16° rapporto d'attività 2008/2009

Sotto trovate una selezione di articoli del 16° rapporto d'attività dell'IFPDT. Se siete interessati al testo completo, vogliate consultare la versione in tedesco o francese di questa pagina.

Prefazione

Affinché la protezione dei dati sia efficace occorrono costanza e pragmatismo

Facebook e altre reti sociali su Internet sono sempre più apprezzati e nel frattempo sono arrivati a milioni di utenti in tutto il mondo. Soprattutto le giovani generazioni trovano particolarmente «cool» farsi «amici» in questo modo, scambiarsi notizie e opinioni su interessi comuni, svelando anche aspetti molto personali della propria vita. Quel che è interessante è che sono sempre di più anche i meno giovani a servirsi di tale strumento: i politici si stanno rendendo conto che è una maniera per raggiungere quasi gratuitamente e nello stesso momento, con un effetto a valanga, un gran numero di elettori. Pare che il presidente statunitense Barack Obama debba in gran parte la sua elezione al fatto di avere coinvolto i siti sociali nella sua campagna elettorale. Anche in Svizzera i politici utilizzano viepiù questo strumento. Il referendum contro i passaporti biometrici, per esempio, è il primo riuscito basato su Internet. Nel frattempo è chiaro che molti attori della società, dal datore di lavoro ai servizi segreti, utilizzano per i loro scopi questa fonte di informazioni che sgorga sempre più abbondante.

Certificazione di prodotto e di sistema nel settore della protezione dei dati

Abbiamo ricevuto il mandato di emanare il più presto possibile le direttive per la fissazione dei criteri specifici che un prodotto deve adempiere nel quadro di una certificazione. Questo compito si rivela tuttavia estremamente arduo, poiché una certificazione ISO 15408 estesa alla protezione dei dati è per sua natura complessa, in parte sfasata rispetto alla nostra situazione legislativa, ma soprattutto difficile da realizzare.

Entrata in vigore delle direttive per la certificazione dei sistemi di gestione della protezione dei dati

Il 1° settembre 2008 sono entrate in vigore le nostre direttive, inclusi allegati, sulle esigenze minime che un sistema di gestione della protezione dei dati deve adempiere. Esse poggiano fortemente sulle norme internazionali ISO 27001 e ISO 27002, con la priorità spostata dalla sicurezza delle informazioni alla protezione dei dati.

Numero di identificazione delle imprese

Dopo una prima versione del progetto per introdurre un fondamento giuridico per il nuovo numero di identificazione delle imprese (UID) in un'ordinanza e in seguito alle nostre critiche, l'Ufficio federale di statistica si è detto disposto a elaborare una nuova legge. Secondo noi, rimane invece un problema l'utilizzo dell'UID nel settore Business to Business.

Conclusione di un Accordo Safe-Harbor fra la Svizzera e gli Stati Uniti («U.S-Swiss Safe Harbor Framework»)

Gli Stati Uniti non hanno una protezione dei dati di livello adeguato, così che per trasferire dati personali verso un'impresa negli Stati Uniti devono essere convenute garanzie speciali. Assieme alla Segreteria di Stato all'economia (SECO), abbiamo elaborato con gli Stati Uniti una normativa che garantisce un sufficiente livello di protezione dei dati per le imprese che vi sono certificate. In questo modo si facilita notevolmente il trasferimento di dati fra le imprese svizzere e le imprese statunitensi certificate.

Videosorveglianza conforme alla protezione dei dati grazie alla codificazione

La videosorveglianza è in costante evoluzione. Grazie ai vari metodi di cifratura delle immagini e alla suddivisione delle chiavi di decodificazione è possibile impiegare tecnologie conformi alla protezione dei dati ed evitare possibili abusi. Accordi fra le persone che si occupano dello sviluppo (di seguito: gli sviluppatori) e i produttori consentono una migliore diffusione di queste tecnologie.

Guida ai sistemi di riconoscimento biometrico

Abbiamo elaborato una guida destinata a sviluppatori e gestori di sistemi di riconoscimento biometrico, suddivisa in tre parti: la prima contiene precisazioni terminologiche, la seconda enumera i principi direttivi applicabili alla pianificazione e all'utilizzo di simili sistemi, mentre nella terza si esamina quali aspetti occorre considerare nel valutare i sistemi di riconoscimento biometrico e quali esigenze essi devono adempiere in materia di protezione dei dati.

Borse di scambio via Internet: azione presso il Tribunale amministrativo federale

Abbiamo sottoposto al Tribunale amministrativo federale per decisione la nostra raccomandazione emanata nei confronti di un'impresa attiva nel settore della lotta contro le violazioni del diritto d'autore nelle borse di scambio via Internet, le cosiddette reti «peer-to-peer», ossia tra pari (cfr. il nostro 15° Rapporto di attività 2007/2008, n. 1.3.1). Dopo un duplice scambio di corrispondenza, ora attendiamo la decisione del TAF.

Siti di valutazione dei medici su Internet

In seguito a numerosi ricorsi contro il sito web di valutazione dei medici www.okdoc.ch, abbiamo accertato i fatti e precisato le esigenze in materia di protezione dei dati nel quadro della valutazione on line anonima di professionisti della salute.

Informazioni inerenti alle reti sociali

I Social Networking Site (SNS) sono alla moda e il numero di utenti cresce giornalmente. Da tempo su queste reti sociali essi si scambiano ogni sorta di informazioni personali, allestendo non di rado essi stessi un profilo della personalità che mettono a disposizione di altri utenti, spesso trascurando i rischi delle reti sociali. Questa evoluzione è stata l'occasione per esaminare più da vicino questi rischi al fine di dare qualche consiglio agli utenti di SNS.

Spiegazioni concernenti le piattaforme di valutazione su Internet

Negli ultimi tempi hanno acquisito grande popolarità le valutazioni su Internet di diversi gruppi professionali (medici, professori, insegnanti ecc.). Poiché una valutazione online può toccare la personalità della persona valutata, abbiamo deciso di analizzare vari siti di valutazione. Dalle conoscenze acquisite abbiamo elaborato principi per l'impostazione e l'utilizzo dei siti di valutazione allo scopo di fornire consigli utili a utenti, sviluppatori e persone interessate.

Spiegazioni concernenti la televisione digitale, l’ITV e l’IPTV

Sia su Internet sia attraverso le connessioni a banda larga cresce l'offerta di film digitali. Mentre con la diffusione terrestre tradizionali di programmi era possibile un consumo anonimo di trasmissioni televisive e di film, la televisione digitale (IPTV) dispone di un canale di ritorno a banda larga con il quale è teoricamente possibile rilevare le abitudini di consumo dei telespettatori. Queste nuove tecnologie sono molto interessanti in particolare per la pubblicità, che in questo modo è possibile personalizzare. Nelle nostre spiegazioni sul tema della televisione digitale abbiamo analizzato i rischi e i pericoli e diamo consigli a operatori e utenti su come utilizzare il mezzo di comunicazione digitale.

Spiegazioni concernenti il sistema «pay as you drive» e l’utilizzo di «black box» sui veicoli a motore

La minimizzazione e la prevenzione dei rischi sono importanti preoccupazioni delle assicurazioni auto. Dall'anno scorso, una compagnia assicurativa in Svizzera propone un contratto espressamente per giovani conducenti: installando una scatola nera che registra i movimenti del veicolo appena prima e dopo un incidente, ottengono uno sconto sul premio fino al 30 per cento. Con le tecnologie disponibili oggi è teoricamente ipotizzabile registrare la condotta di guida degli automobilisti, e dunque anche sorvegliarla. Per questo motivo abbiamo analizzato la questione del sistema «pay as you drive» dal profilo del diritto in materia di protezione dei dati.

Domande d’informazioni concernenti il sistema d’informazione ISIS

Il numero delle domande d'informazioni concernenti il sistema d'informazione ISIS è aumentato in modo impressionante nel 2008. Per la prima volta, abbiamo inoltre potuto informare in maniera appropriata alcuni richiedenti circa la presenza di registrazioni. Per quanto riguarda ISIS, sarebbe auspicabile l'introduzione di un diritto d'accesso diretto, come è stato fatto per JANUS e GEWA.

Trasmissione di perizie mediche

La trasmissione di una perizia medica rappresenta un'operazione delicata poiché vengono consegnate a un terzo dati personali degni di particolare protezione. In alcuni casi sussistono perciò chiari fondamenti di diritto speciale per la trasmissione integrale di perizie mediche senza il consenso esplicito della persona interessata. Se tali fondamenti non sussistono, devono essere rispettate le disposizioni generali sulla protezione dei dati. In particolare, va osservato il principio della proporzionalità.

Standard e architettura della strategia svizzera in materia di «eHealth»

Il 27 giugno 2007 il Consiglio federale ha adottato la strategia svizzera in materia di «eHealth». Vi sono menzionati tra l'altro due obiettivi: la definizione degli standard necessari per l'attuazione della strategia e un'architettura appropriata per la «eHealth». Il mandato che ne risulta è stato assegnato al progetto parziale «Standard e architettura», i cui risultati servono quale base per gli altri progetti parziali. Pertanto, abbiamo deciso di partecipare attivamente a questo progetto.

Revisione totale della legge sul contratto d’assicurazione

Il Consiglio federale ha adottato il messaggio concernente la revisione totale della legge sul contratto d'assicurazione (LCA). Questa revisione migliora le disposizioni relative all'informazione precontrattuale. Quale novità, è stato introdotto l'obbligo d'informare sul diritto di revoca per tutti i contratti assicurativi. Le disposizioni sulle informazioni in materia di protezione dei dati sono state riprese letteralmente.  Inoltre, conformemente al progetto di revisione, d'ora in poi le informazioni precontrattuali dovranno essere comunicate imperativamente all'assicurato prima della dichiarazione di volontà che lo vincola. Si è tenuto conto della maggior parte delle nostre proposte e dei nostri commenti.

Utilizzo dei certificati personali delle casse pensioni

Una cassa pensioni fa recapitare i certificati personali dei suoi assicurati al rispettivo datore di lavoro, che poi li distribuisce ai suoi impiegati. La cassa pensioni, tuttavia, non è autorizzata a inviare i certificati al datore di lavoro, che non necessita delle informazioni figuranti sul certificato della cassa pensioni né dal profilo del diritto in materia di assicurazioni né da quello del diritto in materia di lavoro. Consideriamo la prassi di recapito di questa cassa pensioni non conforme alla protezione dei dati, per cui abbiamo emanato una raccomandazione.

Revisione della legge sull’esecuzione e sul fallimento

A nostro avviso, l'indicazione di dati sull'estratto del registro delle esecuzioni è attualmente disciplinata in modo troppo indifferenziato. Nel quadro della consultazione degli uffici in vista della revisione della legge sull'esecuzione e sul fallimento (procedura di risanamento), abbiamo dunque proposto di adeguare i termini di indicazione. Riteniamo che scaglionarli, da un lato, risponda meglio alle esigenze della protezione dei dati e, dall'altro, possa fornire incentivi a regolare più rapidamente le fatture impagate.

Pubblicazione di dati del registro di commercio effettuata da privati

La pubblicazione su Internet di dati del registro di commercio da parte di privati promuove la visibilità del registro di commercio ed è quindi stata ritenuta legittima del Tribunale amministrativo federale. Siamo peraltro dell'avviso che la visibilità non debba essere assimilata al massimo di pubblicità. Invitiamo pertanto i fornitori privati di dati del registro di commercio ad adottare misure che permettano di contenere la pubblicità.

Comunicazione di dati personali a terzi da parte di associazioni e organizzatori di eventi sportivi

Le associazioni o gli organizzatori di un evento non possono senz'altro comunicare ai propri sponsor o ad altri terzi gli indirizzi dei propri membri o dei partecipanti. Una comunicazione di dati personali a scopi di marketing può essere giustificata soltanto dal libero consenso, dopo adeguata informazione, delle persone interessate. Abbiamo reso attenti i responsabili sui presupposti legali di un trattamento di dati, raccomandando loro di adattare i propri statuti e regolamenti.

Trasposizione dell’acquis di Schengen: la protezione dei dati a livello federale

Dopo avere collaborato alla valutazione della protezione dei dati svizzera da parte dell'Unione europea, abbiamo iniziato a sviluppare le nostre attività di sorveglianza e d'informazione nell'ambito dell'Accordo di Schengen. Abbiamo costituito un gruppo di coordinamento per la collaborazione con le autorità cantonali di protezione dei dati. Abbiamo inoltre eseguito un controllo presso una rappresentanza diplomatica della Svizzera all'estero e pubblicato documenti informativi sul nostro sito web.

Ulteriori informazioni

Documenti

Ordinazione

Il testo integrale può essere comandato in francese e in tedesco presso l'Ufficio federale delle costruzioni e della logistica UFCL.
Art. no. 410.016

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/16--rapporto-d-attivita-2008-2009.html