Come proteggere i dati personali di cittadini svizzeri in possesso di imprese americane?
13.3033 · Interpellanza · 2013-03-06
Dipartimento di giustizia e polizia
Liquidato
Wortlaut
Negli Stati Uniti la legge "Foreign Intelligence and Surveillance Act" (FISA) permette alle autorità statunitensi di esigere che le imprese americane forniscano loro dati personali di cittadini di Paesi terzi salvati nelle loro "nuvole" (cloud). I dati sorvegliati comprendono quelli legati a organizzazioni politiche. Tra le imprese interessate ne figurano alcune che, come Google, Facebook o Twitter, detengono un numero molto importante di dati personali di cittadini svizzeri. La quasi totalità delle persone residenti in Svizzera potrebbe dunque vedere i propri dati personali trasmessi ad autorità straniere e trattati a dispetto dalla LPD e/o delle garanzie procedurali (soprattutto penali). Questa legislazione preoccupa l'UE, che ammette di averla trascurata a scapito dei problemi di sovranità dei dati e di protezione dei diritti dei cittadini (cfr. rapporto del Parlamento europeo "Fighting cyber crime and protecting privacy in the cloud", 2012).
Pongo pertanto al Consiglio federale le domande seguenti:
1. Il Consiglio federale è informato delle conseguenze della legge FISA? Qual è il suo giudizio e quali passi ha intrapreso in merito?
2. Che cosa intende fare per impedire violazioni della LPD da parte di imprese straniere che trattano dati personali di cittadini svizzeri?
3. Che cosa intende fare per garantire l'applicazione del diritto svizzero in materia di protezione dei dati ai dati raccolti in Svizzera da parte di imprese straniere senza filiali nel nostro Paese?
4. Intende intervenire presso gli Stati Uniti (o altri Paesi con legislazioni simili alla FISA) affinché l'applicazione di questo tipo di normativa non sia contraria alla nostra legislazione sulla protezione dei dati?
5. Come intende garantire che siano rispettati i diritti procedurali (penali o civili, secondo il diritto svizzero o estero) dei cittadini i cui dati saranno trasmessi o sorvegliati in virtù della FISA?
6. Come intende garantire che i dati sorvegliati non siano utilizzati per procedimenti riguardanti atti non contemplati dal diritto penale svizzero (p. es. "reato" d'opinione)?
7. La legislazione attuale è sufficiente per impedire pratiche di questo tipo? In caso negativo, quando il Consiglio federale ne proporrà il rafforzamento?
Stellungnahme des Bundesrates
Ottenere dati all'insaputa degli interessati fa parte del modus operandi dei servizi d'informazione. Le nuove tecnologie - in particolare il fatto di memorizzare e trattare numerosi dati in maniera decentralizzata e delocalizzata (la cosiddetta "nuvola informatica") - consentono tuttavia la sorveglianza su vasta scala di cittadini svizzeri da parte di autorità estere che potrebbero avere una concezione della protezione dei dati o dei compiti dei servizi d'informazione diversa da quella esistente in Svizzera. Per quanto concerne il "Foreign Intelligence Surveillance Amendment Act" (FISA) statunitense, uno studio stilato dal Parlamento europeo fa notare il rischio insito in una tale sorveglianza; questo rischio non si profila tuttavia soltanto per gli Stati Uniti.
Il Consiglio federale risponde come segue alle domande poste:
1. Il Consiglio federale è consapevole dei rischi illustrati nell'interpellanza, ma non è a conoscenza di casi concreti in cui i diritti della personalità di cittadini svizzeri sarebbero stati violati in base al FISA. Per questo motivo non è finora intervenuto presso le autorità statunitensi in merito a tale legge. Chi utilizza reti sociali dev'essere consapevole dei rischi correlati, che comprendono la perdita di controllo sulle informazioni circolanti in rete e l'impossibilità, per le autorità elvetiche, di intervenire in tale ambito. Spetta al singolo valutare correttamente tali rischi e quindi adottare un comportamento prudente. In tale contesto occorre segnalare il programma della Confederazione "Giovani e media", che si propone di sensibilizzare bambini e giovani nonché i loro genitori, insegnanti ed educatori in merito alle opportunità e ai rischi dei nuovi media (http://www.bsv.admin.ch/themen/kinder_jugend_alter/00071/03045/).
2. Il Consiglio federale ritiene che competa principalmente all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), nell'ambito della sua funzione consultiva, adottare misure tese a sensibilizzare gli utenti di Internet e a rammentare ai detentori di collezioni di dati la loro responsabilità. L'IFPDT ha peraltro pubblicato spiegazioni in merito alla "nuvola informatica". Entro i limiti posti dal principio di territorialità, l'IFPDT è inoltre abilitato a effettuare accertamenti e a formulare raccomandazioni destinate ai detentori di collezioni di dati che non rispettano la legislazione svizzera. L'IFPDT si è mosso in tal senso, ad esempio, nel caso di Google Street View (cfr. in merito anche DTF 138 II 346).
3. Il margine di manovra della Svizzera è limitato nel caso di violazioni in materia di protezione dei dati da parte di imprese straniere domiciliate all'estero. In virtù del principio di territorialità, le violazioni della legge federale sulla protezione dei dati possono essere perseguite soltanto se sussiste un sufficiente legame con la Svizzera, che era dato nel caso di Google Street View (DTF 138 II 346 consid. 3). Occorre un caso specifico per valutare la misura in cui la Svizzera potrebbe influire sui casi di applicazione del FISA.
4. Il Consiglio federale è disposto ad affrontare questo tema con le autorità straniere interessate se dovesse venire a conoscenza di ripetute violazioni dei diritti della personalità di cittadini svizzeri in seguito all'utilizzo di Internet. Nel contempo seguirà con attenzione le misure adottate su scala europea. Non esclude nemmeno la possibilità di accordi bilaterali o multilaterali con determinati Stati per impedire, in gran parte, questo tipo di violazioni in materia di protezione dei dati (p. es. l'accordo "Safe Harbor" con gli Stati Uniti).
5./6. La misura in cui fornitori come Google, Facebook o Twitter possono trasmettere a terzi i dati di un utente domiciliato in Svizzera dipende dal contratto esistente tra i due soggetti, il cui contenuto dipende sostanzialmente dalle condizioni generali del rispettivo fornitore. La dottrina tende a qualificare questo tipo di contratti "con consumatori" ai sensi dell'articolo 120 LDIP e della Convenzione di Lugano. Sarebbero pertanto obbligatoriamente retti dal diritto svizzero. Ciò non esclude tuttavia che il fornitore si riservi la possibilità di trasmettere dati a terzi in debita forma. In caso di violazione contrattuale, l'utente potrebbe proporre un'azione in Svizzera (art. 114 LDIP e 15 CLug). In che misura sia poi possibile eseguire una tale sentenza contro un fornitore estero dipende da diversi fattori (solo limitatamente influenzabili dalla Svizzera), quali ad esempio il diritto dello Stato in cui ha sede il fornitore. Questa problematica è affrontata nel rapporto "Diamo un quadro legale ai social media", attualmente elaborato in adempimento del postulato Amherd 11.3912 del 29 settembre 2011.
7. Come mostra la citata decisione relativa a Google Street View, la legislazione svizzera non è inefficace nel caso di imprese straniere che pubblicano su Internet dati personali raccolti in Svizzera. Il Consiglio federale esaminerà tuttavia, nell'ambito della revisione della legge federale sulla protezione dei dati, se il diritto vigente in materia è sufficiente.
Risposta del Consiglio federale.