Dichiarazione sulla protezione dei dati in relazione all’utilizzo dell’app pilotWallet

1. Introduzione

Nella presente dichiarazione sulla protezione dei dati, l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) spiega in che misura, a quale scopo e a quali condizioni tratta i dati personali in relazione all’utilizzo dell’applicazione per la conservazione e la presentazione di mezzi di autenticazione elettronici dell’infrastruttura fiduciaria della Confederazione (di seguito «pilotWallet»). Oltre alla presente dichiarazione sulla protezione dei dati, è necessario osservare anche le condizioni di utilizzo e le dichiarazioni sulla protezione dei dati dei rispettivi emittenti di mezzi di autenticazione elettronici, poiché i dati personali relativi ai mezzi di autenticazione conservati nell’app pilotWallet sono trattati dagli emittenti e dai verificatori.

La legislazione svizzera sulla protezione dei dati disciplina il trattamento dei dati personali da parte dell’Amministrazione federale. Si applica al trattamento dei dati in relazione all’app pilotWallet e alla gestione dei relativi sistemi di informazione finalizzati a emettere e a verificare mezzi di autenticazione elettronici dell’infrastruttura fiduciaria della Confederazione. Il trattamento dei dati da parte dell’UFIT si basa sul disegno della legge sull’Id-e (LIdE; FF 2023 2843).

2. Responsabile

Responsabile del trattamento dei dati descritto nella presente dichiarazione:

Ufficio federale dell’informatica e della telecomunicazione UFIT
3003 Berna
Svizzera

T +41 58 463 25 11
info@bit.admin.ch

3. Trattamento dei dati

In conformità all’articolo 7 LIdE, l’app pilotWallet ha lo scopo di trasmettere e conservare in modo sicuro i mezzi di autenticazione elettronici dell’infrastruttura fiduciaria, in forma elettronica, in modo da poterli presentare in caso di necessità. L’installazione e l’utilizzo di questa app sono facoltativi.

Attraverso l’utilizzo dell’app pilotWallet trattiamo i seguenti dati personali:

• indirizzo IP.

3.1 Nel dettaglio, l’app pilotWallet prevede le seguenti operazioni di trattamento

3.1.1. Ottenimento di un mezzo di autenticazione elettronico

Le persone che hanno richiesto e ricevuto un mezzo di autenticazione elettronico possono conservarlo sul proprio cellulare all’interno dell’app pilotWallet. Lo scanner di codici QR integrato (o un URL che apre l’app pilotWallet) permette di ricevere nuovi mezzi di autenticazione elettronici dell’infrastruttura fiduciaria della Confederazione. Al momento della connessione a questi server vengono trasmessi i seguenti dati di sistema: indirizzo IP, versione del sistema operativo e versione dell’applicazione.

3.1.2. Verifica di un mezzo di autenticazione elettronico tramite l’app pilotWallet

Sulla base del principio dell’economia dei dati, il procedimento è il seguente: l’app pilotWallet verifica localmente la validità dei mezzi di autenticazione elettronici conservati al suo interno confrontando per mezzo di una connessione crittografata i dati di indice provenienti dal corrispondente sistema back end.

3.1.3. Presentazione di un mezzo di autenticazione elettronico (verifica)

Poiché i mezzi di autenticazione elettronici dell’infrastruttura fiduciaria della Confederazione possono contenere dati personali degni di particolare protezione, il software dell’app pilotWallet è stato programmato in modo tale che il contenuto possa essere trasmesso al verificatore solo con il consenso dell’utente. Se l’utente, in caso di una richiesta di informazioni, decide di condividere i dati personali presenti nei mezzi di autenticazione precedentemente ricevuti o conservati, questi vengono trasmessi al verificatore.

3.1.4. Verifica della versione

L’utilizzo dell’applicazione sul dispositivo locale può essere associato alla richiesta di utilizzare o scaricare l’ultima versione. A tal fine, a ogni avvio dell’applicazione viene inviata una richiesta ai server dell’UFIT che fornisce la versione corrente dell’applicazione.

3.1.5. Log

Per verificare il funzionamento dell’app pilotWallet e risolvere i problemi, l’UFIT necessita l’accesso ai registri degli arresti («crash») anomali. Questi ultimi contengono dati sulla versione del sistema operativo utilizzata, sulla versione dell’app, sul tipo di dispositivo e sull’indirizzo IP anonimizzato. Tali registri vengono trasmessi direttamente ai sistemi dell’UFIT solo in seguito all’accettazione da parte dell’utente.

3.2. Misure di protezione

I mezzi di autenticazione elettronici sono protetti con misure appropriate per impedire a terzi di venire a conoscenza delle informazioni contenute. L’utilizzo dell’app pilotWallet, compresa la semplice visualizzazione delle informazioni contenute nei mezzi di autenticazione elettronici, è quindi vincolato a un’autenticazione. Sono ammessi tutti i mezzi di autenticazione disponibili sul cellulare in questione (ad es. PIN, pattern di sicurezza, password, autenticazione biometrica).

4. Scopi

L’app pilotWallet e il trattamento dei dati basato su di essa sono destinati esclusivamente a consentire agli utenti di:

• ricevere e conservare in forma elettronica mezzi di autenticazione verificabili;
• presentare mezzi di autenticazione verificabili in caso di richieste di informazioni;
• controllare la validità dei mezzi di autenticazione.

5. Trasmissione dei dati

L’approntamento di messaggi risultanti dai sistemi di informazione e la loro consultazione da parte dell’app pilotWallet avviene tramite i server dell’Amministrazione federale.

Per motivi legali, può essere necessario che i dati personali trattati dall’UFIT (indirizzo IP) siano trasmessi ad autorità e tribunali.

6. Luogo del trattamento dei dati

I dati personali sono conservati e trattati in Svizzera.

7. Periodo di conservazione

L’UFIT conserva i dati personali solo per il tempo necessario

• per adempiere agli scopi summenzionati;
• per rispettare gli obblighi legali.

8. Sicurezza dei dati

Per proteggere i dati da accessi non autorizzati, perdite e abusi, l’UFIT adotta adeguate misure di sicurezza di natura tecnica (ad es. cifrature, verbalizzazione, controlli e restrizioni dell’accesso, protezione dei dati, soluzioni di sicurezza informatica e di rete ecc.) e organizzativa (ad es. istruzioni ai collaboratori, accordi di riservatezza, verifiche ecc.).

9. Diritti dell’utente in relazione ai dati personali

L’utente gode dei seguenti diritti in relazione ai dati personali che lo riguardano:

• diritto a ottenere informazioni sui dati personali in nostro possesso e sulle relative modalità di trattamento;
• diritto a ricevere o trasferire una copia dei propri dati personali in formato d’uso comune;
• diritto a rettificare i propri dati personali;
• diritto alla cancellazione dei dati personali;
• diritto a opporsi al trattamento dei propri dati personali.

L’utente è pregato di notare che a questi diritti si applicano i requisiti e le eccezioni di legge. La richiesta dell’utente di esercitare tali diritti può essere rifiutata nella misura consentita dalla legge. L’utente ha altresì diritto a presentare un reclamo all’organo di sorveglianza sulla protezione dei dati competente.

10. Modifiche

L’UFIT può modificare in qualsiasi momento e senza preavviso la presente dichiarazione sulla protezione dei dati. Fa fede la versione più recente pubblicata o la versione valida per il rispettivo periodo.