SocialPass: richiesta una limitazione delle possibilità di ricerca

Berna, 31.05.2021 - L’IFPDT raccomanda ai gestori privati dell’applicazione «SocialPass» di limitare in misura proporzionata le possibilità concesse alle autorità sanitarie cantonali di consultare i dati raccolti in modo centralizzato.

Basandosi su informazioni acquisite dai mass media e dai cittadini, nel dicembre del 2020 l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha disposto, in applicazione dell’articolo 29 della legge federale sulla protezione dei dati (LPD), un accertamento dei fatti concernente l’applicazione «SocialPass» gestita da SwissHelios Sagl di Oberlunkhofen e NewCom4U Sagl di Sierre. Il 28 maggio 2021 l'IFPDT ha inviato loro il suo rapporto con i risultati del chiarimento e le raccomandazioni.

L’applicazione viene utilizzata in tutta la Svizzera nel settore della ristorazione per il tracciamento dei contatti (contact tracing), una misura resa obbligatoria nell’ambito della lotta contro la pandemia da COVID-19. L’applicazione consta di tre componenti: il «SocialPass», il «SocialScan» e una banca dati centralizzata. Attraverso l’applicazione «SocialPass» (disponibile su Android e iOS) i clienti inseriscono i dati di contatto sul loro smartphone. Quando visitano un ristorante sono tenuti a scansionare il codice QR dell’esercizio. I dati forniti dai clienti, unitamente a quelli dell’esercizio pubblico, vengono in seguito trasmessi automaticamente a una banca dati centralizzata, dove vengono memorizzati. L’applicazione «SocialScan» permette ai ristoratori di elaborare i dati che riguardano il loro esercizio. Questi hanno anche la possibilità di scansionare e di trasmettere i dati dei loro ospiti direttamente dall’applicazione «SocialPass».

Oltre ad avere constatato carenze di natura tecnico-organizzativa, l’accertamento dei fatti ha soprattutto permesso di appurare che i gestori dell’applicazione hanno accordato alle autorità sanitarie vodesi e vallesane un accesso diretto alla banca dati centralizzata, rendendola disponibile per ricerche mirate di vario genere. La mancanza di limitazioni giuridiche e tecniche alle possibilità di ricerca fa sì che un tale agire violi il principio di proporzionalità.

L’accertamento dei fatti concernente «SocialPass» ha inoltre fornito all’IFPDT l’occasione di pronunciarsi su alcune questioni inerenti alla protezione dei dati che, in virtù della loro fondamentale rilevanza, riguardano in parte altri sistemi di contact tracing utilizzati dai privati e dalle autorità. Considerato che le conclusioni scaturite dalla procedura risultano di interesse generale, l’IFPDT è indotto – in vista della completa riapertura del settore della ristorazione – a rendere note al pubblico una parte delle raccomandazioni rivolte ai gestori dell’applicazione «SocialPass»:

  1. per quanto riguarda la banca dati centralizzata, l’accesso e le possibilità di ricerca consentiti alle autorità sanitarie devono essere limitati a quanto è necessario per registrare i dati di contatto in modo conforme alla legge, in modo che il trattamento dei dati sia proporzionato in particolare la possibilità di ricercare delle persone deve essere limitato in tal senso;
  2. le lacune in materia di sicurezza ravvisate nei vari rapporti di audit devono essere colmate, sempre che ciò non sia già stato fatto;
  3. 3. nel rispetto della trasparenza richiesta dalla legge, i due gestori sono tenuti a uniformare tutte le informazioni necessarie ai clienti (pagine internet, App Stores e applicazioni).

Nell’aprile del 2021 i gestori dell’applicazione si sono espressi contro l’indicazione dell’IFPDT di adeguare la configurazione delle possibilità di ricerca Hanno inoltre affermato in maniera generale che i difetti contestati erano stati nel frattempo corretti. Le due società si sono tuttavia astenute dal precisare entro la conclusione della procedura di accertamento dei fatti se e in che misura i presunti correttivi siano stati apportati.

Il 28 maggio 2021 l’Incaricato ha impartito ai gestori dell’applicazione un termine di 30 giorni per prendere posizione sul suo rapporto e sulle raccomandazioni in esso contenute e per confermare che la versione del documento che verrà resa pubblica non contiene dati confidenziali.

Il 27 maggio 2021 le parti hanno depositato per mezzo del loro rappresentante legale un’istanza di ricusazione nei confronti dei collaboratori dell’IFPDT incaricati dell’accertamento dei fatti. L’Incaricato ha informato in merito le Commissioni della gestione delle Camere federali nella loro qualità di autorità parlamentare di vigilanza suprema.


Indirizzo cui rivolgere domande

Servizio informazione dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), tel. 058 464 94 10, info@edoeb.admin.ch


Pubblicato da

Incaricato federale della protezione dei dati e per la trasparenza
http://www.edoeb.admin.ch/index.html?lang=it

Webmaster
Ultima modifica 30.11.2017

Inizio pagina

https://www.edoeb.admin.ch/content/edoeb/it/home/attualita/media/medienmitteilungen.msg-id-83750.html