Prefazione

Bilancio e prospettive Svolta nei dossier «identificatore personale» e «sanità». «Big Data» e «realtà aumentata» (augmented reality): queste le nuove sfide!

L'identificatore personale fu sviluppato nell'ambito dell'armonizzazione dei registri per consentire il censimento della popolazione sulla base dei registri degli abitanti. Dieci anni fa seguimmo da vicino il progetto per la sua introduzione e criticammo la definizione lacunosa del campo d'applicazione di tale numero nonché l'intento di utilizzarlo anche per scopi amministrativi non meglio precisati. In alternativa proponemmo di introdurre numeri specifici per ogni settore, ma la nostra proposta fu bocciata. Nel frattempo è stato introdotto il nuovo numero d'assicurato AVS, il cui campo d'applicazione è definito in termini molto ampi nell'articolo 50e LAVS. Il suo impiego si è largamente diffuso. Oggi intere amministrazioni cantonali lo utilizzano e frequenti sono le richieste di adattarlo a nuove esigenze. Inizialmente si dava per scontato che il numero AVS sarebbe stato utilizzato anche per la cartella informatizzata dei pazienti. L'allora capodipartimento Pascal Couchepin aveva infatti già adottato una decisione di principio in tal senso nonostante avessimo espresso chiaramente i nostri dubbi. La grande diffusione raggiunta da tale numero (in ambito professionale, formativo, fiscale, ecc.), ma anche quella ventilata, non avrebbe infatti più consentito (e non consente) di parlare di un numero anonimo, così come era stato pensato in origine. Tuttavia, malgrado la decisione anzidetta, il cambiamento al vertice del dipartimento ha consentito di riaprire il dibattito sul tema e di giungere ad una svolta: il Consiglio federale è ora d'accordo che l'Ufficio centrale di compensazione (UCC) crei in modo randomizzato un numero di identificazione elettronica del paziente e che lo memorizzi insieme al numero AVS. A nostro parere, l'UCC potrebbe produrre in futuro numeri specifici anche per altri settori sensibili (ad esempio per il voto elettronico) utilizzando lo stesso modello.

In questa sede desidero porre l'accento su un progresso importante in ambito sanitario. Per anni abbiamo criticato il fatto che tra assicuratori e fornitori circolasse una quantità eccessiva e soprattutto non indispensabile di dati riguardanti i pazienti. Per questo, a più riprese, avevamo chiesto agli assicuratori malattia di illustrarci nel dettaglio il sistema di controllo delle fatture, sebbene fossimo già a conoscenza del fatto che la maggior parte delle fatture sono controllate con un sistema automatizzato e successivamente rimborsate senza ulteriori accertamenti. Invece di spiegazioni dettagliate, abbiamo ricevuto ogni volta la stessa risposta stereotipata: per valutare l'efficacia, l'appropriatezza e l'economicità di una prestazione, le casse necessitano di tutti i dati disponibili. In vista dell'introduzione degli importi forfettari per ogni singolo caso (SwissDRG) era importante evitare che presso gli assicuratori si accumulassero quantità eccessive di informazioni mediche digitalizzate. La proposta da noi formulata e ribadita per anni, di mettere a punto, tra fornitori di prestazioni e assicuratori, un servizio di ricezione dei dati indipendente e certificato, incaricato di determinare attraverso una selezione automatica quali fatture vadano sottoposte a un esame più scrupoloso, è tornata improvvisamente d'attualità grazie al sostegno del consigliere federale Alain Berset ed è infine stata recepita nell'ordinanza del Consiglio federale. Benché non sia stato implementato ovunque e diversi punti richiedano ancora dei chiarimenti, siamo convinti che il nuovo sistema migliori notevolmente la protezione della personalità in ambito sanitario.

Nel corso del 2012, a sei anni dell'entrata in vigore della legge sulla trasparenza (LTras), si è finalmente concretizzato l'aumento di organico prospettato nel messaggio. Ciò non consentirà di smaltire gli arretrati in un colpo solo, ma ci permetterà di occuparci quest'anno di buona parte dei 75 dossier che nel 2012 non è stato possibile trattare entro i termini previsti per legge. Nel corso dell'anno passato è stata fatta una puntualizzazione importante riguardo alla LTras: spesso, singoli servizi federali tentano di sottrarsi al campo d'applicazione delle legge poiché sostengono di non riuscire, altrimenti, ad adempiere appieno il mandato loro conferito. Lo stesso Controllo federale delle finanze (CDF) ha avanzato richiesta in tal senso mosso dal timore di non riuscire più ad ottenere informazioni importanti qualora gli informatori debbano fare i conti con l'obbligo della trasparenza. Ci siamo opposti sostenendo che un'autorità di vigilanza incaricata di fare chiarezza su eventuali malfunzionamenti dell'Amministrazione non può essere la prima a non rispettare le regole di trasparenza. Nel frattempo, il Consiglio federale ha aderito a questa posizione e ha respinto la richiesta di revisione avanzata dal CDF. Altri tentativi in tal senso sono in atto, ma ci opporremo anche a questi con la motivazione che neppure il Servizio delle attività informative della Confederazione o la Commissione della concorrenza possono sottrarsi all'obbligo di essere trasparenti nei confronti della popolazione.

Nell'anno in rassegna abbiamo proceduto a numerosi accertamenti su questioni di importanza centrale (quali la videosorveglianza negli spogliatoi o le agenzie d'informazioni commerciali e creditizie) e, nell'ambito della consultazione degli uffici, abbiamo formulato pareri su importanti testi legislativi (p. es.: LSCPT, LMSI, il registro elettronico di commercio e l'ordinanza sulle poste). Buona parte delle nostre critiche e osservazioni riguardanti la regolamentazione cui assoggettare il trojan di Stato e il modo di disciplinare e circoscrivere le ingerenze del Servizio delle attività informative della Confederazione nella sfera privata sono state prese in debita considerazione. Ci auguriamo ora che i punti ancora aperti vengano risolti nell'ambito delle deliberazioni parlamentari. La revisione dell'ordinanza sulle poste ci ha permesso di rimettere in discussione una prassi criticata da tempo e di fare in modo che dalla fine dello scorso anno la Posta non possa più chiedere un emolumento di 30 franchi al cliente che le conferisce un ordine di rispedizione e non desidera che i propri dati siano messi a disposizione di terzi. Più trasparente è adesso anche la comunicazione riguardante gli ordini di ritrasmissione: d'ora in poi la Posta stilerà una lista dettagliata dei terzi (ad es. società che commerciano in indirizzi, agenzie d'informazioni commerciali e creditizie, istituti assicurativi o bancari, ecc.) ai quali fornisce i dati dei propri clienti. Per trasmettere dati a terzi non è più sufficiente un consenso di carattere generale.

Abbiamo infine pubblicato sul nostro sito chiarimenti e informazioni riguardanti i tempi più disparati: il fenomeno della gogna in rete, la protezione dei dati personali in occasione di manifestazioni sportive di massa o l'impiego di strumenti di valutazione per siti Internet dell'Amministrazione federale. In occasione della Giornata della protezione dei dati abbiamo realizzato un opuscolo sulla protezione dei dati sul posto di lavoro.

L'anno trascorso è stato particolarmente impegnativo sul fronte sia delle agenzie d'informazioni commerciali e creditizie sia del commercio di indirizzi. Alla base di quello che si è rivelato un cantiere di grosse dimensioni vi sono state le segnalazioni pervenuteci da cittadini preoccupati. Effettuando ricerche in Google avevano infatti scoperto di essere registrati in rete con tutta una serie di informazioni personali tra cui, ad esempio, il nome del proprio partner e l'indicazione della propria solvibilità. Lo shock era grande soprattutto tra coloro che avevano trovato pubblicato in rete il proprio indirizzo completo, sebbene avessero chiesto al proprio gestore telefonico o alla Posta di non comunicarlo a terzi. Abbiamo dunque reagito prontamente disponendo quale misura cautelare l'immediato miglioramento della protezione delle persone che, per ragioni di sicurezza, avevano chiesto che il loro indirizzo non venisse diffuso. In una minuziosa procedura di accertamento dei fatti abbiamo fatto luce sui flussi di dati nell'ambito del commercio di indirizzi praticato dall'agenzia d'informazioni commerciali e creditizie coinvolta e, sulla base di tutta una serie di raccomandazioni, l'abbiamo invitata a introdurre una prassi atta a garantire il rispetto dei diritti della personalità. Ovviamente, le nostre raccomandazioni valgono per tutti gli operatori attivi in questo settore. Provvederemo ora a monitorare attentamente l'applicazione delle raccomandazioni e, se necessario, adotteremo misure complementari. Questo primo accertamento ha riguardato essenzialmente la gestione degli indirizzi bloccati ed ha messo in luce una moltitudine di problemi e interrogativi che richiedono verifiche più approfondite. Si tratta di chiarire innanzitutto in che misura i dati provenienti da fonti diverse e messi a disposizione per le più svariate ragioni siano aggregati, combinati e analizzati e il risultato di queste operazioni possa essere pubblicato in rete senza il consenso dei diretti interessati. Comunque sia, fra coloro che si sono rivolti a noi per un consiglio suscita grande sconcerto il fatto di dover accettare impotenti la pubblicazione di dati dettagliati che li riguardano. Senza voler anticipare i risultati di ulteriori accertamenti, posso formulare sin d'ora una conclusione importante: nel campo delle agenzie d'informazioni commerciali e creditizie, del commercio di indirizzi e soprattutto della pubblicazione di dati personali in Internet, la situazione giuridica è talmente lacunosa e frammentaria da rendere necessari già solo in questo ambito interventi incisivi nella legge sulla protezione dei dati.

Non è solo Internet a mettere a dura prova la protezione dei dati. Ben presto dovremo fare i conti con prodotti e innovazioni tecnologiche con cui sia i privati sia lo Stato potranno esercitare un controllo e una sorveglianza costanti sulla nostra vita sociale. Il sindaco di New York non ha forse approvato l'impiego di droni militari per catturare - da una certa distanza, certo - ogni piccolo dettaglio di quanto avviene nella grande metropoli e così sorvegliarla? Chi, in futuro, deciderà di leggere un libro in un parco, probabilmente non lo farà da solo poiché il drone (ovvero la persona che lo controlla) lo starà osservando. L'impiego di piccolissimi aeromobili dotati di tecnologie avanzate consentirà ad ogni curioso di compiere voli di ricognizione a distanze più o meno ravvicinate, di sbirciare all'interno di spazi chiusi e forse anche di intrufolarsi attraverso una finestra aperta. La cosiddetta «realtà aumentata» (augmented reality), resa possibile dalle più disparate tecnologie informatizzate, non ci consentirà semplicemente di vedere la realtà attraverso i nostri occhi, ma anche di arricchirla e interpretarla sulla base delle informazioni disponibili in rete. In futuro, durante un weekend prolungato a Londra con la vostra dolce metà, potreste venir salutati per nome da un perfetto sconosciuto che indossa un paio di «occhiali Google». Essi avranno infatti scattato una vostra foto, l'avranno confrontata con le immagini disponibili in rete e, grazie al riconoscimento facciale, vi avranno identificato. Non è meraviglioso?

Sempre più al centro della nostra attenzione vi è il tema dei «Big Data». Volumi importanti di dati sono generati

  • in modo automatico (in base ai collegamenti di telecomunicazione, agli accessi ad Internet, ai file di log),
  • attraverso la registrazione automatica da parte di lettori RFID, videocamere, microfoni e simili,
  • in base a transazioni finanziarie e
  • nei settori sanitario, energetico, ecc.

Il progresso tecnico, le enormi capacità di memoria, la possibilità di trasmettere rapidamente grosse quantità di dati su lunghe distanze e la precisione d'analisi rendono tali dati la vera e propria materia prima (il «nuovo capitale») di una società futura governata da questi ultimi, ovvero di una «data-driven-society» come l'ha definita Alex Pentane, professore di informatica presso il Massachusetts Institute of Technology. Con l'aiuto di potenti algoritmi e partendo da questi insiemi di dati è possibile giungere a conclusioni rivoluzionarie, ma dai risvolti potenzialmente preoccupanti per la sfera privata. Qualche esempio? Se l'analisi dei Big Data porta a concludere che una donna coniugata improvvisamente dedita all'acquisto di gioielli costosi è normalmente sull'orlo di una separazione oppure che, viste le transazioni finanziarie condotte, il cliente di un istituto bancario potrebbe essere vicino alla morte, gli abusi possibili sono evidenti. Sulla base di queste considerazioni e nell'ottica del dibattito in corso sulla revisione della legge, ci si chiede se con le leggi sia possibile mantenere il controllo sui Big Data e sul loro impiego.

In termini più generali si pone anche il problema di come gestire questa evoluzione nell'ambito della legislazione nazionale, poiché, vista la grande quantità di dati disponibili, il volume dei servizi Internet offerti non cessa di aumentare.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/20--rapporto-d-attivita-2012-2013/prefazione.html