datum 02/2009

Sommario

Editoriale
Care lettrici, cari lettori,

L'episodio verificatosi il 21 maggio di quest'anno ha provocato scalpore e indignazione in tutta la Svizzera. Tre giovani hanno pestato senza motivo e con visibile compiacimento due passanti nel sottopassaggio della stazione di Kreuzlingen e il tutto è stato filmato da una videocamera di sorveglianza delle FFS. La polizia ha cercato invano testimoni, ma solo dopo la pubblicazione del video ha potuto identificare gli autori del fatto. Il successo della ricerca via Internet ha spinto i politici a chiedere l'uso di questo mezzo per i pirati della strada e altri gruppi di malfattori. Nel primo articolo vi illustriamo gli aspetti delicati di questa richiesta dal punto di vista della protezione dei dati e vi spieghiamo perché la ricerca online può comunque essere opportuna in determinati casi.

Recentemente il Tribunale amministrativo federale ha preso una decisione importante in materia di legge sulla trasparenza. I documenti di gestione e di controlling dovrebbero di principio essere a disposizione dell'opinione pubblica, hanno stabilito i giudici dando ragione a un giornalista che aveva chiesto all'Amministrazione federale delle contribuzioni AFC di visionare questi documenti. Maggiori informazioni in merito sono contenute nella rubrica "A proposito" dove viene indicato anche come trattare correttamente i certificati delle casse pensioni.

Gli altri articoli di questa newsletter riguardano i pagamenti online, le candidature elettroniche e i pericoli legati agli stick USB.

Vi auguriamo una piacevole lettura

Francis Meier

Responsabile della redazione

Temi

Ricerca via Internet: l'attrattiva del facile successo

Negli ultimi mesi la sicurezza pubblica è stata ripetutamente al centro dell'attenzione. I teppisti negli stadi, i giovani picchiati brutalmente o i pirati della strada hanno spaventato l'opinione pubblica con i loro atti e hanno suscitato diverse discussioni politiche. La ricerca via Internet si è rivelata a volte uno strumento efficace per identificare gli autori. A questo proposito ci si è chiesti quale deve essere il ruolo della protezione dei dati in questi casi e quali limiti vanno posti.

L'episodio di Kreuzlingen del 21 maggio ha suscitato scalpore in tutta la Svizzera. Tre adolescenti hanno incontrato di notte alla stazione un coetaneo con un amico e li hanno picchiati apparentemente senza motivo. Questa scena ha potuto essere ricostruita grazie alla videocamera installata alla stazione. La polizia del Cantone di Turgovia ha deciso, dopo aver chiesto invano ai testimoni di presentarsi, di mettere le riprese online a scopo di ricerca e ha invitato la popolazione a fornire indicazioni riguardo l'identità degli autori del fatto. Grazie alle molte segnalazioni, è stato possibile arrestarli.

Successi analoghi sono stati registrati a Berna e Lucerna nella ricerca di teppisti negli stadi. Al termine delle partite di calcio vi sono stati scontri violenti tra i teppisti, la polizia e i tifosi avversari. La polizia ha messo le fotografie dei teppisti sul suo sito Internet e ha invitato la popolazione a fornire indicazioni. Come nel caso di Kreuzlingen, le fotografie sono state diffuse dai media e hanno così raggiunto un vasto pubblico.

Questione di misura

Come va vista in questi casi la protezione dei dati? In che misura è possibile diffondere fotografie di persone senza il loro permesso? Quando l'interesse di pubblicare è preponderante rispetto al diritto del singolo alla protezione della sua sfera privata? La legge federale sulla protezione dei dati esige che i dati personali siano trattati legalmente, proporzionalmente e in buona fede. Questi principi valgono anche per le autorità inquirenti. Dal momento che la ricerca via Internet costituisce una forte ingerenza nella sfera privata delle persone interessate, per stabilire l'identità dei delinquenti si devono utilizzare dapprima mezzi tradizionali che danno meno problemi dal profilo della protezione dei dati.

Per la lotta alla violenza negli stadi, i teppisti sono per esempio già inseriti nella banca dati nazionale Hoogan sulla tifoseria violenta. Le autorità inquirenti possono accederle per la ricerca. Una volta esauriti questi mezzi meno invasivi, si può prendere in considerazione la ricerca via Internet. Occorre esaminare attentamente la questione della colpa per evitare che persone non colpevoli finiscano nel mirino della comunità di Internet. Nei casi summenzionati la polizia ha dapprima effettuato le sue inchieste in modo tradizionale. Solo dopo la pubblicazione online delle fotografie e dei video è tuttavia riuscita ad identificare i presunti teppisti. Per pubblicare materiale fotografico di persone ricercate, specialmente su un mezzo illimitato come Internet, deve esserci una valida giustificazione. Nei casi gravi, come quelli di lesioni corporali serie o la possibilità che queste avvengano, ad esempio con il lancio di razzi in un settore di tifosi, l'interesse pubblico alla persecuzione penale dei autori prevale sul diritto alla protezione della sfera privata.

La memoria lunga di Internet

Se da un lato gli inquirenti sono soddisfati, dall'altro i responsabili della protezione dei dati sono preoccupati: spinti dai recenti successi e su pressione dell'opinione pubblica e dei media a utilizzare in futuro questo promettente mezzo in casi analoghi, le autorità inquirenti potrebbero in futuro ricorrere maggiormente alla pubblicazione di filmati di videosorveglianza o di fotografie a scopi di ricerca. Per le persone interessate e per la loro famiglia ne potrebbero tuttavia derivare gravi conseguenze professionali e sociali per un periodo inadeguatamente lungo. I contenuti presenti nel World Wide Web possono essere moltiplicati ed elaborati a piacimento e di conseguenza le fotografie saranno probabilmente disponibili a lungo termine. Non serve a molto in effetti che le autorità rimuovano le fotografie o i video dal loro sito Internet dopo l'identificazione dell'autore.

Pirati della strada alla gogna?

Poco dopo i successi riscontrati nelle ricerche di cui sopra, i politici hanno chiesto un ampio utilizzo di Internet, in particolare come gogna per determinati gruppi di malfattori. Un'iniziativa parlamentare ha per esempio chiesto che le fotografie di noti pirati della strada fossero pubblicate. Gli autori dell'iniziativa ritengono che le pene esistenti siano troppo poco dissuasive. Giustificano l'ingerenza nella sfera privata con l'interesse dell'opinione pubblica a una maggiore sicurezza del traffico. Nell'ottica della protezione dei dati, questi argomenti sono poco sostenibili.

È incontestato che i picchiatori, i pirati della strada o i teppisti mettono in pericolo la sicurezza pubblica e che sono necessarie misure efficaci per procedere contro di loro. È tuttavia estremamente dubbio il fatto che persone, che a volte si vantano anche sulla rete dei loro reati, si lascino intimorire dalla gogna ufficiale su Internet. C'è piuttosto il pericolo che la pubblicazione dei loro nomi porti a una gara per ottenere la maggiore pubblicità o il miglior piazzamento su queste liste. L'Incaricato federale della protezione dei dati e della trasparenza Hanspeter Thür ha quindi sostenuto nei media: "sarebbe efficace togliere definitivamente l'auto ai pirati della strada, togliere loro la patente per un periodo molto lungo e punire anche terzi che mettono a loro disposizione un veicolo".

Internet offre possibilità molto interessanti per la ricerca di autori di reati ma in ogni caso occorre mantenere una certa misura. I successi ottenuti nella ricerca potrebbero portare a utilizzare Internet anche per atti molto meno gravi e questo sarebbe sproporzionato.

Fonti:

  • Freipass vom Datenschutz. Thurgauer Zeitung 30.5.09.
  • Foto-Veröffentlichung umstritten. Aargauer Zeitung 25.5.09.
  • Hooligan-Fahndung: Luzern als Vorbild und Entlarvt die Chaoten. Tages-Anzeiger 28.5.09.
  • Die Renaissance des Prangers könnte zum Bumerang werden. Südostschweiz 11.6.09.
  • Pranger für Raser ungeeignet. Aargauer Zeitung 11.6.09.
  • Fahndung im Internet läuft an. Der Bund 30.5.09.
  • Schneller Einsatz des Internet-Prangers. NZZ 30.5.09.

 

Temi

I gestori delle chat devono segnalare i dialoghi in caso di sospetto di pedofilia

I gestori di servizi di chat devono segnalare i dialoghi per dissuadere i pedofili e per perseguire i reati, tuttavia soltanto se sussiste un sospetto motivato e se l'utente ne è informato in anticipo. I dati registrati devono essere eliminati una volta raggiunto lo scopo.

Se sussiste il sospetto che attraverso una chat qualcuno stia commettendo un reato, in casi specifici e a determinate condizioni è possibile registrare i dati in vista di una denuncia. La registrazione sistematica dei dialoghi nella chat (conservazione dei dati) è invece ammessa solo su disposizione giudiziale. È possibile utilizzare un software che identifica possibili attività legate alla pedofilia (p. es., se vengono utilizzate parole chiave definite in precedenza) e registra il contenuto del dialogo elettronico. Nell'ambito di una procedura penale si può consentire alle autorità inquirenti di accedere ai log file. Il gestore di una chat room deve assicurarsi che, prima di utilizzare la chat, gli utenti interessati siano informati della presenza di questo tipo di software.

La conservazione dei log file è soggetta al principio della proporzionalità. Di conseguenza, i dati dovrebbero rimanere memorizzati soltanto il tempo necessario per raggiungere lo scopo indicato per l'inchiesta. Ciò significa che, nel caso di una denuncia, i dati devono essere eliminati immediatamente dopo essere stati trasmessi alle autorità inquirenti. Di regola, nel caso non venga sporta una denuncia, i dialoghi registrati devono essere verificati ed eliminati entro 24 ore.

Dalla stampa

Le insidie dell'e-payment

A scadenze regolari i media mettono in guardia dai pericoli dell'e-banking e dell'e-payment. In effetti può capitare che persone non autorizzate accedano ai conti di terzi o effettuino deviazioni di pagamenti su questi conti. I motivi principali per queste truffe secondo gli esperti sono le abili strategie dei truffatori da un lato e la mancanza di conoscenze e la leggerezza dei consumatori dall'altro. Chi tuttavia osserva alcune regole di base può effettuare pagamenti online in modo sicuro.

A volte le autorità riescono ad arrestare i truffatori nell'e-payment. Nel 2008, sono stati arrestati tre studenti di informatica in Russia e in Ucraina che avevano sottratto circa 150'000 franchi da conti di terzi. Spesso succede che una persona venga invitata via e-mail da una società di comodo a scaricare un programma antivirus gratuito. Quando clicca sul link ci contenuto, viene invitata a estrarre una determinata banca dati che tuttavia contiene un codice dannoso. Se questa persona intende utilizzare un servizio di pagamento online come Abbey, Halifax o Paypal, il codice dannoso indirizza il browser Internet a un sito fasullo ma apparentemente autentico. Le password inserite dall'utente, i codici di sicurezza e altri dati confidenziali possono essere registrati e utilizzati in modo abusivo dai gestori di questo servizio falso.

Come proteggersi dai truffatori

Tutti coloro che apprezzano i sistemi di pagamento elettronici e non vogliono rinunciare ai vantaggi che offrono devono osservare le seguenti regole di sicurezza:

•-          assicurarsi che il computer sia dotato di un software antivirus o di sicurezza aggiornato. Navigare solo con un firewall attivato e aggiornare regolarmente il browser (per es. Internet Explorer, Mozilla Firefox);

•-          utilizzare le password con cautela ed esaminare dapprima la credibilità e la confidenzialità delle offerte Internet prima di inserire i dati personali. Evitare di annunciarsi presso un istituto finanziario mediante link ricevuti via e-mail. Si tratta di cosiddetti siti phishing attraverso i quali i truffatori ottengono informazioni per poi annunciarsi presso il server dell'istituto finanziario. Selezionare dunque il sito del prestatore di servizi nei preferiti o inserire a mano l'indirizzo nell'apposita riga del browser;

•-          controllare dopo ogni transazione che l'importo e il numero di conto siano corretti. Con determinati malware (programmi che possono trovarsi sul disco rigido del computer), i truffatori possono manipolare in tempo reale e senza essere notati i dati delle transazioni come il beneficiario del pagamento e l'ammontare dell'importo. Se durante il controllo delle Sue transazioni constata una tale manipolazione è consigliabile annunciarla al Suo istituto finanziario.

Trovate informazioni esaustive e consigli per esempio presso la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI o sulla piattaforma lanciata da diversi istituti finanziari svizzeri "eBanking - ma sicuro!".

Fonti e altre informazioni:

  • Bei Onlinezahlungen aufpassen, PC-Tipp, 10.6.2009
  • Sicurezza dell'informazione: rapporto semestrale 2008/II della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI. (cap. 3.1)

In breve

Problematica relativa agli stick USB

Gli esperti mettono in guardia dai pericoli legati agli stick USB e ad supporti mobili di memoria. Possono trasmettere virus e in caso di perdita possono mettere in pericolo la sicurezza dei dati personali. Per evitare tutto ciò è sufficiente seguire alcune semplici regole.

Secondo i media, negli ultimi mesi molte organizzazioni sono state infettate da programmi dannosi mediante i supporti mobili di memoria. Lo scorso anno, l'esercito americano ha vietato a tutti i membri delle forze armate l'utilizzo di supporti di dati esterni. Secondo uno studio americano, la percentuale delle trasmissioni di virus mediante stick USB è aumentata notevolmente, dal 32 per cento nel 2007 al 65 per cento nell'anno successivo. Per trasmettere virus è sufficiente inserire il supporto di dati nel computer e in questo modo il malware infetta il disco rigido.

Come indica la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI, è tuttavia possibile proteggere in modo relativamente semplice i propri dati dagli attacchi legati agli stick USB. In primo luogo occorre disattivare la funzione autorun per le keys USB sul computer per evitare che i dati vengano trasferiti senza richiesta. Si raccomanda di verificare regolarmente la presenza di virus sullo stick come per il disco rigido. Inoltre, in caso di perdita del supporto di dati occorre evitare che informazioni confidenziali finiscano nelle mani sbagliate. A questo proposito è sufficiente codificare i dati con una relativa applicazione.

Fonti e altre informazioni:

Consigli

Che cosa occorre osservare nelle candidature online

Con l'avvento di Internet il mondo del lavoro è radicalmente mutato. I cambiamenti riguardano anche il processo di candidatura. Molte persone interessate a posti di lavoro si candidano ora online per le varie offerte. Questo sistema è comodo ma nasconde alcuni rischi relativi alla protezione dei dati.

La candidatura online comporta vantaggi sia per il candidato sia per le imprese: con l'invio elettronico si riducono le spese per il materiale da entrambe le parti e così si diminuiscono i costi. Eliminando la spedizione per posta si risparmia anche del tempo. Non c'è da stupirsi quindi se molte imprese invitano i candidati a inviare le loro candidature in forma elettronica. Secondo uno studio pubblicato sulla rivista informatica PC-Tipp, circa la metà dei servizi del personale (46,4 %) accetta i curriculum, i certificati e le lettere di presentazione esclusivamente via e-mail. Un servizio su otto invita gli interessati a candidarsi mediante un modulo online.

Le candidature contengono tuttavia una serie di dati personali che vanno oltre il percorso professionale e danno indicazioni sulla personalità, la situazione familiare e i modelli comportamentali. Queste informazioni sono molto richieste. Per evitare un abuso dei dati bisognerebbe garantire che solo le persone autorizzate abbiano accesso alla documentazione. Prima di inviare materiale, esaminate la serietà dell'inserzione e scegliete un adeguato modo di codificazione per l'invio via e-mail (FAQ sulla crittografia - link). Si consiglia inoltre di non comunicare dati sensibili (per es. informazioni sulle idee politiche, lo stato di salute o l'orientamento sessuale).

Le candidature pervenute devono essere trattate in modo confidenziale dal datore di lavoro. Solo le persone incaricate del reclutamento possono accedervi. I dati possono inoltre essere utilizzati solo per chiarire se il candidato è idoneo all'esercizio dell'attività. Per ogni ulteriore utilizzo dei dati è necessario il consenso esplicito dell'interessato. Una volta trovato il collaboratore idoneo, l'impresa deve di principio eliminare i dati degli altri candidati tranne nel caso in cui questi ultimi diano il consenso di conservare la documentazione (per ulteriori candidature).

Fonte:

  • Digitale Bewerbungen überwiegen. PC-Tipp del 18.6.2009
A proposito

Decisione del Tribunale amministrativo federale: Cockpit e reporting ufficiali accessibili al pubblico

In una nuova sentenza, il Tribunale amministrativo federale ha stabilito che i documenti di gestione e di controlling denominati "cockpit" e "reporting ufficiali" non possono essere negati in generale all'opinione pubblica. Si basa in proposito su una raccomandazione dell'IFPDT che precedentemente era giunto alla stessa conclusione.

Un giornalista ha chiesto all'Amministrazione federale delle contribuzioni AFC di accedere ai cockpit e ai reporting ufficiali. L'AFC ha negato l'accesso con la motivazione che i rapporti in questione adempiono una funzione di controlling, gestione e direzione e sono destinati all'uso personale del direttore. Il giornalista ha quindi chiesto all'IFPDT di svolgere una procedura di conciliazione. L'IFPDT è giunto alla conclusione che anche i documenti di controlling e di gestione della direzione di un'autorità federale sottostanno al principio della trasparenza e di conseguenza sono di principio accessibili. Ha di conseguenza raccomandato all'AFC di inviare al giornalista un elenco di tutti i rapporti con le designazioni "cockpit" e "reporting ufficiale" degli anni 2006 - 2008 in modo che egli potesse precisare la sua richiesta.

L'AFC non è stata d'accordo con la raccomandazione dell'IFPDT e ha emanato una decisione contro la quale il giornalista ha presentato ricorso al Tribunale amministrativo federale. Quest'ultimo, nella sua sentenza, è giunto allo stesso risultato espresso dall'IFPDT nella sua raccomandazione. Il Tribunale ha annullato la decisione dell'AFC e l'ha esortata a far pervenire al giornalista un elenco dei documenti menzionati affinché egli possa precisare la sua richiesta.

Raccomandazione del 3 aprile 2009: AFC / Cockpit e reporting ufficiali

A proposito

L'IFPDT critica la prassi di invio indiretto dei certificati della cassa pensioni

Per motivi legati alla protezione dei dati, gli istituti di previdenza professionale devono inviare i certificati della cassa pensioni direttamente agli assicurati e non per il tramite del datore di lavoro. Nel caso di un istituto che inviava i certificati dei dipendenti all'impresa, l'IFPDT ha dovuto intervenire e raccomandargli di porre termine a questa prassi di spedizione indiretta. La cassa pensioni concernente ha tuttavia respinto la raccomandazione, perché ora è il Dipartimento federale dell'interno (DFI) a dover decidere.

La cassa pensioni ha inviato i certificati personali dei suoi assicurati al datore di lavoro che li ha in seguito trasferiti agli impiegati. Il superiore ha potuto vedere dati contenuti nel certificati non rilevanti per la sua attività. L'IFPDT ritiene che questa procedura sia illegale. Dal momento che non vi sono disposizioni legali che disciplinano espressamente la comunicazione del contenuto del certificato della cassa pensioni al datore di lavoro, è stato violato il principio di legalità. L'istituto non ha di conseguenza nessun motivo per giustificare la comunicazione dei dati del lavoratore al datore di lavoro.

L'istituto deve prendere provvedimenti tecnici e organizzativi per garantire che i certificati della cassa pensioni vengano inviati all'assicurato senza comunicare dei dati personali a terzi in un modo non legittimo. La responsabilità dell'invio conforme alla protezione dei dati non può essere trasferita al datore di lavoro. Vi sono alcuni grandi istituti di previdenza che inviano i certificati della cassa pensioni direttamente e in modo confidenziale ai lavoratori da loro assicurati.

Dal momento che l'istituto in questione non è stato disposto, nemmeno dopo diversi scambi di lettere, a risolvere questo problema puramente organizzativo in modo conforme alla protezione dei dati, l'IFPDT ha emanato una raccomandazione che esorta l'istituto a sospendere immediatamente la prassi di spedizione indiretta dei certificati per il tramite del datore di lavoro. Esso deve inoltre provvedere a trasmettere i certificati direttamente ed esclusivamente all'assicurato e lavoratore. Dopo il rifiuto della raccomandazione da parte dell'istituto, l'IFPDT ha inoltrato una domanda di decisione sulla questione al Dipartimento federale dell'interno (DFI) che può essere portata davanti al Tribunale amministrativo federale.

Agenda 2010
28. gennaio  4a giornata europea della protezione dei dati
marzo  datum 1/2010
«datum» è una pubblicazione semestrale dell‘Incaricato federale della protezione dei dati e della trasparenza.

Gli articoli di «datum» possono essere copiati e riutilizzati.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/newsletter/aeltere-newsletter/datum-02-2009.html