

Messaggio concernente la revisione della legge sulla protezione dei dati: valutazione da parte dell'IFPDT

Obiettivi

Il rapidissimo sviluppo delle tecnologie dell’informazione e della telecomunicazione e la connessa digitalizzazione della società hanno reso necessario un aggiornamento delle legislazioni del Consiglio d'Europa e dell'Unione europea in materia di protezione dei dati e ora anche la revisione totale della legge federale sulla protezione dei dati, entrata in vigore nel 1993. Il disegno presentato dal Consiglio federale ha lo scopo di rafforzare la protezione dei dati migliorando la trasparenza del trattamento dei dati e le possibilità per le persone interessate di controllare i dati che le concernono. Con la revisione l’equivalenza del livello di protezione dei dati tra Svizzera e UE dovrà inoltre rimanere garantita. Un livello di protezione dei dati comparabile a quello degli Stati europei è di primissima importanza in particolare per l’economia svizzera, dato che il nuovo regolamento generale dell’UE sulla protezione dei dati (RGPD-UE), che entrerà in vigore il 25 maggio del 2018, avrà ripercussioni dirette per molte imprese svizzere.

Valutazione globale da parte dell’IFPDT

L’IFPDT è d’accordo con i punti centrali della revisione. Rimangono tuttavia alcune differenze dovute in gran parte al fatto che il disegno sottoposto prevede, dal punto di vista sia terminologico che contenutistico, differenze rispetto al RGPD-UE e alla Convenzione STE 108 riveduta del Consiglio d’Europa. Secondo l’IFPDT, molte di queste differenze sono inopportune in quanto, fra le altre cose, complicherebbero inutilmente la situazione giuridica per quei settori dell’economia e dell’amministrazione svizzera che devono applicare direttamente il RGPD-UE.

Aspetti positivi

L’IFPDT apprezza segnatamente il fatto che la trasparenza del trattamento dei dati venga aumentata estendendo l’obbligo di informare la persona interessata in occasione della raccolta dei dati a tutti i trattamenti da parte dei privati, indipendentemente dal grado di sensibilità dei dati. Approva inoltre l’introduzione di una valutazione d’impatto sulla protezione dei dati per i progetti di imprese private o autorità che comportano un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Viene anche esteso, a vantaggio della persona interessata, l’obbligo di informare in merito al diritto d’accesso. L’IFPDT ritiene che un altro miglioramento venga realizzato con la promozione dell’autoregolazione, ottenuta attraverso codici di condotta tesi ad agevolare le attività dei titolari del trattamento e a migliorare il rispetto della legge. Un altro aspetto positivo è costituito dall’esplicita menzione dei principi di trattamento denominati «privacy by design» e «privacy by default». Inoltre vengono potenziate l’indipendenza e la posizione dell’Incaricato. La revisione prevede che quest’ultimo, analogamente ai suoi omologhi europei, possa aprire un’inchiesta, d’ufficio o a querela di parte, nei confronti dei titolari del trattamento e dei responsabili del trattamento e possa emanare una decisione al termine dell’inchiesta. L’IFPDT prende atto che il Consiglio federale gli prospetta mezzi supplementari per l’esecuzione della nuova legge.

Divergenze rimanenti

Fra le divergenze rimanenti figura l’assenza del diritto alla portabilità dei dati, che agevolerebbe gli utenti nel controllo sui loro dati personali. Nel disegno non è neppure stata integrata l’inversione dell’onere della prova a favore delle persone interessate nella procedura civile. L’IFPDT avrebbe inoltre gradito che la nuova legge sulla protezione dei dati – analogamente al RGPD-UE – menzionasse espressamente che la legge si applicherà anche a titolari del trattamento di dati che non hanno sede in Svizzera ma il cui trattamento esplica effetti nel nostro Paese e interessa persone domiciliate in Svizzera. Tali imprese sarebbero inoltre state obbligate ad avere un interlocutore in Svizzera affinché le persone interessate potessero usufruire più facilmente dei loro diritti.
Il nuovo diritto svizzero avrebbe dovuto prescrivere, alle stesse condizioni del RGPD-UE, la designazione di responsabili aziendali della protezione dei dati alle imprese che sottostanno comunque al RGPD-UE. La stessa cosa si può dire dei codici di condotta. Le associazioni e i settori svizzeri dovrebbero sottoporre i codici di condotta all’IFPDT alle stesse condizioni secondo cui devono sottoporli, conformemente al RGPD-UE, alle autorità competenti per la protezione dei dati nell’UE. Sarebbe inoltre necessario obbligare a realizzare una valutazione d’impatto dei rischi anche le imprese che hanno nominato un consulente per la protezione dei dati e prevedere un obbligo di certificazione per i trattamenti particolarmente rischiosi.
L’IFPDT ritiene che le sanzioni proposte (tetto massimo delle multe di 250 000 fr.) abbiano un effetto deterrente troppo limitato rispetto al RGPD-UE (20 mio. di euro o il 4 % del fatturato annuo). Teme inoltre che nella prassi le sanzioni colpirebbero soprattutto il personale subalterno delle imprese inadempienti anziché le imprese stesse. Lamenta pure l’assenza di sanzioni di diritto penale amministrativo.
Infine dovrebbe essere il Parlamento, e non il Consiglio federale, ad approvare il preventivo dell’IFPDT, analogamente a quanto avviene nei confronti di altre autorità di vigilanza indipendenti quali il Controllo federale delle finanze o l’Autorità di vigilanza sul Servizio delle attività informative.

IFPDT, 15 settembre 2017

Informazioni supplementari e documentazione