20° rapporto d'attività 2012/2013

Sotto trovate una selezione di articoli del 20° rapporto d'attività dell'IFPDT. Se siete interessati al testo completo, vogliate consultare la versione in tedesco o francese di questa pagina.

Bilancio e prospettive

L'identificatore personale fu sviluppato nell'ambito dell'armonizzazione dei registri per consentire il censimento della popolazione sulla base dei registri degli abitanti. Dieci anni fa seguimmo da vicino il progetto per la sua introduzione e criticammo la definizione lacunosa del campo d'applicazione di tale numero nonché l'intento di utilizzarlo anche per scopi amministrativi non meglio precisati. In alternativa proponemmo di introdurre numeri specifici per ogni settore, ma la nostra proposta fu bocciata. Nel frattempo è stato introdotto il nuovo numero d'assicurato AVS, il cui campo d'applicazione è definito in termini molto ampi nell'articolo 50e LAVS.

In base a diverse richieste giunteci da cittadini, abbiamo constatato che sempre più spesso i gestori di impianti per il tempo libero utilizzano sistemi di videosorveglianza in aree «sensibili» quali spogliatoi o bagni. È un'evoluzione estremamente preoccupante sotto il profilo della protezione dei dati poiché comporta la violazione della sfera intima delle persone filmate.

Nell’anno in rassegna abbiamo controllato la prassi delle FFS in materia di trattamento dei dati relativi a viaggiatori privi di titolo di trasporto valido ed abbiamo constatato l’assenza di un specifica base legale formale. Per colmare tale lacuna, L’Ufficio federale dei trasporti si è detto disposto ad avviare il necessario iter legislativo. Al momento dei nostri controlli sul posto le FFS non avevano ancora proceduto alla prevista cancellazione dei dati dal loro sistema d’informazione. Nel frattempo hanno però elaborato un piano che ci è stato sottoposto per verifica.

La nuova legge sulla promozione dello sport e dell’attività fisica ha introdotto la base legale per la trasmissione di dati all’Agenzia mondiale antidoping. Trattandosi di una trasmissione all’estero, tuttavia, occorre garantire un livello di protezione sufficiente mediante la conclusione di accordi.

Lo strumento della gogna in rete gode di crescente popolarità: sempre più spesso compaiono in Internet liste nere con i nomi di clienti che non pagano le fatture, di persone che difendono un determinato credo politico, di membri di autorità le cui azioni e decisioni non rispecchiano le convinzioni di chi si cela dietro a dette liste. Esposte all’accusa e alla condanna pubbliche, queste persone sono lese nella loro personalità.

Nella vertenza Google Street View, il 31 maggio 2012 il Tribunale federale ha emanato una sentenza in materia di protezione dei dati. I punti essenziali sono: l’applicabilità della legge federale sulla protezione dei dati, i requisiti che devono essere soddisfatti nell’ambito dell’anonimizzazione automatica, l’anonimizzazione delle immagini in caso di strutture sensibili e le riprese di aree private nascoste allo sguardo dei passanti.

La sentenza del Tribunale federale nella vertenza Logistep ha creato incertezza sul fatto che sia ancora possibile, sulla base del diritto attuale, perseguire le violazioni del diritto d’autore. Nel frattempo si stanno tuttavia valutando varie opzioni per fare chiarezza in questo ambito, ovvero per imporre il rispetto dei diritti d’autore anche in Internet.

Per aziende e autorità diventa sempre più importante sapere cosa si dice di loro nei media sociali. Da questa esigenza è nato il « social media monitoring».

Chi gestisce un sito web ha tutto l’interesse a conoscere le preferenze degli utenti e il loro comportamento sul sito in modo da ottimizzare la propria offerta. Nel caso dei siti Internet della Confederazione, tuttavia, l’impiego di strumenti di valutazione può porre alcuni problemi.

La firma dell’Accordo con gli Stati Uniti sullo scambio di dati dattiloscopici e del DNA (Accordo PCSC) e del Memorandum of Understanding sullo scambio di dati concernenti noti e presunti terroristi (HSPD-6) consente alla Svizzera di restare nel programma americano grazie al quale è possibile entrare negli Stati Uniti senza visto (il cosiddetto «Visa-Waiver-Program»). Entrambi i documenti contengono disposizioni dettagliate sulla protezione dei dati.

Nell’ambito della consultazione degli uffici ci siamo espressi sul disegno di revisione totale della legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) che prevede, tra l’altro, disposizioni sull’impiego di programmi informatici. Una base legale è stata da noi richiesta anche per la trasmissione di dati relativi al contenuto delle comunicazioni nel caso di prestazioni derivate dai servizi di telecomunicazione.

Sotto l’aspetto della protezione dei dati, il secondo avamprogetto di legge sul servizio informazioni è stato migliorato in diversi punti. Altri elementi, invece, quali alcuni mezzi per acquisire informazioni o l’esclusione del Servizio delle attività informative della Confederazione dal campo d’applicazione della legge sulla trasparenza, restano problematici.

Per l’accettazione delle fatture DRG gli assicuratori malattia devono costituire un cosiddetto servizio di ricezione dei dati debitamente certificato. È la prima volta che una certificazione in materia di protezione dei dati diventa obbligatoria in Svizzera.

Molte idee legate ai progetti eHealth saranno attuate con la nuova legge federale sulla cartella informatizzata del paziente che sta lentamente prendendo forma. Abbiamo partecipato all’elaborazione del progetto da parte dell’Ufficio federale della sanità pubblica e siamo riusciti a far sentire la nostra voce su alcuni punti importanti.

Per il calcolo del costo delle prestazioni gli assicuratori malattie devono poter consentire ai loro collaboratori di accedere ai dati medici degli assicurati. In linea di principio il collaboratore dovrebbe avere accesso unicamente ai dati necessari per il trattamento del singolo caso. Una volta effettuato il conteggio il diritto di accesso dovrebbe decadere. Ma questa situazione si verifica raramente nella realtà. Lo mostra una procedura di accertamento dei fatti svolta presso un grande assicuratore malattie.

In Svizzera non esistono disposizioni legali specifiche per la gestione di un sistema di segnalazione di irregolarità («whistleblowing») nelle imprese private. Il nostro servizio di consulenza telefonico ha dovuto rispondere a molte domande su questo tema. Una delle questioni più frequenti riguarda l’eventuale obbligo di notifica della collezione di dati raccolti in questo modo. Noi riteniamo che una notifica sia opportuna.

Il 12 aprile 2012 il Tribunale amministrativo federale ha deciso che in futuro i certificati delle casse pensioni dovranno essere inviati alla persona assicurata in modo che nessun’altro possa prendere visione del loro contenuto. Abbiamo proceduto a un controllo dell’attuazione della sentenza.

Diverse banche hanno trasmesso alle autorità statunitensi documenti in cui comparivano nomi, indirizzi e-mail e numeri di telefono di collaboratori in servizio o ex collaboratori e di terzi. Abbiamo perciò proceduto a un accertamento dei fatti presso cinque banche emanando in seguito alcune raccomandazioni con cui abbiamo chiesto l’introduzione di una procedura più trasparente.

Che cosa succede all’indirizzo di posta elettronica in caso di assenze improvvise? Fino a che punto il datore di lavoro ha il diritto di leggere le mie e-mail? Queste sono le domande più frequenti rivolte al nostro servizio di consulenza telefonico. È necessaria una regolamentazione per proteggere l’integrità personale e la sfera privata nel mondo del lavoro.

Su richiesta di un grande distributore abbiamo esaminato l’introduzione a posteriori di un’analisi del paniere di una carta clienti nell’ottica della conformità alla legislazione in materia di protezione dei dati. Una simile modifica del tipo di trattamento dei dati deve rispondere a criteri particolarmente rigorosi per quanto riguarda la trasparenza e il consenso da parte dei clienti.

Nel quadro delle ricerche che propone su singole persone, l’agenzia di informazioni commerciali Moneyhouse pubblica su Internet dati riguardanti indirizzi che le persone interessate avevano bloccato. Abbiamo aperto una procedura di accertamento dei fatti per analizzare in maniera più approfondita il trattamento dei dati in questione.

Nell’ambito dell’attuazione del principio di trasparenza, la scorsa estate due Cantoni hanno introdotto una nuova procedura per la gestione dei loro registri di commercio. Chiunque ne faccia richiesta riceve ora automaticamente, per e-mail, tutti i documenti giustificativi. Questo passaggio radicale da una consultazione che richiedeva lo spostamento presso gli uffici del registro di commercio o per lo meno un contatto personale a un’attuazione del principio di trasparenza con strumenti elettronici solleva tuttavia questioni fondamentali per quanto riguarda il diritto alla protezione dei dati e della personalità.

Il registro di commercio dovrà essere modernizzato. Si prevede la creazione di un registro elettronico centrale che si baserà su un’infrastruttura informatica unitaria. Dal punto di vista della protezione dei dati siamo soprattutto lieti che sia stato riconosciuto un diritto all’oblio, conforme alla normativa sul registro di commercio.

Nell’ambito della consultazione degli uffici concernente la revisione totale dell’ordinanza sulle poste abbiamo espresso il nostro parere in merito all’obbligo d’informazione e alla gestione dei dati relativi agli indirizzi, in particolare nel caso della loro trasmissione a terzi.

Nel 2012 il numero delle domande di accesso a documenti ufficiali è aumentato dell’8 per cento rispetto all’anno precedente mentre è rimasta invariata la percentuale degli accessi accordati e di quelli negati. Una leggera diminuzione (3%) è stata registrata nel caso degli accessi parziali (compresi quelli accordati solo a partire da una certa data). La sorpresa maggiore è stata rappresentata dal forte calo degli emolumenti fatturati. È infine cresciuto del 20 per cento il numero delle domande di mediazione che è salito a 78.

Il testo integrale può essere comandato in francese e in tedesco presso l'Ufficio federale delle costruzioni e della logistica UFCL.
Art. Nr. 410.020