MIL OSI –
Source: Switzerland – Cancelleria federale
Incaricato federale della protezione dei dati e per la trasparenza
Berna, 04.06.2024 – A fine maggio 2024 l’Ufficio federale di polizia (fedpol), l’Ufficio federale della dogana e della sicurezza dei confini (UDSC) e la ditta Xplain hanno adottato integralmente le raccomandazioni formulate dall’IFPDT in seguito all’attacco ransomware subito da Xplain. Nella seconda metà del 2023 l’IFPDT aveva aperto tre inchieste. Il 1° maggio 2024 ha pubblicato i relativi rapporti finali con diverse raccomandazioni in materia di protezione dei dati (v. comunicato del 01.05.2024), che fedpol, l’UDSC e Xplain hanno ora adottato. L’Amministrazione federale e i suoi fornitori di servizi privati sono chiamati a riesaminare la loro collaborazione in base ai risultati delle tre inchieste. L’IFPDT si riserva di procedere ai relativi controlli in tutta l’Amministrazione federale.
Nell’ambito dell’utilizzo e dello sviluppo delle sue applicazioni digitali, l’Amministrazione federale collabora con aziende private alle quali viene affidato il trattamento di dati personali. Il riesame dell’attacco ransomware subito da Xplain in un’ottica di vigilanza giuridica evidenzia chiaramente l’entità dei rischi e i possibili danni che derivano da questo tipo di trasmissione di dati. L’adozione delle raccomandazioni vincola l’Amministrazione federale e tutti i suoi fornitori di servizi privati ad analizzare questi rischi elevati e a ridurli tempestivamente a un livello accettabile, prendendo provvedimenti idonei.
Secondo quanto è emerso dalle tre inchieste, a questo fine è necessario che siano rispettati i seguenti principi fondamentali della legislazione federale in materia di protezione dei dati:
In qualità di «titolari del trattamento» ai sensi del diritto in materia di protezione dei dati, gli organi federali che collaborano con aziende private («responsabili del trattamento», p. es. nell’ambito della fornitura di servizi di supporto) sono tenuti a valutare se sia necessario che dati personali escano dall’infrastruttura TIC protetta dell’Amministrazione federale o che fornitori privati accedano a tale infrastruttura. Devono inoltre verificare se sia possibile anonimizzare i dati personali prima della loro trasmissione e valutare gli ulteriori provvedimenti tecnici o organizzativi da adottare per evitare eventuali violazioni della protezione dei dati.
Dopo aver analizzato i rischi rilevanti in termini di protezione dei dati e definito i provvedimenti idonei per mitigarli, gli organi federali e i fornitori privati devono documentare in modo completo e comprensibile i loro processi di attuazione (p. es. flussi di dati, anonimizzazione e modalità di accesso). Gli organi federali sono inoltre tenuti a definire nei contratti stipulati con i fornitori privati i provvedimenti tecnici e organizzativi necessari, pattuendo, se necessario, pene convenzionali.
Nell’ambito del trattamento di dati personali, i fornitori privati responsabili del trattamento devono rispettare gli obblighi e le condizioni contrattuali in merito all’entità, all’intensità e alla durata del trattamento. A questo fine sono considerati provvedimenti idonei i piani per la cancellazione tempestiva dei dati, la sensibilizzazione e la formazione dei collaboratori, nonché periodiche revisioni interne o esterne.
L’IFPDT si riserva di procedere a controlli in tutta l’Amministrazione federale e presso i suoi fornitori di servizi privati.
Indirizzo cui rivolgere domande
Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Tel. +41 58 462 99 31, info@edoeb.admin.ch
Pubblicato da
Incaricato federale della protezione dei dati e per la trasparenzahttps://www.edoeb.admin.ch/edoeb/it/home.html
Social share