Indice delle materie
SPIEGAZIONI CONCERNENTI LE COMPETENZE IN MATERIA DI CONTROLLO E ATTIVITÀ
DELL’IFPDT NEL QUADRO DELL’ACCORDO DI ASSOCIAZIONE A SCHENGEN
Aprile 2014
Indice delle materie
1.1.1 Convenzione d’applicazione dell’accordo di Schengen (CAAS) 4
1.1.2 Accordo di associazione del 26 ottobre 2004 4
1.1.4 Decisione quadro 2008/977/GAI 5
1.1.5 Regolamenti e decisione SIS II 5
1.1.6 Raffronto: SIS II / SISone4all 6
1.1.7 Convenzione 108 del Consiglio d’Europa 8
1.1.8 Raccomandazione R(87)15 del Consiglio d’Europa 8
1.2.1 Legge federale sulla protezione dei dati (LPD) 9
1.2.2 LStr– LArm – LStup – LAsi 11
1.2.4 Legge sullo scambio di informazioni Xxxxxxxx 00
2.1.3 Ripartizione delle competenze 13
2.1.4 Competenze di controllo sul SIS 14
2.1.5 Schema 1 – Relazioni tra Cantoni, Confederazione e Unione europea 15
2.2.1 Vigilanza del rispetto del quadro legale 17
2.2.3 Controllo degli utenti del N-SIS 18
2.2.4 Trattamento delle domande 19
2.3.1 Competenza di consultazione 22
2.3.2 Competenza d’indagine 22
2.3.3 Competenza d’intervento 22
2.3.4 Competenza di stare in giudizio 23
2.3.5 Competenza d’informazione 23
2.3.6 Competenza di partecipazione 24
2.4.1 Servizi abilitati alla comunicazione di segnalazioni 25
2.4.2 Servizi abilitati alla consultazione di segnalazioni 26
3.1.1 2008 .......................................................................................................................27
3.1.3 2014 .......................................................................................................................28
3.2.1 2008 .......................................................................................................................29
3.2.2 2009 .......................................................................................................................29
3.2.3 2010 .......................................................................................................................30
3.2.4 2011 .......................................................................................................................30
3.2.5 2012 .......................................................................................................................31
3.2.6 2013 .......................................................................................................................31
3.2.7 2014 .......................................................................................................................31
3.3 Gruppo di coordinamento 32
3.4 Informazione e sensibilizzazione 33
1 Basi legali
L’attuazione dell’accordo d’associazione della Svizzera allo spazio Schengen ha ripercussioni, per quanto riguarda il trattamento dei dati personali, nei settori della cooperazione giudiziaria e di polizia in materia penale e del diritto degli stranieri (per il settore dell’asilo, cfr. la Convenzione di Dublino e la banca dati Eurodac).
1.1 Norme internazionali
Le norme di protezione dei dati emanate dall’Unione europea (UE) e dal Consiglio d’Europa in questo contesto sono finalizzate a tutelare la personalità delle persone interessate che sta diventando sempre più fragile quanto più si evolvono e diventano efficienti le misure di cooperazione e di armonizzazione nei settori interessati, in particolare con lo sviluppo del Sistema d’informazione Schengen (SIS), del Sistema d’informazione visti (VIS) e di Eurodac.
1.1.1 Convenzione d’applicazione dell’accordo di Schengen (CAAS)
La Convenzione d’applicazione dell’accordo di Xxxxxxxx xxx 00 xxxxxx 00000 (XXXX) prevede, in seguito alla soppressione dei controlli alle frontiere interne, misure compensatorie intese a garantire uno spazio unico di sicurezza e di giustizia. Prima dell’entrata in vigore del regolamento e della decisione SIS II (cfr.
n. 1.1.5) essa copriva, tra gli altri, il settore della protezione dei dati: si tratta degli articoli 92-101ter CAAS che concernevano il SIS e degli articoli 102-118 CAAS che disciplinavano il trattamento dei dati in questo ambito.
1.1.2 Accordo di associazione del 26 ottobre 2004
Il 26 ottobre 2004 la Svizzera e l’Unione europea hanno firmato un accordo riguardante l’associazione della Confederazione svizzera all’attuazione, all’applicazione e allo sviluppo dell’acquis di Schengen (Accordo di associazione; RS 0.362.31), entrato in vigore il 1° marzo 2008. In virtù dell’articolo 2 paragra- fo 3, la Svizzera si è impegnata di principio ad accettare, attuare e applicare qualsiasi sviluppo dell’acquis di Schengen. Una volta notificati, la Svizzera tiene conto degli atti dell’UE che costituiscono uno sviluppo dell’acquis di Schengen.
La Svizzera si è associata al SIS il 14 agosto 2008. L’entrata in vigore operativa, che consente di soppri- mere i controlli delle persone alle frontiere interne dello spazio Schengen, risale al 12 dicembre 2008. La soppressione dei controlli negli aeroporti è effettiva dal 29 marzo 2009.
1 GU L 239 del 22.9.2000, pag. 19 segg.
1.1.3 Direttiva 95/46
La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati2 costituisce, a livello europeo, il testo di riferimento in materia di protezione dei dati personali. Si applica nell’ex primo pilastro dell’UE3, ossia nei settori dei controlli delle frontiere, dell’immigrazione, dell’asilo, delle armi e degli stupefacenti.
1.1.4 Decisione quadro 2008/977/GAI4
La decisione quadro 2008/977/GAI (decisione quadro) sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale concerne soltanto l’ex terzo pilastro dell’UE, ossia i settori della cooperazione giudiziaria e di polizia in materia penale, nonché, in parte, il traffico di stupefacenti. Si applica ai dati trattati segnatamente dalle autorità di polizia, dalle autorità doganali e dalle autorità giudiziarie ai fini della prevenzione, dell’indagine, dell’accertamento o del perseguimento dei reati o dell’esecuzione delle sanzioni penali. Benché la decisione quadro sancisca norme importanti in materia di protezione dei dati, il suo campo d’applicazione permane assai limitato.
Infatti essa si applica soltanto alle comunicazioni di dati effettuate nel quadro della cooperazione instaurata da Schengen, quindi tra Stati, mentre non concerne i trattamenti di dati negli Stati (benché gli Stati Schengen siano liberi di applicarla anche a livello nazionale). Le decisioni quadro hanno generalmente un carattere non direttamente applicabile e devono, se del caso, essere recepite nel diritto interno; possono tuttavia contenere disposizioni direttamente applicabili. Dopo aver vagliato varie soluzioni per trasporre la decisione quadro in questione, il Consiglio federale ha optato per un approccio settoriale, recependone alcuni articoli.
1.1.5 Regolamenti e decisione SIS II
Il 9 aprile 2013 il sistema d’informazione di seconda generazione (SIS II), che propone funzionalità poten- ziate, ha sostituito il SISone4al. Lo stesso giorno sono entrati in vigore due regolamenti e una decisione.
Il regolamento 1986/2006 del Parlamento europeo e del Consiglio del 20 dicembre 2006 sull’accesso al sistema d’informazione Schengen di seconda generazione (SIS II) dei servizi competenti negli Stati mem- bri per il rilascio delle carte di circolazione5 (SIS II), il regolamento 1987/20066 del Parlamento europeo e
2 GU L 281 del 23.11.95, pag. 31.
3 Il trattato di Lisbona elimina questa struttura a pilastri a favore dell’istituzione dell’Unione europea (UE).
4 Per maggiori dettagli, cfr. il messaggio dell’11 settembre 2009 concernente il decreto federale che approva e
traspone nel diritto svizzero lo scambio di note tra la Svizzera e l’Unione europea concernente il recepimento della decisione quadro 2008/977/GAI del 27 novembre 2008 sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale.
5 GU L 381 del 28.12.2006, pag. 1.
6 Per maggiori dettagli si consulti il sito xxxx://xxxxxx.xx/xxxxxxxxxxx_xxxxxxxxx/xxxxxxx_xxxxxxx_xxxxxxxx/xxxx_xxxxxxxx_xx_xxxxxxx_xxxxxx_xxxxxxxxx on/l14544_it.htm
del Consiglio, del 20 dicembre 2006, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schen- gen di seconda generazione7 (regolamento SIS II) e la decisione 2007/533/GAI8 del Consiglio, del 12 giugno 2007, sull’istituzione, l’esercizio e l’uso del sistema d’informazione Schengen di seconda generazione9 (decisione SIS II; GU L 205 del 7.8.2007, pag. 63) costituiscono il quadro giuridico su cui si fonda il SIS II nei settori che rientrano rispettivamente nell’ex primo pilastro (regolamenti) e nell’ex terzo pilastro (decisione) dell’UE. Tali atti contengono norme che definiscono segnatamente le categorie di dati da inserire nel SIS, le finalità e i criteri del loro inserimento, il contenuto delle registrazioni, la loro conservazione, la messa in relazione delle segnalazioni, la compatibilità tra le segnalazioni e le nuove regole d’accesso ai dati del SIS. La protezione dei dati personali e il relativo controllo sono disciplinati negli articoli 40 e seguenti del regolamento SIS II, rispettivamente negli articoli 56 e seguenti della decisione SIS II.
1.1.6 Raffronto: SIS II / SISone4all
SIS II (attuale):
Controlli alle frontiere | regolamento SIS II + direttiva 95/46 (= ex primo pilastro) |
Visti | regolamento SIS II + direttiva 95/46 (= ex primo pilastro) |
Armi da fuoco | regolamento SIS II + direttiva 95/46 (= ex primo pilastro) |
Traffico di stupefacenti | direttiva 95/46 + decisione quadro (= ex primo e terzo pilastri) |
Cooperazione giudiziaria e di polizia in materia penale (CPGP) | decisione SIS II (= ex terzo pilastro) |
Nel quadro del SIS II, che il 9 aprile 2013 ha sostituito il SISone4all, le disposizioni della CAAS concernenti il SIS (artt. 102-118) sono state ripartite, a seconda del loro tenore, tra l’ex primo pilastro e l’ex terzo pilastro. I settori coperti dal SIS II che rientrano nell’ex primo pilastro (p. es. il diritto degli stranieri) sono retti dalla direttiva 95/46, mentre quelli che rientrano nell’ex terzo pilastro (p. es. l’estradizione) sono retti dalla decisione quadro sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale.
7 GU L 381 del 28.12.2006, pag. 4.
8 Per maggiori dettagli si consulti il sito xxxx://xxxxxx.xx/xxxxxxxxxxx_xxxxxxxxx/xxxxxxx_xxxxxxx_xxxxxxxx/xxxx_xxxxxxxx_xx_xxxxxxx_xxxxxx_xxxxxxxxx on/l14569_it.htm
9 GU L 205 del 7.8.2007, pag. 63.
Per il rimanente si applicano le norme specifiche concernenti il SIS II contenute nei regolamenti e nella decisione SIS.
SIS one4all (precedente):
Controlli alle frontiere | primo pilastro: direttiva 95/46 |
Visti | primo pilastro: direttiva 95/46 |
Armi da fuoco | primo pilastro: direttiva 95/46 |
Traffico di stupefacenti | primo e terzo pilastri: direttiva 95/46 + CAAS |
CPGP | terzo pilastro: regole SIS: artt. 102-118 CAAS regole fuori SIS: artt.126-130 CAAS |
1.1.7 Convenzione 108 del Consiglio d’Europa
La Svizzera deve altresì tener conto delle disposizioni di protezione dei dati previste dalla Convenzione del Consiglio d’Europa (CdE) del 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati personali (Convenzione CdE, STE n° 108) e dal relativo protocollo aggiuntivo con- cernente le autorità di controllo e i flussi internazionali di dati (PA CdE, STE n. 181). Si tratta in particolare di norme relative alla vigilanza da parte delle autorità di controllo. Nel 2012, in occasione del 30° anniver- sario dell’apertura alla ratifica di questo strumento, il Consiglio d’Europa e il comitato consultivo della Convenzione 108 hanno avviato un processo di modernizzazione.
1.1.8 Raccomandazione R(87)15 del Consiglio d’Europa
In questo settore, inoltre, la Raccomandazione R (87)15 del 17 settembre 1987 del Comitato dei Ministri del Consiglio d’Europa mira a regolamentare l’utilizzo dei dati personali nel settore della polizia.
1.2 Norme nazionali
Essendosi associata alla cooperazione istituita da Schengen/Dublino, la Svizzera è tenuta al rispetto di tali norme. Benché la Svizzera non sia giunta fino al punto di recepire la direttiva 95/46 nella LPD, le leggi federali relative ai settori coperti dalla CAAS (e che rientrano nell’ex primo pilastro dell’UE, ossia nelle disposizioni che concernono i controlli alle frontiere, i visti, le armi da fuoco e, parzialmente, il traffico di stupefacenti) sono tuttavia state modificate di conseguenza. Anche il recepimento della decisione quadro ha comportato la modifica di svariati testi di legge.
1.2.1 Legge federale sulla protezione dei dati (LPD)
La legge federale del 19 giugno 1992 sulla protezione dei dati (LPD; RS 235.1), lex generalis in materia, disciplina i poteri dell’IFPDT ed enuncia i principi di protezione dei dati. Le autorità federali che trattano dati personali nel quadro del SIS II devono rispettare le disposizioni della LPD e dell’ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD; RS 235.11). La LPD è stata oggetto di due revisioni.
Le principali modifiche apportate nella prima revisione (entrata in vigore il 1° gen. 2008) sono le seguenti:
- la persona interessata ha il diritto di essere informata in caso di trattamento di dati personali degni di particolare protezione o di profili della personalità e il trattamento deve quanto meno essere rico- noscibile quando si tratta di altri dati personali (art. 4 cpv. 4 e 14 LPD);
- l’IFPDT è legittimato a ricorrere fino al Tribunale federale se le raccomandazioni emanate relative a un trattamento di dati non sono state osservate (art. 27 cpv. 6 LPD);
- il regime dei flussi internazionali è stato modificato conformemente al principio dell’adeguato livel- lo di protezione previsto nella Convenzione CdE 108 e nel suo protocollo aggiuntivo (i dati perso- nali non possono in linea di principio essere comunicati all’estero in assenza di una legislazione che assicuri una adeguata protezione, cfr. art. 6 LPD e la pagina del sito internet dell’IFPDT con- cernente le trasmissioni all’estero);
- in via eccezionale il Consiglio federale può autorizzare un trattamento di dati degni di particolare protezione o di profili della personalità senza una base legale formale durante la fase di sperimen- tazione della messa in opera di un determinato trattamento (art. 17a LPD);
- in linea di principio, la LPD non è applicabile ai trattamenti effettuati da organi cantonali, eccetto se un Cantone non dispone di disposizioni di protezione dei dati e tratta dati personali in esecu- zione del diritto federale. La revisione pone maggiori esigenze ai Cantoni: per non essere sotto- posti al diritto federale, i trattamenti di dati personali devono non solo essere subordinati a dispo- sizioni cantonali di protezione dei dati, ma queste disposizioni cantonali devono altresì garantire
un adeguato livello di protezione (conformemente alle esigenze della Convenzione CdE 108 e del suo protocollo aggiuntivo, cfr. art. 37 LPD).
Per poter attuare la decisione quadro 2008/977/GAI (cfr. n. 1.1.4) e tener conto delle raccomandazioni dell’Unione europea (cfr. 3.1.1), la LPD è stata sottoposta a una seconda revisione parziale le cui princi- pali modifiche sono le seguenti:
- gli organi federali sono tenuti a informare la persona interessata su qualsiasi collezione di dati personali che la concernono (art. 18a LPD). È stato tuttavia previsto un certo numero di eccezioni (art. 18b LPD). Questa disposizione che recepisce le esigenze di cui all’articolo 16 paragrafo 1 della decisione quadro;
- l’articolo 21 capoverso 2 lettera b prevede un’eccezione supplementare all’obbligo di distruggere i dati personali che l’Archivio federale ha designato come non aventi valore archivistico quando tali dati devono essere conservati per salvaguardare un interesse degno di protezione della persona interessata. Questa disposizione recepisce l’articolo 4 paragrafo 3 della decisione quadro;
- per attuare le esigenze dell’articolo 25 della decisione quadro e tener conto delle critiche dei valu- tatori Schengen secondo cui il sistema svizzero non offrirebbe sufficienti garanzie istituzionali concernenti l’indipendenza dell’IFPDT, è stato modificato l’articolo 26 LPD: secondo il capover- so 1 la nomina dell’Incaricato da parte del Consiglio federale dev’essere approvata dal Parlamen- to; il nuovo capoverso 3 prescrive in modo più chiaro che l’Incaricato esercita la sua funzione in modo indipendente, senza ricevere istruzioni da alcuna autorità; inoltre, la remunerazione dell’Incaricato è indipendente da qualsiasi valutazione relativa alle sue prestazioni (cpv. 5). Gli ar- ticoli 26a e b LPD disciplinano il rinnovo del mandato dell’Incaricato e subordinano l’esercizio di qualsiasi altra attività all’approvazione del Consiglio federale.
Visti gli sviluppi tecnologici avvenuti dall’adozione della LPD (nel 1992), l’Ufficio federale di giustizia (UFG) ha dato avvio a una valutazione della LPD sulla base dell’articolo 170 della Costituzione federale. Il man- dato è stato conferito a un gruppo interdisciplinare che ha proceduto a detta valutazione dalla primavera 2010 al febbraio 2011. Il 9 dicembre 2011 il Consiglio federale ha approvato il rapporto sulla valutazione della LPD e l’ha sottoposto al Parlamento. Benché vi si constati positivamente che la legge sulla protezio- ne dei dati ha consentito di raggiungere un importante livello di protezione nei settori in cui le sfide erano già note al momento della sua entrata in vigore e che l’IFPDT si è rivelato uno strumento efficace per mi- gliorare la protezione offerta dalla legge, il rapporto sottolinea chiaramente la necessità di agire. In effetti, secondo il Consiglio federale «l’obiettivo principale della revisione della LPD consiste nell’adeguarla al progresso tecnologico e sociale avvenuto dalla sua entrata in vigore». Il Consiglio federale intende pertan- to esaminare una serie di provvedimenti che potrebbero consentire di raggiungere segnatamente i se- guenti obiettivi: anticipare l’effetto della protezione dei dati; sensibilizzare maggiormente le persone inte- ressate, migliorare la trasparenza, nonché il controllo e il dominio dei dati e proteggere i minori. Il Consi- glio federale intende inoltre verificare se e in quale misura sia auspicabile rafforzare l’indipendenza dell’IFPDT. L’UFG è attualmente responsabile di un gruppo di monitoraggio che presenterà al Consiglio federale le sue prime proposte alla fine del 2014.
1.2.2 LStr – LArm – LStup – LAsi
Associandosi a Schengen e a Dublino, la Svizzera si è impegnata affinché i trattamenti di dati personali effettuati nel quadro della cooperazione istituita da questi accordi siano conformi alla regolamentazione comunitaria applicabile, in particolare alla direttiva 95/46/CE. Conformemente all’AAS, oggetto di modifiche in materia di protezione dei dati sono state principalmente la legge federale del 16 dicembre 2005 sugli stranieri (LStr; RS 142.20), la legge federale del 26 giugno 1998 sull’asilo (LAsi; RS 142.31), la legge federale del 20 giugno 1997 sulle armi (LArm; RS 514.54) e la legge federale del 3 ottobre 1951 sugli stupefacenti (LStup; RS 812.121). Le principali modifiche di dette leggi speciali sono le seguenti:
- qualsiasi comunicazione di dati personali dalla Svizzera verso uno Stato parte a uno degli accordi d’associazione è assimilata a una comunicazione effettuata tra organi federali;
- le comunicazioni verso uno Stato non vincolato dall’accordo d’associazione sono autorizzate sol- tanto se lo Stato destinatario garantisce un adeguato livello di protezione dei dati, con riserva di eccezioni.
1.2.3 CP e LSIP
Talune disposizioni della CAAS non sono direttamente applicabili perché la loro formulazione risulta troppo poco precisa, per cui richiedono una concretizzazione nel diritto svizzero. Si tratta, soprattutto in materia di cooperazione di polizia nel quadro del SIS, dell’istituzione e del funzionamento del N-SIS, in particolare della creazione di un Ufficio SIRENE. A tal proposito, il Codice penale del 21 dicembre 1937 (CP; RS 311.0) è stato oggetto di revisione (art. 355e CP) e nel marzo 2008 il Parlamento ha adottato una nuova legge federale sui sistemi d’informazione di polizia della Confederazione (LSIP; RS 361) che funge da base legale per l’attuazione e l’esercizio del N-SIS. Tali sistemi precisano il ruolo dell’Ufficio federale di polizia (fedpol), l’organo federale che detiene la collezione di dati del N-SIS, le finalità del SIS, i servizi federali e cantonali autorizzati a comunicare e/o a consultare le segnalazioni SIS (art. 16 LSIP).
1.2.4 Legge sullo scambio di informazioni Schengen
In mancanza di una sufficiente realizzazione degli articoli 39 e 46 CAAS, che disciplinano lo scambio di informazioni di polizia, il Consiglio dell’UE ha approvato la decisione quadro 2006/960/GAI, del 18 dicem- bre 2006, relativa alla semplificazione dello scambio di informazioni e intelligence tra le autorità degli Stati membri dell'Unione europea incaricate dell'applicazione della legge. Per la Svizzera, si tratta di uno svi- luppo dell’acquis di Schengen. Dato che la maggior parte delle disposizioni di questa decisione quadro non è direttamente applicabile, il Consiglio federale ha deciso di ancorare tutte le disposizioni importanti in una nuova legge: la legge sullo scambio di informazioni tra le autorità di perseguimento penale della Con- federazione e quelle degli altri Stati Schengen (LSIS; RS 362.2). Quest’ultima si prefigge di migliorare il perseguimento e la prevenzione dei reati grazie a uno scambio a livello internazionale e semplificato di informazioni di polizia (art. 1 LSIS). Intende inoltre vegliare affinché le condizioni che reggono la trasmissione di informazioni ad autorità di perseguimento penale di altri Stati Schengen non siano più severe di quelle che si applicano sul piano nazionale. A tal fine la legge determina le modalità, le
scadenze e alcune precisazioni formali e rende obbligatorio lo scambio spontaneo di informazioni.
1.2.5 Ordinanza N-SIS
Anche l’ordinanza sulla parte nazionale del Sistema d’informazione di Schengen (N-SIS) e sull’Ufficio SIRENE (ordinanza N-SIS; RS 362.0) attua diverse disposizioni della CAAS. Precisa segnatamente il ruolo dell’IFPDT quale organo incaricato della vigilanza sul trattamento dei dati personali che figurano nel SIS. L’IFPDT e le autorità cantonali preposte alla protezione dei dati collaborano attivamente nell’ambito delle rispettive competenze e provvedono a esercitare una vigilanza coordinata sul trattamento dei dati personali. Opera in stretta collaborazione con il Garante europeo della protezione dei dati (GEPD) e funge da punto di contatto nazionale per il GEPD (per maggiori precisazioni a questo proposito, cfr. n. 3.3 e art. 55 ordinanza N-SIS).
2 Competenze di controllo
2.1 Autorità
La regolamentazione dell’UE e del Consiglio d’Europa in materia di protezione dei dati prevede l’istituzione di autorità preposte al controllo in questo settore in tutti gli Stati contraenti (cfr. regolamento SIS II art. 44 par. 1, decisione SIS II art. 60 par. 1 e art. 1 n. 3 PA CdE 181).
In Svizzera sono svariate le autorità di protezione dei dati incaricate della vigilanza degli organi federali, cantonali e comunali, nonché delle persone private che trattano dati personali.
2.1.1 Autorità federale
Esiste un’autorità federale, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), il cui ufficio è integrato nell’Amministrazione federale, segnatamente è aggregato alla Cancelleria federale.
2.1.2 Autorità cantonali
Ogni Cantone dispone inoltre di un’autorità cantonale di protezione dei dati. Esistono diversi tipi di autorità cantonali: in taluni Cantoni, un incaricato della protezione dei dati e/o dell’informazione, in altri, una commissione di protezione dei dati con o senza incaricato. La terminologia varia da Cantone a Cantone: in taluni si parla di «commissario», in altri di «incaricato» della protezione dei dati10.
2.1.3 Ripartizione delle competenze
Le competenze dell’IFPDT e delle autorità cantonali di protezione dei dati sono ripartite come segue:
- tutti i dati personali il cui trattamento è effettuato dagli organi della Confederazione e dai privati (persone fisiche e giuridiche) sono soggetti al controllo dell’IFPDT (cfr. art. 27 cpv.1 e 28 LPD);
- tutti i dati personali il cui trattamento è effettuato dalle autorità cantonali e comunali sono soggetti al controllo delle autorità cantonali di protezione dei dati (e, se del caso, in alcuni Cantoni come BE e ZH, a quello delle autorità comunali).
10 Per maggiori informazioni si consulti il sito xxxx://xxx.xxxxxxxx.xx/xx/xxxx-xxxxxxxx.xxxx (solo in francese e tedesco)
Le competenze dell’IFPDT sono quindi chiaramente separate da quelle delle autorità cantonali di protezione dei dati, sia per quanto riguarda il mandato di vigilanza sia per il trattamento delle domande in materia di protezione dei dati. L’IFPDT non esercita alcuna vigilanza sulle autorità cantonali.
2.1.4 Competenze di controllo sul SIS
2.1.4.1 Competenze di controllo sul SIS II
Dalla messa in funzione del SIS II (9 aprile 2013), spetta al GEDP verificare che le attività di trattamento dei dati personali condotte dall’organo di gestione siano effettuate in conformità del regolamento SIS II (art. 45) e della decisione SIS II (art. 61). Allo stesso tempo, il GEPD e le autorità nazionali di controllo assicurano il controllo coordinato del SIS II (art. 46 del regolamento SIS II e art. 62 della decisione SIS II) ed è a tal fine che è stato creato il gruppo di coordinamento di controllo del SIS II11 che ha sostituito l’Autorità comune di controllo (ACC) nel suo mandato di vigilanza del SIS. Per condurre a buon fine questo compito, essi cooperano nel quadro delle rispettive competenze e responsabilità e assicurano il controllo coordinato del SIS II. Le autorità nazionali di controllo e il GEPD si riuniscono almeno due volte all’anno. La delegazione svizzera è composta di un rappresentante dell’IFPDT e di uno delle autorità cantonali di controllo (cfr. n. 2.3.6.).
2.1.4.2 Competenze di controllo sul SIS one4all
Prima dell’entrata in vigore del SIS II, il compito di vigilare sulla funzione di supporto tecnico del SIS centrale (art. 115 CAAS) spettava all’ACC. Quest’ultima verificava la buona esecuzione della CAAS ed era competente per l’analisi delle difficoltà d’applicazione o d’interpretazione che sorgevano nella gestione del SIS. L’ACC era composta di due rappresentanti di ogni autorità nazionale di controllo. Per la Svizzera, partecipavano alle riunioni e ai lavori dell’ACC un rappresentante dell’IFPDT e uno delle autorità cantonali di protezione dei dati (cfr. n. 2.3.6.). Xxxx-Xxxxxxxx Xxxxxx, Incaricato federale supplente della protezione dei dati e della trasparenza, è stato eletto presidente dell'ACC il 15 marzo 2012 dopo aver occupato per due anni la carica di vicepresidente.
11 Per maggiori dettagli si consulti la pagina web relativa a questo gruppo:
xxxx://xxx.xxxxx.xxxxx.xx/xxxxxxxxxxx/00000/00000/00000/xxxxx.xxxx?xxxxxxx
FEDPOL
2.1.5 Schema 1 – Relazioni tra Cantoni, Confederazione e Unione europea
CONFEDERATION
UE
SYNCHRONISATION
N-SIS
C-SIS
ZEMIS/SYMIC
CONFLICTS
SIS?
FOM
RIPOL
FEDPOL
SWIS COORDINATION GROUP
PARTICIPATION
CANTONAL DPAs
SURVEILLANCE
FDPIC
SURVEILLANCE
SCG SIS II
SURVEILLANCE
S
POLICE
MIGRATION AUTH
CANTONS
SIRENE
VISA SECTIONS
BORDERS
Lo schema 1 presenta un riepilogo delle relazioni esistenti tra la Confederazione svizzera, i Cantoni e l’Unione europea nel quadro dell’alimentazione e dell’utilizzazione della banca dati N-SIS.
A livello svizzero, le autorità di protezione dei dati svolgono compiti di vigilanza presso diverse autorità che trattano dati relativi agli accordi Schengen. In tale contesto, le 26 autorià cantonali vigilano sulle rispettive polizie cantonali, nonché sulle competenti autorità di migrazione. L’IFPDT, da parte sua, si rivolge agli uffici interessati in seno all’Amministrazione federale, in particolare a fedpol (Ufficio federale di polizia) e all’Ufficio federale della migrazione (UFM, FOM), i quali hanno la responsabilità delle due banche dati d’origine che alimentano il N-SIS. La banca dati RIPOL è gestita da fedpol ed è alimentata soprattutto dalle polizie cantonali. Parallelamente, la banca dati SIMIC è gestita dall’UFM ed è alimentata dalle autorità cantonali di migrazione, nonché dai servizi visti delle rappresentanze svizzere all’estero (Dipartimento federale degli affari esteri) e dalle autorità doganali (Dipartimento federale delle finanze).
Le segnalazioni inserite in queste due banche dati sono liberate nel N-SIS secondo le seguenti regole:
- le segnalazioni RIPOL sono analizzate e poi liberate dall’Ufficio SIRENE svizzero, a condizione che sia attivata la spunta indicante che la segnalazione dev’essere introdotta nel N-SIS;
- i divieti d’accesso (SIMIC) sono generalmente liberati automaticamente nel N-SIS. Tuttavia, se si individua un conflitto con una segnalazione già presente nel N-SIS, l’Ufficio SIRENE svizzero lo analizza e libera o no il divieto d’accesso;
- il N-SIS è sincronizzato con la copia centrale del SIS (C-SIS) che è sotto la vigilanza del GEPD. Nel quadro del gruppo SCG SIS II, il GEPD e le autorità nazionali di protezione dei dati cooperano nell’ambito delle loro responsabilità e assicurano il controllo coordinato del SIS II.
Le autorità svizzere di protezione dei dati (cantonali e federali) si incontrano regolarmente in seno al gruppo svizzero di coordinamento Schengen e partecipano al gruppo SCG SIS II.
2.2 Funzioni
Le autorità di controllo, federale e cantonali, esercitano le loro funzioni in assoluta indipendenza (art. 1
n. 3 PA CdE 181). Le loro funzioni consistono, da una parte, nel vigilare sugli organi e sulle persone che trattano dati personali e, dall’altra, nell’evadere le richieste delle persone interessate da un tratta- mento di dati personali.
2.2.1 Vigilanza del rispetto del quadro legale
Le autorità di controllo, federale e cantonali, vegliano al rispetto dell’applicazione delle disposizioni del diritto svizzero, federali e cantonali, adottate in materia di protezione dei dati nei settori coperti dalla CAAS12, dal regolamento SIS II e dalla decisione SIS II e l’applicazione di tali disposizioni (art. 1 n. 1 PA CdE 181).
2.2.2 Controllo del N-SIS
In virtù dell’articolo 44 del regolamento SIS II, rispettivamente dell’articolo 60 della decisione SIS II e conformemente alla ripartizione delle competenze di cui al numero 2.1.3. (cfr. art. 27 cpv. 1 LPD), spetta all’IFPDT esercitare il controllo indipendente della collezione di dati della parte nazionale del SIS II (N-SIS).
Infatti il detentore di una collezione di dati della parte nazionale del SIS è un organo federale, ossia l’Ufficio federale di polizia (fedpol) (art. 355e CP e 16 cpv. 1 LSIP). Fedpol gestisce la parte nazionale del SIS II (N-SIS) e un servizio centralizzato (unità in seno a fedpol), l’Ufficio SIRENE, responsabile del N-SIS. Altre autorità, federali e cantonali, collaborano al N-SIS e se ne avvalgono.
Diversi servizi federali e cantonali che sono tenuti a comunicare segnalazioni per inserirle nel SIS II, lo fanno tramite l’Ufficio SIRENE, l’unico abilitato a immettere le diverse categorie di dati direttamente nel N-SIS, con riserva di segnalazioni secondo l’articolo 24 del regolamento SIS II relative agli stranieri effettuate ai fini della non ammissione inserite direttamente dall’Ufficio federale della migrazione (UFM). Quando inserisce segnalazioni nel N-SIS, l’Ufficio SIRENE effettua un controllo materiale delle segnalazioni di persone e un controllo formale delle segnalazioni relative agli oggetti (queste ultime sono inserite tramite l’interfaccia tecnica). Questo controllo compete all’UFM ed è di sua responsabilità per quanto riguarda le segnalazioni di cui all’articolo 24 del regolamento SIS II, che inserisce diretta- mente nel SIS.
L’IFPDT controlla in assoluta indipendenza la liceità del trattamento dei dati personali nel SIS II sul suo territorio e la loro trasmissione, compresi lo scambio e il successivo trattamento di informazioni supplementari (art. 44 par. 1 regolamento SIS II e art. 60 par. 1 decisione SIS II). A tal fine, è tenuto a esercitare le proprie competenze di controllo presso gli organi federali interessati, in particolare presso fedpol (Ufficio SIRENE) e l’UFM (per le segnalazioni di cui all’art. 24 del regolamento SIS II) per quan-
12 In materia di protezione dei dati, l’articolo 102bis della CAAS rimane valido non essendo stato sostituito dal regolamento SIS II o dalla decisione SIS II.
to riguarda il N-SIS. Allo scopo di accertare i fatti, l’Incaricato può esigere la produzione di atti, do- mandare informazioni e farsi presentare trattamenti di dati (art. 27 cpv. 3 LPD). Può quindi ottenere tutti i dati pertinenti e necessari per la corretta esecuzione dei suoi controlli.
L’IFPDT provvede inoltre affinché, almeno ogni quattro anni, sia svolto un controllo delle operazioni di trattamento dei dati nel quadro del N-SIS che risponda alle norme internazionali in materia di revisione (art. 44 par. 2 regolamento SIS II e art. 60 par. 2 decisione SIS II).
2.2.3 Controllo degli utenti del N-SIS
L’IFPDT e le autorità cantonali di controllo esercitano, in collaborazione, il controllo sugli utenti del N- SIS (per le diverse categorie di utenti, federali e cantonali, in caso di consultazione e di comunicazione di segnalazioni SIS II, cfr. n. 2.4.). Infatti, l’IFPDT esercita il proprio controllo sugli utenti che sono or- gani federali. La vigilanza degli utenti cantonali è esercitata dalle autorità cantonali di protezione dei dati. Queste ultime, avvalendosi delle proprie competenze d’indagine e d’intervento, vigilano esclusi- vamente che i loro utenti cantonali rispettino le vigenti norme di protezione dei dati.
Pertanto se vi sono segnalazioni all’Ufficio SIRENE da parte di servizi cantonali in vista di essere inse- rite nel SIS II, l’IFPDT deve vigilare sul trattamento di tali dati in stretto coordinamento con la compe- tente autorità cantonale di controllo. Il diritto svizzero precisa il ruolo di coordinatore che l’IFPDT eser- cita sulle autorità cantonali di protezione dei dati in materia di vigilanza del SIS (cfr. ordinanza N-SIS).
Concretamente, se constata che, in un trattamento di dati SIS, il problema si situa a livello cantonale (p. es. inesattezza dei dati, errore di diritto o di fatto nella segnalazione comunicata da un servizio cantonale in vista del suo inserimento nel SIS II), l’IFPDT prenderà contatto con la competente autori- tà cantonale di protezione dei dati. Quest’ultima è pertanto l’unica autorità di controllo autorizzata a esercitare il controllo, con le proprie competenze d’indagine e d’intervento, sul servizio cantonale che ha effettuato il trattamento in questione, eventualmente considerato come un caso non conforme ai principi di protezione dei dati. Inversamente, le autorità di protezione dei dati cantonali possono rivol- gersi all’IFPDT per chiedergli di intervenire qualora ritenessero che un servizio federale non faccia un uso del SIS II conforme alle disposizioni in materia. Inoltre, se le autorità di controllo cantonali consta- tano un problema concernente un trattamento di dati proveniente da un Cantone, ma che risiede a livello della gestione dei dati del N-SIS, si rivolgeranno all’IFPDT affinché quest’ultimo eserciti il suo controllo sui trattamenti del N-SIS.
2.2.4 Trattamento delle domande13
Le autorità di controllo devono trattare le domande relative alla protezione dei diritti e delle libertà in relazione al trattamento dei dati personali delle persone interessate o del loro rappresentante (cfr. art. 1 n. 2 lett. b PA CdE 181).
Per quanto riguarda il SIS II, le persone interessate possono far valere i diritti menzionati qui appres- so:
- diritto d’accesso ai dati personali registrati nel SIS II
- diritto alla rettifica o alla cancellazione di dati personali inesatti
- diritto al risarcimento
- diritto di promuovere un’azione legale per far valere questi diritti dinnanzi alla giustizia
2.2.4.1 Diritto d’accesso della persona interessata
Il diritto di una persona di accedere ai dati che la riguardano inseriti nel SIS II è esercitato nel rispetto della legislazione dello Stato membro presso il quale l’interessato lo fa valere (art. 41 par. 1 regola- mento SIS II e 58 par. 1 decisione SIS II). L’informazione non è comunicata alla persona interessata se ciò è indispensabile per l’esecuzione di un compito legittimo connesso con una segnalazione o ai fini della tutela dei diritti e delle libertà di terzi (art. 41 par. 4 regolamento SIS II) o se può nuocere all’esecuzione di un compito legittimo connesso con una segnalazione o ai fini della tutela dei diritti e delle libertà di terzi (art. 58 par. 4 decisione SIS II).
In Svizzera per ottenere le informazioni inserite nel SIS II che la riguardano, la persona interessata deve rivolgersi direttamente a fedpol, l’organo responsabile della collezione (detentore della collezione di dati). Si tratta di un diritto d’accesso diretto. Il diritto d’accesso è retto dagli articoli 8 e 9 LPD, non- ché dall’articolo 50 dell’ordinanza N-SIS (cfr. anche artt. 1–2 e 13 OLPD). In linea di principio ogni persona può chiedere al detentore di una collezione di dati se vi sono trattati dati che la concernono, comprese le informazioni disponibili sull’origine dei dati (art. 8 LPD). Per il SIS II, la comunicazione dei dati può essere limitata o rifiutata segnatamente se un interesse pubblico preponderante, la sicurezza interna o esterna della Confederazione, lo esige o se la comunicazione delle informazioni compromet- te un’istruzione penale o un’altra procedura d’inchiesta (art. 9 LPD). Anche i cittadini di Stati terzi og- getto di una segnalazione ai fini della non ammissione (art. 24 regolamento SIS II) beneficiano di que- sto diritto d’accesso ai dati che li concernono inseriti nel SIS II (art. 51 ordinanza N-SIS e art. 8 LPD).
13 Per maggiori dettagli, si consulti la seguente pagina del nostro sito: xxxx://xxx.xxxxx.xxxxx.xx/xxxxxxxxxxx/00000/00000/00000/xxxxx.xxxx?xxxxxxx
2.2.4.2 Diritto di rettifica o di cancellazione
Chiunque ha il diritto di far rettificare dati che lo riguardano contenenti errori di fatto o di far cancellare dati che lo riguardano inseriti illecitamente (art. 41 par. 5 regolamento SIS II e 58 par. 5 decisione SIS II).
Soltanto lo Stato segnalante può modificare o cancellare una segnalazione.
In Svizzera le persone interessate fanno valere i loro diritti d’accesso ai dati che le concernono inserite nel SIS II e all’informazione, i loro diritti di rettifica, di cancellazione o di risarcimento per scritto diret- tamente presso fedpol (art. 50 ordinanza N-SIS). Xxxxxx emette la sua decisione dopo aver consultato il servizio federale o cantonale che comunica la segnalazione in vista della sua registrazione, se del caso quello dello Stato segnalante.
In linea di principio le richieste di informazioni devono essere trattate entro 30 giorni. Se non è possibi- le fornire l’informazione entro questo termine, occorre avvertire la persona e l’informazione deve esse- re fornita al più tardi 60 giorni dopo la presentazione della richiesta. Le domande di rettifica o di can- cellazione sono sottoposte a un termine di trattamento più lungo, ossia di tre mesi a decorrere dalla richiesta (art. 50 ordinanza N-SIS).
2.2.4.3 Diritto di promuovere un’azione giudiziaria
In virtù dell’articolo 43 del regolamento SIS II e dell’articolo 59 della decisione SIS II, chiunque può adire la giurisdizione o l’autorità competente in base alla legislazione di qualsiasi Stato membro per accedere, rettificare o cancellare dati o ottenere informazioni o per ottenere un risarcimento relativa- mente a una segnalazione che lo riguarda. Le decisioni definitive prese dalle giurisdizioni o dalle auto- xxxx di altri Stati Schengen in questo contesto sono eseguite in Svizzera senza ulteriori istanze (e vice- versa).
Inoltre, in Svizzera la persona interessata ha la possibilità di intentare un’azione volta ad accertare il carattere illecito del trattamento e un’azione intesa a eliminare le conseguenze dello stesso (art. 25 cpv. 1 lett. b e c LPD).
Al diritto all’informazione della persona interessata corrisponde l’obbligo di informare la stessa in meri- to all’identità del detentore della collezione di dati, ossia fedpol, qualora raccolga dati che la concer- nono o al più tardi al momento della registrazione dei dati o al momento della loro prima comunicazio- ne a terzi (art. 18a LPD).
Riepilogo della procedura relativa all’esercizio dei diritti d’accesso, di rettifica o cancellazione della persona interessata presso l’ufficio federale competente (fedpol), nonché del diritto ad adire un’azione giudiziaria:
1) la persona interessata presenta per scritto una domanda di accesso ai dati del SIS II che la concernono o una domanda di rettifica o di cancellazione direttamente a fedpol (art. 8-9 LPD, 1-2 e 13 OLPD e art. 50 Ordinanza N-SIS);
2) fedpol verifica i dati in questione, se del caso dopo aver consultato il competente servizio federale (l’Ufficio SIRENE o l’UFM in caso delle segnalazioni di cui all’art. 24 del regola- mento SIS II) o cantonale che comunica la segnalazione in vista della sua registrazione o il servizio dello Stato segnalante che non sia la Svizzera. La conseguente decisione di fe- dpol può riconoscere un diritto d’accesso (totale o limitato) o respingere tale diritto. Lo stesso vale se si tratta di una domanda di rettifica o di cancellazione. La decisione spetta a fedpol (art. 50 ordinanza N-SIS);
3) la persona interessata può interporre ricorso contro tale decisione dinanzi al Tribunale amministrativo federale (TAF) in prima istanza e al Tribunale federale (TF) in seconda i- stanza (art. 25 LPD).
2.2.4.4 Diritto al risarcimento
Per quanto riguarda il risarcimento, se lo Stato contraente contro il quale è promossa un’azione non è lo Stato segnalante, quest’ultimo è responsabile della segnalazione ed è tenuto a rimborsare le som- me versate a titolo di risarcimento allo Stato in cui l’azione è stata promossa (eccetto se quest’ultimo Stato ha utilizzato dati in violazione del regolamento SIS II o della decisione SIS II; cfr. art. 48 regola- mento SIS II e art. 64 decisione SIS II).
La domanda di risarcimento va presentata per scritto al Dipartimento federale delle finanze (DFF) il quale emette una decisione. Contro quest’ultima può essere interposto ricorso (azione di risarcimento) presso il Tribunale federale (art. 52 ordinanza N-SIS che rinvia alla legge sulla responsabilità, RS 170.32). La persona interessata dispone inoltre della possibilità di promuovere un’azione per risarci- mento di danni.
2.3 Competenze
Per svolgere i propri compiti, le autorità di controllo dispongono di diverse competenze.
2.3.1 Competenza di consultazione
Le autorità di controllo devono essere consultate al momento dell’elaborazione di progetti legislativi federali in materia di protezione dei diritti e delle libertà delle persone per quanto riguarda il trattamen- to di dati personali o, più in generale, la protezione dei dati.
In virtù dell’articolo 31 LPD, l’IFPDT deve non solo pronunciarsi sui progetti di atti legislativi rilevanti per la protezione dei dati, ma anche assistere gli organi federali e cantonali in questo ambito e colla- borare con le autorità incaricate della protezione dei dati in Svizzera e all’estero.
I Cantoni sono consultati al momento dell’elaborazione di progetti legislativi federali in materia di pro- tezione dei dati e di progetti legislativi nel loro rispettivo Cantone.
2.3.2 Competenza d’indagine
Le autorità di controllo devono disporre di poteri d’indagine (art. 1 par. 2 lett. a PA CdE 181). Si tratta in particolare di poter accedere ai dati che sono oggetto di trattamento e di poter raccogliere tutte le informazioni necessarie all’adempimento del loro compito di controllo.
Per poter esercitare questo potere d’indagine in modo efficace, l’IFPDT ha accesso alla collezione di dati della parte nazionale del SIS II (art. 44 regolamento SIS II e art. 60 decisione SIS II), nel senso che può farsi presentare i dati pertinenti del SIS II. L’IFPDT può infatti esigere la produzione di atti, domandare informazioni e farsi presentare trattamenti di dati (art. 27 cpv. 3 LPD). Accerta i fatti, di sua iniziativa o sulla base di notificazioni di terzi (art. 27 cpv. 2 LPD).
2.3.3 Competenza d’intervento
Secondo la normativa dell’UE e del Consiglio d’Europa, per essere considerati effettivi i poteri d’intervento delle autorità di controllo devono comprendere il diritto di formulare pareri prima dell'avvio di trattamenti (art. 20 direttiva 95/46), il potere di ordinare taluni provvedimenti, come quello di ordinare il congelamento, la cancellazione o la distruzione di dati, o di vietare un trattamento a titolo provvisorio o definitivo, il potere di rivolgere un avvertimento o un monito al responsabile del trattamento, nonché il diritto di adire il Parlamento o altre istituzioni politiche (art. 28 par. 3 secondo trattino direttiva 95/46 e art. 1 n. 2 lett. a PA CdE 181).
Benché in Svizzera l’IFPDT, nel quadro delle sue competenze di vigilanza, disponga del potere di emanare raccomandazioni all’attenzione dell’organo federale responsabile (fedpol) affinché modifichi o cessi il trattamento oggetto di violazione delle prescrizioni sulla protezione dei dati, non dispone
tuttavia di poteri di sanzione a questo proposito (art. 27 cpv. 4 LPD). Inoltre l’IFPDT può formulare pareri su trattamenti previsti e ha la possibilità di rendere attento un ufficio federale su eventuali pro- blemi di protezione dei dati nel contesto di un progetto di banca dati. Non ha tuttavia la competenza di emettere un’autorizzazione o un rifiuto di trattamento in seguito alla notificazione di futuri trattamenti (come l’obbligo di notificazione e poi di previa autorizzazione da parte dell’autorità di controllo nazio- nale è previsto per gli Stati membri dell’UE nell'art. 18 della direttiva 95/46).
L’IFPDT ha inoltre la competenza di pronunciarsi sui progetti di atti legislativi federali e di provvedi- menti della Confederazione rilevanti per la protezione dei dati (art. 31 cpv. 1 lett. b LPD).
D’altro canto se, dopo aver fatto uso delle sue competenze d’indagine, constata che la persona inte- ressata rischia di subire un pregiudizio non facilmente riparabile, l’IFPDT può chiedere provvedimenti cautelari al presidente della corte del Tribunale amministrativo federale (TAF) affinché cessi il tratta- mento (art. 33 cpv. 2 LPD).
2.3.4 Competenza di stare in giudizio
Il potere di stare in giudizio o di portare alla conoscenza della competente autorità giudiziaria le viola- zioni alle disposizioni del diritto interno deve essere riconosciuto alle autorità di controllo (art. 1 par. 2 lett. a PA CdE 181).
A questo proposito, la LPD riconosce all’IFPDT la legittimazione a ricorrere contro le decisioni del dipartimento federale interessato (il Dipartimento federale di giustizia e polizia per quanto concerne i trattamenti di dati personali nell’ambito del SIS II) o della Cancelleria federale e contro le decisioni dell’autorità di ricorso (dinnanzi al Tribunale amministrativo federale in prima istanza e al Tribunale federale in seconda istanza; art. 27 cpv. 6 LPD).
2.3.5 Competenza d’informazione
Ogni autorità di controllo deve elaborare a intervalli regolari una relazione sulla sua attività che dev’essere pubblicata (cfr. art. 28 par. 5 direttiva 95/46).
L’IFPDT pubblica annualmente un rapporto d’attività, all’attenzione dell’Assemblea federale e del Consiglio federale, comprendente un capitolo relativo alla protezione dei dati nel quadro di Schengen. Tali rapporti sono pubblicati e accessibili al pubblico (art. 30 LPD). Ha inoltre la possibilità di pubblica- re rapporti circostanziali concernenti fattispecie particolari.
L’IFPDT dispone peraltro di una più ampia competenza di informare e di sensibilizzare il pubblico alle problematiche in materia di protezione dei dati, segnatamente attraverso i media (internet, radio, tele- visione, quotidiani); può altresì lanciare campagne d’informazione.
2.3.6 Competenza di partecipazione
Le autorità nazionali di controllo partecipano inoltre a diversi comitati e gruppi di lavoro internazionali. Attualmente la Svizzera delega due rappresentanti, l’IFPDT e un rappresentato delle autorità cantonali di protezione dei dati, alle riunioni del gruppo di coordinamento della supervisione del SIS II (SIS II SCG), l’autorità istituita dal regolamento e dalla decisione SIS II (art. 46, risp. 62) in sostituzione dell’ACC (cfr. n. 2.1.4.1./2.).
Inoltre, un rappresentante dell’IFPDT e un rappresentante delle autorità cantonali di protezione dei dati dovrebbero essere invitati a partecipare alle riunioni del gruppo per i punti all’ordine del giorno concernenti l’attuazione dell’acquis di Schengen (cfr. gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’articolo 29 della direttiva 95/46 allo scopo di esaminare le questioni relative all’attuazione delle disposizioni nazionali in materia e di formulare pareri sui progetti della Commissione o altri progetti a livello comunitario).
2.4 Organi controllati
L’IFPDT e le autorità di protezione dei dati cantonali collaborano per esercitare, ciascuno nella propria sfera di competenze, il controllo sugli utenti del N-SIS. Per organi controllati si intendono i servizi fede- rali e cantonali che possono comunicare segnalazioni all’Ufficio SIRENE e/o consultare segnalazioni SIS II.
2.4.1 Servizi abilitati alla comunicazione di segnalazioni
In virtù dell’articolo 16 capoverso 4 LSIP, soltanto gli uffici federali e cantonali seguenti possono co- municare segnalazioni all’Ufficio SIRENE (unità in seno a fedpol) da inserire nel N-SIS:
- l’Ufficio federale di polizia (fedpol);
- il Ministero pubblico della Confederazione (MPC);
- l’Ufficio federale di giustizia (UFG);
- le autorità di polizia e di perseguimento penale dei Cantoni;
- le autorità preposte all’esecuzione delle pene;
- le autorità della giustizia militare e il Servizio delle attività informative della Confederazione (SIC);
- l’Ufficio federale della migrazione (UFM);
- le rappresentanze svizzere all’estero;
- le autorità cantonali e comunali competenti nel settore della migrazione;
- le altre autorità cantonali designate per via d’ordinanza dal Consiglio federale e incaricate di svolgere i compiti seguenti:
• individuare il luogo di dimora di persone scomparse,
• trattenere e prendere in custodia una persona per garantirne l’incolumità, per ap- plicare una misura di protezione dei minori o degli adulti, per ricoverarla a scopo di assistenza o per prevenire minacce.
Va rilevato che alcuni servizi sono abilitati a comunicare segnalazioni in vista della loro registrazione nel SIS II, ma non sono autorizzati a consultare le segnalazioni del SIS II (cfr. p. es. le autorità federali d’esecuzione delle pene e di giustizia militare).
Al contrario, alcuni servizi federali e cantonali sono autorizzati a consultare le segnalazioni del SIS II, ma non possono comunicare segnalazioni (cfr. autorità doganali e autorità di polizia delle frontiere).
Si noti che l’articolo 16 capoverso 8 lettera c LSIP prevede la possibilità per taluni servizi di essere autorizzati, per via d’ordinanza, a inserire direttamente categorie di dati personali nel N-SIS (senza passare attraverso l’Ufficio SIRENE).
2.4.2 Servizi abilitati alla consultazione di segnalazioni
La consultazione delle segnalazioni SIS II riservata agli organi federali e cantonali è di due tipi (art. 16 cpv. 5 LSIP):
1) Consultazione generale: i seguenti uffici possono accedere a tutti i dati che figurano nel N-SIS che sono loro necessari nell’esercizio delle loro funzioni:
- l’Ufficio federale di polizia (fedpol);
- il Ministero pubblico della Confederazione (MPC);
- l’Ufficio federale di giustizia (UFG);
- le autorità di polizia e di perseguimento penale dei Cantoni;
- le autorità doganali e di confine (ossia il corpo delle guardie di confine e le polizie can- tonali).
2) Consultazione ristretta: i seguenti uffici hanno un accesso ristretto alle segnalazioni SIS II, unicamente a fini di controllo, divieto e restrizioni di ingresso nei confronti delle persone che non sono cittadine di uno Stato Schengen (cfr. segnalazioni SIS II secondo l’art. 24 regolamento SIS II, ex. art. 96 CAAS):
- l’Ufficio federale della migrazione (UFM);
- le rappresentanze svizzere all’estero;
- le autorità cantonali e comunali competenti nel settore della migrazione.
3) Consultazione ristretta: gli uffici cantonali della circolazione stradale hanno un accesso ri- stretto alle segnalazioni SIS II unicamente ai fini delle verifiche intese a determinare se i veicoli che sono loro presentati possono essere immatricolati.
3 Attività dell’IFPDT
Considerata la quantità di attori che trattano dati personali sensibili nel quadro del SIS II e il flusso di dati scambiati e trattati, è indispensabile che l’IFPDT svolga attività di valutazione e di supervisione in stretta collaborazione con le autorità cantonali di protezione dei dati.
3.1 Valutazioni
3.1.1 2008
L’Accordo d’Associazione a Schengen (AAS) - ratificato dalla Svizzera nel marzo 2006 - è entrato in vigore il 1° marzo 2008. La sua applicazione era subordinata a una decisione del Consiglio dell’UE che constatasse che la Svizzera adempie tutte le condizioni di attuazione, segnatamente in materia di protezione dei dati. Dopo aver valutato la capacità della Svizzera di attuare detto accordo, gli Stati partecipanti allo spazio Schengen hanno adottato tale decisione all’unanimità. Solo successivamente il SIS e tutta la cooperazione Schengen sono diventati operativi in Svizzera. In questo contesto, la decisione presa dall’UE in occasione del Consiglio «Giustizia e affari interni» (GAI) del 5 e 6 giugno 2008 ha segnato un passo decisivo nell’avanzamento della cooperazione tra la Svizzera e l’UE. Infatti l’UE ha ritenuto che, globalmente, la Svizzera adempisse alle esigenze in materia di protezione dei dati derivante dall’AAS.
La valutazione è stata condotta da équipe composte di esperti del Consiglio europeo, della Commis- sione europea e degli Stati membri. Essa verteva sull’attuazione dell’AAS nei settori della cooperazio- ne di polizia, della protezione dei dati, del controllo alle frontiere esterne (aeroporti internazionali), dei visti, della cooperazione consolare e della gestione della collezione nazionale del SIS (N-SIS) e si basava su un questionario che l’UE ha trasmesso alla Svizzera e su ispezioni locali settoriali.
La valutazione della protezione dei dati, che si è svolta nel mese di marzo 2008, verteva in particolare sulle competenze dell’autorità di controllo federale (IFPDT) e delle autorità di controllo cantonali in materia di protezione dei dati. Oggetto della valutazione, sulla base del questionario e di una visita in loco, sono state le competenze di vigilanza, d’indagine e d’intervento delle autorità di controllo, non- ché la loro indipendenza. Sono state analizzate le basi legali e, in particolare, le competenze di con- trollo sul SIS e i servizi coinvolti nella gestione. Anche i diritti delle persone interessate e la sicurezza dei dati sono stati sottoposti a valutazione. I periti europei hanno ispezionato le competenze dell’IFPDT e di diverse autorità cantonali di protezione dei dati (FR, VD, TI e ZH).
La valutazione dell’UE è stata oggetto di un rapporto14 in cui figuravano raccomandazioni. Secondo le conclusioni di tale rapporto, la legislazione svizzera in materia di protezione dei dati è conforme alle esigenze dell’acquis di Schengen. Tuttavia, il Consiglio ha raccomandato alla Svizzera di rafforzare l’indipendenza dell’IFPDT in quanto autorità di vigilanza rendendo più esplicite le disposizioni relative alla sua nomina e alla sua revoca, sviluppando la sua autonomia nel settore budgetario e del persona- le e garantendo che nessuna autorità possa determinare come l’IFPDT debba agire o decidere in una fattispecie nell’esercizio dei suoi poteri e delle sue competenze (cfr. n. 1.2.1).
3.1.2 2012 e 2013
A prescindere dalla valutazione della situazione in Svizzera, l’IFPDT ha assistito, in qualità di esperto, alle valutazioni effettuate in altri Stati. Nel 2012, per esempio, ha partecipato alla valutazione della protezione dei dati nei tre Stati baltici. Accompagnato da cinque altri esperti provenienti dagli Stati membri, il rappresentante dell’IFPDT ha proceduto alla redazione del rapporto finale relativo alla valu- tazione in cui sono state formulate raccomandazioni destinate a questi Stati. Nel 2013 l’IFPDT ha partecipato alla valutazione della protezione dei dati in Gran Bretagna. Insieme agli altri esperti ha formulato raccomandazioni nel rapporto finale.
3.1.3 2014
La prossima valutazione si svolgerà dal 12 al 16 maggio 2014. Il gruppo di esperti ispezionerà le com- petenze dell’IFPDT, dell’Ufficio federale di polizia (fedpol), dell’Ufficio federale della migrazione e delle autorità cantonali preposte alla protezione dei dati di Neuchâtel/Giura e di Berna. A tempo debito forni- remo informazioni complementari.
14 Valutazione Schengen della Svizzera relativa alla protezione dei dati (in inglese)
3.2 Controlli
Dal 2008 l’IFPDT effettua regolarmente controlli presso gli uffici federali autorizzati a consultare e/o comunicare segnalazioni SIS, segnatamente presso le rappresentanze svizzere all’estero che rila- sciano visti Schengen. Affinché i controlli in materia di protezione dei dati presso un’autorità o un ser- vizio che utilizza il SIS siano realmente efficaci, l’IFPDT dev’essere in grado di controllare anche il funzionamento del sistema informatico. A tal fine, delega sul posto un’équipe di controllo composta almeno di un giurista e di un informatico.
Dal 2008 l’IFPDT ha effettuato una quindicina di controlli, di cui riferiamo qui appresso in ordine crono- logico.
3.2.1 2008
L’IFPDT si è recato presso la rappresentanza diplomatica svizzera a Kiev (Ucraina) per effettuarvi un controllo imperniato sul processo di trattamento dei dati personali nell’attribuzione dei visti e di altre carte di soggiorno in vista dell’ingresso di cittadini di Stati terzi nello spazio Schengen attraverso la Svizzera. In seguito a questo controllo ha emanato raccomandazioni concernenti la formazione del personale che utilizza il SIS, la sicurezza tecnica dei trattamenti di dati, i contratti di esternalizzazione delle prestazioni, nonché l’esercizio dei diritti delle persone interessate. Il controllo dell’attuazione delle raccomandazioni è stato fatto in collaborazione con il DFAE e l’Ufficio della migrazione.
L’IFPDT ha altresì partecipato allo studio relativo al ricorso alle segnalazioni dell’articolo 97 CAAS nel sistema d’informazione Schengen condotto dall’ACC.
3.2.2 2009
In collaborazione con l’Ufficio federale di polizia, l’IFPDT ha esaminato la struttura dei file di archivio del N-SIS e la loro utilizzazione. Questi ultimi consentono di sapere, a posteriori, chi ha fatto una de- terminata ricerca nel sistema, in che momento e a quale scopo. Questi file sono regolarmente analiz- zati dalle autorità di protezione dei dati, federale e cantonali, nei loro compiti di controllo, motivo per cui era necessario analizzarne la struttura.
L’IFPDT ha deciso di verificare la liceità degli accessi dei collaboratori della Polizia giudiziaria federale che dispongono di un diritto d’accesso al N-SIS, nonché il rispetto delle esigenze legali quando detti collaboratori utilizzano il sistema. In questo contesto, l’IFPDT non ha proceduto a un’analisi dei file di archivio, ma si è concentrato sulle procedure e le misure tecniche e organizzative adottate. Al termine del controllo non ha formulato osservazioni o raccomandazioni di sorta.
Si è inoltre recato presso la rappresentanza svizzera al Cairo (Egitto) per esaminare i trattamenti di dati personali nel quadro dell’attribuzione dei visti Schengen. Le proposte di miglioramento sono state trasmesse al DFAE che, dopo averle accettate, le ha attuate: concernevano la definizione dei compiti e delle responsabilità delle persone incaricate della sicurezza e della protezione dei dati, la gestione
delle password, gli accessi alle stanze dei server e le regole concernenti la protezione dei dati perso- nali.
L’IFPDT ha inoltre preso l’iniziativa di costituire un gruppo di coordinamento Schengen che riunisce le autorità svizzere di protezione dei dati. Tale piattaforma consente alle autorità di cooperare attivamen- te nelle loro attività di vigilanza, ma anche di scambiare le informazioni necessarie a una vigilanza efficace. Il gruppo in questione si riunisce due volte all’anno.
Infine, l’IFDPT ha partecipato allo studio relativo al ricorso alle segnalazioni di cui all’articolo 98 CAAS nel sistema d’informazione Schengen condotto dall’ACC.
3.2.3 2010
L’IFPDT si è recato presso il Consolato generale di Svizzera a Istanbul (Turchia) per esaminare le procedure d’attribuzione dei visti Schengen nella prospettiva della protezione dei dati. Questo control- lo era incentrato in particolare su un esame dei file d’archivio, nonché sulla gestione degli appunta- menti presi dai richiedenti il visto presso l’azienda turca presso cui questo servizio è esternalizzato.
Le due proposte di miglioramento formulate sono state accettate: la prima era rivolta al DFAE e con- cerneva la formazione ancora incompiuta del personale; la seconda riguardava l’UFM e verteva sull’utilizzazione di un account non nominale per l’epurazione dei dati dal sistema SIMIC che doveva essere sostituito da uno nominale.
Un altro controllo riguardava l’esame dei file d’archivio. Si è svolto presso il Corpo delle guardie di confine, in particolare presso i collaboratori che accedono al SIS. Ne è emerso che questi ultimi utiliz- zavano il sistema in modo conforme alle esigenze legali, anche se erano necessari chiarimenti nel settore della formazione degli utenti.
In seno al gruppo di coordinamento Schengen, le autorità svizzere di protezione dei dati hanno deciso di uniformare la loro metodologia di controllo per poter coordinare i controlli e confrontare i risultati, ma anche per ovviare alle difficoltà riscontrate dalle autorità le cui esperienze in materia di controllo sono limitate a causa delle scarse risorse disponibili. Nel settembre 2010 il gruppo ha adottato un documen- to finale.
3.2.4 2011
L’IFPDT ha effettuato un controllo presso la rappresentanza svizzera a Mosca (Russia) nell’ambito dei trattamenti di dati in occasione dell’attribuzione di visti Schengen. In seguito alla visita sul posto e all’analisi dei file di archivio per i sistemi SIS e SIMIC, l’IFPDT ha emanato diverse raccomandazioni. Alcune si rivolgevano direttamente alla rappresentanza stessa (misure di sicurezza insufficienti, man- canza d’informazione ai richiedenti), mentre altre concernevano tutte le rappresentanze svizzere all’estero e sono state quindi trasmesse al DFAE. Tali raccomandazioni concernevano i contratti d’esternalizzazione che vincolano alcune rappresentanze a imprese esterne locali, nonché la forma- zione dei collaboratori svizzeri e locali.
L’IFPDT ha altresì proseguito l’esame dei file d’archivio del sistema SIS per poter mantenere aggior- nate le proprie conoscenze in vista dei prossimi controlli.
Il gruppo di coordinamento ha elaborato uno scritto di sensibilizzazione in italiano, francese e tedesco, all’attenzione dei servizi che utilizzano il N-SIS che è stato trasmesso alle autorità federali e cantonali interessate.
3.2.5 2012
Nell’ambito del controllo coordinato delle segnalazioni registrate nel SIS conformemente alla Conven- zione d’applicazione dell’Accordo di Schengen (CAAS), l’IFPDT ha trasmesso all’Ufficio federale di polizia e all’Ufficio federale di giustizia un questionario al quale hanno risposto in maniera congiunta. Successivamente è stato organizzato un controllo sul posto. L’IFPDT ha concluso che i trattamenti di dati effettuati in Svizzera adempiono le condizioni specifiche di cui all’articolo 95 CAAS.
Il gruppo di coordinamento Schengen ha incaricato l’IFPDT di contattare l’Ufficio federale di polizia per esaminare le maschere di richieste e di risultati utilizzati per la ricerca nei sistemi RIPOL, SIS e SIMIC. L’IFPDT ha analizzato se le informazioni legate alle banche dati consultate erano sufficientemente visibili e se fosse necessario includervi una nota d’avvertenza legale. La stessa tematica è stata tratta- ta anche dall’Autorità comune di controllo Schengen (ACC) la quale ha rilevato che occorreva anzitut- to favorire la formazione degli utenti. Il gruppo ha altresì risposto al questionario dell’ACC relativo al diritto d’accesso.
3.2.6 2013
L’IPFPDT si è recato anche presso la rappresentanza svizzera a Dubai (Emirati Arabi Uniti) dove ha proceduto a un controllo relativo ai trattamenti di dati personali nell’ambito dell’emissione di visti Schengen. La scelta di tale rappresentanza è motivata dal fatto che, da oltre un anno, essa effettua le registrazioni avvalendosi dei dati biometrici dei richiedenti. In seguito a questo controllo, l’Incaricato ha rinunciato a emanare raccomandazioni, rendendo tuttavia attento il DFAE sulle clausole di protezione dei dati da includere nei contratti al momento dell’esternalizzazione di alcuni compiti a imprese locali e sulle trasmissioni degli elenchi di appuntamenti tra i call center locali e la rappresentanza svizzera, che devono essere rese sicure.
3.2.7 2014
L’IFPDT si è recato presso fedpol per un’introduzione al SIS II. La consulente per la protezione dei dati, accompagnata da un responsabile dell’Ufficio SIRENE nonché da collaboratori attivi nei settori tecnico e giuridico, ha presentato il nuovo sistema SIS II concentrandosi sulle modifiche apportate a partire dalla prima versione e sulle nuove funzionalità a disposizione. Le diverse persone presenti hanno proceduto a dimostrazioni tese a illustrare i tipi di ricerche che si possono effettuare, nonché i diritti d’accesso dei vari collaboratori che utilizzano il SIS II. Infine, sono state presentate alcune stati- stiche concernenti tali ricerche nel sistema.
L’IFPDT ha organizzato anche un controllo dei file d’archivio che si è svolto presso l’Ufficio federale della migrazione, in particolare presso i collaboratori che accedono al SIS. Ha mostrato che questi ultimi utilizzavano il sistema in modo conforme alle esigenze legali.
3.3 Gruppo di coordinamento
L’IFPDT attribuisce un’importanza particolare all’istituzione di una collaborazione stretta e regolare con le autorità cantonali di protezione dei dati che sono incaricate di esercitare il controllo sui servizi cantonali autorizzati a consultare e/o comunicare segnalazioni SIS. L’articolo 55 dell’ordinanza sulla parte nazionale del Sistema d’informazione Schengen e sull’Ufficio SIRENE prevede che le autorità cantonali di protezione dei dati e l’IFPDT collaborino attivamente nell’ambito delle rispettive compe- tenze e provvedano a una vigilanza coordinata sul trattamento dei dati personali. In applicazione di questa disposizione, nel 2008 l’IFPDT ha costituito un Gruppo di coordinamento delle autorità svizzere di protezione dei dati nell'ambito dell'attuazione degli Accordi di associazione a Schengen. Si tratta di una piattaforma di lavoro a cui partecipano le autorità cantonali e federale di protezione dei dati. O- gnuna di esse agisce, in maniera autonoma, nell’ambito delle rispettive competenze, ma sono tenute a collaborare attivamente nell’ambito delle loro responsabilità e ad assicurare il controllo coordinato dei trattamenti di dati effettuati in applicazione degli accordi d’associazione a Schengen e Dublino (cfr.
n. 2.1.3). Dalla sua istituzione il gruppo di coordinamento si riunisce regolarmente due volte all’anno per uno scambio di informazioni.
3.4 Informazione e sensibilizzazione
Per l’IFPDT è importante porre l’accento non solo sulle attività di controllo, ma anche sulle necessità d’informazione e di sensibilizzazione in merito a questo complesso settore di Schengen. Intende per- tanto sviluppare le sue capacità di lavoro per poter essere in grado di rispondere alle richieste delle persone interessate dai trattamenti di dati personali nel quadro del SIS.
Le attività relative all’informazione e alla sensibilizzazione del pubblico sono realizzate in collaborazio- ne con le autorità cantonali di protezione dei dati, in particolare l’elaborazione di materiale informativo.
L’IFPDT ha inoltre partecipato, con le autorità nazionali di controllo in materia di protezione dei dati degli altri Stati partecipanti a Schengen, alla campagna d’informazione lanciata dalla Commissione europea in occasione della messa in funzione del SIS II.
Parallelamente, ha lanciato campagne di informazione e di sensibilizzazione più specifiche, destinate al pubblico svizzero in occasione della messa in funzione del SIS I (2008) e in seguito del SIS II (2013) in Svizzera. In particolare ha redatto un promemoria intitolato «Schengen e i vostri dati perso- nali» e lettere tipo per permettere alle persone interessate di far valere i loro diritti15.
15 Questi documenti possono essere consultati e scaricati all’indirizzo: xxxx://xxx.xxxxx.xxxxx.xx/xxxxxxxxxxx/00000/00000/00000/xxxxx.xxxx?xxxxxxx