15.3046 · Interpellanza · 2015-03-04
Dipartimento di giustizia e polizia
Liquidato
Wortlaut
1. Le imprese e le collettività pubbliche e parapubbliche che trattano dati personali sono obbligate a informare le persone di cui trattano i dati in caso di furto o perdita di dati, in particolare sensibili? In caso negativo, il Consiglio federale prevede di sancire un tale obbligo nella LPD o in un'altra legge?
2. Quali obblighi hanno tali imprese e collettività nei confronti delle persone i cui dati sono stati rubati o persi? Devono fare tutto il possibile per evitare l'usurpazione d'identità? Devono assumersi tutte le spese risultanti dal furto o dalla perdita (in particolare le formalità amministrative per ottenere nuovi dati)?
3. Il diritto del lavoro (pubblico e privato) è sufficiente per proteggere i lavoratori il cui datore di lavoro si è fatto rubare o ha perso i dati che la legge lo autorizza a trattare?
4. Quali misure esistono in caso di furto di numeri AVS, in particolare per prevenire l'usurpazione d'identità o l'abuso di prestazioni?
5. L'AVS è obbligata a fornire un nuovo numero AVS in caso di furto di dati (in particolare in caso di rischio d'usurpazione d'identità)? In caso negativo, perché no? Il Consiglio federale intende colmare tale lacuna?
6. La legislazione in vigore è sufficiente in caso di furto o perdita di dati bancari, in particolare per prevenire l'usurpazione d'identità?
7. La sicurezza dei sistemi informatici delle banche (a livello di siti Internet, siti di e-banking o sistema centrale) è garantita? Da chi sono verificati e controllati? Sono previste sanzioni in caso di falle di sicurezza informatica di una banca?
8. Il Consiglio federale è disposto ad analizzare questi problemi in dettaglio nell'ambito della sua risposta alla mozione 14.3288?
Begründung
I recenti attacchi informatici contro la BCGE, Sony, Linkedin, J. P. Morgan Chase o Home Depot hanno mostrato che gli hacker sono in grado di impadronirsi di un gran numero di dati di clienti o collaboratori, tra cui dati particolarmente sensibili come numeri di sicurezza sociale o di conti bancari. È purtroppo lecito temere che questi attacchi non faranno che moltiplicarsi ed aggravarsi. Tra i fastidi arrecati alle vittime figura in particolare il maggior rischio d'usurpazione d'identità.
Stellungnahme des Bundesrates
1. La legge federale sulla protezione dei dati (LPD; RS 235.1) non obbliga i detentori di collezioni di dati a informare l'interessato in caso di abuso dei suoi dati personali. Una parte della dottrina ritiene tuttavia che tale obbligo derivi dai principi generali della sicurezza dei dati (art. 7 LPD) e della buona fede (art. 4 cpv. 2 LPD).
Attualmente il diritto in materia di protezione dei dati è rielaborato sia in seno al Consiglio d'Europa sia nell'Unione europea. Queste riforme prevedono di introdurre un obbligo di informare l'autorità di controllo e/o l'interessato. Il 1° aprile 2015 il Consiglio federale ha incaricato il Dipartimento federale di giustizia e polizia (Ufficio federale di giustizia) di sottoporgli un avamprogetto di revisione della LPD che tenga conto delle riforme attualmente in corso in Europa in materia di protezione dei dati. L'introduzione dell'obbligo di notificare l'abuso di dati personali sarà esaminata nell'ambito di tali lavori.
2. Se la perdita o il furto di dati risulta da una violazione dell'articolo 7 LPD, è possibile procedere contro la violazione e le sue conseguenze con i mezzi a tutela della personalità (art. 15 LPD in combinato disposto con art. 28a CC per i privati, art. 25 LPD per gli organi della Confederazione). Gli obblighi di cui agli articoli 7 LPD e 8 capoverso 1 lettere d ed e OLPD (RS 235.11) implicano di adottare misure per evitare un utilizzo abusivo dei dati. Le imprese e le collettività interessate hanno inoltre tutto l'interesse a limitare l'eventuale danno per le vittime, che potrebbero essere tenute a risarcire. Tale danno potrebbe comprendere anche i costi risultanti dalla perdita o dal furto dei dati.
3. L'articolo 328b CO sancisce l'obbligo di tutelare la personalità del lavoratore nell'ambito della protezione dei dati. Per il datore di lavoro valgono pertanto anche gli obblighi di sicurezza previsti dalla LPD. In caso di perdita o furto dei suoi dati, il lavoratore può chiedere la cessazione della violazione e il risarcimento del danno subito.
Quanto al personale della Confederazione, la protezione della personalità dell'impiegato è garantita dall'articolo 4 capoverso 2 lettera g della legge sul personale federale (LPers; RS 172.220.1), che deriva dall'articolo 328 CO. La responsabilità del datore di lavoro in caso di danno arrecato al lavoratore è retta dalla legge sulla responsabilità (LResp; RS 170.32).
Il Consiglio federale ritiene che queste normative siano sufficienti. Inoltre, gli sviluppi in materia di protezione dei dati descritti al numero 1 si applicheranno pienamente ai rapporti di lavoro sia nel settore privato sia in quello pubblico.
4. Il NAVS13 (numero AVS a 13 cifre) è un identificatore pubblico analogamente al cognome di famiglia, al nome e alla data di nascita. Dal 2008 non permette più di dedurre l'età, la cittadinanza e il sesso di una persona. Il NAVS13 non costituisce un documento ufficiale d'identità e non permette di dimostrare in maniera formale e attendibile l'identità. Il NAVS13 è infatti un attributo identificativo esclusivamente amministrativo messo a disposizione delle collettività, assieme ai consueti identificatori demografici (cognome, nome, ecc.), a meri fini amministrativi. Non dispensa in alcun modo coloro che lo utilizzano sistematicamente come identificatore dall'obbligo legale di verificare l'identità di una persona tramite la presentazione di un documento ufficiale d'identità. Peraltro, nessuna prestazione delle assicurazioni sociali è concessa dietro semplice presentazione del NAVS13. Di conseguenza, non è prevista alcuna misura amministrativa in caso di furto del numero AVS.
5. La centrale di compensazione ha la competenza esclusiva di attribuire il NAVS13. Visto che il furto di un NAVS13 non comporta alcun rischio supplementare di usurpazione d'identità risultante da un uso abusivo dell'identificatore da parte di un terzo, essa non è tenuta a modificare il numero di un assicurato in caso di furto di dati, anche se un utilizzo illegale di tale identificatore costituisce un delitto ai sensi dell'articolo 87 LAVS (RS 831.10). Peraltro, finora non sono noti casi di problemi cagionati dal furto del NAVS13. Non esiste alcuna lacuna legale.
6. Anche le banche sono tenute a rispettare i principi generali di sicurezza dei dati previsti dalla LPD (cfr. sopra n. 1 e 2). Nella revisione parziale della circolare della FINMA 2008/21 "Rischi operativi - banche" sono stati rafforzati i requisiti relativi ai rischi operativi e al trattamento dei dati elettronici dei clienti. Le esigenze concernenti in particolare i dati di identificazione del cliente impongono alle banche di adottare provvedimenti per impedire il furto o la perdita dei dati dei clienti (allegato 3 della circolare). Il Consiglio federale ritiene che questa normativa sia sufficiente.
7. Secondo la suddetta circolare, la direzione operativa della banca deve dotarsi di un'infrastruttura tecnologica adeguata, in particolare per ridurre i rischi operativi. Deve inoltre garantire la sicurezza e l'integrità dei dati d'identificazione dei clienti (allegato 3). Di norma una società di revisione è incaricata di controllare l'attuazione della circolare. La FINMA può anche effettuare un controllo in loco. In caso di violazioni gravi quali la perdita di dati di clienti, la FINMA può ordinare determinate misure nei confronti della banca conformemente alla legge sulla vigilanza dei mercati finanziari (RS 956.1). Infine, la violazione del segreto bancario è punita secondo l'articolo 47 capoverso 2 della legge sulle banche (RS 952.0).
8. In seguito all'adozione della mozione Comte 14.3288 da parte del Parlamento, il Consiglio federale è stato incaricato di presentare una modifica del diritto penale che renda l'usurpazione d'identità un reato a sé stante. In questo ambito il Consiglio federale analizzerà la problematica dell'usurpazione d'identità nell'ottica del diritto penale. Non esclude di proporre misure supplementari qualora dovessero risultare ulteriori lacune.
Risposta del Consiglio federale.