Consenso obbligatorio
Se la legge verrà accolta il 7 marzo, l’identità elettronica (eID) vedrà la luce grazie a un partenariato pubblico-privato. Lo Stato sarà responsabile della certificazione dei fornitori, del controllo dell’identità dei cittadini e del monitoraggio dell’applicazione della legge. I fornitori, dal canto loro, stabiliranno e gestiranno le eID.
Chiunque ne voglia una dovrà scegliere un fornitore riconosciuto dallo Stato. Potrà trattarsi di un’azienda, ma anche di un Cantone o di un Comune. Diverse entità la offrono già. Il Canton Sciaffusa, per esempio: propone un’identità elettronica sotto forma di app, che può essere utilizzata tra l’altro per la dichiarazione delle imposte o i cambiamenti dello stato civile. SwissSign (di cui fanno parte anche Ffs, Swisscom, diverse banche e assicurazioni) ha creato SwissID. Mentre Cloud Trust ha sviluppato l’eID per la cartella clinica elettronica. Tutti e tre, così come tutti i nuovi attori che dovessero cimentersi in questo settore, prima di poter emettere delle eID ufficiali dovranno essere certificati da una commissione federale creata appositamente. Dopo aver ricevuto una richiesta da un potenziale utente, il fornitore riconosciuto contatterà l’Ufficio federale di polizia (Fedpol), che controllerà i suoi dati e darà il via libera. Solo a quel punto una eID potrà essere creata e utilizzata su Internet. A condizione che l’interessato vi abbia acconsentito, Fedpol trasmette al fornitore soltanto i dati assolutamente necessari.
Anche l’utilizzo dell’identità elettronica sarà regolato e supervisionato dallo Stato. La stessa commissione avrà il compito di controllare che i fornitori rispettino la legge, in particolare in materia di sicurezza e protezione dei dati. Se viene riscontrata un’infrazione, la certificazione di un fornitore può essere revocata.
Nel concreto, i fornitori saranno tenuti a memorizzare separatamente su server in Svizzera tre serie di dati: i dati di identificazione, i dati opzionali e i dati di utilizzo. I primi includono cognome, nome, data e luogo di nascita, sesso, nazionalità e una fotografia. I secondi (può trattarsi di un indirizzo postale o di un numero di telefono) sono presentati volontariamente dall’utente. Nella terza categoria rientrano i dati raccolti dopo ogni uso dell’eID. Per esempio, se un consumatore decide di comprare un divano online, il fornitore conoscerà l’importo e il luogo dell’acquisto, ma non la composizione esatta dell’acquisto.
Nel caso dell’ordinazione di un estratto dell’ufficio esecuzioni e fallimenti, il fornitore saprà che un documento è stato ordinato a quest’ultimo. Tuttavia, non avrà accesso al suo contenuto. Queste informazioni costituiscono i dati di utilizzo. Il fornitore dovrà cancellarli ogni sei mesi. Gli utenti dovranno dare il loro consenso prima di ogni trasmissione dei loro dati. Qualsiasi altro uso è proibito. In particolare, i fornitori non possono trasmettere a terzi i dati degli utenti, né profili basati su di essi.