"I dati, il nuovo oro. Come li gestisce Locarno?"

LOCARNO - I dati sono una sorta di nuovo oro, appetiti a livello commerciale, ma al contempo spesso oggetto di criminalità online. Presto entrerà in vigore la nuova legge sulla protezione dei dati (LPD), a cui aziende e istituzioni svizzere dovranno adeguarsi. Cosa comporterà ciò per i Comuni? Che strumenti hanno? Lo chiedono al Municipio di Locarno i consiglieri comunali Andrea Barzaghini (PLR), Giuseppe Abbatiello (Per Locarno, PPD + Indipendenti, Il Centro) e Gonata Genazzi (Sinistra Unita), con una raffica di domande.

"Gli attacchi informatici alle istituzioni pubbliche sono in aumento. Minacciano la sicurezza delle infrastrutture e compromettono la protezione dei dati. Recentemente sono stati colpiti Comuni (tra i quali Bülach, Montreux, Neuchâtel, Rolle1 ), organizzazioni (p.es. Croce Rossa, l’associazione H+Gli Ospedali Svizzeri, swisstransplant2
), istituzioni (tra le altre l’ospedale di Wetzikon, la clinica Santa Chiara3), centrali elettriche, ecc. Purtroppo gli esempi nominati in questa introduzione non sono che alcuni degli innumerevoli spiacevoli inconvenienti che toccano sia l’ambito privato sia l’ambito pubblico", si legge nella loro interrogazione.

"Tale argomento è d’interesse pubblico, dato che, spesse volte, si trattano primariamente di dati delle cittadine e dei cittadini; che possono potenzialmente contenere informazioni sensibili e personali. Nonostante il loro potenziale contenuto riservato (o, per dirlo in parole povere, “al limite della riservatezza”), i dati sono già attualmente “il nuovo oro”: Da qualche anno a questa parte costituiscono un’interessante possibilità commerciale, sia per chi li gestisce; li elabora e li vende, sia per chi invece se ne serve per scopi commerciali, di marketing ed in alcuni casi purtroppo anche per scopi poco legittimi", continuano.

"Questo tema diviene ancora più attuale, dal momento che ad inizio settembre 2023 entrerà in vigore la nuova Legge federale sulla protezione dei dati (LPD) revisionata, che si prefigge di adeguare il contesto elvetico all’evoluzione tecnologica e sociale, aumentando in particolare la trasparenza dei trattamenti di dati, migliorando il controllo da parte delle persone interessate sui propri dati, affrontando importanti questioni legate alla privacy, ecc., permettendo così al paese di ratificare e mettersi a pari con le Convenzioni del Consiglio d’Europa stipulate in tale ambito. Questa nuova legge prevederà inoltre una serie di obblighi per privati, autorità statali dei tre livelli (federale, cantonale e conseguentemente anche comunale)", spiegano, prima di partire con le domande:

"1. Quali banche dati con dati personali gestiscono le autorità comunali (p.es. amministrazione, polizia comunale, ecc.)? Quali sono gli scopi dei singoli database? Il Comune dispone di una banca dati centralizzata?

2. Vi sono servizi “Cloud” che vengono utilizzati dal Comune? Se sì, con quali rischi connessi.

3. Secondo il Municipio, quali dati della Città di Locarno devono essere particolarmente protetti dagli attacchi informatici?

4. Quali margini di apprezzamento hanno i funzionari per quanto riguarda la conservazione e il trasferimento di dati personali?

5. Le banche dati comunali sono connesse e in comunicazione con quelle cantonali e federali? Se sì, fino a che punto?

6. A quali banche dati cantonali, nazionali ed europee contenenti dati personali hanno accesso le autorità comunali senza richiesta di accesso? 

7. Esiste un limite di tempo per l'archiviazione dei dati nei database comunali?

8. A quali cyberattacchi è stata esposta la Città in passato?

9. La Città di Locarno dispone già di una strategia per contrastare i crescenti rischi informatici? Coopera con enti cantonali/privati per la protezione dei dati? 

10. (In riferimento alla domanda 9) Vi è ad oggi collaborazione a livello regionale e/o tra le Città del Cantone in questo senso? È stata elaborata una strategia Comune? Vi è uno scambio di “knowhow” a tal riguardo? 

12. La Città di Locarno effettua regolarmente “test di penetrazione” presso le strutture comunali (in inglese “penetration test” - processo operativo di analisi o valutazione della sicurezza di un sistema informatico o di una rete)?

13. La Città ha già valutato la costituzione di un’autorità di vigilanza o di un organo preposto al controllo in questo ambito sensibile?

14. Tutti i dipendenti della città di Locarno sono regolarmente formati sugli eventuali rischi informatici?

15. Il Comune dispone di una copertura assicurativa specifica che copra eventuali danni/spese dovuti ad attacchi o ricatti (Ransomware), ripristino dati, ecc.?

16. Riferendomi all’ultimo paragrafo dell’introduzione circa l’entrata in vigore della nuova LPD ed in modo particolare agli obblighi che verranno imposti ad autorità cantonali (e di riflesso verosimilmente comunali): Ad oggi, la procedura di consultazione per l’adeguamento della legge sui dati a livello cantonale (LPDP etc.) non sembra essere partita [senza prendere in considerazione il Progetto di revisione totale della Legge di applicazione della legge federale sull’armonizzazione dei registri e concernente la banca dati movimento della popolazione], nonostante manchino ormai pochi mesi all’entrata in vigore (senza norme transitorie) della nLPD (a livello federale) e nonostante gli altri Cantoni si siano dotati (secondo nostro parere a ragione) di nuove leggi cantonali in linea col diritto superiore. Il Comune di Locarno ha delle novità al riguardo? Ha sollecitato il Cantone a procedere con la consultazione? Oppure i nuovi obblighi imposti dalla LPD sono attualmente chiari per la Città?".