Legge federale sulla protezione dei dati

Disegno

(LPD) Modifica del

L'Assemblea federale della Confederazione Svizzera, visto il messaggio del Consiglio federale del 19 febbraio 20031, decreta: I La legge federale del 19 giugno 19922 sulla protezione dei dati è modificata come segue: Ingresso visti gli articoli 31bis capoverso 2, 64, 64bis e 85 numero 1 della Costituzione federale;3 Art. 2 cpv. 2 lett. e 2

Essa non si applica: e.

ai dati personali trattati dalle organizzazioni internazionali site sul territorio della Confederazione con le quali è stato concluso un accordo di sede.

Art. 3 lett. i, j e k I seguenti termini significano:

1 2 3

i.

detentore di una collezione di dati: la persona privata o l'organo federale che decide in merito allo scopo e al contenuto della collezione di dati;

j.

legge in senso formale: 1. leggi federali, 2. decisioni vincolanti per la Svizzera di organizzazioni internazionali e accordi internazionali con contenuto normativo approvati dall'Assemblea federale.

k.

abrogata

FF 2003 1885 RS 235.1 Queste disposizioni corrispondono agli art. 95, 122, 123 e 173 cpv. 2 della Costituzione federale del 18 aprile 1999 (RS 101).

2002-2754

1937

Protezione dei dati. LF

Art. 4 cpv. 1, nonché 4 e 5 (nuovi) 1

I dati personali possono essere trattati soltanto in modo lecito.

4

La raccolta di dati personali e segnatamente le finalità del trattamento devono essere riconoscibili da parte della persona interessata.

5

Quando il trattamento di dati personali è subordinato al consenso della persona interessata, il consenso è valido soltanto se espresso liberamente e dopo debita informazione. Trattandosi di dati personali degni di particolare protezione o di profili della personalità, il consenso deve essere esplicito.

Art. 6

Comunicazione di dati all'estero

1

I dati personali non possono essere comunicati all'estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all'assenza di una legislazione che assicuri una protezione adeguata.

2 Nonostante l'assenza di una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all'estero se:

a.

garanzie sufficienti, segnatamente contrattuali, permettono di assicurare una protezione adeguata all'estero;

b.

la persona interessata ha dato il suo consenso nel caso specifico;

c.

il trattamento è in relazione diretta con la conclusione o l'esecuzione di un contratto e i dati trattati concernono l'altro contraente;

d.

nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia;

e.

nel caso specifico la comunicazione è necessaria per proteggere la vita o l'incolumità fisica della persona interessata;

f.

la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al trattamento;

g.

la comunicazione ha luogo tra persone giuridiche sottostanti a una direzione unica e a regole uniformi sulla protezione dei dati che assicurano una protezione adeguata.

3 L'Incaricato federale della protezione dei dati deve essere informato sulle garanzie date conformemente al capoverso 2 lettera a e sulle regole uniformi di protezione dei dati conformemente al capoverso 2 lettera g. Il Consiglio federale regola i dettagli dell'obbligo di informare.

Art. 7a (nuovo)

Obbligo di informare nell'ambito della raccolta di dati personali degni di particolare protezione e di profili della personalità

1 Il detentore della collezione di dati ha l'obbligo di informare la persona interessata di qualsiasi raccolta di dati personali degni di particolare protezione o di profili della personalità, nella misura in cui la persona interessata non ne sia già stata informata.

1938

Protezione dei dati. LF

2

Alla persona interessata vanno comunicate almeno le seguenti informazioni: a.

l'identità del detentore della collezione;

b.

le finalità del trattamento dei dati;

c.

le categorie di destinatari dei dati, se è prevista una comunicazione di dati.

3

Se i dati non sono raccolti presso di lei, la persona interessata deve essere informata al più tardi all'inizio della registrazione dei dati o al momento della loro prima comunicazione a un terzo, salvo che ciò si riveli impossibile o esiga mezzi sproporzionati oppure che la registrazione o la comunicazione siano esplicitamente previste dalla legge.

Art. 7b (nuovo)

Obbligo di informare in caso di decisioni individuali automatizzate

La persona interessata deve essere espressamente informata del fatto che una decisione che produce effetti giuridici nei suoi confronti o che comunque la concerne in modo sostanziale è stata presa sul solo fondamento di un trattamento automatizzato di dati destinato a valutare determinati aspetti della sua personalità.

Art. 8 cpv. 2, frase introduttiva e lett. a 2

Il detentore della collezione di dati le deve comunicare: a.

tutti i dati che la concernono contenuti nella collezione, comprese le informazioni disponibili sull'origine dei dati;

Art. 9 rubrica, cpv. 1­3 e 5 Restrizione dell'obbligo di informare e del diritto d'accesso 1

Il detentore della collezione di dati può rifiutare, limitare o differire l'informazione di cui all'articolo 7a o la comunicazione delle informazioni giusta l'articolo 8, nella misura in cui: a.

una legge in senso formale lo preveda;

b.

interessi preponderanti di un terzo lo esigano.

2

Un organo federale può inoltre rifiutare, limitare o differire l'informazione o la comunicazione delle informazioni, nella misura in cui: a.

un interesse pubblico preponderante, in particolare la sicurezza interna o esterna della Confederazione, lo esiga;

b.

l'informazione o la comunicazione delle informazioni comprometta lo scopo di un'istruzione penale o di un'altra procedura d'inchiesta.

3 Il detentore privato di una collezione di dati può inoltre rifiutare, limitare o differire l'informazione o la comunicazione delle informazioni, nella misura in cui lo esigano suoi interessi preponderanti e a condizione che non comunichi i dati personali a terzi.

1939

Protezione dei dati. LF

5

Se è stata rifiutata, limitata o differita, l'informazione o la comunicazione delle informazioni deve avvenire non appena sia cessato il motivo del rifiuto, della limitazione o del differimento, salvo che ciò si riveli impossibile o esiga mezzi sproporzionati.

Art. 10a (nuovo) Trattamento di dati da parte di terzi 1

Il trattamento di dati personali può essere affidato a terzi mediante convenzione o per legge se: a.

non è diverso da quello che il mandante stesso avrebbe il diritto di fare;

b.

nessun obbligo legale o contrattuale di mantenere il segreto lo vieta.

2 Il mandante deve in particolare assicurarsi che il terzo garantisca la sicurezza dei dati.

3

Il terzo può far valere gli stessi motivi giustificativi del mandante.

Art. 11 (nuovo)

Procedura di certificazione

1

Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti.

2 Il Consiglio federale emana prescrizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

Art. 11a (nuovo) Registro delle collezioni di dati 1

L'Incaricato federale della protezione dei dati tiene un registro delle collezioni di dati accessibile online. Ognuno può consultare questo registro. Il registro è accessibile tramite Internet.

2 Gli organi federali devono notificare tutte le collezioni di dati per la registrazione presso l'Incaricato federale della protezione dei dati.

3

4

Le persone private devono notificare le collezioni se: a.

trattano regolarmente dati personali degni di particolare protezione o profili della personalità; o

b.

comunicano regolarmente dati personali a terzi.

Le collezioni di dati devono essere notificate prima di divenire operazionali.

5

In deroga ai capoversi 2 e 3, il detentore della collezione di dati non deve notificare la collezione se:

1940

Protezione dei dati. LF

a.

i dati sono trattati da una persona privata in virtù di un obbligo legale;

b.

il Consiglio federale ha eccettuato il trattamento dall'obbligo di notifica perché non arreca pregiudizio ai diritti delle persone interessate;

c.

utilizza i dati esclusivamente per la pubblicazione nella parte redazionale di un mezzo di comunicazione sociale a carattere periodico e non li comunica a terzi senza che le persone interessate ne siano a conoscenza;

d.

i dati sono trattati da un giornalista che si serve della collezione esclusivamente come strumento di lavoro personale;

e.

ha designato un responsabile della protezione dei dati che controlli autonomamente se le disposizioni interne in materia di protezione dei dati siano rispettate e tiene un inventario delle collezioni;

f.

ha ottenuto il marchio di qualità inerente alla protezione dei dati in virtù di una procedura di certificazione ai sensi dell'articolo 11 e il risultato della valutazione è stato comunicato all'Incaricato federale della protezione dei dati.

6

Il Consiglio federale disciplina le modalità di notificazione delle collezioni di dati e di tenuta e pubblicazione del registro, nonché la funzione e i compiti dei responsabili della protezione dei dati conformemente al capoverso 5 lettera e, come pure la pubblicazione di un elenco dei titolari delle collezioni di dati eccettuati dall'obbligo di notifica conformemente al capoverso 5 lettera f.

Art. 12 cpv. 2 lett. a

2

Egli non ha in particolare, senza motivo giustificativo, il diritto di: a.

trattare dati in violazione dei principi degli articoli 4, 5 capoverso 1 e 7 capoverso 1;

Art. 14 Abrogato Art. 15 cpv. 1 e 3 1

Gli articoli 28­28l del Codice civile4 reggono le azioni e i provvedimenti cautelari concernenti la protezione della personalità. L'attore può in particolare chiedere che il trattamento dei dati, segnatamente la loro comunicazione a terzi, sia bloccato oppure che i dati personali siano rettificati o distrutti.

3

L'attore può chiedere che la rettifica, la distruzione, il blocco, in particolare quello della comunicazione a terzi, la menzione del carattere contestato o la sentenza siano comunicati a terzi o pubblicati.

4

RS 210

1941

Protezione dei dati. LF

Art.15a (nuovo)

Opposizione al trattamento dei dati

1

Quando la persona interessata si oppone al trattamento dei dati, il detentore della collezione di dati deve sospenderlo immediatamente, eccetto che il trattamento non poggi su un obbligo legale.

2

Se accetta l'opposizione, il detentore della collezione cessa immediatamente qualsiasi trattamento.

3 Se respinge l'opposizione, il detentore della collezione di dati deve far valere un motivo giustificativo ai sensi dell'articolo 13 entro un termine di dieci giorni. Se non può sospendere il trattamento, poiché esso poggia su un obbligo legale, ne informa immediatamente la persona interessata.

4 La conservazione, l'archiviazione o la registrazione dei dati restano in tutti i casi autorizzate fino a quando la situazione giuridica sia chiarita.

5 Se la persona interessata non chiede al giudice il blocco del trattamento, la rettifica o la distruzione dei dati (art. 15) entro dieci giorni a decorrere da quello in cui ha avuto conoscenza del motivo giustificativo, l'opposizione è considerata ritirata.

6

Il presente articolo non è applicabile ai dati pubblicati nella parte redazionale di un mezzo di comunicazione sociale a carattere periodico.

Art. 16 cpv. 3 e 4 (nuovi) 3

Chi tratta dati congiuntamente a un organo federale deve consentire a quest'ultimo di effettuare o far effettuare controlli. Quando il trattamento è affidato a terzi, l'organo federale può parimenti effettuare o far effettuare controlli presso costoro.

4 L'organo federale competente può disciplinare l'esecuzione dei controlli mediante una convenzione. È tenuto a farlo se il trattamento è effettuato da una persona privata o all'estero.

Art. 17 cpv. 2 lett. b e c 2

I dati personali degni di particolare protezione e i profili della personalità possono essere trattati soltanto se lo prevede esplicitamente una legge in senso formale, o se eccezionalmente: b.

il Consiglio federale lo autorizza nel caso specifico poiché non sono pregiudicati i diritti delle persone interessate; o

c.

la persona interessata, nel caso specifico, ha dato il suo consenso o ha reso i suoi dati accessibili a chiunque e non si è opposta formalmente al trattamento.

Art. 17a (nuovo) Trattamento automatizzato dei dati nell'ambito di sistemi pilota 1 Su preavviso favorevole dell'Incaricato federale della protezione dei dati, il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o di profili della personalità prima dell'entrata in vigore di una legge in senso formale se:

1942

Protezione dei dati. LF

a.

i compiti che richiedono il trattamento sono disciplinati in una legge in senso formale;

b.

sono presi provvedimenti sufficienti per impedire lesioni della personalità; e

c.

la messa in opera del trattamento esige imperativamente una fase sperimentale prima dell'entrata in vigore di una legge in senso formale.

2

La messa in opera del trattamento può esigere imperativamente una fase sperimentale se: a.

l'adempimento di un compito richiede innovazioni tecniche i cui effetti devono essere anzitutto valutati;

b.

l'adempimento di un compito richiede misure organizzative o tecniche importanti la cui efficacia deve essere anzitutto esaminata, segnatamente nell'ambito di una collaborazione tra organi federali e cantonali; o

c.

essa richiede una comunicazione di dati degni di particolare protezione o di profili della personalità alle autorità cantonali mediante una procedura di richiamo.

3

Il Consiglio federale definisce mediante ordinanza le modalità del trattamento automatizzato.

4 L'organo federale competente presenta al più tardi due anni dopo la messa in opera della fase sperimentale un rapporto di valutazione al Consiglio federale. Nel rapporto propone la continuazione o l'interruzione del trattamento.

5

Il trattamento automatizzato dei dati deve in ogni caso essere interrotto se una base legale formale non è entrata in vigore entro cinque anni dalla messa in opera del sistema pilota.

Art. 18 cpv. 2 Abrogato Art. 19 cpv. 1 lett. b e c 1

Gli organi federali hanno il diritto di comunicare dati personali se ne esistono i fondamenti giuridici giusta l'articolo 17, oppure se: b.

la persona interessata, nel caso specifico, ha dato il suo consenso;

c.

la persona interessata ha reso i suoi dati accessibili a chiunque e non si è formalmente opposta alla loro comunicazione;

Art. 21

Offerta di documenti all'Archivio federale

1

Conformemente alla legge federale del 26 giugno 19985 sull'archiviazione, gli organi federali offrono all'Archivio federale di riprendere tutti i dati personali di cui non hanno più bisogno in modo permanente.

5

RS 152.1

1943

Protezione dei dati. LF

2 Gli organi federali distruggono i dati personali che l'Archivio federale ha designato come non aventi valore archivistico, tranne quando tali dati:

a.

sono resi anonimi;

b.

devono essere conservati a titolo di prova o per misura di sicurezza.

Art. 26 cpv. 2 e 3 2

Adempie i suoi compiti in maniera autonoma ed è aggregato amministrativamente alla Cancelleria federale.

3

Dispone di una segreteria permanente e di un proprio preventivo.

Art. 27 cpv. 6 (nuovo) 6

L'Incaricato della protezione dei dati può ricorrere contro le decisioni di cui al capoverso 5.

Art. 29 cpv. 1 lett. b, c e d (nuove) 1 L'Incaricato della protezione dei dati accerta i fatti di sua iniziativa o su domanda di terzi quando:

b.

il trattamento riguarda dati degni di particolare protezione o profili della personalità;

c.

devono essere comunicati regolarmente dati a terzi;

d.

vi è obbligo di informare secondo l'articolo 6 capoverso 3.

Art. 31 cpv. 1 lett. d, nonché e e f (nuove) 1

L'Incaricato della protezione dei dati ha in particolare gli altri compiti seguenti: d.

valutare in che misura la legislazione in materia di protezione dei dati all'estero assicura una protezione adeguata;

e.

esaminare le garanzie e le regole della protezione dei dati che gli sono state comunicate secondo l'articolo 6 capoverso 3;

f.

esaminare le procedure di certificazione ai sensi dell'articolo 11 e, a sua discrezione, emanare raccomandazioni ai sensi dell'articolo 27 capoverso 4 e dell'articolo 29 capoverso 3.

Art. 34 cpv. 1 e 2 lett. a 1

Sono punite, a querela di parte, con l'arresto o con la multa le persone private che: a.

contravvengono agli obblighi previsti dagli articoli 7a e 8­10 fornendo intenzionalmente informazioni inesatte o incomplete;

b.

omettono intenzionalmente di: 1. informare la persona interessata conformemente all'articolo 7a capoverso 1 o 7b, o

1944

Protezione dei dati. LF

2.

2

fornire alla persona interessata le informazioni previste dall'articolo 7a capoverso 2 lettere a­c;

Sono punite con l'arresto o con la multa le persone private che intenzionalmente: a.

omettono di informare l'Incaricato conformemente all'articolo 6 capoverso 3 o di notificare le loro collezioni di dati secondo l'articolo 11a o, in tal ambito, forniscono informazioni inesatte.

Art. 37 cpv. 1 1

Nella misura in cui non esistono prescrizioni cantonali sulla protezione dei dati che garantiscano una protezione adeguata, il trattamento di dati personali da parte di organi cantonali che agiscono in applicazione del diritto federale è disciplinato dagli articoli 1­11a, 16 e 17, 18­22 e 25 capoversi 1­3 della presente legge.

II Modifica del diritto vigente La legge federale del 30 aprile 19976 sulle poste è modificata come segue: Art. 13 cpv. 1 1

Il trattamento di dati personali da parte della Posta sottostà alle disposizioni degli articoli 12­15a della legge federale del 19 giugno 19927 sulla protezione dei dati (LPD). La sorveglianza è esercitata conformemente alle disposizioni valevoli per gli organi federali (art. 23 cpv. 2 LPD).

III Disposizione transitoria Entro un anno dall'entrata in vigore della presente legge, i detentori di collezioni di dati devono essere in grado di assicurare l'informazione delle persone interessate ai sensi dell'articolo 4 capoverso 4 e degli articoli 7a e 7b.

IV 1

La presente legge sottostà al referendum facoltativo.

2

Il Consiglio federale ne determina l'entrata in vigore.

6 7

RS 783.0 RS 235.1; RU ... (FF 2003 1937)

1945