Questa storia appartiene alla categoria Servizi e al dossier Identity Management

Diritto all'oblio e conservazione a vita di dati

Quali risposte ha SWITCH alle domande in merito alla protezione dei dati nel caso della Swiss edu-ID?

Testo: Esther Zysset, pubblicato il 01.10.2015

Tessera studente, tessera della biblioteca, Unilogin e molto altro, ma senza tessera fisica; la Swiss edu-ID dovrebbe essere tutto questo. Ma, dal punto di vista giuridico, la Swiss edu-ID riguarda principalmente i dati, anche detti attributi. Si tratta di informazioni sull'utente, che vengono raccolte e salvate da diverse fonti o attribute authorities e per lo più trasmesse ai service provider.

Così era in certa misura già nel caso di SWITCHaai. La novità, tuttavia, nel caso della Swiss edu-ID, sta in quanto segue:

  • SWITCH come creatrice: il conto Swiss edu-ID non viene più creato dalla scuola universitaria, ma da SWITCH, e ciò, come prima, su iniziativa dell'utente. Di nuovo c'è quindi una creatrice centralizzata, denominata identity provider nel gergo specialistico. L'aspetto positivo in questa soluzione è che le scuole universitarie hanno un onere inferiore e che si evitano doppioni. Il rischio in ciò è tuttavia sta nel fatto che i dati sono concentrati in un unico luogo. Di conseguenza la sicurezza e la disponibilità sono ancora più decisive. A questo punto per SWITCH si pone la questione di come agire rispetto alla protezione dei dati;
  • disponibilità per tutta la vita: la Swiss edu-ID dovrebbe restare a disposizione dell'utente per tutta la vita. A tal proposito entra ora in gioco il "diritto all'oblio" (the right to be forgotten). In merito, per SWITCH si pone la questione di come l'identità possa essere effettivamente utilizzata per tutta la vita, senza che venga conservato senza motivo un cumulo di dati personali non utilizzati per anni e per decenni.

In aggiunta, si devono tener distinti i due scopi di utilizzo della Swiss edu-ID. A tale riguardo è importante sapere che, nella protezione dei dati, viene in considerazione il diritto di colui che decide sullo scopo di impiego dei dati, utilizzando le parole della legge, sullo scopo del loro trattamento:

 

  • primo scopo: la semplificazione di processi amministrativi per la gestione della scuola universitaria; qui è la scuola universitaria a decidere sullo scopo del trattamento. SWITCH, invece, riveste il ruolo dell'incaricato del trattamento dei dati della scuola universitaria. In quanto tale è soggetta alle stesse norme sulla protezione dei dati della scuola universitaria, perlopiù norme cantonali;
  • secondo scopo: l'utilizzo della Swiss edu-ID per fini privati del titolare dell'identità; ad esempio per l'acquisto di un prodotto, che risulta scontato per gli studenti. Qui decide l'utente da solo, chi riceve quali dati su di lui. SWITCH in tal caso, quale altro contraente dell'utente, è obbligata soltanto nei confronti di quest'ultimo ed è soggetta alla Legge federale sulla protezione dei dati.

Come sopra indicato, le scuole universitarie, nella semplificazione di processi amministrativi, soggiacciono a norme cantonali per il trattamento dei dati. Queste possono essere molto differenziate tra loro. Al fine di tener conto delle diverse leggi cantonali già nella concezione della Swiss edu-ID, SWITCH ha preso contatto con varie autorità incaricate della protezione dei dati e ha richiesto la loro valutazione. Sono stati condotti colloqui con l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) nonché con le autorità cantonali a Zurigo, Friburgo e Lucerna. I riscontri verranno progressivamente integrati nei successivi lavori.

Dai colloqui sono già emerse le considerazioni che seguono:

  • conservazione degli attributi presso SWITCH: dopo l'uscita dell'utente dalla scuola universitaria i suoi attributi devono essere conservati qualora voglia continuare a utilizzare la Swiss edu-ID. La scuola universitaria, nella maggior parte dei casi, necessita a tale scopo di una base legale, che ad oggi non esiste. Di conseguenza, al momento dell'uscita, gli attributi dell'utente dovrebbero essere trasferiti a SWITCH per l'ulteriore utilizzo, poiché SWITCH non è soggetta a tale requisito;
  • regime della conservazione a vita di dati: la Swiss edu-ID, da un lato, deve rimanere a disposizione per tutta la vita, rispettivamente poter essere riattivata al bisogno. Dall'altro lato, gli attributi di una Swiss edu-ID non più utilizzata, ai fini della protezione della personalità, non devono essere conservati per sempre. Per conciliare questi due interessi contrastanti, al titolare di una Swiss edu-ID non utilizzata dovrà essere richiesto a intervalli regolari – ad esempio ogni cinque anni – se i suoi dati debbano essere ancora conservati oppure cancellati.

Rispetto a SWITCHaai rimarrebbe però invariato quanto segue: è l'utente che decide sullo svincolo dei suoi attributi nei confronti del service provider mediante lo user consent.

Questo testo è apparso nello SWITCH Journal ottobre 2015.
Ulteriori articoli su questioni giuridiche riguardanti la Swiss edu-ID:

 

Sull’autore
Esther   Zysset

Esther Zysset

Esther Zysset dirige il servizio giuridico di SWITCH dal 2012. In precedenza lavorava come avvocato in uno studio specializzato in diritto economico.

E-mail

Swiss edu-ID

SWITCH sta costruendo, assieme alle scuole universitarie svizzere, un’identità digitale a vita. Con essa tutti i titolari possono avere accesso a servizi universitari. Anziché molte identità per accessi diversi ne hanno bisogno di una sola. La Swiss edu-ID è un’evoluzione di SWITCHaai. Questa è stata in servizio per più di 10 anni e viene utilizzata da oltre 400’000 persone. La Swiss edu-ID compie ora un paio di decisivi passi in avanti: SWITCHaai fu concepita per l’utilizzo di risorse Web e presuppone l’appartenenza a un’istituzione. La Swiss edu-ID, invece, è intesa per una molteplicità di applicazioni e quale identità a vita.

http://projects.switch.ch/eduid/
Altri contributi