15° Rapporto d'attività 2007/2008

Sotto troverete una selezione di articoli del 15° rapporto d'attività dell'IFPDT. Se siete interessati al testo completo, vogliate consultare la versione in tedesco o francese di questa pagina.

Prefazione

Nell’ultimo rapporto di attività, ho paragonato il ruolo dell’Incaricato della protezione dei dati a quello di Sisifo, il tragico personaggio della mitologia greca condannato dagli dei a spingere ripetutamente lo stesso masso sulla cima di una montagna: non appena abbiamo l’illusione di aver trovato una soluzione, ecco infatti emergere un nuovo problema. Tuttavia, anche se la situazione generale permane fondamentalmente immutata, grazie al rapporto di attività annuale abbiamo modo di volgere uno sguardo al passato e di apprezzare i risultati raggiunti. Nel complesso, possiamo affermare che una protezione dei dati praticata in modo ragionevole è coronata dal successo.

Direttive dell’IFPDT per la certificazione di organizzazioni

Ai sensi dell’ordinanza sulle certificazioni in materia di protezione dei dati, l’IFPDT deve emanare direttive sui requisiti minimi del sistema di protezione dei dati, tenendo conto delle norme internazionali sui sistemi di gestione e in particolare della norma ISO/IEC 27001:2005. Queste direttive riprendono gli elementi essenziali della norma 27001, concentrando l’attenzione sulla protezione dei dati e basandosi, per la loro attuazione, su un codice di pratica complementare. Quest’ultima, strutturata in base a nove principi generali della LPD e contenente attualmente circa venti misure concrete, è il corrispettivo, per la protezione dei dati, della norma 27002 (Codice di pratica per la sicurezza delle informazioni), collegata alla norma 27001.

Introduzione di dati biometrici nei documenti d’identità

L’impiego limitato e regolamentato di dati biometrici per migliorare la procedura di autenticazione delle persone nell’ambito di controlli dell’identità e la sicurezza dei documenti d’identità non contrasta con i principi della protezione dei dati. L’utilizzo di questi dati a scopi di identificazione è invece problematico e solleva riserve.

Censimento 2010

Nell’ambito dei lavori preparatori per il censimento della popolazione del 2010, abbiamo esaminato gli aspetti relativi alla protezione dei dati che devono essere considerati nei settori della statistica, dell’armonizzazione dei registri e del censimento. Abbiamo collaborato con l’Ufficio federale di statistica ed espresso un parere sui disegni relativi a una legge sul censimento federale della popolazione e a un’ordinanza sull’armonizzazione dei registri.

Impiego di apparecchi di sorveglianza al confine svizzero

L’ordinanza sull’impiego di telecamere, videoregistratori e altri apparecchi di sorveglianza da parte dell’Amministrazione federale delle dogane, entrata in vigore nel maggio 2007, contiene disposizioni esecutive dettagliate per l’impiego di apparecchi di sorveglianza al confine svizzero. Essa definisce gli apparecchi autorizzati e il loro campo di applicazione, disciplinando le responsabilità e la durata di conservazione delle registrazioni.

Attendibilità degli estratti del registro delle esecuzioni

La solvibilità è un elemento fondamentale per partecipare alla vita economica. Dal momento che l’estratto del registro delle esecuzioni fornisce informazioni su questo tema, esso costituisce un documento scottante. Non tutti sono però consapevoli che alcuni dati contenuti nell’estratto non hanno niente a che vedere con la solvibilità. I tentativi di eliminare il pericolo di interpretazioni errate in merito alla solvibilità mediante un’iniziativa parlamentare sono falliti a causa delle diverse opinioni su come affrontare la questione.

Borse di scambio su Internet e protezione dei dati

Nell’ambito di chiarimenti sul trattamento dei dati presso una società operante nel settore della lotta contro le violazioni del diritto d’autore, abbiamo constatato che nelle reti di scambio via Internet peer-to-peer l'acquisizione di dati non rispetta i principi basilari della legge sulla protezione dei dati. Non mettiamo in alcun modo in discussione la legittimità del perseguimento penale delle violazioni dei diritti d’autore; tuttavia ci siamo resi conto che, di fatto, i titolari di tali diritti abusano del proprio diritto di consultare gli atti nell’ambito di un procedimento penale per identificare il titolare dell’accesso a Internet, eludendo così il segreto delle comunicazioni vigente nel diritto privato. A nostro avviso la questione delle violazioni di tale segreto in ambito civile richiede una base legale esplicita. Da parte nostra abbiamo raccomandato alla società in questione di cessare il trattamento dei dati.

Protezione dei dati nel quadro della valutazione di Schengen

Prima che il sistema di informazione Schengen (SIS) possa essere applicato in Svizzera, l’Unione europea deve valutare l’attuazione dell’accordo di associazione a Schengen nel nostro Paese. In occasione delle visite di valutazione presso le autorità svizzere per la protezione dei dati vengono esaminate le competenze dell’IFPDT e di numerose autorità cantonali operanti in questo ambito.

Lotta contro la tifoseria violenta

Nel periodo analizzato dal nostro rapporto d’attività sono proseguiti diversi lavori legislativi nell’ambito della lotta contro la tifoseria violenta. In questo contesto, siamo stati invitati a prendere posizione in merito ad alcuni progetti a differenti stadi di avanzamento della procedura legislativa: dal progetto di una disposizione della Costituzione federale alle direttive sul trattamento dei dati da parte di privati.

Legge federale sui sistemi d’informazione di polizia della Confederazione

Il Consiglio nazionale ha approvato il disegno di legge federale sui sistemi d’informazione di polizia della Confederazione. Non sono state tenute in considerazione, però, le proposte da noi presentate in merito a numerosi punti del disegno. Per quanto riguarda la questione particolare del cosiddetto diritto di accesso «indiretto», la regolamentazione adottata è stata proposta dal Dipartimento federale di giustizia e polizia e dall’Ufficio federale di polizia. Questa regolamentazione rappresenta un miglioramento rispetto alla situazione attuale, che non è conforme all’articolo 13 della Costituzione federale e agli articoli 8 e 13 della Convenzione europea dei diritti dell’uomo, in cui viene sancita la protezione della sfera privata. Tuttavia, non ci soddisfa il fatto che l’informazione della persona interessata sia automaticamente differita di tre anni, se non vengono trattati dati che la concernono.

Allestimento di profili del DNA nell’ambito dei ricongiungimenti familiari

L’introduzione nella legge sull’immigrazione di test del DNA per i ricongiungimenti familiari ha provocato accese discussioni in Francia. In Svizzera questa prassi esiste già: in casi eccezionali, il rilascio di un permesso può dipendere dall’allestimento di profili del DNA, purché la persona interessata vi acconsenta per iscritto. A nostro avviso, questa prassi deve tuttavia essere applicata solo in modo estremamente restrittivo.

Trasmissione di campioni biologici negli Stati Uniti nell’ambito della ricerca medica

I campioni biologici possono essere esportati negli Stati Uniti a condizione che le persone interessate vi abbiano precedentemente acconsentito. Senza il consenso, i dati possono essere resi noti solo se nel Paese destinatario può essere assicurata una protezione adeguata degli stessi.

Scambio internazionale di dati nell’ambito della lotta contro il doping

L’Agenzia mondiale antidoping (AMA) si occupa del coordinamento e della promozione di misure per la lotta contro il doping. Dato che, in questo contesto, l’AMA raccoglie dati anche in Svizzera, il nostro servizio ha analizzato le attività dell’AMA che potrebbero concernere la legge svizzera sulla protezione dei dati (LPD). Siamo giunti alla conclusione che non si può escludere di dover sottoporre l’AMA alla LPD in ambiti parziali. Nel quadro della revisione della legge sulla promozione dello sport, abbiamo dunque proposto l'istituzione di una base legale che consenta di semplificare la cooperazione internazionale nella lotta contro il doping.

Revisione della legge federale sul promovimento della ginnastica e dello sport

In Svizzera, lo scambio internazionale di dati ai fini della lotta contro il doping e l'esecuzione di controlli antidoping non sono a tutt’oggi disciplinati dalla legge, il che produce spesso incertezza giuridica per le persone coinvolte. Vista l’assenza di una base legale, oggi lo scambio internazionale di dati fra i vari organi di lotta al doping può avvenire soltanto quando una protezione dei dati adeguata è garantita per contratto o per legge. D’altro canto, in Svizzera i controlli antidoping si fondano, sotto il profilo prettamente giuridico, sul consenso spontaneo dello sportivo, fornito sotto forma di una dichiarazione. Si tratta di una pratica controversa, in quanto il rifiuto a sottomettersi a un test si traduce automaticamente nell'esclusione dalla competizione sportiva e pertanto è difficile parlare di libera volontà in tali circostanze. Onde affrontare entrambe queste problematiche, abbiamo presentato due proposte di adeguamento legislativo nel quadro della revisione della legge sul promovimento della ginnastica e dello sport.

Attuazione della 5ª revisione dell'AI

La legge federale sull’assicurazione invalidità (AI) riveduta e la relativa ordinanza (OAI) sono entrate in vigore il 1º gennaio 2008. Una delle principali innovazioni è il modello del rilevamento tempestivo dei casi d’invalidità. Sotto il profilo della protezione dei dati, il disciplinamento delle misure di rilevamento tempestivo è ancora perfettibile.

Accertamento dei fatti presso il servizio dei medici di fiducia nell’ambito dell’assicurazione malattie obbligatoria

Nel corso del 2006 abbiamo proceduto a un accertamento dei fatti presso il servizio dei medici di fiducia dell'assicurazione malattia CSS che ha evidenziato lacune. Questo ci ha indotti a rivolgere sei raccomandazioni alla CSS nella primavera del 2007.

Indagine sull’organizzazione in materia di protezione dei dati del servizio dei medici di fiducia degli assicuratori malattia

Dall’inizio di dicembre del 2007, stiamo svolgendo, in collaborazione con l’UFSP, un’indagine circa l’organizzazione in materia di protezione dei dati presso tutti gli assicuratori malattia. Quest’azione intende in primo luogo appoggiare gli organi di vigilanza nella definizione di criteri per la struttura organizzativa degli assicuratori malattia conforme alle esigenze della protezione dei dati.

Videosorveglianza presso la Posta

La Posta è confrontata con il fenomeno dei furti commessi dai propri impiegati. Per rimediarvi, ha previsto l’impiego di un sistema di videosorveglianza. Mediante tecniche moderne di criptaggio e grazie a un decriptaggio restrittivo delle registrazioni, la questione del divieto di sorveglianza del comportamento sul posto di lavoro è in gran parte risolta.

Raccomandazione per i test relativi al consumo di droghe delle FFS

Nella primavera del 2007 la stampa aveva riferito dei test antidroga che vengono effettuati presso le Ferrovie federali svizzere (FFS). Si trattava, per le FFS, di controllare se i collaboratori di meno di 40 anni, con funzioni legate alla sicurezza, assumessero sostanze illegali. In caso di risultato positivo, le persone chiamate in causa erano tenute a sottoscrivere un impegno di rinuncia al consumo, anche nel tempo libero, di cannabis. Abbiamo tra l’altro raccomandato alle FFS di determinare valori limite per il controllo del consumo di droga e di alcol, al di sotto dei quali non dev’essere effettuato alcun trattamento di dati.

Revisione della legge sul personale federale

La legge sul personale federale viene attualmente sottoposta a un’ampia revisione. In questo contesto, saranno sanciti nella legge anche i nuovi compiti del sistema d’informazione sul personale dell’Amministrazione federale (BV PLUS). Tra le nuove funzioni di BV PLUS rientrano tra l’altro le valutazioni dei collaboratori e il rilevamento del tempo di lavoro. Anche la relativa procedura di richiamo (e-gate) e i servizi che avranno diritto di accesso saranno disciplinati nella legge sul personale federale.

Revisione del diritto della società anonima; uso delle iscrizioni nel registro di commercio

Il nuovo diritto della società anonima semplifica la comunicazione tra la società e i suoi azionisti mediante il ricorso ai media elettronici. La definizione di termini vincolanti per l’iscrizione ha inoltre incrementato la trasparenza e l’attualità del registro di commercio. Siamo comunque del parere che, allo stesso modo, occorra stabilire dei termini anche per il blocco dell’accesso pubblico alle iscrizioni nel registro di commercio, quando queste non sono più pertinenti per le relazioni commerciali. Specie in caso di radiazione (per esempio dopo una bancarotta), prevale, trascorso un certo tempo, l’interesse personale a vivere la propria vita liberi da macchie risalenti a un passato lontano (diritto all’oblio). Per questo motivo, a nostro giudizio, non tutte le iscrizioni del registro di commercio devono essere accessibili liberamente e «ad aeternum».

Pubblicazione di dati del registro di commercio effettuata da privati

Chiunque intenda partecipare alla vita economica quale impresa individuale, società di persone o persona giuridica dev’essere iscritto nel registro di commercio; l’iscrizione deve riportare il nome, in esteso, dei suoi organi rappresentativi. Questi dati completi vengono pubblicati su Internet, da dove possono essere ripresi integralmente da uffici privati d’informazioni economiche. Questi arricchiscono i dati con informazioni ulteriori, ne modificano la struttura e ripubblicano in Internet il prodotto del proprio lavoro. Ciò costituisce un problema non solo perché i dati, a partire da un certo momento, potrebbero non essere più attuali, ma perché, per principio, gli uffici d’informazioni economiche non devono andare oltre il trattamento dei dati effettuato da un ente statale.

Trattamento dei dati sulla solvibilità e conformità alla LPD

Dati sulla solvibilità sono tutti quei dati personali che forniscono informazioni sulla capacità di una persona di far fronte ai propri obblighi di pagamento. Il trattamento di questi dati coinvolge numerosi attori. Tra questi figurano soprattutto i creditori, le cui fatture non sono state saldate (o lo sono state in ritardo), le agenzie d’incasso incaricate di riscuotere i crediti, nonché le agenzie d'informazioni creditizie che tentano di prevenire il rischio di perdita del credito mediante banche dati centrali. Nella prassi si constata che tutte queste operazioni di trattamento dei dati sono fonte di incertezze giuridiche. Abbiamo instaurato un dialogo costruttivo con i vari fornitori di prestazioni nell’ambito del trattamento dei dati sulla solvibilità, nell’intento di migliorare la certezza giuridica.

Protezione dei dati nel traffico internazionale dei pagamenti (SWIFT)

Un articolo del «New York Times» del 23 giugno 2006 ha rivelato che, nell’ambito della lotta contro il terrorismo, la Society for Worldwide Interbank Financial Telecommunication (SWIFT) aveva accordato agli Stati Uniti un accesso limitato ai dati memorizzati nel suo centro operativo in territorio americano. Abbiamo affrontato i problemi emersi in materia di protezione dei dati in collaborazione con il Consiglio federale e le banche svizzere e ci siamo accordati, in vista di una soluzione politica con gli Stati Uniti, sull’adozione di garanzie di sicurezza. Nel frattempo, le banche hanno informato attivamente la loro clientela sulla possibile comunicazione dei dati alle autorità statunitensi. La SWIFT ha inoltre annunciato che, in futuro, tratterà negli Stati Uniti solo i dati riguardanti le transazioni effettuate nell’ambito del traffico dei pagamenti transatlantico. Per poter realizzare tecnicamente questa soluzione, la SWIFT ha deciso di istituire un terzo centro operativo in Svizzera.

Comunicazione dei dati sul traffico internazionale dei pagamenti ai governi esteri nell’ambito dell’applicazione di sanzioni

Nello svolgimento delle loro attività internazionali, gli istituti di credito svizzeri possono essere tenuti a dimostrare a Paesi terzi (in particolare agli Stati Uniti) che rispettano le sanzioni decise da quegli Stati. In caso contrario, a seconda della situazione, gli sbocchi commerciali in quei paesi potrebbero essere ostacolati. Un istituto di credito svizzero ha ipotizzato, nell’ambito del traffico internazionale dei pagamenti in cui operava a titolo di banca di trasferimento, la possibilità di comunicare volontariamente agli Stati Uniti i dati sulle operazioni finanziarie. Dopo aver analizzato i fatti e la situazione giuridica, abbiamo concluso che l’unica prova ammessa per dimostrare il rispetto delle sanzioni è la trasmissione volontaria e anonimizzata dei dati.

Prime esperienze con il principio della trasparenza

Il principio della trasparenza si sta consolidando in seno all’Amministrazione federale. L’anno scorso, gli uffici federali hanno accordato nei due terzi delle domande ricevute un accesso completo o almeno parziale ai documenti richiesti. Per quanto concerne le richieste di mediazione, in quasi tutti i casi siamo riusciti a ottenere un risultato più favorevole per il richiedente. Soprattutto i giornalisti ricorrono al diritto di accesso ai documenti avvalendosi della legge sulla trasparenza.

WebDatareg: il nuovo programma di notifica e consultazione online delle collezioni di dati

Conformemente al nuovo articolo 11a della LPD riveduta, l’IFPDT tiene un registro delle collezioni di dati, accessibile via Internet. Con il sostegno della Cancelleria federale abbiamo dapprima definito e poi attuato un programma trilingue per la gestione online delle notifiche delle collezioni di dati fatte dagli organi della Confederazione e da privati. Per tutti gli attori interessati, in questo modo si riduce notevolmente il tempo necessario per la registrazione, l’aggiornamento e la ricerca. Tra la fine 2007 e l’inizio 2008 abbiamo proposto agli organi federali svariati corsi di formazione per permettere ai partecipanti di aggiornare, se necessario, le loro notifiche prima della messa in rete del registro, prevista per l’estate 2008. Tra l’altro anche le aziende potranno notificare le loro collezioni di dati via Internet.

Ulteriori informazioni

Documenti

Pubblicazioni

Ordinazione

Il testo integrale può essere comandato in francese e in tedesco presso l'Ufficio federale delle costruzioni e della logistica UFCL.
Art. no. 410.015

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/15--rapporto-d-attivita-2007-2008.html