Vai al contenuto principale Vai alla ricerca

Domande frequenti

Questa rubrica contiene una selezione di domande frequenti a cui è data una risposta volutamente succinta e in forma divulgativa. Per gli approfondimenti rinviamo alle altre sezioni del sito e alle norme vigenti.

La protezione dei dati in generale

La protezione dei dati tutela la sfera privata e la personalità degli individui. Ognuno deve essere libero di decidere, nei limiti dettati dalla legge, quali informazioni sulla propria persona possono essere rese pubbliche.
Il Canton Ticino garantisce la protezione dei dati all'art. 8 cpv. 2 lett. d della Costituzione ticinese. Concretamente il tema è regolato nella Legge cantonale sulla protezione dei dati personali (LPDP) e nel relativo regolamento d'applicazione (RLPDP), così come nella Legge sulla protezione dei dati personali elaborati dalla polizia cantonale e dalle polizie comunali (LPDPpol).
A livello federale sono fondamentali l'art. 13 Cost., la Legge federale sulla protezione dei dati (LPD) e la sua ordinanza (OLPD).

La Legge cantonale si applica ad ogni elaborazione di dati personali da parte di Cantone, Comuni, altre corporazioni e istituti di diritto pubblico e loro organi, nonché persone fisiche e giuridiche di diritto privato, cui siano demandati compiti pubblici (art. 2 cpv. 2 LPDP).
La Legge federale invece si applica al trattamento di dati da parte di persone private e organi federali (art. 2 cpv. 1 lett. a-b LPD).

I dati personali sono le informazioni che direttamente o indirettamente permettono di identificare una persona (art. 4 cpv. 1 LPDP).
Alcuni dati personali sono considerati "sensibili" (o degni di particolare protezione), perché permettono di individuare determinate caratteristiche della personalità dell'individuo interessato; si tratta di informazioni sulle opinioni o sulle attività religiose, filosofiche o politiche, la sfera intima, lo stato psichico, mentale o fisico, come pure quelle sui reati commessi, le relative pene inflitte e i provvedimenti adottati (art. 4 cpv. 2 LPDP).

Diritti della persona interessata

Sì, su richiesta la persona interessata può - senza dimostrare un interesse particolare - far bloccare dall'organo responsabile in ogni momento la trasmissione dei suoi dati a persone o organizzazioni private. Il diritto di blocco è regolato nell'art. 25a LPDP. Non è però possibile far valere una richiesta globale indirizzata allo Stato, ma occorre rivolgersi ad ogni singolo organo responsabile, precisando quali dati si intende bloccare e nei confronti di chi.

Il diritto di blocco non è assoluto e può essere escluso alle condizioni stabilite dall'art. 25a cpv. 2 LPDP (ad esempio quando la legge obbliga l'organo responsabile a trasmettere i dati della persona che ha esercitato il diritto di blocco, oppure quando la persona interessata ha fatto bloccare la trasmissione con l'unico intento di sottrarsi ad un obbligo legale).

 

Sì, chiunque può esigere dall'organo responsabile informazioni in merito all'eventuale elaborazione di dati che lo riguardano. Questo diritto è garantito dalla Costituzione (art. 8 cpv. 2 lett. d Cost./TI) ed è regolato dagli art. 23 e 24 LPDP e 18 e 19 RLPDP.
Il diritto di informazione non è assoluto, ma può essere limitato o rifiutato alle condizioni stabilite agli art. 24 LPDP e 19 RLPDP, ossia quando interessi pubblici o interessi di terzi particolarmente meritevoli di tutela lo esigano (art. 24 cpv. 1 LPDP) o quando l'informazione non può essere comunicata al richiedente perché ne avrebbe turbamento (in questo caso può essere data a una persona di fiducia, art. 24 cpv. 2 LPDP).

Inoltre se l'istante non è in grado di dimostrare un interesse meritevole di tutela, l'informazione può essere limitata o rifiutata quando la stessa comporta un eccessivo onere amministrativo e l'istante non ne intende sopportare le spese (art. 24 cpv. 3 lett. a LPDP); i dati personali sono definitivamente archiviati (art. 24 cpv. 3 lett. b LPDP) o i dati personali sono elaborati senza riferimento a persone specifiche (art. 24 cpv. 3 lett. c LDPD).

 

Se i dati elaborati sono inesatti o incompleti è possibile chiederne la rettifica o la cancellazione; occorre però far valere un interesse meritevole di tutela (art. 25 LPDP).

È ricon sciuto il diritto di ciascuno di opporsi ad un impiego di dati illecito e lesivo della personalità (chiedendo ad esempio l'interruzione di un'elaborazione di dati, l'accertamento dell'illegalità o l'eliminazione delle conseguenze dell'elaborazione), rispettivamente di poter impugnare davanti ad un'autorità giudiziaria eventuali decisioni negative (art. 26 lett. a-c LPDP).

Dipende. Se si tratta di dati elaborati da un organo federale o da privati, occorre rivolgersi all’Incaricato federale della protezione dei dati. Se invece si tratta di dati elaborati dal Cantone, dai Comuni, da altre corporazioni e istituti di diritto pubblico o loro organi, occorre rivolgersi all’Incaricato cantonale della protezione dei dati. Inoltre esiste la possibilità d’interporre ricorso contro la decisione dell’organo che elabora i dati o inoltrare denuncia contro quest’ultimo, alla Commissione cantonale per la protezione dei dati (art. 31 segg. LPDP).

Argomenti vari

Il municipio può trasmettere in ordine sistematico i dati neutri (cognome, nome e indirizzo) se è garantita la loro utilizzazione solo per scopi ideali (art. 12 cpv. 2 LPDP). Ad esempio, su richiesta, il Municipio può rilasciare alle società sportive locali una lista dei ragazzi domiciliati nel comune e nati tra il 1989 e il 2003, menzionante nome, cognome e indirizzo, affinché gli stessi possano essere invitati a partecipare alle attività sportive organizzate dalla società.
Gli altri dati possono essere trasmessi solo se l'istante dimostra un interesse particolarmente meritevole di tutela (art. 12 cpv. 3 LPDP).

L'Ufficio controllo abitanti invece trasmette, su richiesta scritta, le indicazioni concernente il cognome, il nome, il sesso, l'indirizzo, la data di arrivo e di partenza, la professione, il luogo d'origine e la data di nascita di una singola persona, se l'istante fa valere un interese legittimo (art. 12 cpv. 1 LPDP).

 

La videosorveglianza di spazi pubblici (ad esempio le scuole, le strade o le discariche comunali,) è da considerare un'elaborazione di dati personali ed è permessa solo se esiste una base legale (ad esempio un regolamento comunale) o se l'elaborazione serve all'adempimento di un compito legale (art. 6 cpv. 1 LDPD). Inoltre la videosorveglianza deve essere un mezzo adeguato e necessario a conseguire l'obiettivo fissato, cioè la sicurezza (principio della proporzionalità).

Inizialmente (anni or sono) il termine di conservazione massimo delle immagini, a livello svizzero e internazionale era, per prassi, stabilito in sole 24 ore. Dall’esperienza pratica è però emerso che questo termine risultava troppo restrittivo. In una sentenza importante del 2006 che si riferiva alla videosorveglianza del centro della città di San Gallo, il Tribunale federale ha ritenuto lecita - alla luce del principio di proporzionalità - una conservazione delle registrazioni fino a 100 giorni (e non ore). Questo limite, comunque massimo, è stato poi ripreso in diverse normative federali successive (p.es. l’art. 16b della legge federale sulle ferrovie, l’art. 55 della legge federale sul trasporto dei viaggiatori e l’art. 4 dell’ordinanza sulla videosorveglianza nei trasporti pubblici). Altre disposizioni prevedono invece un termine massimo di conservazione di quattro settimane o di un mese (p.es. l’art. 30 cpv. 3 dell’ordinanza sul gioco d’azzardo e le case da gioco e l’art. 7 dell'ordinanza sull’impiego di telecamere, videoregistratori e altri apparecchi di sorveglianza da parte dell’Amministrazione federale delle dogane). Anche a livello di altri cantoni la tendenza è piuttosto al rialzo rispetto al termine generale massimo introdotto inizialmente di sole 24 ore. Allo stesso modo, anche il nuovo art. 9c della legge cantonale sulla polizia LPol prevede un termine di conservazione massimo di 7 giorni, salvo in caso di estrazione delle immagini per determinate situazioni, dove esse possono essere conservate per 100 giorni (questo termine è invece la regola per le registrazioni audio e video per l’identificazione di veicoli secondo l’art. 9b LPol).

Anche se facilmente praticabile, uno schematismo della durata di conservazione non è sempre la soluzione ideale: occorre sempre tener conto delle situazioni specifiche, della facilità a riconoscere atti illeciti e dei fini perseguiti con la videoregistrazione. Un termine di conservazione massimo di 5-7 giorni per constatare l'esistenza di un danno all'infrastruttura pubblica (piazzali, strade, scuole ecc.) o di un illecito (furti, deponia selvaggia di rifiuti ecc.) è normalmente sufficiente, considerando adeguatamente anche i giorni festivi. Sta al Comune, semmai, giustificare per quali ragioni oggettive ritenga che questo termine non sia sufficiente nell'ambito specifico, nel qual caso potrebbe estenderlo, modificando puntualmente il regolamento comunale, purché la durata aumentata si giustifichi anche dal profilo del principio di proporzionalità.

Internet

Con il termine in lingua inglese Cloud Computing (in italiano “nuvola informatica”) si intende l’insieme di tecnologie che permette di conferire a terzi, tipicamente tramite Internet, il mandato di eseguire per conto del mandante, nell’ambito di una esternalizzazione (o outsourcing), tutta una serie di servizi, quali la memorizzazione di dati (si memorizzano i propri dati su server terzi), l’uso di programmi informatici (invece di installare un programma sul proprio computer se ne usa uno reperibile in rete) o il tempo macchina (usando il processore di un computer terzo invece del proprio).

Dal punto di vista della protezione dei dati, e più in generale della sicurezza informatica, il Cloud Computing, oltre ad offrire enormi opportunità, comporta anche tutta una serie di rischi. In effetti in una soluzione di Cloud Computing non è possibile sapere su quale o quali server sono memorizzati i dati dell’utente, in quali paesi si trovano fisicamente questi server, se e quali misure di sicurezza prese per proteggerli, quale diritto è applicabile, se e quali dati vengono venduti o incrociati con altri (all’insaputa dell’utente) e così via

L’uso del Cloud Computing implica una trasmissione di dati a terzi (spesso all’estero), per la quale è necessario analizzare le relative questioni legali prima di procedere.

Ulteriori informazioni riguardanti il Cloud Computing sono ottenibili presso il sito dell’Incaricato federale della protezione dei dati e della trasparenza.

 

Per rispondere a questa domanda occorre sapere chi ha pubblicato queste informazioni nei social network e chi vi ha accesso.

In effetti se la persona interessata (ad esempio la persona ripresa in una fotografia) ha essa stessa pubblicato i dati in questione e se, facendolo, ha di fatto concesso l'accesso a chiunque (ad esempio mettendole nel proprio profilo pubblico), questi dati sono da considerarsi pubblici - a meno che la persone si sia esplicitamente opposta ad ulteriori elaborazioni - ed è dunque possibile copiarli, completarli con altre informazioni (a condizione che queste siano pure pubbliche), pubblicarli su Internet, ecc.

Negli altri casi, cioè se sono stati pubblicati da un terzo, se la persona interessata, pubblicandoli, ne ha limitato l'accesso ad un gruppo ristretto (ad esempio i suoi amici) o per fini ben definiti, o se si è esplicitamente opposta ad ulteriori elaborazioni, per poterli copiare, completare o pubblicare è necessario ottenere il suo consenso libero ed informato.

 

Se la fotografia permette l'identificazione della persona (primo piano, ma anche foto di classe), si tratta di un dato personale ed è possibile procedere alla pubblicazione a condizione che tutte le persone coinvolte abbiano dato il proprio consenso (cioè tutti gli allievi che compaiono sulla foto di classe o, se minorenni, i loro genitori o rappresentanti legali); art. 11 cpv. 1 lett. b LPDP.

In generale le reti sociali (in inglese, ma ormai usato anche in italiano, social network) sono dei gruppi di persone connesse tra di loro da dei legami sociali (amici, parenti, colleghi, ex-compagni di classe, ecc). Nel mondo di Internet, con il termine social network si intendono delle piattaforme informatiche, in cui gli utenti, dopo essersi iscritti, possono interagire tra di loro. Tra i social network più diffusi si trovano Facebook, MySpace, Twitter, Linkedin, Badoo, Netlog e tanti altri.

All'interno dei social network esistono vari modi per comunicare. Nel caso della messaggeria o delle chat, chi scrive si indirizza, tipicamente, a una o poche singole persone da lui scelte. In questo senso quanto scritto in una simile circostanza può essere considerato come uno spazio d'opinione privato.Diverso il discorso se si tratta di uno scritto pubblicato sulla bacheca di un gruppo aperto a tutti. In effetti chiunque potrebbe iscriversi a quel gruppo e leggere quanto pubblicato. In questi casi bisogna parlare di uno spazio pubblico.

Nel lontano (almeno in termini informatici) 1996, la Commissione Europea diceva "Ciò che è illegale fuori dalla rete, rimane illegale anche nella rete". Presso la popolazione questo messaggio non è ancora passato. Nel mondo virtuale, ad esempio nelle bacheche dei gruppi su Facebook o nei vari blog e forum di discussione si leggono spesso interventi di utenti che, coperti da un apparente anonimato, si lasciano andare a comportamenti (insulti, razzismo, minacce, ecc) che ben difficilmente avrebbero nel mondo reale. Anche in Svizzera i tribunali si trovano sempre più confrontati con casi di reati commessi su Facebook. Ad esempio nel maggio 2011 una 19enne dal Canton San Gallo è stata condannata per aver insultato una persona nella bacheca di un gruppo. Una sentenza destinata a fare giurisprudenza.

La risposta è semplice: no, i giovani (e non solo loro) molto spesso non si rendono conto che quanto viene pubblicato su Internet (e quindi anche su Facebook) anche solo per poco tempo è da considerarsi come accessibile a tutti e per sempre.Facebook, ad esempio, dà la possibilità di “cancellare” del materiale pubblicato, ma non si ha nessuna garanzia che questo materiale venga effettivamente e definitivamente eliminato. Inoltre non si può sapere se qualcuno abbia nel frattempo copiato quanto pubblicato. Anche cancellando un intero profilo, Facebook si limita in realtà a disattivarlo, senza eliminarne i contenuti. Se in futuro si ricrea un nuovo profilo usando lo stesso indirizzo email per iscriversi, si ritroverà tutto quanto pubblicato fino al momento della cancellazione.Un esempio pratico: nel 2006 l’agenzia delle entrate italiana ha pubblicato sul proprio sito i redditi dichiarati di tutti i cittadini italiani. Dopo poche ore e in seguito all’intervento dell’autorità di protezione dei dati, le informazioni sono state rimosse dal sito. I dati erano stati nel frattempo scaricati e memorizzati da più persone. Questi dati sono tuttora disponibili nelle reti P2P ed è ormai praticamente impossibile eliminarli dalla rete.

Quando si pubblicano dei dati su Internet non è sempre possibile sapere dove si trova il server sul quale verranno memorizzati questi dati. Non si può sapere in quali e quanti paesi transiteranno questi dati prima di arrivare al server. Non è nemmeno possibile sapere chi scarica questi dati e cosa ne fa. Li copia? Li vende? Li distribuisce? Li combina con altri dati? In poche parole non è possibile sapere quante copie dei dati ci saranno, dove e cosa ne verrà fatto. Trovandosi queste copie in tanti paesi diversi, non è nemmeno facile capire quale sia il diritto applicabile.Quando si pubblica del materiale su Internet, bisogna partire dal principio che diventerà accessibile a tutti e per sempre. Se non si è disposti ad accettare questa conseguenza, l'unico comportamento responsabile è non pubblicarlo.

Dare una risposta generale non è possibile, in quanto le configurazioni possibili cambiano per ogni social network. Se si parla di Facebook in particolare, il problema maggiore è che i parametri per la privacy, che in effetti esistono, per default sono disattivati. L’utente stesso deve preoccuparsi di attivarli. Il problema è che spesso non sa che questi parametri esistono. Molto meglio sarebbe un’impostazione di default che minimizzi gli accessi da parte di terzi, dando la possibilità all’utente di modificarli a suo piacimento.