Protezione dei dati: aspetti da considerare
Il Comune di Dänikon (ZH) è alla ricerca di uno strumento adatto a raccogliere i dati per il pagamento dei contributi alle sue associazioni di villaggio. Quali aspetti deve considerare questo Comune al fine di garantire il rispetto del diritto in materia di protezione dei dati? Il nuovo diritto svizzero pertinente prevede nuovi obblighi specifici?
Il diritto in materia stabilisce principi importanti che devono essere sempre rispettati. I più rilevanti sono la legalità, la proporzionalità e la sicurezza dei dati. Con il termine «legalità» si intende che qualsiasi trattamento di dati personali deve fondarsi su una base legale. Se la legge o il regolamento comunale, come spesso accade, non menziona esplicitamente il tema del trattamento dei dati, occorre che l’atto normativo disciplini almeno un compito pubblico per l’adempimento del quale è richiesto il trattamento dei dati personali.
In base al principio di proporzionalità possono essere registrati e ulteriormente trattati soltanto i dati necessari. Ad esempio, al Comune di Dänikon servono, per ciascuna associazione, i dati personali di una persona di contatto e il numero dei membri attivi, ma non i nomi o altri dati di chi vi aderisce. Anche il personale dei comuni può lasciare tracce dei propri dati nei protocolli tecnici, i cosiddetti «log». Se nei protocolli è possibile constatare chi ha svolto una certa attività e quando, tali informazioni costituiscono a loro volta dati personali che possono essere salvati e valutati solo se necessari al corretto esercizio del software.
Infine, la sicurezza dei dati garantisce che questi ultimi non siano accessibili a persone non autorizzate (confidenzialità), che non vengano falsificati (integrità) e che siano effettivamente disponibili in caso di bisogno (disponibilità).
In linea di principio, i software utilizzati dai comuni devono essere progettati per permettere un trattamento dei dati sicuro e conforme alla legge. Se sono connessi ad altri sistemi o a Internet, i software devono essere dotati di meccanismi appropriati, in modo tale che l’applicazione e i dati personali ivi salvati non diventino il bersaglio di attacchi perpetrati dall’esterno. Più sensibili sono i dati trattati, migliore deve essere il livello interno di sicurezza. Ne consegue che possono accedere ai dati unicamente i collaboratori che ne hanno realmente bisogno per l’adempimento dei loro compiti (autenticazione forte, autorizzazioni restrittive, eventualmente crittografia dei dati). Siccome i dati devono essere distrutti quando non sono più necessari, è imperativo garantire, sotto il profilo tecnico, che il software possa eliminarli in via definitiva. Se questo non dovesse avvenire automaticamente allo scadere del termine di conservazione, occorre indicare, in un apposito regolamento, la persona che all’interno dell’amministrazione è responsabile della distruzione dei dati e quando vi provvede.
Nuova legge federale sulla protezione dei dati?
Il 1º settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati. Le ripercussioni per i comuni sono esigue. Per i loro compiti pubblici si applica la rispettiva legge cantonale. I principi di legalità, proporzionalità e sicurezza dei dati sono integrati in tutte le leggi cantonali. La legislazione cantonale stabilisce a chi si possono rivolgere i comuni in caso di domande sulla protezione dei dati. Alcuni cantoni richiedono che i rispettivi comuni abbiano una propria autorità per la protezione dei dati (ad es. nel Cantone di Berna). In altri, gli organi di vigilanza cantonali sono responsabili anche dei comuni.
Guida per comuni digitali
Al giorno d’oggi, quasi nessun comune può «sfuggire» alla digitalizzazione. Mentre alcuni comuni sono già a buon punto, altri sono solo all’inizio del processo. Avete una domanda sulla digitalizzazione o sull’e-government nel vostro comune? Scriveteci e sottoporremo la vostra domanda agli esperti della nostra sezione «Guida per comuni digitali».
Contatto: info@chgemeinden.ch
