18.1021 · Interrogazione · 2018-03-16
Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni
Liquidato
Wortlaut
Purtroppo Swisscom non gestisce la protezione dei dati in modo esemplare. Pur facendo parte dell'alleanza pubblicitaria Admeira che si propone di vendere pubblicità personalizzata, un anno fa l'impresa ha modificato le sue norme in materia di protezione dei dati "costringendo" i suoi clienti a chiedere espressamente che i loro dati non vengano trasmessi a terzi. Inoltre, la sottrazione di dati relativi ai clienti resa nota all'inizio dell'anno ha messo in luce non solo l'inefficienza del suo sistema informatico, ma anche gli errori connessi alla gestione dell'informazione ai suoi clienti: alcuni clienti, infatti, sono stati avvisati troppo tardi, mentre altri, in mancanza di un'informazione proattiva da parte di Swisscom, hanno dovuto chiedere individualmente mediante SMS se i propri dati rientravano tra quelli trafugati.
1. Il Consiglio federale, in qualità di proprietario di Swisscom, è disposto a impegnarsi affinché Swisscom accordi una maggiore attenzione alla protezione dei dati? Quali misure concrete ha già adottato? Quali misure adotterà ancora ed entro quando?
2. Il Consiglio federale garantisce che i metadati delle telecomunicazioni, che devono essere memorizzati solo perché previsto dalla legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) e dalla legge federale sulle attività informative (LAln), non vengano utilizzati per altri scopi?
3. Il Consiglio federale come valuta il modo di procedere di Swisscom in occasione della violazione dei dati resa pubblica all'inizio del 2018, in particolare per il ritardo di mesi nell'informare i clienti interessati, per la mancanza di informazione proattiva agli stessi e per il fatto che, al momento dell'invio dell'SMS per informarsi, i clienti hanno ricevuto un messaggio che li avvertiva che da quella procedura sarebbero potuti derivare dei costi?
Stellungnahme des Bundesrates
1. Swisscom è soggetta alla legge federale sulla protezione dei dati (LPD, RS 235.1) e alla sorveglianza dell'Incaricato federale per la protezione de dati (IFPD). Dall'illecita sottrazione di dati alla Swisscom non si può dedurre che l'impresa non attribuisca la sufficiente attenzione alla protezione dei dati.
Il Consiglio federale non vede quindi alcuna ragione per adottare misure a seguito di quanto accaduto. Nella sua funzione di rappresentante degli interessi della Confederazione in qualità di proprietaria, il Consiglio federale guida Swisscom fissandone gli obiettivi strategici. L'attuazione degli obiettivi strategici compete al consiglio di amministrazione. Il Consiglio federale non interviene nella gestione operativa delle attività.
Uno degli obiettivi strategici assegnati a Swisscom si riferisce alla "messa a punto ed esercizio di un'infrastruttura informatica e di rete orientata al futuro, tenendo conto delle esigenze di mercato, dello sviluppo tecnologico e della sicurezza (in particolare garanzia del segreto delle telecomunicazioni e della protezione dei dati)" (FF 2017 6736).
Il Consiglio federale verifica annualmente il raggiungimento degli obiettivi strategici da parte di Swisscom. Per quanto concerne l'obiettivo summenzionato (sicurezza), dopo aver valutato tutti gli elementi di cui era a conoscenza, il Collegio afferma che: "Swisscom dà grande priorità alla protezione dei dati da accessi non autorizzati. Tuttavia nell'anno in esame Swisscom è stata oggetto di un'importante sottrazione di dati che riguardavano i dati di contatto di circa 800 000 clienti. I responsabili hanno trafugato i dati di accesso di un partner commerciale. Sebbene conformemente alla LPD non si trattasse di dati degni di particolare protezione, Swisscom ha rafforzato il dispositivo di protezione. Sulla base delle informazioni a disposizione, il Consiglio federale è giunto alla conclusione che l'incidente non ha pregiudicato gli interessi del Paese in materia di sicurezza." (Swisscom - Rapport succinct sur la réalisation des objectifs stratégiques 2017; www.datec.admin.ch - Il DATEC - Imprese parastatali - Obiettivi strategici e realizzazione).
2. Swisscom deve rispettare il principio della finalità, secondo il quale i dati personali, di cui fanno parte le diverse categorie di metadati, possono essere trattati soltanto per lo scopo indicato all'atto della loro raccolta, risultante dalle circostanze o previsto da una legge (art. 4 cpv. 3 LPD). Non può quindi utilizzare a sua discrezione le differenti categorie di metadati. I mandati di sorveglianza vengono svolti su diversi sistemi: su quelli necessari solo per la sorveglianza e su quelli che vengono utilizzati anche per l'esercizio e gestione degli accessi alla rete. I sistemi sono protetti in modo tale che solo il personale appositamente formato e idoneo possa accedervi. Secondo la sentenza del Tribunale federale 1C_598/2016 del 2 marzo 2018, gli utenti possono chiedere la restituzione dei metadati a terzi ai sensi della protezione dei dati.
3. Il Consiglio federale ha preso atto del fatto che sconosciuti hanno avuto illecitamente accesso agli indirizzi registrati nella banca data dei clienti di Swisscom. L'Esecutivo accoglie con favore che Swisscom abbia informato l'IFPD dell'incidente nonostante la LPD non lo obbligasse a farlo. L'impresa era libera di decidere quando e come informare i clienti interessati e il pubblico. In siffatti casi si tratta generalmente di ponderare il diritto alla trasparenza di questi ultimi e l'esigenza di non compromettere il dispositivo di sicurezza. In base alle informazioni di cui dispone il Consiglio federale, Swisscom non ha addebitato alcun costo per gli SMS inviati per ricevere informazioni su questo incidente.
Risposta del Consiglio federale.