Questa storia appartiene alla categoria Servizi e al dossier Identity Management

Prudenza nel trattamento di dati personali

Cosa deve essere tenuto in considerazione per il trattamento di dati personali nell'ambito della Swiss edu-ID?

Testo: Esther Zysset, pubblicato il 26.11.2015

In relazione con la Swiss edu-ID, dati personali sono trattati da diversi uffici. In quest'ambito l'attenzione è d'obbligo poiché valgono i principi della protezione dei dati.

Questi principi sono:

  • Legittimità: Vi sono altre norme giuridiche che vietano il trattamento dei dati concreto?
  • Riconoscibilità: Il trattamento dei dati è riconoscibile per la persona interessata?
  • Proporzionalità: Sono veramente trattati solo i dati necessari a raggiungere lo scopo perseguito?
  • Vincolo di scopo: I dati sono trattati solo per gli scopi che sono stati comunicati o che sono riconoscibili?
  • Esattezza dei dati: I dati sono corretti dal punto di vista del contenuto?
  • Comunicazione all'estero: I principi applicabili sono rispettati?
  • Sicurezza dei dati: I dati sono protetti tramite appropriate misure tecniche e organizzative?

Come alcuni dei concetti lasciano intendere, si deve valutare ogni volta nel singolo caso come deve essere interpretata la messa in atto di questi principi. Ciò significa che si giudica a seconda della prestazione concreta in maniera diversa, se per l'utente il trattamento dei dati è riconoscibile. È dunque riconoscibile che i miei dati personali sono trasmessi all'estero, se invio un'e-mail a una persona all'estero. Per contro, se apro un conto presso un negozio online, non è per me riconoscibile senza ulteriori indicazioni che i miei dati sono utilizzati per scopi di marketing.

Oltre al rispetto dei principi "rigorosi" sopra elencati, una buona protezione dei dati si distingue dal fatto che la sua messa in atto offre quanta più trasparenza possibile e lascia al singolo quanto più controllo possibile sui propri dati. SWITCH mira a mettere in atto la protezione dei dati nell'ambito della Swiss edu-ID come segue.

  • Riconoscibilità: L'utente della Swiss edu-ID ha accesso al suo conto. Nello stesso sono anche elencati gli attributi utilizzati. La trasmissione di attributi a un provider di servizi è indicata all'utente nel singolo caso, analogamente a quanto è fatto nello SWITCHaai con il modulo "uApprove". L'implementazione di questo modulo è consigliata a tutte le scuole universitarie. Nel caso in cui la scuola universitaria utilizzi la Swiss edu-ID nell'ambito della sua amministrazione senza che ciò sia riconoscibile per l'utente, essa dovrà informarlo di ciò in forma appropriata.
  • Proporzionalità: Le categorie di attributi sono limitate ad attributi sensati e giustificati nell'ambito della Swiss edu-ID. Non ci saranno attributi che non sono giustificati nell'ambito degli scopi di utilizzo della Swiss edu-ID; inoltre, l'Identiy Provider (a tal fine è previsto SWITCH) ha la possibilità di gestire gli attributi che sono trasmessi ai provider di servizi. Sarà dunque importante per SWITCH esaminare nel singolo caso e in maniera critica gli attributi richiesti dai provider di servizi e, se necessario, rifiutarne la trasmissione.
  • Vincolo di scopo: Da parte di SWITCH i dati non sono trattati per nessun altro scopo che non sia l'esercizio della Swiss Edu-ID.
  • Correttezza dei dati: La qualità dei dati è un elemento fondamentale della Swiss edu-ID ed è centrale per il suo successo; di conseguenza, dovrà essere data grandissima importanza alla medesima. Conformemente a ciò, quale regola di base deve valere: L'utente è personalmente responsabile per i dati da lui inseriti.
  • Comunicazione di dati all'estero: Nel caso in cui dei dati personali siano trasmessi a provider di servizi all'estero, il rispetto della protezione dei dati è assicurato tramite un codice di condotta per provider di servizi. Per singoli provider di servizi al di fuori dell'/o UE/SEE, sarà richiesto a seconda del caso il consenso dell'utente, prima della trasmissione dei dati.
  • Sicurezza: La sicurezza dei dati deve essere assicurata là dove gli attributi sono conservati, dunque in primo luogo presso le scuole universitarie e presso SWITCH quale operatore del servizio. SWITCH è consapevole del significato di un'archiviazione dei dati sicura e s'impegna per attenersi allo stato attuale della tecnica in merito alla conservazione dei dati e alla loro trasmissione; in particolare, s'impegna per dare internamente in maniera restrittiva i diritti d'accesso.

Affinché la protezione dei dati sia rispettata non solo presso SWITCH, ma anche presso i provider di servizi, il rispetto dei principi della protezione dei dati rilevanti è a loro imposto tramite norme contrattuali. Ciò è già fatto in questo modo presso SWITCHaai.

Ulteriori articoli sugli aspetti giuridici della Swiss edu-ID:
Sull’autore
Esther   Zysset

Esther Zysset

Esther Zysset dirige il servizio giuridico di SWITCH dal 2012. In precedenza lavorava come avvocato in uno studio specializzato in diritto economico.

E-mail

Swiss edu-ID

SWITCH sta costruendo, assieme alle scuole universitarie svizzere, un’identità digitale a vita. Con essa tutti i titolari possono avere accesso a servizi universitari. Anziché molte identità per accessi diversi ne hanno bisogno di una sola. La Swiss edu-ID è un’evoluzione di SWITCHaai. Questa è stata in servizio per più di 10 anni e viene utilizzata da oltre 400’000 persone. La Swiss edu-ID compie ora un paio di decisivi passi in avanti: SWITCHaai fu concepita per l’utilizzo di risorse Web e presuppone l’appartenenza a un’istituzione. La Swiss edu-ID, invece, è intesa per una molteplicità di applicazioni e quale identità a vita.

http://projects.switch.ch/eduid/
Altri contributi