Dichiarazione sulla protezione dei dati della Infrastruttura di Fiducia Public Beta

1. Osservazioni generali

La protezione dei vostri dati è per noi una questione di fiducia. È inteso che l’Amministrazione federale raccoglie soltanto i dati personali strettamente necessari all’adempimento dei suoi compiti (uso parsimonioso dei dati). I dati registrati sono amministrati con cura e protetti da qualsiasi genere di abuso.

Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della Confederazione sulla protezione dei dati, ognuno ha diritto al rispetto della sua sfera privata nonché d’essere protetto da un impiego abusivo dei suoi dati personali. L'Amministrazione federale osserva queste disposizioni nelle sue pagine e nei suoi servizi web.

2. Introduzione

Nella presente dichiarazione sulla protezione dei dati l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) spiega in che misura, a quale scopo e a quali condizioni tratta i dati personali in relazione all’utilizzo del registro di base e del registro di fiducia. L’UFIT elabora i dati in arrivo sotto la propria responsabilità, conformemente alla presente dichiarazione sulla protezione dei dati, oppure li inoltra a terzi.

La legge federale sulla protezione dei dati disciplina il trattamento dei dati personali da parte dell’Amministrazione federale. Tale normativa è applicabile al trattamento dei dati per quanto riguarda la gestione dei sistemi di informazione finalizzati a emettere e a verificare mezzi di autenticazione elettronici dell’infrastruttura fiduciaria della Confederazione. Il trattamento dei dati da parte dell’UFIT si basa sulla legge sull’Id-e (LIdE).

3. Campo di applicazione

La presente dichiarazione sulla protezione dei dati si applica al trattamento dei dati in relazione all’utilizzo del registro di base e del registro di fiducia per l’infrastruttura fiduciaria public beta, la cui implementazione concreta verrà denominata nel seguito beta Base Registry (registro di base) e beta Trust Registry (registro di fiducia).

4. Responsabile

Responsabile del trattamento dei dati descritto nella presente dichiarazione:

Ufficio federale dell’informatica e della telecomunicazione UFIT
3003 Berna
Svizzera
T +41 58 463 25 11
info@bit.admin.ch

5. Trattamento dei dati e scopo di beta Base Registry e beta Trust Registry

L’UFIT mette a disposizione del pubblico un registro di base contenente i dati necessari per:

  • verificare se i mezzi di autenticazione elettronici, quali chiavi crittografiche e identificativi, sono stati successivamente modificati;
  • verificare se i mezzi di autenticazione elettronici e il corrispondente identificativo provengono dall’emittente iscritto nel registro di base;
  • iscrivere nel registro di fiducia chi emette mezzi di autenticazione elettronici (emittente) o li verifica (verificatore);
  • verificare se un mezzo di autenticazione elettronico è stato revocato.

Il registro di base non contiene dati relativi ai singoli mezzi di autenticazione elettronici, salvo quelli concernenti la loro revoca. I dati concernenti la revoca di un mezzo di autenticazione elettronico non devono consentire di risalire all’identità del titolare o al contenuto del mezzo di autenticazione.

L’UFIT mette a disposizione del pubblico un registro di fiducia contenente i dati utili per:

  • verificare l’identità indicata da un emittente o un verificatore;
  • garantire un utilizzo sicuro dei mezzi di autenticazione elettronici.

L’utilizzo dei registri da parte dell’utente comporta il trattamento dei dati personali seguenti:

  • cognome;
  • nome;
  • indirizzo e-mail;
  • indirizzo IP.

6. Le tappe dei processi di registrazione (onboarding)

6.1 Onboarding sul beta Base Registry (Technical Trust)

Le persone registrano la propria organizzazione nell’applicazione swiyu Trust Infrastructure, a cui accedono attraverso il link nell’ePortal, indicando il nome dell’organizzazione e l’indirizzo e-mail. Successivamente, viene loro fornito l’accesso all’applicazione per il portale self-service API, nella quale hanno la possibilità di abbonarsi al beta Base Registry e al beta Status Registry API. La richiesta di pubblicazione delle chiavi digitali pubbliche associate al Decentralized Identifier (DID) viene autorizzata nel controller e registrata nel beta Base Registry.

6.2 Onboarding sul beta Trust Registy mediante Trust Statement (Human Trust)

Le persone possono chiedere di essere ammesse nel beta Trust Registry presentando la relativa domanda nell’applicazione swiyu Trust Infrastructure, a cui accedono attraverso il link nell’ePortal. L’operazione presuppone l’onboarding nel beta Base Registry secondo il numero 6.1. Successivamente, seguendo le modalità indicate nella swiyu Trust Infrastructure, le persone trasmettono all’UFIT le indicazioni richieste per il Trust Statement (DID dell’organizzazione nel beta Base Registry, nome dell’organizzazione, logo, e-mail).

7. Cosa accade ai dati degli utenti?

Il trattamento dei dati personali sui siti Internet della Confederazione è limitato ai dati necessari per approntare una pagina Internet funzionante nonché contenuti e prestazioni di facile fruizione oppure ai dati che gli utenti hanno messo spontaneamente a disposizione. I dati personali da noi rilevati sono conservati soltanto per il tempo necessario all’adempimento del rispettivo scopo. Le disposizioni di legge o altri obblighi possono implicare un periodo di conservazione più lungo.

8. Inoltro dei dati a terzi

Al fine di conseguire gli scopi descritti nella presente dichiarazione sulla protezione dei dati, può rendersi necessario inoltrare i dati personali ad altre autorità o fornitori di servizi. Si tratta delle seguenti categorie di destinatari:

  • fornitori di servizi esterni;
  • fornitori;
  • autorità;
  • se del caso, tribunali.

La messa a disposizione di messaggi generati dai sistemi di informazione e la loro consultazione nell’ePortal avvengono tramite i server dell’Amministrazione federale.

9. Luogo del trattamento dei dati

I dati personali sono conservati e trattati esclusivamente in Svizzera.

10. Sicurezza dei dati

Per proteggere i dati da accessi non autorizzati, perdite e abusi, l’UFIT adotta adeguate misure di sicurezza di natura tecnica (p. es. cifrature, verbalizzazione, controlli e restrizioni dell’accesso, protezione dei dati, soluzioni di sicurezza informatica e di rete) e organizzativa (p. es. istruzioni ai collaboratori, accordi di riservatezza, verifiche).

Pagina Internet: nel quadro di una visita della pagina Internet, l’Amministrazione federale ricorre alla comunicazione cifrata dei dati basata su TLS, in combinazione con il livello di crittografia più alto supportato dal browser dell’utente. Per verificare se una determinata pagina del sito web è trasmessa in forma criptata, occorre osservare se il simbolo della chiave o del lucchetto nella barra degli indirizzi del browser appare chiuso.

Trattamento generale dei dati: per il trattamento dei dati l’Amministrazione federale applica inoltre misure di sicurezza tecniche e organizzative adeguate, al fine di proteggere i dati degli utenti da manipolazioni accidentali o intenzionali, dalla perdita parziale o totale, dalla distruzione o dall’accesso non autorizzato da parte di terzi. Le misure di sicurezza messe in atto dall’Amministrazione federale sono conformi allo stato attuale della tecnica.

11. Diritti dell’utente in relazione ai dati personali

L’utente gode dei seguenti diritti in relazione ai dati personali che lo riguardano:

  • diritto a ottenere informazioni su quali suoi dati personali salviamo e sulle relative modalità di trattamento;
  • diritto a farsi consegnare o trasmettere una copia dei propri dati personali in un formato d’uso comune;
  • diritto a rettificare i propri dati personali;
  • diritto alla cancellazione dei dati personali;
  • diritto a opporsi al trattamento dei propri dati personali.

L’utente è pregato di notare che a questi diritti si applicano le condizioni e le eccezioni previste dalla legge. La richiesta dell’utente di esercitare tali diritti può essere rifiutata nella misura consentita dalla legge. L’utente ha altresì diritto a presentare un reclamo al competente organo di sorveglianza sulla protezione dei dati.

12. Modifiche

L’UFIT può adeguare in qualsiasi momento e senza preavviso la presente dichiarazione sulla protezione dei dati, soprattutto se decide di modificare il trattamento dei dati o se nuove norme giuridiche diventano applicabili. Fa fede la versione più recente pubblicata o la versione valida per il rispettivo periodo.