Questa storia appartiene alla categoria Corporate e al dossier Servizi infrastrutturali

Il problema della classificazione dei dati

Una scuola universitaria non può esternalizzare a piacimento dati in una cloud.

Testo: Floriane Zollinger-Löw, pubblicato il 26.02.2016

Numerose norme legali limitano le operazioni con i dati. Le relative disposizioni si trovano tra l'altro nella legislazione sulla protezione dei dati e in leggi concernenti la sicurezza delle informazioni. Occorre tenere in considerazione anche il segreto d'ufficio. Le organizzazioni che sono certificate secondo la norma ISO 27001, ossia che dispongono di un sistema di gestione della sicurezza delle informazioni certificato, devono rispettare regole supplementari. Occorre tenere in considerazione tutte queste disposizioni, se si esternalizzano dei dati in una cloud.

Legislazione sulla protezione dei dati

Quando si trattano dei dati personali, occorre osservare in particolare i principi generali di legittimità, proporzionalità, vincolo di scopo, riconoscibilità e sicurezza dei dati. Per gli organi pubblici cantonali, così come per quelli federali, vale altresì che per il trattamento dei dati personali deve di principio esserci una base legale. Ciò significa, tra l'altro, che documenti contenenti dati personali possono essere trasmessi solo a determinate condizioni. Ciò non vale solo per la trasmissione a persone esterne, ma anche all'interno della scuola universitaria.

Inoltre, i dati personali devono essere protetti da trattamenti illeciti tramite misure tecniche e organizzative adeguate. Lo scopo delle misure è di garantire la riservatezza, la disponibilità e l'integrità dei dati.

Segreto d'ufficio

L'esternalizzazione di segreti d'ufficio in una cloud può essere punibile, se terzi ottengono l'accesso ai dati. Le scuole universitarie dovrebbero dunque identificare i dati che rientrano nell'ambito del segreto d'ufficio.

Il segreto d'ufficio è regolato dall'art. 320 del Codice penale svizzero (CP). Questo proibisce a funzionari o a membri di autorità di rivelare segreti. Valgono quali segreti nel senso di questa disposizione in primo luogo fatti che sono noti o accessibili solo a una ristretta cerchia di persone, secondariamente fatti che l'istituzione vuole mantenere segreti e, infine, fatti per i quali sussiste un interesse legittimo alla loro segretezza.

È tuttavia considerato segreto d'ufficio solo quello che può essere mantenuto segreto secondo la legge sulla trasparenza. Ciò è ad esempio il caso se, garantendo l'accesso alle relative informazioni, possono essere rivelati segreti d'affari. Tuttavia, i documenti dovrebbero sempre essere trattati come segreti d'ufficio non appena sussiste un interesse soggettivo alla loro segretezza, e ciò indipendentemente dal fatto che vi sia o meno un segreto d'ufficio in senso giuridico nel singolo caso. È pur vero che in questo modo non si può evitare che i relativi documenti debbano essere consegnati in un'eventuale procedura, ma si può evitare che le persone che trattano le informazioni le trasmettano di loro iniziativa.

Classificazione: consigli per l'attuazione

Cosa può fare una scuola universitaria per essere in regola con tutte queste disposizioni? Non si può pretendere che ogni collaboratore della scuola universitaria sappia come sia la situazione legale per quanto attiene i dati che egli sta trattando. Sarebbe più facile se in una scuola universitaria fossero innanzitutto create delle categorie di dati, che prevedono regole vincolanti in merito al trattamento degli stessi. In seguito, a queste categorie dovrebbero essere attribuite determinate raccolte di dati.

Purtroppo, una classificazione di questo genere non è per niente facile, come dimostra l'esempio dei dati personali. Questi ultimi non possono essere registrati come raccolte di dati indipendenti poiché si trovano nei documenti più disparati. Tuttavia, possono perlomeno essere identificate delle raccolte di dati contenenti praticamente sempre dati personali, come ad esempio contratti, generalità degli studenti o e-mail. La scuola universitaria potrebbe dunque attribuire questi documenti a una categoria che limita la trasmissione e che prevede ulteriori condizioni per il loro trattamento.

Infine, l’utilità di una classificazione dei dati è data dalla sua effettiva applicazione all'interno dell'organizzazione. Il perfezionismo non può tuttavia essere l'obiettivo di una classificazione dei dati poiché una cosa è certa: senza una classificazione dei dati, la loro protezione non può essere affatto garantita, e una soluzione imperfetta è dunque spesso meglio di nessuna soluzione.

Foto: Dmitrii Kotin, iStock
Versione dettagliata dell'articolo (solo in tedesco)
Questo testo è apparso nello SWITCH Journal marzo 2016.

 

Sull’autore
Floriane   Zollinger-Löw

Floriane Zollinger-Löw

Da luglio 2014 Floriane Zollinger-Löw opera come consulente legale presso SWITCH. Ha studiato giurisprudenza all'Università di Zurigo ed è abilitata come avvocato in Svizzera. Prima di incontrare SWITCH lavorava presso uno studio legale con indirizzo economico a Zurigo e presso il Tribunale commerciale del Cantone di Argovia.

E-mail
Altri contributi