Lexipedia

21.4019 · Interpellanza · 2021-09-16

Cancelleria federale

Liquidato

Wortlaut

Alcune settimane fa la Confederazione ha reso noto di aver assegnato a quattro ditte USA e a una ditta cinese gli appalti per la fornitura di servizi di cloud pubblico.

Nella sua Guida per l'esame dell'ammissibilità della comunicazione di dati all'estero, l'IFPDT prevede che debbano essere previste misure organizzative e tecniche per impedire l'accesso ai dati personali da parte delle autorità in determinati Paesi target come gli USA e la Cina, qualora le garanzie svizzere in materia di diritti fondamentali non siano date in tali Paesi. Ciò è conforme anche al diritto vigente, indipendentemente dal fatto che i dati personali registrati nel cloud pubblico siano ordinari o particolarmente degni di protezione.

1. Invero non esistono strumenti tecnici ampiamente diffusi e comprovati in grado di impedire l'accesso ai dati personali da parte di autorità qualora non si intenda limitare la prestazione di servizi a una pura archiviazione. Il Consiglio federale prevede tuttavia che i dati personali nel cloud pubblico siano elaborati dalle ditte che hanno ottenuto lappalto per la gestione di un cloud pubblico? In caso affermativo, esso suppone che la memorizzazione e l'elaborazione di dati personali all'estero sia possibile anche senza particolari misure tecniche volte a impedire efficacemente l'accesso da parte di autorità?

2. Una misura organizzativa volta a impedire l'accesso ai dati da parte delle autorità allestero consiste nell'attribuire la gestione di servizi di cloud non a ditte con sede in Paesi non sicuri bensì, in forma fiduciaria, a ditte con sede in Paesi sicuri (SEE, Svizzera). Come valuta il Consiglio federale questo modello?

3. Nel raccogliere le offerte, il Consiglio federale si è riservato i diritti di audit richiesti dalla legge? Come si presentano concretamente tali diritti?

4. Quali modalità concrete di applicazione prevede il Consiglio federale per la gestione del cloud pubblico?

5. Qual è la composizione dell'importo degli appalti assegnati pari a 110 milioni di franchi sull'arco di 5 anni?

6. L'esercizio di centri di calcolo comporta un ingente dispendio energetico. Nellattribuire i compiti la Confederazione terrà anche conto delleventualità che i centri funzioneranno mediante le energie rinnovabili? Questo aspetto è già stato considerato al momento del bando di concorso? Se no, perché?

Stellungnahme des Bundesrates

1. In caso di elaborazione di dati in cloud pubblici devono essere prese, se necessario, misure tecniche, organizzative e giuridiche sulla base dell'analisi dei rischi e del bisogno di protezione (p. es. crittografia dei dati e anonimizzazione o pseudonimizzazione dei dati personali). Il trattamento dei dati sicuro evolve inoltre con grande rapidità, ad esempio nell'ambito dell'informatica confidenziale (Confidential Computing), che consente il trattamento di dati sensibili in processori protetti.

2. Un modello di gestione fiduciaria sarebbe senz'altro ipotizzabile qualora non comporti peggioramenti rilevanti nella funzionalità, nella rapidità d'innovazione e nei costi. ll Consiglio federale non ha finora esaminato questo modello in modo approfondito.

3. Nel caso in cui l'elaborazione di dati personali sia affidata a terzi, il mandante deve assicurarsi che essi garantiscano la sicurezza dei dati (art. 10a cpv 2 LPD). I requisiti che ne conseguono, in particolare le misure tecniche e organizzative, sono convenuti contrattualmente e possono includere certificazioni (p. es. ISO27001) o l'obbligo di svolgere audit (p. es. SOC-2 tipo II). Nel bando di concorso era previsto l'obbligo da parte degli offerenti di fornire la prova di disporre di tali certificati e risultati di audit. Requisiti più estesi saranno integrati nei contratti quadro, che devono ancora essere allestiti.

4. Attualmente nei cloud pubblici sono utilizzati, ad esempio, servizi per la pubblicazione e la messa a disposizione di materiale cartografico da parte di swisstopo mediante applicazioni e su Internet.

In futuro sarà stabilito caso per caso quali applicazioni verranno gestite nei cloud pubblici, verificando di volta in volta se le condizioni richieste sono soddisfatte, in particolare sul piano giuridico. Va considerato che rinomati fornitori propongono viepiù i loro programmi standard unicamente a partire da cloud pubblici. L'acquisto di prestazioni di cloud pubblici diviene pertanto una condizione necessaria affinché l'Amministrazione federale possa utilizzare questi programmi standard.

5. L'importo di aggiudicazione di 110 milioni di franchi (con plafonamento dei costi) è stato calcolato in funzione dei valori empirici riguardanti servizi precedentemente acquistati in cloud pubblici esterni e cloud privati interni, nonché di stime dei dipartimenti e della Cancelleria federale e di una maggiorazione del 10 per cento per l'eventuale fabbisogno dell'Amministrazione federale decentralizzata. È previsto un periodo di 5 anni. Tutti i servizi sono opzionali. Non vi è alcun obbligo di acquisto.

6. Questo punto non è stato considerato nel bando di concorso. Numerosi fornitori di cloud pubblici si sono posti l'obiettivo di far funzionare i loro centri di calcolo interamente con energie rinnovabili entro il 2025. Fra essi figurano anche coloro cui sono stati assegnati gli appalti.

Risposta del Consiglio federale.