09.089 Messaggio concernente la modifica della legge sull'organizzazione del Governo e dell'Amministrazione (Protezione dei dati derivanti dall'utilizzazione dell'infrastruttura elettronica) del 27 novembre 2009
Onorevoli presidenti e consiglieri, con il presente messaggio vi sottoponiamo, per approvazione, il disegno di modifica della legge sull'organizzazione del Governo e dell'Amministrazione (LOGA), con disposizioni sul trattamento dei dati derivanti dall'utilizzazione dell'infrastruttura elettronica.
Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.
27 novembre 2009
In nome del Consiglio federale svizzero: Il presidente della Confederazione, Hans-Rudolf Merz La cancelliera della Confederazione, Corina Casanova
2009-1729
7407
Compendio Con il presente disegno il Consiglio federale chiede al Parlamento di creare le basi legali formali necessarie per il trattamento dei dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica dell'Amministrazione federale, inserendole nella legge sull'organizzazione del Governo e dell'Amministrazione (LOGA) e nelle leggi sulle autorità giudiziarie federali.
Nell'attuale mondo del lavoro sono ormai indispensabili numerosi strumenti elettronici. Questo vale anche per l'Amministrazione: gli organi federali, infatti, non mettono a disposizione soltanto telefono e computer, ma si avvalgono anche di numerosi altri strumenti. L'utilizzazione di questa infrastruttura elettronica lascia inevitabilmente tracce, che permettono di risalire agli utenti.
Diversi atti normativi permettono a determinate condizioni la registrazione e l'analisi di dati generati dall'utilizzazione dell'infrastruttura elettronica, per esempio nell'ambito di un procedimento penale. Non è tuttavia disciplinato il trattamento dei contenuti e dei cosiddetti dati marginali da parte dell'Amministrazione federale nell'ambito della sua regolare attività. Per garantire la protezione dei dati, il trattamento di dati personali degni di particolare protezione è ammesso soltanto in presenza di una base legale formale. Le nuove disposizioni della LOGA qui proposte sono intese a colmare tale lacuna.
Il disegno parte dal presupposto che in linea di principio agli organi federali non sia permesso trattare dati personali risultanti dall'utilizzazione dell'infrastruttura elettronica. Sono fatte salve la registrazione di determinati dati e la relativa analisi per le finalità elencate in maniera esaustiva nella legge. Riassumendo, la modifica proposta ha lo scopo di permettere il trattamento dei dati occorrenti per motivi tecnici, statistici e organizzativi, nella misura in cui il funzionamento dell'Amministrazione federale lo richieda. L'analisi di dati riferiti a persone è soggetta a criteri più severi rispetto alle analisi da cui risultano soltanto dati anonimizzati. La legge disciplina soltanto i punti essenziali: la conservazione, la distruzione, l'accesso ai dati e altre modalità di trattamento saranno precisate nell'ordinanza.
7408
Messaggio 1
Punti essenziali del progetto
1.1
Impiego di strumenti elettronici per le attività della Confederazione
Nell'attuale mondo del lavoro sono ormai indispensabili numerosi strumenti elettronici. Gli organi federali, quindi, non mettono a disposizione soltanto telefono e computer, ma si avvalgono spesso di molti altri strumenti, come per esempio apparecchi per la registrazione del tempo di lavoro, videocamere, strumenti di navigazione ecc. Questi apparecchi vengono utilizzati principalmente, ma non esclusivamente, dagli impiegati federali: tra gli utenti si contano anche diversi esterni, come esperti consultati, personale di servizio esterno, autorità cantonali e persone che prestano servizio militare.
L'utilizzazione dell'infrastruttura elettronica della Confederazione lascia inevitabilmente delle tracce. Vengono registrati principalmente almeno a breve termine i cosiddetti dati marginali, generati dall'utilizzazione di tale infrastruttura, in particolare attraverso l'attivazione e la disattivazione di collegamenti elettronici. Vi rientrano soprattutto i file di archivio (logfile), che per esempio memorizzano orari e utenti di un collegamento telefonico o i siti Internet visitati e i computer impiegati. Tali dati marginali, ma anche i relativi contenuti, possono essere analizzati in riferimento a persone e comprendere dati personali degni di particolare protezione. Pertanto, l'analisi dei dati permette in alcuni casi di realizzare profili della personalità.
1.2
Necessità di una base legale per il trattamento dei dati
Per garantire la protezione dei dati, il trattamento soprattutto di dati personali sensibili è ammesso soltanto se sono soddisfatte determinate condizioni legali. Il 20 ottobre 2005 l'Ufficio federale di giustizia (UFG), su incarico del Dipartimento federale di giustizia e polizia (DFGP), ha redatto una perizia sugli aspetti giuridici legati alla conservazione dei dati relativi alle comunicazioni, nella quale conclude che anche la conservazione (memorizzazione) dei dati marginali delle comunicazioni elettroniche costituisce una forma di trattamento di dati personali ai sensi dell'articolo 17 della legge federale del 19 giugno 19921 sulla protezione dei dati (LPD) e necessita quindi di una base legale formale, di cui gli organi federali attualmente non dispongono. In altre parole, il presente disegno di revisione è inteso a fornire la base legale formale per i tipi di trattamento di dati a cui in molti casi già si ricorre.
1
RS 235.1
7409
1.3
Preparazione dell'avamprogetto
In seguito alla perizia sopraccitata, la Conferenza dei segretari generali si è espressa a favore dell'istituzione delle basi legali necessarie. Su incarico del DFGP, l'UFG ha elaborato un avamprogetto, in collaborazione con un gruppo di lavoro interdipartimentale comprendente rappresentanti della Cancelleria federale, dell'Ufficio federale dell'informatica e della telecomunicazione, dell'Ufficio federale del personale, dell'Organo strategia informatica della Confederazione e dell'Incaricato federale della protezione dei dati e della trasparenza.
Nel dicembre 2008 il Consiglio federale ha avviato una consultazione, invitando Cantoni, partiti, associazioni mantello, nonché alcune organizzazioni specializzate, a esprimere un parere sull'avamprogetto entro la fine di marzo 2009.
Quasi tutti i partecipanti alla consultazione hanno approvato l'idea di disciplinare il trattamento dei dati integrando la legge del 21 marzo 19972 sull'organizzazione del Governo e dell'Amministrazione (LOGA). In molti hanno tuttavia chiesto che venga specificato il trattamento di dati ammesso, considerando che un'autorizzazione generale a registrare i dati intaccherebbe i diritti fondamentali.
L'avamprogetto è stato modificato sulla base dei risultati della consultazione, in collaborazione con il gruppo di lavoro interdipartimentale, allo scopo di soddisfare soprattutto la richiesta di specificare le condizioni a cui sono ammesse la registrazione di determinati dati e la relativa analisi nonché l'interazione con le norme più severe attualmente in vigore. Considerate le critiche presentate, è stato introdotto un nuovo modello: l'autorizzazione generale a registrare i dati con limitazione del trattamento successivo è stata sostituita da un divieto generale di registrazione e analisi, in combinazione con un insieme di deroghe per la registrazione e l'analisi di dati per le finalità elencate in maniera esaustiva nella legge.
1.4
Impostazione di fondo e punti essenziali del disegno
Le disposizioni sulla protezione dei dati qui proposte sono intese a colmare la lacuna legislativa menzionata. In linea di principio, non sono ammesse la registrazione e l'analisi dei dati personali risultanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione. Sono fatte salve la registrazione e l'analisi per le finalità elencate in maniera esaustiva. La regolamentazione proposta persegue due obiettivi: da un lato è necessario proteggere gli utenti di tale infrastruttura da un trattamento dei dati illecito da parte dei gestori; dall'altro questi ultimi devono disporre di una base legale che li legittimi a registrare determinati dati e ad analizzarli qualora sia ritenuto necessario.
Tale regolamentazione è tuttavia sussidiaria; hanno precedenza le disposizioni sulla protezione dei dati di altre leggi federali, per esempio in materia di sorveglianza telefonica: si vedano a titolo esemplificativo la legge federale del 6 ottobre 20003 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) e la legge federale del 21 marzo 19974 sulle misure per la salvaguardia della sicurezza interna (LMSI). In questi casi, la registrazione e il trattamento dei 2 3 4
RS 172.010 RS 780.1 RS 120
7410
dati personali sono ammessi soltanto se sono soddisfatte le condizioni previste dalle leggi speciali.
Le nuove disposizioni sulla protezione dei dati non devono essere emanate in un atto normativo indipendente, ma vanno integrate in una legge esistente. Entrano in linea di conto in particolare la LPD, la legge del 24 marzo 20005 sul personale federale (LPers) e la LOGA.
In base alla sua struttura attuale, la LPD è considerata una legge generale. Limitandone il campo d'applicazione agli organi federali in qualità di gestori dell'infrastruttura elettronica della Confederazione, come previsto dalle disposizioni proposte, se ne altererebbe la natura: per questo motivo rinunciamo a una revisione della LPD.
La LPers riguarda il personale della Confederazione. L'infrastruttura elettronica della Confederazione è a disposizione principalmente, ma non esclusivamente, degli impiegati federali: viene utilizzata anche da numerosi utenti esterni (p. es. esperti, visitatori, militari, autorità cantonali). Per questo motivo, anche la LPers è ritenuta poco adatta ad accogliere le nuove disposizioni. Alla luce di tali considerazioni, la LOGA è l'atto normativo più appropriato allo scopo. Infatti il campo d'applicazione è relativamente ampio e tale legge comprende già una disposizione sulla protezione dei dati in una questione connessa, ovvero il trattamento dei dati nell'ambito della gestione degli affari da parte degli «organi federali» (art. 57h). Proponiamo pertanto un'integrazione della LOGA che faccia seguito all'articolo menzionato.
Il disegno prevede anzitutto un divieto: gli organi federali non possono registrare e analizzare i dati personali risultanti dall'utilizzazione dell'infrastruttura elettronica.
Le deroghe a tale principio sono elencate in quattro ulteriori disposizioni. La registrazione dei dati e la loro analisi sono ammesse soltanto per le finalità elencate in maniera esaustiva nella legge. In base a tale principio, l'organo federale che tratta i dati deve dimostrare di esservi legittimato. Questo approccio normativo è stato scelto in risposta ai risultati della consultazione. L'avamprogetto prevedeva infatti la possibilità per gli organi federali di registrare praticamente tutti i dati generati dall'utilizzazione dell'infrastruttura elettronica della Confederazione, mentre per il trattamento
successivo erano previste limitazioni. Le finalità consentite per l'analisi dei dati vengono differenziate: l'analisi di dati riferiti a persone è soggetta a criteri più severi rispetto all'analisi non riferita a persone i cui risultati contengono esclusivamente dati anonimizzati. I termini di conservazione dei dati saranno disciplinati nell'ordinanza: probabilmente verranno fissati diversi termini massimi per la conservazione a seconda della tipologia dei dati, prolungabili soltanto a determinate condizioni.
Nella legge non abbiamo inserito un obbligo di emanare regolamenti per l'utilizzazione dell'infrastruttura elettronica della Confederazione. Tale esigenza può essere soddisfatta nell'ordinanza.
5
RS 172.220.1
7411
2
Commento alle singole disposizioni
2.1
Rapporto tra le nuove disposizioni e l'attuale articolo 57h
L'articolo 57h, introdotto nel 2000, rappresenta la base legale per il trattamento di dati personali degni di particolare protezione da parte di organi federali per mezzo di sistemi d'informazione e di documentazione utilizzati per registrare, gestire, indicizzare e controllare la corrispondenza e gli affari. Questa base legale si applica a gran parte dei settori dell'Amministrazione e ne copre numerose attività, quali la gestione di un sistema elettronico di registrazione degli affari in corso oppure il trattamento e l'evasione delle richieste elettroniche.
Le disposizioni presentate qui di seguito sono intese a colmare le attuali lacune nell'ambito della protezione dei dati derivanti dall'utilizzazione dell'infrastruttura elettronica. Riguardano anzitutto i cosiddetti dati marginali, ma in parte anche il contenuto di comunicazioni (p. es. oggetto e testo di una e-mail, contenuto di documenti Word).
2.2
Commento ai singoli articoli
Ingresso Attualmente, l'ingresso della LOGA fa riferimento all'articolo 85 capoverso 1 della vecchia Costituzione federale del 29 maggio 1874. L'attuale disposizione costituzionale di riferimento viene specificata soltanto in una nota a piè di pagina. Con la presente revisione cogliamo l'occasione per aggiornare l'ingresso, indicando l'articolo 173 capoverso 2 della Costituzione federale del 18 aprile 19996 (Cost.) come fondamento costituzionale della LOGA.
Art. 57i
Rapporto con altre leggi federali
Questa disposizione disciplina i rapporti con altre leggi sulla registrazione e l'analisi dei dati risultanti dall'utilizzazione dell'infrastruttura elettronica. Tali leggi speciali, che ammettono la registrazione e l'analisi dei dati personali solo a condizioni severe e di regola solo per decisione di un'autorità, hanno precedenza sulle disposizioni proposte.
In particolare, restano in vigore le seguenti norme speciali:
6
la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni nell'ambito di un procedimento penale, di una domanda di assistenza giudiziaria o della ricerca e del salvataggio di persone disperse è retta dalla LSCPT; per il resto, continua a essere ammessa la registrazione di conversazioni previo consenso dei partecipanti, per esempio per i controlli di qualità in un call center;
la perquisizione di registrazioni su supporto visivo e sonoro e di altre registrazioni, supporti di dati nonché apparecchi destinati all'elaborazione e all'archiviazione di informazioni nell'ambito di un procedimento penale sarà RS 101
7412
disciplinata dagli articoli 246 segg. del Codice di procedura penale del 5 ottobre 20077 (CPP), non appena quest'ultimo entrerà in vigore; alla disposizione di misure di sorveglianza segrete, per esempio tramite video o trasmettitori GPS, si applicano gli articoli 269 segg. CPP;
per le perquisizioni nell'ambito di inchieste disciplinari rette dal diritto sul personale federale valgono principi analoghi (cfr. art. 25 LPers e art. 98 dell'ordinanza del 3 luglio 20018 sul personale federale [OPers]); il procedimento disciplinare di prima istanza è retto dalla legge federale del 20 dicembre 19689 sulla procedura amministrativa (PA), che inoltre rimanda alla legge di procedura civile federale (cfr. art. 12 e 19 PA);
norme speciali sono previste anche dalla legge del 30 aprile 199710 sulle telecomunicazioni (LTC), per es. in materia di dati relativi all'ubicazione (cfr. art. 4346 LTC);
norme speciali per la ricerca di informazioni e il trattamento dei dati nell'ambito delle misure di salvaguardia della sicurezza interna sono previste dalla LMSI;
la ricerca di informazioni e il trattamento dei dati in materia di imposte e tasse federali sono disciplinati dalla legge federale del 14 dicembre 199011 sull'imposta federale diretta (LIFD), dalla legge federale del 14 dicembre 199012 sull'armonizzazione delle imposte dirette dei Cantoni e dei Comuni (LAID), dalla legge federale del 13 ottobre 196513 sull'imposta preventiva (LIP), dalla legge federale del 27 giugno 197314 sulle tasse di bollo (LTB), dalla legge del 2 settembre 199915 sull'IVA (LIVA) e dalla legge federale del 12 giugno 195916 sulla tassa d'esenzione dall'obbligo militare (LTEO).
In tale contesto desideriamo inoltre rinviare al progetto sulla legislazione in materia di polizia, nel cui ambito viene elaborata una legge federale sui compiti di polizia della Confederazione (titolo di lavoro: legge federale sui compiti in materia di polizia, LCPol).
Gli atti che non vertono su dati generati automaticamente, bensì su determinate collezioni di dati (p. es. per la creazione di sistemi d'informazione), disciplinano oggetti normativi diversi da quelli del presente disegno. Questo vale per esempio nei seguenti ambiti:
7 8 9 10 11 12 13 14 15 16 17
trattamento dei dati con sistemi d'informazione di polizia della Confederazione (cfr. la legge federale del 13 giugno 200817 sui sistemi d'informazione di polizia della Confederazione [LSIP]);
FF 2007 6327 RS 172.220.111.3 RS 172.021 RS 784.10 RS 642.11 RS 642.14 RS 642.21 RS 641.10 RS 641.20 RS 661 RS 361
7413
trattamento dei dati con i diversi sistemi d'informazione dell'esercito secondo la legge militare del 3 febbraio 199518 (LM).
Quanto al rapporto con la LPD, il disegno fornisce una base legale per il trattamento di determinati dati personali (in particolare quelli marginali) da parte degli organi federali, come previsto dall'articolo 17 LPD. Inoltre, in questo modo la raccolta di dati personali e le finalità del trattamento risultano evidenti per tutti (cfr. art. 4 cpv. 4 LPD). Le restanti disposizioni della LPD in materia di trattamento di dati personali da parte degli organi federali (sez. 4) restano applicabili direttamente. Tra queste vanno annoverati per esempio l'articolo 22 LPD, che autorizza il trattamento dei dati per scopi di ricerca, pianificazione e statistica, oppure l'articolo 16 capoverso 1 LPD, che disciplina le responsabilità. Vanno inoltre rispettate le disposizioni generali di protezione dei dati (sez. 2).
Art. 57j
Principi
La nuova disposizione si rivolge agli organi federali, i quali, come le ditte esterne che gestiscono l'infrastruttura su loro incarico, non sono autorizzati a registrare e analizzare dati personali, tranne che per le finalità citate negli articoli successivi.
I destinatari indiretti dell'articolo sono coloro che utilizzano l'infrastruttura elettronica messa a disposizione dagli organi federali, ovvero in particolare il personale federale e i membri delle Camere federali, ma anche gli utenti esterni di banche dati.
La revisione è volta a proteggerli da un trattamento illecito dei loro dati personali.
Capoverso 1: impiegando il termine «organi federali», si precisa che i destinatari delle nuove disposizioni sono gli stessi del precedente articolo concernente il trattamento dei dati nell'ambito della gestione degli affari (art. 57h LOGA). Il termine «organi federali» figura anche nella LPD (art. 2 cpv. 1 lett. b, art. 3 lett. h). Tale concetto è più ampio rispetto al termine «unità amministrative» di cui all'articolo 2 LOGA e all'articolo 6 dell'ordinanza del 25 novembre 199819 sull'organizzazione del Governo e dell'Amministrazione (OLOGA). Sono considerati organi federali:
le autorità e i servizi della Confederazione (dipartimenti, uffici, Cancelleria federale, unità amministrative decentralizzate, istituti federali ecc.);
le persone fisiche e giuridiche esterne all'Amministrazione federale nella misura in cui svolgano compiti federali (p. es. Posta, FFS, Suva).
Il termine comprende, tra gli altri, anche l'Assemblea federale con i rispettivi organi, i Servizi del Parlamento per le proprie attività amministrative e le casse malati, nella misura in cui, in qualità di organi federali, applicano il diritto federale20. Non vi rientrano i tribunali della Confederazione, cui tuttavia la regolamentazione proposta si applica per analogia, conformemente alle modifiche delle leggi sui tribunali figuranti nell'allegato.
18 19 20
RS 510.10 RS 172.010.1 Cfr. a questo proposito Urs Maurer-Lambrou/Simon Kunz, «Kommentar zum DSG», in U. Maurer-Lambrou/Vogt: Datenschutzgesetz Basler Kommentar, Basilea/Ginevra/ Monaco 2006, art. 2 n. marg. 12 segg., Thomas Sägesser, Stämpflis Handkommentar zum RVOG, art. 2 n. marg. 16 segg.
7414
Ai sensi dell'articolo 3 lettera a LPD, sono considerati dati personali tutte le informazioni relative a una persona identificata o identificabile. Si può trattare di dati marginali o di informazioni sui contenuti.
Come specificato, il divieto di registrare e analizzare i dati personali risultanti dall'utilizzazione dell'infrastruttura elettronica si applica indipendentemente dal fatto che tale infrastruttura sia gestita dalla Confederazione stessa oppure da una ditta esterna su suo incarico. Il mandante è quindi responsabile del rispetto delle disposizioni da parte della ditta incaricata (cfr. art. 10a LPD). I diritti degli utenti da rispettare nel trattare i dati secondo le disposizioni proposte sono retti dalla LPD.
Conformemente all'articolo 16 LPD, il detentore dei dati è responsabile della loro protezione. L'infrastruttura elettronica della Confederazione viene gestita principalmente dall'Ufficio federale dell'informatica e della telecomunicazione (UFIT), che in molti casi opera quindi in qualità di detentore dei dati, anche se di regola li registra e li analizza su richiesta di un'altra unità amministrativa. In questi casi, le richieste secondo gli articoli 8 e 25 LPD, tese a ottenere informazioni sui dati trattati, a rettificare o distruggere i dati nonché a bloccarne il trattamento, andrebbero pertanto rivolte all'UFIT.
Gli organi cantonali e comunali che applicano il diritto federale e i rispettivi impiegati non sono destinatari delle presenti disposizioni, non essendo organi federali. Per contro, gli impiegati cantonali e comunali nonché i privati e le ditte che per esempio consultano dati online o contattano un servizio federale per e-mail, sono protetti in quanto destinatari indiretti della normativa.
La generazione di dati risultanti dall'utilizzazione dell'infrastruttura elettronica non presuppone un intervento attivo dei destinatari indiretti: vengono registrati anche i dati di destinatari di e-mail o di interlocutori telefonici, nonché quelli di persone filmate dalle videocamere negli edifici della Confederazione.
La proposizione secondaria relativizza il divieto: il trattamento dei dati, comprendente la registrazione e l'analisi, è ammesso eccezionalmente se risulta necessario per le finalità citate in maniera esaustiva negli articoli 57l57o.
Il capoverso 2 costituisce la
base legale formale per registrare e analizzare anche i dati sensibili, ovvero i dati personali degni di particolare protezione e i profili della personalità secondo l'articolo 3 lettere c e d LPD, se risulta necessario per una delle finalità citate negli articoli 57l57o.
Art. 57k
Infrastruttura elettronica
L'espressione «infrastruttura elettronica» permette un'ampia interpretazione ed è volutamente definita in maniera generale, per evitare continui adeguamenti delle basi legali in risposta al progresso tecnologico. In linea di principio vanno citati tutti gli strumenti di lavoro, di ausilio e di controllo che gli organi federali mettono a disposizione dei loro impiegati ed eventualmente di terzi. Gli apparecchi in questione possono essere fissi o mobili.
Art. 57l
Registrazione di dati personali
L'organo federale o la ditta da questi incaricata può registrare i dati personali risultanti dall'utilizzo della sua infrastruttura elettronica esclusivamente per le finalità citate in questa disposizione. La registrazione è ammessa soltanto se e nella misura in cui sia necessaria per procedere successivamente a un'analisi secondo gli artico7415
li 57m57o; vale il principio della proporzionalità. Possono essere registrati tutti i dati personali, indipendentemente dal fatto che si riferiscano a una persona identificata o identificabile.
Tutti i dati memorizzati per una determinata finalità possono anche essere analizzati per tale finalità, ma non in riferimento a persone (cfr. art. 57m). Un'analisi in riferimento a persone per campioni, che permette di trarre deduzioni su determinate persone (analisi non nominale in riferimento a persone) è ammessa soltanto se è perseguita anche una delle finalità citate nell'articolo 57n. Un'analisi in riferimento a una determinata persona (analisi nominale in riferimento a persone) è ammessa soltanto per le finalità elencate nell'articolo 57o.
La conservazione e la cancellazione dei dati, come forme particolari di trattamento, saranno precisate nell'ordinanza (secondo l'art. 57q lett. a).
La lettera a fornisce una base legale per l'imprescindibile salvaguardia dei dati (copie di riserva), attualmente già praticato.
La lettera b ammette la registrazione dei dati generati dall'utilizzazione dell'infrastruttura elettronica (tra cui i dati riguardanti l'attivazione e la disattivazione di collegamenti elettronici nonché i dati procedurali di applicazioni, banche dati e server) per le seguenti finalità:
per garantire la manutenzione tecnica del sistema e la sicurezza delle informazioni e dei servizi in alcuni casi si rendono necessarie la registrazione e l'analisi dei dati (n. 1 e 2); qualora non fosse sufficiente un'analisi non riferita a persone, deve essere presa in considerazione l'analisi secondo gli articoli 57n e 57o;
per controllare il rispetto generale dei regolamenti di utilizzazione possono essere registrati tutti i dati sull'utilizzazione dell'infrastruttura elettronica, in modo da stabilire per esempio in che misura sono stati visitati siti Internet non autorizzati (n. 3);
la registrazione è ammessa per risalire agli accessi a collezioni di dati; questo è necessario per permettere, nell'ambito di un'analisi non riferita a persone secondo l'articolo 57m, di verificare sulla base dei dati registrati da quali computer è stata consultata una determinata banca dati e in quali momenti, se sono state effettuate modifiche e quali (n. 4);
deve inoltre essere possibile rilevare l'utilizzazione dell'infrastruttura elettronica per addebitare i costi dei servizi a pagamento conformemente all'articolo 57o lettera d (n. 5).
La lettera c permette per esempio di registrare i dati necessari per un'analisi secondo l'articolo 57m, in vista di un'eventuale modifica degli orari di presenza obbligatori o di provvedimenti per la gestione della salute.
L'accesso ai locali degli organi federali deve in parte essere accertato per via elettronica, per garantire la protezione di persone e cose. In questo modo, nel caso per esempio di un furto, è più facile individuarne l'autore. La lettera d costituisce la base legale per la registrazione (memorizzazione) dei dati personali generati dall'utilizzazione dell'infrastruttura elettronica. Tuttavia, la disposizione non specifica quando è ammessa l'installazione dell'infrastruttura necessaria e se è consentita la sorveglianza in tempo reale. Di regola, un'analisi dei dati memorizzati riguardanti la sorveglianza dei locali sarà possibile o avrà senso soltanto in riferimento a determinate 7416
persone; tuttavia, tale analisi è ammessa solo se sono rispettate le condizioni dell'articolo 57o. Tutte le disposizioni del presente articolo sono comunque applicabili soltanto nel caso in cui il trattamento dei dati risultanti dall'utilizzazione dell'infrastruttura elettronica non sia già disciplinato in una legge speciale (cfr.
art. 57i).
Il trattamento dei dati per scopi di ricerca e statistica non va menzionato esplicitamente in questa disposizione, dal momento che è ammesso in base all'articolo 22 LPD.
Art. 57m
Analisi non riferita a persone
I dati registrati per una determinata finalità secondo l'articolo 57l possono essere analizzati soltanto in maniera tale che non sia possibile trarre deduzioni su determinate persone. In altre parole, il risultato dell'analisi deve contenere solo dati anonimizzati.
Nell'ambito dell'analisi è possibile combinare anche diverse finalità (p.es. confrontare i dati di controllo dei tempi di lavoro di una determinata persona con quelli sull'accesso della stessa a una collezione di dati).
Art. 57n
Analisi non nominale in riferimento a persone
I dati registrati secondo l'articolo 57l per una determinata finalità possono essere analizzati per campioni in maniera tale che i risultati permettano di trarre deduzioni sul comportamento di singole persone, che però non vengono identificate. I dati marginali registrati possono essere analizzati in questo modo per permettere una verifica dell'utilizzazione dell'infrastruttura elettronica all'interno delle singole unità amministrative. Per esempio, sulla base dell'articolo 57n in combinato disposto con l'articolo 57l lettera b numero 3 è possibile stabilire quante volte un determinato sito Internet (p.es. Facebook) è stato complessivamente visitato dagli impiegati di un ufficio federale, senza però poter trarre conclusioni sul comportamento di una persona ben determinata. Anche i dati sui tempi di lavoro del personale possono essere analizzati in questo modo. Tutti gli altri dati registrati, per esempio l'oggetto di e-mail o il numero di ordini di stampa inviati, non possono essere analizzati in questo modo.
Art. 57o
Analisi nominale in riferimento a persone
Sotto il profilo della protezione dei dati, un'analisi dei dati registrati conformemente all'articolo 57l che permetta di trarre deduzioni sul comportamento di una determinata persona può essere particolarmente delicata. Pertanto è ammessa solo per le finalità elencate in questa disposizione. Inoltre, il principio della proporzionalità impone di accontentarsi di un'analisi non nominale in riferimento a persone se questa è sufficiente per raggiungere un determinato obiettivo.
L'analisi nominale viene di solito effettuata dall'organo federale che gestisce l'infrastruttura. Come anche nei casi citati negli articoli 57l57n, l'analisi può essere richiesta da un altro organo federale che necessita dei dati per le finalità previste dalla legge. Quest'ultimo deve motivare la propria richiesta e spiegare a che scopo prevede di utilizzare i dati trattati. È responsabile della protezione dei dati conformemente all'articolo 16 capoverso 1 LPD. Il trattamento dei dati permette all'organo federale di adottare le misure necessarie, tra cui l'avvio di un procedimento penale o 7417
disciplinare. Il trattamento dei dati senza informare la persona interessata è ammesso soltanto se non si tratta di dati personali degni di particolare protezione o se sono soddisfatte le condizioni dell'articolo 7a capoverso 4 LPD. I dettagli saranno disciplinati nell'ordinanza.
La lettera a ammette l'analisi nominale dei dati se nel caso specifico sussiste un sospetto di utilizzazione abusiva dell'infrastruttura elettronica da parte di una determinata persona oppure per individuare gli autori di eventuali abusi dell'infrastruttura elettronica rilevati in seguito a un'analisi non riferita a persone; non sono invece ammesse analisi nominali per campioni, analisi sistematiche senza sospetti concreti o indagini incrociate.
La lettera b consente per esempio di analizzare i dati in riferimento a determinate persone se è necessario per individuare la causa di un guasto.
La lettera c ammette l'analisi nominale per poter mettere a disposizione i servizi elettronici. Per esempio, il reset della password per utilizzare il computer è possibile soltanto con questo tipo di analisi.
La lettera d consente di compilare dati in riferimento a una determinata persona per fatturarle i costi derivanti dall'utilizzo soggetto a emolumento dell'infrastruttura elettronica.
La lettera e comprende, tra gli altri, l'analisi mensile dei dati riguardanti i tempi di lavoro, che per esempio permette al superiore di individuare le ore di presenza dei propri collaboratori e di controllare le ore di lavoro straordinarie fornite.
Art. 57p
Prevenzione di abusi
Questa disposizione concretizza l'articolo 7 LPD. Gli abusi dell'infrastruttura elettronica e le violazioni dei regolamenti per una corretta utilizzazione vanno evitati adottando misure tecniche e organizzative. Il trattamento dei dati secondo gli articoli 57l segg. è ammesso soltanto nel caso in cui tali misure risultino insufficienti.
Art. 57q
Disposizioni d'esecuzione
Va anzitutto sottolineato che la normativa prevista si applica in primo luogo a dati personali facenti parte di quantità di dati in alcuni casi molto elevate; prima dell'analisi, tali dati devono essere preparati adeguatamente (p. es. i collegamenti a Internet di una determinata persona devono essere isolati da tutti gli altri collegamenti, operazione che in alcuni casi è molto dispendiosa).
Le modalità di trattamento dei dati dopo la loro registrazione necessitano di un disciplinamento preciso. Tuttavia, nella legge è sufficiente un riferimento alle questioni principali che dovranno poi essere disciplinate nella rispettiva ordinanza. Il nostro Collegio dovrà quindi designare in particolare gli organi autorizzati e competenti per la registrazione e la conservazione dei dati. Dovrà inoltre disciplinare la durata di conservazione dei dati e la loro distruzione (lett. a), e specificare le modalità dell'ulteriore trattamento e in particolare dell'analisi dei dati (lett. b). Infine, dovrà disciplinare come e quando un organo è autorizzato ad accedere e ad analizzare i dati (lett. c). Gli organi federali competenti devono disporre le misure necessarie per proteggere adeguatamente i dati memorizzati e trattati dall'accesso di terzi non autorizzati (lett. d). Tuttavia, questi aspetti tecnici potranno essere precisati nell'ordinanza.
7418
2.3
Modifica del diritto vigente
Quanto previsto per gli organi federali deve applicarsi anche ai tribunali della Confederazione, nella misura in cui è applicabile la LPD ed è interessata l'attività amministrativa. Visto che la LOGA non è applicabile ai tribunali, nelle tre leggi specifiche sui tribunali è necessario inserire un articolo che sancisca l'applicabilità per analogia delle nuove disposizioni sulla protezione dei dati secondo la LOGA.
Per i tribunali, l'esecuzione non compete al nostro Collegio, bensì ai tribunali stessi, che devono quindi emanare le pertinenti disposizioni d'esecuzione necessarie.
3
Ripercussioni finanziarie e sull'effettivo del personale
3.1
Confederazione
La modifica della LOGA non ha ripercussioni finanziarie o sull'effettivo del personale dell'Amministrazione federale e fornisce le basi legali per la prassi attuale.
3.2
Cantoni e Comuni
La modifica della LOGA non ha ripercussioni finanziarie sui Cantoni e i Comuni.
La modifica tange i Cantoni e i Comuni nella misura in cui utilizzano l'infrastruttura elettronica della Confederazione: in questo caso, la Confederazione può trattare i dati marginali ed eventuali altri dati degli utenti cantonali e comunali per le finalità previste dalla legge. Di regola, si tratterà di analisi statistiche generali.
3.3
Altre ripercussioni
La presente modifica non comporta ripercussioni sull'economia, sull'ambiente, sulle generazioni future o sulla parità dei sessi.
4
Programma di legislatura e piano finanziario
La modifica della LOGA non è stata annunciata nel messaggio del 23 gennaio 200821 sul programma di legislatura 20072011 e nemmeno nel decreto federale del 18 settembre 200822 sul programma di legislatura 20072011. Non comportando interventi sostanziali, il suo significato politico è modesto: l'interesse primario è infatti quello di fornire una base legale per la prassi in vigore. Tuttavia, le modifiche proposte non possono essere considerate superflue, poiché rendono trasparente la raccolta e il trattamento dei dati, permettendone il controllo.
21 22
FF 2008 597 FF 2008 7469
7419
5
Aspetti giuridici
5.1
Costituzionalità e legalità
La normativa proposta per la raccolta e il trattamento dei dati riguarda l'organizzazione del Governo e dell'Amministrazione e rientra quindi nelle competenze dell'Assemblea federale secondo l'articolo 173 capoverso 2 Cost.
Le disposizioni sul trattamento dei dati devono rispettare il diritto fondamentale alla protezione da un impiego abusivo dei dati personali e all'autodeterminazione in materia di informazione (art. 13 cpv. 2 Cost. in combinato disposto con l'art. 10 cpv. 2 Cost.). La presente normativa potrebbe violare tali diritti fondamentali, poiché permette la registrazione e il trattamento di numerosi dati personali da parte della Confederazione. Tali provvedimenti, costituendo una limitazione dei diritti fondamentali, necessitano di una base legale formale, devono rispettare il principio della proporzionalità e possono essere applicati soltanto in presenza di un interesse pubblico. Il disegno proposto tiene conto di tali esigenze.
Inoltre, le modifiche rispettano i principi della LPD, fornendo una base legale per il trattamento dei dati risultanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione.
5.2
Compatibilità con gli impegni internazionali della Svizzera
La normativa prevista dal progetto è conforme alla Convenzione del 28 gennaio 198123 per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale nonché al Protocollo aggiuntivo dell'8 novembre 200124 a tale Convenzione concernente le autorità di controllo e i flussi internazionali di dati.
23 24
RS 0.235.1 RS 0.235.11
7420