Trattamento dei dati nel sistema per il trattamento dei dati relativi alla protezione dello Stato (ISIS) Rapporto della Delegazione delle Commissioni della gestione delle Camere federali del 21 giugno 2010

«All'attività di acquisizione di informazioni mancava la qualità di strumento effettivo di protezione dello Stato; era diventata un fine in sé, un'inutile riserva di informazioni che non era mai stata utilizzata per nessuno scopo.» René Bacher Rapporto finale dell'Incaricato speciale del trattamento dei documenti relativi alla protezione dello Stato, del 2 maggio 1996, pag. 32.

2010-1702

6777

Compendio Un'importante conclusione a cui giunse la CPI DFGP nel 1989 era che la protezione dello Stato dovesse in futuro essere diretta meglio a livello politico e che occorresse impedire la raccolta di informazioni sbagliate o inutili. Quando nel 1994 gli schedari con le relative schede vennero sostituiti con il sistema per il trattamento dei dati relativi alla protezione dello Stato (ISIS), il Consiglio federale aveva previsto per via di ordinanza un controllo interno. La legge federale sulle misure per la salvaguardia della sicurezza interna (LMSI), adottata nel 1997, prescriveva esplicitamente che potevano essere trattate solo le informazioni esatte e utili per il lavoro dei servizi di protezione dello Stato. Una disposizione supplementare, integrata nella LMSI su iniziativa del Parlamento, richiedeva una valutazione periodica dei dati registrati. Si prevedeva che queste regole restrittive potessero garantire in futuro che venissero trattati solo i dati che potevano effettivamente fornire informazioni sui pericoli per la sicurezza interna ed esterna.

All'inizio del 2005, il Servizio di analisi e prevenzione (SAP) ha trasferito i dati ISIS nel nuovo sistema ISIS-NT. La presente inchiesta della Delegazione delle Commissioni della gestione (DelCG) stabilisce ora che il SAP aveva già accumulato seri ritardi nel controllo della qualità prima del passaggio a ISIS-NT e che, a partire da allora, non ha più effettuato valutazioni periodiche fino alla fine del 2008. Secondo la DelCG il SAP, integrato nel nuovo Servizio delle attività informative della Confederazione (SIC) all'inizio del 2010, non soddisfa in nessun modo i requisiti legali in materia di assicurazione della qualità.

Nella sua qualità di organo di alta vigilanza parlamentare, la DelCG deve poter contare sui controlli dell'Esecutivo, il che non è però possibile dal momento che il SAP non ha mai effettuato i controlli prescritti per la maggior parte delle 200 000 persone e terze persone registrate in ISIS-NT. Le campionature che la DelCG ha esaminato sollevano dubbi riguardo all'esattezza e alla pertinenza dei dati contenuti in ISIS-NT. Numerose delle informazioni analizzate dalla Delegazione non erano sufficientemente pertinenti per essere registrate nel sistema o vi erano state conservate troppo a lungo. Inoltre, le direttive del SAP relative al rilevamento comportavano sistematicamente la classificazione di informazioni errate e la maggior parte delle registrazioni riguardanti circa 80 000 terze persone in ISIS-NT non adempivano i criteri legali.

La situazione dei dati di ISIS mette quindi fondamentalmente in discussione l'efficacia della protezione dello Stato. La raccolta, il trattamento e la conservazione di dati sbagliati pregiudica un lavoro efficace al servizio della sicurezza interna.

Questa situazione può indurre interventi inadeguati e disguidi che mettono in pericolo la sicurezza dello Stato.

La DelCG ritiene che l'inosservanza delle prescrizioni legali concernenti l'assicurazione della qualità sia dovuta a una errata definizione delle priorità nel progetto ISIS-NT. Invece di essere eliminati prima della migrazione, i dati divenuti irrilevanti sono stati trasferiti nel nuovo sistema e adeguati con grande onere lavorativo alla struttura di ISIS-NT . Dal momento che il SAP e il DFGP non avevano ritenuto utile

6778

adeguare l'effettivo del personale per la selezione dei vecchi dati e il rilevamento delle nuove comunicazioni, dopo la messa in servizio di ISIS-NT sono emerse lacune di capacità gravi e durevoli. Per poter rilevare comunque nel sistema tutte le informazioni entranti, per quasi quattro anni il SAP ha impiegato il personale del settore del Controllo della qualità per il rilevamento dei dati invece che per le valutazioni globali periodiche.

Di conseguenza, il numero delle informazioni registrate è aumentato costantemente ed è stata tralasciata la cancellazione dei dati non più rilevanti, prescritta per legge. Dal momento che il lavoro richiesto per la gestione dei dati è direttamente proporzionale alla quantità di informazioni, le priorità stabilite dal SAP hanno alla fine reso impossibile un trattamento dei dati nei termini legali. Questo problema non può essere risolto solo aumentando le risorse del Controllo della qualità. Il criterio della qualità dei dati deve prevalere rispetto a quello della quantità nella ricerca e nella raccolta di informazioni.

La DelCG constata inoltre che sin dall'inizio il SAP ha considerato il controllo della qualità come una procedura amministrativa distinta rispetto all'attività di protezione dello Stato vera e propria. Il personale incaricato del rilevamento dei dati non era responsabile della loro legalità. Regole meccaniche hanno consentito ai collaboratori interessati di rilevare i dati senza preoccuparsi dell'importanza delle informazioni trattate. Anche i collaboratori responsabili della valutazione dei dati ISIS nell'ottica delle attività informative non rispondevano dell'esattezza e della rilevanza dei dati registrati nel sistema.

L'esecuzione degli oneri che doveva contraddistinguere la protezione dello Stato «riformata» dopo l'«affare delle schedature» è quindi stata delegata a meno di una mezza dozzina di collaboratori del settore Controllo della qualità che non aveva tuttavia la competenza di vietare l'accesso ai dati la cui qualità non poteva essere esaminata conformemente alle prescrizioni legali. Il capo del SAP avrebbe quindi dovuto evitare l'utilizzo di dati non conformi alla legge e provvedere a risolvere i problemi fondamentali relativi alla qualità dei dati, di cui è stato accertato che fosse a conoscenza.

Le constatazioni della DelCG si
fondano in buona parte sulle ispezioni effettuate dal DDPS nel 2009 nell'ambito del controllo amministrativo previsto dalla LMSI. La DelCG ha giudicato esemplare la collaborazione tra l'alta vigilanza parlamentare e il dipartimento competente.

L'inchiesta della DelCG ha inoltre beneficiato degli sforzi messi in atto dalla Commissione della gestione del Cantone di Basilea Città per esaminare il trattamento dei dati ISIS concernenti i membri del suo Gran Consiglio. La richiesta della CdG-BS ha dato luogo a una riflessione approfondita sui limiti imposti dalla LMSI al trattamento dei dati in relazione all'esercizio dei diritti politici e ha infine dato il via a un accordo tra la Confederazione e i Cantoni concernente l'impostazione della vigilanza esercitata sugli organi cantonali di protezione dello Stato.

6779

Indice Compendio

6778

Elenco delle abbreviazioni

6782

1 Introduzione

6784

2 Trattamento dei dati relativi alla protezione dello Stato tra il 1994 e il 2009 2.1 Dal sistema provvisorio a ISIS-NT (1994­2004) 2.2 Regole relative al trattamento dei dati in ISIS-NT 2.3 Problemi legati al passaggio a ISIS-NT (2005­2007) 2.4 Richiesta della CdG del Gran Consiglio del Cantone di Basilea Città (2008) 2.5 Conseguenze della prassi adottata per le registrazioni in ISIS-NT 2.6 Pendenze presso il Controllo della qualità 2.7 Coordinamento delle inchieste del DDPS e della DelCG 2.8 Domande ricorrenti sulla qualità dei dati in ISIS-NT (2009) 2.9 Analisi delle cancellazioni ISIS comunicate 2.9.1 Insegnamenti dalle cancellazioni effettuate 2.9.2 Valutazioni globali periodiche prima del 2005 2.9.3 Valutazioni globali periodiche a partire dal 2005 2.9.4 Rispetto della durata massima di conservazione 2.9.5 Valutazione della rilevanza per la protezione dello Stato 2.9.6 Il caso A. L.

2.9.7 Casi di traffico nucleare 2.9.8 Lista di estremisti di destra 2.9.9 Associazioni islamiche 2.9.10 Controllo delle fotografie dei passaporti 2.9.11 Contatti con l'entourage di «Carlos» 2.10 Risultati dei controlli effettuati nell'ambito della vigilanza del DDPS (2010) 2.11 Inchieste presso il CSI-DFGP

6785 6785 6787 6789 6792 6795 6798 6798 6799 6801 6801 6802 6802 6803 6803 6804 6807 6808 6808 6809 6810 6810 6813

3 La protezione dello Stato nei Cantoni 3.1 La vigilanza della DelCG 3.2 Visita della DelCG presso il Cantone di Basilea Città 3.3 Visita della DelCG presso il Cantone di Ginevra 3.4 Visita della DelCG presso il Cantone di Berna

6815 6815 6816 6819 6820

4 Contatti della DelCG con l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) 4.1 L'IFPDT e il diritto d'accesso indiretto 4.2 Eccezioni concernenti il diritto d'accesso indiretto 4.3 Ulteriore evoluzione del diritto d'accesso 4.4 Aspetti tecnici e giuridici delle banche dati

6821 6821 6822 6823 6825

6780

5 Accertamenti della DelCG a carattere giuridico 5.1 Controllo cantonale e alta vigilanza 5.2 I limiti posti dall'articolo 3 LMSI

6826 6826 6830

6 Valutazioni della DelCG 6.1 Criteri dell'alta vigilanza 6.2 I controlli di qualità non adempiono le esigenze legali 6.3 Dubbi inerenti alla rilevanza e all'esattezza dei dati 6.4 Priorità sbagliate del progetto ISIS-NT 6.5 Distinzione delle attività di protezione dello Stato dalla conservazione dei dati 6.6 Vigilanza a diversi livelli 6.6.1 Vigilanza e conduzione da parte del Dipartimento 6.6.2 Lista di osservazione quale strumento di condotta del Consiglio federale 6.6.3 Vigilanza nei Cantoni 6.6.4 Diritto di accesso dei diretti interessati

6831 6831 6832 6835 6837 6840 6843 6843 6844 6846 6847

7 Raccomandazioni della DelCG

6848

8 Prossime tappe

6850

Allegato Elenco delle persone interpellate nell'ambito dell'ispezione

6851

6781

Elenco delle abbreviazioni AFS Boll. Uff.

CAG-N CDCGP CdG CdG CDG-BS CEDH CEDU CFPD CFPDT Cost.

CSI-DFGP DDPS DelCG DFGP fedpol FF IFPD IFPDT ISIS ISIS-NT LMSI LParl LPD LRC LSIC LSIP LTF

6782

Archivio federale svizzero Bollettino ufficiale Commissione degli affari giuridici del Consiglio nazionale Conferenza dei Direttori cantonali di giustizia e polizia Commissione della gestione Commissioni della gestione delle Camere federali Commissione della gestione del Gran Consiglio di Basilea Città Corte europea dei diritti dell'uomo Convenzione del 4 novembre 1950 per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (Convenzione europea dei diritti dell'uomo; RS 0.101) Commissione federale della protezione dei dati Commissione federale della protezione dei dati e della trasparenza Costituzione federale della Confederazione Svizzera del 18 aprile 1999 (RS 101) Centro del Servizio informatico DFGP Dipartimento federale della difesa, della protezione della popolazione e dello sport Delegazione delle Commissioni della gestione Dipartimento federale di giustizia e polizia Ufficio federale di polizia Foglio federale Incaricato federale della protezione dei dati Incaricato federale della protezione dei dati e della trasparenza Sistema per il trattamento dei dati relativi alla protezione dello Stato Sistema per il trattamento dei dati relativi alla protezione dello Stato ­ Nuova Tecnologia Legge federale del 21 marzo 1997 sulle misure per la salvaguardia della sicurezza interna (RS 120) Legge federale del 13 dicembre 2002 sull'Assemblea federale (Legge sul Parlamento; RS 171.10) Legge federale del 19 giugno 1992 sulla protezione dei dati (RS 235.1) Legge del 23 marzo 1962 sui rapporti fra i Consigli (RU 1962 636) Legge federale del 3 ottobre 2008 sul servizio informazioni civile (RS 121) Legge federale del 13 giugno 2008 sui sistemi d'informazione di polizia della Confederazione (RS 361) Legge sul Tribunale federale (RS 173.110).

LTras

Legge federale del 17 dicembre 2004 sul principio di trasparenza dell'amministrazione (Legge sulla trasparenza, RS 152.3) OMSI Ordinanza del 27 giugno 2001 sulle misure per la salvaguardia della sicurezza interna (RU 2001 1829) Ordinanza ISIS Ordinanza del 30 novembre 2001 sul sistema per il trattamento dei dati relativi alla protezione dello Stato (RU 2001 3173) O-SIC Ordinanza del 4 dicembre 2009 sul Servizio delle attività informative della Confederazione (RS 121.1) OSI-SIC Ordinanza del 4 dicembre 2009 sui sistemi d'informazione del Servizio delle attività informative della Confederazione (RS 121.2) PA Legge federale del 20 dicembre 1968 sulla procedura amministrativa (RS 172.021) PKK Partito dei lavoratori del Kurdistan (Partiya Karkerên Kurdistan) SAP Servizio di analisi e prevenzione SI Servizio informazioni SIC Servizio delle attività informative della Confederazione SIS Servizio informazioni strategico TAF Tribunale amministrativo federale TF Tribunale federale UE Unione europea UFG Ufficio federale di giustizia UFM Ufficio federale della migrazione WEF World Economic Forum

6783

Rapporto 1

Introduzione

La Delegazione delle Commissioni della gestione (DelCG) esercita l'alta vigilanza sull'attività nel settore della protezione dello Stato e dei servizi di informazione strategica. L'istituzione della Delegazione risale alla Commissione parlamentare d'inchiesta incaricata di chiarire gli eventi accaduti al Dipartimento federale di giustizia e polizia (CPI DFGP).1 La CPI DFGP aveva depositato un'iniziativa parlamentare che chiedeva l'istituzione di una Delegazione delle Commissioni della gestione incaricata dell'alta vigilanza nel settore delle attività segrete.2 Il Parlamento aveva dato seguito all'iniziativa con una revisione della legge sui rapporti fra i Consigli (LRC)3, entrata in vigore il 1° febbraio 1992. Da allora, la DelCG vigila sulle attività del servizio delle attività informative interno ed esterno.

Il trattamento dei dati è l'attività centrale di qualsiasi servizio informazioni ed è di conseguenza oggetto di un'attenzione particolare da parte dell'alta vigilanza della DelCG. In questi ultimi anni, la DelCG si è in particolare occupata ripetutamente dei sistemi d'informazione dei servizi e ha riferito regolarmente sulla sua attività nel rapporto annuale.4 Considerata la preoccupazione per la massa crescente di informazioni contenute nella banca dati ISIS (sistema per il trattamento dei dati relativi alla protezione dello Stato) e in seguito a una richiesta della Commissione della gestione del Cantone di Basilea Città (CdG-BS), il 16 aprile 2008 la DelCG ha deciso di approfondire la vigilanza che esercita sul trattamento dei dati in ISIS mediante un'ispezione formale e di allestire un rapporto. L'inchiesta riguarda l'esercizio del sistema ISIS-NT (nuova tecnologia) da parte del servizio di analisi e prevenzione (SAP). Il SAP ha introdotto il sistema alla fine del 2004 e si è incaricato della sua gestione fino alla fine del 2009. Il sistema ISIS-NT aveva sostituito il vecchio sistema ISIS che era stato messo in esercizio qualche anno dopo l'affare delle schedature.

Attualmente l'esercizio di ISIS-NT è di competenza del nuovo Servizio delle attività informative della Confederazione (SIC), nato all'inizio del 2010 dalla fusione tra il SAP e il Servizio informazioni strategico (SIS). Nell'ambito di questa riforma, il diritto di esecuzione relativo alla protezione dello Stato è stato abrogato e le disposizioni pertinenti sono state riprese nelle ordinanze concernenti il SIC. Dal momento che concerne il periodo fino alla fine del 2009, il rapporto fa riferimento alle basi legali vigenti in quel periodo ma rimanda sistematicamente alle attuali basi legali.

Per quanto risulti opportuno, il presente rapporto contiene anche le conclusioni concernenti il futuro del trattamento dei dati in ISIS-NT nel SIC.

1 2 3 4

Iv. Pa. 89.006 del 31 gen. 1989 «Eventi accaduti al DFGP. Commissione parlamentare d'inchiesta».

Iv. Pa. 89.243 del 22 nov. 1989 «Costituzione di una delegazione».

RU 1992 641 Rapporti annuali 2005 e 2007 delle CdG e della DelCG delle Camere federali rispettivamente del 20 gen. 2006 (FF 2006 3923 3999 segg.) e del 25 gen. 2008 (FF 2008 4407 4502 segg.).

6784

La presente ispezione è stata svolta dalla DelCG nella seguente composizione: -

Claude Janiak, consigliere agli Stati, presidente

-

Pierre-François Veillon, consigliere nazionale, vicepresidente

-

Therese Frösch, consigliera nazionale

-

Alex Kuprecht, consigliere agli Stati

-

Isabelle Moret, consigliere nazionale

-

Hansruedi Stadler, consigliere agli Stati

Nel maggio del 2010 il consigliere agli Stati Paul Niederberger è subentrato al consigliere agli Stati Hansruedi Stadler nella DelCG e ha partecipato alla redazione finale del rapporto e alla decisione di pubblicazione.

2

Trattamento dei dati relativi alla protezione dello Stato tra il 1994 e il 2009

2.1

Dal sistema provvisorio a ISIS-NT (1994­2004)

Il 22 novembre 1989, la CPI DFGP ha elaborato un primo rapporto5 sulle lacune del trattamento dei dati relativi alla protezione dello Stato che aveva riscontrato nel corso dell'inchiesta. Il 29 maggio 1990 ha pubblicato un rapporto complementare6 su diverse schedature relative alla protezione dello Stato e sulla legalità dei mezzi utilizzati nella ricerca di informazioni.

Oltre al mancato rispetto di determinati principi dello Stato di diritto nella ricerca delle informazioni, la CPI DFGP aveva osservato un'insufficiente direzione politica che ha portato a raccogliere dati inesatti, inutili e privi d'interesse per la protezione dello Stato. Secondo il rapporto della CPI, le informazioni sono state raccolte in alcuni casi in maniera aleatoria e senza alcuna sistematica e in seguito utilizzate in modo scorretto. La CPI aveva di conseguenza depositato una mozione che chiedeva di stabilire criteri precisi per la raccolta delle informazioni e di distruggere le registrazioni superate di persone e documenti.

Prima dell'entrata in vigore delle basi legali necessarie, il DFGP disciplinava il trattamento delle informazioni mediante direttive7 e istruzioni che sono in seguito state sostituite dall'ordinanza del Consiglio federale del 31 agosto 1992 sul sistema provvisorio di trattamento dei dati relativi alla protezione dello Stato8. Sulla base di questa ordinanza, il sistema ISIS è stato messo in esercizio a titolo provvisorio nel 1994 come strumento di registrazione e di gestione elettronica dei dati relativi alla protezione dello Stato.

L'ordinanza prevedeva diverse procedure per garantire che venissero trattati solo i dati del sistema pertinenti per la sicurezza della Svizzera e utili per il futuro. I prin5 6 7 8

Rapporto della CPI DFGP del 22 nov. 1989 «Avvenimenti in seno al DFGP» (FF 1990 I 473­622).

Rapporto complementare della CPI DFGP del 29 mag.1990 «Avvenimenti in seno al DFGP» (FF 1990 I 1241­1288).

Direttive del DFGP del 9 set. 1992 sull'attuazione della protezione dello Stato (FF 1992 VI 148­170).

RU 1992 1659

6785

cipi e i criteri previsti dall'ordinanza sono stati ripresi nel disegno di nuova legge federale sulle misure per la salvaguardia della sicurezza interna (LMSI)9 che il Consiglio federale aveva sottoposto al Parlamento con il relativo messaggio10 nel marzo 1994.

Nel suo messaggio concernente la LMSI, il Consiglio federale aveva definito con precisione le regole che devono essere seguite nella prassi del trattamento dei dati.

Riteneva che la valutazione dell'esattezza e dell'importanza delle informazioni costituisse una premessa indispensabile per il trattamento dei dati. Secondo il messaggio, i dati personali possono essere trattati solo nella misura ed entro i limiti temporali necessari allo svolgimento dei compiti previsti dalla LMSI. Bisognava dunque fare in modo che il controllo dei dati non si limitasse alla raccolta iniziale, ma che fosse periodico, perché secondo il Consiglio federale solo così si poteva evitare che informazioni inesatte, superflue o diventate inutili fossero conservate e utilizzate. Dal momento che alcuni dati sarebbero stati eliminati dopo ogni controllo periodico, il Consiglio federale si aspettava che allo scadere della durata massima di conservazione fosse necessario cancellare solo un numero limitato di registrazioni.11 Le deliberazioni parlamentari concernenti la LMSI sono iniziate nell'estate del 1995 e hanno dato luogo a diverse modifiche del disegno di legge. Sono tra l'altro state attuate le prescrizioni concernenti l'assicurazione della qualità proposte nel messaggio del Consiglio federale. Nell'articolo 15 capoverso 5 LMSI è stato previsto l'obbligo di esaminare periodicamente i dati ISIS. Il Consiglio federale ha fissato una durata massima di conservazione per le diverse categorie di dati. Questa precisazione è stata aggiunta in seguito a una proposta depositata su richiesta della DelCG dalla Commissione degli affari giuridici del Consiglio degli Stati.12 La LMSI è stata adottata il 21 marzo 1997 ed è entrata in vigore il 1° luglio 1998 dopo il rifiuto dell'iniziativa popolare «S.0.S. ­ per una Svizzera senza polizia ficcanaso» il 6 giugno 1998. Il 1° dicembre 1999 il Consiglio federale ha sostituito l'ordinanza sul sistema provvisorio di trattamento dei dati relativi alla protezione dello Stato con l'ordinanza ISIS del 1° dicembre 199913; il 27 giugno 2001 ha emanato l'ordinanza sulle misure per la salvaguardia della sicurezza interna (OMSI)14.

Nel 1999, gli organi di sicurezza dei Cantoni sono stati collegati a ISIS. Da allora i Cantoni possono interrogare direttamente la banca dati, ma la registrazione è rimasta di competenza esclusiva della Confederazione. I lavori per sviluppare il successore del sistema ISIS sono iniziati nel giugno 2001. Per motivi tecnici era necessario intervenire dal momento che il fabbricante aveva sospeso il sostegno per lo sviluppo del programma utilizzato.

Il numero delle persone registrate in ISIS è passato da circa 50 00015 nel 2001 a circa 60 000 nel 2004. Quest'ultima cifra corrisponde alla situazione al 18 febbraio 9 10

11 12 13 14 15

Legge federale del 21 mar. 1997 sulle misure per la salvaguardia della sicurezza interna (LMSI; RS 120).

Messaggio del 7 mar. 1994 concernente la legge federale sulle misure per la salvaguardia della sicurezza interna e l'iniziativa popolare «S.0.S. ­ per una Svizzera senza polizia ficcanaso» (FF 1994 II 1004­1098).

FF 1994 II 1062 Boll. Uff. 1995 S 588 (Schoch Otto AR).

RU 1999 3461 RU 2001 1829 Risposta del Consiglio federale del 5 set. 2001 all'interrogazione ordinaria Dardel, Jean-Nils «Persone registrate nei sistemi di dati JANUS e ISIS» (01.1068).

6786

2004 presentata dal SAP alla Commissione degli affari giuridici del Consiglio nazionale (CAG-N) nella discussione relativa al rapporto sull'estremismo16. Secondo questa fonte, questo numero comprendeva circa 2500 cittadini svizzeri.17 Alla fine del 2004, il nuovo sistema ISIS-NT (nuova tecnologia) era stato sufficientemente sviluppato affinché il SAP potesse iniziare l'esercizio all'inizio del 2005. A partire da quel momento, il SAP ha rilevato tutte le nuove informazioni esclusivamente in ISIS-NT. I dati del vecchio sistema ISIS erano già stati trasferiti in ISIS-NT nelle ultime due settimane del 2004.

Nel vecchio sistema i dati erano organizzati gerarchicamente. La loro struttura non corrispondeva a quella di una base di dati relazionale secondo cui è stato concepito il nuovo ISIS-NT. Dopo la migrazione dei dati è stato necessario un grande lavoro di adeguamento manuale alle strutture di classificazione di ISIS-NT. Senza contare che gli utenti del sistema hanno dovuto adattarsi al nuovo modello che esigeva un approccio totalmente diverso, in particolare per la rilevamento di nuovi dati. Infine, la nuova tecnologia di ISIS-NT ha richiesto l'adeguamento di nozioni tecniche nell'ordinanza ISIS che è stata riveduta il 30 giugno 2004 ed è entrata in vigore il 1° settembre 2004.18

2.2

Regole relative al trattamento dei dati in ISIS-NT

Per essere compatibili con la struttura relazionale dei dati di ISIS, le relazioni interne di una comunicazione devono essere rappresentate nel sistema come relazioni di banca dati. Occorre per esempio identificare le persone e le organizzazioni in una comunicazione, in seguito collegare questi oggetti con la comunicazione e tra di essi. Un oggetto sconosciuto nel sistema dà luogo a una nuova registrazione.

La registrazione autonoma in ISIS-NT è possibile solo se alla persona interessata è stata attribuita una propria rilevanza per la protezione dello Stato. Se una persona è rilevante per la protezione dello Stato solo in relazione a un altro oggetto della banca dati, è considerata persona terza. Il contatto con una persona considerata come una minaccia per la sicurezza può portare alla registrazione come persona terza. Analogamente, il detentore di un veicolo a motore può essere registrato come persona terza se il suo veicolo è registrato nel sistema in seguito a un evento rilevante per la protezione dello Stato.

Le persone e le persone terze sono rilevate in ISIS-NT come oggetti e possono quindi essere collegate con altre persone, organizzazioni o comunicazioni mediante le relazioni di banca dati. Dal punto di vista tecnico, le persone terze si distinguono unicamente per una menzione supplementare che le identifica come tali.

Le informazioni rilevate in ISIS sulla base di comunicazioni ricevute sono sottoposte a un controllo da parte del settore Controllo della qualità dopo essere state immesse nel sistema. Conformemente all'ordinanza, quest'ultimo deve esaminare se l'indicazione delle fonti e la data della prossima valutazione globale sono state registrate correttamente. Oltre a queste informazioni di natura formale, deve esaminare se il 16 17 18

Rapporto del Consiglio federale del 25 ago. 2004 sull'estremismo (in adempimento del postulato 02.3059 del gruppo democratico-cristiano del 14 mar. 2002; FF 2004 4425).

Queste cifre sono state pubblicate nel rapporto annuale 2005 delle CdG e della DelCG del 20 gen. 2006 (FF 2006 3923 3999).

RU 2004 3495

6787

tenore delle informazioni è affidabile e se esse sono state valutate correttamente in relazione a eventuali altre informazioni già registrate. Va applicato il principio di cui all'articolo 15 capoverso 1 LMSI che vieta il trattamento di dati imprecisi o non necessari per la protezione dello Stato. Un'informazione può essere reputata pertinente solo se il suo trattamento serve all'adempimento della missione prevista nell'articolo 2 LMSI, in particolare a individuare precocemente e a combattere i pericoli legati al terrorismo, al servizio informazioni vietato, all'estremismo violento e al trasferimento illegale di tecnologia.

Al più tardi cinque anni dopo il rilevamento della prima comunicazione concernente una persona, il settore Controllo della qualità deve procedere a una valutazione globale sulla base delle informazioni disponibili per stabilire se la persona rappresenta ancora una minaccia per la sicurezza interna. Deve inoltre esaminare quali tra le comunicazioni registrate su questa persona sono necessarie per lo svolgimento della missione di protezione dello Stato.

Se la valutazione globale porta alla conclusione che la persona interessata non rappresenta un rischio plausibile per la sicurezza interna, l'oggetto relativo a questa persona deve essere cancellato dalla banca dati. Le comunicazioni relative a questa persona non sono tuttavia cancellate se rimangono utili a causa di una relazione con un'altra persona che rimane registrata. Per esempio, una lista di persone con la quale un Cantone ha comunicato tutti gli estremisti di sinistra e di destra rimane nel sistema ISIS anche se solo una persona che figura sulla lista è considerata rilevante per la protezione dello Stato.

Se la registrazione di una persona viene cancellata, non è più possibile trovare le informazioni relative a questa persona che rimangono nel sistema mediante una ricerca orientata alla persona. La ricerca di testo nelle comunicazioni, come è il caso per esempio su Internet, non è più possibile dal momento che le informazioni in entrata sono rilevate sotto forma di immagine, una procedura tecnica che impedisce il riconoscimento testuale.

Una persona terza può rimanere registrata in quanto tale per cinque anni al massimo.

Le persone terze possono tuttavia acquisire una propria rilevanza per la protezione dello Stato sulla base di nuove informazioni e di conseguenza lo statuto della loro registrazione può essere modificato. In tal caso si applicano le regole generali relative alla cancellazione delle persone registrate.

La durata massima di conservazione in ISIS dei dati relativi alla protezione dello Stato è di 15 anni. Nella prassi del SAP, questo limite si riferisce alla data di entrata delle comunicazioni. Una persona che è stata registrata 15 anni prima a seguito di una comunicazione perché rilevante per la protezione dello Stato può tuttavia rimanere registrata dopo la cancellazione di questa informazione. Può continuare a rimanere in ISIS fintanto che le comunicazioni che la riguardano sono registrate nel sistema. Le vecchie comunicazioni devono tuttavia essere cancellate man mano che superano la durata minima di conservazione di 15 anni.

6788

2.3

Problemi legati al passaggio a ISIS-NT (2005­2007)

Il 24 maggio 2005, la DelCG si è occupata per la prima volta del trattamento dei dati nel nuovo sistema ISIS-NT. Nell'ambito della sua inchiesta sul caso Achraf19, la DelCG ha effettuato una visita non preannunciata al SAP per farsi spiegare dai collaboratori del settore Analisi preventiva incaricati del rilevamento delle informazioni nella banca dati le procedure di selezione, di valutazione e di rilevamento dei dati nel sistema ISIS.

Tutte le comunicazioni in entrata al SAP sono numerate sistematicamente in un documento in base alla loro entrata e trasmesse al settore Analisi preventiva per la registrazione. Il settore determina se una comunicazione deve figurare nella banca dati «ISIS01 Protezione dello Stato» o in un'altra collezione di dati del sistema ISIS, per esempio in quella relativa agli atti amministrativi (ISIS02). Se del caso, il settore Analisi preventiva può decidere che la comunicazione non deve essere rilevata e deve essere distrutta.

Secondo le indicazioni degli interessati, i collaboratori del settore Analisi preventiva procedono a un'analisi materiale della comunicazione ricevuta, almeno nella misura in cui sia necessario per una corretta registrazione. Questa tappa comprende anche la redazione di una breve sintesi della comunicazione, il cui contenuto è accessibile mediante una ricerca in ISIS.

Il lavoro di registrazione richiede conoscenze concernenti le persone e i gruppi che il SAP considera rilevanti per la sicurezza dello Stato poiché al momento della registrazione vanno stabilite relazioni di banca dati con gli oggetti che figurano già nel sistema.

La valutazione finale dell'esattezza e dell'importanza delle informazioni di una comunicazione non ha tuttavia luogo al momento del rilevamento. Il settore Controllo della qualità decide se una comunicazione rientra in ISIS. Se del caso, deve cancellare le comunicazioni rilevate dall'Analisi preventiva che non soddisfano le condizioni previste dalla LMSI.

Con la sua visita al SAP, la DelCG voleva inoltre stabilire se vi fossero stati ritardi nel trattamento di comunicazioni importanti in relazione al caso Achraf. In occasione della visita, il capo del SAP ha riconosciuto la possibilità che l'Analisi preventiva sia oberata e che, nel caso specifico, vi siano effettivamente stati ritardi nel rilevamento. Il passaggio al nuovo sistema ISIS-NT ha provocato qualche ritardo comunque non grave.

La procedura è concepita in modo che per l'Analisi preventiva è prioritaria l'efficacia della registrazione. Il Controllo della qualità si occupa di valutare in un secondo tempo se il rilevamento di una comunicazione o la registrazione di persone sono conformi alla missione e ai criteri stabiliti dalla LMSI. Il trattamento dell'informazione presso il SAP è organizzato in modo da conferire al Controllo della qualità un ruolo cruciale per la garanzia della legalità del trattamento dei dati in ISIS.

19

Il dispositivo di sicurezza della Svizzera e il caso Mohamed Achraf ­ una valutazione riassuntiva sotto il profilo dell'alta vigilanza parlamentare. Rapporto della Delegazione delle Commissioni della gestione del 16 nov. 2005 (FF 2006 3441­3448).

6789

La successiva utilizzazione dei dati, sia per allestire analisi della minaccia sia per scambiare informazioni con l'estero, si fonda di conseguenza sulla premessa che la qualità di tutti i dati rilevati in ISIS sia garantita dalle regole della LMSI.

Il 16 novembre 2005, la DelCG ha svolto una discussione interna sul numero di persone registrate in ISIS sulla base delle cifre fornite dal SAP che avevano sollevato diverse domande nella CAG-N in occasione delle deliberazioni concernenti il rapporto del Consiglio federale sull'estremismo.

In qualità di organo di vigilanza parlamentare competente, la DelCG ha deciso di seguire sistematicamente l'evoluzione del numero di registrazioni nel nuovo sistema ISIS-NT. Nel suo programma annuale 2006, ha richiesto al DFGP una statistica aggiornata di ISIS e ha dedicato un capitolo intero del rapporto annuale 2005 delle Commissioni della gestione e della Delegazione delle Commissioni della gestione al trattamento dei dati in ISIS.20 Il 3 marzo 2006, la DelCG ha ricevuto il rapporto richiesto sul trattamento dei dati in ISIS. Si è occupata in modo approfondito delle informazioni ricevute il 29 marzo 2006 in occasione di una discussione con i rappresentanti del SAP.

Il rapporto ha quantificato il numero di persone registrate con un profilo rilevante per la protezione dello Stato a circa 100 000 all'inizio del 2006. Secondo il rapporto, il massiccio aumento del numero di persone registrate rispetto alla vecchia versione di ISIS era dovuto al fatto che, per motivi tecnici, tutti i terzi avevano dovuto essere nuovamente rilevati e a molti di loro era stata attribuita una rilevanza propria per la protezione dello Stato. Il numero rimanente di terzi di cui non si sapeva ancora se erano rilevanti per la protezione dello Stato era stato quantificato a circa 50 000.

Il SAP ha spiegato che i dati trasferiti in ISIS-NT sarebbero stati controllati e che le cifre fornite dovevano quindi essere ritenute provvisorie. Si prevedeva di terminare la selezione dei dati per la fine del 2006 e che a partire da quel momento si disponesse di cifre affidabili.

Secondo il rapporto, la difficile migrazione dei dati dal vecchio sistema ISIS a ISIS-NT si è svolta senza problemi a metà dicembre 2004. In occasione dell'audizione è stato sottolineato che non vi erano state perdite di dati. Da parte della DelCG è stato chiesto se i dati che non meritavano di essere trasferiti erano stati scartati prima della migrazione. La risposta del SAP è stata che un simile esame non avrebbe consentito di procedere alla migrazione entro il termine previsto (fine 2004), da cui la decisione di non procedere a questa selezione.

Il rapporto precisava inoltre che la qualità e la pertinenza dei dati ISIS nell'ottica della protezione dello Stato dovevano essere valutate dal settore Controllo della qualità (2,8 posti). Quest'ultimo si concentra tuttavia attualmente sul controllo e sulla qualità del rilevamento dei dati e sulla selezione dei dati trasferiti dal vecchio sistema ISIS.

Entrambi i compiti erano in effetti di competenza del settore Analisi preventiva ma, come è risultato dall'audizione, il passaggio a ISIS-NT ha creato notevoli problemi ai collaboratori del settore. L'impiego di risorse del Controllo della qualità per il rilevamento era quindi sembrata la misura adeguata per limitare il successivo lavoro di correzione in questo ambito.

20

Rapporto annuale 2005 delle CdG e della DelCG del 20 gen. 2006 (FF 2006 3923 3999).

6790

Secondo il rapporto, per il 2005 il SAP non disponeva di statistiche sullo svolgimento delle valutazioni globali periodiche prescritte dalla legge. In un altro passaggio, il rapporto menzionava tuttavia che le valutazioni periodiche erano riprese al ritmo usuale nel 2006. In questo modo si evitava di menzionare che le stesse erano state sospese nel 2005 per far fronte ai problemi legati alla selezione dei vecchi dati e al rilevamento dei nuovi.

Il SAP aveva inoltre integrato nel rapporto valori empirici risalenti ai tempi del vecchio sistema ISIS: secondo questi valori, un terzo delle persone registrate erano state cancellate già alla prima valutazione dopo cinque anni, un terzo era stato corretto puntualmente e solo un terzo era stato rielaborato completamente per tre anni supplementari. Al momento dell'audizione, alla DelCG era stato inoltre assicurato che la valutazione globale dei dati prevista dalla legge si stava svolgendo «normalmente».

Il 28 agosto 2006, la DelCG ha effettuato un'altra visita non preannunciata al SAP.21 Si è intrattenuta con i collaboratori del servizio e, con il loro aiuto, ha consultato ISIS mediante campionatura. In un caso, la DelCG ha constatato che una persona era stata registrata unicamente sulla base di una ricerca effettuata da un altro servizio federale nella banca dati Protezione dello Stato (ISIS01). Il SAP non aveva tuttavia informazioni sulla persona registrata e lo aveva comunicato al servizio interessato.

La DelCG ha criticato la registrazione in ISIS01, dal momento che essa presupponeva l'esistenza di informazioni importanti per la protezione dello Stato sulla persona interessata. Il capo del SAP ha ribattuto che la persona in questione non era stata registrata come sospetta ma nell'ambito di una domanda normale e ha aggiunto che è possibile che la registrazione avrebbe dovuto figurare nella banca dati Amministrazione (ISIS02).

La visita sul posto ha confermato le dichiarazioni precedenti del SAP, secondo cui il lavoro richiesto per il rilevamento dei dati era notevolmente aumentato a causa della struttura relazionale dei dati di ISIS-NT. Inoltre, il settore Controllo della qualità stava investendo molto tempo per migliorare il rilevamento dei dati. A quel momento la sezione disponeva di 4,6 posti a tempo pieno ripartiti su cinque persone.

Secondo il
SAP il sistema si era stabilizzato un anno e mezzo dopo la messa in servizio e nella successiva fase di miglioramento erano state integrate nuove funzioni che si erano rivelate necessarie. Le novità comportavano programmi di automazione delle cancellazioni e un modulo di archiviazione. Il numero di persone registrate che rivestivano una propria rilevanza per la protezione dello Stato era sempre stimato a 100 000, la quota di cittadini svizzeri era del 4 per cento.

Su mandato della DelCG, il 1° febbraio 2007 il DFGP ha presentato un nuovo rapporto sul trattamento dei dati in ISIS-NT, con statistiche aggiornate. Nella sua seduta del 21 febbraio 2007, la DelCG ha osservato che la rettifica dei dati non era ancora stata conclusa alla fine del 2006. Il numero di persone registrate era aumentato a 112 000, quello di terzi a 56 000. La quota delle persone titolari di una passaporto svizzero era del 3,5 per cento e quella delle persone domiciliate in Svizzera dell'11 per cento. Il SAP non aveva voluto fare previsioni affidabili sull'evoluzione futura della base di dati ma si aspettava un «quadro totalmente nuovo» per la fine del 2007.

21

Comunicato stampa del 30 ago. 2006 della DelCG.

6791

Il 23 febbraio 2007, la DelCG ha scritto al capo del DFGP che le ultime cifre concernenti le registrazioni in ISIS erano a suo avviso preoccupanti e lo invitava a spiegare perché la rettifica dei dati non era stata conclusa alla fine del 2006, come aveva annunciato il SAP, e perché il numero di persone registrate e di comunicazioni rilevate nel sistema era continuamente aumentato.

Il 30 marzo 2007, il capo del DFGP ha risposto alla DelCG che la rettifica dei dati aveva subito ritardi perché le risorse limitate e il ritmo elevato degli affari correnti non avevano consentito un trattamento più rapido22. In altre parole, il capo del DFGP ha dichiarato che le risorse disponibili erano state investite prioritariamente nel rilevamento di nuovi dati in ISIS. La lettera del capo del DFGP non menzionava invece le risorse umane ancora disponibili per i controlli iniziali e le valutazioni globali periodiche.

Nella sua lettera, il capo del DFGP prevedeva però che la base di dati sarebbe stata definitivamente aggiornata prima della fine del 2007 e precisava che aveva autorizzato il rafforzamento del SAP con sei collaboratori temporanei per l'anno in corso.

Proseguiva sottolineando che non era possibile stabilire le cause precise che avevano portato a un aumento del numero di persone rilevate in ISIS-NT nel 2006 fintanto che la rettifica dei dati non fosse conclusa. Il capo del DFGP era convinto che i dati ISIS fossero stati raccolti, trattati e cancellati entro i termini conformemente alle severe prescrizioni legali23 e rinviava in proposito ai pertinenti controlli dell'Ispettorato del DFGP.

Il rapporto dell'Ispettorato del DFGP, di cui la DelCG ha preso atto il 16 febbraio 2007, non analizzava tuttavia il funzionamento del settore Controllo della qualità, ma si concentrava sui problemi legati alla rettifica e al rilevamento dei nuovi dati in ISIS-NT. Il rapporto constatava che ISIS-NT aveva aumentato le esigenze per il personale incaricato del rilevamento dei dati e questo per due motivi: il nuovo sistema richiedeva maggiori capacità di analisi e inoltre il volume dei dati da rilevare era in continuo aumento. Il rapporto osservava inoltre un deficit strutturale di risorse nel settore del rilevamento che non era possibile colmare con un rafforzamento temporaneo del personale. Infine, il rapporto precisava che il sistema ISIS-NT dipendeva totalmente da un rilevamento dei dati di elevata qualità e in tempo utile24.

2.4

Richiesta della CdG del Gran Consiglio del Cantone di Basilea Città (2008)

In una lettera del 27 novembre 2007, la CdG del Gran Consiglio del Cantone di Basilea Città ha chiesto alla DelCG di esprimersi sull'organizzazione delle competenze riguardo alla vigilanza sulla protezione cantonale dello Stato. La CdG-BS dava per scontato che disponesse di vaste competenze di controllo della protezione cantonale dello Stato nell'ambito della sua alta vigilanza. Ha dovuto però apprendere che l'autorità cantonale di protezione dello Stato e il SAP non condividevano questa

22 23 24

Lettera del 30 mar. 2007 del capo del DFGP alla DelCG, pag. 1.

Lettera del 30 mar. 2007 del capo del DFGP alla DelCG, pag. 2.

Rapporto dell'Ispettorato del DFGP del 16 feb. 2007 sul trattamento dei dati in ISIS, pag. 20 del testo in tedesco (non tradotto).

6792

opinione. Secondo loro, conformemente all'articolo 23 capoverso 1 OMSI25, la competenza dell'autorità cantonale si limitava al controllo che i dati relativi alla sicurezza interna e le altre informazioni di polizia fossero trattati separatamente. I due organi ritengono che la DelCG e il dipartimento responsabile hanno la competenza esclusiva della vigilanza sull'attività dei servizi cantonali di protezione dello Stato.

La CdG-BS ha inoltre informato la DelCG che aveva motivo di ritenere che il SAP stesse trattando informazioni su sei membri del suo Gran Consiglio. Ha invitato il DelCG a esaminare la legalità di questa attività, in particolare alla luce dell'articolo 3 LMSI. Quest'ultimo prevede che il trattamento di informazioni relative alla persona è lecito solo qualora un indizio fondato permetta di sospettare le persone in questione di servirsi dell'esercizio dei diritti politici o dei diritti fondamentali per dissimulare la preparazione o l'esecuzione di attività terroristiche, di spionaggio o di estremismo violento.

Su domanda della CdG-BS, l'incaricato della protezione dei dati del Cantone di Basilea Città aveva già provato a verificare presso il servizio cantonale di protezione dello Stato se erano stati trattati dati concernenti i deputati cantonali. Era stato tuttavia indirizzato al SAP, il quale deve dare il suo accordo affinché un organo di controllo cantonale possa consultare ISIS (art. 23 cpv. 2, OMSI). Il SAP ha rifiutato un controllo cantonale dei dati in questione sia per principio sia in seguito nel caso concreto dei sei deputati cantonali, facendo valere che le disposizioni relative alla protezione di informazioni provenienti da relazioni con l'estero non consentivano la consultazione (art. 17 cpv. 7 LMSI).

La richiesta della CdG-BS è giunta alla DelCG dopo la sua ultima seduta del 2007.

Dopo essersi costituita per la nuova legislatura nel dicembre 2007, la DelCG si è occupata della domanda della CdG-BS nella sua prima seduta del 2008, decidendo come prima misura una visita non preannunciata al SAP per verificare sul posto le indicazioni della CdG-BS.

Il controllo ha rivelato, l'11 marzo 2008, che due dei sei deputati al Gran Consiglio basilese figuravano nella banca dati Protezione dello Stato di ISIS. La DelCG ha inoltre dedotto che due altri deputati erano registrati come terzi al momento della domanda dell'incaricato basilese della protezione dei dati, nel settembre 2007.26 La loro registrazione aveva dovuto essere cancellata su richiesta del Cantone di Basilea Città. La DelCG non ha trovato informazioni in ISIS-NT sui due ultimi deputati.

Il 16 aprile 2008, la DelCG ha inviato una lettera al DFGP chiedendo di motivare la registrazione duratura di due membri del Gran Consiglio del Cantone di Basilea Città alla luce dell'articolo 3 LMSI. Ha inoltre richiesto un parere sull'organizzazione delle competenze nel settore della vigilanza sulla protezione dello Stato.

Lo stesso giorno, la DelCG ha scritto al presidente della CdG-BS per informarla di aver controllato sul posto se i deputati al Gran Consiglio menzionati figuravano in 25

26

Il Consiglio federale ha abrogato l'OMSI il 1 gen. 2010. Le disposizioni dell'art. 23 OMSI sono da allora riprese nell'art. 35 dell'ordinanza del 4 dic. 2009 sul Servizio delle attività informative della Confederazione (O-SIC; RS 121.1).

Richiedendo la corrispondenza tra il SAP e l'incaricato alla protezione dei dati del Cantone di Basilea Città, la DelCG ha constatato che il SAP, quando ha controllato il nome dei sei deputati al Gran Consiglio, ha segnato il loro statuto in ISIS su una copia della domanda di accesso del Cantone di Basilea Città. Secondo queste indicazioni, quattro nomi non figuravano in ISIS.

6793

ISIS. Precisando che non era suo compito fornire informazioni sul trattamento dei dati di determinate persone in ISIS, la Delegazione ha garantito al presidente che nei limiti delle sue possibilità aveva preso i provvedimenti necessari per porre fine a eventuali infrazioni.

Sempre il 16 aprile 2008, la DelCG ha deciso di esaminare in modo sistematico il trattamento dei dati in ISIS-NT nell'ambito di un'inchiesta formale, accordando un'attenzione particolare alle cause dell'aumento del numero di registrazioni e al funzionamento dell'assicurazione della qualità.27 Il 22 maggio 2008, la DelCG si è occupata delle ultime cifre disponibili sui dati rilevati in ISIS-NT e sui progressi nella rettifica dei dati trasferiti con la migrazione alla fine del 2004. Il continuo aumento delle registrazioni ha confermato alla Delegazione che aveva impostato la sua inchiesta nella giusta direzione.

Dopo il rapporto del SAP del 22 aprile 2008, il numero di persone registrate era di 114 000, soprattutto perché molti terzi erano passati allo statuto di persone che rivestivano una propria rilevanza per la protezione dello Stato. Il numero di terzi era sceso a 47 000. Tra le persone registrate in ISIS-NT, il 3,9 per cento erano cittadini svizzeri. Il SAP non ha fornito cifre sul numero di registrazioni cancellate dal settore Controllo della qualità.

La Delegazione ha constatato che la rettifica dei dati non aveva potuto essere conclusa nemmeno nel 2007. Il SAP prevedeva di continuare il lavoro fino alla fine del 2008 e riteneva che le principali incoerenze nei dati trasferiti sarebbero state corrette entro tale termine. Il settore Controllo della qualità si sarebbe incaricato in seguito degli errori rimasti nell'ambito delle valutazioni globali periodiche.

Come nei precedenti tre anni, le dichiarazioni del SAP concernenti la situazione dei dati in ISIS si sono concentrate sulla gestione della migrazione dei dati. Il nuovo modello di dati di ISIS-NT si è rivelato molto più esigente riguardo alla coerenza dei dati. I dati ISIS rilevati prima della migrazione erano manifestamente carenti sotto questo aspetto. Questa constatazione solleva la questione della serietà con la quale il SAP aveva trattato l'assicurazione della qualità nel vecchio sistema ISIS. In occasione dell'audizione del 22 maggio 2008, un rappresentante del SAP che voleva sottolineare i vantaggi di ISIS-NT nell'ottica della qualità dei dati ha dichiarato che, con il vecchio sistema di assicurazione della qualità, nessuno avrebbe avuto l'idea di verificare la registrazione precedente per vedere se un processo (ossia una comunicazione) doveva essere cancellato.

Dopo il passaggio a ISIS-NT, per il SAP la domanda se i dati rettificati in ISIS con notevole dispendio lavorativo fossero rilevanti per la sicurezza della Svizzera e se rispettassero i criteri della LMSI è passata completamente in secondo piano a causa delle difficoltà legate alla gestione del nuovo sistema. Il SAP riteneva che con il nuovo sistema l'assicurazione della qualità fosse «quasi una garanzia» che non fossero trattati dati contrari agli obiettivi e ai limiti fissati dalla LMSI.

Il 14 luglio 2008, il DFGP ha trasmesso alla DelCG il risultato del controllo che aveva chiesto sui due deputati al Gran Consiglio del Cantone di Basilea Città registrati in ISIS-NT. Il DFGP ha giudicato che la registrazione era giustificata per uno dei due deputati. Ha inoltre indicato che la registrazione del secondo deputato era 27

La DelCG ha annunciato la decisione il 3 lug. 2008 in un comunicato stampa sulle diverse attività in corso della Delegazione.

6794

stata cancellata dal settore Analisi preventiva in occasione di una valutazione globale anticipata.

Nella sua seduta del 26 agosto 2008, la DelCG non si è mostrata pienamente convinta delle dichiarazioni del DFGP. La registrazione concernente un deputato era stata cancellata, ma non c'è mai stato un motivo sufficiente per giustificare la registrazione di questa persona. La cancellazione non è inoltre stata effettuata dal SAP di sua iniziativa dopo aver constatato l'assenza di qualsiasi legame tra la persona in questione e la protezione dello Stato, ma solo dopo l'intervento della DelCG. Senza la richiesta della CdG-BS, la persona in questione figurerebbe ancora in ISIS-NT.

La DelCG ha ritenuto utile procurarsi materiali per farsi un quadro concreto del modo in cui il SAP effettuava le cancellazioni correnti prescritte dalla legge. Ha quindi chiesto al DFGP, con lettera del 26 agosto 2008, di fornirgli tutte le informazioni concernenti le persone domiciliate in Svizzera la cui registrazione è stata cancellata dal SAP nell'ambito della valutazione globale periodica.

A questo scopo, tutti i campi di dati importanti tratti da ISIS-NT concernenti una persona sono stati stampati sotto forma di tabella (estratto integrale). Oltre ai dati d'identità, l'estratto integrale comprende i rinvii alle relazioni della persona interessata con le comunicazioni ricevute e con altre persone o organizzazioni.

Il caso del deputato che è rimasto registrato ha dato luogo ad altri chiarimenti nel DFGP. Nel settembre 2008, l'Ufficio federale di giustizia (UFG) è stato incaricato di valutare se nel caso in questione i principi e i criteri legali erano stati interpretati e applicati correttamente.

Nel suo parere del 16 ottobre 2008, l'UFG ha giudicato le relative informazioni in ISIS-NT come poco solide e in parte non rilevanti per la protezione dello Stato.

Secondo l'UFG, l'analisi globale non ha fornito indizi che la persona in questione svolgesse attività pericolose per lo Stato e non esiste una base per proseguire il trattamento dei dati.

In seguito al parere dell'UFG, il SAP ha dovuto cancellare la registrazione del deputato in questione in ISIS-NT. Il SAP ha in seguito comunicato la cancellazione, effettuata il 3 novembre 2008, e ha consegnato alla DelCG l'estratto integrale richiesto, con copia delle comunicazioni cancellate.

2.5

Conseguenze della prassi adottata per le registrazioni in ISIS-NT

Il 18 novembre 2008, la DelCG ha avuto una discussione sulla prassi in materia di registrazione in ISIS-NT con il capo sostituto del SAP. Quest'ultimo ha sottolineato che ISIS-NT non è un casellario giudiziale o un registro di sospetti, ma uno strumento per documentare l'attività svolta dal SAP per la protezione dello Stato.

Se, per esempio, una domanda d'informazioni proveniente dall'estero riguarda una persona sulla quale il SAP non ha informazioni e non può di conseguenza valutare la sua rilevanza per la protezione dello Stato, il SAP registra in ogni caso la persona in qualità di terzo. Anche se il SAP comunica all'autorità estera che non è a conoscenza di informazioni negative sulla persona, quest'ultima viene comunque registrata, ciò che il capo sostituto del SAP ritiene fondato, dal momento che il SAP non ritroverebbe più le informazioni nel sistema senza questa registrazione e non potrebbe 6795

documentare di aver inviato una risposta all'autorità estera concernente la persona in questione.

Allo stesso modo, il SAP ha giustificato il trattamento dei dati relativi a un membro del Gran Consiglio del Cantone di Basilea Città, anche se la sua rilevanza per la protezione dello Stato non è mai stata stabilita definitivamente. Il fatto che informazioni legate a organizzazioni estremiste curde siano state messe regolarmente in relazione con la persona in questione avrebbe giustificato una registrazione, anche se la stessa non era considerata personalmente come una minaccia per la sicurezza interna o esterna. Dopo che l'UFG aveva nel frattempo concluso che non era opportuno proseguire il trattamento di questi dati, il SAP ha cancellato la registrazione.

Il capo sostituto del SAP ha peraltro sostenuto il parere secondo cui un trattamento dei dati non pertinente o sbagliato non costituisce in sé una «grave violazione della personalità» per l'interessato, soprattutto fintanto che il trattamento rimane un affare interno e l'informazione non è utilizzata contro di lui. Riprendendo l'esempio del deputato basilese, il SAP ha fatto valere che le informazioni contenute in ISIS-NT non avevano pregiudicato in alcun modo la persona in questione, che è rimasta eletta in Gran Consiglio e la cui attività economica non è stata ostacolata da una valutazione negativa in materia di sicurezza.

Analogamente, il SAP non vedeva problemi nel confermare, su richiesta di un servizio informazioni europeo, che il deputato in questione aveva assistito a un processo all'estero in qualità di osservatore. La richiesta proveniente dall'estero descriveva peraltro una persona che non corrispondeva necessariamente ai dati personali del deputato. Sulla base delle sue informazioni, il SAP non sapeva se l'interessato avesse effettivamente assistito a un processo in qualità di osservatore.

Aveva fondato la sua dichiarazione solo sulla domanda del servizio estero.

Il SAP ha inoltre informato il servizio estero su relazioni non specificate del deputato con un comitato di sostegno a un gruppo estremista. Oltre a un'osservazione priva di dettagli e senza indicazione della fonte, la DelCG non ha trovato informazioni in ISIS-NT che avrebbero confermato questo sospetto. nonostante le evidenti lacune delle informazioni a sua disposizione, il SAP ha ritenuto consolidato il contenuto della comunicazione al servizio partner.

Secondo il SAP, la trasmissione di queste informazioni non consolidate era indispensabile per salvaguardare interessi importanti legati alla sicurezza della Svizzera o dello Stato destinatario; vi ha quindi dato seguito fondandosi sull'articolo 17 capoverso 3 lettera d LMSI. Come ha spiegato il capo sostituto del SAP, l'ufficio di collegamento del SAP, competente delle transazioni con l'estero, può nella maggior parte dei casi fondare una trasmissione di informazioni all'estero su questa disposizione.

Il capo sostituto del SAP ha sottolineato che il rilevamento di informazioni in ISIS-NT non ha luogo meccanicamente, ma richiede una riflessione sul contenuto spesso molto ricco delle comunicazioni. Ha precisato che il rilevamento deve tener conto di voluminose direttive. Uno sguardo alle 556 pagine delle direttive del settore Analisi preventiva sul trattamento delle informazioni mostra tuttavia che le comunicazioni non vengono rilevate in ISIS-NT dopo una valutazione materiale, ma secondo regole meccaniche.

6796

Le domande di naturalizzazione e d'asilo sono rilevate nella banca dati ISIS01 (Protezione dello Stato) se il richiedente era già registrato per un'altro motivo.28 Questa regola si applica anche quando il SAP constata per l'Ufficio federale della migrazione (UFM) che il richiedente un costituisce una minaccia per la sicurezza interna (cfr. esempio nel n. 2.9.10). Se la persona non è registrata in ISIS01, la domanda è in ogni caso rilevata in ISIS02 (Amministrazione).

Sono registrate nella banca dati Protezione dello Stato ISIS01 anche le migliaia di persone rilevate in seguito a un controllo della fotografia del passaporto29 alla frontiera. Queste persone sono registrate come terzi a prescindere dalla minaccia concreta che potrebbero presentare. Secondo le direttive, a un terzo viene attribuita automaticamente una rilevanza propria per la protezione dello Stato non appena figura in più di due comunicazioni. In questo caso si riconosce facilmente un meccanismo che comporta necessariamente un aumento del numero di persone che figurano in ISIS-NT e sono viste come una minaccia per la sicurezza della Svizzera.

All'arrivo di una nuova comunicazione il settore Analisi preventiva è inoltre tenuto a identificare e rilevare tutti i possibili legami con persone già registrate. Il capo sostituto del SAP ha motivato questa prassi con il fatto che per le persone già rilevate sussiste un maggiore interesse a conoscere tutte le informazioni disponibili. A suo parere, queste informazioni supplementari possono essere utilizzate non solo per stabilire il più rapidamente possibile l'importanza di una persona per la protezione dello Stato, ma anche per escluderla in tempo utile. Questa intenzione è tuttavia messa in discussione quando le regole di rilevamento del SAP fanno passare una persona dallo statuto di terzo a quello di persona che riveste una propria rilevanza per la protezione dello Stato non appena più di due comunicazioni riguardano l'interessato. In questo caso, un'informazione a discarico di una persona ne comporta la registrazione invece della cancellazione.

Come mostrano gli esempi precedenti e i meccanismi di registrazione di terzi, la registrazione in ISIS-NT non è necessariamente un indizio affidabile della valutazione materiale della pertinenza della registrazione, come chiede l'articolo 15 capoverso 1 LMSI.

Durante l'audizione, il capo sostituto del SAP non ha escluso possibili errori al momento del rilevamento e che un fatto possa in seguito rivelarsi meno pertinente per la sicurezza dello Stato di quanto non fosse stato giudicato inizialmente. Ha tuttavia ritenuto che tale rischio sia accettabile, dal momento che questa possibilità 28

29

L'UFM trasmette al SAP tutte le domande di naturalizzazione per l'esame di una possibile minaccia per la sicurezza interna. Il SAP controlla inoltre le domande d'asilo di tutte le persone di determinati Paesi. L'elenco di questi Stati è allestito dal SAP e aggiornato se necessario. Nel 2009, il SAP ha esaminato circa 34 800 domande di naturalizzazione e 2250 dossier di domanda d'asilo I controlli delle fotografie dei passaporti risalgono a un programma lanciato nel 1968 per sostenere la difesa contro lo spionaggio basato sull'interrogatorio dei viaggiatori provenienti dai Paesi dell'Est (v. n. VI.8 del rapporto della CPI DFGP). Per poter interrogare le persone su eventuali contatti con i servizi informazioni esteri, il passaporto dei viaggiatori in transito da posti doganali selezionati vengono fotografati dalla polizia di confine e i documenti fotografici vengono conservati in un archivio separato di controllo delle fotografie dei passaporti (cfr. n. II 2.3 del rapporto complementare della CPI DFGP).

Il 12 febbraio 1990, il capo del DFGP ha interrotto, nell'ambito di una serie di misure urgenti, il rilevamento dei passaporti dei cittadini svizzeri e degli stranieri domiciliati in Svizzera. Il programma di rilevamento delle fotografie dei passaporti è da allora stato prorogato per i titolari di un passaporto di determinati Paesi.

6797

consente di effettuare una nuova valutazione dei dati dopo un certo periodo e, se del caso, di cancellarli.

2.6

Pendenze presso il Controllo della qualità

In occasione della seduta del 18 novembre 2008, la DelCG si è informata sui compiti e sulle capacità del settore Controllo della qualità. Secondo la concezione dei processi di trattamento dei dati in ISIS-NT, il settore Controllo della qualità, che interviene dopo il rilevamento di un'informazione da parte del settore Analisi preventiva (cfr. spiegazioni nel n. 2.3), garantisce che il rilevamento sia stato effettuato correttamente dal profilo formale. Si tratta sopratutto di verificare che le informazioni siano rappresentate conformemente alle strutture delle banche dati.

Secondo le prescrizioni legali, il settore Controllo della qualità deve inoltre garantire che le informazioni non veramente rilevanti per la protezione dello Stato non siano rilevate nel sistema. Nelle valutazioni globali periodiche, il settore deve identificare le informazioni che non sono più utili e cancellarle.

Tra i compiti del settore Controllo della qualità rientrano anche la gestione delle banche dati e la formazione dei collaboratori del settore Analisi preventiva. Due persone si sono occupate delle questioni tecniche e della formazione, in particolare della redazione delle direttive sul rilevamento. Un'altra si è occupata della banca dati HOOGAN nella quale il SAP trattava i dati delle persone che si erano comportate in modo violento in occasione di manifestazioni sportive organizzate in Svizzera o all'estero. Solo poco più della metà delle capacità del settore (3,7 su 6,7 posti) sono state impiegate per il vero e proprio controllo della qualità dei dati ISIS.

Nel corso di precedenti audizioni, a più riprese è stato detto alla DelCG che, in seguito al passaggio a ISIS-NT, il Controllo della qualità ha dovuto concentrare la sua attività sul controllo delle nuove comunicazioni rilevate. A causa del forte aumento delle comunicazioni in entrata, le è stato detto che c'erano «alcune pendenze» nel controllo delle entrate. Se le pendenze non fossero state così numerose, ha precisato il capo del Controllo della qualità, il controllo avrebbe probabilmente consentito di cancellare qualche registrazione subito dopo il rilevamento.

Durante l'audizione non si è tuttavia potuto quantificare le pendenze. In compenso la DelCG ha ricevuto per la prima volta un'indicazione precisa sulle pendenze nel settore delle valutazioni globali periodiche prescritte. Lo svolgimento delle valutazioni globali ha dovuto «essere momentaneamente sospeso a causa del nuovo sistema ISIS-NT», dal momento che le capacità del settore Controllo della qualità erano impegnate in altri compiti. L'interlocutore della DelCG ha precisato che il settore aveva appena potuto riprendere le sue valutazioni globali periodiche.

2.7

Coordinamento delle inchieste del DDPS e della DelCG

Nel maggio 2008, il Consiglio federale ha deciso di integrare il SAP nel Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS).

Con questa decisione, ha anticipato una richiesta formulata dal consigliere nazionale Hofmann, ex presidente della DelCG, con un'iniziativa parlamentare che chiedeva 6798

di integrare i servizi informazioni civili nello stesso dipartimento.30 Dando seguito all'iniziativa parlamentare Hofmann, il 3 ottobre 2008 il Parlamento ha adottato la legge federale sul servizio informazioni civile (LSIC)31, che prevede in particolare un rafforzamento della vigilanza dipartimentale sui servizi informazioni.

In vista dell'integrazione del SAP nel DDPS, la DelCG è intervenuta presso il Consiglio federale affinché il trasferimento non comportasse lacune nella vigilanza dei servizi informazioni. La Delegazione ha inoltre chiesto di attuare rapidamente le prescrizioni della LSIC.

Con lettera del 12 dicembre 2008, il Consiglio federale ha risposto alla DelCG che due collaboratori dell'Ispettorato del DFGP sarebbero stati trasferiti alla segreteria generale del DDPS a partire dall'inizio del 2009 e che avrebbero continuato a esercitare il controllo per il SAP. Il Consiglio federale prevedeva inoltre due posti supplementari per l'estensione del controllo al servizio informazioni esterno dopo l'entrata in vigore della LSIC.

Il nuovo organo di vigilanza del DDPS, dotato di tre persone, ha iniziato il suo lavoro con il trasferimento del SAP all'inizio del 2009. Il trattamento dei dati in ISIS-NT era altamente prioritario nel piano di controllo 2009 del capo del DDPS.

D'intesa con la DelCG, il capo del DDPS ha deciso di sottoporre ISIS-NT a un'ispezione interna. Nel corso della discussione del 29 gennaio 2009, ha inoltre accolto la proposta della Delegazione di ordinare un'ispezione supplementare sull'utilità di ISIS-NT e sul suo adeguamento ai bisogni dei diversi utenti. Questa procedura ha consentito alla DelCG di fondare la sua alta vigilanza sui controlli della vigilanza dipartimentale e di utilizzare questi risultati in tempo utile nella sua inchiesta su ISIS.

2.8

Domande ricorrenti sulla qualità dei dati in ISIS-NT (2009)

Il 19 maggio 2009, la DelCG ha discusso il rapporto annuale del SAP concernente il trattamento dei dati in ISIS-NT. Il numero di persone registrate che rivestivano una propria rilevanza per la protezione dello Stato era aumentato a 117 000, quello di terzi a circa 66 000.

L'aumento osservato per i terzi era dovuto al fatto che il SAP aveva assunto due persone supplementari nel servizio esterno, che nel 2008 avevano rilevato in ISIS-NT le pendenze derivanti dal controllo delle fotografie dei passaporti. Ne sono risultate circa 20 000 nuovi rilevamenti di terzi, ciò che ha portato a 39 000 il numero di terzi registrati a seguito di un controllo delle fotografie dei passaporti alla frontiera. Considerato che una parte di questi cittadini stranieri sono entrati e usciti diverse volte dalla Svizzera, circa 229 000 passaggi alla frontiera sono stati registrati in ISIS-NT. Un rappresentante del SAP ha commentato questo aumento del numero di terzi nel seguente modo: dal momento che il SAP dispone di più personale, il servizio produce di più. In altre parole, il numero di persone registrate in ISIS-NT che rivestono potenzialmente un'importanza per la protezione dello Stato è aumentato assieme all'effettivo di personale del SAP.

30 31

Iv. Pa. 07.404 del 13 mar. 2007 «Trasferimento dei compiti dei servizi informazioni civili a un dipartimento».

Legge federale del 3 ott. 2008 sul servizio informazioni civile (LSIC; RS 121).

6799

La percentuale di cittadini svizzeri registrati in ISIS-NT è passata dal 3,9 al 5 per cento. Il rapporto ha spiegato questo aumento di circa 1000 persone con il fatto che per molte persone era stato rilevato solo il luogo di origine, ma non la cittadinanza svizzera, e che questo errore nei dati trasferiti era stato identificato e corretto nell'ambito della rettifica dei dati. Globalmente, la percentuale delle persone registrate domiciliate in Svizzera era del 12,2 per cento.

Secondo il rapporto, la rettifica dei dati era stata conclusa alla fine del 2008. Durante la discussione è emerso che, sebbene non possa garantire del tutto il rilevamento corretto dei dati, il SAP ritiene che gli errori rimanenti potranno essere identificati e corretti nell'ambito dell'attività normale di rilevamento del settore Analisi preventiva. Tre persone impiegate temporaneamente per la rettifica dei dati sono state nel frattempo assunte dal settore Controllo della qualità, il cui personale fisso è stato ridotto a 4,7 posti, contro i 6,7 dell'anno precedente.

Dal rapporto risulta che le valutazioni globali periodiche erano state «temporaneamente sospese» fino all'autunno 2008. Il rapporto sosteneva tuttavia che i dati in ISIS erano gestiti in modo uniforme secondo uno «standard qualitativo elevato».

Durante l'audizione il SAP ha spiegato di aver «ridotto solo un po' il personale» per le valutazioni globali periodiche, dal momento che erano prioritari la rettifica dei dati e il controllo dei rilevamenti correnti.

Dal primo rapporto del marzo 2006, il SAP aveva evitato di esprimersi chiaramente sulla conformità legale dell'esecuzione delle valutazioni globali periodiche della rilevanza per la protezione dello Stato delle persone registrate. Sulla base delle cancellazioni comunicate, la DelCG sapeva che il SAP aveva ripreso i controlli nell'autunno 2008, a seguito del mandato della Delegazione che nell'agosto 2008 chiedeva al SAP di comunicarle le registrazioni cancellate secondo la procedura ordinaria. Il SAP non indicava tuttavia il numero di valutazioni periodiche che erano state effettuate nel termine prescritto (entro fine 2004 e autunno 2008) e se tutti i controlli in sospeso erano stati effettuati.

Quando la DelCG si è in seguito occupata degli scambi di posta elettronica dell'autunno 2008 tra il SAP e il Centro servizi informatici del DFGP (CSI-DFGP), è risultato che il SAP non aveva potuto procedere a valutazioni globali fino a quel momento. Secondo una mail del 27 ottobre 2008, ostacoli tecnici hanno impedito lo svolgimento corretto delle valutazioni globali, senza le quali le cancellazioni che dovevano essere comunicate alla DelCG conformemente al suo mandato del 26 agosto 2008 non potevano essere effettuate nel sistema. Il CSI-DFGP è quindi stato incaricato di risolvere quanto prima questi problemi. Il capo sostituto della divisione Gestione dell'informazione del SAP ha giustificato l'urgenza con l'argomentazione seguente: «La DelCG aspetta già le prime cancellazioni effettuate nell'ambito della valutazione globale per la fine del mese [ottobre 2008]. Sarei lieto se potessimo fornire loro qualche risultato ...»32. Il SAP aveva quindi ripreso i controlli prescritti dalla legge verso la fine del 2008, sotto pressione della DelCG.

32

Posta elettronica del capo sostituto della divisione Gestione dell'informazione del SAP al capo sostituto della sezione Sviluppo del CSI-DFGP, del 27 ott. 2008 (in tedesco).

6800

2.9

Analisi delle cancellazioni ISIS comunicate

2.9.1

Insegnamenti dalle cancellazioni effettuate

Nel periodo da ottobre 2008 alla fine di dicembre 2009, il SAP ha comunicato alla DelCG una parte delle cancellazioni effettuate dal settore Controllo della qualità in ISIS-NT nell'ambito delle valutazioni globali periodiche. Come aveva specificato nel suo mandato del 26 agosto 2008, si trattava di registrazioni di persone che avevano la cittadinanza svizzera o il domicilio in Svizzera. Per ciascuna di queste persone, la DelCG ha ricevuto un estratto integrale comprendente tutti i dati registrati che le riguardavano.

Dal momento che la fornitura di questi dati provocava un lavoro supplementare non trascurabile per il settore Controllo della qualità ­ già sovraccarico ­, la DelCG ha limitato la durata del suo mandato alla fine del 2009. Le comunicazioni sono così rimaste nel quadro temporale fissato per l'ispezione, vale a dire fino all'integrazione del SAP nel nuovo servizio informazioni civile.

Nei 15 mesi considerati, il settore Controllo della qualità ha cancellato le registrazioni di circa 450 persone nell'ambito delle valutazioni globali periodiche effettuate.33 Di queste, circa 240 risalivano al periodo precedente il 2000 e circa 200 al periodo compreso tra il 2000 e la migrazione in ISIS-NT alla fine del 2004. Solo un numero molto limitato di cancellazioni riguardava registrazioni successive al 2004.

La DelCG ha esaminato le campionature nell'ottica della conformità delle misure di assicurazione della qualità prese dal SAP per i dati ISIS con le prescrizioni della legge e dell'ordinanza. Si trattava in particolare delle procedure seguenti: il ritmo delle valutazioni globali periodiche di una persona, la prima volta cinque anni dopo il rilevamento della prima comunicazione e in seguito ogni tre anni; la cancellazione, conformemente all'ordinanza, delle registrazioni delle persone che figurano nel sistema da almeno tre anni in qualità di terzi alla prima valutazione globale periodica; infine, la durata di conservazione delle comunicazioni nel sistema, che non deve superare 15 anni.

I casi esaminati dalla DelCG consentono di farsi un'idea del modo in cui il SAP ha seguito le procedure prescritte. Forniscono inoltre indicazioni sul modo in cui il SAP ha valutato le informazioni entranti dal profilo materiale e dal punto di vista della loro importanza per la sicurezza della Svizzera. In tutti i casi comunicati, la cancellazione significa che la persona registrata non è più rilevante per la sicurezza dello Stato o non lo è mai stata. Ci si può da un lato chiedere se il criterio dell'importanza di un'informazione non sia stato stabilito con leggerezza al momento della registrazione. D'altro lato, si può anche esaminare in che misura, se del caso, informazioni supplementari hanno portato a una nuova valutazione, in particolare se queste informazioni indicano esplicitamente che la persona interessata non costituisce una minaccia per la sicurezza della Svizzera.

33

In questo periodo di tempo quasi 50 altre registrazioni sono state cancellate dal settore Controllo della qualità perché il settore Analisi preventiva le aveva rilevate per errore.

6801

2.9.2

Valutazioni globali periodiche prima del 2005

Tutte le persone registrate prima del 2000 dovevano, secondo le regole dell'assicurazione della qualità, essere oggetto di almeno una valutazione globale periodica prima della fine del 2005. Una persona registrata nel 1996 doveva per esempio essere controllata nel 2001 e nel 2004.

Negli estratti integrali comunicati alla DelCG, solo poco più della metà dei casi registrati in ISIS prima del 2000 presentano un campo che indica un controllo nel periodo compreso tra l'inizio del 2000 e la fine del 2004. Si può quindi dedurre che negli altri casi la valutazione globale periodica non sia stata effettuata come prescritto.

2.9.3

Valutazioni globali periodiche a partire dal 2005

Per nessuna delle persone la cui registrazione era stata cancellata tra l'autunno 2008 e la fine del 2009 la DelCG ha trovato, nell'estratto integrale, indicazioni che esse sono state oggetto di una valutazione globale periodica dopo la migrazione in ISIS-NT. Era stato tuttavia prescritto un controllo tra l'inizio del 2005 e l'autunno del 2008, almeno per i casi più vecchi che dovevano essere valutati entro un intervallo di tre anni al massimo.

Negli estratti integrali di tutte le persone annunciate come cancellate, si trovava invece un campo che indicava il 31 dicembre 2004 come data dell'ultima valutazione globale periodica. Questa data è tuttavia in contraddizione con un'informazione del SAP del 2006, secondo la quale tutti i dati ISIS erano stati trasferiti alla fine del 2004 senza essere stati oggetti di un controllo preliminare (cfr. n. 2.3).

La DelCG ha inoltre osservato che il campo in questione non figurava in un estratto richiesto dalla Delegazione l'11 marzo 2008 per il controllo relativo ai due membri del Gran Consiglio del Cantone di Basilea Città. L'estratto integrale seguente, relativo a uno di questi due deputati e allestito dal SAP prima della sua cancellazione conteneva l'informazione che un controllo era stato effettuato il 31 dicembre 2004.

Se ne deduce che il visto del controllo di fine 2004 è stato integrato nei dati della persona interessata successivamente nel corso del 2008. Questa modifica di data non può tuttavia essere stata fatta correttamente da parte del Controllo della qualità e fa sospettare che la stessa procedura sia stata applicata anche agli altri casi comunicati, in altre parole che la data del 31 dicembre 2004 sia stata rilevata successivamente come giorno dell'ultimo controllo.

Nel periodo osservato dalla DelCG il SAP ha proceduto a 360 cancellazioni all'anno. In questo periodo il SAP ha concentrato i suoi controlli e le cancellazioni sulle persone che corrispondevano al mandato di cancellazione della DelCG. I cittadini stranieri domiciliati in Svizzera, che rappresentavano circa il 90 per cento dei casi registrati in ISIS, sono stati cancellati dal sistema in misura limitata (5 % delle cancellazioni).

Le prescrizioni legali prevedono una valutazione globale periodica dopo cinque anni e in seguito ogni tre anni. Di conseguenza, il Controllo della qualità dovrebbe controllare ogni anno tra un quinto e un terzo di tutte le registrazioni. Con un effettivo ISIS di 116 000 persone rilevanti per la protezione dello Stato e di 66 000 terzi, questo significa tra 36 000 e 60 000 controlli l'anno.

6802

Con 360 cancellazioni l'anno, il SAP raggiunge nella migliore delle ipotesi un tasso di cancellazione annuale dell'1 per cento. Nel 2006 il SAP aveva riferito alla DelCG che nell'ambito della valutazione globale periodica bisognava aspettarsi la cancellazione di un terzo delle registrazioni controllate. Secondo queste cifre, o il SAP non ha effettuato un numero sufficiente di controlli o l'ha fatto in modo troppo superficiale.

2.9.4

Rispetto della durata massima di conservazione

ISIS è stato messo in servizio nel 1994 e di conseguenza le prime comunicazioni hanno raggiunto la durata massima di conservazione (15 anni) nel 2009. Se la registrazione si basa su una sola comunicazione, la persona interessata non deve rimanere registrata in ISIS dopo la fine del periodo di conservazione prescritto. Diversi casi esaminati dalla DelCG soddisfano questa condizione. In alcuni casi il SAP non è riuscito a rispettare il termine di tre mesi entro il quale deve essere effettuata la cancellazione alla scadenza della durata di conservazione.

Secondo le regole, i terzi possono rimanere registrati in quanto tali al più tardi fino alla prima valutazione globale, vale a dire per una durata massima di cinque anni. In diversi casi, la cancellazione è stata tuttavia effettuata parecchi anni o addirittura decenni dopo la registrazione in qualità di terzi.

2.9.5

Valutazione della rilevanza per la protezione dello Stato

La LMSI autorizza di principio solo il trattamento delle informazioni necessarie per l'adempimento della missione di protezione dello Stato (art. 15 cpv. 1 LMSI). Questa disposizione implica una valutazione delle informazioni prima della loro classificazione in ISIS. Nella prassi capita che le informazioni raccolte si rivelino in seguito inesatte o prive d'interesse per la protezione della sicurezza della Svizzera. In questo caso la valutazione globale periodica successiva deve comportare la cancellazione delle informazioni in questione o addirittura alla cancellazione della registrazione della persona interessata.

Indubbiamente è intenzione del legislatore che una persona non figuri più in ISIS dopo la comunicazione del suo decesso o del suo ritiro da un gruppo estremista. Nei casi comunicati dal SAP si trovano tuttavia oltre una decina di esempi di persone che sono rimaste registrate per diversi anni dopo che il loro decesso era stato debitamente annotato nel sistema. In tre casi, la cancellazione è stata effettuata una decina d'anni dopo il decesso. Uno di questi casi è emblematico perché non solo il defunto era stato dimenticato in ISIS, ma due controlli successivi hanno confermato l'importanza della persona in questione per la protezione dello Stato.

In altri casi, la classificazione di una comunicazione che specificava in modo esplicito che una persona era uscita da un gruppo estremista o che non era più attiva in quel gruppo non ha comportato la cancellazione immediata della registrazione in ISIS. I casi esaminati dalla Delegazione danno l'impressione che, di fronte a una nuova comunicazione concernente una persona già registrata, il SAP deve di principio rilevare le informazioni supplementari senza far valutare la comunicazione. Sembra che si partisse dal presupposto che i controlli necessari sarebbero stati recuperati in 6803

occasione della successiva valutazione globale periodica. Nel caso di una comunicazione che segnalava l'uscita da un gruppo, si è dovuto attendere due controlli prima che il SAP riconoscesse che la persona in questione non costituiva più una minaccia per la sicurezza della Svizzera e cancellasse la registrazione, ben otto anni dopo la comunicazione a discarico.

Molte registrazioni sono state effettuate a seguito di richieste provenienti dall'estero.

La registrazione veniva effettuata anche quando la richiesta non era motivata con informazioni supplementari sulla persona e il SAP stesso non poteva aggiungere informazioni relative alla protezione dello Stato all'attenzione del servizio richiedente. Anche quando le informazioni ottenute dai Cantoni specificavano esplicitamente che la persona non era rilevante per la protezione dello Stato, le informazioni a discarico sono state rilevate in ISIS, senza valutare l'importanza della persona per la sicurezza dello Stato e quindi senza possibilità di cancellazione. Con questo genere di prassi, è facile immaginarsi come una persona integra possa diventare rilevante per la protezione dello Stato attraverso lo scambio internazionale di informazioni tra i relativi servizi.

In molti casi, gli elenchi di persone allestiti dai Cantoni su mandato del SAP hanno dato luogo a una registrazione in ISIS. Con questi elenchi, gli organi cantonali di protezione dello Stato hanno per esempio comunicato al SAP, nell'ambito di un mandato concreto, procedure, persone o istituzioni che avevano una relazione più o meno vicina ­ o lontana ­ con l'oggetto del mandato. Diversi esempi mostrano come tutte le persone che figurano su un elenco sono state registrate in ISIS-NT, senza tener conto delle informazioni dettagliate disponibili. Anche nei casi in cui il Cantone forniva informazioni particolarmente esaustive e spesso anche molto differenziate, la prassi del SAP in materia di rilevamento ha avuto come conseguenza che persone che erano state designate esplicitamente come inoffensive o non più attive del tutto sono state oggetto di una registrazione in ISIS-NT.

In molti casi, la DelCG ha constatato che le persone all'origine di una manifestazione autorizzata e pacifica sono state registrate come terzi. In alcuni casi, il titolare dell'autorizzazione di manifestare è addirittura stato registrato come persona che rivestiva una propria rilevanza per la protezione dello Stato, mentre le informazioni disponibili attestavano che la persona interessata non era membro delle organizzazioni o dei gruppi violenti che erano presenti alla manifestazione o che avevano scopi politici analoghi.

Nella maggioranza dei casi esaminati, la DelCG ha constatato che il livello d'informazione non era fondamentalmente diverso tra il momento del rilevamento e quello della cancellazione. Ha osservato che non si era aggiunta nessuna nuova informazione o che le informazioni nuove presentavano il più delle volte una debole pertinenza per la valutazione della rilevanza della persona per la protezione dello Stato.

Secondo la DelCG, in molti casi il SAP avrebbe potuto semplicemente evitare la registrazione mediante un esame più minuzioso della prima comunicazione.

2.9.6

Il caso A. L.

Nel 2008 A. L. ha presentato una richiesta d'informazione all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT). A causa di tale richiesta, il SAP ha sottoposto i dati di A. L. a una valutazione globale (anticipata) e ha cancella6804

to la sua registrazione il 13 maggio 2009. Il SAP ha comunicato la cancellazione alla DelCG.

Dai documenti relativi risulta che, nell'aprile 1998, il servizio informazioni di un Paese vicino della Svizzera ha chiesto informazioni su due persone nordafricane che potevano appartenere a gruppi islamici estremisti e avere avuto contatti in Svizzera.

Nelle inchieste estere figuravano in particolare anche numeri di telefono svizzeri.

Uno di questi numeri è risultato essere il numero di telefono di A. L. e di suo marito.

Il cantone di Basilea Città ha di conseguenza ricevuto il mandato di allestire un rapporto su A. L.

Il rapporto del 23 giugno 1998 concludeva che A. L. era apparsa ripetutamente come portavoce di gruppi marginali e che le sue attività l'avevano indubbiamente messa in contatto con stranieri di origine islamica. Detto questo, il rapporto precisava che A. L. era una persona buona e generosa, senza la benché minima inclinazione criminale. Infine, aggiungeva che A. L. e suo marito vivevano una relazione molto libera: senza nessuna difficoltà stavano spesso lontani l'uno dall'altra per periodi prolungati e ognuno di loro aveva la propria attività.

Nel luglio 1998, il servizio estero è stato informato che uno dei numeri telefonici trasmessi per chiarimenti era quello dei coniugi L., che A. L. era conosciuta per il suo impegno a favore di persone di Paesi del terzo mondo, ciò che poteva spiegare un contatto con i sospettati di terrorismo e che infine la Svizzera non disponeva di nessuna informazione relativa alle due persone nordafricane.

Sia il rapporto della protezione dello Stato del Cantone di Basilea Città sia la risposta del servizio estero sono stati classificati in ISIS. In tale occasione, A. L. e suo marito sono stati registrati nel sistema come terzi.

Il 5 settembre 2002, la protezione dello Stato del Cantone di Basilea Città ha allestito, su mandato del SAP, un elenco di persone conosciute come attivisti nelle manifestazioni contro la globalizzazione. A. L. figurava su questa lista. Secondo una nota, il suo inserimento nella lista era dovuto all'arrivo a Basilea di persone che volevano recarsi al Vertice del G8 a Genova il 19 luglio 2001. Nel contesto di questo evento, la lista conteneva inoltre nella colonna «Delitti violenti», la menzione «Denuncia per sommossa e ostacolo allo svolgimento di un atto ufficiale». La DelCG ha appreso da A. L. che questa denuncia non era mai stata notificata all'interessata e che le autorità non vi hanno dato seguito. Il suo inserimento nella lista conteneva inoltre la menzione che a A. L. era stata registrata in ISIS come terzo. A seguito di questo rapporto, il SAP ha modificato lo statuto di A. L. in ISIS, facendola passare da terzo a persona con una propria rilevanza per la protezione dello Stato, precisando nella registrazione che era sospettata di appartenere al «black block».

Un semplice esame superficiale sarebbe bastato per mostrare che A. L. non costituiva una minaccia per la sicurezza interna della Svizzera. La sua storia e la sua età rendevano la sua appartenenza al black block estremamente improbabile, dal momento che i suoi membri erano, secondo la valutazione del SAP, per la maggioranza di sesso maschile e con età media di 20 anni.34 Di fatto, le informazioni del 1998 che negavano qualsiasi importanza di A. L. per la protezione dello Stato avrebbero dovuto frapporsi alla sua registrazione con il 34

Secondo il Rapporto del Consiglio federale del 25 agosto 2004 sull'estremismo l'età media degli attivisti del black block è attorno ai 20 anni e due terzi di essi sono uomini (FF 2004 4425 4457)

6805

sospetto di partecipazione a manifestazioni violente. I rappresentanti del SAP hanno sottolineato più volte che una valutazione corretta della pertinenza dal profilo della protezione dello Stato richiede anche la raccolta di informazioni a discarico.

Come hanno mostrato i chiarimenti della DelCG, il sospetto di appartenenza al black block non risultava da una valutazione delle informazioni che il SAP aveva raccolto su A. L., ma dall'applicazione da parte del settore Analisi preventiva delle direttive relative al rilevamento graduato in ISIS degli attivisti inclini alla violenza, che il SAP aveva adottato il 15 luglio 2002 e che continuavano ad essere applicate.

Le direttive distinguono tra gli attivisti di categoria A, B e C in base al numero di comunicazioni e di denunce legate alla persona e alle indicazioni concernenti azioni violente commesse dalla persona in questione. Il sistema istituito prevede chiaramente che due comunicazioni della sicurezza cantonale sull'arco di quattro anni e una denuncia non verificata per sommossa o ostacolo allo svolgimento di un atto ufficiale adempiono le condizioni per classificare A. L. come attivista di categoria B, con la conseguenza del suo passaggio dallo statuto di terzo a quello di persona con una propria importanza per la protezione dello Stato e la menzione «sospetto black block».

Nella lista degli attivisti del 5 settembre 2002 figurava anche M. H., a carico della quale non è tuttavia stato imputato niente di concreto. Essendo stata controllata dalla polizia, M. H. è stata classificata come attivista A da parte del SAP e di conseguenza rilevata in ISIS come terzo. Il rilevamento seguente è stato effettuato nel gennaio 2005, dopo un nuovo controllo di M. H. da parte della polizia nel corso di una manifestazione. Secondo le direttive del SAP la conseguenza è stata che, come A. L., M. H. è stata registrata in ISIS come persona con una propria rilevanza per la protezione dello Stato e il «sospetto black block». Anche per M. H. l'età rendeva questo sospetto poco plausibile. La registrazione di M. H. è stata cancellata nel maggio 2009 dopo la sua richiesta d'informazioni all'IFPDT.

Nel settembre 2007, la sicurezza del Cantone di Basilea Città ha riferito di un incendio nel centro d'incarcerazione in vista del rinvio coatto di Bässlergut. Il rapporto cita un articolo di stampa nel quale A. L. commenta l'evento dal punto di vista del suo impegno per i detenuti in attesa di espulsione. Solo per questo motivo la comunicazione è stata collegata a A. L. al momento della sua registrazione in ISIS, anche se non vi erano indizi che A. L. avesse a che fare con l'incendio.

Negli atti non vi sono indicazioni che la valutazione globale ­ prescritta per legge ­ della registrazione di A. L. sia mai stata fatta prima della domanda d'informazione.

Il primo controllo avrebbe dovuto essere effettuato al più tardi nel giugno del 2003, il secondo nel giugno del 2006. Anche la registrazione di M. H. non è stata controllata conformemente alle prescrizioni dell'ordinanza. Secondo una corretta applicazione della stessa, la cancellazione della registrazione di M. H. avrebbe dovuto aver luogo al più tardi nel 2007.

Infine, occorre osservare che, quando la DelCG si è informata sulla pericolosità di A.L. in occasione della sua visita nel Cantone di Basilea Città, la risposta è stata che l'interessata non rivestiva alcuna importanza per la protezione dello Stato.

Anche la registrazione del marito di A. L. come terzo è stata cancellata nel maggio 2009, molto probabilmente a seguito della sua richiesta di informazioni. Egli è rimasto registrato in ISIS per 11 anni, ovvero più del doppio del tempo autorizzato legalmente.

6806

Il 5 giugno 2009, il SAP ha scritto una lettera a A. L. per informarla successivamente in base all'articolo 18 capoverso 6 LMSI. Secondo questa disposizione, le persone registrate che hanno depositato una richiesta di informazioni sono informate al più tardi alla scadenza dell'obbligo di conservare i dati, conformemente alla legge federale sulla protezione dei dati (LPD)35, non appena gli interessi legati al mantenimento della sicurezza interna non esigono più il segreto (cfr. n. 4.2). Il SAP si è tuttavia limitato a rendere conto dei dati ISIS di A. L. in forma abbreviata, invece di fornire informazioni complete come esige la LPD.

Il 30 giugno 2009, A. L. e M. H. si sono rivolte alla DelCG per ottenere un diritto d'informazione senza restrizioni agli atti che la protezione dello Stato aveva costituito su di loro. Il 15 giugno 2009, il presidente della DelCG ha risposto loro che la Delegazione non era competente per fornire direttamente informazioni alle persone interessate, ma che poteva per contro esaminare, in occasione della sua ispezione, il modo in cui i dati di A. L. e M. H. erano stati trattati in ISIS. La DelCG ha chiesto e ottenuto il consenso di A. L. e di M. H per la pubblicazione delle presenti constatazioni.

Dal momento che il SAP ha fornito informazioni incomplete secondo l'articolo 8 LPD, la DelCG ritiene che A. L. e M. H possano richiedere dal SIC, che ha ripreso i compiti del SAP il 1° gennaio 2010, una decisione formale secondo l'articolo 5 della legge federale sulla procedura amministrativa (PA)36 in combinato disposto con l'articolo 25 LPD. Le persone interessate possono ricorrere presso il Tribunale amministrativo federale (TAF) contro questa decisione.

2.9.7

Casi di traffico nucleare

Verso la metà degli anni Novanta, il Ministero pubblico della Confederazione ha aperto diverse inchieste per violazione della legge sull'energia nucleare in due casi distinti. Gli atti procedurali sono stati rilevati in ISIS. Le due persone interessate sono decedute nel 1998. Le registrazioni sono state cancellate rispettivamente alla fine del 2008 e a metà 2009, ovvero dieci anni dopo il decesso degli interessati.

Nel primo caso, l'imputato aveva consegnato un recipiente contenente una sostanza radioattiva a un partner commerciale. Aveva in seguito richiesto a questa persona, con una falsa lettera di minaccia di un gruppo estremista straniero, di rinunciare a qualsiasi pretesa finanziaria nei suoi confronti. Le inchieste hanno mostrato che la radioattività del materiale era troppo debole per provocare danni alla salute. L'imputato, che ai tempi aveva più di 70 anni, era stato condannato a una multa e a una pena detentiva sospesa condizionalmente. Non c'erano tuttavia i motivi affinché una minaccia per la sicurezza dello Stato in relazione alla proliferazione nucleare o al terrorismo potesse risultare seriamente fondata.

Gli atti procedurali sono stati classificati in ISIS, compreso un certificato interno del SAP del 29 maggio 2002 che indicava come i documenti fossero «ancora necessari a scopi di prevenzione di polizia». Questo controllo era stato fatto al momento della ripartizione degli atti della polizia federale tra le due nuove unità, ovvero la Polizia giudiziaria federale (PGF) e il SAP. La successiva valutazione globale, effettuata 35 36

Legge federale del 19 giu. 1992 sulla protezione dei dati (LPD; RS 235.1) Legge federale del 20 dic. 1968 sulla procedura amministrativa (PA; RS 172.021)

6807

l'11 marzo 2003, aveva confermato l'importanza della persona interessata per la protezione dello Stato, circa cinque anni dopo il suo decesso.

L'altro caso, che risale al settembre 1993, aveva fatto più scalpore: il Ministero pubblico della Confederazione aveva aperto un'inchiesta giudiziaria contro una persona che aveva depositato circa 13 kg di uranio debolmente radioattivo sull'area di servizio autostradale di Kemptthal e aveva nel contempo avvertito la polizia cantonale zurighese in forma anonima. In precedenza, essa aveva chiesto consiglio al capo sostituto di stato maggiore del Servizio informazioni e aveva messo a punto la procedura con lui.37 I relativi documenti del Ministero pubblico della Confederazione sono stati rilevati in ISIS a scopo di protezione dello Stato. Quando, nel 1998, la persona in questione è deceduta, è stato registrato in ISIS un rapporto sulla causa della morte. Il SAP ha in seguito rilevato altri rapporti di diverse fonti pubbliche sulle relazioni della persona con il regime dell'apartheid in Sudafrica. Uno di questi rapporti menzionava anche i contatti con il Sudafrica dell'ex capo sostituto di stato maggiore del Servizio informazioni, ciò che ha comportato la sua registrazione in ISIS in qualità di terzo.

2.9.8

Lista di estremisti di destra

Nel settembre 2000, il servizio di protezione dello Stato di un Cantone della Svizzera orientale ha inviato al SAP un rapporto sull'estremismo di destra a livello locale.

In esso figuravano 16 persone che si erano messe in evidenza in un modo o nell'altro in relazione ad attività di estrema destra. Si andava dal leader che aveva intensi contatti con altre personalità con le stesse idee in altri Cantoni alla persona che, al momento dell'arresto per guida in stato di ebrietà, aveva intonato canti di estrema destra e offeso gli stranieri. Un'altra persona non si era più messa in evidenza dopo un controllo d'identità che risaliva al 1993, sempre secondo il rapporto.

Il SAP ha registrato in ISIS tutte le persone menzionate nel rapporto, anche se il rapporto concludeva chiaramente nella sua valutazione globale che non esisteva più una scena locale di skinhead e che non si prevedeva un peggioramento della situazione. Alla fine del 2008, il SAP ha cancellato le registrazioni per la metà delle persone menzionate nel rapporto. In nessuno dei casi si è aggiunta una nuova informazione negli anni scorsi e la valutazione globale periodica prescritta nel 2005 non è stata effettuata.

2.9.9

Associazioni islamiche

Nel maggio 2000, il servizio di protezione dello Stato di un Cantone romando ha allestito un rapporto concernente un centro islamico situato sul suo territorio. I membri dirigenti del centro menzionato nel rapporto sono stati rilevati in ISIS in qualità di terzi. In un rapporto complessivo sulle istituzioni islamiche realizzato nel novembre 2004 su mandato del SAP, una delle persone è nuovamente citata, anche se dal rapporto risulta chiaramente che non può esserle imputato niente. Nel 2007, questa persona figura in un nuovo rapporto inviato al SAP. Il documento analizzava 37

Rapporto della DelCG del 12 nov. 1999, Relazioni fra la Svizzera e il Sudafrica: ruolo dei Servizi d'informazione svizzeri (FF 2000 479 497).

6808

la corrente religiosa alla quale apparteneva il centro in questione e concludeva che nessuno dei fedeli di questo gruppo era conosciuto per attività estremiste. Anche questa informazione è stata rilevata dal SAP. La registrazione della persona in questione è stata cancellata nel novembre 2009.

In un altro caso risalente al marzo 2004, la sicurezza cantonale sorvegliava la riunione di un'organizzazione che figurava sulla lista di osservazione. In questo contesto, i veicoli parcheggiati nella zona della riunione, dove si trovavano una moschea e un centro islamico, sono stati controllati. Sono stati comunicati al SAP i detentori di veicoli che, secondo il rapporto del Cantone, erano parcheggiati nelle vicinanze del luogo della riunione e potevano corrispondere al profilo dei partecipanti. Per una delle persone, registrata in qualità di terzo, il Cantone ha trasmesso una nuova comunicazione nel febbraio 2006. Questa volta la persona era descritta come un membro del comitato di un'associazione islamica e il rapporto precisava che i rappresentanti del comitato erano conosciuti come personalità rispettabili e non potevano essere messe in relazione con un movimento estremista. La persona è tuttavia rimasta in ISIS e la sua registrazione è stata cancellata solo nell'agosto 2009.

2.9.10

Controllo delle fotografie dei passaporti

Nell'ambito del programma di ricerca preventivo fondato sul controllo delle fotografie dei passaporti, i titolari di un passaporto di una serie di Stati vengono registrati al momento del loro passaggio da determinati posti di frontiera.

Qui di seguito viene descritto il caso di un cittadino di uno Stato nordafricano che, nel 2000, è stato registrato in ISIS a seguito di uno di questi controlli38. Altre entrate dello stesso tipo sono seguite nel 2001 e 2002. In seguito la persona interessata, domiciliata in Svizzera e coniugata con una cittadina svizzera, ha depositato una domanda di naturalizzazione. Come risulta dal parere rilevato in ISIS nel settembre 2003, il SAP non aveva obiezioni.

Secondo le informazioni rilevate in ISIS, oltre ad essere stata valutata dal Controllo della qualità, la persona in questione è stata anche naturalizzata. Tuttavia è rimasta registrata in ISIS fino al marzo 2009 non come terzo, come avrebbe lasciato supporre la registrazione iniziale a seguito di un controllo della fotografia del passaporto, ma come persona con una propria rilevanza per la protezione dello Stato.

Un altro straniero domiciliato in un Cantone limitrofo gestiva un affare commerciale appena al di là della frontiera. Anche la sua registrazione in ISIS è stata effettuata a seguito di un controllo della fotografia del passaporto. Tre passaggi di frontiera presumibilmente per recarsi nel Paese d'origine nordafricano sono stati registrati in ISIS tra l'agosto 1998 e l'agosto 1999, mentre i tragitti quotidiani della persona interessata per attraversare la frontiera per recarsi al lavoro non sono stati oggetto di nessuna vigilanza.

38

Dal punto di vista della DelCG, la registrazione di una persona per il solo fatto che è stata controllata la fotografia sul suo passaporto è contraria alle disposizioni della LMSI e della sua ordinanza di esecuzione (cfr. n. 6.3).

6809

2.9.11

Contatti con l'entourage di «Carlos»

Nel 1995, i servizi di protezione dello Stato hanno interrogato sistematicamente i cittadini svizzeri che avevano avuto contatti con persone sulle quali il Ministero pubblico della Confederazione stava investigando a causa di un presunto sostegno a I. R. Sanchez («Carlos»), terrorista ricercato a livello internazionale. Diverse persone interrogate sono state rilevate in ISIS come persone con una propria rilevanza per la protezione dello Stato.

Il Ministero pubblico della Confederazione ha sospeso la procedura relativa al caso «Carlos» il 20 giugno 2000 per mancanza di prove.39 Ciò nonostante, quattro persone interrogate non sono state cancellate da ISIS in occasione della valutazione globale periodica del dicembre 2001. Il controllo prescritto nel 2004 non ha evidentemente avuto luogo. Si è dovuto attendere il febbraio 2009 affinché il Controllo della qualità del SAP cancellasse le quattro registrazioni.

2.10

Risultati dei controlli effettuati nell'ambito della vigilanza del DDPS (2010)

Dopo il trasferimento dell'obbligo di vigilanza del SAP al DDPS all'inizio del 2009, il capo del DDPS ha ordinato due inchieste interne su ISIS-NT (cfr. n. 2.7). Le ispezioni sono state assicurate dalla nuova vigilanza sui servizi d'informazione del DDPS (Vigilanza SI) che ha ripreso il compito di vigilanza del SAP dall'Ispettorato del DFGP all'inizio del 2009.

Il 24 marzo 2010, la Vigilanza SI ha presentato alla DelCG i risultati delle sue ispezioni concernenti la legalità e l'utilità di ISIS. Il rapporto d'ispezione del 22 febbraio 2010 sulla legalità del trattamento dei dati in ISIS-NT mostra che le incoerenze nell'assicurazione della qualità evidenziate dalla DelCG nel suo lavoro di analisi delle cancellazioni ISIS che le erano state comunicate, erano soltanto la punta dell'iceberg. Il rapporto della Vigilanza SI è giunto alla conclusione che, su alcuni punti essenziali, la gestione della banca dati Protezione dello Stato di ISIS-NT non adempiva le disposizioni della LMSI.40. Sempre secondo il rapporto, dal momento che il Controllo della qualità non era in grado di svolgere il suo compito in tempo utile e non riusciva a recuperare il ritardo nel trattamento dei casi, non era possibile garantire una qualità dei dati in grado di soddisfare le prescrizioni legali.

Il rapporto evidenziava che ISIS conteneva circa 16 000 comunicazioni non ancora controllate dal loro rilevamento. La valutazione globale periodica prescritta era pendente per 76 000 persone registrate nel vecchio sistema ISIS, ossia prima del 2005. Il ritardo nelle valutazioni globali periodiche per il periodo successivo alla migrazione in ISIS-NT concerneva ulteriori 40 000 persone, come mostra il secondo rapporto d'ispezione.41 39

40

41

Comunicato stampa del 21 giu. 2000 della polizia federale e del Ministero pubblico della Confederazione. Attentati terroristici commessi sotto la direzione di «Carlos» all'inizio degli anni 80: inchieste di polizia giudiziaria sospese.

Rapporto d'ispezione della Vigilanza SI del DDPS del 22 feb. 2010 sull'esame della legalità del trattamento dei dati nel sistema ISIS-NT Protezione dello Stato del SAP, pag. 31 del testo in tedesco (non tradotto).

Rapporto d'ispezione della Vigilanza SI del DDPS sull'analisi dell'applicazione del sistema di dati ISIS del 23 set. 2009, pag. 54 del testo in tedesco (non tradotto).

6810

L'inchiesta rivela che la data dell'ultima valutazione globale era stata fissata in un secondo tempo al 31.12.2004 per tutte le persone i cui dati erano stati trasferiti in ISIS-NT. Come ha scoperto la Vigilanza SI, questa valutazione non è in realtà mai stata fatta. Tale situazione conferma il sospetto della DelCG: la modifica inspiegabile scoperta nei dati di un deputato al Gran Consiglio del Cantone di Basilea Città (cfr. n. 2.9.3) era stata effettuata nell'autunno 2008 per tutte le persone riprese in ISIS-NT.

Il rapporto constata inoltre che il controllo delle entrate dopo il rilevamento dei dati veniva effettuato nella prassi solo mediante campionatura. Per garantire un controllo integrale, il settore Controllo della qualità avrebbe dovuto proseguire passo dopo passo il lavoro del settore Analisi preventiva, il che è stato ritenuto assolutamente impossibile tenuto conto dell'effettivo del personale. Come risulta da una nota esplicativa interna, il settore Controllo della qualità si concentrava essenzialmente sugli aspetti formali al momento del controllo delle entrate. Anche se prescritto per legge, l'esame della legalità delle informazioni rilevate non costituiva evidentemente una preoccupazione prioritaria dell'attività di controllo.

Il rapporto della Vigilanza VI critica anche la prassi adottata dal SAP, che consisteva nel far passare i terzi nella categoria delle persone rilevanti per la protezione dello Stato quando erano menzionati in più di due comunicazioni. Secondo la Vigilanza SI, questa prassi è arbitraria e non corrisponde al senso e allo spirito della LMSI, perché un sospetto di minaccia per lo Stato fondato quasi automaticamente su una regola puramente matematica non può sostituire una valutazione materiale. Un'istituzione citata tre volte in diversi contesti (per es. per precisare che vi lavorano diverse persone) diventa automaticamente rilevante per la sicurezza dello Stato.

Questa prassi spiega anche l'aumento esponenziale delle istituzioni registrate (oltre 10 000), mentre il rapporto attesta 77 organizzazioni sulla lista di osservazione.

Secondo il rapporto, vi sono state lacune nell'applicazione delle prescrizioni legali in ISIS-NT perché, nel corso del progetto, le esigenze legali non sono mai state analizzate nell'ottica di un'esecuzione corretta nel sistema ISIS-NT stesso e nella relativa organizzazione e procedura. Il fabbisogno di risorse, sia quantitativo sia qualitativo, necessario per il trattamento dei dati in tempo utile e conforme alle esigenze legali non è mai stati stabilito. Il rapporto precisa che la proposta al Consiglio federale concernente la modifica dell'ordinanza ISIS del 30 giugno 2004 menziona l'onere supplementare di lavoro per il settore Controllo della qualità dovuto all'introduzione del nuovo sistema ISIS-NT, ma precisa che i posti supplementari necessari non sono mai stati decisi.42 Il rapporto sottolinea che le direttive concernenti il lavoro di trattamento dei dati del settore Analisi preventiva sono state adeguate alle nuove condizioni quadro solo nel 2008, vale a dire tre anni dopo l'introduzione di ISIS-NT. Nell'ambito del progetto i collaboratori del settore Controllo della qualità non hanno seguito nessuna formazione sulle prescrizioni legali. Una sensibilizzazione sui limiti dell'articolo 3 LMSI ha avuto luogo solo a seguito della richiesta della CdG-BS alla DelCG. Inoltre, come rivelato da un sondaggio presso i collaboratori del settore Analisi e dell'organo di direzione gli utenti delle informazioni ISIS non conoscevano a sufficienza i criteri e 42

Su proposta del 16 giu. 2004 del Consiglio federale , il DFGP si è limitato a constatare che erano necessarie risorse di personale supplementari per il rilevamento e il trattamento dei dati in ISIS-NT. Il fabbisogno supplementare, non ancora quantificabile, verrebbe compensato all'interno del dipartimento.

6811

il regolamento utilizzati dai settori Analisi preventiva e Controllo della qualità per valutare le informazioni. I capi settore dell'organo di direzione attribuivano i mandati di raccolta di informazioni e dovevano poter valutare la loro legalità.

La Vigilanza SI contraddice nel suo rapporto la dichiarazione generale del SAP secondo cui ISIS non è un «registro di sospetti», ma una banca dati per documentare l'attività svolta dal SAP per la protezione dello Stato. Il SAP aveva utilizzato la stessa espressione nei confronti della DelCG e, secondo il rapporto della Vigilanza SI, anche nell'ambito di una seduta informativa pubblica su ISIS il 23 ottobre 2009.

Anche se la banca dati Amministrazione ISIS02 e la banca dati ISIS06, nella quale sono registrate le persone che sono state oggetto di un controllo di sicurezza, perseguono solo uno scopo amministrativo, la generalizzazione della dichiarazione del SAP alla banca dati Protezione dello Stato ISIS01 minimizza i fatti, relativizza le carenze dei controlli di qualità e suggerisce infine che chiunque può figurare nella banca dati. Il rapporto sottolinea al contrario che la banca dati ISIS01 è un registro di sospetti e che occorre di conseguenza registrarvi solo le persone e le istituzioni concretamente sospettate di svolgere attività che minacciano la sicurezza dello Stato.

Il rapporto della Vigilanza SI ha inoltre analizzato il grado di realizzazione degli obiettivi iniziali del progetto ISIS-NT. Il progetto del 2003 prevedeva un rilevamento preventivo nel sistema d'informazione elettronico e, su questa base ma con una procedura totalmente distinta, il trattamento operativo dell'informazione. Secondo questa concezione, il rilevamento elettronico immediato di tutte le comunicazioni in entrata al SAP doveva consentire agli utenti della Confederazione e dei Cantoni di accedere immediatamente e ovunque a tutti i documenti del SAP.

Come ha constatato la Vigilanza SI, il progetto iniziale, che prevedeva processi elettronici per tutti i flussi di lavoro, ha dovuto essere abbandonato. La procedura elettronica di attribuzione dei mandati è stata introdotta internamente, ma i formulari su carta hanno dovuto essere conservati perché il sistema non adempiva le esigenze originarie. Dal momento che l'interfaccia elettronica prevista per i contatti con i Cantoni non era ancora stata realizzata, i mandati ai Cantoni venivano impartiti su carta in tutta la Svizzera.

La Vigilanza SI ha constatato un ritardo importante nella realizzazione del modulo dell'Archivio federale svizzero (AFS), che doveva consentire il trasferimento elettronico all'AFS dei dati cancellati. Secondo la Vigilanza SI, i dati cancellati si accumulano attualmente in un «cestino», a cui gli agenti precedentemente autorizzati non hanno più accesso, ma i cui diritti di accesso sono sempre gestiti dal SAP. Alla fine, secondo il rapporto, lo scopo di ISIS-NT di assicurare una gestione elettronica dei dati sistematica e controllata per tutto il ciclo di vita dei dati relativi alla protezione dello Stato, non è stato raggiunto.

Il 24 marzo 2009, la DelCG ha assistito a una presentazione del rapporto dell'altra ispezione che riguardava l'utilità e l'efficacia di ISIS-NT. Il documento contiene un'analisi statistica dei protocolli di utilizzazione di ISIS effettuata dal CSI-DFGP e fornisce informazioni quantitative sul comportamento degli utenti di ISIS-NT.

6812

Da queste cifre risulta che, rispetto al SAP, i Cantoni utilizzano molto poco ISIS-NT.43 All'interno del SAP stesso, il settore Analisi preventiva registra un accesso a ISIS-NT otto volte superiore di quello delle unità che utilizzano il sistema a scopi d'informazione.

Secondo il rapporto, una parte degli accessi al settore Analisi preventiva serve anche ad altri utenti di ISIS che, all'interno del SAP, ricercano informazioni nel sistema e le fanno stampare. La conservazione su carta delle informazioni ISIS da parte di collaboratori del SAP per lo svolgimento del loro lavoro operativo è tuttavia giudicato problematico dal rapporto. In questa forma, i dati escono dal ciclo delle valutazioni globali periodiche, ma possono ancora essere utilizzati all'interno del SAP dopo la loro cancellazione in ISIS-NT.

2.11

Inchieste presso il CSI-DFGP

Il 24 marzo 2010, la DelCG ha svolto un'audizione con il CSI-DFGP, responsabile della messa a punto e della gestione tecnica di ISIS-NT. La DelCG ha interrogato il responsabile del progetto informatico su alcuni aspetti tecnici in relazione al passaggio a ISIS-NT. La Delegazione ha inoltre chiesto le copie di una parte degli scambi di posta elettronica tra il SAP e il CSI-DFGP.

La Delegazione ha scoperto che alcuni dati del vecchio sistema ISIS non erano stati rappresentati correttamente nella struttura di ISIS-NT al momento della migrazione.

In seguito a un errore, alcune informazioni concernenti i controlli effettuati dal settore Controllo della qualità sono andati persi e altre informazioni sono state copiate nel campo dati sbagliato. Il problema è stato discusso per la prima volta nel febbraio 2006 tra il SAP e il CSI-DFGP. Nella misura del possibile, i dati registrati nel campo sbagliato sono stati copiati in quello giusto.

Nell'autunno 2008, il SAP ha deciso di registrare la data della migrazione come data dell'ultima valutazione globale periodica per tutte le persone i cui dati sono stati trasferiti alla fine del 2004. Il 22 ottobre 2008, su mandato del SAP, il CSI-DFGP ha in seguito fissato la data dell'ultima valutazione globale periodica al 31 dicembre 2004 per circa 90 000 persone e terzi registrati in ISIS-NT.44 Nel frattempo allo statuto di valutazione è stato attribuito il numero 1, il che significa che per tutte queste persone era stata effettuata una valutazione globale.

In realtà, i controlli previsti al momento della migrazione in ISIS non sono mai stati effettuati. Un esempio emblematico: se ci si basava sulle informazioni ISIS concernenti un membro del Gran Consiglio di Basilea Città dopo la mutazione, il SAP aveva già effettuato un controllo periodico, mentre il deputato non era in realtà mai stato oggetto del controllo delle entrate dopo il suo rilevamento nell'ottobre 2004.

Il SAP ha in seguito descritto nel suo rapporto del 27 aprile 2009 all'attenzione della DelCG le mutazioni effettuate: in sostanza, prima della ripresa delle valutazioni globali periodiche, il centro di calcolo del DFGP doveva procedere agli adeguamenti 43

44

Gli accessi a ISIS sono ripartiti nel modo seguente: 67,3 % per il SAP, 2,0 % per gli organi di protezione dello Stato dei Cantoni e 30,6 % per il Sevizio specializzato del DDPS incaricato dei controlli di sicurezza relativi alle persone, il quale può effettuare solo consultazioni puntuali per stabilire se una persona figura o no in ISIS.

Posta elettronica del 22 ott. 2008 del capo del progetto informatico al capo della Gestione dell'informazione del SAP (in tedesco).

6813

necessari in ISIS (uniformazione dello statuto dei controlli)45. In questo modo, il SAP ha tuttavia omesso di precisare che questa uniformazione comportava registrazioni sbagliate dal profilo materiale in due campi di dati per migliaia di persone registrate in ISIS.

Il SAP riteneva tuttavia che il fatto di rilevare una data non corretta e di apporre un visto su una valutazione globale che non aveva mai avuto luogo non fosse problematico in sé, dal momento che un utente esperto di ISIS-NT, basandosi sui due altri campi, era in grado di capire che la data del 31 dicembre 2004 si riferiva a un controllo fittizio. In primo luogo il sistema non segnala un collaboratore come responsabile della (non esecuzione) della valutazione globale, ma utilizza nel campo un'abbreviazione immaginaria; in secondo luogo, il contenuto di un altro campo indica che la mutazione non è stata fatta manualmente dal SAP, ma secondo una procedura automatica dal CSI-DFGP.

Il SAP ha giustificato la mutazione in blocco con il fatto che le procedure programmate in ISIS-NT per il calcolo della successiva valutazione globale periodica non avevano dato i risultati sperati per i dati trasferiti in ISIS-NT. La disposizione concernente il calcolo è l'articolo 16 dell'ordinanza ISIS46, la quale prevede una valutazione globale al più tardi cinque anni dopo il rilevamento della prima comunicazione e tre anni dopo l'ultima valutazione globale.

In origine, il sistema calcolava la data dei controlli fondandosi su quella della registrazione di una persona. La prima valutazione globale doveva essere effettuata entro cinque anni, i due controlli successivi rispettivamente dopo otto e undici anni.

I controlli successivi dovevano seguire, se del caso, con un intervallo di tre anni.

Questo metodo di calcolo si è tuttavia rivelato problematico quando i termini prescritti dall'ordinanza non potevano essere rispettati. Se per esempio i dati di una persona erano stati oggetto di una valutazione globale periodica nel 2004, la valutazione successiva doveva aver luogo nel 2007. Se, a causa dei ritardi accumulati, il settore Controllo della qualità non poteva effettuare la valutazione per esempio prima del 2009, la procedura automatizzata del sistema fissava già la prossima scadenza nel 2010. Evidentemente non era questo lo scopo perseguito, ma la procedura prevista dall'ordinanza non era stata concepita per non essere rispettata.

Come ha scoperto la DelCG negli scambi di posta elettronica tra i due organi, il SAP aveva incaricato il CSI-DFGP nel novembre 2008 di modificare in ISIS-NT il meccanismo che calcolava la data della successiva valutazione globale periodica. La data dei controlli successivi non doveva più essere calcolata partendo dalla data di registrazione della persona interessata, ma in base alla data dell'ultima valutazione globale.

Dal momento che, in base alla vecchia procedura,la data della valutazione globale si fondava su quella della registrazione, il sistema non teneva conto delle informazioni concernenti il momento del controllo precedente. La nuova procedura esigeva per contro che fosse rilevata la data dell'ultimo controllo. Fissando la data dell'ultima

45 46

Rapporto del SAP del 27 apr. 2009 sul trattamento dei dati in ISIS-NT, pag. 2 del testo in tedesco (non tradotto).

Il 1° gennaio 2010 il Consiglio federale ha abrogato l'ordinanza ISIS del 30 nov. 2001.

Le disposizioni dell'articolo 16 dell'ordinanza ISIS sono state riprese nell'articolo 32 dell'ordinanza del 4 dic. 2009 sui sistemi d'informazione del Servizio delle attività informative della Confederazione (OSI-SIC; RS 121.2).

6814

valutazione al 31 dicembre 2004, la mutazione ha permesso di istituire una nuova base di dati ­ fittizia ­ per il calcolo dei termini.

Con il sistema di calcolo originale, la data della successiva valutazione rimaneva sempre nei termini previsti dall'ordinanza. La nuova formula di calcolo richiesta dal SAP forniva risultati corretti solo nella misura in cui il controllo precedente era stato effettuato entro i termini prescritti. Al contrario, se il controllo precedente non era stato effettuato entro i termini, la nuova formula calcolava automaticamente per la prossima valutazione globale periodica una data che includeva il ritardo. Nel contesto dei «ritardi cronici del Controllo della qualità nella valutazione periodica»47, la proposta del SAP ha fatto sì che, per decine di migliaia di persone l'inosservanza di un termine di controllo comportava di fatto il mancato rispetto del termine di controllo seguente.

Quando il CSI-DFGP ha formulato riserve nei confronti del SAP sulla legalità del sistema di calcolo proposto e ha richiesto una conferma scritta attestante che il mandato di programmazione non era contrario alle prescrizioni legali, la reazione del SAP è oscillata tra irritazione e indignazione. Il SAP ha dichiarato al CSI-DFGP che le modifiche auspicate avevano come unico obiettivo quello «di rappresentare in ISIS il modello di calcolo previsto esplicitamente nell'ordinanza»48 e che il mandato non dissimulava in alcun modo le pendenze del Controllo della qualità perché questi casi pendenti, così affermava, erano noti alla DelCG. Il SAP aggiungeva che se il CSI-DFGP persisteva nel pretendere una conferma scritta della legalità del mandato, il capo della divisione Gestione dell'informazione del SAP «avrebbe richiesto per scritto i motivi di un simile atto di sfiducia»49.

L'interpretazione letterale dell'ordinanza ISIS fatta valere dal SAP implicava tuttavia che intervalli di tempo non conformi all'ordinanza tra i controlli periodici della qualità fossero ammessi. Dal momento che il SAP manteneva la sua posizione, il CSI-DFGP ha proceduto ai lavori di programmazione richiesti. Nel corso dell'audizione del 19 maggio 2009, il SAP ha parlato di un «problema tecnico» che avrebbe comportato «errori di calcolo delle scadenze» e ha assicurato alla DelCG che il problema era stato nel frattempo risolto. Retrospettivamente si constata che l'affermazione del SAP era doppiamente falsa; siccome i termini non erano stati rispettati, la modifica consentiva di prorogare i nuovi termini violando l'ordinanza.

3

La protezione dello Stato nei Cantoni

3.1

La vigilanza della DelCG

I Cantoni attuano la LMSI nel rispetto delle istruzioni emanate dalla Confederazione, ad esempio sulla base della lista di osservazione adottata dal Consiglio federale (art. 11 cpv. 2 LMSI) oppure mediante esecuzione di mandati diretti assegnati dal SAP. Le informazioni che i Cantoni raccolgono in virtù della LMSI sono registrate sotto forma di dati che appartengono alla Confederazione. Quest'ultima finanzia 47 48 49

Posta elettronica del 19 nov. 2008 del capo della divisione Gestione dell'informazione del SAP al capo del progetto informatico (in tedesco).

Posta elettronica del 19 nov. 2008 del capo della divisione Gestione dell'informazione del SAP al capo del progetto informatico (in tedesco).

Posta elettronica del 19 nov. 2008 del capo della divisione Gestione dell'informazione del SAP al capo del progetto informatico (in tedesco).

6815

quindi una parte delle spese sopportate dai Cantoni: nel 2009 questi contributi ammontavano a 8,4 milioni di franchi che finanziavano 84 unità lavorative a tempo pieno.50 L'alta vigilanza della DelCG sulla protezione dello Stato si estende quindi anche all'attuazione della LMSI da parte dei Cantoni. Nel corso della presente legislatura, in un contesto indipendente dalle verifiche relative a ISIS, la DelCG ha quindi esaminato due processi di collaborazione fra la Confederazione e i Cantoni e ha avuto colloqui anche con impiegati cantonali.51 Nell'ambito delle ispezioni concernenti ISIS, la DelCG aveva già deciso nel 2008 di esaminare la protezione dello Stato nel Cantone di Basilea Città e in altri Cantoni.

Con le visite presso i Cantoni, la DelCG intendeva prendere conoscenza del processo di elaborazione dei dati all'interno dei Cantoni, delle piattaforme che gestiscono il passaggio delle informazione dai Cantoni al sistema ISIS e delle modalità con cui le informazioni vengono poi nuovamente utilizzate dai Cantoni.

La DelCG intendeva inoltre conoscere meglio l'attività di vigilanza della autorità cantonali in materia di protezione dello Stato. Essa ha potuto constatare che prima della sua visita i membri dei governi cantonali responsabili di questo settore non avevano mai effettuato una visita presso gli organi preposti a tale compito.

3.2

Visita della DelCG presso il Cantone di Basilea Città

Il 30 gennaio 2009 la DelCG ha effettuato una visita presso la Procura pubblica del Cantone di Basilea Città, responsabile della protezione dello Stato sul piano cantonale. In questo contesto anche il consigliere di Stato responsabile del dipartimento cantonale di giustizia e sicurezza (Justiz- und Sicherheitsdepartement) si è messo a disposizione per fornire le necessarie informazioni. Prima della riorganizzazione dell'amministrazione cantonale, la Procura pubblica sottostava al dipartimento allora denominato dipartimento cantonale di giustizia (Justizdepartement).

La Procura pubblica del Cantone di Basilea Città è integrata, come la Polizia cantonale, nel dipartimento di giustizia e sicurezza ma unicamente dal punto di vista amministrativo. All'interno della Procura pubblica la protezione dello Stato (unità speciale 9 - Fachgruppe 9) fa parte del commissariato criminale (Kriminalkommissariat) ma è separata dalle altre unità speciali del commissariato e sottostà direttamente al capo del commissariato criminale, che opera in veste di procuratore generale.

Nel corso della visita la DelCG è stata informata del fatto che, con una decisione del 18 dicembre 2008, il Gran Consiglio ha approvata a maggioranza risicata una riduzione di un terzo del budget attribuito all'unità speciale 9 e che ciò avrebbe potuto portare alla soppressione di due unità lavorative. Il capo del dipartimento di giustizia e sicurezza ha informato la DelCG dell'intenzione di spiegare al Gran Consiglio le

50 51

Rapporto del Consiglio federale sulla sua gestione nel 2009, del 17 feb. 2010, volume I, p. 107.

Gli accertamenti della DelCG riguardavano l'operato della protezione dello Stato in vista della manifestazione tenutasi a Berna il 6 ott. 2007 e il tentativo di reclutare un informatore.

6816

lacune che i risparmi comporterebbero nell'ambito della sicurezza52, nell'intento di convincere i parlamentari a ritornare sulla decisione.53 Il Cantone di Basilea Città non opera in modo autonomo nell'ambito della protezione dello Stato poiché non ha ancora emanato nessuna legge cantonale in questo ambito. L'attività svolta dall'unità speciale 9 è retta esclusivamente dalla LMSI, che specifica anche i vari ambiti in cui è necessario operare. La conduzione tecnica è assunta dal SAP.

La lista di osservazione (art.11 cpv.2 LMSI) assume la funzione di mandato generale nei confronti degli organi cantonali preposti alla protezione dello Stato, che sono tenuti a fornire di propria iniziativa al SAP le informazioni che giudicano pertinenti.

In base alle indicazioni fornite alla CdG, solo il 40 per cento delle organizzazioni osservate esercitano la propria attività nel Cantone di Basilea Città. Comunque le risorse a disposizione non consentirebbero in alcun modo di tenere sistematicamente sotto osservazione tutti questi gruppi.

Il SAP attribuisce anche alcuni mandati specifici, ma in numero piuttosto limitato.

Nell'ottobre del 2004 vennero eletti nel Gran Consiglio di Basilea Città diversi candidati di origine turca e curda. Un giornale, secondo il SAP vicino al partito del lavoro del Kurdistan (PKK, Partiya Karkerên Kurdistan) e alle organizzazioni successive precisò che si trattava di un successo per la causa curda. In seguito a questo articolo il SAP chiese all'unità speciale 9 un rapporto sulle persone menzionate dal giornale. In un rapporto dell'11 novembre 2004 gli operatori della protezione dello Stato cantonale comunicarono al SAP le informazioni raccolte.

Le istruzioni del SAP concernenti la rete informativa integrata del World Economic Forum (WEF) assegnano a tutti Cantoni un mandato a ricorrenza annuale. Esso richiede la consegna di tutti rapporti di situazione inerenti al WEF e prevede in particolare che vengano annunciati al SAP tutte le richieste e le autorizzazioni concernenti le manifestazioni. In un rapporto dell'unità speciale 9 concernente la manifestazione contro il WEF del 27 gennaio 2007 vengono menzionati anche i nomi di coloro che avevano inoltrato la richiesta di autorizzazione a nome dell'«Anti-WEF-Bündnisses Basel». Questo gruppo era stato costituito in base alle richeste della polizia allo scopo di discutere le modalità della manifestazione ed era composto anche da diversi membri del parlamento cantonale.

La consultazione di ISIS che la DelCG ha effettuato su richiesta della commissione della gestione basilese il rapporto inerente alle elezioni ha condotto alla registrazione di quattro membri del Gran Consiglio come terzi, mentre quello sulla manifestazione del gennaio 2007 ha comportato una ulteriore annotazione solo per uno di loro.

La visita effettuata a Basilea ha mostrato che il Cantone incaricato di presentare rapporti al SAP non ha alcun influsso sulle registrazioni nel sistema ISIS e che gli operatori cantonali non formulano raccomandazioni sull'opportunità di procedere a una registrazione. La decisione viene presa dal SAP in modo autonomo.

52 53

Comunicato stampa «Budgetkürzung bei Staatsschutz verursacht Sicherheitsdefizit» emanato dal dipartimento cantonale di giustizia e sicurezza il 13 mar. 2009.

Il 10 mar. 2009 il Consiglio di Stato di Basilea Città ha deciso di sottoporre al Gran Consiglio una richiesta di credito aggiuntivo nell'intento di revocare la riduzione di mezzi finanziari decisa in precedenza. Il 14 ott. 2009 il Gran Consiglio ha approvato il credito richiesto.

6817

L'unità speciale 9 non possiede una propria banca dati. I rapporti vengono custoditi su un supporto elettronico separato dall'attività della polizia criminale e vengono eliminati al termine di un periodo di cinque anni, come previsto dall'articolo 19 capoverso 1 dell'ordinanza ISIS.54 Di fronte alla DelCG i servizi competenti hanno giudicato che si tratta di una regola accettabile, poiché nella maggior parte dei casi le informazioni dopo cinque anni hanno perso la loro importanza.

Il sistema ISIS viene utilizzato soprattutto a scopo di consultazione ma non può sostituire la schedatura di dati ad opera del Cantone che l'unità speciale 9 considera necessaria per poter lavorare correttamente, evitando di passare una giornata intera a esaminare i dati ISIS per la stesura di un singolo rapporto di situazione. In base a queste considerazioni si può affermare che ISIS può essere utilizzato solo in modo limitato quale strumento per la messa in rete delle informazioni provenienti da vari Cantoni registrate dal SAP. In passato poi, a seguito dei ritardi accumulati dal SAP nelle attività di registrazione, non era possibile fare affidamento sul fatto chi i dati del sistema si presentassero in forma aggiornata. Inoltre, in caso di apertura simultanea di vari rapporti, il sistema raggiunge velocemente uno stato di sovraccarico.

Gli operatori della protezione dello Stato del Cantone di Basilea Città necessitano di una messa in rete delle informazioni provenienti dai vari Cantoni. Il sistema ISIS però non consente di comunicare a un Cantone che, ad esempio in un determinato ambito d'interesse comune, è stata effettuata una nuova registrazione in base alle indicazioni fornite da un altro Cantone. Gli operatori basilesi ritengono che le riunioni semestrali dei responsabili della protezione dello Stato organizzate dal SAP non riescono a soddisfare la necessità di un reciproco scambio d'informazioni.

Il controllo interno della qualità esige che tutti i rapporti del Cantone di Basilea Città concernenti la protezione dello Stato vengano firmati dal capo del commissariato criminale, che esamina verifica l'esistenza di un nesso con la lista di osservazione e la pertinenza di tutte le informazioni con la protezione dello Stato. Ad esempio non devono essere comunicate a Berna eventuali condanne comminate durante la minor età. Gli operatori cantonali ritengono però che la competenza di valutare in modo definitivo la pertinenza delle informazioni fornite spetti sempre al SAP. I responsabili del ministero pubblico e del governo cantonale non esercitano una vigilanza in questo ambito poiché non hanno comunque il diritto di consultare gli atti concernenti la protezione dello Stato senza il consenso del SAP.

Gli operatori della protezione dello Stato possono informare solo in modo generale la commissione della gestione del Gran Consiglio in merito alla propria attività.

Proprio in base a quest'attività di rendiconto la commissione della gestione del Cantone di Basilea Città era venuta a conoscenza del fatto che, a seguito dell'articolo apparso sulla stampa curda, gli operatori della protezione dello Stato si erano occupati anche di membri del Gran Consiglio. Quando la commissione della gestione aveva chiesto di poter consultare le registrazioni, il SAP aveva vietato all'organo responsabile della protezione dello Stato di concedere il permesso, minacciando una denuncia per violazione del segreto d'ufficio.

Secondo gli operatori basilesi la semplice possibilità di accedere ai dossier pertinenti non basta a garantire una vigilanza sistematica sull'attività svolta nell'ambito della 54

In data 1° gen. 2010 il Consiglio federale ha abrogato l'ordinanza ISIS del 30 nov. 2001.

La disposizioni contenute nell'art. 19 dell'ordinanza ISIS sono state riprese nell'art. 33 OSI-SIC.

6818

protezione dello Stato. Per poter accertare che l'elaborazione dei dati venga effettuata nel rispetto delle norme vigenti, le autorità cantonali di vigilanza dovrebbero poter conoscere i mandati attribuiti dal SAP e il contenuto della lista di osservazione confidenziale elaborata dal Consiglio federale. Solo in tal modo le autorità potrebbero valutare il contenuto dei singoli rapporti.

3.3

Visita della DelCG presso il Cantone di Ginevra

Il 30 marzo 2009 la DelCG ha effettuato una visita presso gli organi preposti alla protezione dello Stato del Cantone di Ginevra. L'unità competente è integrata nello stato maggiore della polizia cantonale, all'interno del dipartimento della sicurezza, della polizia e dell'ambiente (Département de la sécurité, de la police et de l'environnement ­ prima del dicembre 2009: Département des institutions). La protezione dello Stato dispone di un grande centro d'informazione e di altre due unità separate: la Brigade de la Sûreté intérieure adempie i compiti derivanti dalla LMSI, mentre la Brigade du renseignement communautaire opera a favore della sicurezza cantonale in ambiti non coperti dalla LMSI. Il settore della protezione dello Stato è condotta dal sottocapo di stato maggiore attività informative che sottostà direttamente al capo di stato maggiore della polizia cantonale.

La protezione della popolazione del Cantone di Ginevra opera in base a mandati concreti attribuiti dal SAP (119 mandati nel 2008). La lista di osservazione fornisce poi lo spunto per ulteriori verifiche autonome che conducono all'invio di altre informazioni al SAP. Questa lista viene percepita come una direttiva molto generale: infatti la Confederazione non vi fissa le priorità e i Cantoni non vengono messi al corrente in modo esplicito delle questioni rilevanti sul piano nazionale.

I rapporti vengono preventivamente letti dal sottocapo del servizio informazioni per verificare che le informazioni siano pertinenti nell'ottica della protezione dello Stato e che il relativo mandato del SAP sia stato effettivamente adempito. Il Consiglio di Stato invece non effettua in questo ambito nessuna opera di vigilanza e senza il consenso del SAP non può neppure consultare gli atti inerenti alla protezione dello Stato che il Cantone invia in virtù delle disposizioni della LMSI.

Il SAP decide se i rapporti vengono caricati sul sistema ISIS e quindi il Cantone presume che le persone cui spetta questa competenza dispongano anche delle conoscenze analitiche e giuridiche necessarie. Quando, come talvolta succede, un dossier informativo viene respinto perché considerato non importante, il Cantone di Ginevra provvede a eliminare le relative informazioni. Il SAP non è però in grado di rispondere ad ogni invio con le proprie osservazioni in merito alla pertinenza e all'importanza del rapporto e al suo inserimento nel sistema ISIS.

In conformità all'articolo 16 capoverso 2 LMSI, la protezione dello Stato ginevrina si è dotata di una banca dati in cui vengono archiviati i rapporti inviati al SAP e le informazioni raccolte di propria iniziativa. In questa banca dati sono registrate alcune centinaia di persone. Secondo gli operatori ginevrini, i cinque anni di conservazione delle informazioni previsti dall'ordinanza non sempre corrispondono alle

6819

necessità del servizio. Sarebbe più opportuno prevedere una eliminazione differenziata in base all'importanza dell'informazione.55 La protezione dello Stato ginevrina utilizza la propria banca dati quale strumento fondamentale della propria attività perché è più completa e più semplice da utilizzare rispetto al sistema ISIS, che viene ritenuto laborioso e meno orientato all'utente.

Dato che la maggioranza dei Cantoni appartiene alla Svizzera tedesca, ISIS comprende molte informazioni che sono solo di scarsa importanza per l'attività di protezione dello Stato nella Svizzera occidentale e in particolare a Ginevra. Inoltre gran parte delle informazioni sono elaborate in lingua tedesca. Il sistema ISIS rappresenta comunque un elemento indispensabile per l'attività concernente la protezione dello Stato nel Cantone di Ginevra.

3.4

Visita della DelCG presso il Cantone di Berna

La DelCG ha effettuato una terza visita il 29 giugno 2009 presso il Comando di polizia del Cantone di Berna. Dal punto di vista organizzativo la protezione cantonale dello Stato è integrata nella divisione criminale (Kriminalabteilung) all'interno dell'unità Spezialfahndung 4 (fino al gennaio 2010: Spezialfahndung 2). Essa adempie unicamente i compiti previsti dalla LMSI e opera in base alle indicazioni concrete fornite dalla lista di osservazione e da singoli mandati del SAP (150 mandati nel 2008).

I documenti elaborati dalla protezione dello Stato che contengono dati personali, vengono sottoposi a un esame di legalità da parte del responsabile dell'unità competente prima di essere trasmessi al SAP. I rapporti che non comprendono dati personali vengono invece inviati direttamente al SAP. Gli operatori cantonali non ricordano casi in cui il SAP abbia rifiutato i rapporti ricevuti, mentre a volte il Cantone è chiamato a fornire informazioni supplementari.

Il SAP è l'unità specialistica di riferimento in questo ambito, possiede maggiori informazioni e può svolgere analisi più approfondite rispetto al servizio cantonale.

Per questo motivo gli operatori cantonali sarebbero interessati a ricevere dal SAP pareri e osservazioni supplementari dopo l'invio dei rapporti. Negli ultimi tempi la protezione dello Stato bernese è però riuscita a ottenere un miglioramento complessivo del flusso d'informazioni proveniente dal SAP.

Il governo e il parlamento bernesi non esercitano una vigilanza regolare sull'operato della protezione dello Stato. Il consigliere di Stato competente e la CdG cantonale si sono sempre limitati a prendere conoscenza del rapporto sulla sicurezza interna elaborato annualmente all'indirizzo del SAP.

55

Prima della revisione operata nel 2004, l'ordinanza ISIS non prevedeva un termine uniforme per l'eliminazione dei dati cantonali concernenti la protezione dello Stato.

I Cantoni potevano conservare i dati fino al momento in cui, in conformità all'articolo 15 capoverso 1 LMSI, il SAP ne comunicava la cancellazione. In base alla proposta di revisione del 16 giu. 2004 elaborata dal DFGP, la scadenza dei 5 anni mirava a evitare che i Cantoni conservino dati e atti che la Confederazione ha già cancellato. Il SAP avrebbe però potuto conseguire lo stesso obiettivo anche comunicando tempestivamente la cancellazione dei dati, in conformità a quanto previsto dalla LMSI, e quindi senza procedere a una revisione dell'articolo 19 dell'ordinanza ISIS.

6820

A seguito dell'integrazione della polizia comunale di Berna nel corpo di polizia cantonale, gli organi preposti alla protezione dello Stato disongono di due collezioni di dati che dovrebbero confluire in una nuova banca dati cantonale apposita. In conformità all'articolo 16 capoverso 2 LMSI, il regolamento di esercizio di questa banca dati deve essere presentato al DDPS per approvazione. Prima di questo passo però il piano cantonale concernente la protezione delle informazioni e dei dati deve essere approvato dall'incaricato cantonale per la protezione dei dati.

Il sistema ISIS è utilizzato soprattutto per le attività di consultazione connesse con i rapporti elaborati dal Cantone di Berna e dagli altri Cantoni, dato che consente agli operatori di tutta la Svizzera di effettuare ricerche concernenti singoli eventi o persone registrate in virtù della LMSI. Ciononostante il sistema viene ritenuto poco orientato all'utente; le funzioni di ricerca disponibili non consentono ad esempio di isolare i dati riguardanti determinate regioni del Cantone. Il sistema ISIS fornisce prestazioni piuttosto limitate anche per la valutazione di interconnessioni sul piano intercantonale. Per questo motivo le informazioni relative alla situazione di altri Cantoni vengono in generale raccolte direttamente presso i relativi servizi cantonali che possono fornire direttamente anche informazioni sui nuovi rapporti trasmessi al SAP e disponibili nel sistema ISIS.

4

Contatti della DelCG con l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT)

4.1

L'IFPDT e il diritto d'accesso indiretto

Secondo l'articolo 18 capoverso 1 LMSI chiunque può chiedere all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) di verificare se nel sistema ISIS vengono trattati dati che lo concernono, in modo conforme alla legge. A seguito della verifica, l'IFPDT comunica al richiedente, con una risposta standard, che per quanto lo concerne non è stato trattato alcun dato in modo non conforme alla legge o che, nel caso di eventuali errori nel trattamento dei dati, ha indirizzato al SIC una raccomandazione volta a correggerli.

In virtù di questa comunicazione il richiedente non sa comunque se il sistema ISIS comprende anche una registrazione che lo concerne; può solo essere certo che l'IFPDT ha esaminato la sua richiesta e che se ha constatato delle irregolarità ha raccomandato di provvedere alla relativa correzione.

L'articolo 18 della LMSI non istituisce quindi un effettivo diritto di accesso ma attribuisce alla persona interessata unicamente il diritto di attivare un controllo amministrativo specifico e indipendente. Contro la comunicazione dell'IFPDT non sono ammessi rimedi giuridici. La persona interessata può però chiedere al presidente della divisione competente del TAF di eseguire un'ulteriore verifica. Il TAF esamina quindi la comunicazione inviata dall'IFPDT oppure il processo di esecuzione della raccomandazione che ha emanato. In questo ambito il TAF ha assunto una funzione che fino al 2006 era di competenza della Commissione federale della protezione dei dati e della trasparenza (CFPDT), istituita con l'entrata in vigore della

6821

legge sulla trasparenza (LTras)56 il 1o giugno 2006 al posto della Commissione federale della protezione dei dati (CFPD).

Nel periodo fra il 1998 e il 2007 l'IFPDT ha trattato complessivamente 185 richieste d'informazione concernenti ISIS, distribuite in modo abbastanza regolare sull'arco dei dieci anni. Nel 2008 sono però state registrate 148 richieste, con un incremento significativo dovuto allo «scandalo delle schedature basilesi»57, mentre nel 2009 le richieste furono 34. Complessivamente nel periodo 2008­2009 le persone che hanno richiesto informazioni sono state 367.

4.2

Eccezioni concernenti il diritto d'accesso indiretto

Il primo incontro informativo fra la DelCG e l'Incaricato federale per la protezione dei dati (IFPD ­ così si chiamava l'IFPDT prima dell'entrata in vigore della legge sulla trasparenza) in merito all'attuazione della LMSI nel settore della protezione dei dati avvenne il 20 agosto 2001. A partire dal 2005 gli incontri hanno assunto un ritmo annuale e ciò ha consentito alla Delegazione di seguire in modo diretto l'evoluzione della prassi relativa al diritto d'accesso disciplinato dall'articolo 18 LMSI.

Il 22 aprile 2005 l'IFPDT ha comunicato alla DelCG che la CFPDT aveva emanato alcune raccomandazioni concernenti l'applicazione del diritto di accesso.58 Esse esortavano l'IFPDT a documentare in modo adeguato i propri controlli, a verificare in modo esaustivo la legalità delle elaborazioni di dati riscontrate e in particolare a controllare se le norme dell'ordinanza erano state applicate in modo conforme al diritto superiore.

Nell'incontro del 22 aprile 2005 l'IFPDT ha spiegato alla DelCG le notevoli difficoltà che ostacolano le verifiche effettuate in virtù del diritto di accesso indiretto: la plausibilità delle informazioni registrate può essere in parte controllata, ma di regola non è possibile controllarne la veridicità in assenza di indicazioni supplementari da parte del richiedente. Quest'ultimo però non può essere interrogato in merito ai fatti registrati in ISIS. Il regime dell'accesso indiretto non può quindi garantire la correzione o cancellazione di dati errati.59 Durante il colloquio del 2005, la DelCG ha appreso che prima del controllo eseguito dall'IFPDT nel 2004 il SAP non applicava sistematicamente l'articolo 18 capoverso 6 LMSI60 in base a cui, alla scadenza del periodo di conservazione dei dati e quindi al momento della loro cancellazione, le persone che hanno presentato una richiesta devono essere informate delle eventuali registrazioni annotate nel sistema ISIS. Solo dopo l'intervento dell'IFPDT, cinque richiedenti hanno ricevuto le informazioni pertinenti nel mese di novembre del 2004. Fino ad oggi l'articolo 18 capoverso 6 è stato complessivamente applicato in 14 casi.

56 57 58 59 60

Legge federale del 17 dic. 2004 sul principio di trasparenza dell'amministrazione (LTras; RS 152.3).

16o rapporto d'attività 2008/2009 dell'IFPDT, p. 44 (testo in lingua francese).

Decisione della CFPD del 15 mar. 2004, pubblicata in: GAAC 70.95.

Rapporto annuale 2005 delle Commissioni della gestione e della DelCG del 20 gen.2006 (FF 2006 3923 3998).

12o rapporto d'attività 2004/2005 dell'IFPD, p. 33 (testo in francese).

6822

Il 28 giugno 2006 l'IFPDT ha fornito informazioni in merito alle raccomandazioni emanate dalla CFPD il 15 febbraio 200661 e concernenti l'applicazione dell'articolo 18 capoverso 3 LMSI. Questa disposizione consente in via eccezionale all'IFPDT di informare adeguatamente il richiedente quando ciò permette di evitare che egli subisca un danno rilevante e irreparabile, senza però pregiudicare la sicurezza interna o esterna del Paese.

Con una decisione del 15 febbraio 2006 la commissione di ricorso ha chiesto all'IFPDT di interpretare l'articolo 18 capoverso 3 LMSI in modo da poter comunicare ai richiedenti concretamente implicati che non sussistono registrazioni a loro carico nel sistema ISIS. In favore dell'abbandono della precedente prassi restrittiva, la CFPD adduceva un'interpretazione della disposizioni in questione che consente di rispettare i principi della Convenzione europea dei diritti dell'uomo (CEDU).62 Il 7 settembre 2006 il direttore della fedpol, unità alla quale apparteneva anche il SAP, ha presentato ricorso a nome del DFGP al Tribunale federale (TF) contro questa decisione di principio. Nei punti in cui è entrato in materia il TF ha però respinto il ricorso integralmente. 63 Inoltre il 28 giugno 2006 la DelCG è venuta a conoscenza di una decisione presa dalla CFPD il 15 febbraio 2006, secondo cui il diritto d'accesso indiretto non soddisfa i requisiti posti dall'articolo 13 CEDU in materia di diritto a un ricorso effettivo.

La CFDP era giunta alla conclusione che il legislatore avrebbe dovuto perfezionare questo rimedio giuridico per eliminare il rischio che, in caso di ricorso, la Corte europea dei diritti dell'uomo consideri la norma in questione incompatibile con la CEDU. L'IFPDT aveva precisato che la Corte europea dei diritti dell'uomo aveva recentemente emanato una sentenza relativa ad un caso verificatosi in Svezia che offriva sostegno alle valutazioni elaborate dalla CFPD in materia di accesso indiretto.64 Nel corso del successivo colloquio del 2 maggio 2007, l'IFPDT aveva comunicato alla DelCG di aver modificato la prassi d'applicazione della norma derogatoria in linea con la decisione presa dalla CFPD. Ai richiedenti è quindi stata offerta la possibilità di inoltrare elementi d'informazione supplementari. In tal modo l'IFPDT può valutare se esistono motivi sufficienti per comunicare ai singoli richiedenti che non sono registrati nel sistema ISIS.

4.3

Ulteriore evoluzione del diritto d'accesso

Il 16 aprile 2008 l'IFPDT e la DelCG hanno discusso la problematica di concretizzare il diritto d'accesso in modo conforme alla CEDU nell'ambito del progetto di legge concernente i sistemi d'informazione di polizia della Confederazione (LSIP)65.

Nel processo di elaborazione della LSIP, il Parlamento, dietro proposta della Com61 62 63 64 65

Decisione notificata il 23 mag. 2006 e pubblicata in: Schweizerischen Zentralblatt für Staats- und Verwaltungsrecht (ZBl) 2007, p. 392 (testo in tedesco).

Convenzione del 4 nov. 1950 per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU; RS 0.101).

Sentenza 1A.188/2006 del TF dell'8 feb. 2007.

Corte europea dei diritti dell'uomo, sentenza del 6 giu. 2006, Segerstedt-Wiberg e altri/Svezia, n. 62332/00.

Legge federale del 13 giu. 2008 sui sistemi d'informazione di polizia della Confederazione (LSIP; RS 361).

6823

missione degli affari giuridici, ha eliminato il diritto di accesso indiretto proposto dal Consiglio federale e ha introdotto una procedura che consente di differire la risposta delle autorità. Secondo l'articolo 8 LSIP, infatti, la risposta può essere differita se interessi preponderanti inerenti a un procedimento penale esigono il mantenimento del segreto riguardo ai dati o se non sono trattati dati concernenti il richiedente. In tal caso il richiedente può chiedere all'IFPDT di procedere a una verifica. Al contrario di quanto previsto dall'articolo 18 LMSI, in questo caso le autorità devono motivare la limitazione del diritto d'accesso con una decisione contro la quale è possibile interporre ricorso in virtù della legge sulla protezione dei dati.

In merito al sistema ISIS, l'IFPDT si era pronunciato fin dall'inizio a favore di un diritto d'accesso diretto secondo quanto previsto dagli articoli 8 e 9 LPD, ma aveva anche affermato che il diritto d'accesso previsto dalla LSIP poteva rappresentare una base sufficiente per istituire una prassi di comunicazione delle informazioni relative ai dati ISIS conforme ai requisiti posti dalla CEDU. L'IFPDT esortava inoltre ad affrontare la tematica nell'ambito dell'imminente revisione LMSI II. Nella decisione del 15 febbraio 2006 la CFPD aveva formulato una richiesta analoga.

Il 31 marzo 2009 l'IFPDT aveva informato nuovamente la DelCG in merito alla prassi che si andava sviluppando nell'applicazione della disposizione derogatoria dell'articolo 18 capoverso 3 LMSI concernente il diritto d'accesso indiretto. A partire dal 2006 l'IFPDT aveva giudicato in singoli casi che sussistevano le premesse necessarie affinché si potesse comunicare ai richiedenti l'assenza di registrazioni personali nel sistema ISIS. Il numero delle richieste, e in particolare quelle provenienti da Basilea Città, è aumentato nel 2008 in seguito alla divulgazione della notizia che alcuni membri del Gran Consiglio del Cantone di Basilea Città erano stati oggetto di registrazioni nel sistema ISIS. In questo caso, dietro proposta del SAP, l'IFPDT ha ritenuto giustificato applicare in modo flessibile la disposizione derogatoria dell'articolo 18 capoverso 3 LMSI e ha comunicato a 45 richiedenti residenti nel Cantone di Basilea Città che non erano registrati nel sistema ISIS. In una mezza dozzina di casi l'IFPDT ha potuto anche informare i richiedenti in modo sommario sulle registrazioni annotate nel sistema ISIS. Successivamente queste informazioni sono state almeno in parte rese pubbliche attraverso i mezzi d'informazione.66 Una parte dei richiedenti si è rivolto al TAF per poter consultare in modo completo i propri dati ISIS, senza però ottenere una risposta positiva. In un caso comunque il TAF è giunta alla conclusione che in base all'articolo 3 capoverso 2 LMSI la registrazione in ISIS di chi aveva inoltrato la richiesta per una manifestazione successivamente autorizzata era da considerare inammissibile.67 Questo caso è stato trasmesso anche alla DelCG nell'ambito della procedura concernente le cancellazioni adottata dal SAP in conformità all'incarico conferitogli dalla Delegazione. La cancellazione di questa registrazione in qualità di terzo è stata poi effettuata il 1o aprile 2009.

In base ai documenti, la DelCG ha potuto accertare che il SAP aveva ricevuto il dossier concernente la richiesta nel maggio del 2008 e quindi, in conformità all'articolo 18 capoverso 5 LMSI, aveva proceduto a una valutazione generale della registrazione in ISIS. Il SAP non ha però cancellato la registrazione, malgrado la DelCG avesse sottolineato, in relazione alla richiesta formulata dalla CdG-BS, la 66 67

Cfr. ad esempio «Neue Fichenaffäre», di Kaspar Surber, WOZ del 7 ago. 2008.

Sentenza non pubblicata del TAF del 18 mar. 2009 (A-5922/2008).

6824

necessità di applicare l'articolo 3 LMSI. Se il richiedente non si fosse appellato al TAF in virtù dell'articolo 18 capoverso 2 LMSI, la registrazione illecita in ISIS non sarebbe stata cancellata.

Nell'ambito di uno scambio di opinioni con la DelCG, l'IFPDT si era chiaramente distanziato dalla posizione assunta dal SAP, secondo cui la LMSI autorizzerebbe le cosiddette «registrazioni positive» che contengono informazioni a discarico della persona interessata. Secondo l'IFPDT questo genere di registrazioni mina il principio fondamentale definito dall'articolo 3 LMSI ed è quindi necessario insistere sul fatto che possono essere registrati e trattati unicamente dati concernenti persone ed eventi importanti dal punto di vista della protezione dello Stato. L'IFPDT ha però ritenuto opportuno valutare se i Cantoni dispongono di istruzioni e di elementi di conduzione sufficienti per individuare le informazioni effettivamente importanti nell'ambito della protezione dello Stato. In questo contesto l'IFPDT è giunto alla conclusione che i Cantoni trasmettono a Berna numerosi rapporti di polizia senza applicare un filtro rigoroso; successivamente poi questi rapporti vengono registrati in ISIS in modo indifferenziato, pur non ottemperando spesso i requisiti di qualità posti dalla politica di protezione dello Stato.

4.4

Aspetti tecnici e giuridici delle banche dati

Il 31 marzo 2009 la DelCG ha discusso con l'IFPDT anche la questione relativa alle diverse categorie di dati che possono essere oggetto di registrazione nelle varie banche dati di ISIS. L'ordinanza stabilisce che il sistema ISIS deve essere suddiviso in varie raccolte dati e che i dati effettivamente inerenti alla protezione dello Stato sono archiviati unicamente nella banca dati ISIS01. La banca dati ISIS02 è invece riservata ai dati concernenti l'amministrazione del SAP, mentre le informazioni personali trattate dal SAP nell'ambito di controlli di sicurezza relativi alle persone vengono registrate nella banca dati ISIS06. Per tutte queste banche dati l'ordinanza prevede sempre il medesimo diritto d'accesso indiretto. In questo contesto la prassi del SAP è conforme all'ordinanza ISIS, ma secondo l'IFPDT le relative disposizioni d'esecuzione non erano comunque conformi alla legge.

In una sentenza del 18 marzo 200968 il TAF aveva pure giudicato problematico che la banca dati del SAP concernente la gestione amministrativa (ISIS02) fosse sottoposta unicamente alle disposizioni concernenti l'accesso indiretto contenute nell'articolo 18 LMSI e ha quindi raccomandato al SAP, nell'ambito della prossima revisione di ISIS, di trattare separatamente questa banca dati in modo da sottoporla al diritto d'accesso diretto previsto dalla legge sulla protezione dei dati (LPD). Nella risposta al TAF dell'8 settembre 2009, il SAP ha accettato in linea di principio questa raccomandazione, precisando però che la separazione potrà essere attuata solo in base al calendario relativo alla pianificazione informatica del nuovo SIC.

In questa sentenza il TAF ha criticato il fatto che il SAP avesse proceduto a registrare il relativo articolo di giornale in ISIS01 anche sotto il nome dell'editore del giornale. Il TAF ritiene che la registrazione in ISIS di un giornale fondata unicamente sulla pubblicazione di un articolo non sia conforme alla prescrizioni vigenti. La sentenza del TAF precisa che dovrebbe essere possibile registrare un articolo di giornale senza fare in modo che il giornale diventi oggetto di una registrazione nella 68

Sentenza non pubblicata del TAF del 18 mar. 2009 (A-5919/2008).

6825

banca dati. In caso contrario si dovrebbe impostare la funzione di ricerca in modo tale da impedire che gli articoli di un determinato giornale possano essere oggetto di una ricerca nella banca dati Protezione dello Stato. Secondo l'IFPDT, il SAP ha accolto questa raccomandazione dichiarandosi disposto ad anonimizzare all'interno del sistema ISIS i nomi dei giornali e di altri mezzi di comunicazione.

Come la DelCG, anche l'IFPDT ha constatato che a partire dalla migrazione verso il sistema ISIS-NT i terzi sono state registrati con una nuova modalità. Nel sistema precedente il nome di terzi poteva essere individuato unicamente all'interno della sintesi di un annuncio e non era quindi ritrovabile attraverso la ricerca di persone registrate. Per facilitare la ricerca mediante inserimento di testi, i nomi dei terzi sono stati contrassegnati con una specifica sequenza di segni («D>»). Quindi nel sistema ISIS-NT anche i terzi vengono registrati come elemento a sé stante e possono quindi essere individuate utilizzando la funzione di ricerca proprio come le persone registrate come soggetti significativi nell'ambito della protezione dello Stato. Per registrare un terzo con un altro statuto è quindi sufficiente modificare la menzione specifica che lo contraddistingue.

Il modello di dati relazionale induce il SAP a sforzarsi di individuare tutti gli elementi di un annuncio e a fare in modo che siano presenti nella struttura della banca dati ISIS-NT. Di conseguenza, secondo l'IFPDT, nel nuovo sistema sarebbero registrati direttamente come terzi anche gli individui che nei rapporti di polizia vengono menzionati solo marginalmente e che di fatto non sono rilevanti nell'ambito della protezione dello Stato.

In base all'esame della prassi seguita dal SAP, l'IFPDT ritiene sussista il rischio che tali terzi possano poi essere considerate rilevanti dal punto di vista della protezione dello Stato a seguito di una seconda comunicazione casuale e indipendentemente dalla qualità della comunicazione medesima. In tal caso una persona verrebbe registrata e considerata pericolosa per la sicurezza della Svizzera sulla base di eventi assolutamente banali che manifestamente non potrebbero essere trattati nell'ambito dell'articolo 3 LMSI. Secondo l'IFPDT é necessario riflettere su come salvaguardare l'efficacia perseguita originariamente dalla legge nel contesto della continua evoluzione delle possibilità tecniche.

5

Accertamenti della DelCG a carattere giuridico

5.1

Controllo cantonale e alta vigilanza

A seguito della richiesta formulata dalla commissione della gestione del Cantone di Basilea Città di esaminare l'ordinamento delle competenze nell'ambito della vigilanza in materia di protezione dello Stato, il 16 aprile 2008 la DelCG ha chiesto al DFGP di elaborare un parere concernente le competenze di controllo e alta vigilanza nel settore della protezione dello Stato (cfr. n. 2.4).

Il 14 luglio 2008 la DelCG ha ricevuto tale rapporto, elaborato dall'UFG il 25 luglio 2008. In base agli accertamenti operati dall'UFG, l'accesso a dati raccolti dalle autorità cantonali in virtù della LMSI necessita sempre di un consenso preventivo da parte del SAP, anche nel caso in cui la richiesta é presentata dall'organo cantonale di vigilanza competente.

6826

L'argomentazione dell'UFG si fonda sull'articolo 23 capoverso 2 OMSI che prevede esplicitamente tale procedura. Questa disposizione poggia a sua volta sull'articolo 17 capoverso 1 LMSI che incarica il Consiglio federale di disciplinare mediante ordinanza la comunicazione di dati a destinatari con funzioni pubbliche residenti in Svizzera. La Confederazione, in base alla competenza esclusiva di cui beneficia nella regolamentazione del settore retto dalla LMSI, può disciplinare anche la comunicazione di dati nell'ambito della relativa vigilanza. Le prerogative cantonali in materia di vigilanza definite dall'articolo 16 capoverso 3 LMSI non vengono eliminate ma unicamente limitate. Gli operatori incaricati dai singoli Cantoni di applicare la LMSI sono soggetti a un rapporto di lavoro di diritto pubblico cantonale e sono quindi sottoposti alla vigilanza cantonale.

Secondo l'UFG, nell'ambito dell'applicazione della LMSI i diritti cantonali in materia di vigilanza sono limitati. In base all'articolo 23 capoverso 1 OMSI gli organi cantonali di controllo verificano che lo svolgimento delle pratiche amministrative corrisponda alle pertinenti disposizioni legali. In particolare è necessario accertare che i dati inerenti alla salvaguardia della sicurezza interna vengano trattati separatamente dalle altre informazioni di polizia (art. 23 cpv.1 OMSI). Il controllo può però anche estendersi al luogo e alle modalità con cui vengono trattate le informazioni e ai mezzi impiegati per la loro raccolta. Un eventuale controllo, da parte degli organi di vigilanza cantonali, incentrato sul contenuto dei dati presuppone invece l'approvazione del SAP.

Secondo l'UFG l'alta vigilanza potrebbe anche essere esercitata dai Parlamenti cantonali o da loro organi, anche se tale possibilità non è menzionata espressamente nella LMSI. L'articolo 47 capoverso 2 della Costituzione federale (Cost.)69 statuisce in particolare che l'autonomia organizzativa dei Cantoni debba essere rispettata nella misura del possibile anche nell'ambito dell'attuazione della legislazione federale.

Il 10 ottobre 2008, dopo aver analizzato il parere elaborato dell'UFG, la DelCG ha informato la Commissione della gestione di Basilea Città delle verifiche in atto e le ha trasmesso una copia del documento. Essa ha inoltre chiesto alla responsabile del DFGP di mettere il parere a disposizione di tutti i consiglieri di Stato responsabili della protezione dello Stato, prima che il SAP fosse trasferito in un altro Dipartimento.70 Su richiesta una copia del parere è stato inviato anche a un docente dell'Università di Basilea incaricato dall'allora Dipartimento di giustizia del Cantone di Basilea Città di esaminare le possibilità esistenti sul piano giuridico per la messa in atto di una vigilanza cantonale sulle attività di protezione dello Stato. La DelCG ha pubblicato nel suo rapporto annuale del 2008 un'ampia sintesi del parere.71 Il 18 dicembre 2008 il Gran Consiglio di Basilea Città ha deciso di ridurre di un terzo i mezzi finanziari assegnati alla protezione dello Stato. Questa decisione è stata

69 70

71

Costituzione federale del 18 apr. 1999 (Cost.; RS 101).

Il 13 gen. 2009 la responsabile del DFGP ha risposto di non avere ritenuto adeguato tale modo di procedere alla luce del fatto che alcune operazioni concernenti il trasferimento del SAP al DDPS non erano ancora state terminate.

Rapporto annuale 2008 delle CDG e della DelCG del 23 gen. 2009 (FF 2009 2141 2626 seg.).

6827

adottata dopo che la Commissione della gestione aveva sollevato il problema della trattazione in ISIS di dati concernenti membri del Gran Consiglio basilese.72 Il 23 dicembre 2008 il Presidente del Governo e responsabile dell'allora Dipartimento di giustizia ha trasmesso al DFGP numerose osservazioni critiche nei confronti del parere dell'UFG del 25 giugno 2008, sostenendo anche che il SAP non ha il diritto di rifiutare a un organo cantonale di vigilanza l'accesso a dati raccolti da servizi appartenenti al Cantone medesimo. Egli ha inoltre chiesto al DFGP di esaminare un progetto di ordinanza cantonale sulla protezione dello Stato.73 Dopo aver ricevuto il parere dell'UFG del 13 marzo 2009 in merito alle proposte formulate dal Governo cantonale, il responsabile del Dipartimento di giustizia e sicurezza del Cantone di Basilea Città ha formato un gruppo di lavoro con l'intento di sondare i margini di manovra esistenti nella legislazione federale per istituire una vigilanza cantonale in materia di protezione dello Stato e di elaborare un nuovo progetto di ordinanza cantonale.74 Il 26 giugno 2009 il responsabile del Dipartimento di giustizia e sicurezza del Cantone di Basilea Città ha trasmesso al capo del DDPS il progetto elaborato dal gruppo di lavoro, invitandolo a pronunciarsi in merito alla compatibilità dell'ordinanza con la legislazione federale. Il 10 agosto 2009 il SAP si è poi rivolto all'UFG per chiarire vari aspetti giuridici relativi al progetto basilese.

L'8 settembre 2009 il Consiglio di Stato del Cantone di Basilea Città ha approvato l'ordinanza cantonale concernente la protezione dello Stato senza però ancora decretarne l'entrata in vigore. Il relativo comunicato stampa spiegava che la verifica richiesta al DDPS non era ancora pervenuta e che l'ordinanza sarebbe entrata in vigore non appena le autorità federali si fossero espresse in modo positivo.75 Il 29 settembre 2009 l'UFG ha incontrato la DelCG per discutere delle verifiche eseguite in materia di vigilanza cantonale sulla protezione dello Stato. Il vicedirettore dell'UFG ha presentato il parere del 13 marzo 2009 e ha fornito spiegazioni in merito al parere dell'UFG del 15 settembre concernente il progetto di ordinanza basilese.

Nel parere l'UFG ha ribadito che l'articolo 23 capoverso 2 LMSI esige l'approvazione del SAP per consentire l'accesso degli organi cantonali di vigilanza ai dati LMSI. Questa disposizione si fonda sull'articolo 17 capoverso 1 LMSI che delega la relativa competenza al Consiglio federale. Contemporaneamente però l'articolo 16 capoverso 3 LMSI salvaguarda esplicitamente i diritti di vigilanza cantonali.

Secondo l'UFG in base all'articolo 23 capoverso 2 LMSI è necessario garantire che le autorità di vigilanza cantonali possano adempiere adeguatamente il loro compito.

Questo articolo però consente anche al SAP di non autorizzare la consultazione dei

72

73 74 75

Il 10 mar. 2009 il Consiglio di Stato di Basilea Città ha deciso di sottoporre al Gran Consiglio una richiesta di credito aggiuntivo che consenta di revocare la decisione di ridurre i mezzi finanziari attribuiti alla protezione dello Stato. Il credito aggiuntivo è stato approvato il 14 ott. 2009.

La DelCG è stata informata sull'evoluzione del progetto di ordinanza nel corso di una visita presso la protezione dello Stato basilese tenutasi il 30 gen. 2009.

Comunicato stampa «Doppelstrategie für eine bessere Kontrolle des Staatsschutzes» emanato il 1 apr. 2009 dal Dipartimento di giustizia e sicurezza del Cantone BS.

Comunicato stampa «Die Regierung verabschiedet die kantonale Staatsschutzverordnung» emanato l'8 sett. 2009 dal Dipartimento di giustizia e sicurezza del Cantone BS.

6828

dati se ciò fosse necessario, ma solo per motivi di sicurezza interna o esterna, senza porre altri ostacoli all'operato delle autorità cantonali.

Le autorità cantonali e in particolare anche gli organi di vigilanza del Parlamento possono quindi accedere ai dati solo con il benestare dei servizi federali competenti.

Il SAP può negare il proprio consenso unicamente per dati specifici e per motivi di sicurezza.

La legislazione attuale consente quindi di trattare i casi in modo assai differenziato.

Le autorità di vigilanza cantonali possono valutare, anche senza accedere a singoli dati particolarmente delicati, se i servizi cantonali operano correttamente e se le procedure sono definite in modo adeguato. Questa verifica non presuppone necessariamente un diritto d'accesso integrale ai dati.

L'UFG ha espresso un giudizio critico sulla commissione di vigilanza prevista dal progetto di ordinanza basilese. Secondo l'UFG è evidente che si intende integrare la commissione nell'organo cantonale preposto alla protezione dello Stato poiché in tal modo essa potrebbe accedere ai relativi dati senza dover chiedere il nullaosta del SAP.

L'UFG ritiene che tale costruzione finirebbe per generare conflitti insanabili con la disposizioni della LMSI. Se la commissione, come risulta dalla descrizione dei compiti prevista, dovesse assumere il ruolo di istanza di controllo, per accedere ai dati LMSI dovrebbe comunque ottenere il nullaosta previsto dall'articolo 23 capoverso 2 OMSI. Se essa dovesse invece agire come elemento del servizio cantonale incaricato di raccogliere le informazioni, ciò entrerebbe in contraddizione con la summenzionata descrizione dei compiti, che prevede unicamente attività di controllo. I membri della commissione inoltre non potrebbero operare senza il vincolo delle istruzioni, poiché sarebbero comunque tenuti a rispettare le prescrizioni del SAP.

All'inizio di ottobre del 2009 il DDPS ha trasmesso al Cantone di Basilea Città il proprio parere negativo.76 Il 26 ottobre 2009, nel corso di un incontro con il capo del DDPS, la DelCG ha però appreso che fra le parti erano in corso ulteriori colloqui e che il capo del DDPS intendeva incontrare il responsabile del competente dipartimento di Basilea Città.

L'incontro ha avuto luogo il 6 novembre 2009 ed è sfociato in un accordo che prevedeva l''elaborazione, nell'ambito della Conferenza cantonale dei direttori di giustizia e polizia, di regole vincolanti per la vigilanza cantonale in materia di protezione dello Stato. Queste regole sono state elaborate dai rappresentanti dei Cantoni e del DDPS in collaborazione con l'UFG.

Esse prevedono che gli organi di vigilanza cantonali vengano informati dei mandati concreti conferiti dalla Confederazione e che possano quindi eseguire le loro verifiche sull'operato dei servizi competenti sulla base di queste indicazioni. Per l'esecuzione dei controlli l'organo cantonale di vigilanza può richiedere l'accesso ai dati inerenti alla protezione dello Stato trattati dal Cantone in virtù dei mandati conferiti dalla Confederazione.

Nei casi concreti in cui l'accesso ai dati viene rifiutato, il Cantone può dapprima ricorrere al DDPS e in seguito eventualmente intentare un'azione al Tribunale federale in conformità all'articolo 120 capoverso 1 lettera b della legge sul Tribunale 76

Comunicato stampa «Kantonale Staatsschutzverordnung: Antwort des Bundes ist eingetroffen» emanato il 2 ott. 2009 dal Dipartimento di giustizia e sicurezza di Basilea Città.

6829

federale (LTF)77. L'8 aprile 2010 la CCDGP ha preso atto e approvato le disposizioni elaborate in questo contesto.

5.2

I limiti posti dall'articolo 3 LMSI

Nella seduta del 30 gennaio 2009 l'UFG ha presentato alla DelCG le valutazioni che ha sviluppato, su mandato dell'DFGP, in merito alla registrazione dei dati di uno dei membri del Gran Consiglio basilese. Nel corso della discussione con il vicedirettore dell'UFG è stato affrontato anche il problema della registrazione in ISIS di informazioni inerenti all'esercizio dei diritti politici e sono in particolare stati sollevati parecchi interrogativi in merito all'interpretazione corretta dei limiti posti dall'articolo 3 LMSI alla trattazione di informazioni. La DelCG ha quindi chiesto al DFGP di elaborare un ulteriore parere in questo ambito. Il documento è stato ultimato il 2 giugno 2009 ed è stato presentato alla DelCG il 29 settembre 2009.78 Secondo l'UFG, l'articolo 3 LMSI non preclude ai servizi di protezione dello Stato di trattare informazioni concernenti le attività politiche e l'esercizio delle libertà di opinione, di associazione e di riunione. Il capoverso 1 però vincola tali attività all'adempimento di condizioni restrittive: i dati in questione possono essere trattati e quindi anche registrati unicamente quando sussiste un fondato sospetto che i diritti politici vengano utilizzati in modo abusivo per la preparazione o l'esecuzione di azioni violente.

Il principio contenuto nell'articolo 3 LMSI viene però relativizzato dalle disposizioni dell'articolo 11 LMSI che si applica quando le persone in questione appartengono a organizzazioni o gruppi inseriti nella lista di osservazione adottata dal Consiglio federale. In questi casi infatti possono essere trattate tutte le informazioni raccolte.

L'articolo 11 capoverso 2 LMSI precisa comunque che le organizzazioni possono essere inserite nella lista di osservazione solo quando è dato il sospetto concreto che mettano in pericolo la sicurezza interna o esterna dello Stato.

In questo contesto, il presupposto necessario per la trattazione di informazioni concernenti le attività politiche di singole persone non è dato da sospetti concreti nei confronti di tali persone, ma dalle possibilità dalla plausibilità dell'ipotesi che tali persone appartengano alle organizzazioni registrate nella lista d'osservazione. Si deve quindi appurare l'esistenza di una relazione tra l'organizzazione e le persone in questione, derivante dall'appartenenza in qualità di membro effettivo, oppure ad esempio dall'elargizione di aiuti di carattere finanziario o logistico.

L'articolo 3 capoverso 2 LMSI precisa i presupposti che devono essere adempiti per una registrazione a carattere personale di informazioni concernenti l'esercizio dei diritti politici. Si tratta di registrazioni che ad esempio vengono effettuate quando nel sistema ISIS la richiesta di autorizzazione per una manifestazione viene associata al nome di una persona registrata. In tal modo l'informazione concernente la manifestazione può essere visualizzata mediante una ricerca di dati fondata sul nome della persona in questione.

L'articolo 3 capoverso 2 LMSI prevede che le informazioni registrate in virtù dell'articolo 3 capoverso 1 LMSI non possano essere oggetto di una registrazione a 77 78

Legge del 17 giu. 2005 sul Tribunale federale (LTF; RS 173.110).

Interpretazione dell'art. 3 cpv.2 LMSI ­ Parere dell'UFG del 2 giu. 2009.

6830

carattere personale nei casi in cui i sospetti relativi a un comportamento punibile non vengano confermati dalle attività osservate. Un'interpretazione letterale conduce a alla regola secondo cui non è ammessa alcuna registrazione relativa all'attività politica di una persona, qualora l'attività osservata non confermi tempestivamente i sospetti di un comportamento perseguibile sul piano penale. Di regola la conferma di un sospetto deve fondarsi su informazioni supplementari che sono oggetto di una registrazione a carattere personale e possono quindi essere integrate a pieno titolo nel processo di verifica.

La possibilità di registrare in ISIS tutte le informazioni concernenti l'esercizio personale di diritti politici, semplicemente in base a un sospetto successivamente non confermato, finirebbe per eliminare qualsiasi differenza di trattamento delle informazioni rispetto ai casi che non beneficiano della protezione dell'articolo 3 LMSI. Questo modo di procedere sarebbe però in contraddizione con la concezione generale della LMSI che, attribuendo grande valore all'esercizio dei diritti politici, ha voluto sottoporre a un regime speciale la trattazione di dati concernenti tale ambito d'attività.

L'UFG ritiene quindi che le informazioni raccolte in virtù dell'articolo 3 capoverso 1 LMSI e che sono state oggetto di una registrazione a carattere personale dovrebbero essere trattate con particolare cautela. Le verifiche effettuate dall'UFG nell'ambito del caso concernente i parlamentari di Basilea Città non hanno però confermato l'esistenza di una tale prassi.

Secondo l'UFG l'attuale testo dell'articolo 3 capoverso 2 LMSI comporta problemi a livello d'applicazione. In caso di abrogazione di tale articolo bisognerebbe attivarsi per garantire che il trattamento di dati registrati in virtù dell'articolo 3 capoverso 1 LMSI venga vincolato a condizioni più severe rispetto a quelle valide per le altre informazioni. Ad esempio l'istituzione di un processo di verifica delle registrazioni a scadenze ravvicinate potrebbe condurre a decisioni tempestive in merito alla conferma dei sospetti iniziali. L'UFG ritiene che si potrebbe anche ipotizzare un inasprimento dei requisiti per la registrazione di nuovi casi secondo l'articolo 3 capoverso 1 LMSI, in modo da evitare una registrazione a carattere personale nei casi in cui i sospetti sono di scarso rilievo.

6

Valutazioni della DelCG

6.1

Criteri dell'alta vigilanza

La DelCG vigila sull'attività di protezione dello Stato e la controlla dal profilo della legalità, dell'adeguatezza e dell'efficacia (art. 52 cpv. 2 LParl)79. Mediante i suoi controlli, essa deve assicurarsi che tutti i dati registrati in ISIS siano trattati conformemente alla legge. Le informazioni devono quindi essere esatte e rilevanti per le attività di protezione della Stato disciplinate dalla legge (art. 15 cpv. 1 LMSI).

I compiti dell'alta vigilanza parlamentare non sono comunque così estesi da includere la valutazione di ogni singola registrazione in ISIS: nella migliore delle ipotesi essi sono esercitati mediante prove di campionatura. La DelCG deve quindi impiegare ulteriori strumenti per valutare con certezza se la qualità dei dati merita la sua fiducia. Elemento essenziale a tale riguardo è il controllo interno di protezione dei 79

Legge federale del 13 dic. 2002 sull'Assemblea federale (LParl; RS 171.10).

6831

dati, che deve funzionare in modo da garantire la qualità e la rilevanza degli stessi secondo l'articolo 15 capoverso 5 LMSI. La DelCG può inoltre verificare se l'organizzazione e i processi impiegati nel trattamento dei dati sono adeguati; in particolare, verifica se essi permettono di ottenere dati qualitativamente conformi alle esigenze della legge.

In definitiva il dipartimento competente e il Consiglio federale sono responsabili del funzionamento dell'attività di protezione dello Stato conforme alla legge. La DelCG controlla quindi anche la regolarità e la frequenza con cui sono impiegati gli strumenti di direzione e di controllo a questo livello.

6.2

I controlli di qualità non adempiono le esigenze legali

La valutazione del sistema interno di assicurazione della qualità da parte della DelCG è la forma primaria di alta vigilanza, che si esplica attraverso un «controllo dei controllori». A tale scopo la DelCG ha proceduto ad accertamenti autonomi presso il SAP. La sua valutazione del controllo interno della protezione dei dati in seno al SAP si fonda tuttavia principalmente sugli elementi emersi dall'inchiesta condotta nel 2009 dalla Vigilanza SI all'interno del DDPS.

L'inchiesta della DelCG ha rivelato che, già con il vecchio sistema ISIS, il SAP accusava ritardi sostanziali nell'ambito dei compiti legali di assicurazione della qualità. Al momento della migrazione verso ISIS-NT erano pendenti 76 000 valutazioni globali. A causa dei problemi connessi con l'introduzione di ISIS-NT, il SAP ha sospeso durante quasi quattro anni le valutazioni globali periodiche; inoltre non era in condizione di sottoporre tutte le nuove comunicazioni registrate a un controllo iniziale. È per tale motivo che dall'inizio del 2005 non sono stati effettuati 16 000 controlli delle entrate e 40 000 controlli periodici prescritti dalla legge.

In simili circostanze, nell'ambito del controllo della qualità del SAP non si può più parlare di pendenze. Mentre i controlli delle entrate sono stati in parte ancora effettuati, la DelCG constata, in base agli sviluppi degli ultimi anni, che le attività di controllo relative alle valutazioni globali periodiche rimaste in sospeso non hanno chiaramente adempiuto le esigenze dell'articolo 16 dell'ordinanza ISIS.

La DelCG non ha proceduto a un esame sistematico della qualità dei controlli effettuati. Fra i campioni esaminati più dettagliatamente, ha individuato singoli casi risalenti all'epoca in cui era applicato il vecchio sistema ISIS, riguardo ai quali le valutazioni generali periodiche non erano state effettuate secondo criteri sufficientemente rigorosi. Secondo la sorveglianza interna del DDPS, spesso l'esame materiale della rilevanza per la protezione dello Stato è stato svolto nell'ambito dei controlli delle entrate soltanto mediante prove di campionatura. Ciò nonostante, la Delegazione non è giunta alla conclusione che i collaboratori del settore Controllo della qualità abbiano deliberatamente applicato bassi standard nei loro controlli.

La direzione del SAP ha ordinato in modo mirato tagli nell'ambito dei controlli della qualità, riducendone l'efficacia. Secondo l'articolo 16 capoverso 3 dell'ordinanza ISIS, le informazioni memorizzate da oltre tre anni come poco attendibili nella banca dati vanno cancellate in occasione della valutazione globale. Un ulteriore

6832

trattamento di tali dati dev'essere motivato e richiede l'autorizzazione della direzione del servizio.

Secondo un'istruzione interna del 18 ottobre 1999, la cui validità è stata riconfermata nel 2009, il settore Controllo della qualità può tuttavia, nel caso di informazioni inattendibili in materia di proliferazione, contare sul fatto che il capo del SAP ne approvi automaticamente l'ulteriore conservazione, se si tratta di informazioni che presentano un «nesso con la Svizzera» e rispondono al «mandato legislativo». Siccome di principio nessuna informazione che non risponda a tali requisiti può essere registrata in ISIS, la regola menzionata si applica in pratica a tutte le informazioni in materia di proliferazione. Attraverso tale automatismo viene meno il compito del settore Controllo della qualità di esaminare nel singolo caso la rilevanza di un'informazione inaffidabile, cosa che appare tuttavia in contrasto con l'articolo 15 capoverso 5 LMSI, disciplinante l'obbligo del controllo della rilevanza.

Infine anche il Consiglio federale ha allentato a livello di ordinanza i criteri applicabili al controllo della qualità. Nella revisione dell'ordinanza ISIS del 30 novembre 2001, il Consiglio federale ha stralciato la disposizione secondo cui, in caso di introduzione di un fatto nuovo nel sistema, i dati sugli antecedenti già registrati e poco affidabili sono nuovamente valutati nell'ambito del rispettivo insieme di dati (art. 9 cpv. 3 ordinanza ISIS del 1° dic. 1999). Nella sua proposta al Consiglio federale, il DFGP sosteneva che siffatta disposizione fosse superflua, essendo l'affidabilità di una comunicazione comunque verificata alcuni anni dopo nell'ambito della valutazione globale periodica. Nella proposta si specificava che il settore Controllo della qualità eliminava anche i dati affidabili che non erano più necessari alla protezione dello Stato80 e che tale procedura era comprovata.

Nel commento alla revisione dell'ordinanza ISIS del 30 novembre 2001 si afferma comunque che una nuova valutazione sistematica di tutte le comunicazioni relative a una persona in caso di introduzione nel sistema di una nuova comunicazione che la concerne si è rivelato di fatto impraticabile81. Tale procedura era stata tuttavia adottata già nell'agosto 1992 con la vecchia ordinanza ISIS provvisoria e rappresentava la prassi in vigore cui il Consiglio federale si era riferito nel suo messaggio concernente la LMSI. Sarebbe stato compito del DFGP chiarire le ragioni per cui il SAP avesse ritenuto improvvisamente inapplicabile una disposizione dell'ordinanza sette anni dopo la sua entrata in vigore. Invece di provvedere al rispetto dell'ordinanza o di sostenere tale obiettivo, il DFGP si è impegnato a favore dell'abrogazione della disposizione ritenuta inopportuna.

Il dipartimento responsabile e il Consiglio federale hanno riposto fiducia nelle indicazioni del SAP, secondo cui le valutazioni globali periodiche avrebbero sopperito all'abbandono dei controlli. Tenuto conto del fatto che a quel tempo tali valutazioni non erano svolte a sufficienza e che più tardi erano state del tutto abbandonate, le motivazioni addotte dal DFGP per l'abrogazione della disposizione possono essere tutt'al più considerate in retrospettiva come fuorvianti.

80

81

Proposta del DFGP al Consiglio federale concernente la revisione totale dell'ordinanza del 30 nov. 2001 sul sistema per il trattamento dei dati relativi alla protezione dello Stato (Ordinanza ISIS), pag. 3 del testo in lingua tedesca (non tradotto).

Commento alla proposta del DFGP al Consiglio federale concernente la revisione totale dell'ordinanza del 30 nov. 2001 sul sistema per il trattamento dei dati relativi alla protezione dello Stato (Ordinanza ISIS), pag. 4 del testo in lingua tedesca (non tradotto).

6833

La DelCG non può semplicemente limitarsi a constatare che durante l'ultimo decennio il settore Controllo della qualità non abbia adempiuto le esigenze legali. I controlli sistematici sono un elemento chiave della legge, mediante il quale il Consiglio federale e il Parlamento volevano impedire che dati non conformi al diritto e inadeguati fossero trattati nel sistema di protezione dello Stato.

La LMSI autorizza da un lato la raccolta «di informazioni anche su persone in merito alle quali risulta in prosieguo di tempo che non hanno partecipato a un'attività illecita»82. Tuttavia, come specificato anche dal Consiglio federale nel messaggio relativo alla LMSI, siffatta legge impedirebbe una raccolta di informazioni a futura memoria «fintanto che norme restrittive di trattamento (divieto di trattamento se il sospetto è confermato, controllo periodico dei dati, scadenze legali, ecc. [...]) garantiscono che saranno trattati soltanto dati che effettivamente possono fornire indicazioni su esposizioni a pericolo della sicurezza interna ed esterna.»83.

Nelle deliberazioni riguardanti la LMSI, la maggioranza delle Camere federali ha aderito all'argomentazione del Consiglio federale e integrato esplicitamente nell'articolo 15 capoverso 5 LMSI l'obbligo di procedere a controlli periodici dei dati.

Secondo le promesse del Consiglio federale e la chiara volontà del Parlamento, ai servizi di protezione dello Stato sarebbe stata conferita la facoltà di raccogliere dati a condizione che, in contropartita, si fossero impegnati a procedere a un controllo sistematico della qualità. Questo era il modello negoziato nell'ambito della procedura democratica per una «protezione dello Stato riformata», come spiegato dall'ex capo del DFGP il quale si era sostanzialmente espresso il 5 giugno 1996 nei seguenti termini in seno al Consiglio nazionale: in passato è stato raccolto molto materiale che non presentava alcuna rilevanza per la sicurezza; i servizi di protezione dello Stato di allora hanno commesso questo errore; grazie alla nuova legge vi sono ora motivi fondati per confidare che in futuro saranno raccolti unicamente dati rilevanti ai fini della sicurezza84.

La DelCG ritiene che il compito di provvedere alla sicurezza competa essenzialmente allo Stato. Tale compito conferisce ai servizi di protezione dello Stato non soltanto il diritto bensì anche l'obbligo di raccogliere a titolo preventivo informazioni sulle attività svolte da organizzazioni e singole persone. Determinante è però il fatto che, parallelamente alla collezione di dati, occorre esaminarne costantemente la rilevanza e stabilire se si giustifica un suo proseguimento. Se queste condizioni non sono più adempiute, dev'essere assicurata la cancellazione dei dati. Tale è lo scopo sotteso al controllo della qualità disciplinato nella legge. Questa condizione essenziale prevista dalla legge non è stata soddisfatta né dal SAP né dal DFGP.

La DelCG valuta di conseguenza i problemi evidenziati dall'UFG, riguardanti l'esecuzione dell'articolo 3 capoverso 2 LMSI, alla luce dell'incapacità del SAP di attenersi ai criteri di qualità legali. Ai problemi esistenti può essere posto rimedio unicamente se il settore Controllo della qualità funziona in modo sistematico e pienamente conforme al diritto. Soltanto se questa premessa è adempiuta sarà possibile garantire il rilevamento di sospetti di lieve entità senza riferimenti personali 82

83

84

Messaggio del 7 mar. 1994 concernente la legge federale sulle misure per la salvaguardia della sicurezza interna e sull'iniziativa popolare «S.O.S. Per una Svizzera senza polizia ficcanaso» (FF 1994 II 1197).

Messaggio del 7 mar. 1994 concernente la legge federale sulle misure per la salvaguardia della sicurezza interna e sull'iniziativa popolare «S.O.S. Per una Svizzera senza polizia ficcanaso» (FF 1994 II 1198).

Boll. Uff. 1996 N 735 (consigliere federale Arnold Koller), traduzione dal tedesco.

6834

oltre che uno svolgimento rapido e rigoroso di esami il cui esito permetterà di confermare o escludere un abuso dei diritti politici in attività che pregiudichino la sicurezza dello Stato. Fintanto che questo funzionamento non è garantito, l'abrogazione dell'articolo 3 capoverso 2 LMSI non potrà risolvere il problema esecutivo menzionato.

6.3

Dubbi inerenti alla rilevanza e all'esattezza dei dati

Dato che il SAP ha omesso di svolgere la maggior parte dei controlli previsti dalla legge, non sono disponibili informazioni relative alla qualità effettiva dei dati in ISIS-NT. Nella sua valutazione, la DelCG deve quindi fondarsi sulle sue prove di campionatura e sulle sue analisi sul funzionamento del trattamento dei dati presso il SAP.

La DelCG ha sottoposto a un'analisi dettagliata le cancellazioni che le sono state comunicate. Per la maggior parte dei casi esaminati si può affermare retrospettivamente che un rilevamento iniziale dei dati non si giustificava in alcun modo o che gli stessi siano stati conservati troppo a lungo in ISIS. I casi esaminati coprono un ampio spettro di minacce potenziali e le date dei rispettivi rilevamenti sono ripartite in modo relativamente omogeneo sui primi dieci anni di ISIS.

La cancellazioni hanno avuto luogo nell'ambito delle valutazioni globali, riavviate dal SAP verso la fine del 2008. Da allora il SAP non è tuttavia riuscito a ridurre in modo significativo i ritardi accumulati sul fronte delle valutazioni globali periodiche. In vista dell'eliminazione di gran parte delle pendenze, vi sono buoni motivi per supporre che numerosi casi esaminati dalla DelCG debbano ancora essere cancellati da ISIS a causa della loro scarsa rilevanza o di una loro conservazione a lungo termine in ISIS.

Dalla statistica generale sull'insieme dei dati in ISIS-NT emerge che, per ogni persona registrata con una propria rilevanza per la protezione dello Stato, si contano meno di due comunicazioni.85 Di conseguenza, le conoscenze relative alla maggior parte delle persone figuranti in ISIS sono forzatamente limitate a una sola comunicazione. Ciò non significa necessariamente che le relative informazioni siano superficiali; piuttosto, il numero limitato di comunicazioni indica la mancanza di ulteriori informazioni che diano fondatezza a eventuali sospetti. Sorgono inoltre dubbi quanto all'utilità di una fonte d'informazione così sguarnita negli scambi con l'estero.

Spesso la comunicazione trasmessa su richiesta di un servizio estero si limita alla constatazione che la persona interessata sia registrata o meno. Talvolta una simile comunicazione può comunque esplicare effetti negativi per la persona interessata.

La DelCG esprime anche riserve sulla legalità delle registrazioni riguardanti una parte considerevole delle 83 000 terze persone («terzi») figuranti in ISIS-NT. Si tratta segnatamente di circa 52 000 persone registrate in base al controllo delle fotografie dei passaporti. Nel quadro di questo programma preventivo di ricerca, sono registrate alla frontiera le persone provenienti da una dozzina di Stati che entrano in Svizzera o ne escono. La lista degli Stati da sorvegliare è aggiornata all'occorrenza dal Consiglio federale.

85

Secondo un rapporto del SIC del 26 mar. 2010, in ISIS-NT sono state memorizzate circa 152 000 comunicazioni.

6835

Secondo l'ordinanza i terzi devono tuttavia avere un legame con un oggetto che presenta una rilevanza propria per la protezione dello Stato (art. 3 lett. i ordinanza ISIS)86. Un tale legame non può essere unicamente stabilito in base alla nazionalità e all'entrata della persona in Svizzera, ma deve poter essere attestato mediante una valutazione materiale; in altri termini, occorre che siano illustrati i motivi per cui s'impongono un ulteriore trattamento e una registrazione nominale. La DelCG constata che il SAP ha trattato a priori i dati di decine di migliaia di persone senza che vi fossero le necessarie basi legali al riguardo.

Le regole meccaniche applicate all'immissione e al trattamento di dati hanno inoltre contribuito alla presenza sistematica di dati non conformi alle disposizioni legali. Il passaggio, mediante comunicazioni multiple, dallo statuto di terzi a quello di persone rilevanti per la protezione dello Stato ha dato luogo a migliaia di registrazioni erronee dal profilo della rilevanza per la protezione dello Stato. Le prescrizioni applicabili alla registrazione di «attivisti violenti» hanno condotto il settore Analisi preventiva del SAP a registrare fatti e valutazioni manifestamente scorretti in ISIS-NT.

La DelCG si scosta inoltre dall'opinione del SAP secondo cui il sistema per il trattamento dei dati relativi alla protezione dello Stato non costituisce un registro di sospetti e può di conseguenza contenere anche informazioni a discarico delle persone registrate. Parimenti, essa rifiuta l'invito del SAP a non più considerare la schedatura come una tara87. Per contro, la DelCG è persuasa del fatto che le informazioni «positive» dovrebbero necessariamente comportare la cancellazione di una registrazione da ISIS.

Secondo la DelCG non è accettabile, ad esempio, che le persone naturalizzate senza opposizione da parte del SAP siano registrate in ISIS. Parimenti ritiene inaccettabile che siano registrati in ISIS i nominativi di persone vittime di crimini che rappresentano una minaccia per la sicurezza dello Stato, come nel caso della presa di ostaggi.

Nelle sue prove di campionatura la DelCG ha reperito siffatti casi, i quali sono stati cancellati solamente molti anni dopo che si erano verificati.

La DelCG esprime dubbi in merito alla legalità della motivazione addotta dal SAP, secondo cui tutte le informazioni che gli giungono vanno registrate nella banca dati Protezione dello Stato di ISIS-NT, affinché la sua attività possa essere comprovata a posteriori. Malgrado la DelCG ritenga che l'agire delle autorità federali debba poter essere verificato, l'articolo 15 capoverso 1 LMSI esige in modo chiaro e inequivocabile che le informazioni inesatte e inutili non devono essere trattate e vanno distrutte. La legge parte quindi dal presupposto che gli organi di protezione dello Stato dispongano di informazioni che, sin dall'inizio o dopo un determinato periodo, essi non possono o non possono più trattare.

L'impiego del sistema per il trattamento dei dati relativi alla protezione dello Stato in quanto vettore documentario risulta anche in aperta contraddizione con il senso e lo scopo della LMSI e altera la volontà del legislatore al punto da produrre risultati contrari: il solo fatto che il SAP riceva e tratti una comunicazione conferisce già a priori a siffatta informazione la necessaria rilevanza per la protezione dello Stato. Se la collezione di dati ha luogo secondo questo principio, la DelCG deve necessaria86

87

Il Consiglio federale ha abrogato il 1° dic. 2010 l'ordinanza ISIS del 30 nov. 2001.

Le disposizioni dell'articolo 3 dell'ordinanza ISIS figurano da allora nell'articolo 2 OSI-SIC.

Affermazione del direttore del SAP a.i. in occasione dell'audizione del 19 mag. 2009.

6836

mente presumere che non tutte le informazioni raccolte in ISIS-NT siano esatte e pertinenti e che esse non adempiano di conseguenza i criteri della LMSI.

In qualità di organo dell' alta vigilanza, la DelCG ha buone ragioni per ritenere che i dati figuranti in ISIS-NT non soddisfino i requisiti legali di qualità. Le conseguenze derivanti da tale constatazione sono gravi: i dati raccolti non permettono una protezione dello Stato conforme alla legge.

Lo stato attuale dei dati raccolti in ISIS pone fondamentalmente in dubbio l'utilità e l'efficacia della protezione dello Stato. La raccolta, il trattamento e la conservazione di dati inesatti e inutili sono da ostacolo a un'attività efficace in favore della sicurezza interna. Essi possono condurre a prestazioni inappropriate e a disguidi suscettibili in definitiva di compromettere la sicurezza del Paese.

6.4

Priorità sbagliate del progetto ISIS-NT

All' inizio del 2005 il SAP ha messo in servizio il programma di banca dati per ISIS-NT nei termini previsti. A quel momento, diverse funzioni del programma, segnatamente nel settore della manutenzione dei dati, non erano ancora disponibili.

Inoltre la migrazione dei dati dal sistema ISIS precedente è stata mal preparata e il SAP ha sottovalutato o ignorato le conseguenze in termini di gestione dei dati nel nuovo sistema.

Dopo aver trascurato la qualità dei dati nella versione precedente di ISIS, il SAP non ha attribuito loro la giusta importanza ai fini di un'efficace migrazione verso ISIS-NT. In tal senso, nessuno sforzo è stato compiuto per isolare ed estrarre dalla banca dati le informazioni divenute superflue. Come emerge dalle prove di campionatura effettuate dalla DelCG, un tale controllo non sarebbe stato necessario poiché la maggioranza di tali casi non era a parere della Delegazione sufficientemente rilevante per la protezione dello Stato da giustificarne la migrazione nel nuovo sistema.

La valutazione particolareggiata si sarebbe tuttavia rivelata necessaria soprattutto in considerazione delle pendenze accumulate già nel precedente sistema nell'ambito dei controlli periodici della qualità, responsabili dei ritardi accusati nella cancellazione di numerosi dati. In base alle proprie valutazioni, il SAP riteneva tuttavia che nelle valutazioni periodiche soltanto un terzo dei casi controllati poteva comunque essere cancellato.88 Di conseguenza, una notevole percentuale delle circa 76 000 persone registrate che dovevano essere sottoposte a una valutazione periodica prima della migrazione avrebbe dovuto essere cancellata dal sistema.

Questi dati superflui e pertanto anche illegali sono stati ripresi dal SAP nel nuovo sistema ISIS-NT. Invece di provvedere al ricupero dei mancati controlli della qualità e di procedere alle cancellazioni che erano state sospese, tutti i dati migrati sono stati sottoposti a onerose rettifiche protrattesi quattro anni. Se avesse proceduto a un controllo della qualità prima della migrazione, il SAP sarebbe indubbiamente riuscito a raccogliere una banca dati qualitativamente migliore.

88

Cfr. risposta del Consiglio federale del 5 sett.2001 all'interrogazione ordinaria de Dardel, Jean-Nils «Registrazione delle persone nei sistemi di trattamento dei dati JANUS e ISIS» (01.1068).

6837

Da parte sua il DFGP non ha intrapreso nulla per garantire in tempi utili le risorse umane necessarie a un esercizio legale del nuovo ISIS-NT. Nella sua proposta del 16 giugno 2004 al Consiglio federale, esso aveva tuttavia ritenuto che l'introduzione e la gestione dei dati avrebbero reso necessario un incremento del personale. Nel contempo il Dipartimento aveva dichiarato che non era in grado di stimare le risorse di personale necessarie per l'osservanza delle prescrizioni legali in materia di trattamento dei dati. Il DFGP si era quindi mostrato disponibile a procurare i posti necessari mediante risparmi in seno al SAP o altrove nel Dipartimento.

In tal modo il DFGP ha evitato un dibattito in seno al Consiglio federale sui potenziali costi di personale derivanti dal progetto ISIS-NT e si è reso unico responsabile per la dotazione del personale necessario a un trattamento legale dei dati. Per raggiungere tale obiettivo, il DFGP avrebbe comunque dovuto pianificare in precedenza un rafforzamento del settore Controllo della qualità. Oltre a dimostrare l'esistenza di lacune sul piano dell'effettivo, le 76 000 valutazioni globali pendenti nel vecchio sistema ISIS, permettono anche di quantificare tali lacune.

Il SAP ha sottovalutato a lungo il lavoro supplementare necessario per la rettifica dei dati trasferiti. Ancora un anno e mezzo dopo la migrazione dei dati, era stato annunciato alla DelCG che i lavori di rettifica sarebbero stati ultimati a fine 2006. Per portare a termine tale rettifica ci sono invece voluti due anni supplementari dopo che, nel 2007, è stato impiegato a titolo temporaneo personale supplementare che non disponeva di qualifiche precedenti.

Il nuovo modello di dati di ISIS-NT richiedeva un rilevamento molto più preciso e sistematico delle informazioni. Di conseguenza, oltre a tempi superiori d'immissione, s'imponevano capacità superiori da parte dei collaboratori responsabili del settore Analisi preventiva. Nel contempo il concetto di gestione di ISIS-NT esigeva che le informazioni immesse nel sistema fossero rese immediatamente e completamente disponibili ai servizi d'informazione della Confederazione e dei Cantoni.

Il passaggio a ISIS-NT ha posto il settore Analisi preventiva di fronte a notevoli problemi che non erano stati anticipati dal SAP. Quest'ultimo ha quindi formato e sostenuto i collaboratori del settore Analisi preventiva facendo capo al personale incaricato del settore Controllo della qualità. Di conseguenza le valutazioni generali periodiche sono state sospese durante quasi quattro anni. Il settore Controllo della qualità si limitava a effettuare controlli delle entrate che non potevano comunque estendersi a tutte le nuove comunicazioni rilevate.

Il problema delle risorse sostanzialmente insufficienti del SAP nel settore Controllo della qualità si è ulteriormente aggravato a causa del costante aumento delle collezioni di dati in ISIS-NT. All'inizio del 2004, nella vecchia versione di ISIS figuravano registrate circa 60 000 persone rilevanti per la protezione dello Stato accanto a un numero indeterminato di terzi. Sei anni dopo il numero di persone con una rilevanza propria per la protezione dello Stato era quasi raddoppiato e i terzi contenuti in ISIS-NT erano oltre 80 000. Attualmente si contano circa 200 000 persone registrate in ISIS-NT.

Il raddoppio del numero di persone rilevanti per la protezione dello Stato va anche ricondotto al cambiamento dallo statuto di terzi a quello di persone rilevanti per la protezione dello Stato, intervenuto mediante automatismi non conformi alla legge negli ambiti della rettifica e della registrazione. Altrettanto significativo è stato l'incremento in ISIS-NT di istituzioni rilevanti per la protezione dello Stato: nel

6838

marzo del 2004, le imprese e organizzazioni con una rilevanza comprovata erano 4780 mentre oggi risultano raddoppiate.89 Il fatto che il numero di terzi non sia diminuito va ricondotto alle due persone supplementari impiegate dal 2008 in poi dal SAP per la registrazione di decine di migliaia di terzi in ISIS-NT sulla base di controlli delle fotografie del passaporto. La DelCG considera poco opportuna la decisione di aumentare ulteriormente il personale per il controllo delle fotografie del passaporto, in considerazione delle risorse di personale sostanzialmente insufficienti nel settore Controllo della qualità. Inoltre il SAP non era in grado, come già in precedenza, di trattare in tempi utili i passaggi alla frontiera, e l'entrata in vigore dell'Accordo di Schengen ha ulteriormente ridotto le possibilità di registrare sistematicamente i movimenti dei viaggiatori.

Investendo le sue risorse principalmente nel rilevamento dei dati, il SAP non soltanto ha privato di risorse il settore Controllo della qualità ma ha impedito anche la cancellazione di migliaia di registrazioni in ISIS, fattore che ha parimenti contribuito a rendere ponderoso il corpus di dati in ISIS-NT.

A causa della struttura relazionale dei dati, in ISIS-NT la cancellazione di una persona registrata si presenta molto più impegnativa rispetto al sistema precedente. Se una persona viene cancellata in base a una valutazione globale, nel sistema rimangono memorizzate le comunicazioni che la concernono qualora esse includano ancora altre persone registrate. Affinché non sia più possibile la ricerca nominale di una persona cancellata nel sistema è necessario cancellarne il nominativo nel testo di sintesi della comunicazione redatto dal settore Analisi preventiva. Questa operazione implica un notevole impegno manuale, non potendo essere pienamente automatizzata.

A questi aspetti si aggiunge il fatto che, a partire dal 2009, il settore Controllo della qualità ha dovuto avviare la cancellazione sistematica di informazioni in ISIS. I primi dati rilevati in ISIS dal 1994 hanno così raggiunto la loro durata massima di conservazione di 15 anni consecutivi. A gravare sulle risorse del settore Controllo della qualità sono intervenuti oltre al raddoppio delle registrazioni in ISIS, anche l'aumento dell'attività di cancellazione, sia a livello quantitativo, sia qualitativo.

Già con il sistema precedente di ISIS il SAP non riusciva a garantire il controllo della qualità di tutti i dati contenuti, corrispondenti alla metà rispetto all'effettivo odierno. Da allora le risorse del settore Controllo della qualità non hanno subìto aumenti significativi. Anche se il personale del settore Controllo della qualità avesse potuto concentrarsi pienamente sui controlli delle entrate e sulle valutazioni periodiche, le risorse odierne e l'attuale organizzazione del trattamento dei dati non renderebbero comunque possibile l'osservanza delle prescrizioni di qualità della LMSI.

La DelCG può constatare a posteriori che il DFGP ha eseguito il progetto ISIS-NT secondo modalità che non permettevano un trattamento legale dei dati.

Invero, oggi sarebbe possibile ridurre la massa di pendenze aumentando le capacità del settore Controllo della qualità. Tuttavia, il problema di fondo risiede nel fatto che l'onere lavorativo del settore Controllo della qualità è direttamente proporzionale alla quantità di comunicazioni rilevate. La qualità dei dati non potrà essere garantita fintanto che la quantità di informazioni immesse nel sistema di protezione dello

89

Le cifre per il 2004 sono tratte dalle statistiche sullo stato delle principali collezioni di dati personali, indirizzata dalla fedpol con lettera del 6 apr. 2004 alla CAG-N.

6839

Stato sarà superiore alle capacità effettive di controllo e, in definitiva, di utilizzazione.

Dalle dichiarazioni del capo sostituto del SAP, secondo cui venivano inviati al SAP molti dati che non erano mai stati richiesti da parte sua90, emerge la necessità di ridurre il flusso di dati mediante una selezione mirata prima del rilevamento in ISIS-NT. Nel rilevamento dei dati la quantità dovrà così cedere il passo alla qualità.

Tale obiettivo potrà essere raggiunto soltanto mediante un controllo mirato dell'afflusso di informazioni. I rapporti dei Cantoni, in particolare, dovrebbero essere predisposti nell'ottica di un loro successivo deposito elettronico. Invece di presentare un rapporto ponderoso sull'insieme degli aspetti di una manifestazione sarebbe opportuno che le informazioni acquisite fossero riunite in rapporti tematici settoriali.

Parimenti, in futuro occorrerebbe rinunciare all'allestimento di lunghi elenchi di persone diversamente rilevanti per la protezione dello Stato. In tal modo sarebbe agevolata una manutenzione durevole delle diverse informazioni contenute in ISIS.

La DelCG è del parere che nel sistema di protezione dello Stato possano essere raccolte le informazioni esaminate dal profilo della rilevanza per la protezione dello Stato e che le stesse possano essere controllate regolarmente conformemente alle prescrizioni legali. Tale criterio si fonda, oltre che sull'obiettivo di legalità, anche sulla constatazione che, in ultima analisi, i dati non gestiti sono superflui.

La DelCG ritiene che, quando verrà introdotto un nuovo sistema, sarà estremamente importante fare tesoro della lezione tratta dal progetto ISIS-NT. In tal senso occorrerà garantire una pianificazione del sistema informatico e della relativa utilizzazione affinché siano date le premesse necessarie per un trattamento legale dei dati.

6.5

Distinzione delle attività di protezione dello Stato dalla conservazione dei dati

Ambedue i rapporti della CPI-DFGP illustrano le modalità di gestione delle registrazioni relative alla protezione dello Stato prima dell'avvento dell'informatica. Il rilevamento delle informazioni raccolte in uno schedario cartaceo competeva alla divisione Valutazione preliminare* (Abteilung Vorauswertung), i cui collaboratori avevano il compito di riassumere «liberamente il contenuto essenziale dei rapporti e delle comunicazioni fatti pervenire [...] e ne fa[cevano] menzione sulla scheda corrispondente»91.

Con l'introduzione di ISIS il rilevamento dei dati è rimasto un compito della divisione Valutazione preliminare. Inoltre, un servizio di controllo interno92 doveva garantire la protezione dei dati dopo il rilevamento delle informazioni. I criteri applicabili a queste mansioni sono stati definiti nell'articolo 15 LMSI. Il passaggio dei compiti di protezione dello Stato dalla polizia federale al SAP non ha implicato modifiche della struttura organizzativa, pur essendo state conferite le nuove denominazioni «Analisi preventiva» e «Controllo della qualità».93 L'introduzione dei dati 90 91 92 93

Audizione della DelCG del 18 nov. 2008.

Rapporto della CPI-DFGP «Avvenimenti in seno al DFGP» del 22 nov. 1989 (FF 1990 I 580).

Cfr. art. 6 cpv. 4 ordinanza ISIS, testo provvisorio del 31 ago.1992 e art. 9 cpv. 4 ordinanza ISIS del 1° dic.1999.

Cfr. art. 10 cpv. 2 e 4 ordinanza ISIS del 30 nov. 2001.

6840

aveva luogo in piena autonomia dal settore Controllo della qualità, sui piani organizzativo e del personale. Parimenti l'organizzazione riguardante l'introduzione e la gestione dei dati in ISIS-NT avveniva separatamente dall'utilizzazione dei dati contenuti per le attività di protezione dello Stato vere e proprie.

Siccome l'attività di taluni collaboratori del SAP incaricati del trattamento dei dati in ISIS esulava dai compiti di protezione dello Stato, siffatti collaboratori non potevano valutare con cognizione di causa l'utilità e la rilevanza che i relativi dati presentavano per la protezione dello Stato. In particolare, il personale del settore Analisi preventiva era sprovvisto delle conoscenze specialistiche necessarie per riconoscere in modo autonomo l'importanza di un'informazione per la sicurezza della Svizzera. La denominazione «Analisi preventiva» risultava già di per sé ingannevole. Il compito dei collaboratori interessati si limitava a un'illustrazione corretta delle informazioni entranti nel complesso modello di dati di ISIS-NT.

Un esame materiale sulla rilevanza delle informazioni depositate per la protezione dello Stato non era stato richiesto dal settore Analisi preventiva. Oltretutto, la Direzione del SAP aveva tentato di semplificare le operazioni di rilevamento mediante regole meccaniche, ad esempio per la valutazione di una terza persona come rilevante per la protezione dello Stato. Dall'analisi della DelCG emerge che questi meccanismi rimangono in definitiva un tentativo inadeguato di stabilire la pertinenza di un'informazione senza un esame dell'effettiva importanza da parte dei collaboratori del settore Analisi preventiva.

Già nel suo rapporto annuale 2007, la DelCG aveva constatato che nel SAP «questo controllo della qualità costituisce un'attività amministrativa parallela al lavoro di analisi vero e proprio dei servizi d'informazione»94. Diversamente da questa prassi, in seno al SIS sono gli analisti ­ ossia le persone che utilizzano le informazioni a scopo informativo ­ che valutano in definitiva l'affidabilità di un'informazione sulla base di una visione d'insieme di tutti i dati disponibili e che ne tengono conto nelle loro valutazioni. Come emerso dalla visita della DelCG presso il SIS il 26 agosto 2009, i periti competenti decidono anche, in base all'analisi, se un'informazione debba presentare un riferimento nominale a una persona all'interno di una banca dati. Il fatto che gli analisti dovessero di regola occuparsi dell'introduzione dei dati nel sistema, imponeva loro un soppesamento iniziale degli oneri e dei benefici derivanti da siffatta introduzione. Questa prassi ha ampiamente contribuito a evitare che informazioni verosimilmente non pertinenti venissero inserite nel sistema.

Nel SAP, per contro, la valutazione delle informazioni competeva in ultima analisi sempre al settore Controllo della qualità il quale, dopo il rilevamento dei dati effettuato dal settore Analisi preventiva, doveva decidere se tali dati fossero conformi agli obiettivi fissati dalla LMSI. Nell'ambito delle valutazioni periodiche spettava parimenti al settore Controllo della qualità decidere se le informazioni erano ancora utili per gli altri utenti di ISIS, segnatamente quelli incaricati della valutazione.

L'esecuzione degli oneri centrali miranti a evidenziare la distinzione tra la protezione dello Stato «riformata» e l'«affare delle schedature» è stata di conseguenza delegata a meno di una mezza dozzina di collaboratori nel settore Controllo della qualità.

Gli altri servizi del SAP sono stati in definitiva esonerati dalla responsabilità di dover garantire che la loro attività si svolgesse unicamente con dati conformi alle 94

Rapporto annuale 2007 delle CDG e della DelCG del 25 gen. 2008 (FF 2008 4407 4502).

6841

prescrizioni legali. Tali servizi non hanno minimamente percepito la qualità insufficiente dei dati raccolti in ISIS come un problema. A conoscenza della DelCG, nessuno sembra essersi lamentato per le gravi lacune che il settore Analisi preventiva ha accusato nell'ambito della trasformazione di terzi in persone rilevanti per la protezione dello Stato nonché nella presenza di informazioni totalmente obsolete e superflue in ISIS.

Dal profilo organizzativo, il settore Controllo della qualità era indipendente dai servizi che utilizzavano le informazioni di ISIS-NT per le attività dei servizi d'informazione. Il settore Controllo della qualità era comunque subordinato allo stesso capodivisione del settore Analisi preventiva, il quale effettuava il rilevamento dei dati in ISIS-NT. Il mancato adempimento dei compiti legali da parte dei collaboratori del settore Controllo della qualità è in buona parte riconducibile al fatto che detti collaboratori sono stati impiegati nello svolgimento di mansioni proprie del settore Analisi preventiva.

La separazione organizzativa del Controllo della qualità dai servizi che utilizzavano i dati in ISIS-NT non si combinava tuttavia con la competenza di vietare l'accesso ai dati non controllati. Gli altri servizi del SAP potevano così continuare ad accedere a tali informazioni e trattare dati la cui qualità non era garantita.

La DelCG constata che il settore Controllo della qualità era concepito all'interno del SAP in modo che la qualità dei dati potesse essere garantita soltanto in situazioni prive di difficoltà, ciò che non era manifestamente più il caso dopo l'introduzione di ISIS-NT. La DelCG ritiene che la responsabilità di vietare un ulteriore impiego di dati non conformi alla legge e di porre rimedio ai problemi sostanziali inerenti alla qualità dei dati incombesse al capo del SAP, il quale era notoriamente a conoscenza di tali problemi.

Le misure prese dal SAP si erano tuttavia limitate alla falsificazione della data dell'ultima valutazione globale per tutte le registrazioni di persone trasferite in ISIS-NT. Di fatto era stata fissata un'unica data virtuale per ogni registrazione benché il relativo controllo non abbia mai avuto luogo. Questa procedura indica, unitamente alla modifica della regola per il calcolo della data della valutazione globale successiva, che mancava la volontà di eliminare le lacune alla radice.

La direzione del SAP aveva inoltre omesso di interessarsi in modo sistematico alla qualità dei dati e all'efficienza del settore Controllo della qualità. Il rapporto d'ispezione della Vigilanza SI rivela che il settore Controllo della qualità ha smesso nel 2008 di allestire statistiche sui risultati dei controlli del rilevamento, ritenendo che le stesse non interessassero a nessuno95. Il SAP non era inoltre in grado di seguire in modo sistematico il numero dei nuovi rilevamenti, dei controlli delle entrate, delle valutazioni globali periodiche e delle cancellazioni in ISIS-NT96. La DelCG è del parere che la direzione del SAP abbia violato gravemente il suo obbligo

95

96

Rapporto d'ispezione della Vigilanza SI del DDPS sull'esame della legalità del trattamento dei dati nel sistema ISIS-NT Protezione dello Stato del SAP (Inspektionsbericht der ND-Aufsicht des VBS über die Prüfung der Rechtmässigkeit der Datenbearbeitung im System ISIS-NT «Staatsschutz» des DAP ) del 22 febb. 2010 (pag. 18 del testo tedesco (non tradotto).

Quando la DelCG ha chiesto, con lettera del 25 mar. 2010, la comunicazione trimestrale di tali dati, il direttore del SIC le ha risposto con lettera del 25 mar. 2010 che al momento tale richiesta non poteva essere soddisfatta. I dati richiesti avrebbero potuto essere forniti soltanto nell'estate 2010, mediante un'opportuna programmazione di ISIS-NT.

6842

di vigilanza interna. Anche il direttore della fedpol e il competente capo del Dipartimento non hanno sufficientemente assunto il loro compito di vigilanza.

La DelCG è persuasa che le attività di conservazione e di gestione dei dati non debbano essere separate da altre attività preventive. Al contrario, l'attività di gestione deve essere parte integrante dell'attività di protezione dello Stato in senso proprio; in caso contrario, il sistema per il trattamento dei dati relativi alla protezione dello Stato si ridurrebbe a un esercizio fine a sé stesso.

6.6

Vigilanza a diversi livelli

6.6.1

Vigilanza e conduzione da parte del Dipartimento

La legge prevede un controllo amministrativo particolare per la delicata attività di protezione dello Stato (art. 26. cpv. 1 LMSI), senza tuttavia disciplinarne la struttura organizzativa. Finora i dipartimenti competenti hanno attribuito tale compito a uno specifico organo di controllo di cui il capo del dipartimento si serve per assumere il suo obbligo di vigilanza e in definitiva anche di condotta in materia di protezione dello Stato. La DelCG è consultata in merito al piano di controllo annuale (art. 26 cpv. 1 LMSI) del capo del dipartimento e tiene annualmente un colloquio con l'organo di vigilanza dipartimentale.

Nella sua inchiesta su ISIS, la DelCG constata che la collaborazione tra la sua alta vigilanza e la vigilanza esercitata dal DDPS ha funzionato in maniera esemplare. Gli accertamenti condotti dalla Delegazione hanno potuto poggiare, per i punti essenziali, sulle ispezioni svolte dall'organo di vigilanza interno. I risultati forniti da quest'ultimo sono serviti in particolare alla DelCG a confermare in modo sistematico diverse incongruenze emerse nel corso dei suoi accertamenti.

I risultati delle inchieste dipartimentali interne sono inoltre stati d'aiuto anche all'IFPDT. Su richiesta della DelCG, il DDPS ha fornito all'IFPDT il rapporto concernente la legittimità del trattamento dei dati in ISIS-NT. Quest'ultimo deve esaminare, per ogni richiesta di consultazione, se i dati in ISIS-NT riguardanti il richiedente sono stati trattati in tale sistema in modo conforme alla legge.

Il fatto che il DDPS abbia assunto senza indugio il controllo amministrativo previsto dalla LMSI incontra l'approvazione della DelCG. La stessa attende ora che il DDPS concluda ancora quest'anno la realizzazione del suo organo di vigilanza e che ambedue i posti supplementari attribuiti dal Consiglio federale siano effettivamente occupati.

Nel corso della sua inchiesta, la DelCG ha constatato che il SAP ha allestito le statistiche sui dati concernenti la protezione dello Stato in modo irregolare, il più delle volte soltanto su richiesta della Delegazione. Come rivelano a più riprese i rapporti del SAP all'attenzione della DelCG, la direzione del SAP non si è impegnata nella ricerca di indicatori affidabili riguardanti il controllo della qualità. Questa mancanza di trasparenza non ha facilitato l'attività di vigilanza nei confronti del SAP. Il DDPS dovrebbe pertanto vigilare affinché i servizi di protezione dello Stato forniscano sistematicamente gli indicatori necessari alla condotta a livello dipartimentale.

Una vigilanza dipartimentale interna può esplicare effetti durevoli soltanto se il capo del Dipartimento ne fa un uso sistematico e le conferisce la necessaria importanza.

6843

In definitiva, è opportuno ordinare i controlli soltanto se il dipartimento è disposto a eliminare le lacune emerse.

Al capo del DDPS incombe il compito esigente di impedire il trattamento di dati non conformi alla legge e di provvedere affinché in futuro siano raccolti soltanto dati realmente necessari all'attività del servizio d'informazione nel quadro delle prescrizioni legali. I problemi diagnosticati dalla DelCG traggono origine dall'organizzazione e dalla procedura applicate all'esercizio di ISIS-NT e non si possono eliminare unicamente mediante misure immediate. Con l'avvenuta fusione tra SIS e SAP sono state poste le basi per un prossimo progetto di riforma in seno al servizio informazioni.

Come rivela l'ispezione condotta dalla DelCG, il SAP ha sottaciuto lo stato cronico dei casi rimasti in sospeso nell'ambito delle valutazioni globali periodiche all'Ispettorato DFGP, quando quest'ultimo ha realizzato nel 2006 la prima ispezione sul trattamento dei dati in ISIS-NT. Fino alla fine del 2008 il SAP ha evitato di informare la DelCG che le valutazioni globali erano state illecitamente sospese dal 2005. A quel tempo le dichiarazioni orali e scritte del SAP dipingevano il contesto in maniera oltremodo ottimistica e talvolta manifestamente fuorviante.

Il capo del DDPS ha ora il compito di porre rimedio a tale situazione, oltre che di chiarire il carattere indispensabile di un'informazione trasparente nei confronti degli organi di vigilanza.

6.6.2

Lista di osservazione quale strumento di condotta del Consiglio federale

L'articolo 11 LMSI disciplina che il Consiglio federale autorizza annualmente la lista di osservazione. Secondo l'ordinanza il Consiglio federale inserisce nella lista organizzazioni o gruppi se vi sono indizi concreti tali da suscitare il sospetto fondato che dette organizzazioni o gruppi mettano in pericolo la sicurezza della Svizzera. Se tali condizioni sono date, i servizi di protezione dello Stato sono autorizzati a raccogliere tutte le informazioni sulle attività di siffatte organizzazioni e dei loro membri, comprese segnatamente quelle relative al loro impegno politico, altrimenti protette dai limiti posti nell'articolo 3 LMSI. Secondo la legge, il Dipartimento competente deve rendere nota annualmente la lista di osservazione alla DelCG.

La DelCG ha seguito attivamente gli sviluppi della lista di osservazione a partire dall'entrata in vigore della LMSI. Essa ha quindi invitato il 17 novembre 2005 il capo del DFGP a provvedere affinché ogni anno siano dimostrati i motivi per cui un'organizzazione rimane sulla lista, in base ai criteri disciplinati nell'articolo 17 capoverso 4 OMSI97. Da allora il SAP ha apposto a ogni registrazione una menzione delle disposizioni di ordinanza contrarie a una cancellazione. Per comprendere le considerazioni di ordine materiale che sottendevano a tale decisione, non erano tuttavia sufficienti tali indicazioni.

Il Consiglio federale ha ad esempio deciso nel settembre del 2006 che l'organizzazione terroristica «Japanese Red Army» andasse mantenuta nella lista di osserva97

Il 1.1.2010 il Consiglio federale ha abrogato l'OMSI. Le disposizioni dell'art. 17 OMSI sono da allora incorporate nell'art. 27 dell'ordinanza del 4 dic. 2009 sul Servizio delle attività informative della Confederazione (O-SIC; RS 121.1).

6844

zione. Tale decisione aveva sorpreso la DelCG la quale, in occasione della sua visita non annunciata del 28 agosto 2006 (cfr. n 2.3) aveva constatato che le ultime informazioni in ISIS relative a quell'organizzazione risalivano al 2001. Inoltre era noto che il gruppo, il quale negli anni Settanta e Ottanta aveva messo a segno nel mondo intero attentati e prese d'ostaggi, nell'aprile 2001 era stato dichiarato sciolto dalla sua dirigente agli arresti.

La DelCG ha quindi annunciato, in un colloquio tenutosi il 10 ottobre 2006 con il capo del SAP, che avrebbe preteso una motivazione dettagliata qualora l'organizzazione summenzionata figurasse ancora l'anno seguente nella lista di osservazione. In occasione della valutazione globale, il Consiglio federale ha poi stralciato nel 2007 18 gruppi dalla lista di osservazione, tra cui figurava anche la «Japanese Red Army», la cui presenza nella lista di osservazione era stata contestata dalla DelCG.

Nel colloquio del 10 ottobre 2006, la DelCG si era fatta spiegare dal SAP anche il funzionamento delle liste internazionali, sulla base delle quali le Nazioni Unite e l'Unione europea (UE) designavano determinati gruppi come organizzazioni terroristiche. Diversamente dalla lista di osservazione, la lista dell'UE non è confidenziale.

Come appreso dalla DelCG, la partecipazione a un gruppo figurante nella lista dell'UE è di per sé vietata e punibile. Il capo del SAP aveva precisato che, per poter collaborare in modo coerente con i servizi partner europei era stato convenuto con gli stessi che il SAP avrebbe tentato di integrare nel suo mandato tutti i gruppi inclusi nella lista europea e quindi anche nella lista di osservazione.

Le spiegazioni fornite dal capo del SAP hanno inoltre permesso alla DelCG di comprendere meglio in quale modo sia stato interpretato concretamente il criterio della minaccia per la sicurezza interna ed esterna secondo l'articolo 11 capoverso 2 lettera b LMSI. In tal senso, un'organizzazione che aveva ucciso turisti svizzeri in un attentato commesso all'estero adempiva le condizioni per essere integrata nella lista di osservazione.

La lista di osservazione costituisce lo strumento più importante con cui il Consiglio federale può esercitare un influsso sull'attività di protezione dello Stato. La DelCG ha potuto constatare che, negli ultimi anni, il Consiglio federale ha approvato regolarmente modifiche apportate alla lista. Ad esempio negli ultimi cinque anni vi sono stati aggiunti 18 nuovi gruppi e 29 eliminati. Le cancellazioni hanno avuto luogo in occasione della valutazione globale prevista ogni quattro anni secondo l'articolo 17 capoverso 3 OMSI).

La DelCG non dispone di elementi dai quali si potrebbe dedurre che la consultazione inerente alla lista di osservazione in seno al Consiglio federale avrebbe comportato la cancellazione di gruppi o l'integrazione di nuovi. Prima di essere sottoposta al Consiglio federale, di regola la lista di osservazione è trasmessa alla Delegazione del Consiglio federale per la sicurezza. Questa consultazione può, in forme diverse, precedere quella che si svolge all'interno dell'Organo direttivo in materia di sicurezza.

Fondandosi su istruzioni interne del Dipartimento98 l'Ispettorato del DFGP e, più recentemente, la Vigilanza SI del DDPS, accompagnano annualmente la procedura di aggiornamento della lista di osservazione. Tale partecipazione ha indotto il SAP a 98

Istruzioni del capo del DDPS del 18 dic. 2008 sulla trasmissione d'informazioni riguardanti le attività di salvaguardia della sicurezza interna conformemente alla LMSI (non tradotte).

6845

documentare in modo migliore le sue fonti d'informazione. La decisione inerente a quali organizzazioni vanno integrate nella lista di osservazione rimane però in ultima analisi di competenza del SAP e del Dipartimento interessato.

La DelCG è del parere che questa onesta valutazione nonché l'approvazione di questa lista positiva non siano messe sufficientemente a profitto dal Consiglio federale per garantire la condotta politica della polizia preventiva99, com'era stato invece prospettato dall'allora capo del DFGP durante il dibattito in seno al Consiglio nazionale tenutosi il 5 giugno 1996. Compito politicamente delicato, la conduzione della protezione dello Stato non può spettare unicamente al Dipartimento interessato, o a un ufficio.

Il legislatore ha lasciato al Consiglio federale la facoltà di derogare alla garanzia di un esercizio dei diritti politici privo di vigilanza, iscritta nella LMSI, qualora un interesse pubblico prevalente lo esiga100. Una relativa decisione andrebbe perciò presa dal Consiglio federale sulla base di una valutazione materiale fondata. Ciononostante, il fatto che l'UE o le Nazioni Unite, ad esempio, includano nelle loro liste una determinata organizzazione, non può esonerare il Consiglio federale dal prendere una decisione in merito.

6.6.3

Vigilanza nei Cantoni

La richiesta della CdG-BS ha funto da stimolo per l'alta vigilanza parlamentare, la quale ha tra l'altro riflettuto in modo approfondito sui limiti posti dall'articolo 3 LMSI all'interno della DelCG. La Delegazione si esprime positivamente sull'impegno profuso dalla CdG-BS per esercitare i suoi diritti di vigilanza.

La DelCG esprime parimenti i suoi apprezzamenti nei riguardi del Governo di Basilea Città, impegnatosi tenacemente al fine di condividere la responsabilità politica per le attività di protezione statale del suo Cantone. Le visite della DelCG nei Cantoni hanno rivelato che un interesse regolare delle autorità politiche nei confronti delle attività degli organi di protezione dello Stato esplica senz'altro effetti positivi sull'attività di questi ultimi.

La DelCG constata tuttavia anche che in passato il SAP non ha fornito un sufficiente sostegno ai Cantoni per l'esercizio dei loro diritti di vigilanza. Quando, in un caso specifico, la CdG-BS ha voluto effettuare dei controlli, il SAP ha addirittura fatto uso del diritto conferitogli dall'ordinanza per impedire abusivamente la vigilanza cantonale.

Il capo del DDPS e il direttore del Dipartimento di giustizia e polizia del Cantone di Basilea Città hanno nel frattempo provveduto affinché fosse elaborato, nel quadro della CDCGP, un disciplinamento concernente la vigilanza da parte degli organi esecutivi. La DelCG sostiene questa soluzione, la quale pone in secondo piano il consenso del SAP finora necessario. In futuro, qualora fosse negato l'accesso ai dati, i Cantoni potranno esigere che il caso sia sottoposto al capo del DDPS e all'occorrenza al Tribunale federale.

Secondo l'Ufficio di giustizia l'attuale ordinamento giuridico non esclude una vigilanza da parte dei legislativi cantonali, benché la medesima non sia esplicita99 100

Boll. Uff. 1996 N 719 (consigliere federale Arnold Koller).

Parere dell'UFG del 2 giu. 2009, pag.13.

6846

mente menzionata nella LMSI. Oltre al caso della CdG-BS, alla DelCG sono noti ulteriori legislativi cantonali che pongono la loro attenzione sulla vigilanza della protezione dello Stato. È ad esempio il caso della CdG del legislativo cantonale di Basilea Campagna, la quale ha interpellato al riguardo la Delegazione.

La soluzione elaborata sotto l'egida della CDCGP conferisce agli organi dell'alta vigilanza cantonale la possibilità di verificare, in applicazione del diritto cantonale, se l'organo di controllo del Governo cantonale ha assunto correttamente i compiti di sua competenza. Nel caso in cui l'esecutivo cantonale non abbia tuttavia designato alcun organo di controllo, il legislativo cantonale dovrebbe rivolgersi direttamente alle autorità federali competenti, le quali mantengono la competenza di autorizzare o rifiutare l'accesso ai dati in virtù dell'articolo 17 capoverso 1 LMSI.

Tale procedura sembra tuttavia problematica agli occhi della DelCG poiché l'alta vigilanza del Parlamento cantonale sarebbe infatti esercitata senza la pertinente partecipazione del Governo del Cantone. La DelCG è quindi del parere che i Parlamenti cantonali intenzionati a esercitare autonomamente l'alta vigilanza sugli organi di protezione dello Stato dovrebbero creare le condizioni necessarie al riguardo, provvedendo anzitutto affinché sia istituito un adeguato controllo da parte dei rispettivi Governi cantonali.

6.6.4

Diritto di accesso dei diretti interessati

L'inchiesta della DelCG ha rivelato che l'esercizio dei diritti di accesso ai dati da parte di privati ha contribuito in modo non indifferente a favorire il controllo della legalità del trattamento dei dati in ISIS. Sulla base di richieste concrete, l'IFPD ha potuto esercitare meglio la sua funzione di vigilanza secondo l'articolo 27 LPD. In particolare, i richiedenti che negli anni addietro hanno fatto ricorso al TAF o, negli anni precedenti alla Commissione federale della protezione dei dati, hanno contribuito affinché il SAP provvedesse a rendere il trattamento dei dati in ISIS più conforme alla legge.

Non da ultimo le decisioni della CFPD hanno contribuito a stimolare il dibattito attorno alla questione della compatibilità dell'accesso indiretto con la CEDU. Il TAF ha inoltre constatato che l'articolo 18 LMSI è applicabile invero soltanto alla banca dati ISIS01 (Protezione dello Stato) e raccomanda di subordinare ISIS02 (Amministrazione) alle disposizioni sul diritto d'accesso disciplinate nella legge sulla protezione dei dati. La DelCG sostiene tale raccomandazione, la cui attuazione è già stata prevista dal SAP.

La DelCG ritiene che il diritto di accesso indiretto secondo l'articolo 18 LMSI non adempia le esigenze della CEDU. Il Consiglio federale ha parimenti condiviso questa opinione nel suo parere concernente la mozione Leutenegger-Oberholzer101.

Esso ha proposto un ulteriore sviluppo del diritto di accesso disciplinato nella LMSI nel senso dell'articolo 8 LSIP (cfr. n. 4.3). La DelCG si allinea alla relativa posizione del Consiglio federale.

L'intento di rivedere l'articolo 18 LMSI nel senso della LSIP è sostenibile secondo la DelCG visto che, su proposta del DDPS, il Consiglio federale ha subordinato le 101

Mo. 08.3852 «Collezioni di dati della Confederazione. Diritto d'informazione» del 17 dic. 2008.

6847

informazioni reperite dall'estero alle ordinarie norme sulla vigilanza della legge sulla protezione dei dati. Questo passo è stato compiuto con l'articolo 23 dell'ordinanza sui sistemi d'informazione SIC (OSI-SIC)102, entrata in vigore il 1° gennaio 2010.

7

Raccomandazioni della DelCG

La DelCG ha concentrato la sua analisi sul trattamento dei dati in ISIS-NT fino al momento della fusione tra SAP e SIS, avvenuta a inizio 2010. Le informazioni raccolte dalla Delegazione permangono tuttavia valide anche per il nuovo SIC, avendo quest'ultimo essenzialmente integrato le strutture organizzative e il personale del SAP per il trattamento dei dati secondo la LMSI. Nel contempo sono state riprese nella nuova OSI-SIC le pertinenti disposizioni dell'ordinanza ISIS.

Questa nuova ordinanza disciplina anche il trattamento delle informazioni raccolte in base ai compiti del vecchio SIS (art. 1 lett. a LSIC). L'articolo 21 capoverso 2 OSI-SIC prevede che il settore Analisi preventiva sia competente anche per l'immissione di dati in banche dati contenenti informazioni ricercate all'estero. Il modello di trattamento dei dati del SAP è quindi ora applicato all'intero SIC.

Per porre rimedio ai problemi evidenziati dall'ispezione, la DelCG formula le seguenti raccomandazioni all'attenzione del Consiglio federale e del DDPS: Raccomandazione 1: La DelCG raccomanda al DDPS di bloccare provvisoriamente l'accesso a tutti i dati trattati in ISIS-NT cinque anni fa o più, i quali da allora non sono più stati sottoposti a una valutazione globale. Il Consiglio federale è invitato a designare un incaricato della protezione dei dati esterno il quale, su richiesta del SIC, deciderà in termini utili di liberare o cancellare i dati bloccati. Prima di una decisione dell'incaricato della protezione dei dati, le informazioni bloccate sulle persone registrate dovranno essere rese accessibili unicamente al settore Controllo della qualità interno del SIC. Le valutazioni pendenti dovranno essere concluse entro la metà del 2012 o al più tardi entro la migrazione nel nuovo sistema ISIS-NT.

L'incaricato presenta un rapporto al Consiglio federale ogni sei mesi.

Raccomandazione 2: La DelCG raccomanda al DDPS di cancellare da ISIS-NT tutte le terze persone che vi sono state rilevate unicamente sulla base del programma di ricerca preventivo fondato sul controllo delle fotografie dei passaporti.

Raccomandazione 3: La DelCG raccomanda al DDPS di ridefinire l'impiego delle risorse del personale nel SIC nel quadro di un'organizzazione di progetto. Le risorse vanno impiegate in modo che siano accessibili in ISIS soltanto le informazioni la cui rilevanza per la protezione dello Stato sia sottoposta a un esame effettivo al momento del rilevamento e possa essere valutata regolarmente conformemente alle disposizioni legali.

Raccomandazione 4: La DelCG esige dal DDPS un rapporto che illustri in quale modo possano essere impiegate le competenze analitiche specialistiche del personale nel settore Valutazione affinché sia impedito il deposito di informazioni errate e irrilevanti in ISIS e garantita la cancellazione immediata dei dati divenuti superflui.

102

Ordinanza del 4 dic. 2009 sui sistemi d'informazione del Servizio delle attività informative della Confederazione (OSI-SIC; RS 121.2).

6848

Raccomandazione 5: La DelCG esige dal DDPS un rapporto che illustri in quale modo possa essere migliorata l'attribuzione dei mandati agli organi di protezione dello Stato nei Cantoni e in quale modo i Cantoni possano contribuire a un appropriato deposito dei dati in ISIS.

Raccomandazione 6: La DelCG raccomanda al DDPS di assicurare che nel sistema «ISIS01 Protezione dello Stato» siano depositati unicamente dati rilevanti per la protezione dello Stato e non dati amministrativi (art. 25 cpv. 1 lett. a OSI-SIC).

Raccomandazione 7: La DelCG raccomanda al Consiglio federale di proporre alle Camere federali una chiara definizione legale delle cosiddette terze persone, nell'ambito della revisione della LMSI attualmente in corso. Siffatta definizione dovrebbe impedire che siano raccolti di scorta dati non rilevanti per la protezione dello Stato.

Raccomandazione 8: La DelCG raccomanda al Consiglio federale di precisare la legislazione di esecuzione in modo che, prima del loro rilevamento, le nuove informazioni siano obbligatoriamente sottoposte a una valutazione che confermi o neghi la rilevanza delle persone interessate per la protezione dello Stato.

Raccomandazione 9: La DelCG raccomanda al DDPS di rielaborare le linee direttrici per il rilevamento dei dati in ISIS e di eliminare tutte le regole che permettono il rilevamento in ISIS di una persona senza che sia stata effettuata una valutazione materiale di tutte le informazioni che la concernono.

Raccomandazione 10: La DelCG raccomanda al Consiglio federale di subordinare tutte le collezioni di dati di ISIS alle disposizioni degli articoli 8 e 9 LPD, ad eccezione della banca dati «ISIS01 Protezione dello Stato» (art. 25 cpv. 1 lett. a OSI-SIC).

Raccomandazione 11: La DelCG raccomanda al Consiglio federale di proporre alle Camere federali, nell'ambito della revisione in corso della LMSI, la sostituzione dell'attuale diritto indiretto di essere informati, disciplinato nell'articolo 18 di siffatta legge, con un diritto d'accesso secondo le modalità dell'articolo 8 LSIP.

Raccomandazione 12: La DelCG raccomanda al Consiglio federale di sospendere il programma preventivo di ricerca fondato sul controllo delle fotografie dei passaporti. Se decide di proseguire il programma, il Consiglio federale deve presentare un rapporto motivante la sua decisione. Tale rapporto dovrà evidenziare l'adeguatezza e l'efficacia dei controlli delle fotografie dei passaporti e, in particolare, prendere posizione riguardo alla relazione tra l'onere lavorativo richiesto dal programma e la sua utilità per l'adempimento dei compiti di protezione dello Stato secondo l'articolo 2 LMSI. Il rapporto dovrà inoltre esprimersi in merito alla compatibilità del programma con gli accordi di Schengen e di Dublino.

Raccomandazione 13: La DelCG raccomanda al DDPS di definire gli indicatori in base ai quali il Dipartimento può effettuare un esame di plausibilità per stabilire se il controllo della qualità funziona conformemente alle prescrizioni legali.

Raccomandazione 14: La DelCG raccomanda al DDPS di impostare ISIS in modo che la data di tutte le valutazioni globali svolte in merito a una persona registrata possa essere documentata correttamente nel sistema.

Raccomandazione 15: La DelCG raccomanda al DDPS di rafforzare il personale della Vigilanza SI entro la fine del 2010, conformemente alle garanzie che il Consiglio federale ha fornito alla DelCG nel dicembre 2008.

6849

Raccomandazione 16: La DelCG raccomanda al DDPS, in vista dell'introduzione della futura banca dati ISIS, di analizzare in modo sistematico i requisiti legali e di mettere in esercizio un nuovo sistema soltanto quando le norme legali possono essere pienamente adempiute. Inoltre, nel nuovo sistema devono essere trasferiti soltanto i dati che soddisfano tutti i criteri disciplinati nell'articolo 15 LMSI.

Raccomandazione 17: La DelCG esige che il DDPS presenti un rapporto sulle possibilità tecniche attuali e future di accesso a dati elettronici mediante ricerche personalizzate. Il rapporto deve fornire le basi necessarie per individuare le possibilità tecniche realizzabili conformemente agli articoli 3 e 15 LMSI. Esso dovrebbe essere allestito esternamente all'amministrazione e sulla base dello stato attuale delle conoscenze accademiche.

8

Prossime tappe

La Commissione della gestione invita il Consiglio federale a esprimersi sul presente rapporto e sulle raccomandazioni in esso contenute entro fine ottobre 2010.

21 giugno 2010

In nome della Delegazione delle Commissioni della gestione: Il presidente Claude Janiak, consigliere agli Stati La segretaria Beatrice Meli Andres

Le Commissioni della gestione del Consiglio degli Stati e del Consiglio nazionale hanno preso atto del presente rapporto e approvato la sua pubblicazione.

30 giugno 2010

In nome delle Commissioni della gestione: Il presidente della Commissione della gestione del Consiglio degli Stati Claude Janiak, consigliere agli Stati Il presidente della Commissione della gestione del Consiglio nazionale Maria Roth-Bernasconi, consigliera nazionale

6850

Allegato

Elenco delle persone interpellate nell'ambito dell'ispezione Bühler, Jürg Buntschu, Marc Bourquin, Gilles Chevalier, Mario Gass, Hanspeter Gloor Scheidegger, Caroline Greiner Daniel Gudet, Charles Hug, Thomas Kipfer, Christoph Kronig, Philipp Liechti, Michel Mader, Luzius Maurer, Ueli Möschli, Jörg Rebord, Raphaël Riesen, Hans-Rudolf Rüegsegger, Kurt Rüegsegger, Paul Schönbett, Frédéric Thibault, Gilles Thür, Hanspeter Von Daeniken, Urs Voser, Beat

capo sostituto del SAP, direttore a.i. del SAP capo dell'Unità 2, Segreteria IFPDT sottocapo di stato maggiore del Servizio informazioni della polizia del Cantone di Ginevra capo sostituto del sottocapo di stato maggiore del Servizio informazioni del Cantone di Ginevra capo del Dipartimento di giustizia e sicurezza del Cantone di Basilea Città consulente giuridica, Segreteria IFPDT capo sostituto della Gestione delle informazioni del SAP responsabile dell'ispezione Sorveglianza SI del DDPS procuratore generale del Cantone di Basilea Città capo della Polizia criminale (Kriminalabteilung) del Cantone di Berna capo della Gestione delle informazioni del SAP capo della Sorveglianza dei Servizi informazioni del DDPS vicedirettore dell'UFG capo del DDPS capo dell'unità speciale 9, Ministero pubblico del Cantone di Basilea Città capo di stato maggiore della Polizia del Cantone di Ginevra capo del Controllo della qualità del SAP capoprogetto EED CSI-DFGP responsabile del settore Protezione dello Stato, Polizia cantonale bernese consulente giuridico, Segreteria IFDP capo del Comando della sicurezza interna (Brigade de la sûreté intérieure) della Polizia e del Cantone di Ginevra incaricato federale della protezione dei dati e della trasparenza capo del SAP capo del Commissariato criminale (Kriminalkommissariat) del Cantone di Basilea Città

6851

6852