L’IFPDT conclude le inchieste nei confronti della ditta Xplain e degli uffici federali fedpol e UDSC

Berna, 01.05.2024 - Nel quadro delle tre inchieste, l’IFPDT ha rilevato delle violazioni alla legge sulla protezione dei dati, riconducibili a errori nel processo di supporto. I risultati delle inchieste mostrano, da un lato, che dati personali di fedpol e dell’UDSC sono confluiti alla ditta Xplain senza le necessarie misure di protezione dei dati e, dall’altro, che quest’ultima li ha successivamente conservati contravvenendo alle norme di protezione dei dati e in parte anche ai contratti stipulati.

Dopo l’attacco ransomware subito dalla ditta Xplain nel maggio 2023, sono stati pubblicati sul darknet numerosi dati personali dell’Amministrazione federale, tra cui anche dati personali degni di particolare protezione. Questi dati erano memorizzati su un server di Xplain. L’IFPDT ha quindi dato avvio il 20 giugno 2023 a due inchieste nei confronti dell’Ufficio federale di polizia (fedpol) e dell’Ufficio federale della dogana e della sicurezza dei confini (UDSC). Il 13 luglio 2023 ha aperto una terza inchiesta riguardante la ditta privata Xplain. L’IFPDT ha in particolare analizzato le circostanze in cui i dati sono stati trasmessi a Xplain dai due uffici federali e memorizzati sul server della ditta.

Nei suoi rapporti, l’IFPDT giunge alla conclusione che né fedpol né l’UDSC avevano concordato in modo chiaro se fosse consentito, ed eventualmente a quali condizioni, memorizzare dati personali sul server di Xplain nel quadro delle attività di supporto fornite da quest’ultima. Sarebbe stato necessario stabilire esplicitamente in quale misura i dati personali potevano essere trasmessi a Xplain ed essere memorizzati dalla stessa. Secondo la struttura effettiva del processo, i dati personali giungevano alla ditta Xplain nel quadro di casi di supporto, senza che quest’ultima avesse definito requisiti precisi per la trasmissione e la sicurezza dei dati. Sul server di Xplain si sono quindi accumulati dati non strutturati provenienti dagli uffici federali. L’IFPDT ha anche constatato che la quantità di dati personali trasmessi nell’ambito di questo processo era sproporzionata.

Xplain non aveva alcuna possibilità di accedere alle banche dati di fedpol e dell’UDSC. La ditta avrebbe tuttavia dovuto sapere che le funzioni di supporto, da essa stessa programmate, avrebbero potuto contenere anche dati personali e che questi ultimi sarebbero stati trattati sul suo server nel quadro dei processi di supporto. Per tali trattamenti, la ditta Xplain in veste di responsabile non ha adottato misure adeguate a garantire la sicurezza dei dati e la protezione delle informazioni secondo la buona prassi (best practice). Per quanto riguarda la custodia di dati personali dell’Amministrazione federale, Xplain ha violato due principi in materia di protezione dei dati: quello della destinazione vincolata e quello della proporzionalità. Inoltre, nonostante i contratti comprendessero sporadicamente degli obblighi di cancellazione, la ditta ha conservato tali dati personali in violazione dei contratti.

L’IFPDT ha formulato delle raccomandazioni rivolte all’UDSC, a fedpol e alla ditta Xplain, con l’obiettivo di minimizzare in modo duraturo i rischi di ulteriori violazioni delle norme di protezione dei dati. I tre destinatari devono ora comunicare entro 30 giorni all’IFPDT se accettano le raccomandazioni.

Nota: Parallelamente all’inchiesta svolta sulla base della LPD dall’IFPDT in veste di autorità indipendente, il Consiglio federale ha condotto un’inchiesta amministrativa in applicazione della legge sull’organizzazione del Governo e dell’Amministrazione (LOGA) in cui ha pure analizzato il flusso di dati relativo alla ditta Xplain AG e il cui rapporto finale è parimenti pubblicato il 01.05.2024. Le due inchieste si sono svolte in modo indipendente l’una dall’altra.

Indirizzo cui rivolgere domande

Incaricato federale della protezione dei dati e della trasparenza (IFPDT), Tel. +41 58 462 99 31, info@edoeb.admin.ch