Assicurazione La Suva dovrebbe riconsiderare l'esternalizzazione dei dati

La Suva dovrebbe rivalutare l'esternalizzazione dei dati personali in un cloud gestito da Microsoft. Lo dice l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), al quale la Suva aveva chiesto una valutazione dei rischi nel dicembre scorso.

L'Istituto nazionale svizzero di assicurazione contro gli infortuni (Suva) aveva pianificato di esternalizzare verso un servizio cloud gestito dal gruppo statunitense Microsoft in Svizzera i dati di contenuti e dei dipendenti, riguardanti la corrispondenza commerciale, la documentazione di gestione dei casi, progetti, videoconferenze, telefonate, appuntamenti e e-mail. L'operazione avrebbe riguardato tutte le divisioni, ossia l'assicurazione infortuni, l'assicurazione militare e le due cliniche di riabilitazione. Finora tali dati erano stati elaborati dall'infrastruttura della Suva. L'esternalizzazione non avrebbe interessato il sistema informativo clinico e i sistemi informatici centrali.

In un comunicato odierno, il preposto federale avverte la Suva che che «alcuni rischi sono stati identificati e valutati solo parzialmente». Ad esempio, è noto che alcuni servizi di Microsoft 365, come Microsoft Teams, non sono crittografati end-to-end.

L'assicurazione contro gli infortuni ha certamente ridotto la probabilità di divulgazione dei dati agli Stati Uniti a «un valore trascurabile». Ma secondo l'IFPDT il risultato di questa valutazione non è «sufficientemente motivato». Gli Stati Uniti sono considerati uno «Stato senza un livello adeguato di protezione dei dati», nota il responsabile federale.

Egli consiglia dunque di riesaminare i rischi dell'operazione, soprattuto in relazione ai dati personali, e di tenere conto delle decisioni prese nel contesto della strategia della Confederazione in materia di cloud.