Lexipedia

17.3531 · Interpellanza · 2017-06-15

Dipartimento dell'interno

Liquidato

Wortlaut

Non c'è nulla da obiettare se la Posta, le FFS, UBS, Swisscom, Credit Suisse o altre imprese rilasciano mezzi d'identificazione elettronica (e-ID). Del resto, già lo fanno e se inoltre s'impegnano a migliorare e unificare questo servizio non si può che rallegrarsene. La fiducia in un servizio di e-ID riveste però un'importanza centrale e deve essere garantita dallo Stato stesso (o da terzi su suo mandato). In fin dei conti la domanda fondamentale cui deve rispondere l'e-ID è: come mettere a disposizione della collettività le infrastrutture di dati dello Stato e delle imprese parastatali? Per questa ragione la questione della fiducia nell'e-ID si pone in particolare anche nel settore della sanità.

Chiedo pertanto al Consiglio federale di rispondere alle domande seguenti:

1. Come può essere veramente sicuro il paziente che anche con l'e-ID sia garantita la protezione dei suoi dati?

2. Che cosa fa il Consiglio federale per l'integrazione dell'e-ID statale, che costituirebbe al contempo una misura per accrescere la fiducia e una base per la sicurezza della digitalizzazione nel settore della sanità?

3. È già stata fatta un'analisi delle possibilità e dei rischi della digitalizzazione nel settore della sanità?

Stellungnahme des Bundesrates

1. I profili di protezione e le norme ISO (p. es. ISO/IEC 27001:2013 e ISO/IEC 29115:2013) attualmente in vigore per la certificazione degli emittenti di strumenti d'identificazione ascrivono una grande importanza alla protezione e alla sicurezza dei dati sia a livello tecnico, sia per quanto concerne il personale coinvolto nell'emissione di strumenti d'identificazione e i processi da rispettare. Ciò garantisce una reazione adeguata in caso di eventi rilevanti per la sicurezza come la compromissione di uno strumento d'identificazione. Questi profili di protezione e norme valgono tanto per gli emittenti di strumenti d'identificazione privati quanto per quelli statali. Il rispetto di questi requisiti è richiesto già oggi nelle disposizioni esecutive (art. 23 dell'ordinanza sulla cartella informatizzata del paziente, OCIP; RS 816.11) della legge sulla cartella informatizzata del paziente (LCIP; RS 816.1) per gli strumenti d'identificazione che possono essere impiegati per accedere alla cartella informatizzata del paziente. Le future disposizioni esecutive della legge sui mezzi d'identificazione elettronica riconosciuti (legge sull'e-ID) rispetteranno e rispecchieranno il livello di protezione dell'OCIP. Ciò garantirà che gli strumenti d'identificazione secondo la legge sull'e-ID siano conformi alla LCIP e alle relative norme giuridiche.

2. Dal 22 febbraio al 29 maggio 2017 il Consiglio federale ha svolto la consultazione sulla legge sull'e-ID. L'avamprogetto prevede che gli emittenti di strumenti d'identificazione privati o pubblici idonei possano ottenere da un servizio di riconoscimento federale un'autorizzazione a emettere strumenti d'identificazione elettronici riconosciuti dallo Stato. Potrebbero pertanto essere riconosciuti dalla Confederazione ad esempio anche sistemi già in uso o in via di sviluppo, come i progetti della Posta, delle FFS, delle banche e di Swisscom. A tempo debito, gli strumenti d'identificazione così riconosciuti potrebbero essere impiegati anche nel sistema sanitario. Fino all'entrata in vigore della legge sull'e-ID, gli emittenti degli strumenti d'identificazione prescritti per accedere alla cartella informatizzata del paziente dovranno attenersi alla procedura di certificazione definita nella LCIP. Questa procedura - analogamente alle disposizioni della legge sull'e-ID - è in linea con le norme vigenti inerenti alla firma elettronica, affinché gli emittenti di strumenti d'identificazione riconosciuti possano sfruttare sinergie nell'ambito delle certificazioni richieste.

3. Confederazione e Cantoni lavorano da dieci anni all'attuazione della "Strategia eHealth Svizzera" del 27 giugno 2007. Nell'ambito di questi lavori sono stati costantemente discussi anche i rischi e le opportunità della digitalizzazione ed è stato tenuto conto dei risultati di tali discussioni. Ad esempio, per quanto concerne la formulazione delle basi giuridiche per la cartella informatizzata del paziente è stata data particolare importanza alla protezione e alla sicurezza dei dati. La discussione sulle opportunità e sui rischi di questa nuova tecnologia, nonché sulle questioni relative alla protezione e alla sicurezza dei dati ha costituito la base anche per l'elaborazione delle raccomandazioni del centro di competenza e di coordinamento di Confederazione e Canton Health Suisse, sull'utilizzo di applicazioni di mHealth, come le app dedicate alla salute, o di cosiddetti wearables, quali i braccialetti fitness (cfr. www.e-health-suisse.ch > Attuazione e comunità > Attività eHealth > mHealth).

Inoltre, nel quadro dell'attuazione della strategia "Svizzera digitale" adottata dal Consiglio federale nell'aprile del 2016, Confederazione e Cantoni stanno elaborando congiuntamente la "Strategia eHealth Svizzera 2.0" (cfr. il parere del Consiglio federale in risposta ai postulati Heim 17.3435, "Agenda sanitaria digitale. Opportunità e rischi", e Graf-Litscher 17.3434, "Potenziale e condizioni quadro per la sostenibilità digitale nel settore della sanità").

Infine, nell'ambito della Strategia nazionale per la protezione della Svizzera contro i cyberrischi e della Strategia nazionale per la protezione delle infrastrutture critiche, è stata analizzata la resilienza del sottosettore critico "Cure mediche e ospedaliere", con particolare attenzione alla vulnerabilità delle tecnologie dell'informazione e della comunicazione e ai cyberrischi, e sono state messe a punto misure per migliorarla. Queste analisi saranno aggiornate regolarmente per tenere conto delle mutate condizioni quadro (p. es. introduzione e utilizzo di nuove tecnologie per gli strumenti d'identificazione).

Risposta del Consiglio federale.