Comunicazione elettronica dei dati nel settore dell'AVS/AI

L'Ufficio federale degli affari sociali intende rendere accessibile alle casse di compensazione e agli Uffici AI cantonali la banca dati eRegress affinché essi possano trattare elettronicamente i compiti che sono loro delegati nel quadro dei ricorsi AVS/AI. Anche se comprendiamo la necessità di permettere l'accesso a questi dati attraverso una procedura di richiamo, non abbiamo potuto dare il via libera in quanto gli organi federali devono rispettare il principio della legalità. È chiaro che il diritto vigente in materia di assicurazioni sociali non prevede le basi legali necessarie. E non abbiamo neanche potuto confermare i criteri per un progetto pilota. Occorre pertanto istituire la base legale nel senso formale che permetta l'accesso a questa banca dati federale.

L'Ufficio federale delle assicurazioni sociali (UFAS) ha delegato i compiti concernenti i ricorsi in materia di AVS/AI alle casse di compensazione e agli uffici AI cantonali. Lo scambio di dati necessario viene svolto in forma cartacea. L'UFAS intende ora permettere ai servizi cantonali il trattamento elettronico di questi dati e, a tal fine, accordare loro l'accesso alla banca dati esistente eRegress, notificata presso l'IFPDT. Questa banca dati è stata sviluppata dall'Ufficio federale dell'informatica e delle telecomunicazioni (UFIT) che ci ha sottoposto per parere il risultato delle indagini relative alla protezione dei dati effettuate all'interno dell'Ufficio.

Nella nostra presa di posizione abbiamo in effetti confermato l'esistenza di una base legale per il trattamento e la comunicazione dei dati in forma cartacea per i ricorsi in materia di AVS/AI. Invece, per quanto concerne l'accessibilità elettronica, ossia la comunicazione dei dati mediante procedura di richiamo, abbiamo constatato che non esiste una base legale.

Per l'accessibilità a dati mediante procedura di richiamo, il legislatore chiede l'osservanza di esigenze legali maggiori da parte degli organi federali, perché in questi casi il diritto della personalità dell'interessato è esposto a un rischio maggiore. In virtù dell'articolo 19 capoverso 3 LPD, è necessario che esista una base legale che preveda esplicitamente la procedura di richiamo; nel caso di dati concernenti la salute, è necessaria addirittura una legge formale. Occorre designare gli organi che possono accedervi, le categorie dei dati scaricabili, l'autorizzazione di accesso e di trattamento e lo scopo della consultazione. L'articolo 14 dell'ordinanza sulla parte generale del diritto delle assicurazioni sociali (OPGA) costituisce una base legale per l'outsourcing ma non per la comunicazione di dati mediante procedura di richiamo.

Abbiamo ritenuto possibile una gestione congiunta della banca dati ai sensi dell'articolo 16 capoverso 2 LPD, ma constatato che una corrispondente ordinanza del Consiglio federale dovrebbe appoggiarsi anche sulla legge concernente le assicurazioni sociali, che dovrebbe disciplinare nei suoi tratti fondamentali la gestione comune della banca dati automatizzata, mentre i dettagli potrebbero essere regolati nell'ordinanza del Consiglio federale.

Inoltre, abbiamo sottolineato che anche la gestione congiunta di una banca dati richiede una base legale in senso formale e che un'ordinanza non è sufficiente. Infine, abbiamo ritenuto che i criteri in vista di un progetto pilota non siano adempiuti.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/17--rapporto-d-attivita-2009-2010/comunicazione-elettronica-dei-dati-nel-settore-dell-avs-ai.html