datum 01/2009

Sommario

Éditorial

Care lettrici, cari lettori,

Come noto a tutti, l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) non si occupa solo della protezione dei dati, ma anche del principio di trasparenza. In molte democrazie la trasparenza degli enti amministrativi fa parte oramai della quotidianità politica e in Svizzera la relativa legge è in vigore dal luglio 2006. Il primo articolo di questo datum verte proprio sul principio della trasparenza e presenta un esempio sull'operato dell'IFPDT in qualità di autorità di conciliazione della LTras. Anche il secondo articolo verte sulla trasparenza, ma dal punto di vista del trattamento dei dati personali e spiega alcune novità introdotte dalla LPD, in vigore da 15 mesi. Nelle rubriche che seguono sono contenute informazioni pratiche e suggerimenti destinati ai genitori i cui figli scorrazzano spensieratamente su Internet.

Con questa pubblicazione colgo l'occasione per passare la guida della redazione al mio successore Francis Meier, e concentrarmi sin d'ora su altri compiti interni.

Eliane Schmid

Responsabile dell'informazione

Temi

La legge sulla trasparenza viola la protezione dei dati?

Dall'entrata in vigore della legge sulla trasparenza i cittadini hanno accesso a tutti i dossier e i documenti dell'Amministrazione federale. Talvolta, però, si ha l'impressione che la legge sulla protezione dei dati intenda impedire questa trasparenza per motivi di protezione della sfera privata. Ma questa affermazione provocatoria è corretta? Un caso concreto mostra il funzionamento della legge sulla trasparenza, il ruolo svolto dall'IFPDT e la sinergia fra le due leggi.

La legge sulla trasparenza ha lo scopo di promuovere la trasparenza sull'attività dell'Amministrazione federale garantendo l'accessibilità dei dossier e dei documenti ufficiali. La legge sulla protezione dei dati, invece, mira a proteggere i dati personali e i diritti fondamentali delle persone sui dati elaborati. Anche le autorità devono attenersi a queste leggi, quando trattano e rendono noti i dati personali dei loro cittadini. Cosa accade però quando viene presentata una domanda di accesso a un documento che contiene i dati personali di terzi?

Un caso concreto

Dopo la sua entrata in funzione un nuovo consigliere federale si è separato da due alti funzionari del suo dipartimento. Secondo i comunicati stampa del dipartimento, il contratto di lavoro è stato rescisso, poiché non è stata trovata "una base d'intesa per una proficua collaborazione". Un giornalista ha voluto conoscere i fatti nei dettagli e ha quindi chiesto una copia del contratto di lavoro, delle condizioni speciali concesse all'allora capo e dei due accordi di risoluzione.

Il dipartimento ha sostenuto che i dati personali contenuti nei due accordi di risoluzione non potevano essere anonimizzati, poiché risultava comunque chiaro di chi si trattasse. Esso ha quindi negato l'accesso per motivi di protezione dei dati, in particolare di protezione della personalità dei due funzionari.

Non d'accordo con questa decisione, il giornalista ha presentato all'IFPDT una domanda di conciliazione.

Considerazioni dell'IFPDT...

Nella sua raccomandazione l'IFPDT ha innanzitutto affermato con chiarezza che può essere chiesto l'accesso soltanto ai documenti allestiti o comunicati da un'autorità solo dopo l'entrata in vigore della legge sulla trasparenza, quindi dopo il 1° luglio 2006. Siccome i due contratti riportano una data anteriore, il dipartimento non deve renderli accessibili. Il discorso è un altro per gli accordi di rescissione, allestiti in data posteriore, in cui erano contemplate le condizioni di rescissione. I documenti riportavano il nome dei due ufficiali e disciplinavano i fatti riguardanti la sfera privata. Si tratta in questo caso di dati personali ai sensi della legge sulla protezione dei dati. Il principio di trasparenza e la protezione dei dati vanno quindi di pari passo, poiché si chiede l'accesso a documenti (accordi di rescissione) che contengono i dati personali di terzi. La legge sulla trasparenza contiene per questa fattispecie una cosiddetta norma di coordinamento che prevede una procedura in due tempi:

  • l'autorità federale deve anonimizzare i dati di terzi prima di rendere accessibile al richiedente il documento desiderato;
  • se i dati non possono essere anonimizzati, l'autorità deve attenersi alla legge sulla protezione dei dati, secondo la quale i dati possono essere comunicati solo se è previsto esplicitamente da una base legale o se la persona interessata vi ha dato prima il suo consenso. Eccezionalmente possono essere comunicati i dati personali se sussiste un interesse pubblico preponderante.

L'IFPDT riconosce, in effetti, che nel presente caso l'anonimizzazione non è possibile, ma si sofferma ad esaminare se l'interesse del pubblico all'accesso è preponderante. In altri termini, effettua una ponderazione tra l'interesse pubblico ad accedere agli accordi di risoluzione e l'interesse privato dei terzi interessati alla protezione della loro sfera privata.

... sull'interesse privato...

Per determinare l'interesse privato è stata esaminata la portata dell'ingerenza della pubblicazione di questi accordi nella sfera privata dei due interessati. I contenuti degli accordi si riferiscono alle direttive legali corrispondenti e contengono dati personali specifici o «delicati» sugli interessati. Chi riveste una carica di alto funzionario in un dipartimento, deve mettere in conto ampie ingerenze nella sua sfera privata dovute alla sua posizione di subordinazione all'Amministrazione. Secondo l'Incaricato l'accesso a questi accordi ingerisce nella sfera privata solo in scarsa misura.

... e sull'interesse pubblico

Secondo l'ordinanza sulla trasparenza l'interesse pubblico può preponderare se la pubblicazione risponde a un particolare bisogno di informazione del pubblico. Contrariamente al parere del dipartimento, l'IFPDT è persuaso che il pubblico deve essere a conoscenza di come sono state stabilite le condizioni di assunzione e di risoluzione nella fattispecie. Rammenta inoltre che lo stesso Consiglio federale ha definito il principio di trasparenza "come un ulteriore strumento immediato di controllo dell'Amministrazione da parte dei cittadini". Proprio l'accesso agli accordi di risoluzione permette di mostrare che le esigenze legali vengono correttamente applicate anche ai livelli superiori.

La raccomandazione dell'IFPDT

L'IFPDT è giunto alla conclusione che l'interesse pubblico all'accesso agli accordi di risoluzione prepondera sull'interesse dei due interessati alla protezione della loro sfera privata. Raccomanda quindi al dipartimento di allestire una copia degli accordi per il giornalista.

Il dipartimento però non ha seguito la raccomandazione dell'IFPDT, ritenendo la protezione della personalità dei due funzionari superiore all'interesse pubblico all'accesso agli accordi. Ha quindi emanato una decisione indicando che non è tenuto a consegnare i documenti desiderati. Se il giornalista insiste a voler consultare gli accordi di risoluzione, deve adire il Tribunale amministrativo federale.

Conclusione

Il legislatore ha espressamente coordinato gli effetti del principio di trasparenza e della protezione dei dati e sancito il principio secondo il quale l'accesso ai documenti ufficiali può estendersi solo fino ai limiti imposti dalla protezione della sfera privata delle persone interessate. Ciò significa, in altre parole, che la legge sulla protezione dei dati predomina di regola sulla legge sulla trasparenza. In casi eccezionali può succedere però che l'autorità può rendere accessibili anche i dati di terzi, soprattutto quando sussiste un interesse preponderante del pubblico ad accedere ai documenti ufficiali desiderati.

Se desiderate presentare una domanda di accesso, potete utilizzare il modello di lettera.

Temi

Preparare i documenti in funzione del trattamento dei dati

Chi raccoglie regolarmente dati o profili personali sensibili deve informare sia la persona interessata sia l'IFPDT. Questo è quanto previsto dalla revisione della legge sulla protezione dei dati, entrata in vigore nel 2008. Questo obbligo di informazione è più che mai essenziale in un'era in cui le ditte raccolgono e vendono costantemente dati personali, sottolinea Hanspeter Thür, incaricato federale della protezione dei dati e della trasparenza (incaricato federale), in occasione della 3a giornata europea della protezione dei dati.

Nella sua relazione all'Istituto europeo dell'Università di Zurigo, Hanspeter Thür ha presentato le prime esperienze con la revisione della legge sulla protezione dei dati, scaturita da una richiesta del Parlamento di migliorare la trasparenza nel trattamento dei dati, soprattutto per quanto concerne l'obbligo di informazione per i dati personali e dei profili della personalità degni di particolare protezione. Fanno parte di questi dati le opinioni o attività religiose, filosofiche, politiche o sindacali, la salute, la sfera intima o l'appartenenza a una razza, le misure d'assistenza sociale e i procedimenti o le sanzioni amministrative e penali.

Secondo la nuova legge è soggetto all'obbligo di informazione anche chi raccoglie informazioni che permettono di valutare caratteristiche essenziali della personalità di una persona fisica. Anche se di per sé le informazioni raccolte non sono rilevanti (abitudini di lettura, comportamento di navigazione in Internet, hobby), è possibile trarne le abitudini di consumo o le idee politiche di una persona. Sofisticate applicazioni informatiche permettono oggigiorno di allestire sistematicamente simili profili.

Come sottolineato da Thür, nel settore dei profili sul consumo i confini dei dati personali degni di particolare protezione sono raggiunti abbastanza velocemente. Alle ditte operanti in questo settore suggerisce, anche per non compromettere la buona reputazione, di comunicare tempestivamente all'IFPDT le loro raccolte di dati.

Qual'è la portata dell'obbligo di informazione?

Un'altra novità apportata dalla legge sulla protezione dei dati concerne la riconoscibilità del trattamento dei dati. Se le ditte procacciano e trattano dati personali, devono rendere riconoscibili alle persone interessate la modalità e la finalità del trattamento. Se si tratta di dati sensibili e la finalità è difficile da riconoscere, chi tratta i dati è tenuto a informare esplicitamente la persona interessata, ad esempio, nell'ambito delle condizioni di vendita generali o di una privacy policy.

A questo punto c'è da chiedersi fino a dove si estende l'obbligo di informazione per un commerciante di indirizzi, quando trasmette, non solo indirizzi, ma anche profili di persone. Visti i software raffinati usati per valutare i dati disponibili sul mercato, costituire sistematicamente un profilo è un gioco da ragazzi. Il leader sul mercato nella regione di lingua tedesca si procaccia così oltre 10 miliardi di attributi di 50 milioni di persone.

Come esposto da Thür nella sua relazione, i dati degni di protezione e i profili personali possono essere trattati solo se la persona interessata ha dato il suo consenso volontariamente e sulla base di sufficienti informazioni. In particolare devono essere chiaramente visibili la finalità del trattamento e gli eventuali svantaggi in caso di rifiuto al consenso. La legge riveduta permette di esonerare le ditte dall'obbligo di informazione per la loro banca dati, se designano un responsabile indipendente per la protezione dei dati e ne informano l'IFPDT. Numerose piccole e medie imprese usufruiscono già di questa possibilità.

Nel frattempo esiste anche un'associazione che si incontra regolarmente con l'IFPDT per discutere i problemi pratici posti dall'applicazione della legge e cercare soluzioni. Da novembre 2008 il nome del responsabile della protezione dei dati può essere comunicato all'IFPDT tramite la procedura online Datareg.

In breve

Diversificare la navigazione in rete

Quando navighiamo in Internet, lasciamo tracce sia visibili che invisibili, perlomeno ai nostri occhi. Se queste informazioni di per sé non rilevanti vengono raccolte, possono essere rapidamente allestiti profili significativi che danno indicazioni sulle idee, il carattere, il comportamento di consumo o altre caratteristiche private di una persona. Più dati sono nelle mani di certi offerti di prestazioni, più precisi diventano i nostri profili.

Per agire contro questa tendenza, l'utente ha la possibilità di diversificare la sua navigazione, scegliendo tra più offerenti gratuiti per le numerose prestazioni in rete, come mostrato da una panoramica pubblicata dalla rivista specialistica «PC-Tipp».

  • Motori di ricerca: Altavista, Microsoft Live Search, Yahoo, Google.
  • Mappe e itinerari: Open Street Map, Google Maps, Via Michelin, Map24;
  • Album fotografici e foto: Gimp, Picasa (Google), Flickr;
  • Riprese satellitari: Live Search Maps, Google Earth;
  • Visite virtuali: Norc (Vienna e altre città dell'Europa dell'est), Street View (Google);
  • Strumenti di analisi: Piwik (Open Source), Webalizer, Google Analytics;
  • E-mail: Gmx, Hotmail,Gmail (Google);
  • Instant Messaging: ICQ, Microsoft-Messenger, Google Talk, Skype, Yahoo-Messenger;

Fonte:

  • PC-Tipp del 4.3.2009: «Für Google-Verweigerer».
Dalla stampa

Pericolo di intercettazione nei telefoni senza fili

In molte case i telefoni classici hanno lasciato il posto ai telefoni senza fili, ovvero apparecchi che, connessi a una base, permettono di spostarsi durante la telefonata nei limiti di un certo raggio. Alcuni ricercatori tedeschi hanno però constatato che gli apparecchi DECT, ai quali appartengono la maggior parte dei telefoni senza fili, presentano notevoli lacune di sicurezza per la protezione dei dati.

Con modeste risorse tecniche le telefonate di terzi possono essere facilmente intercettate o deviate: il malintenzionato si apposta in macchina nelle vicinanze della casa delle persone interessate e munito di una carta telefonica Internet e un apposito software il gioco è fatto, si può collegare alla rete DECT privata. Per colmare queste lacune di sicurezza, è necessario che il fabbricante offra i rispettivi aggiornamenti e si adegui alle norme tecniche. Su domanda, Swisscom è disposta a contattare i fornitori. A tutti coloro che intendono telefonare in modo sicuro gli esperti consigliano di passare a un telefono senza fili che garantisca sicurezza anche sotto il profilo della salute.

Fonte:

  • TagesAnzeiger del 31.1.2009: «Sicherheitslücke bei Schnurlos-Telefonen».
Consigli

Un parco giochi pieno di insidie

I genitori sanno pertinentemente che i bambini e i giovani passano ore e ore davanti ad Internet per i diversi giochi reperibili. Pochi di loro, però, sono consapevoli dei rischi ad esso legati e sanno come possono proteggere con efficacia i loro figli da questi rischi.

Secondo un sondaggio dell'istituto di ricerca sul mercato Forsa, i tre quarti dei giovani internauti scorrazzano sui siti di social networking quali Facebook o StudiVZ, nei quali possono stringere contatti, mettersi in mostra, esprimere il proprio parere o condividere gli interessi con persone che hanno le stesse affinità. Divulgano inoltre a dismisura, come un elevato numero di adulti d'altronde, i loro dati personali e pubblicano foto, video, indirizzi e-mail o indicazioni sui loro hobby. Secondo il sondaggio, due giovani su tre hanno già messo online le loro informazioni personali.

Un altro sondaggio condotto recentemente da Microsoft evidenzia il clima talvolta aggressivo della rete; un giovane svizzero su due ha dichiarato di essere già stato disturbato, umiliato e insultato almeno una volta in Internet. Le cifre sono inquietanti, ma al contempo mostrano che genitori, pedagoghi ed esperti hanno ancora molto lavoro nella sensibilizzazione ai pericoli insiti in Internet. Anche se la rete rimane aperta per tutto e a tutti, l'utente ha la sensazione di trovarsi in una comunità accogliente e degna di fiducia e si comporta quindi in modo espansivo.

Per proteggere efficacemente i figli da questi pericoli, gli esperti raccomandano alcuni principi e consigli:

  1. i genitori devono parlare di Internet con i figli e ascoltare le loro esperienze, stabilire come, quanto e su quali pagine possono lasciarli navigare e devono tenere sempre d'occhio come utilizzano i siti. Ai giovani si consiglia, in caso di minacce da parte di altri internauti, di stampare i testi e mostrarli ai genitori o a un insegnante.
  2. I genitori devono ricordare ai figli di diffidare degli sconosciuti anche in Internet. Sulla rete è molto più facile nascondere la propria identità o assumerne una falsa. I bambini devono incontrarsi online solo con persone che conoscono, solo previo consenso dei genitori.
  3. I genitori devono consigliare ai loro figli di usare pseudonimi al posto del loro vero nome per motivi di sicurezza e di non divulgare, per quanto possibile, i dati personali (indirizzo, numero di telefono, codici, età).
  4. Il computer della famiglia deve trovarsi in un luogo centrale di modo da poter controllare di tanto in tanto le attività su Internet dei figli.

Esistono inoltre applicazioni studiate appositamente per i bambini e i giovani, ad es. il «Kinder-messenger», un programma di chat per bambini con elevate misure di sicurezza, in cui i genitori devono acconsentire alla registrazione e possono dare un'occhiata al profilo e alla lista dei contatti.

Maggiori suggerimenti e informazioni utili sono disponibili su:

Fonti:

  • PCtipp del 16.3.2009: «50% der Teenager im WWW belästigt.»
  • Südkurier del 11.2.2009: «Generation Dateneingeber. Was Kinder im Internet über sich verraten.»
  • Die Welt del 11.2.2009: «Digitale Sorglosigkeit.»
A proposito

Nuovo accordo con gli USA per rafforzare la protezione dei dati

Un nuovo dispositivo di massima relativo alla protezione dei dati faciliterà la trasmissione di dati personali fra le imprese svizzere e quelle statunitensi. Lo «U.S.-Swiss Safe Harbor Framework» garantisce un livello di protezione dei dati equivalente a quello svizzero.

Finora le imprese installate in Svizzera che desideravano trasmettere dati personali ai loro partner americani dovevano prima concludere un contratto e poi sottoporlo all'IFPDT. Il contratto doveva contenere le disposizioni sulla protezione dei dati vigenti in Svizzera. Questa procedura era richiesta dal nostro Paese, poiché a suo parere la legislazione degli Stati Uniti non garantiva un'adeguata protezione dei dati.

Per facilitare lo scambio di dati con i partner economici importanti, la Svizzera ha ora negoziato con gli USA un «Safe Harbor Agreement» che concede alle imprese americane la possibilità di considerare vincolante e di certificare presso il ministero del commercio del loro Paese il loro impegno a rispettare i principi fondamentali relativi alla protezione dei dati. Per le imprese svizzere questo accordo costituisce un vantaggio, poiché non sono più tenute né a negoziare un contratto né a comunicare all'IFPDT le proprie intenzioni di trasmettere dati. Ciò rafforza inoltre i diritti delle persone interessate dalla trasmissione dei dati: in caso di violazione dei principi della protezione dei dati contemplati nell'accordo, è possibile rivolgersi a organismi speciali che hanno la competenza di risolvere i conflitti.

In caso di violazioni ripetute della protezione dei dati negli Stati Uniti può essere adita una commissione nazionale di commercio che può adottare misure nei confronti delle imprese certificate. Gli Stati Uniti hanno concluso un accordo analogo con l'Unione Europea già nel 2000.

Fonte:
Agenda 2009

29 giugno


Conferenza stampa annua IFPDT e pubblicazione del rapporto d'attività e del rapporto di valutazione sul principio di trasparenza

ottobre        datum 2/09

«datum» è una pubblicazione semestrale dell‘Incaricato federale della protezione dei dati e della trasparenza.

Gli articoli di «datum» possono essere copiati e riutilizzati.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/newsletter/aeltere-newsletter/datum-01-2009.html