Lexipedia

25.3836 · Interpellanza · 2025-06-20

Dipartimento dell'interno

La dichiarazione sull’intervento è disponibile

Wortlaut

I servizi informatici basati su cloud offrono potenzialità enormi in vista di soluzioni stabili, sicure e convenienti nel settore sanitario. Al giorno d’oggi, lo sviluppo di software scalabili si basa quasi esclusivamente su cloud. È inoltre possibile adattare tecnologie e applicazioni di altri settori, il che consente di ridurre i costi di sviluppo e di aumentare la scalabilità. I servizi cloud convincono anche sotto il profilo qualitativo, dato che in termini di disponibilità generale, sicurezza, latenza e affidabilità spesso risultano migliori rispetto ad applicazioni sviluppate in proprio ospitate all’interno di infrastrutture IT locali.

Il quadro legislativo attuale ostacola il ricorso a soluzioni cloud. I dati relativi alla salute sono tutelati dalla legge federale sulla protezione dei dati (LPD) nonché dalle norme cantonali in materia e devono essere trattati conformemente alle relative disposizioni. Gli ospedali che sottostanno al diritto pubblico e quelli con un mandato di prestazioni cantonale devono rispettare le prescrizioni sulla protezione dei dati vigenti nei rispettivi Cantoni. Poiché i principi e le direttive a livello cantonale e, in parte, comunale, risultano assai eterogenei, anche la loro applicazione da parte delle persone incaricate della protezione dei dati è difforme. Questa situazione pone problemi in particolare alle istituzioni sanitarie che operano a livello nazionale e ostacola le innovazioni.

Alla luce di queste considerazioni, invito il Consiglio federale a rispondere alle seguenti domande:

  1. Condivide il parere che occorra armonizzare la protezione dei dati nell’ambito dei servizi cloud nel settore sanitario, ad esempio mediante requisiti uniformi relativi alla sicurezza informatica degli ospedali e degli istituti di cura o alla conservazione dei dati in Svizzera?

  2. È disposto a elaborare, d’intesa con specialisti informatici e della protezione dei dati, prescrizioni attuative uniformi (aiuti all’esecuzione/linee guida) al fine di promuovere l’innovazione? Vi sono organi federali cui si potrebbe fare ricorso a tale scopo?

  3. Sotto il profilo costituzionale, è possibile assoggettare tutti i servizi cloud del settore sanitario alla legge federale sulla protezione dei dati? In caso affermativo, sarebbe disposto ad adeguare la LPD in tal senso?

  4. Come giudica l’idea di pubblicare un elenco dei servizi cloud certificati che operano nel settore sanitario? Quale organismo indipendente potrebbe svolgere audit e pubblicare un tale elenco?

Stellungnahme des Bundesrates

1. Il Consiglio federale comprende il desiderio di armonizzazione. È presumibile che requisiti uniformi a livello nazionale in materia di protezione dei dati e sicurezza delle informazioni semplificherebbero i processi, ridurrebbero i costi e accelererebbero l’innovazione. Tuttavia, non si deve dimenticare che le disparità odierne sono da ricondurre principalmente all’interpretazione e all’attuazione eterogenee delle disposizioni legali vigenti da parte dei rispettivi attori federali e non alla ripartizione federalista delle competenze in materia di protezione dei dati. Quest’ultima è disciplinata dalla Confederazione all’interno dell’Amministrazione federale, mentre le amministrazioni cantonali e comunali ne sono responsabili per quanto riguarda privati, aziende e Cantoni, nonché per gli ospedali con un mandato di prestazioni cantonale (ospedali figuranti nell’elenco). 2. All’interno della Confederazione, l’Ufficio federale della cibersicurezza (UFCS) potrebbe elaborare raccomandazioni e strumenti d’ausilio da accompagnare alle misure tecniche e organizzative nel settore della sicurezza dei dati. L’UFCS non potrebbe però renderli vincolanti, in quanto questa competenza spetta all’autorità normativa, ossia, nel settore sanitario, ai Cantoni. Il settore potrebbe anche elaborare autonomamente aiuti all’esecuzione adeguati, ad esempio attraverso l’Healthcare Cyber Security Center (H-CSC), associazione fondata su iniziativa di singoli ospedali svizzeri e con il sostegno dell’UFCS. L’obiettivo di quest’ultima è promuovere la collaborazione e lo scambio nell’ambito della cibersicurezza in maniera mirata, raccogliere conoscenze specialistiche e sostenere efficacemente gli ospedali nella gestione di incidenti informatici. 3. I servizi cloud sottostanno già alla legge federale o a una legge cantonale sulla protezione dei dati. Poiché gli ospedali figuranti nell’elenco sono di competenza dei Cantoni, essi sottostanno alle leggi cantonali in materia. Oltre alla questione dell’esistenza di una base costituzionale, che dovrebbe essere chiarita in dettaglio, un adeguamento della LPD per disciplinare l’uso di una determinata tecnologia (servizi cloud) equivarrebbe a una falla del sistema, poiché la LPD è stata formulata in modo volutamente neutro e non vi è menzione di tecnologie specifiche. 4. I Cantoni come i fornitori di prestazioni sono liberi di redigere elenchi di propria iniziativa.