09.4022 · Interpellanza · 2009-11-26
Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni
Liquidato
Wortlaut
Il Consiglio federale è invitato a rispondere alle seguenti domande:
1. Prima di essere inviate verso Paesi terzi, le informazioni sono criptate al fine di impedire ogni collegamento tra cifre e persone?
2. La protezione dei dati è garantita dagli operatori telefonici? Se sì, in che modo?
3. Se dei malintenzionati riuscissero ad impossessarsi dei dati CRM, quali informazioni potrebbero ricavarne?
Begründung
Gli operatori telefonici affidano il trattamento dei dati CRM (Customer Relationship Management) a Paesi esteri. Il CRM è un processo che permette di trattare i dati inerenti all'identificazione del cliente, costituire una base di conoscenza sulla clientela, costruire una relazione con il cliente nonché migliorare l'immagine dell'azienda e dei suoi prodotti.
I dati CRM sono utilizzati per meglio definire le esigenze dei clienti e affinare l'offerta di conseguenza.
Swisscom, ad esempio, affida il trattamento dei suoi dati al Pakistan, Paese che, si sa, comporta determinati rischi in termini di sicurezza.
Stellungnahme des Bundesrates
La presente interpellanza tratta l'elaborazione di "dati telefonici" in generale. Nella motivazione è tuttavia fatto esplicitamente riferimento a Swisscom, la quale affiderebbe il trattamento dei suoi dati CRM al Pakistan. Dal canto suo, Swisscom smentisce questo fatto precisando di non trattare dati CRM in Pakistan. In questo Paese sarebbero attualmente effettuati solo i lavori di manutenzione di un'applicazione specifica che nel corso dell'anno dovrebbero comunque tornare ad essere eseguiti esclusivamente da Swisscom.
Le seguenti risposte si fondano sulle indicazioni date dai quattro maggiori fornitori di servizi di telecomunicazione presenti in Svizzera, i quali, a seconda del settore, detengono complessivamente fino al 97 per cento della clientela svizzera. Risulta evidente che queste aziende si comportano nel rispetto della legge. Il Consiglio federale non dispone di alcun indizio circa il fatto che altri fornitori di servizi di telecomunicazione non rispettano le norme sulla protezione dei dati vigenti nel settore.
1. Prima di trasmettere dati personali all'estero, vengono attuate misure organizzative e tecniche volte ad assicurare il rispetto della legge del 19 giugno 1992 sulla protezione dei dati (LPD; RS 235.1). Il criptaggio e l'autenticazione dei dati sono i metodi principali per garantire la sicurezza del trasferimento dati. A seconda dell'applicazione, il contenuto dei dati può anche essere reso anonimo. Tuttavia non è sempre possibile rendere anonimi i dati, visto che a volte l'applicazione necessita del nome e dell'indirizzo. Inoltre, vengono stipulati contratti relativi alla protezione dei dati ed intraprese misure organizzative, ad esempio la limitazione dell'accesso ai dati ed i controlli regolari.
2. Per la comunicazione di dati personali a destinatari esteri, i titolari di raccolte di dati, e dunque anche i fornitori di servizi di telecomunicazione, devono attenersi segnatamente all'articolo 6 LPD, secondo cui la comunicazione di dati all'estero è autorizzata solo per i Paesi che dispongono di una legislazione che assicuri una protezione adeguata dei dati. L'incaricato federale della protezione dei dati e della trasparenza (IFPDT) tiene una lista pubblica degli Stati che garantiscono tale tutela.
La comunicazione di dati personali a destinatari residenti in Stati che non dispongono di una legislazione che assicuri una protezione adeguata, è invece autorizzata solo in determinati casi: in presenza di garanzie contrattuali del destinatario che assicurano una protezione adeguata dei dati all'estero o se la comunicazione ha luogo all'interno di società sottostanti a una direzione unica, a condizione che emittente e destinatario soggiacciano a regole sulla tutela dei dati che assicurano una protezione adeguata.
I dati relativi al traffico e alle fatture sono inviati unicamente verso Paesi che secondo la lista dell'IFPDT garantiscono una protezione adeguata o solo a società estere con cui sono stati stipulati contratti tesi a garantire la protezione dei dati. Tuttavia, le chiamate dei clienti che telefonano in Paesi poco sicuri generano comunque dati sul traffico telefonico.
3. Se all'estero dei dati personali dovessero finire nelle mani di malintenzionati, questi ultimi non potrebbero trarne più informazioni di quante sono trasmesse dalla Svizzera all'estero. A seconda del mandato può trattarsi delle seguenti informazioni: numeri di telefoni, nomi, indirizzi, dati relativi alla fattura, comportamenti telefonici o dati sui servizi utilizzati via Internet. Non si può tuttavia escludere che i dati sopraccitati vengano combinati con quelli di altri fornitori di servizi concernenti ad esempio le transazioni mediante carta di credito, i servizi Internet per la ricerca di informazioni, i servizi di posta elettronica o chat. In presenza di dati sensibili i clienti dovrebbero pertanto scegliere un fornitore di servizi che offre una buona protezione dei dati.
Risposta del Consiglio federale.