Prefazione

Bilancio e prospettive

L'anno scorso nel settore della protezione dello Stato sono stati conseguiti considerevoli miglioramenti. Nel corso della sessione di dicembre 2011, in occasione della revisione della legge federale sulle misure per la salvaguardia della sicurezza interna (LMSI), il Parlamento ha adottato un adeguamento da noi chiesto a più riprese in base alla constatazione che il diritto di accesso indiretto protegge in maniera insufficiente i diritti degli interessati e, con molta probabilità, non supererebbe un esame da parte della Corte europea dei diritti dell'uomo. D'ora in poi, si applica in linea di massima il diritto di accesso diretto conformemente agli articoli 8 e 9 della legge sulla protezione dei dati (LPD), che però può essere posticipato se interessi di protezione dello Stato lo esigono. In questi casi il richiedente l'accesso può domandare un esame da parte dell'IFPDT, il quale in caso di errore emana una raccomandazione.

Siccome non è stata presentata una domanda di referendum contro questa modifica, il Consiglio federale dovrebbe fissarne l'entrata in vigore per l'inizio di luglio 2012. Parallelamente, in seguito a un ricorso, anche il Tribunale federale si è occupato della disposizione attualmente in vigore nell'articolo 18 LMSI e, per la prima volta, ne ha esaminato la conformità con le esigenze della Convenzione europea dei diritti dell'uomo (CEDU) in una sentenza pronunciata il 2 novembre 2011. Questa sentenza ha notevolmente migliorato lo statuto giuridico delle persone interessate. I giudici federali hanno stabilito che un diritto di accesso indiretto è conforme alla CEDU fintanto che gli interessi della protezione dello Stato lo giustificano. Tuttavia, contrariamente al tenore della disposizione, hanno anche stabilito che in caso di errore l'IFPDT possa emettere non solo raccomandazioni, ma anche istruzioni vincolanti. A loro parere, è il solo modo perché il meccanismo di controllo affidato all'IFPDT e al presidente della corte del Tribunale amministrativo federale sia veramente efficace e risponda alle esigenze di un esame indipendente del trattamento di dati effettuato dagli organi di protezione dello Stato. L'articolo 18 LMSI rivisto permetterà esplicitamente al Tribunale amministrativo federale di ordinare che questi ultimi rimedino agli errori. Partiamo dal principio che all'entrata in vigore della nuova LMSI la sentenza del Tribunale federale sarà ancora valida e quindi le raccomandazioni dell'IFDPT dovranno avere carattere vincolante.

Come nell'anno scorso, abbiamo focalizzato la nostra attenzione sulla formazione dei giovani e proseguito i nostri impegni per tutto l'anno, perché siamo persuasi che nell'era delle reti sociali siano necessarie iniziative particolari per sensibilizzare i giovani utenti e perché non abbiamo voluto accontentarci di lanciare appelli alle scuole e ai genitori. Siccome disponiamo di mezzi limitati, stiamo cercando partner idonei. Il progetto NetLa, lanciato nel 2011 in collaborazione con il Consiglio per la protezione della sfera privata, è stato fatto conoscere a molti allievi. Nel solo mese di novembre, l'ultimo della campagna, 6000 internauti hanno cliccato 225 000 volte il portale multimediale. Per sensibilizzare i giovani adulti alla protezione dei dati quando utilizzano i nuovi media, abbiamo sviluppato all'inizio di quest'anno un nuovo strumento didattico sotto forma di singole lezioni scaricabili gratuitamente dalla rete, che si rivolge agli allievi del grado secondario superiore. Abbiamo inoltre partecipato a corsi di formazione organizzati dalle università di Neuchâtel e Losanna. Abbiamo poi sviluppato il servizio interattivo Thinkdata.ch in collaborazione con l'autorità di protezione dei dati del Cantone di Ginevra, l'università di Ginevra, l'Osservatorio tecnologico dello Stato di Ginevra, l'IDHEAP di Losanna e altri attori. Questo sito in francese, presto disponibile anche in tedesco, offre, sotto forma di scenari, risposte concise a chiunque si interessi alla protezione dei dati e alla trasparenza o vi sia direttamente coinvolto. Stiamo cercando mezzi finanziari per ampliare la nostra offerta e metterla in rete in altre lingue. Infine, per la quarta volta, abbiamo organizzato con le università di Berna, Friburgo e Neuchâtel la Giornata svizzera del diritto della protezione dei dati.

Anche il 2011 è stato un anno dedicato a numerosi controlli e accertamenti dei fatti. Ad esempio, abbiamo esaminato il sistema di sorveglianza video presso cinque imprese di trasporti pubblici e proposto una serie di miglioramenti che sono stati accettati. Nell'ambito dell'attuazione dell'accordo di Schengen abbiamo proceduto a una visita di controllo presso l'Ambasciata di Svizzera a Mosca ed emanato diverse raccomandazioni. Abbiamo inoltre concluso fruttuosamente due procedure di accertamento dei fatti, una presso un club di tennis che dispone di un sistema di prenotazione basato sul riconoscimento biometrico, la seconda concernente il trattamento dei dati sulla solvibilità. Abbiamo chiuso il dossier relativo alla piattaforma di informazione «Car Claims Information Pool» degli assicuratori di veicoli e suggerito diversi miglioramenti. Menzioniamo ancora le diverse modifiche proposte a un fornitore di prestazioni nel settore delle manifestazioni sportive di massa, con il quale rimaniamo in contatto per l'attuazione. Infine, abbiamo avviato una procedura di esame dei fatti concernente un nuovo gioco informatico che trasmette illecitamente al fabbricante dati relativi ai computer degli utenti.

Tra le numerose consultazioni degli uffici cito in particolare quella concernente la revisione della legge federale e dell'ordinanza sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni. A tal proposito, abbiamo ottenuto la creazione di una base legale sulla quale si fonderà l'utilizzazione di programmi del tipo «GovWare». Nell'elaborare questo genere di base legale, il cui fine è permettere di sorvegliare l'uso dell'infrastruttura elettronica nell'Amministrazione federale, abbiamo anche attirato l'attenzione sulla necessità di una regolamentazione chiara concernente non solo la registrazione e la conservazione, ma anche l'analisi dei dati secondari generati dalle comunicazioni. Nell'ambito della revisione della legge concernente il sistema tariffario SwissDRG, abbiamo contattato i diversi attori interessati e chiesto che le assicurazioni ricevano soltanto i dati di cui hanno veramente bisogno. Inoltre, in occasione della revisione totale della legge sul contratto di assicurazione, abbiamo sottolineato l'importanza di iscrivere nella legge l'istituzione del medico di fiducia.

Tra le pubblicazioni apparse sul nostro sito Internet nell'anno in rassegna, elencate al punto 3.3, sono degni di menzione i nostri commenti esplicativi in merito alla direttiva dell'Unione europea sull'e-privacy e al cloud computing quale possibilità di trattamento dei dati.

Nel 2011 anche la situazione nel settore del principio della trasparenza ha richiesto la nostra attenzione: il numero di domande di accesso rivolte all'Amministrazione federale è quasi raddoppiato e ci sono state trasmesse 65 domande di mediazione. Abbiamo condotto con successo 30 procedure di mediazione e in gran parte dei casi siamo riusciti a trovare una soluzione più favorevole per il richiedente. Tutte le raccomandazioni possono essere consultate sul nostro sito Internet. In seguito a un ricorso, il Tribunale amministrativo federale ha dovuto trattare quattro nostre raccomandazioni e ogni volta ha sostenuto le nostre argomentazioni. Inoltre, nell'ambito della revisione della legge sui cartelli abbiamo ottenuto che le autorità in materia di concorrenza non siano escluse dal campo di applicazione della legge sulla trasparenza.

Possiamo affermare sin d'ora che anche l'anno prossimo continueranno ad essere presenti determinati temi tra cui la richiesta, molto delicata sul piano politico, presentata dagli Stati Uniti per scoprire, nell'ambito di una procedura «Hit-no-Hit», se una determinata persona è registrata con le sue impronte digitali o il suo DNA nelle banche dati svizzere Codis o Afis. Durante le trattative sarà importante fare attenzione che alle persone registrate ingiustamente in queste due banche dati vengano garantiti gli stessi diritti sia negli Stati Uniti sia in Svizzera. Non sarà facile ottenere una simile garanzia, poiché, a nostro parere, gli Stati Uniti non dispongono di una protezione dei dati sufficiente. La valutazione del caso non deve quindi essere effettuata da un «privacy officer» dell'amministrazione, ma da un'autorità giudiziaria indipendente. È importante che nei casi in cui si sia constatata una concordanza dei dati la procedura si svolga nell'ambito della procedura di assistenza giudiziaria giuridicamente garantita. Questo significa che le condizioni di comunicazione dei dati personali devono essere esaminate per ogni caso concreto sulla base degli accordi in vigore; va evitato qualsiasi automatismo. Ovviamente, questo tipo di scambio deve essere limitato alle forme gravi di criminalità e la Svizzera deve beneficiare di un diritto di reciprocità.

Le reti sociali, in particolare la politica commerciale di Facebook, continueranno a essere al centro della nostra attenzione. È ormai noto a tutti che l'obiettivo di questo social media è accedere a un massimo di informazioni sugli utenti per creare profili della personalità a scopi pubblicitari. L'impresa realizza così un volume d'affari di svariati miliardi e modifica costantemente le condizioni d'uso generali a discapito degli utenti e senza chiederne il consenso. Da qualche tempo a questa parte, Facebook non mira soltanto ai suoi utenti, ma anche a quelli che non lo sono. Difatti, nel progetto delle condizioni di marzo 2012 si legge che queste si applicano anche ai non-utenti che interagiscono con Facebook al di fuori degli Stati Uniti. In altre parole, si dà per scontato che questi non-utenti acconsentano alla trasmissione e al trattamento dei loro dati negli Stati Uniti, compreso il trattamento a scopi pubblicitari. Quello che è scandaloso è che la maggior parte dei non-utenti non sa di interagire con Facebook: ma come è possibile? Su molti siti Internet si trova il cosiddetto pulsante «Mi piace» collegato a Facebook (riconoscibile dalla «f» minuscola). La consultazione della pagina da parte dell'utente è automaticamente comunicata a Facebook anche se non l'utente non ha cliccato sull'icona «Mi piace», permettendo così di creare profili della personalità molto precisi anche delle persone che rifiutano di utilizzare Facebook. Faremo il possibile per ottenere dai gestori dei siti che concedano ai loro visitatori la possibilità di decidere se acconsentire a questo tipo di trasmissione o meno. Non c'è da stupirsi se nel frattempo è cresciuta una certa diffidenza a livello parlamentare. Difatti, nel settembre 2011 la consigliera nazionale vallesana Viola Amherd ha presentato un postulato nel quale chiede al Consiglio federale di esaminare la legislazione attuale sui social media, di menzionare le lacune da colmare e di rispondere alla domanda se sia necessaria una legge consacrata ai social media. Nella motivazione adduce inoltre che i social media «aprono una nuova dimensione nel campo della comunicazione e dell'utilizzo dei media che minaccia di scombussolare l'applicazione delle leggi nazionali e dei valori fondamentali». Inutile commentare!

Nel settore dei diritti d'autore la sentenza del Tribunale federale nella causa Logistep ha smosso un po' la situazione. Per la cronaca: la Corte suprema ha ritenuto che le ricerche di indirizzi IP effettuate segretamente da Logistep allo scopo di agire civilmente contro i sospetti contravventori dei diritti d'autore non erano lecite. Questa sentenza ha sollevato una certa insoddisfazione tra i titolari di diritti d'autore. Nel suo rapporto di gestione 2010 il Tribunale federale ha sottolineato che la situazione attuale era insoddisfacente dal punto di vista giuridico e che spettava al legislatore adottare le misure necessarie per assicurare una protezione dei diritti d'autore al passo con le nuove tecnologie. Fino a oggi questa iniziativa ragguardevole e inusuale della Corte suprema non ha suscitato reazioni da parte del Consiglio federale. Nel frattempo sono stati presentati in Parlamento vari interventi che chiedono un miglioramento della situazione. È chiaro che la protezione dei diritti d'autore è un tema molto delicato e molto controverso, non solo in Svizzera (si veda il successo del Partito Pirata in Germania). La nostra posizione durante la procedura non è cambiata: sulla base del diritto in vigore un indirizzo IP può essere utilizzato solo per determinare nell'ambito di una procedura penale chi ha violato il diritto d'autore. Le azioni civili possono essere intentate solo in seguito.

Valutazione della legge sulla protezione dei dati

Il 9 dicembre 2011 il Consiglio federale ha approvato il rapporto sulla valutazione della legge sulla protezione dei dati e l'ha sottoposto al Parlamento. Oltre a constatare che la legge sulla protezione dei dati aveva permesso di raggiungere un livello di protezione percettibile nei settori in cui le sfide erano già note al momento della sua entrata in vigore e che l'IFPDT si è dimostrato uno strumento efficace per migliorare la protezione concessa dalla legge, il rapporto sottolinea altrettanto chiaramente la necessità di agire:

«Secondo il Consiglio federale, l'obiettivo principale della revisione della LPD consiste nell'adeguarla al progresso tecnologico e sociale avvenuto dalla sua entrata in vigore. Intende quindi porre l'accento delle riflessioni principalmente su quattro problematiche connesse al progresso tecnologico e sociale: 1. l'aumento del numero di trattamenti di dati; 2. la difficoltà degli interessati e dell'IFPDT nel riconoscere determinati trattamenti di dati; 3. il carattere viepiù internazionale dei trattamenti di dati; 4. l'accresciuta difficoltà nel controllare i dati già comunicati.

Su questo sfondo, il Consiglio federale intende individuare misure che permettano di conseguire in particolare i seguenti obiettivi:

  • anticipare l'effetto della protezione dei dati. Nel quadro di un meccanismo globale, gli eventuali problemi legati alla protezione dei dati devono essere individuati ed esaminati, se possibile e ragionevole, già nella fase della progettazione di nuove tecnologie. Lo scopo è di evitare che detti problemi possano essere risolti soltanto in un secondo tempo mediante programmi di correzione (approfondimento del principio «privacy by design»). Vanno inoltre incoraggiate le tecnologie che favoriscono la protezione dei dati;
  • sensibilizzare maggiormente gli interessati ai rischi per la protezione della personalità derivanti dal progresso tecnologico;
  • migliorare la trasparenza del trattamento di dati, in particolare nelle nuove situazioni complesse nelle quali i trattamenti non sono facilmente riconoscibili né dagli interessati né dall'IFPDT, senza tuttavia oberare gli interessati con un carico d'informazioni eccessivo;
  • rafforzare il controllo e il dominio dei dati già comunicati. Il controllo e il dominio dei dati già comunicati rappresentano un aspetto importante. Occorre esaminare se conviene potenziare i meccanismi di sorveglianza dell'IFPDT o adeguare i diritti e la loro applicazione ai rapporti mutati in seguito alle nuove tecnologie, ad esempio incoraggiando le azioni collettive e specificando il diritto all'oblio;
  • proteggere i minori: va tenuto conto del fatto che i minori sono probabilmente meno consapevoli dei rischi e degli effetti insiti nel trattamento dei dati personali.»

Il Consiglio federale esaminerà inoltre se e in quale misura occorre rafforzare ulteriormente l'indipendenza dell'IFPDT. Ritiene inoltre opportuno valutare l'eventualità di incoraggiare le iniziative di autoregolamentazione, ad esempio permettendo alle organizzazioni del settore di definire codici di condotta da sottoporre all'IFPDT per approvazione.

Questi obiettivi del Consiglio federale sono anche gli obiettivi che rappresentiamo già da vari anni e siamo molto lieti che la necessità di agire sia oramai riconosciuta a questo livello. Potrebbe preoccuparci invece lo scadenzario; il Consiglio federale intende infatti aspettare i risultati delle riforme in corso nell'Unione europea. Ovviamente, un progetto di riforma svizzero deve essere coordinato con le misure prese a livello europeo, ma questo non deve impedire al Governo di creare parallelamente un gruppo peritale che esamini la problematica del punto di vista svizzero. Anche nel settore della protezione dei dati il nostro Paese deve avere l'ambizione di elaborare soluzioni proprie, invece di limitarsi ad attuare autonomamente il diritto europeo.

 

Hanspeter Thür

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/19--rapporto-d-attivita-2011-2012/prefazione.html