L'informativa sulla privacy spiega quali dati vengono raccolti e perché, e come vengono utilizzate le informazioni. Le Condizioni d'uso informano sulle regole che si accettano quando si utilizza l'App COVID Certificate.
Stato: giugno 2022
Dichiarazione sulla protezione dei dati riguardante i sistemi d’informazione e le app gestiti dall’UFIT in relazione ai certificati COVID-19
Nella presente dichiarazione sulla protezione dei dati, l’Ufficio federale dell’informatica e della telecomunicazione (UFIT) spiega in che misura e a quali condizioni tratta i dati personali in relazione all’utilizzo dell’«applicazione per la conservazione» e dell’«applicazione per la verifica» (di seguito: app) e alla gestione dei relativi sistemi d’informazione per il rilascio e la revoca dei certificati COVID-19 in Svizzera. Oltre alla presente dichiarazione sulla protezione dei dati devono essere osservate anche le condizioni di utilizzo delle rispettive app.
La legislazione svizzera sulla protezione dei dati disciplina il trattamento dei dati personali da parte dell’Amministrazione federale. Si applica al trattamento dei dati in relazione alle applicazioni e alla gestione dei relativi sistemi d’informazione finalizzati all’emissione e alla revoca di certificati COVID-19. Il trattamento dei dati si basa sulla legge COVID-19 del 25 settembre 2020 (RS 818.102), sull’ordinanza del 4 giugno 2021 concernente i certificati attestanti l’avvenuta vaccinazione anti-COVID-19, la guarigione dalla COVID-19 o il risultato di un test COVID-19 (ordinanza sui certificati COVID-19; RS 818.102.2) e sulla legge federale del 28 settembre 2012 sulla lotta contro le malattie trasmissibili dell’essere umano (legge sulle epidemie, LEp; RS 818.101).
Sono «dati personali» tutte le informazioni relative a una persona identificata o identificabile. Nel presente caso sono trattati in particolare i dati sanitari, che costituiscono i cosiddetti dati personali degni di particolare protezione. «Trattamento» significa qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la conservazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione o la distruzione di dati.
Responsabile del trattamento dei dati descritto nella presente informativa:
Ufficio federale dell’informatica e della telecomunicazione UFIT
3003 Berna
Svizzera
Tel. +41 58 463 25 11
info@bit.admin.ch
3.1 Sistema d’informazione per la gestione dei certificati di firma
L’UFIT gestisce un sistema d’informazione concernente i certificati di firma digitale (chiavi crittografiche) per verificare l’autenticità, l’integrità e la validità delle firme elettroniche dei certificati COVID-19 al fine di:
- scambiarli con i sistemi esteri corrispondenti, in particolare nell’ambito del «certificato COVID digitale UE» dell’Unione Europea;
- mettere a disposizione applicazioni che servono alla conservazione e alla verifica dei certificati.
Ciò consente di verificare i certificati interoperabili esteri nei Paesi partecipanti. Le applicazioni per la conservazione dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati memorizzati nell’app. Le applicazioni per la verifica dei certificati COVID-19 necessitano dell’elenco dei certificati di firma per verificare la validità dei certificati scansionati. Il sistema d’informazione elabora solo i certificati di firma, quindi non tratta dati personali.
3.2 Sistema d’informazione per l’emissione di certificati COVID-19
L’UFIT gestisce un sistema d’informazione che i professionisti della salute designati dai Cantoni e dal medico in capo dell’esercito (cosiddetti emittenti) possono utilizzare per emettere e revocare certificati COVID-19. Ai fini dell’amministrazione e della gestione da parte degli emittenti autorizzati, nel sistema d’informazione sono trattati i seguenti dati personali:
- nome, cognome, indirizzo postale, indirizzo e-mail e numero di telefono dell’emittente;
- informazioni sul fornitore di servizi d’identificazione utilizzato e sull’identificativo con il quale quest’ultimo identifica la persona in questione;
- indicazione dei certificati che l’emittente può emettere (certificati di vaccinazione, guarigione, test e/o di deroga);
- data di inizio e di fine del periodo di validità della designazione degli emittenti da parte del Cantone e del medico in capo dell’esercito.
Gli emittenti trasmettono al sistema d’informazione i dati necessari all’emissione del certificato COVID-19:
- cognome, nome e data di nascita del titolare del certificato COVID-19;
- informazioni sul Paese in cui è stato somministrato il vaccino o eseguito il test oppure, se questa informazione non è disponibile e la vaccinazione o il test è stato eseguito da un’organizzazione internazionale, un codice riconosciuto a livello internazionale per questa organizzazione;
- informazioni sull’editore («Ufficio federale della sanità pubblica»);
- informazioni sulla vaccinazione, sul vaccino somministrato e sulla completezza della vaccinazione (nel caso di un certificato di vaccinazione COVID-19);
- informazioni sulla malattia contratta e sul momento del risultato positivo del test (nel caso di un certificato di guarigione dalla COVID-19);
- informazioni sul test eseguito (nel caso di un certificato di test COVID-19);
- informazione sul fatto che il titolare del certificato COVID-19 non può essere vaccinato né testato per motivi medici (nel caso di un certificato di deroga COVID-19), nonché indicazione del servizio responsabile dell’emissione del certificato.
Per l’emissione dei certificati gli emittenti si basano sui documenti in loro possesso.
Per l’emissione dei certificati di guarigione dalla COVID-19 attestanti le guarigioni avvenute in Svizzera e dei certificati COVID-19 attestanti le vaccinazioni somministrate o le guarigioni avvenute all’estero, i Cantoni possono applicare anche un sistema d’informazione che
- serve a presentare le richieste di emissione di un certificato di vaccinazione o di guarigione COVID-19, nonché all’elaborazione e al disbrigo di queste richieste da parte dell’emittente e
- in caso di guarigioni avvenute in Svizzera permette loro di confrontare i dati del richiedente con quelli contenuti nel sistema d’informazione di cui all’articolo 60 LEp e di integrare le informazioni sul risultato del test.
Per questo sistema d’informazione vigono una dichiarazione sulla protezione dei dati specifica nonché condizioni generali di utilizzo specifiche, disponibili all’indirizzo www.covidcertificate-form.admin.ch.
A partire dai dati trasmessi, il sistema d’informazione dell’UFIT genera un certificato COVID-19 che contiene un identificativo univoco e un codice a barre standardizzato ISO ed è dotato di un sigillo elettronico regolamentato (certificato di firma) dell’Ufficio federale della sanità pubblica (UFSP) utilizzato per controllarne l’autenticità, l’integrità e la validità. L’identificativo univoco si ottiene dalle informazioni contenute nel rispettivo certificato COVID-19 tramite una funzione crittografica di hash (algoritmo SHA-384). Le funzioni di hash sono funzioni unidirezionali e non invertibili. Pertanto, il solo identificativo univoco non permette di ottenere informazioni sul contenuto del certificato COVID-19.
L’UFIT tratta i dati personali dei titolari di certificati COVID-19 nella misura assolutamente necessaria per la creazione, la firma e la trasmissione dei certificati COVID-19 nonché per la loro revoca, dopodiché li distrugge completamente. Inoltre, l’UFIT adotta tutte le misure tecniche e organizzative idonee alla protezione dei dati personali. Ciò include, tra l’altro, che i dati siano archiviati esclusivamente su server protetti della Confederazione e che vengano utilizzati collegamenti criptati per la trasmissione diretta tra il sistema d’informazione per l’emissione di certificati COVID-19 e gli emittenti o i titolari dei certificati.
Al fine di individuare e prevenire qualsiasi uso abusivo del sistema d’informazione, ad esempio a seguito della compromissione del sistema o dei mezzi di autenticazione degli emittenti, nonché di procedere a un’eventuale revoca dei certificati, gli accessi al sistema d’informazione, compresa l’indicazione del momento in cui l’accesso è avvenuto, e gli identificativi univoci dei certificati generati sono registrati e memorizzati. Questa registrazione consente esclusivamente di individuare quale emittente si è autenticato nel sistema d’informazione, quali certificati ha creato (identificativo univoco) e quando. Nessun altro dato personale – in particolare nessun dato che riguardi il contenuto dei certificati – viene memorizzato. La registrazione nell’ambito del processo di autenticazione è retta dagli articoli 25 e 26 dell’ordinanza del 19 ottobre 2016 sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione (OIAM, RS 172.010.59). La registrazione nell’ambito dell’uso del sistema d’informazione (emissione dei certificati) è retta dagli articoli 57l–57o della legge del 21 marzo 1997 sull’organizzazione del Governo e dell’Amministrazione (LOGA, RS 172.010).
3.3 Sistema d’informazione per la comparazione con i certificati revocati
L’UFIT gestisce un sistema d’informazione che permette di comparare i certificati con quelli revocati e che a tal fine contiene l’identificativo univoco dei certificati revocati. L’elenco degli identificativi dei certificati revocati è messo a disposizione delle applicazioni per la verifica e la conservazione dei certificati COVID-19. Questo elenco consente alle applicazioni per la conservazione dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati COVID-19 archiviati nell’app. L’elenco consente alle applicazioni per la verifica dei certificati COVID-19 di verificare la validità e lo stato di revoca dei certificati scansionati con l’app. Dall’identificativo del certificato non è possibile risalire alle persone, quindi nessun dato personale è trattato in questo sistema.
3.4 App per la conservazione
3.4.1 Aspetti generali
L’app per la conservazione serve per trasmettere in modo sicuro e conservare i certificati COVID-19 in forma elettronica nonché per presentarli all’occorrenza in Svizzera e all’estero. Coloro che hanno richiesto e ottenuto un certificato possono memorizzarlo sul proprio cellulare o su un dispositivo analogo (ad es. un tablet). È altresì possibile memorizzare i certificati di altre persone al fine di consentire, ad esempio, ai genitori di gestire i certificati dei figli minorenni. L’app mostra inoltre al titolare a quali categorie di accesso di cui all’allegato 6 dell’ordinanza sui certificati COVID-19 è conforme il suo certificato (3G, 2G, etc., di seguito: categorie di accesso) e se il certificato è valido per l’ingresso in determinati Paesi.
L’installazione e l’utilizzo di questa app sono facoltativi. Dal momento che i certificati COVID-19 contengono dati sanitari e, quindi, dati personali degni di particolare protezione, il software dell’app per la conservazione è stato programmato in modo tale da consentire la divulgazione dei contenuti soltanto con il consenso dell’utente. Nessuna informazione personale presente sui certificati COVID-19 viene trasmessa dall’app per la conservazione ai sistemi d’informazione dell’UFIT secondo i numeri 3.1–3.3, tranne nel caso in cui l’utente intenda creare certificati contenenti soltanto i dati strettamente necessari o convertire i certificati COVID-19 (si vedano i n. 3.4.2 e 3.4.3 di seguito).
La consultazione dell’elenco aggiornato dei certificati di firma nel sistema d’informazione secondo il numero 3.1 e dell’elenco dei certificati revocati (o dei loro identificativi) secondo il numero 3.3 può essere registrata sui server dell’UFIT al fine di salvaguardare la sicurezza delle informazioni e dei servizi. Ogni consultazione implica la trasmissione e l’archiviazione di dati tecnici concernenti il dispositivo dell’utente, tra cui la versione del sistema operativo, la versione dell’app, l’indirizzo IP ecc. Le verifiche della validità eseguite nell’app non generano interrogazioni del server, ma sono svolte sulla base di elenchi archiviati localmente e non richiedono dunque la trasmissione di dati personali.
I certificati COVID-19 possono anche essere protetti con misure appropriate per impedire a terzi di venire a conoscenza delle informazioni contenute. L’utilizzo dell’app, compresa la semplice visualizzazione delle informazioni contenute nei certificati COVID-19, può quindi essere vincolato a un’autenticazione. Sono ammessi tutti i mezzi di autenticazione disponibili sul cellulare in questione (ad es. PIN, pattern di sicurezza, password, autenticazione biometrica).
3.4.2 Creazione di certificati contenenti soltanto i dati strettamente necessari («certificati light»)
L’app per la conservazione offre ai titolari di un certificato COVID-19 valido la possibilità di creare un ulteriore certificato contenente soltanto i dati strettamente necessari, e non i dati sanitari («certificato light»), utilizzabile in Svizzera. A tal fine, mediante una funzione implementata nell’app, il titolare può inviare un certificato COVID-19 valido al sistema d’informazione per l’emissione di certificati COVID-19 secondo il numero 3.2. Il sistema verifica la firma e la validità del certificato COVID-19 (originale). Se la verifica ha esito positivo, esso crea e firma un certificato contenente soltanto i dati strettamente necessari (codice QR) e lo invia all’app per la conservazione. La trasmissione avviene direttamente con i server dell’UFIT tramite una connessione HTTPS ed è protetta con il protocollo di crittografia TLS.
Il certificato light contiene unicamente cognome, nome e data di nascita della persona in questione, l’indicazione che si tratta di un certificato COVID-19 svizzero contenente soltanto i dati strettamente necessari e la fine della sua validità. La durata di validità del certificato contenente soltanto i dati strettamente necessari corrisponde alla durata di validità più breve definita per i certificati COVID-19. Alla fine della durata di validità è possibile crearne nuovamente uno, sempre che il certificato COVID-19 su cui si basa sia ancora valido. Il certificato contenente soltanto i dati strettamente necessari impedisce pertanto il trattamento dei dati sanitari da parte di terzi non autorizzati in occasione della verifica dei certificati COVID-19 («privacy by design»).
L’UFIT tratta i dati personali dei titolari di certificati COVID-19 nella misura assolutamente necessaria per la creazione, la firma e la trasmissione dei certificati contenenti soltanto i dati strettamente necessari, dopodiché li distrugge completamente. La creazione di simili certificati nel sistema d’informazione secondo il numero 3.2 può essere registrata sui server dell’UFIT al fine di salvaguardare la sicurezza delle informazioni e dei servizi. Ogni creazione implica la trasmissione e l’archiviazione di dati tecnici concernenti il dispositivo dell’utente, tra cui la versione del sistema operativo, la versione dell’app, l’indirizzo IP ecc.
3.4.3 Conversione di certificati COVID-19
L’app per la conservazione offre agli utenti la possibilità di convertire il certificato COVID-19 memorizzato nell’app in determinati formati elettronici (ad es. PDF) o in nuovi certificati nei casi previsti dall’ordinanza sui certificati COVID-19. A tal fine, mediante una funzione implementata nell’app, l’utente può inviare il certificato o i dati relativi al suo contenuto al sistema d’informazione per l’emissione di certificati COVID-19 secondo il numero 3.2. Il sistema verifica la firma e la validità del certificato (originale), converte il certificato e lo invia all’app per la conservazione. La trasmissione avviene direttamente con i server dell’UFIT tramite una connessione HTTPS ed è protetta con il protocollo di crittografia TLS.
L’UFIT tratta i dati personali dei titolari di certificati COVID-19 nella misura assolutamente necessaria per la conversione e la trasmissione dei certificati COVID-19, dopodiché li distrugge completamente. La conversione di certificati COVID-19 nel sistema d’informazione secondo il numero 3.2 può essere registrata sui server dell’UFIT al fine di salvaguardare la sicurezza delle informazioni e dei servizi. Ogni conversione implica la trasmissione e l’archiviazione di dati tecnici concernenti il dispositivo dell’utente, tra cui la versione del sistema operativo, la versione dell’app, l’indirizzo IP ecc.
3.5 App per la verifica
L’UFIT mette a disposizione un’app per la verifica che viene installata su cellulari o dispositivi analoghi (ad es. tablet) e può essere utilizzata per la verifica elettronica dell’autenticità, dell’integrità, della validità e della conformità alle categorie di accesso dei certificati COVID-19, compresi i certificati contenenti soltanto i dati strettamente necessari, nonché dei certificati esteri riconosciuti. Nessun dato personale viene trasmesso o memorizzato in modo duraturo nel processo di verifica.
L’app per la verifica è inoltre strutturata in base al principio dell’economia dei dati, secondo il quale il verificatore giunge a conoscenza soltanto delle informazioni contenute nei certificati COVID-19 strettamente necessarie all’adempimento dei suoi compiti di verifica, ovvero:
- indicazione di verifica riuscita (sfondo verde), non riuscita (sfondo rosso) o non possibile (sfondo arancione) e, se del caso, informazioni sui motivi di una verifica non andata a buon fine;
- cognome, nome e data di nascita del titolare del certificato;
- indicazione della conformità del certificato alle categorie di accesso..
Queste informazioni vengono visualizzate soltanto fino a quando il verificatore non abbandona la relativa schermata dell’app (ad es. quando scansiona un nuovo certificato COVID-19), dopodiché vengono cancellate.
L’app per la verifica non trasmette nessuna informazione personale presente sui certificati COVID-19 ai sistemi d’informazione dell’UFIT secondo i numeri 3.1–3.3. I certificati verificati non sono neppure registrati localmente. La consultazione dell’elenco aggiornato dei certificati di firma nel sistema d’informazione secondo il numero 3.1 e dell’elenco dei certificati revocati (o dei loro identificativi) secondo il numero 3.3 può essere registrata sui server dell’UFIT al fine di salvaguardare la sicurezza delle informazioni e dei servizi. Ogni consultazione implica la trasmissione e l’archiviazione di dati tecnici concernenti il dispositivo dell’utente (versione del sistema operativo, versione dell’app, indirizzo IP ecc.). Le singole verifiche della validità eseguite con l’app non generano interrogazioni del server, ma sono svolte sulla base di elenchi archiviati localmente e non richiedono dunque la trasmissione di dati personali.
I verificatori che ricevono un certificato ai fini della verifica non possono conservare né il certificato né le informazioni ivi contenute o utilizzarli per uno scopo diverso dalla verifica. È fatta salva la registrazione della durata di validità del certificato presso le strutture alle quali hanno accesso solo persone che dispongono di un’autorizzazione personale di accesso ripetuto. Le persone interessate devono preliminarmente essere informate adeguatamente sul tipo e sulla portata del trattamento dei dati e acconsentirvi espressamente.
Le applicazioni e i sistemi d’informazione gestiti dall’UFIT si basano sulla legge COVID-19, sull’ordinanza sui certificati COVID-19 e sulla legge sulle epidemie. I sistemi d’informazione sono utilizzati per generare, trasmettere e revocare i certificati COVID-19. Le app e il trattamento dei dati basato su di esse hanno il solo scopo di consentire ai titolari di certificati COVID-19:
- di conservarli e trasmetterli in modo sicuro (app per la conservazione),
- di creare un certificato contenente soltanto i dati strettamente necessari (app per la conservazione),
- di convertire i certificati COVID-19 in altri formati elettronici e, se del caso, in nuovi certificati (app per la conservazione) e
- di permettere ai verificatori di certificati COVID-19 di controllarne l’autenticità, l’integrità, la validità e la conformità alla categorie di accesso (app per la verifica).
Se l’UFIT incarica terzi in Svizzera o all’estero del trattamento dei dati personali, questi si impegnano contrattualmente a rispettare le disposizioni della legge COVID-19, dell’ordinanza sui certificati COVID-19 e della legislazione svizzera in materia di protezione dei dati. L’UFIT vigila sul rispetto delle disposizioni.
Per l’approntamento degli elenchi risultanti dai sistemi d’informazione secondo i numeri 3.1 e 3.3 (certificati di firma, elenco dei certificati revocati) e la loro consultazione da parte delle app viene utilizzata una «Content Delivery Network» di Amazon Web Services (AWS).
L’UFIT fornisce periodicamente all’Ufficio federale di statistica (UST) la raccolta aggiornata dei dati disponibili nei sistemi d’informazione secondo i numeri 3.1–3.3 in forma anonimizzata ai fini delle valutazioni statistiche. I dati di questi sistemi d’informazione possono essere resi noti anche all’UFSP e alla competente autorità estera a fini statistici in forma completamente anonimizzata.
Le app utilizzano interfacce con il sistema operativo del cellulare dell’utente. Le funzioni dei sistemi operativi utilizzati tramite le interfacce devono osservare le disposizioni dell’ordinanza sui certificati COVID-19, fatto salvo il disciplinamento concernente il codice sorgente ai sensi dell’articolo 28 capoverso 2 lettera c e dell’articolo 29 capoverso 2 lettera e.
L’UFIT non può conservare i dati personali dei titolari di certificati COVID-19, trasmessi ai sistemi d’informazione nell’ambito del processo di creazione dei certificati, per un periodo superiore a quello necessario per la redazione, la firma e la trasmissione del certificato o per la revoca di quest’ultimo.
I dati personali dell’emittente che l’UFIT tratta a fini dell’amministrazione e della gestione delle autorizzazioni sono conservati per un periodo non superiore a quello necessario per l’emissione e l’eventuale revoca di certificati.
I dati registrati tramite l’autenticazione nel sistema d’informazione e i certificati emessi conformemente al numero 3.2 così come i dati concernenti la consultazione degli elenchi aggiornati dei certificati di firma e dei certificati COVID-19 revocati, i certificati contenenti soltanto i dati strettamente necessari e i certificati convertiti conformemente ai numeri 3.4 e 3.5 sono conservati al massimo per due anni conformemente all’OIAM e all’ordinanza del 22 febbraio 2012 sul trattamento di dati personali derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione (RS 172.010.442).
Per proteggere i dati da accessi non autorizzati, perdite e abusi, l’UFIT adotta adeguate misure di sicurezza di natura tecnica (ad es. cifrature, verbalizzazione, controlli e restrizioni dell’accesso, protezione dei dati, soluzioni di sicurezza informatica e di rete ecc.) e organizzativa (ad es. istruzioni ai collaboratori, accordi di riservatezza, verifiche ecc.) conformemente alle disposizioni dell’Amministrazione federale e della legislazione svizzera in materia di protezione dei dati.
Le persone i cui dati sono trattati con le suddette applicazioni e i sistemi d’informazione hanno il diritto di essere informati sui propri dati nonché di richiederne la rettifica, la cancellazione o la consegna. Hanno inoltre il diritto di limitarne il trattamento o di opporvisi, nonché di revocare il proprio consenso senza che ciò pregiudichi la legalità del trattamento dei dati effettuato fino al momento della revoca. Questi diritti valgono solo per quanto riguarda i dati personali. Tuttavia, il sistema dell’app si basa sul principio della «privacy by design», che mediante firme digitali e una conservazione dei dati decentralizzata permette di evitare il più possibile la presenza di dati su persone identificate o identificabili (dati personali). Per questo motivo l’UFIT non può, ad esempio, fornire informazioni sui contenuti dei certificati personali presenti nelle app o rettificare tali dati. L’UFIT non può consultare questi dati poiché sono archiviati unicamente sui telefoni cellulari (e solo nell’app per la conservazione).
L’esercizio dei diritti presuppone che le persone interessate dimostrino in modo univoco la propria identità (ad es. mediante copia di un documento d’identità). Per far valere i loro diritti, possono contattare l’UFIT all’indirizzo indicato al numero 1.
In caso di violazione delle disposizioni legali sulla protezione dei dati, gli interessati possono rivolgersi all’autorità di vigilanza competente oppure adire le vie legali previste dalla legislazione in materia.
Il codice sorgente e le specifiche tecniche delle app per la conservazione e la verifica messe a disposizione dall’UFIT saranno pubblicati.
L’UFIT può modificare in qualsiasi momento e senza preavviso la presente dichiarazione sulla protezione dei dati. Fa fede la versione più recente pubblicata o la versione valida per il rispettivo periodo. La dichiarazione sulla protezione dei dati è stata redatta in diverse lingue. In caso di divergenze, fa fede la versione tedesca. Nell’eventualità di un aggiornamento, gli emittenti dei certificati e gli utenti delle app saranno informati sulla modifica in forma appropriata.
CONDIZIONI DI UTILIZZO dell’applicazione per la conservazione dei certificati COVID-19 (applicazione «COVID Certificate»)
1.1 Le presenti condizioni di utilizzo disciplinano l’ottenimento e l’utilizzo dell’«applicazione per la conservazione» (di seguito: app) da parte degli utenti e ne costituiscono parte integrante.
1.2 L’app sviluppata dall’Ufficio federale dell’informatica e della telecomunicazione (UFIT) si fonda sulla legge COVID-19 del 25 settembre 2020 (RS 818.102) e sull’ordinanza sui certificati COVID-19 del 4 giugno 2021 (RS 818.102.2).
1.3 Lo scopo dell’app è permettere agli utenti di conservare e trasmettere i certificati COVID-19 in modo sicuro nonché di creare certificati contenenti soltanto i dati strettamente necessari («certificati light»). Nell’app è inoltre integrata una funzione che consente di convertire i certificati COVID-19 in altri formati elettronici o in nuovi certificati nei casi previsti dall’ordinanza sui certificati COVID-19.
2.1 L’installazione dell’app sul cellulare e il suo utilizzo da parte degli utenti sono facoltativi.
2.2 L’utilizzo dell’app non è limitato a una specifica area geografica.
2.3 Con l’accesso all’app l’utente dichiara di aver compreso e accettato le seguenti condizioni e le avvertenze legali relative all’app (e agli elementi in essa contenuti). Se l’utente non è d’accordo con tali condizioni, dovrà rinunciare ad utilizzare l’app.
3.1 L’app permette agli utenti di memorizzare e amministrare i certificati COVID-19.
3.2 La fotocamera deve essere attivata per la trasmissione elettronica dei certificati COVID-19 da dispositivi cartacei o mobili all'app mediante scansione.
3.3 Mediante l’utilizzo di un’interfaccia con il sistema operativo del cellulare, l’app adempie le seguenti funzioni:
- i certificati COVID-19 (codice QR) possono essere scansionati, importati e memorizzati con la fotocamera;
- il codice QR dei certificati COVID-19 memorizzati può essere presentato per verifica;
- l’autenticità, l’integrità, la validità, la conformità alle categorie di accesso di cui all’allegato 6 dell’ordinanza sui certificati COVID-19 (3G, 2G ecc.) o un’eventuale revoca dei certificati COVID-19 memorizzati possono essere verificate nell’app conformemente alle regole di verifica della Svizzera. L’app informa inoltre gli utenti se il certificato è valido per l’ingresso in determinati Paesi. Ciò richiede una sincronizzazione, ossia la consultazione su Internet degli elenchi dei certificati di firma e dei certificati revocati nonché delle regole di verifica nei sistemi dell’UFIT. Una volta completata la sincronizzazione, l’app può continuare a essere utilizzata offline per 48 ore (senza connessione Internet) per verificarne l’autenticità;
- l’app può essere utilizzata per ricevere certificati COVID-19 in forma digitale e criptata. Ciò permette di ricevere rapidamente i certificati COVID-19 emessi;
- l’app offre agli utenti la possibilità di creare, oltre al certificato COVID-19 originale, un certificato contenente soltanto i dati strettamente necessari senza dati sanitari («certificato light»), utilizzabile in Svizzera. A tal fine, mediante una funzione implementata nell’app, il titolare può inviare un certificato COVID-19 valido al sistema dell’UFIT per l’emissione di certificati COVID-19 («back-end»). Il sistema verifica la firma e la validità del certificato COVID-19 (originale). Se la verifica ha esito positivo, il sistema crea e firma un certificato contenente soltanto i dati strettamente necessari (codice QR) e lo invia all’app. La trasmissione avviene direttamente con i server dell’UFIT tramite una connessione HTTPS ed è protetta con il protocollo di crittografia TLS. Il certificato light contiene unicamente cognome, nome e data di nascita della persona in questione, l’indicazione che si tratta di un certificato COVID-19 svizzero contenente soltanto i dati strettamente necessari e la fine della sua validità. La durata di validità del certificato contenente soltanto i dati strettamente necessari corrisponde alla durata di validità più breve definita per i certificati COVID-19. Alla fine della durata di validità è possibile crearne nuovamente uno, sempre che il certificato COVID-19 su cui si basa sia ancora valido. I certificati light sono validi soltanto in Svizzera;
- l’app offre agli utenti la possibilità di convertire il certificato COVID-19 memorizzato nell’app in determinati formati elettronici (ad es. PDF) o in nuovi certificati nei casi previsti dall’ordinanza sui certificati COVID-19. A tal fine, mediante una funzione implementata nell’app, l’utente può inviare il certificato o i dati relativi al suo contenuto al sistema dell’UFIT per l’emissione di certificati COVID-19 («back-end»). Il sistema verifica la firma e la validità del certificato (originale), converte il certificato e lo invia all’app. La trasmissione avviene direttamente con i server dell’UFIT tramite una connessione HTTPS ed è protetta con il protocollo di crittografia TLS.
3.4 L’app non utilizza funzioni di rilevamento della posizione né di geolocalizzazione.
3.5 L’app non può effettuare valutazioni mediche, disporre provvedimenti (ad es. quarantena) né impartire istruzioni.
4.1 L’accesso tecnico all’app è di responsabilità degli utenti.
4.2 Nell’app gli utenti sono autorizzati ad amministrare esclusivamente certificati COVID-19 personali o di persone a loro vicine (ad es. familiari). Gli utenti non possono utilizzare l’app per amministrare i certificati COVID-19 di persone non vicine, a meno che non siano stati esplicitamente autorizzati a farlo.
4.3 Gli utenti sono tenuti ad adottare i provvedimenti di sicurezza necessari per i propri dispositivi e a proteggere i certificati COVID-19 dall’accesso non autorizzato da parte di terzi e da software dannosi.
Gli utenti vengono informati in merito ai possibili rischi per la sicurezza legati all’utilizzo di Internet e delle relative tecnologie.
4.4 Gli utenti sono tenuti a mantenere l’app aggiornata effettuando gli aggiornamenti necessari (update). Non sussiste alcun diritto all’utilizzo di una determinata versione del software.
4.5 Gli utenti devono verificare la completezza e la correttezza dei dati forniti.
4.6 Quando utilizzano l’app gli utenti devono osservare le disposizioni legali applicabili e le condizioni di utilizzo.
5.1 Nonostante l’UFIT presti grande attenzione alla correttezza delle informazioni, dei contenuti e dei messaggi pubblicati nell’app, la loro correttezza materiale, l’esattezza, l’attualità, l’attendibilità e la completezza non possono essere garantite.
L’UFIT si riserva espressamente il diritto di modificare, cancellare o sospendere temporaneamente la pubblicazione di tutte le informazioni e di tutti i contenuti o di una parte di essi in qualsiasi momento e senza alcun preavviso.
5.2 L’UFIT declina, nella misura consentita dalla legge, qualsiasi responsabilità per danni materiali o immateriali, compresi i danni conseguenti, derivanti ad esempio dall’accesso, dall’utilizzo o dal mancato utilizzo dell’app e delle informazioni, dei contenuti e dei messaggi relativi, dall’uso improprio del collegamento, da problemi tecnici o dalla violazione degli obblighi di diligenza degli utenti.
Ogni azione o comportamento adottati dall’utente sulla base di informazioni, contenuti e messaggi dell’app avvengono sotto la sua responsabilità e a suo rischio. L’UFIT declina qualsiasi responsabilità per i danni derivanti.
5.3 Nella misura consentita dalla legge, l’UFIT non risponde per ausiliari e terzi.
5.4 L’UFIT non si assume alcuna responsabilità e non garantisce che le funzioni e l’utilizzo dell’app siano disponibili continuamente e senza interruzioni, che siano privi di errori e guasti, che gli eventuali errori vengano risolti o che i server siano privi di virus o di altri elementi dannosi.
L’UFIT è autorizzato a interrompere o sospendere in qualsiasi momento l’utilizzo dell’app.
5.5 I rimandi e i collegamenti a siti web di terzi non rientrano nella sfera di responsabilità dell’UFIT. Quest’ultimo declina qualsiasi responsabilità in merito all’esistenza, al contenuto e alla correttezza di queste informazioni. L’utente accede a questi siti e li utilizza a proprio rischio. L’UFIT dichiara esplicitamente di non avere alcuna influenza sulla forma, sul contenuto e sulle offerte delle pagine collegate. Le informazioni e le prestazioni di servizi offerte dai siti web collegati rientrano integralmente nella sfera di responsabilità dei terzi coinvolti.
Si declina qualsiasi responsabilità per tali siti.
6.1 Ai sensi dell’articolo 13 della Costituzione federale svizzera e delle disposizioni legali della Confederazione sulla protezione dei dati, ognuno ha diritto al rispetto della sua vita privata nonché d’essere protetto da un impiego abusivo dei suoi dati personali. L’UFIT si attiene a tali disposizioni. I dati personali vengono trattati con la massima riservatezza.
6.2 In stretta collaborazione con i suoi fornitori di prestazioni, l’UFIT si adopera per proteggere per quanto possibile i dati da accessi non autorizzati da parte di terzi, da perdite, abusi o falsificazioni.
6.3 Il trattamento dei dati personali da parte dell’UFIT è disciplinato nell’informativa sulla protezione dei dati in relazione all’utilizzo dell’app.
7.1 L’utente può cessare in ogni momento di utilizzare l’app cancellandola o disinstallandola dal proprio cellulare.
7.2 Al più tardi al momento dell’abrogazione dell’ordinanza di cui al numero 1.2, l’UFIT disattiverà l’app e chiederà agli utenti di disinstallarla dal proprio cellulare.
8.1 I diritti d’autore appartengono alla Confederazione Svizzera, rappresentata dall’Ufficio federale dell’informatica e della telecomunicazione UFIT.
8.2 I contenuti dell’app pubblicati dall’UFIT possono essere utilizzati unicamente per l’uso personale. Non è ammessa alcuna riproduzione o trasmissione dei contenuti a terzi. Lo scaricamento o la copia di contenuti, immagini, fotografie o altri file non implicano il trasferimento dei diritti sui contenuti.
I diritti d’autore e tutti gli altri diritti vincolati a contenuti, immagini, fotografie o altri file contenuti nella presente app sono di proprietà esclusiva dell’UFIT o dei loro detentori espressamente menzionati. Qualsiasi riproduzione è soggetta all’autorizzazione scritta del detentore dei diritti d’autore.
9.1 Le presenti disposizioni sono redatte in diverse lingue. In caso di discrepanze fa stato la versione tedesca.
9.2 Per gli utenti l’utilizzo dell’app è gratuito. Eventuali costi per accedere alla rete al fine di utilizzare l’app sono a carico degli utenti.
9.3 L’UFIT si riserva il diritto di modificare o integrare le condizioni di utilizzo in qualsiasi momento. Le nuove condizioni saranno comunicate agli utenti in anticipo e in forma appropriata e si considerano accettate nel caso in cui l’app continuasse a essere utilizzata.
9.4 Se una disposizione contenuta nelle presenti condizioni di utilizzo si rivelasse nulla o giuridicamente inefficace, ciò non pregiudica la validità delle restanti disposizioni.
9.5 Si applica il diritto svizzero, salvo disposizioni contrarie di diritto cogente. Il foro esclusivo per tutte le controversie è il tribunale svizzero competente.