Lexipedia

17.4128 · Interpellanza · 2017-12-13

Dipartimento di giustizia e polizia

Liquidato

Wortlaut

Il 4 dicembre 2017 la CNIL francese (Commission Nationale de l'Informatique et des Libertés) ha ingiunto all'impresa Genesis di conformarsi alla legge per poter continuare a commercializzare i suoi giocattoli connessi. Dal canto suo, nel febbraio 2017 la Germania ha vietato questo tipo di giochi. Risulta che persone malintenzionate potevano connettersi via Bluetooth a giocattoli connessi senza che fosse necessaria una password o un altro tipo di sicurezza. È pertanto facile ascoltare e parlare a un bambino all'insaputa dei suoi genitori. Inoltre, al momento dell'acquisto del giocattolo non è chiaramente menzionata l'indicazione dell'analisi e della trasmissione dei dati raccolti a fini pubblicitari. I genitori pertanto non sanno che i loro dati e quelli dei loro figli sono trasmessi all'estero senza alcun controllo.

Da varie ricerche risulta che in Svizzera nessun organismo potrebbe agire come avviene nei Paesi limitrofi senza incorrere in una violazione della legge. Il Consiglio federale è pregato di rispondere alle domande seguenti:

1. Conferma che non è possibile agire contro oggetti connessi che non rispetterebbero determinati requisiti minimi di sicurezza sul piano della protezione dei dati?

2. Perché la legge sulla sicurezza dei prodotti non può essere applicata in caso di violazione della sfera privata?

3. Quali soluzioni potrebbero essere realizzate per consentire l'intervento di un organo federale?

4. Sarebbe opportuno che l'Incaricato federale della protezione dei dati e della trasparenza possa raccomandare alla SECO di ritirare dal mercato determinati prodotti?

5. Il Consiglio federale può garantire che con la revisione della legge sulla protezione dei dati e con i principi del "privacy by design and by default" e del "control by design" questo tipo di problema non si presenterà più?

6. L'importatore o il distributore devono verificare che un oggetto connesso sia sicuro e conforme alla legge, come avviene per i prodotti alimentari?

7. A che punto sono le discussioni a livello europeo per determinare il miglior modo di reagire in caso di oggetti connessi non sicuri?

Stellungnahme des Bundesrates

I giocattoli connessi possono sottostare a diverse disposizioni legali. La legge federale sulla protezione dei dati (LPD; RS 235.1) si applica al trattamento di dati personali, tranne se i dati sono trattati per un uso esclusivamente personale e non sono comunicati a terzi. L'ascolto e la registrazione di conversazioni possono costituire un reato (art. 179ter segg. CP; RS 311.0). I giocattoli connessi sono inoltre disciplinati dall'ordinanza del DFI concernente la sicurezza dei giocattoli (OSG; RS 817.023.11) e dall'ordinanza sugli impianti di telecomunicazione (OIT; RS 784.101.2).

Il Consiglio federale risponde all'interpellanza come segue:

1. Il Consiglio federale ritiene che sia già possibile intervenire. Dato che l'impresa che produce il giocattolo connesso tratta dati personali (p. es. mediante un'applicazione scaricabile), la LPD è applicabile se il trattamento presenta un legame sufficientemente stretto con la Svizzera (DTF 138 II 346). L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) potrebbe per esempio raccomandare al titolare della collezione di dati di cessare il trattamento (art. 29 cpv. 3 LPD). Se la sua raccomandazione non fosse seguita, potrebbe deferire la pratica al Tribunale amministrativo federale per decisione (art. 29 cpv. 4 LPD). Il disegno di revisione della LPD (D-LPD; FF 2017 6173) prevede di conferire all'IFPDT competenze decisionali. Secondo tale progetto, potrebbe, in caso di trattamento illecito, vietare un trattamento e ordinare la distruzione dei dati personali in questione. Potrebbe pure ordinare l'adozione di provvedimenti tecnici e organizzativi adeguati in materia di sicurezza (art. 45 cpv. 1 e 3 in combinato disposto con l'art. 7 D-LPD).

2. I beni protetti dalla legge federale sulla sicurezza dei prodotti (LSPro; RS 930.11) sono la sicurezza e la salute degli utenti o di terzi. La LSPro ha dunque lo scopo di proteggere la sicurezza fisica e la salute in quanto tali e quindi l'integrità fisica nell'utilizzo del prodotto, ma non quello di tutelare i dati personali o la sfera privata. Va inoltre rammentato che i giocattoli connessi sono retti in primo luogo dall'OSG. La LSPro si applica in via sussidiaria soltanto per gli aspetti non disciplinati dall'OSG.

3. Rinviamo ai numeri 1, 5 e 7.

4. Come indicato al numero 1, con la revisione della LPD l'IFPDT potrà emanare decisioni sul trattamento di dati personali. Non è invece previsto di conferirgli competenze che gli permettano di ritirare determinati prodotti dal mercato. Questo esulerebbe dall'ambito della protezione dei dati.

5. Il D-LPD prevede varie misure che dovrebbero contribuire a responsabilizzare i titolari del trattamento. Ciò include anche il rispetto dei principi della protezione dei dati fin dalla progettazione e della protezione per impostazione predefinita. I titolari dovranno peraltro garantire, mediante provvedimenti tecnici e organizzativi appropriati, un'adeguata sicurezza dei dati ed effettuare una valutazione d'impatto sulla protezione dei dati quando un trattamento può presentare un rischio elevato per la personalità delle persone implicate. Non è tuttavia escluso che in futuro saranno necessarie altre misure che non rientrano necessariamente nella protezione dei dati. A tale proposito il Consiglio federale rinvia in particolare alla sua risposta al postulato Glättli 17.4295, che chiede un rapporto sull'esame degli standard di sicurezza per i dispositivi connessi a Internet.

6. I prodotti immessi in commercio devono rispettare i requisiti essenziali di sicurezza e di tutela della salute secondo l'articolo 4 LSPro o, se non sono stati stabiliti requisiti di questo tipo, corrispondere allo stato delle conoscenze e della tecnica. Chi immette in commercio un prodotto deve poter dimostrare che i requisiti summenzionati sono rispettati. Dato che la maggior parte dei prodotti non ha bisogno di un'autorizzazione per essere immessa in commercio, la sorveglianza è effettuata a posteriori, per il tramite di controlli a campione e dichiarazioni. Tuttavia, come indicato al numero 2, la LSPro non tutela i dati personali e la sfera privata, e nemmeno i requisiti essenziali di conformità dei prodotti contengono prescrizioni volte a proteggere tali beni.

7. A febbraio 2018 a livello europeo si terranno discussioni preliminari sulla possibilità di rendere obbligatorie esigenze supplementari in materia di protezione dei dati per i dispositivi connessi senza fili nel quadro della direttiva 2014/53/UE (direttiva concernente l'armonizzazione delle legislazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio). Dato che questa direttiva è stata trasposta nell'OIT, il Consiglio federale seguirà con interesse gli sviluppi in questo settore. Inoltre, il 16 settembre 2014 il gruppo di lavoro "articolo 29" sulla protezione dei dati ha formulato raccomandazioni concernenti i dispositivi connessi.

Risposta del Consiglio federale.