14.402 Iniziativa parlamentare Registrazione e valutazione dei protocolli d'accesso elettronici dei membri delle Camere Rapporto dell'Ufficio del Consiglio nazionale del 7 novembre 2014

Onorevoli consiglieri, con il presente rapporto vi sottoponiamo il progetto di modifica dell'ordinanza dell'Assemblea federale relativa alla legge sul Parlamento e all'amministrazione parlamentare, che trasmettiamo nel contempo per parere al Consiglio federale.

L'Ufficio del Consiglio nazionale vi propone di approvare il progetto di ordinanza allegato.

7 novembre 2014

In nome dell'Ufficio: Il presidente, Ruedi Lustenberger

2014-3121

913

Rapporto 1

Genesi del progetto

Il 1° aprile 2012 è entrata in vigore una modifica della legge sull'organizzazione del Governo e dell'Amministrazione (LOGA; RS 172.010), modifica che disciplina il trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica (cfr. art. 57i segg. LOGA). Fondandosi su queste nuove disposizioni, il Consiglio federale ha emanato l'ordinanza sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione (RS 172.010.442). La legge e l'ordinanza disciplinano le finalità per le quali è possibile registrare o analizzare dati marginali e a chi compete ordinare un'analisi.

Conformemente all'articolo 57q capoverso 3 LOGA, l'ordinanza concerne parimenti i membri dell'Assemblea federale a meno che un'ordinanza dell'Assemblea federale non disponga altrimenti. In linea di principio l'ordinanza si applica per analogia a tutte le persone ­ membri delle Camere, collaboratori delle segreterie dei gruppi parlamentari e collaboratori dei Servizi del Parlamento ­ che utilizzano l'infrastruttura elettronica dell'Assemblea federale. Per le prime due categorie di utenti le procedure e le competenze si discostano solo per quanto concerne l'analisi nominale in riferimento a persone a causa di abuso o sospetto di abuso. Visto che l'analisi nominale in riferimento a persone di dati marginali rappresenta un'ingerenza considerevole nella sfera privata delle persone che ne sono interessate, l'Ufficio del Consiglio nazionale ha deciso di disciplinare nell'ordinanza sull'amministrazione parlamentare (Oparl) le norme applicabili a questo tipo di analisi, anche se nella prassi questa procedura sarà applicata raramente.

L'Ufficio del Consiglio nazionale aveva cercato di disciplinare questa problematica già nel quadro dei dibattiti circa l'estensione dei diritti d'accesso in Extranet ai deputati (cfr. Iv. Pa. 13.403 Extranet. Accesso ai deputati; FF 2013 7665 segg.).

Siccome però il Consiglio federale si era opposto nel suo parere all'estensione dei diritti di accesso in Extranet, l'Ufficio del Consiglio nazionale nella sua seduta del 14 febbraio 2014 ha ritirato l'intero progetto, comprese le proposte relative al «trattamento di dati marginali». In occasione di quella stessa seduta l'Ufficio del Consiglio nazionale ha tuttavia deciso di sottoporre
alla propria Camera la parte non contestata del progetto e di presentare la presente iniziativa commissionale, accolta il 16 maggio 2014 dall'Ufficio del Consiglio degli Stati.

2

Punti essenziali del progetto

Il presente progetto disciplina le procedure applicabili all'analisi nominale in riferimento a persone di dati marginali a causa di abuso o di sospetto di abuso relativi ai membri delle Camere e ai collaboratori delle segreterie dei gruppi parlamentari che utilizzano l'infrastruttura elettronica dell'Assemblea federale. Poiché per i collaboratori dei Servizi del Parlamento è applicabile per analogia l'ordinanza sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione, non è necessario integrare nell'Oparl alcuna disposizione specifica a questa categoria di persone.

914

Il progetto non concerne tuttavia l'analisi dei dati marginali nel quadro di un procedimento penale o disciplinare (cfr. in merito i commenti ai n. 2.1.2 e 2.1.3), poiché in virtù dell'articolo 51i LOGA le disposizioni della LOGA non si applicano nel caso in cui il trattamento di tali dati sia disciplinato in un'altra legge federale, ad esempio nella procedura penale o nel diritto disciplinare.

2.1

Aspetti generali sull'analisi dei dati marginali

2.1.1

Definizione di dati marginali

I dati marginali sono dati che risultano dall'utilizzazione dell'infrastruttura elettronica e che forniscono informazioni sul mittente, il destinatario, l'orario, la durata e il percorso della comunicazione, ma non sul suo contenuto. Le norme relative ai dati marginali sono finalizzate a proteggere gli utenti dell'infrastruttura elettronica da un accesso sproporzionato ai dati che risultano dall'utilizzazione di quest'ultima. La LOGA disciplina in modo esaustivo le finalità per le quali organi federali possono registrare e analizzare dati marginali (57l­57o LOGA) e opera in questo contesto una distinzione tra analisi dei dati marginali non riferita a persone (art. 57m e 57n LOGA) o in riferimento a persone (art. 57o LOGA).

Un'analisi non riferita a persone può segnatamente essere effettuata per salvaguardare i dati, mantenere la sicurezza delle informazioni, assicurare la manutenzione tecnica e controllare i regolamenti di utilizzazione.

Un'analisi in riferimento a persone è ammessa al fine di accertare un sospetto concreto di abuso dell'infrastruttura elettronica e perseguire un abuso dimostrato (cfr. art. 57o cpv. 1 lett. a LOGA) oppure per analizzare e riparare guasti nonché far fronte alle minacce concrete per l'infrastruttura elettronica (cfr. art. 57o cpv. 1 lett. b LOGA).

2.1.2

Delimitazione dell'analisi dei dati marginali nel quadro di un procedimento penale

Conformemente all'articolo 57i LOGA, le disposizioni della LOGA e le relative disposizioni d'esecuzione non sono applicabili qualora un'altra legge federale disciplini il trattamento dei dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica.

Le disposizioni del Codice di procedura penale (CPP; RS 312.0) ­ segnatamente gli articoli 246 segg., che disciplinano la perquisizione di carte e registrazioni ­ determinano se sia ammissibile sottoporre a una perquisizione registrazioni su supporto visivo e sonoro e altre registrazioni, supporti di dati nonché apparecchi destinati all'elaborazione e all'archiviazione di informazioni nell'ambito di un procedimento penale. Se, sulla base di una denuncia penale, vi è il sospetto che qualcuno abbia violato il segreto d'ufficio facendo uso dell'infrastruttura informatica dell'Assemblea federale (ad es. di Extranet), le autorità di perseguimento penale devono determinare i fatti pertinenti e assicurare le prove. Se i sospetti non portano a una persona in particolare, esse devono in primo luogo identificare l'autore della presunta violazione. A tal fine esse possono adottare provvedimenti coercitivi che incidono sui diritti fondamentali degli interessati (cfr. art. 196 CCP: definizione dei provvedi915

menti coercitivi): le autorità di perseguimento penale possono chiedere informazioni al fine di sapere chi ha avuto accesso a tale documento in un certo momento, esigere che vengano loro consegnati i verbali d'accesso o requisire mezzi di prova. Le autorità di perseguimento penale non sono invece autorizzate a chiedere informazioni, sulla base di una vaga supposizione o di semplici dicerie, su chi ha avuto accesso a quale documento. Contro la richiesta delle autorità di perseguimento penale a fornire informazioni o addirittura consegnare documenti o verbali d'accesso, l'autorità chiamata in causa potrebbe opporsi presentando reclamo. Le autorità di perseguimento penale devono quindi ricorrere al mezzo meno intrusivo per identificare l'autore di una presunta violazione. Se a seguito delle indagini il sospetto cade su un deputato in particolare, per un primo chiarimento dei fatti o per assicurare le prove è necessaria un'autorizzazione delle presidenze delle Camere conformemente all'articolo 18 della legge sul Parlamento (LParl; RS 171.10).

Inoltre, l'articolo 17 LParl subordina all'autorizzazione delle commissioni competenti di ambo le Camere il promovimento di un procedimento penale contro un parlamentare per un reato direttamente connesso con la sua condizione o attività ufficiale. Contro i collaboratori delle segreterie dei gruppi parlamentari e dei Servizi del Parlamento è invece possibile presentare direttamente una denuncia penale.

2.1.3

Delimitazione dell'analisi dei dati marginali nel quadro di un procedimento disciplinareL'Ufficio

di ciascun Consiglio è autorizzato ad adottare misure disciplinari nei confronti di un parlamentare che contravviene alle norme disciplinari e procedurali (cfr. art. 13 LParl). Se un sospetto concreto pesa su un parlamentare, l'Ufficio potrebbe chiedere che vengano analizzati i dati marginali concernenti il deputato in questione. Per contro, l'articolo 13 LParl non costituisce una base legale che permette di intentare un procedimento disciplinare contro ignoti. In un caso simile l'Ufficio non ha la competenza di interrogare informatori, sentire persone in qualità di testimoni né di ordinare un'analisi generalizzata in riferimento a persone.

I collaboratori dei Servizi del Parlamento soggiacciono invece alle disposizioni relative al diritto disciplinare contenute nella legge sul personale della Confederazione (LPers; RS 172.220.1) e alle rispettive disposizioni d'esecuzione. Spetta infine alle segreterie dei gruppi parlamentari definire le eventuali misure da adottare nei confronti dei loro collaboratori.

2.2

Gruppi di utenti dell'infrastruttura elettronica della Confederazione

L'infrastruttura elettronica dell'Assemblea federale è utilizzata dai deputati, dai collaboratori delle segreterie dei gruppi parlamentari e dai collaboratori dei Servizi del Parlamento.

Per i collaboratori dei Servizi del Parlamento si applica per analogia l'ordinanza del Consiglio federale sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione: non è quindi necessario un adeguamento delle basi legali. In linea generale spetta al superiore gerarchico ordinare un'analisi in riferimento a persone. Conformemente all'articolo 57o capoverso 2 916

lettera b LOGA tale analisi può essere effettuata soltanto previa informazione scritta alla persona interessata. Se la persona interessata non acconsente all'analisi, quest'ultima necessita dell'autorizzazione del segretario generale dell'Assemblea federale. Il delegato alla sicurezza dell'Assemblea federale (cfr. n. 4: commenti all'articolo 27 cpv. 1bis) verifica che il sospetto concreto di abuso sia sufficientemente comprovato per scritto e che la persona interessata sia stata informata per scritto dell'esistenza di un sospetto concreto. Le procedure e le competenze concrete sono definite nelle direttive dell'11 agosto 2008 sull'utilizzazione delle tecnologie dell'informazione e della comunicazione e sulla protezione dell'informazione in seno ai Servizi del Parlamento. Conformemente a tali direttive, i terzi che utilizzano l'infrastruttura elettronica dell'Assemblea federale sulla base di un rapporto contrattuale sono soggetti alle stesse norme dei collaboratori dei Servizi del Parlamento.

I membri dell'Assemblea federale non sono integrati in una gerarchia né sono sottoposti a un'autorità superiore. Per questa ragione è importante determinare chi verifica l'adempimento delle condizioni necessarie alla realizzazione di un'analisi che li concerne. Del resto occorre designare un servizio che autorizzi l'analisi nell'ipotesi in cui la persona interessata rifiutasse di acconsentirvi. Tali questioni devono parimenti essere disciplinate per i collaboratori delle segreterie dei gruppi parlamentari, non appartenendo questi ultimi né all'Assemblea federale né ai Servizi del Parlamento.

3

Procedura nel quadro di un'analisi dei dati marginali in riferimento a persone a causa di abuso o sospetto di abuso

Per l'analisi dei dati marginali in riferimento ai deputati o ai collaboratori delle segreterie dei gruppi parlamentari a causa di abuso o sospetto di abuso, l'Ufficio propone di applicare per analogia gli articoli 10 segg. dell'ordinanza sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione, osservando la seguente procedura: 1.

chiunque sospetti un abuso si rivolge al delegato alla sicurezza dell'Assemblea federale. Quest'ultimo redige un rapporto sulla base delle informazioni fornite per fondare il sospetto. Se ottiene l'autorizzazione della persona interessata, incarica il gestore del sistema (ossia il Settore TI) di procedere a un'analisi dei dati marginali riferiti alla persona in questione;

2.

prima che il gestore del sistema proceda all'analisi, il delegato della Delegazione amministrativa verifica che il sospetto concreto di abuso sia sufficientemente comprovato per scritto o che l'abuso sia documentato e che la persona interessata sia stata informata per scritto dell'esistenza di un sospetto concreto;

3.

se la persona interessata non acconsente all'analisi, quest'ultima necessita dell'autorizzazione della Delegazione amministrativa per quanto concerne i deputati e del presidente del gruppo parlamentare interessato per quanto attiene ai collaboratori delle segreterie dei gruppi parlamentari;

4.

una volta effettuata l'analisi tecnica, il gestore del sistema (Settore TI) trasmette il risultato al delegato alla sicurezza dell'Assemblea federale.

Quest'ultimo ne informa la persona interessata e la Delegazione amministra917

tiva o il presidente del gruppo interessato. A seconda del risultato, viene proposto un procedimento penale o avviato un procedimento disciplinare.

4

Commento ai singoli articoli

Titolo prima dell'art. 16c

Sezione 8: Trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica L'Ufficio constata che l'ordinanza sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione è in linea di principio applicabile, anche se restano ancora da chiarire talune questioni relative alle competenze per quanto riguarda i deputati e i collaboratori delle segreterie dei gruppi parlamentari. Per questa ragione l'Ufficio propone di completare l'Oparl mediante una sezione 8 dedicata al trattamento dei dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica.

Art. 16c

Basi legali e competenze

Il capoverso 1 riprende il principio dell'articolo 57q capoverso 3 LOGA, secondo cui l'ordinanza sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione si applica parimenti ai membri dell'Assemblea federale; esso precisa che le disposizioni dell'ordinanza summenzionata si applicano ugualmente ai collaboratori delle segreterie dei gruppi parlamentari se questi utilizzano l'infrastruttura dell'Assemblea federale. Il Settore Informatica e nuove tecnologie (TI) dei Servizi del Parlamento è il gestore del sistema informatico utilizzato dall'Assemblea federale, dai Servizi del Parlamento e (in parte) dalle segreterie dei gruppi parlamentari.

L'ordinanza sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione affida diversi compiti al «servizio previsto dal piano di protezione dei dati di un organo federale». L'Ufficio propone di conferire tali compiti al delegato alla sicurezza dell'Assemblea federale e di sancire nel contempo questa funzione nell'Oparl (cfr. art. 27 cpv. 1bis del progetto).

Art. 16d

Analisi nominale in riferimento a persone a causa di abuso o sospetto di abuso

L'articolo 16d contiene le basi legali che disciplinano i passi, descritti nel capitolo 3 del presente documento, della procedura da seguire nel caso di un'analisi dei dati marginali in riferimento a persone a causa di abuso o sospetto di abuso. Vi è abuso dell'infrastruttura elettronica se la modalità o l'entità dell'utilizzazione viola le direttive dell'organo federale o le disposizioni di legge. Secondo le disposizioni summenzionate, un'analisi in riferimento a persone può essere effettuata se sussiste un sospetto concreto nei confronti di una determinata persona. Non è invece possibile procedere a una simile analisi senza indizi concreti; un controllo sistematico generalizzato dei dati marginali è dunque da escludere.

918

Art. 27 cpv. 1bis La competenza della Delegazione amministrativa di designare un delegato alla sicurezza dell'Assemblea federale è ora menzionata espressamente nell'Oparl. Il delegato alla sicurezza è competente, in tutti i settori della sicurezza, della pianificazione e dell'organizzazione di misure di protezione per deputati e collaboratori dei Servizi del Parlamento, e dunque anche per i dati da essi elaborati. Egli elabora all'indirizzo della Delegazione amministrativa la strategia di sicurezza dell'Assemblea federale e dei Servizi del Parlamento, ne controlla l'esecuzione operativa, sottopone proposte alla Delegazione amministrativa e presenta un rendiconto all'attenzione di quest'ultima.

5

Conseguenze finanziarie e sull'effettivo del personale

Per le analisi dei dati marginali è necessario adottare disposizioni tecniche. Si tratta di definire il processo e gli strumenti idonei e di garantire le conoscenze necessarie affinché le analisi possano essere effettuate entro i debiti termini.

Questi lavori comporteranno un onere minimo in termini di personale e lievi conseguenze finanziarie.

Le spese d'esercizio sono direttamente legate alle analisi e dipendono dalla frequenza e dalla complessità delle stesse. Un'analisi dovrebbe comportare circa due giorni di lavoro e durare una settimana.

6

Basi legali

La LOGA e l'ordinanza del Consiglio federale sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione sono le basi legali per gli adeguamenti dell'Oparl di cui nel presente progetto.

919

920