Questioni relative all'organizzazione della protezione dei dati in seno all'Amministrazione federale Rapporto del 21 novembre 2003 della Commissione della gestione del Consiglio nazionale Parere del Consiglio federale del 24 marzo 2004
Onorevoli Presidente e consiglieri, in virtù dell'articolo 112 capoverso 3 LParl, vi presentiamo il parere del Consiglio federale sul rapporto del 21 novembre 2003 della Commissione della gestione del Consiglio nazionale sulle questioni che riguardano l'organizzazione della protezione dei dati all'interno dell'Amministrazione federale.
Gradite l'espressione della nostra massima stima.
24 marzo 2004
A nome del Consiglio federale svizzero: Il presidente della Confederazione, Joseph Deiss La cancelliera della Confederazione, Annemarie Huber-Hotz
2004-0215
1233
Parere 1
Introduzione
Il 22 gennaio 2003, la sottocommissione incaricata di occuparsi di questioni generali della Commissione della gestione del Consiglio nazionale (CdG-N) ha effettuato una visita di servizio presso l'Incaricato federale della protezione dei dati (IFPD). Dopo questa visita, la sottocommissione ha deciso di esaminare più da vicino l'organizzazione della protezione dei dati nell'ambito di grandi progetti dell'Amministrazione federale che si basano sul trattamento di dati personali. A questo scopo è stata svolta una serie di audizioni. In occasione della seduta del 21 novembre 2003 è stato approvato all'unanimità un rapporto della CdG-N trasmesso poi al Consiglio federale perché esprima un parere in merito entro la fine di marzo 2004.
2
La protezione dei dati nell'Amministrazione federale
Il Consiglio federale si rende conto che, a causa del rapido sviluppo tecnologico, la quantità di dati personali trattati aumenta notevolmente rendendo più complesso e rilevante il compito dell'organo di protezione dei dati. Il Consiglio federale ritiene molto importante la protezione dei dati all'interno dell'amministrazione e intende continuare ad accordare a questo settore una posizione centrale. L'IFDP è chiamato a partecipare alle procedure amministrative interne per tutti i testi importanti per la protezione dei dati. Nella procedura di corapporto, il parere dell'IFDP viene allegato alla proposta al Consiglio federale. In questo modo si garantisce nel migliore dei modi il rispetto della protezione dei dati. A livello amministrativo, esiste un gruppo interdipartimentale di consulenti dipartimentali per la protezione dei dati diretto dalla Cancelleria federale, di cui fa parte anche un rappresentante dell'IFDP. Il gruppo permette un coordinamento non solo tra i dipartimenti, ma anche con l'IFDP.
3
La nuova impostazione delle attività dell'Incaricato federale della protezione dei dati e la questione delle risorse
Il Consiglio federale ha preso atto del fatto che l'IFDP ha dato una nuova impostazione alle proprie attività ampliando sistematicamente i propri compiti di sorveglianza e limitando quelli di consulenza. In futuro l'IFDP non parteciperà più a gruppi di lavoro o commissioni per seguire tutti i progetti amministrativi confrontati a questioni di diritto della protezione dei dati, bensì intende concentrare la propria attività di consulente sui casi che richiedono conoscenze specifiche o sembrano particolarmente delicati. Inoltre non risponderà più alle domande dei dipartimenti e degli uffici, a meno che non gli vengano trasmesse dai consulenti che nei dipartimenti e negli uffici si occupano della protezione dei dati. Un'ulteriore eccezione riguarda i progetti legislativi per i quali l'IFDP continuerà ad esprimere un parere nell'ambito di procedure amministrative interne.
1234
La legge prevede che l'IFDP assuma la sorveglianza sugli organi federali per quanto riguarda il rispetto delle disposizioni sulla protezione dei dati ed in particolare che in questo contesto conduca accertamenti per iniziativa personale o su richiesta di terzi.
Inoltre, la legge incarica l'IFDP di fornire consulenza agli organi federali in questioni riguardanti la protezione dei dati e di esprimere pareri su testi importanti per questa problematica.
In linea di principio, nel quadro degli incarichi affidatigli dalla legge, l'IFDP lavora in maniera autonoma. Il Consiglio federale può capire che, di fronte agli aspetti finanziari ed economici, si decida di incentrare l'impegno su incarichi specifici della protezione dei dati. Tuttavia, per il Consiglio federale è chiaro che la portata dei compiti affidati dalla legge all'IFDP deve restare immutata.
La nuova impostazione concepita dall'IFDP mette a disposizione risorse che gli permettono di svolgere meglio le sue funzioni. Il Consiglio federale ritiene molto importante la protezione dei dati all'interno dell'Amministrazione federale. Con la proposta 2004 sono stati approvati nuovi mezzi per l'IFDP che permettono la creazione di tre nuovi posti di lavoro. Ma il Consiglio federale è anche convinto che in genere le disposizioni riguardanti la protezione dei dati all'interno dell'Amministrazione federale vengono rispettate in modo estremamente scrupoloso. Perciò non vede ragione di aumentare le risorse dell'IFDP nell'ambito del personale con un ulteriore credito, anche perché questo passo sarebbe in contraddizione con la tendenza generale delle misure di sgravio per il budget federale. L'opinione pubblica non potrebbe comprenderne la ragione.
Come conseguenza della nuova impostazione dell'IFDP, i dipartimenti e gli uffici devono svolgere un numero maggiore di compiti legati alla protezione dei dati. Per questa ragione, la posizione del consulente in materia nei dipartimenti e negli uffici deve essere rivalutata. Perciò per il Consiglio federale è importante che la funzione organizzativa, la posizione gerarchica ed i compiti del consulente nei dipartimenti o negli uffici venga regolamentata in maniera chiara. I consulenti devono disporre dell'autonomia e delle risorse necessarie per svolgere le proprie funzioni e devono essere sufficientemente
qualificati. Il Consiglio federale ritiene che la protezione dei dati da parte dei consulenti nei dipartimenti e negli uffici debba rientrare in linea di principio nelle risorse già a disposizione della Cancelleria federale, dei dipartimenti e degli uffici federali. Inoltre è convinto che sia necessario tener conto della crescente importanza dei consulenti per la protezione dei dati.
1235
4
Osservazioni sulle singole raccomandazioni della Commissione
4.1
Raccomandazione 1: subordinazione dei consulenti nei dipartimenti e negli uffici
La raccomandazione riguardante un regolamento unitario, dettagliato e vincolante per i compiti e le competenze del consulente per la protezione dei dati al momento è in parte soddisfatta. I compiti del consulente sono descritti all'articolo 23 dell'ordinanza del 14 giugno 1993 sulla protezione dei dati (OLPD)1. Si tratta da una parte di una mansione di sostegno, sia per quanto riguarda la consulenza tecnica, sia per quel che riguarda l'informazione e la formazione dei collaboratori. Dall'altra i consulenti sono tenuti a svolgere funzioni di collaborazione nell'applicazione delle disposizioni riguardanti la protezione dei dati. Invece, non spettano loro funzioni di diritto della sorveglianza né compiti materiali, come ad esempio l'elaborazione di testi sulla protezione dei dati.
Le esigenze dei dipartimenti e della Cancelleria federale nell'ambito della protezione dei dati sono molto diverse poiché gli enti non hanno le stesse dimensioni e le raccolte di dati non presentano la stessa riservatezza. Per questa ragione oggi non esistono disposizioni dettagliate valide per tutte le unità amministrative. Nell'ambito delle norme giuridiche, i dipartimenti e gli uffici hanno fissato autonomamente i compiti e le competenze dei propri consulenti. La Cancelleria federale, il Dipartimento federale di giustizia e polizia ed il Dipartimento federale della difesa, della protezione della popolazione e dello sport si sono dotati di direttive particolareggiate.
Nel messaggio del 19 febbraio 2003 concernente la revisione della legge federale sulla protezione dei dati (FF 2003 1885), il Consiglio federale si è dichiarato disposto a regolamentare la posizione e i compiti dei responsabili della protezione dei dati (art. 11a cpv. 6 del disegno). È prevista la standardizzazione a livello di OLPD.
La CdG-N raccomanda di subordinare i consulenti per la protezione dei dati nei dipartimenti e negli uffici direttamente alla direzione del dipartimento o dell'unità amministrativa. Il Consiglio federale è propenso ad approvare l'esigenza di autonomia e nel citato messaggio del 19 febbraio 2003 concernente la revisione della legge federale sulla protezione dei dati si è dichiarato favorevole (cfr. FF 2003 1919) ad un'autonomia organizzativa di questo genere (subordinazione gerarchica diretta, non vincolata a direttive). Anche
il rafforzamento dell'importanza dei consulenti dipartimentali per la protezione dei dati, connesso alla nuova impostazione dell'IFDP, richiede una sicura autonomia nello svolgimento dei compiti. Il Consiglio federale è perciò disposto ad accettare la raccomandazione.
Inoltre si consiglia di migliorare e rafforzare gli strumenti di coordinamento all'interno e tra i dipartimenti. La procedura di consultazione degli uffici e quella di corapporto rappresentano due strumenti di questo tipo già disponibili. Inoltre, il gruppo interdipartimentale per la protezione dei dati è sotto la direzione della Cancelleria federale: tuttavia, non si tratta di un gruppo di coordinamento ai sensi dell'articolo 55 della legge sull'organizzazione del Governo e dell'Amministrazione
1
RS 235.11
1236
(LOGA)2. In linea di principio, il Consiglio federale ritiene che gli strumenti di coordinamento interdipartimentale hanno dato buoni frutti. Tuttavia, data la nuova impostazione dell'IFDP, è disposto ad esaminare se il gruppo per la protezione dei dati debba essere istituzionalizzato. Nel coordinamento interno, invece, il Consiglio federale raccomanda ai dipartimenti di chiarire se è necessario prendere misure che potranno essere diverse per ogni dipartimento. Il Consiglio federale è dell'opinione che devono essere trovate forme di collaborazione semplici, efficaci e a basso costo.
La raccomandazione della CdG-N riguarda tutti i dipartimenti e la Cancelleria federale. Il Consiglio federale ritiene che il modo migliore per coprire il fabbisogno di coordinamento registrato è affidare alla Conferenza dei segretari generali l'attuazione del progetto.
4.2
Raccomandazione 2: offerta formativa per i consulenti per la protezione dei dati
Come conseguenza della nuova impostazione, i compiti di consulenza e la direzione di progetti vengono trasmessi in ampia parte ai consulenti dei dipartimenti e degli uffici. La funzione del consulente per la protezione dei dati assumerà perciò una maggiore importanza. Per questi motivi, il Consiglio federale condivide l'opinione per cui sono necessarie misure atte a garantire l'offerta di formazione per i consulenti. L'IFDP sta preparando un raccoglitore che servirà da modello per i consulenti per la protezione dei dati. Questo raccoglitore fornisce una base adeguata e i relativi lavori dovrebbero poter essere conclusi entro breve. Inoltre, l'IFDP è invitato a sviluppare un'offerta formativa per i consulenti per la protezione dei dati nell'Amministrazione federale. In questo modo si vuole garantire che le accresciute responsabilità dei consulenti, connesse alla nuova impostazione dell'IFDP, verranno assunte in maniera efficiente.
4.3
Raccomandazione 3: risorse adeguate per i consulenti per la protezione dei dati
Agli inizi del 2002 il gruppo per la protezione dei dati ha formulato una descrizione del posto di consulente per la protezione dei dati presso la Cancelleria federale e presso i dipartimenti al fine di chiarirne la funzione e i compiti. Questa descrizione è stata presentata il 31 maggio 2002 alla Conferenza dei segretari generali perché ne prendessero atto.
Il testo concepito come una raccomandazione è diretto alla Cancelleria federale ed ai dipartimenti affinché descrivano i compiti dei rispettivi consulenti in base alle particolari esigenze ed alle dimensioni di ciascun ente. I compiti previsti nell'elenco degli obblighi sono commisurati ad un tasso di occupazione del 20 % presso la Cancelleria federale ed i dipartimenti. Tuttavia questa non è un'indicazione vincolante: le risorse differiscono a seconda delle dimensioni dell'unità amministrativa e dell'esigenza di protezione dei dati dell'ufficio. Il tasso di occupazione può dunque 2
RS 172.010
1237
essere anche superiore o inferiore. Spetta ai dipartimenti formulare questa esigenza.
La CSG si è espressa positivamente sulla descrizione, ma ha anche sottolineato che non ne deve risultare un'imposizione di creare nuovi posti. Il Consiglio federale condivide questa opinione e accetta la raccomandazione della CdG-N nella misura in cui i dipartimenti vengono incaricati di quantificare in percentuale il dispendio connesso ai compiti per la protezione dei dati e di inserirlo nell'elenco degli obblighi dei consulenti.
Il fabbisogno di risorse descritto riguarda solo la Cancelleria federale ed i dipartimenti. Invece, negli uffici federali può esserci un fabbisogno molto più importante poiché il compito di proteggere i dati all'interno dell'Amministrazione federale è affidato soprattutto a loro quali unità amministrative fondamentali, mentre nei dipartimenti viene spesso svolto solo un compito di coordinamento.
4.4
Raccomandazione 4: partecipazione dell'IFDP nello sviluppo del diritto concernente la protezione dei dati
Il Consiglio federale condivide l'opinione della CdG-N per cui la competenza legislativa nel settore della protezione dei dati debba restare all'Ufficio federale di giustizia e non essere trasmessa all'IFDP. Tuttavia, quest'ultimo deve essere messo al corrente degli sviluppi di questa parte del diritto. La raccomandazione di garantire, grazie a procedure chiare, che l'Incaricato della protezione dei dati possa esprimere il proprio parere sugli sviluppi è già soddisfatta. Nel quadro delle consultazioni degli uffici, l'IFDP è regolarmente invitato ad esprimersi su questioni riguardanti la protezione dei dati. Le eventuali osservazioni che comunica durante la fase di corapporto vengono trasmesse al Consiglio federale dalla Cancelliera. Inoltre la guida per la redazione di messaggi del CF, al punto 3.4, prevede che vengano indicate «altre ripercussioni», cioè sulla protezione dei dati, in particolare per quel che riguarda il trattamento di dati personali, la creazione di collegamenti on-line e le relative misure di sicurezza. Dal punto di vista del Consiglio federale, perciò, già da ora è garantito che il parere dell'IFDP venga preso in considerazione e espresso in maniera adeguata durante l'elaborazione di messaggi destinati al Parlamento. Dunque, non ritiene necessario prendere ulteriori misure in merito.
1238