Questioni relative all'organizzazione della protezione dei dati in seno all'Amministrazione federale Rapporto della Commissione della gestione del Consiglio nazionale del 21 novembre 2003
2003-2584
1215
Rapporto 1
Contesto e oggetto dell'esame
La legge federale sulla protezione dei dati (LPD; RS 235.1) è entrata in vigore il 1° luglio 1993, ovvero un po' più di 10 anni or sono. Da allora le possibilità e i rischi di lesioni della personalità si sono considerevolmente accresciuti. In generale, il rapido sviluppo delle tecnologie moltiplica il numero dei trattamenti di dati personali e rende il compito di proteggere i dati sempre più complesso e più importante.
Questa situazione esige dalle autorità una costante attenzione e la capacità di interrogarsi in ogni momento sulle disposizioni legali applicate e sulla loro attuazione pratica.
Gli interessi della protezione dei dati si oppongono da un lato a determinati interessi del settore privato (in particolare lo sfruttamento commerciale dei dati) e del settore pubblico (in particolare la sicurezza interna). Per esempio, recentemente, gli avvenimenti dell'11 settembre 2001 hanno indotto alcuni Stati a prendere misure in materia di lotta al terrorismo che sollevano profondi dubbi e pongono gravi problemi sotto il profilo della protezione dei dati. Ne sono esempio la trasmissione di dati personali richiesta dagli Stati Uniti riguardo ai passeggeri e ai membri dell'equipaggio dei voli in partenza o a destinazione degli Stati Uniti, nonché i dati biometrici che i passaporti di tali viaggiatori dovranno in futuro contenere.
Le Commissioni della gestione (CdD) attribuiscono molta importanza alla protezione dei dati. Una mozione1 presentata dalla Commissione della gestione del Consiglio degli Stati (CdG-S) in seguito a un'ispezione sull'attuazione dei collegamenti «on line» nel settore della polizia2 è in parte all'origine della procedura di revisione parziale della LPD3 attualmente all'esame delle Camere federali. Nel 2002 la Delegazione delle Commissioni della gestione si è interessata alla protezione dei dati nel quadro di attività inerenti alla sicurezza dello Stato e all'informazione. Nel loro programma annuale 2003, le CdG hanno nuovamente scelto di occuparsi delle questioni relative alla protezione dei dati4. La Sottocommissione «Affari generali» della Commissione della gestione del Consiglio nazionale (in seguito «Sottocommissione») è stata incaricata di realizzare questo esame.
Il 22 gennaio 2003 la Sottocommissione si è recata dall'Incaricato federale della protezione dei dati (in
seguito «Incaricato»). La discussione ha avuto per tema i compiti, le attività e le risorse dell'Incaricato, nonché diversi temi d'attualità. In seguito a questa visita, la Sottocommissione ha deciso di chinarsi più specificatamente sull'organizzazione della protezione dei dati in seno all'Amministrazione 1 2
3
4
98.3529 Mozione. Collegamenti on-line. Rafforzare la protezione dei dati personali.
Vedi il rapporto della Commissione della gestione del Consiglio degli Stati del 19.11.1998 «Allestimento di collegamenti on-line nel settore della polizia» (FF 1999 4907).
Vedi il messaggio del Consiglio federale concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l'adesione della Svizzera al Protocollo aggiuntivo dell'8.11.2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati, del 19.2.2003 (FF 2003 1885).
Nel quadro della valutazione commissionata dalla CdG-N, l'Organo parlamentare di controllo dell'Amministrazione (OPCA) sta esaminando i problemi di protezione dei dati che sorgono nel settore del commercio elettronico.
1216
federale, in particolare nel quadro di progetti importanti che implicano il trattamento di dati personali.
Il 12 maggio 2003, nell'ambito dell'esame del rapporto di gestione 2002 del Consiglio federale, la Cancelleria federale si è espressa in merito al trasferimento dell'Incaricato alla Cancelleria federale e delle loro relazioni.
La Sottocommissione ha in seguito condotto, il 24 giugno 2003, una serie di audizioni nel corso delle quali si è incontrata con: rappresentanti dell'Ufficio federale di giustizia (UFG) e dell'Incaricato in merito alle competenze in materia di conduzione dei lavori legislativi nell'ambito della protezione dei dati; con rappresentanti dell'Ufficio federale di statistica (UST) e dell'Incaricato in merito al progetto di identificatore personale federale; con diversi consulenti per la protezione dei dati sul loro ruolo e sulle loro attività e, infine, con alcuni rappresentanti dell'Ufficio federale delle assicurazioni sociali (UFAS) in merito ad aspetti di protezione dei dati nel progetto di introduzione di una tessera sanitaria e di TARMED.
Questo rapporto è stato adottato all'unanimità dalla Commissione della gestione del Consiglio nazionale in occasione della sua seduta del 21 novembre 2003.
Preliminarmente va sottolineato che questo esame non intende affrontare in modo esaustivo le questioni legate all'organizzazione della protezione dei dati nell'Amministrazione federale, tema che sarebbe troppo vasto e complesso. Ha piuttosto per scopo di sottolineare alcuni sviluppi in questo settore e di contribuire così all'individuazione precoce e alla sensibilizzazione alle questioni poste dalla protezione dei dati.
2
L'Incaricato federale della protezione dei dati: partecipazione ai progetti dell'Amministrazione, risorse e riorientamento delle attività
2.1
Partecipazione dell'Incaricato della protezione dei dati ai progetti importanti dell'Amministrazione che implicano un trattamento di dati personali
L'Incaricato è stato istituito nel 1993 dalla legge federale sulla protezione dei dati.
In un primo tempo dipendeva dalla Segretaria generale del Dipartimento federale di giustizia e polizia ed è stato trasferito nel 1998 alla Cancelleria federale nel quadro di una riorganizzazione più generale in seno all'Amministrazione federale.
L'indipendenza dell'Incaricato ne è uscita rafforzata poiché la Cancelleria federale non è confrontata a questioni altrettanto sensibili di protezione dei dati di quanto lo sia il DFGP.
L'Incaricato dispone di ampie competenze di sorveglianza in materia di protezione dei dati. In quest'attività, l'Incaricato «non soltanto vigila sul rispetto della legge, ma deve anche sorvegliare tutti gli atti legislativi federali che contengono disposizioni di protezione dei dati. Si intendono con questi non soltanto la legislazione speciale sulla protezione dei dati, attuale e futura, ma anche i trattati internazionali» (FF 1988 II 418). Egli sorveglia sia gli organi federali (art. 27 LPD) sia le persone private (art. 29 LPD). Le sue competenze sono particolarmente estese per quanto concerne la sorveglianza sugli organi federali.
1217
L'Incaricato funge anche da organo di consulenza per il settore privato (art. 28 LPD) e pubblico (art. 31 cpv. 1 lett. b e c ed art. 31 cpv. 2 LPD). Dal profilo del suo onere lavorativo, questa è di gran lunga la sua attività principale. L'articolo 31 capoverso 1 lettera a LPD prevede in particolare che l'Incaricato assiste gli organi federali e cantonali in questioni concernenti la protezione dei dati. Su questa base, all'Incaricato viene in particolare chiesto di assistere progetti dell'Amministrazione che implicano trattamenti di dati personali. In questo quadro, ci si attende spesso da lui che partecipi attivamente al progetto, dalla sua concezione alla realizzazione. In questo caso non è soltanto consultato, ma anche invitato a fornire soluzioni. Di fatto, gli viene riconosciuta la competenza per tutto l'aspetto «protezione dei dati» del progetto.
In occasione della visita della Sottocommissione, l'Incaricato ha sottolineato di non disporre di risorse per partecipare ai progetti dell'Amministrazione in modo così intenso. Un simile grado di partecipazione implica per esempio per i suoi collaboratori di essere presenti a sedute di gruppi di lavoro che non sempre trattano di protezione dei dati. L'Incaricato definisce il suo ruolo conformemente all'articolo 16 LPD, secondo cui è compito dell'organo interessato provvedere alla protezione dei dati che tratta o che fa trattare nell'adempimento dei suoi compiti. L'Incaricato è dell'avviso che il suo ruolo consista piuttosto nel definire, quanto rapidamente possibile, i principi quadro delle questioni chiave per lo svolgimento del progetto, ma tocchi poi al responsabile del progetto organizzarsi e acquisire le conoscenze necessarie per mettere in atto le raccomandazioni rivoltegli dall'Incaricato. In quanto organo di sorveglianza, l'Incaricato deve mantenere una certa distanza, così da poter analizzare in modo critico le soluzioni scelte.
Il ruolo svolto dall'Incaricato nel quadro del progetto di identificatore personale federale illustra la concezione che egli ha del proprio ruolo nei progetti dell'Amministrazione. In effetti, l'Incaricato non fa direttamente parte del gruppo di coordinamento interdipartimentale «identificatore personale», composto di rappresentanti del DFI, del DFGP, del DFF e della CaF e presieduto da un rappresentante dell'UST.
È stato per contro incaricato dal Consiglio federale di preparare un rapporto sulle possibilità, i limiti e le condizioni che l'introduzione di un identificatore personale federale comporta dal punto di vista della protezione dei dati5. Egli stesso ha affidato a un esperto una parte dell'esame. Pur non appartenendo al gruppo di coordinamento, l'Incaricato ha tenuto contatti regolari con quest'ultimo per scambiare informazioni sullo stato dei rispettivi lavori e per coordinare per esempio l'attribuzione di mandati peritali. Tale collaborazione è stata, secondo le due parti, fruttuosa. Per le questioni relative alla protezione dei dati, il gruppo di coordinamento si è rivolto all'UFG e a periti esterni, lavorando in stretto contatto con gli incaricati cantonali della protezione dei dati.
Nel progetto di tessera sanitaria e di tessera di assicurato, alcuni rappresentanti dell'Incaricato e degli incaricati cantonali hanno partecipato ai gruppi di lavoro diretti dall'UFAS. Tuttavia, al momento dell'esame delle disposizioni corrispondenti della legge sull'assicurazione malattia (art. 42a LAMal) da parte della commissione competente del Consiglio nazionale, ci si è resi conto che l'Incaricato stesso non aveva potuto prendere conoscenza della proposta dell'Amministrazione prima che 5
Vedi il rapporto dell'Incaricato federale della protezione dei dati «Möglichkeiten, Grenzen und Bedingungen für einen koordinierten eidgenössischen Personenidentifikator aus der Sicht des Persönlichkeitsschutzes», del maggio 2003.
1218
fosse inviata alla commissione parlamentare. Informato da un membro della commissione, l'Incaricato ha ottenuto che la discussione dell'articolo 42a LAMal fosse rinviata di una settimana affinché potesse far conoscere per scritto la sua posizione e le sue obiezioni. Le sue riserve riguardavano particolarmente il capoverso 4, ossia la possibilità che la tessera di assicurato contenga dati medici d'urgenza. Secondo l'Incaricato, i dati in questione devono essere prima definiti in modo chiaro. Inoltre, l'iscrizione di questi dati deve essere facoltativa osservazione che l'UFAS ha integrato in una seconda proposta di articolo destinata alla commissione.
L'episodio dell'esame dell'articolo 42a LAMal è un esempio della mancanza di chiarezza nella comunicazione tra l'Incaricato e l'Amministrazione, come pure in seno all'ufficio dell'Incaricato. Simili difficoltà sono pure apparse nel quadro del progetto di identificatore personale federale. In modo generale, alcuni rappresentanti dell'Amministrazione rimproverano all'Incaricato di politicizzare la sua funzione seguendo una politica di informazione troppo allarmistica rivolta principalmente verso l'esterno (gli attori politici, le cerchie interessate e il pubblico). L'Incaricato contesta queste osservazioni e afferma di informare sempre in primo luogo il Consiglio federale e l'Amministrazione circa le sue posizioni. Si limita ad adempiere il suo obbligo di sorveglianza e di informazione del pubblico.
La CdG-N reputa essenziale che l'Incaricato sia indipendente nelle sue analisi e nel modo in cui sceglie di comunicarle. Inoltre, vista la personalità e il percorso dell'Incaricato, nominato dal Consiglio federale, una certa politicizzazione della sua informazione è certamente auspicata. La Commissione incoraggia tuttavia l'Incaricato a cercare il più a lungo possibile il dialogo con l'Amministrazione prima di comunicare le sue riserve all'esterno, ciò allo scopo di evitare tensioni e di preservare il capitale di fiducia reciproca indispensabile nell'interesse della protezione dei dati.
La CdG-N apprezza l'importanza accordata finora alla protezione dei dati nei progetti sopra menzionati. Nei due casi, le concezioni iniziali si sono evolute per tener conto delle esigenze della protezione dei dati. L'idea di istituire un identificatore globale (un
identificatore per persona per tutti i settori) è stata abbandonata a favore di identificatori settoriali coordinati (un sistema centrale coordina l'accesso e lo scambio di informazioni tra differenti identificatori a uso settoriale). Analogamente, il progetto iniziale di introdurre una tessera sanitaria elettronica, vale a dire un dossier medico completo del paziente su supporto elettronico, è stato frenato da ragioni tecniche e giuridiche di protezione dei dati. L'articolo 42a LAMal prevede unicamente che il Consiglio federale può introdurre una tessera d'assicurato obbligatoria volta a facilitare la fatturazione delle prestazioni. L'opportunità di introdurre una tessera sanitaria sarà esaminata alla luce di questa prima tappa. Tuttavia, né il progetto di tessera d'assicurato, né quello di identificatore personale federale sono ancora giunti a termine. Numerose e importanti questioni rimangono aperte, in particolare riguardo alle modalità concrete d'applicazione6 e, per l'identificatore, le basi legali. La CdG-N esorta il Consiglio federale a continuare ad accordare alla protezione dei dati un'importanza centrale in questi progetti e di procedere con prudenza. La particolare delicatezza politica di questi progetti risulta palpabile nei 6
In particolare, non è ancora definito il modello di conservazione dei dati della tessera di assicurato. Per una concisa presentazione delle diverse possibilità, vedi il punto 5.1.1 del 10o rapporto d'attività 2002/2003 dell'Incaricato federale della protezione dei dati, p. 446.
1219
dibattiti della Sottocommissione stessa. La Commissione invita dunque il Consiglio federale a informare compiutamente e non appena possibile l'Assemblea federale, le cerchie interessate e il pubblico delle sue intenzioni quanto al seguito dei lavori in questi due progetti.
È per contro più difficile valutare le soluzioni proposte per le questioni di protezione dei dati nel quadro dell'introduzione del sistema tariffario TARMED. Tali questioni concernono in particolare la comunicazione dei codici diagnostici sulle fatture dei fornitori di prestazioni. I partner tariffali (santésuisse, H+ e FMH) esaminano l'introduzione di sistemi di codici coerenti fondati sulla codificazione ICPC/ICD107. Rimanendo sufficientemente dettagliati affinché il debitore possa verificare il calcolo della remunerazione e il carattere economico della prestazione, questi sistemi devono anche rispettare il principio di proporzionalità nel trattamento di dati personali (art. 4 cpv. 2 LPD). Interpellato già alla fine del 20018, il Consiglio federale ha affermato che l'obbligo di indicare sistematicamente sulle fatture dati diagnostici secondo un codice che fornisca tutti dettagli sullo stato di salute delle persone assicurate sarebbe sproporzionato, poiché porterebbe a un accumulo di dati sensibili, la maggior parte dei quali non sarebbero probabilmente utilizzati e di cui gli assicuratori non hanno bisogno, con il rischio di connessioni tra i dati che ciò comporta.» La concezione dei codici (grado di precisione, elenco delle eccezioni), che al momento non è stata ancora definita, dovrà poi essere approvata dal Consiglio federale (art. 46 cpv. 4 e art. 43 cpv. 5 LAMal). Vi è dunque la possibilità per l'UFAS, e soprattutto per l'Incaricato, di formulare raccomandazioni ai partner tariffali e di influire sui negoziati in modo da sincerarsi che le disposizioni in materia di protezione dei dati sono rispettate. L'Incaricato ha già partecipato a sedute di lavoro con i partner tariffali. Per quest'ultimi, le discussioni in proposito non sono tuttavia più prioritarie; l'Incaricato, invece, attribuisce grande importanza a questo dossier. Vista la sensibilità dei dati concernenti la salute, la CdG-N invita questi organi a seguire con la massima attenzione le questioni di protezione dei dati e di fare uso dei mezzi di cui dispongono per garantire l'osservanza dei diritti della personalità degli assicurati.
2.2
Risorse e riorientamento delle attività dell'Incaricato
Oltre ai suoi compiti principali di sorveglianza e di consulenza, l'Incaricato si occupa di informare il Consiglio federale, le cerchie interessate e il pubblico sulle questioni importanti in materia di protezione dei dati (art. 30 LPD). Altre disposizioni legali prevedono che collabori con le autorità preposte alla protezione dei dati all'estero e nei Cantoni (art. 31 cpv. 1 lett. c LPD), riesamini l'equivalenza delle legislazioni estere rispetto al diritto svizzero (art. 31 cpv. 1 lett. d LPD), gestisca il registro delle collezioni di dati (art. 11 LPD), centralizzi le notificazioni di comunicazioni di dati all'estero (art. 6 cpv. 2 LPD) ed eserciti il diritto d'accesso indiretto (art. 18 LMSI; RS 120). L'Incaricato dispone inoltre di determinate prerogative nel settore della ricerca medica; deve tra l'altro consigliare e sorvegliare le decisioni 7
8
Vedi l'allegato 4 della convenzione quadro TARMED tra santésuisse e H+ Ospedali svizzeri, del 13.5.2002 e l'allegato 4 della convenzione quadro TARMED tra santésuisse e la federazione dei medici svizzeri (FMH), del 5.6.2002.
Vedi la risposta del Consiglio federale del 7.12.2001 all'interpellanza 01.3594 Fatture dei medici e degli ospedali. Codice di diagnostica e protezione dei dati.
1220
della commissione peritale del segreto professionale in materia di ricerca medica (art. 32 LPD).
Da molti anni, l'Incaricato insiste sulla scarsità delle sue risorse, soprattutto per quanto riguarda il personale. Dispone di 16,2 posti, di cui più della metà utilizzati nella consulenza e nel controllo. Un posto supplementare gli è stato accordato nel 2003 per la durata di un anno. A suo avviso, anche se la realizzazione di un sistema di razionalizzazione del lavoro ha permesso di aumentare il livello di copertura dei compiti, non gli è tuttavia possibile svolgere tutti suoi compiti legali in modo soddisfacente. Afferma che il volume di lavoro è in costante aumento, in particolare per quanto riguarda le attività di consulenza. La sensibilità crescente dei privati e degli organi federali alle questioni di protezione dei dati li induce a sollecitare sempre più spesso l'Incaricato con richieste di informazioni rapide, di perizie legali o informatiche dettagliate, di pareri su progetti legislativi o di partecipazione a gruppi di lavoro.
L'Incaricato si vede dunque costretto a fissare priorità. Non procede a nessun controllo delle decisioni prese dalla commissione peritale del segreto professionale in materia di ricerca medica. I controlli negli altri settori sono effettuati in casi che presentano un rischio significativo (12 controlli approfonditi all'anno). Stante questa situazione, l'Incaricato ha cominciato a riflettere sui suoi compiti, il suo ruolo e il modo in cui risponde alle diverse sollecitazioni. Questa riflessione lo ha recentemente portato a un riorientamento delle sue attività, allo scopo di rafforzare la sua azione, essenziale, di sorveglianza (analisi e controllo).
Nella sua lettera del 12 giugno 2003, l'Incaricato ha informato i Dipartimenti e gli uffici federali di questa riorganizzazione e delle conseguenze concrete per l'Amministrazione federale. Egli spiega di avere fino ad allora dato la precedenza ai compiti di consulenza rispetto a quelli di sorveglianza, adoperandosi per rispondere, per quanto possibile, a tutte le richieste che gli pervenivano, indipendentemente dalla loro origine. Sostituirà dunque all'orientamento reattivo seguito finora un orientaento più proattivo, contraddistinto dallo sviluppo delle attività di sorveglianza a scapito di quelle di consulenza, sia dei
privati che del settore pubblico.
Per quanto concerne gli organi federali, la riduzione delle prestazioni di consulenza si riflette in due settori. Da un lato, l'Incaricato comunica l'intenzione di ridurre la sua partecipazione ai progetti importanti dell'Amministrazione che implicano il trattamento di dati personali; non accompagnerà dunque più tutti progetti dell'Amministrazione partecipando a gruppi di lavoro o a commissioni. Afferma di voler concentrare la sua attività di consulenza sui casi che necessitano conoscenze particolari o che appaiono particolarmente sensibili. Come già detto in precedenza, occorre, secondo l'Incaricato, che gli organi federali provvedano maggiormente essi stessi a garantire nei loro progetti il rispetto delle prescrizioni in materia di protezione dei dati. Toccherà in particolare al consulente per la protezione dei dati interessato assumere compiti d'accompagnamento. D'altro lato, l'Incaricato informa che «all'infuori delle procedure di consultazione per progetti legislativi, egli non risponderà più alle domande dei Dipartimenti e degli uffici, a meno che non provengano dal consulente per la protezione dei dati dell'ufficio o del Dipartimento.» I compiti di consulenza e d'accompagnamento di progetti sono dunque trasferiti ai consulenti per la protezione dei dati.
La Commissione comprende e approva gli obiettivi e le motivazioni del riorientamento operato dall'Incaricato. La priorità accordata alla sorveglianza corrisponde del resto alla volontà del legislatore. La Commissione ritiene tuttavia essenziale che 1221
l'Incaricato non si limiti a controlli a posteriori dei progetti dell'Amministrazione. I servizi dell'Amministrazione devono potere instaurare un dialogo il più presto possibile con l'organo di sorveglianza e definire insieme un quadro di interpretazione delle disposizioni che disciplinano la protezione dei dati. L'Incaricato lo ha del resto sottolineato. Questo dialogo deve essere condotto nel senso di una sorveglianza concomitante, allo scopo di adattare gradualmente il progetto e di evitare rimaneggiamenti importanti nella sua fase finale. Questo modo di procedere migliorerebbe la comunicazione tra l'Incaricato e gli organi federali.
La questione della dotazione di personale dell'Incaricato è già stata posta a più riprese. Già il 23 maggio 1995, in una lettera al Consiglio federale relativa al seguito dell'ispezione sull'introduzione dell'informatica nell'Amministrazione federale, la CdG-N aveva osservato: «per mancanza di mezzi, l'Incaricato [...] non può sempre procedere a una sorveglianza sistematica dettagliata su tutti progetti di trattamento automatizzato dei dati personali in seno all'Amministrazione federale. [...] Il problema è particolarmente evidente nel caso della sorveglianza a posteriori. La Commissione sa bene che spetta in primo luogo agli organi federali responsabili applicare la LPD [...]. La Commissione ritiene tuttavia che sarebbe opportuno che il Consiglio federale riesaminasse il ruolo e i mezzi dell'interessato [...] in materia di sorveglianza, a priori e a posteriori, degli organi federali.» Nel suo rapporto sui collegamenti on-line del 19 novembre 1998, la CdG-S osserva che il problema è sempre d'attualità e che l'Incaricato non dispone di mezzi, soprattutto di personale, per esercitare il controllo di cui è incaricato (FF 1999 4892). Nel 1999, il Consiglio federale affermava di essere cosciente del problema e di essere «pronto a esaminare in quale misura i mezzi dell'Incaricato possano essere rafforzati, senza oltrepassare i limiti imposti dalla pianificazione delle spese per il personale9.» Nonostante il posto supplementare accordato per una durata limitata, la CdG-N considera che l'Incaricato non dispone attualmente di risorse sufficienti per adempiere in modo adeguato i compiti che la legge gli assegna. Nella misura in cui sarà seguita dall'Amministrazione, la
riorganizzazione intrapresa dall'Incaricato porterà sicuramente a miglioramenti. Inoltre, nel quadro del preventivo 2004, il Consiglio federale ha chiesto un aumento dei crediti di personale dell'Incaricato di 602 000 franchi (ciò che permette di colmare il deficit di bilancio dell'Incaricato concernente il personale e gli permette di creare da 3 a 3,5 posti supplementari)10. La situazione delle discussioni sul preventivo è oggi la seguente: le due Commissioni delle finanze propongono ai loro Consigli di approvare questo aumento dei crediti. Benché esso sia inferiore a quanto richiesto, l'Incaricato lo reputa, nel contesto finanziario attuale, soddisfacente. Per queste ragioni, anche la CdG-N appoggia l'aumento dei crediti destinati all'Incaricato.
9 10
Risposta del Consiglio federale del 1.3.1999 all'interrogazione ordinaria 98.1185 Protezione dei dati.
Per inavvertenza, questa proposta non figura del messaggio del Consiglio federale sul preventivo per l'anno 2004, p. 417, rubrica 3010.415 (retribuzione del personale). Tuttavia, il Consiglio federale ha confermato in una lettera alle Commissioni delle finanze questo aumento di 602 000 franchi dei crediti per il personale dell'Incaricato.
1222
3
I consulenti per la protezione dei dati
Nell'ambito delle misure annunciate dall'Incaricato per diminuire le attività di consulenza, la funzione dei consulenti per la protezione dei dati (di seguito: consulenti) acquista dunque maggior importanza. Da un lato, l'Incaricato non risponderà più alle richieste dell'Amministrazione provenienti dal consulente del Dipartimento o delle unità amministrative. D'altro lato, poiché l'Incaricato ha annunciato la riduzione della sua partecipazione ai progetti dell'Amministrazione implicanti trattamenti di dati personali, i consulenti saranno maggiormente sollecitati per accompagnarvi. Nel corso della serie di audizioni condotte nel giugno 2003, la Sottocommissione ha in particolare sentito sei consulenti che lavorano per il DFI, il DFF, il DFGP e il DDPS. La Sottocommissione si è incontrata anche in modo informale con altri consulenti.
3.1
Compiti e risorse dei consulenti per la protezione dei dati
Secondo l'articolo 23 dell'ordinanza sulla protezione dei dati (OLPD; RS 235.11), la CaF e ogni Dipartimento designano per lo meno un consulente ciascuno11. Questi consulenti hanno il compito di consigliare gli organi responsabili e gli utenti, di promuovere l'informazione e la formazione dei collaboratori e di contribuire all'applicazione delle prescrizioni sulla protezione dei dati. Non dispongono di particolari diritti di informazione o di raccomandazione.
Il compito di consulente non è sempre descritto in un elenco degli oneri dettagliato.
Una descrizione del posto di consulente di un Dipartimento è stata adottata il 31 maggio 2002 dalla Conferenza dei segretari generali (CSG), ma soltanto a titolo di raccomandazione. Questa descrizione del posto prevede che il consulente di Dipartimento deve coordinare le misure tecniche organizzative prese allo scopo di proteggere i dati personali e collaborare al coordinamento e al controllo del rispetto delle disposizioni legali in materia di dati. Ciò si traduce soprattutto in compiti di informazioni e di consulenza a livello di direzione del Dipartimento (per esempio informazione dei collaboratori, consulenza nell'elaborazione di regolamenti di trattamento di dati o di pareri del Dipartimento, realizzazione di valutazioni dei rischi), nonché da compiti di coordinamento interno (con i consulenti delle unità amministrative del Dipartimento e con le persone incaricate della sicurezza dei dati) ed esterno (rappresentanza del Dipartimento in organi interdipartimentali, contatti con l'Incaricato). Il consulente di un unità amministrativa invece esercita soprattutto compiti di informazione e di consulenza a livello della sua unità. La descrizione di questo posto non contiene per contro raccomandazioni in merito alla subordinazione gerarchica o al carico di lavoro prestabilito dei consulenti.
Concretamente, le situazioni dei consulenti sono molto differenti l'una dall'altra.
Secondo il posto e l'attualità, il compito di consulente può occupare tra il 5 e il 100 per cento del tempo di lavoro. Nella grande maggioranza dei casi, si tratta tuttavia di un'attività accessoria (meno del 50 %), o marginale (10 % o meno). Nessun consu11
Attualmente, la CaF dispone di un consulente per la protezione dei dati. Ciascun Dipartimento dispone di un consulente dipartimentale, che dipende dal Segretariato generale. Le unità amministrative che hanno nominato almeno un consulente sono 12 nel DFF, 10 nel DFI, 8 nel DFE, 8 nel DATEC, 7 nel DDPS, 7 nel DFGP e 1 nel DFAE.
1223
lente dipartimentale è impiegato al 100 per cento in questo compito. La funzione principale della maggior parte dei consulenti è quella di giurista attivo in un servizio giuridico, talvolta in un servizio specializzato o nella direzione. Altri consulenti sono informatici o ingegneri. In generale, non sono specialisti della protezione dei dati al momento in cui entrano in servizio e non ricevono una formazione specifica; si formano nella loro funzione «sul terreno», confrontandosi con casi concreti.
L'Incaricato prevede di preparare, in collaborazione con i Dipartimenti e la CaF, un raccoglitore-tipo destinato a facilitare il compito dei consulenti. Per il momento, non esiste dunque una formazione specifica in seno all'Amministrazione federale. I consulenti sentiti dalla Sottocommissione auspicano lo sviluppo di un'offerta di formazione. Sottolineano tuttavia che non avrebbero attualmente le risorse per seguirla.
Tutti i consulenti sentiti concordano nell'affermare che esiste nei loro servizi una certa sensibilità per le questioni di protezione dei dati e che i loro consigli sono in generale seguiti. Per contro, alcuni consulenti lamentano che i loro servizi non siano pronti ad assumersi impegni vincolanti a favore dei loro compiti, siano essi in termini di risorse o di contenuto dell'elenco degli oneri. Per esempio, la descrizione del posto di consulente dipartimentale è stata adottata dalla CSG con la riserva che non comporti la liberazione di risorse supplementari.
3.2
Organizzazione interna dei Dipartimenti e della CaF
I compiti del consulente per la protezione dei dati sono descritti in modo molto generale nell'articolo 23 OLPD. Non esiste altra base legale a livello federale. La legge federale sul trattamento di dati personali in seno al Dipartimento federale degli affari esteri (RS 235.2) non contiene disposizioni di tipo organizzativo. La CaF, il DFGP e il DDPS dispongono di direttive che disciplinano, al loro livello, l'organizzazione e le responsabilità in materia di protezione dei dati e i compiti e le competenze dei consulenti.
I Dipartimenti sono organizzati in modo decentralizzato. I consulenti dei Dipartimenti sono incaricati della consulenza alla direzione del Dipartimento e del coordinamento e dell'informazione interni ed esterni. I consulenti delle unità interessate seguono i progetti ed esercitano le funzioni di consulenza, di formazione e di informazione dei collaboratori a livello dell'unità amministrativa. Ad eccezione del DFGP, il coordinamento interno nei Dipartimenti non è istituzionalizzato. I contatti tra il consulente dipartimentale e quelli delle unità sono regolari, ma si svolgono in modo informale. Contatti telefonici, per posta elettronica o in occasioni di sedute comuni permettono di scambiare informazioni, di condurre sondaggi o consultazioni. Una parte dei consulenti sentiti non avverte però il bisogno di istituzionalizzare il coordinamento. Gli affari trattati sono spesso specifici e toccano soltanto l'ufficio interessato.
Poiché il DFGP deve occuparsi di grandi quantità di dati sensibili, la situazione in seno a questo Dipartimento è diversa da quella degli altri Dipartimenti. A livello di Dipartimento è stata sviluppata una strategia di sicurezza delle informazioni, il cui standard è più elevato di quello comune nell'Amministrazione federale. La direttiva «La sicurezza dell'informazione nel DFGP Strategia e responsabilità», entrata in vigore il 1° maggio 2001, disciplina in modo uniforme i principi, gli obiettivi e l'organizzazione della sicurezza dell'informazione. Essa si basa su un principio di 1224
sicurezza integrale; la sicurezza e la protezione dei dati sono strettamente legati. Il coordinamento interno delle attività nel settore della protezione dei dati e della sicurezza informatica è assicurato dal gruppo di lavoro sulla sicurezza informatica (GTSI), che si riunisce tre volte all'anno, di cui fanno parte tra gli altri il consulente del Dipartimento e i consulenti delle unità amministrative. È previsto che il consulente del Dipartimento approverà le fasi di liberazione dei progetti informatici conformemente alla procedura HERMES. Ogni progetto viene così esaminato dal profilo della protezione dei dati.
3.3
Coordinamento interdipartimentale
Il coordinamento interdipartimentale è compito dei consulenti dipartimentali. Essi formano, con due rappresentanti dell'Incaricato e il supplente consulente del DFGP, il gruppo di lavoro dei consulenti dipartimentali per la protezione dei dati. Esso si riunisce di principio una o due volte all'anno sotto la presidenza della CaF. Si tratta di un organo di coordinamento ai sensi dell'articolo 55 LOGA (RS 172.010). Esso può adottare raccomandazioni non vincolanti e non può emanare direttive.
Il gruppo di lavoro non ha un fondamento statutario formale ed è citato nel registro degli organi interdipartimentali e delle organizzazioni di progetto, allestito dall'ex servizio di controllo amministrativo del Consiglio federale12, come pure sul sito intranet del servizio giuridico della CaF. Nella descrizione del posto di consulente dipartimentale, uno dei compiti consiste nel rappresentare il Dipartimento nel gruppo di lavoro. Un tentativo di sancirne l'esistenza nell'articolo 23 OLPD è fallito, poiché alcuni Dipartimenti ritenevano che la partecipazione al gruppo di lavoro non dovesse avere carattere obbligatorio a causa dei costi che avrebbe comportato.
3.4
Collaborazione con l'Incaricato
I consulenti sono indipendenti dall'Incaricato. Si scambiano informazioni e collaborano su base puntuale. Secondo il nuovo orientamento dell'Incaricato, si risponderà soltanto alle richieste che provengono direttamente dai consulenti. In questo modo si vuole ottimizzare i processi di lavoro e rafforzare il ruolo di riferimento del consulente, di modo che arrivino sul tavolo dell'Incaricato soltanto le questioni particolarmente importanti. Inversamente, gli interventi dell'Incaricato saranno di regola sottoposti prima al consulente interessato oppure i consulenti interessati ne saranno informati. I consulenti sono dunque chiamati a svolgere un ruolo di collegamento tra il Dipartimento o l'unità amministrativa e l'Incaricato.
Tale riorganizzazione dovrebbe portare un chiarimento e un'uniformazione dei procedimenti nonché un'utilizzazione ottimale delle competenze dei consulenti. Essa dovrebbe far sì che questi ultimi siano sistematicamente e immediatamente informati dei problemi. Per taluni consulenti, la riorganizzazione rifletterebbe solamente la situazione attuale, ma per la maggior parte di essi significherebbe un aumento di lavoro e di responsabilità.
12
Vedi il rapporto del Servizio di controllo amministrativo del Consiglio federale del 23.6.2000, «Organi interdipartimentali e organizzazioni di progetto. Risultato della valutazione. Stato attuale e seguito dei lavori», Allegato 2.
1225
3.5
Conclusioni della CdG-N
Il ruolo dei consulenti cambia molto a seconda delle loro risorse, dei loro compiti specifici, dei servizi dai quali dipendono, dalla loro formazione e del loro impegno.
Analogamente, il grado di istituzionalizzazione dell'organizzazione della protezione dei dati in seno ai Dipartimenti e alla CaF varia considerevolmente. Queste differenze riflettono la sensibilità e la quantità dei dati personali che trattano, ma anche le specificità a livello di organizzazione e di cultura dipartimentale. La CdG-N è convinta che i Dipartimenti e la CaF devono beneficiare di un grande margine di manovra per organizzarsi secondo le loro particolarità; essa ritiene però che ciò non debba compromettere un'attuazione uniforme di uno standard elevato di protezione dei dati nell'insieme dell'Amministrazione federale. In effetti, più di un Dipartimento si trova a dover trattare dati sensibili in grande quantità.
La CdG-N ritiene dunque che determinati compiti e competenze dei consulenti debbano essere disciplinati in modo uniforme e vincolante, sia mediante una revisione dell'OLPD, sia con l'emanazione, da parte di ciascun Dipartimento, di direttive interne con un contenuto minimo. In questo contesto occorrerà ispirarsi ai documenti già esistenti: l'elenco degli oneri adottato dalla CSG e le direttive interne (esemplare quella del DFGP). L'indipendenza dei consulenti rispetto alla linea di comando del loro servizio deve in particolare essere garantita. Benché non abbiano una funzione di sorveglianza in senso proprio, è compito dei consulenti cooperare all'applicazione delle prescrizioni in materia di protezione dei dati (art. 23 cpv. 1 lett. c OLPD). Occorrerà dunque garantire che essi possano interpretare liberamente queste prescrizioni e accedere direttamente alla direzione del Dipartimento o dell' unità amministrativa in caso di conflitti. Inoltre, visto il ruolo di snodo che i consulenti dovranno svolgere, gli strumenti di coordinamento intradipartimentale e interdipartimentale devono essere migliorati e rafforzati. Tali strumenti devono permettere l'instaurarsi di sinergie mediante l'utilizzazione ottimale delle risorse e delle conoscenze disponibili e con uno scambio regolare di informazioni e di esperienze.
Sempre tenendo conto e nel rispetto della libertà di ciascun Dipartimento e della CaF, il gruppo di lavoro
dei consulenti dipartimentali per la protezione dei dati devono poter preparare raccomandazioni e direttive vincolanti, attuarle e sorvegliarne l'esecuzione13.
Raccomandazione 1 Il Consiglio federale vigila affinché i compiti e le competenze dei consulenti dipartimentali e delle unità amministrative per la protezione dei dati siano disciplinati in modo uniforme, dettagliato e vincolante a livello federale. La subordinazione gerarchica diretta dei consulenti alla direzione del Dipartimento, rispettivamente alla direzione dell'unità amministrativa, deve essere garantita. Il Consiglio federale vigila anche affinché gli strumenti di coordinamento intradipartimentali e interdipartimentale siano migliorati e rafforzati.
13
Come per esempio è il caso del «Forum dei responsabili WWW», al quale partecipano i responsabili internet dei Dipartimenti, dei servizi del Parlamento e della CaF.
1226
In seno all'Amministrazione non esiste né formazione iniziale per i consulenti che entrano in funzione, né formazione continua. Il consulente acquisisce le competenze in gran parte con la pratica. Tuttavia, vista la complessità del settore della protezione dei dati, è indispensabile che i consulenti possano beneficiare di un'offerta di formazione. La commissione reputa dunque che l'Incaricato debba investire una parte delle risorse liberate mediante il suo riorientamento per rafforzare la sua offerta di formazione ai consulenti. D'altronde questa è anche una condizione per il successo del riorientamento.
Raccomandazione 2 La Commissione della gestione del Consiglio nazionale raccomanda al Consiglio federale di sostenere lo sviluppo di un'offerta di formazione per i consulenti per la protezione dei dati. Nella misura del possibile, questo compito dovrà essere affidato all'Incaricato federale della protezione dei dati.
Inoltre è indispensabile che i consulenti dispongano delle risorse necessarie alla realizzazione del loro mandato. È un aspetto che assume importanza ancor maggiore nel quadro del riorientamento dell'attività dell'Incaricato. Questo problema è stato discusso dalla CSG nella sua seduta del 27 giugno 2003. La CSG comprende i motivi del riorientamento dell'Incaricato, ma il DFF ha considerato che i deficit che ne derivavano non potevano essere compensati internamente. Nondimeno, la CdG-N chiede al Consiglio federale di rivalutare caso per caso i compiti e le risorse dei consulenti e, all'occorrenza, di creare, grazie a sinergie, le risorse supplementari.
Viste le grandi differenze tra i Dipartimenti e la CaF, la definizione di un carico di lavoro minimo prestabilito è poco giustificabile. Il carico di lavoro prestabilito deve tuttavia permettere ai consulenti di svolgere i loro compiti in modo adeguato; di conseguenza devono avere la possibilità di seguire una formazione adeguata e, per quanto riguarda i consulenti dipartimentali, di partecipare alle sedute del gruppo di lavoro interdipartimentale.
Raccomandazione 3 il Consiglio federale vigila affinché i consulenti per la protezione dei dati dispongano delle risorse necessarie per adempiere i loro compiti in modo adeguato. Tiene dunque conto in particolare dell'aumento del loro carico di lavoro legati in seguito al riorientamento dell'attività dell'Incaricato federale della protezione dei dati.
4
Competenze in materia di legislazione sulla protezione dei dati
La LPD prevede che l'Incaricato si pronunci sui progetti di atti legislativi federali e di misure federali che tocchino in modo importante la protezione dei dati (art. 31 cpv. 1 lett. b LPD) e che valuti in quale misura la protezione dei dati all'estero è equivalente a quella in Svizzera (art. 31 cpv. 1 lett. d LPD). La responsabilità in 1227
materia di legislazione sulla protezione dei dati appartiene invece all'UFG. Tale ripartizione dei compiti ha lo scopo di separare i compiti di polizia da quelli legislativi e garantire in tal modo l'indipendenza dell'organo di sorveglianza. Pertanto, attualmente, la legislazione generale in materia di protezione dei dati è seguita dalla divisione principale del diritto pubblico dell'UFG, e dalla sua divisione progetti e metodologia legislativi, che dedica a questo compito l'equivalente di un posto al 100 per cento. La divisione principale del diritto pubblico ha dunque condotto i lavori preparatori della revisione parziale della LPD14. Per contro, le proposte di disposizioni legislative sulla protezione dei dati contenute in altre leggi federali sono opera dei servizi interessati dell'Amministrazione.
L'Incaricato si è tuttavia battuto in favore di un trasferimento delle competenze legislative in materia di protezione dei dati dall'UFG all'Incaricato, spesso sostenuto in proposito dalla Cancelleria federale. L'Incaricato argomenta che le competenze in materia legislativa dovrebbero essere attribuite ai servizi che si occupano dei problemi pratici della protezione dei dati, poiché questi servizi possiedono le conoscenze specialistiche in merito. Un trasferimento delle competenze legislative permetterebbe all'Incaricato di avere un accesso diretto agli organi politici decisionali.
L'Incaricato non ha infatti il diritto di formulare proposte autonome al Consiglio federale; se intende proporre una modifica legale in particolare nel quadro dell'esame dell'equivalenza della legislazione svizzera rispetto a quella estera, deve passare dal servizio competente o dall'UFG. I due organi sono concordi nell'affermare che nella prassi la loro collaborazione si svolge in modo molto soddisfacente. L'UFG veglia affinché l'Incaricato sia coinvolto nei lavori concernenti questioni fondamentali, in particolare nei lavori legislativi. La collaborazione è facile sia sul piano istituzionale che su quello personale, tenuto conto in particolare dei legami personali instauratisi prima che l'Incaricato fosse trasferito alla CaF.
Conformemente all'articolo 31 capoverso 1 OLPD, l'Incaricato può trasmettere rapporti e raccomandazioni al Consiglio federale per il tramite della Cancelleria federale. Quest'ultima prende sovente
posizione su questi oggetti, ma non lo fa sistematicamente. Questa pratica era corrente d'altronde già quando l'Incaricato era subordinato al DFGP. L'Incaricato fa un uso relativamente restrittivo di questa sua prerogativa. Da un lato, questa possibilità è regolarmente messa in questione da taluni membri del Consiglio federale. D'altro lato, i problemi principali vengono spesso regolati prima che il dossier arrivi davanti al Consiglio federale. Il semplice fatto che l'Incaricato abbia la possibilità di accedere direttamente al Consiglio federale ha una funzione preventiva e dà all'Incaricato un peso importante nei processi interni all'Amministrazione.
Dal canto suo, l'UFG ricorda che la legislazione sulla protezione dei dati si sviluppa in modo decentralizzato. Il trasferimento dei compiti dell'UFG non rappresenterebbe in ogni modo una centralizzazione dei compiti legislativi presso l'Incaricato. L'UFG ritiene inoltre che la ripartizione attuale delle competenze legislative corrisponde a razionali principi istituzionali. Da una parte, la responsabilità in materia di legislazione non rientra nella funzione di stato maggiore svolta dalla Cancelleria federale, a maggior ragione in un settore così delicato come la protezione dei dati. Un simile compito politico deve ricadere nella responsabilità di un Dipartimento. D'altra parte, l'attribuzione dei compiti legislativi all'Incaricato potrebbe pregiudicarne l'indipendenza nei suoi compiti di sorveglianza, visto che nel processo legislativo è necessa14
Vedi la nota a pié di p. 3.
1228
necessario ponderare gli interessi in gioco. L'Incaricato riveste, per sua vocazione, una funzione di sorveglianza, e pone di conseguenza esigenze più rigorose in materia di protezione dei dati rispetto a quanto fanno gli altri servizi. L'organizzazione attuale attribuisce per questo motivo all'UFG un ruolo di arbitro.
La Commissione constata che la questione dell'attribuzione delle competenze legislative all'organo di sorveglianza non è specifica del settore della protezione dei dati. Si tratta di trovare un equilibrio che permetta di utilizzare appieno le conoscenze specialistiche e l'esperienza dell'organo di sorveglianza, delegando però ad altri soggetti le decisioni che possono portare un pregiudizio alla sua indipendenza. La decisione di attribuire la responsabilità del processo legislativo all'UFG è una decisione politica. Visti gli argomenti forniti dall'UFG e dall'Incaricato, la Commissione ritiene che non sia opportuno trasferire le responsabilità legislative in materia di protezione dei dati all'Incaricato. Per contro, allo scopo di evitare tensioni e frizioni, occorrerà assicurare mediante procedure chiare che quest'ultimo possa far conoscere nel dovuto modo le sue posizioni riguardo alla formulazione degli obiettivi e della strategia nel settore del diritto della protezione dei dati.
È di principio garantito che l'Incaricato venga consultato sugli atti legislativi del Consiglio federale relativi a dati personali o che toccano la protezione dei dati15. La CdG-N ritiene tuttavia che debba anche essere garantito che il punto di vista dell'Incaricato sia esposto in modo trasparente nei messaggi del Consiglio federale destinati all'Assemblea federale. L'UFG è d'accordo su questo punto. La direttiva per la redazione dei messaggi del Consiglio federale16 prevede che il numero 3.4 «Altre conseguenze» debba contenere una descrizione delle eventuali conseguenze che il progetto potrebbe avere sulla protezione dei dati, in particolare per quanto riguarda il trattamento di dati personali e la realizzazione di collegamenti on-line, nonché una discrezione delle misure di sicurezza prese. L'opinione dell'Incaricato potrebbe trovar posto in questo capitolo. Se la protezione dei dati fosse un problema centrale del progetto, eventuali opinioni divergenti dell'Incaricato potrebbero anche essere incluse
nel numero «Giustificazione e valutazione della soluzione proposta/Punti controversi lasciati aperti»17.
La CdG-N reputa inoltre importante che l'Incaricato sia sentito dalle commissioni parlamentari quando una di esse tratta un affare che comporta aspetti di protezione dei dati. La decisione di sentire l'Incaricato è evidentemente di competenza della commissione interessata. La CdG-N esorta tuttavia il servizio dell'Amministrazione federale interessato come pure l'Incaricato stesso a informare attivamente la commissione parlamentare dell'interesse che essa potrebbe avere a sentire l'Incaricato. È questo il caso in particolare quando esistono divergenze di valutazione tra l'Incaricato e il servizio competente.
15
16
17
Vedi le direttive per la preparazione e il disbrigo degli affari del Consiglio federale (Raccoglitore rosso), adottate dalla CSG il 21.6.1996, parte Guida alla consultazione degli uffici.
Vedi il progetto (stato: agosto 2003) di direttive per la redazione dei messaggi del Consiglio federale («Leitfaden zum Verfassen von Botschaften des Bundesrates»), a cura della Cancelleria federale, che entrerà verosimilmente in vigore all'inizio del 2004. L'attuale «schema per la redazione dei messaggi del Consiglio federale» contiene una disposizione simile nel numero 3.4.
Vedi il numero 1.3 «Giustificazione e valutazione della soluzione proposta/Punti controversi lasciati aperti» delle direttive per la redazione dei messaggi del Consiglio federale (nota a piè di p. 15).
1229
Raccomandazione 4 Allo scopo di evitare tensioni e frizioni, deve essere garantito attraverso procedure chiare che l'Incaricato federale della protezione dei dati possa far conoscere le sue posizioni in merito agli sviluppi del diritto della protezione dei dati. Il Consiglio federale veglia in particolare affinché le opinioni dell'Incaricato federale della protezione dei dati siano integrate nel testo dei messaggi all'Assemblea federale.
5
Conclusione e seguito dei lavori
L'inchiesta intendeva essenzialmente fare il punto sull'organizzazione della protezione dei dati in seno all'Amministrazione federale e individuare le eventuali insufficienze e i margini di manovra esistenti. Si tratta in questo modo di contribuire all'individuazione precoce dei problemi. La Commissione ha potuto constatare che nell'Amministrazione vi è, perlomeno nei progetti esaminati, una certa sensibilità per le questioni che riguardano la protezione dei dati. Le ragioni della protezione dei dati sono tuttavia sempre oggetto di una ponderazione degli interessi. L'Incaricato e gli organi federali interessati devono dunque adoperarsi affinché venga instaurato un dialogo costruttivo il più presto possibile. In questo quadro, l'Incaricato deve sforzarsi di cercare più a lungo possibile il dialogo con l'Amministrazione prima di comunicare le sue riserve all'esterno.
Un accento particolare è stato posto sul riorientamento dell'attività dell'Incaricato e sul ruolo dei consulenti per la protezione dei dati in questo contesto. Secondo la Commissione, le risorse di personale dell'Incaricato non sono sempre sufficienti e devono essere rafforzate. L'Incaricato deve essere messo in grado di adempiere tutti i suoi compiti legali, in particolare di svolgere una sorveglianza concomitante sui progetti dell'Amministrazione che implicano il trattamento di dati personali. Occorre anche rinsaldare il ruolo dei consulenti, sui quali è confluito un carico di lavoro considerevole di consulenza e di seguito di progetti. Le competenze e i compiti devono maggiormente essere uniformati a livello federale. La loro subordinazione gerarchica diretta alla direzione deve essere garantita. Occorre anche riesaminare le risorse dei consulenti caso per caso. Da ultimo, il coordinamento interdipartimentale e intradipartimentale deve essere migliorato e rafforzato.
La Commissione è del parere che non è necessario trasferire dall'UFG all'Incaricato le competenze di conduzione della legislazione in materia di protezione dei dati. La situazione attuale corrisponde a principi istituzionali razionali. La collaborazione tra l'UFG e l'Incaricato funziona, secondo entrambe le parti, in modo soddisfacente, ciò che assicura che le conoscenze specialistiche dell'Incaricato sono prese in considerazione. Per quanto concerne l'accesso
dell'Incaricato agli organi decisionali politici, la CdG-N invita gli organi interessati a informare le commissioni parlamentari circa l'utilità di sentire l'Incaricato e raccomanda al Consiglio federale di esporre in modo chiaro le opinioni dell'Incaricato nei suoi messaggi all'Assemblea federale.
1230
La CdG-N trasmette il presente rapporto e le sue raccomandazioni al Consiglio federale invitandolo a prendere posizione entro fine marzo 2004.
21 novembre 2003
In nome della Commissione della gestione del Consiglio nazionale La presidente: Brigitta M. Gadient, consigliere nazionale La presidente della Sottocommissione «Affari generali»: Stéphanie Baumann, consigliere nazionale Per il segretariato delle Commissioni della gestione: Sarah Scholberg
1231
Abbreviazioni CaF CdG-S CdG-N CSG DATEC DDPS DFAE DFE DFF DFGP DFI FF GLSI LAMal LMSI LPD OLPD RS UFAS UFG UST
1232
Cancelleria federale Commissione della gestione del Consiglio degli Stati Commissione della gestione del Consiglio nazionale Conferenza dei segretari generali Dipartimento federale dell'ambiente, dei trasporti, dell'energia della comunicazione Dipartimento federale della difesa, della protezione della popolazione e dello sport Dipartimento federale degli affari esteri Dipartimento federale dell'economia Dipartimento federale delle finanze Dipartimento federale di giustizia polizia Dipartimento federale dell'interno Foglio federale Gruppo di lavoro sulla sicurezza informatica Legge federale del 18 marzo 1994 sull'assicurazione malattia, RS 832.10 Legge federale del 21 marzo 1997 sulle misure per la salvaguardia della sicurezza interna, RS 120 Legge federale del 19 giugno 1992 sulla protezione dei dati, RS 235.1 Ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati, RS 235.11 Raccolta sistematica del diritto federale Ufficio federale delle assicurazioni sociali Ufficio federale di giustizia Ufficio federale della statistica