Protezione dati e ruolo del potere pubblico

Con il coronavirus, la digitalizzazione della società ha registrato un’accelerazione. Ciò riguarda non soltanto il lavoro, ma anche la pubblica amministrazione. Le segnalazioni di furti di dati sono in aumento, ad esempio nel caso di Swisscom e del certificato di vaccinazione svizzero. Inoltre devo rivelare sempre più dati che mi riguardano (ad esempio, attraverso il contact tracing). Infine, alcuni servizi sono accessibili solo digitalmente. Ma non ho alcun controllo su cosa accade esattamente con i miei dati, con chi vengono condivisi e quanto sono sicuri. Come viene regolamentato tutto ciò a livello giuridico?

L’art. 13 della Costituzione federale stabilisce che ogni persona ha diritto al rispetto della sua vita privata e familiare, domicilio e corrispondenza, scambio di lettere e telecomunicazioni, e alla protezione contro l’abuso dei suoi dati personali. La legge sulla protezione dei dati (LPD) riporta alcune regole di base per il trattamento dei dati da parte delle autorità. Molte di queste regole possono essere applicate in via facoltativa e non è prevista quasi nessuna conseguenza in caso di violazione. In base all’art. 8 della LPD, hai diritto di accesso ai tuoi dati: puoi cioè chiedere che ti siano comunicati.

La tipologia di dati raccolti su di me costituisce solo un aspetto. Ma come faccio a sapere da dove provengono questi dati, per che cosa vengono impiegati esattamente o se possono anche essere eventualmente trasmessi a terzi?

Il titolare di una raccolta di dati deve dirti da dove provengono i dati e per quale scopo ne ha bisogno. Deve anche comunicarti le basi giuridiche, le categorie di dati personali, le persone coinvolte nella raccolta e i destinatari dei dati. Tuttavia, ciò non viene quasi mai reso noto, e di solito è necessaria una richiesta e le informazioni non sono complete.

Ad esempio, la Confederazione ha esternalizzato a una società terza privata la gestione dei dati per il certificato di vaccinazione svizzero. Chi deve fornirmi quindi le informazioni sui miei dati? La Confederazione o questa società? E la Confederazione non è obbligata a gestire essa stessa questi dati sensibili, e non a lasciarli gestire a privati?

Se la Confederazione assegna il mandato a un’azienda privata, lo Stato è tenuto a fornire informazioni in qualità di committente. La Confederazione deve anche assicurarsi che l’azienda terza rispetti la legge sulla protezione dei dati e che venga garantita la sicurezza dei dati. Gli eventi da te citati dimostrano che ciò non viene attuato.

Se un furto di dati non può essere evitato, come posso difendermi dallo stesso come individuo? È possibile esigere la cancellazione dei dati, intentare una causa o chiedere un risarcimento danni se, coi miei dati, vengono commessi degli abusi o i dati cadono in mani sbagliate?

Hai la possibilità di intentare una causa per violazione della personalità ai sensi degli artt. 28 e 28a del Codice civile (CC) e di richiedere che i dati siano cancellati o non inoltrati a terzi. Oppure puoi presentare una denuncia penale ai sensi dell’art. 35 LPD. Tuttavia, la protezione avviene quasi sempre a posteriori e non a livello precauzionale. È ora che ogni persona riprenda la sovranità sui propri dati e che la pubblica amministrazione garantisca la sicurezza dei dati stessi.