FF 2020 Volume 3 P. 531

19.068 Messaggio concernente l'approvazione del Protocollo di emendamento del 10 ottobre 2018 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale del 6 dicembre 2019

Onorevoli presidenti e consiglieri, con il presente messaggio vi sottoponiamo, per approvazione, il disegno di un decreto federale che approva il Protocollo di emendamento del 10 ottobre 2018 alla Convenzione del 28 gennaio 1981 per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale.

Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.

6 dicembre 2019

In nome del Consiglio federale svizzero: Il presidente della Confederazione, Ueli Maurer Il cancelliere della Confederazione, Walter Thurnherr

2019-2836

531

Compendio Il disegno intende permettere alla Svizzera di ratificare il Protocollo di emendamento del Consiglio d'Europa del 10 ottobre 2018 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale (qui di seguito «Protocollo di emendamento»). Mira così a garantire un elevato livello di protezione della sfera privata nonché a facilitare i flussi internazionali di dati non solo nel settore pubblico, ma anche tra attori economici.

Situazione iniziale Nel 2011 il Consiglio d'Europa ha avviato i lavori di revisione della Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale con lo scopo di rispondere alle sfide che le evoluzioni tecnologiche e l'aumento dei flussi internazionali di dati rappresentano per la protezione della sfera privata e dei diritti fondamentali delle persone interessate. I lavori di revisione si sono conclusi con l'adozione del Protocollo di emendamento ad opera del Comitato dei Ministri del Consiglio d'Europa. Attualmente detto Protocollo, aperto alla firma il 10 ottobre 2018, è stato firmato da una trentina di Stati. Con la sua decisione del 30 ottobre 2019, il Consiglio federale ha autorizzato alla firma il Rappresentante permanente della Svizzera presso il Consiglio d'Europa.

Il presente messaggio fa seguito al messaggio del 15 settembre 2017 del Consiglio federale concernente la legge federale relativa alla revisione totale della legge sulla protezione dei dati e alla modifica di altri atti normativi sulla protezione dei dati.

Nel quadro di questa revisione, il Consiglio federale ha deciso di anticipare i lavori di trasposizione dei nuovi requisiti del Protocollo di emendamento. Ha infatti ritenuto nell'interesse della Svizzera poter ratificare il Protocollo di emendamento il più rapidamente possibile, sia per ragioni di protezione della sfera privata sia per ragioni economiche (facilitare i flussi internazionali). Il Protocollo di emendamento e la Convenzione sono infatti volti a diventare strumenti universali.

Contenuto del disegno Il Protocollo di emendamento inasprisce gli obblighi del titolare dell'elaborazione, che è tenuto in particolare a comunicare determinati casi di violazione della protezione dei dati all'autorità di controllo competente. Viene
esteso anche il suo dovere di informare la persona interessata. L'atto dispone inoltre l'obbligo per il titolare dell'elaborazione di esaminare l'impatto di alcune elaborazioni prima del loro inizio e di applicare i principi della protezione dei dati fin dalla progettazione e per impostazione definita.

Il Protocollo di emendamento accresce anche i diritti delle persone interessate, in particolare per quanto riguarda l'accesso ai documenti e in caso di decisione individuale basata su un'elaborazione automatica.

532

Gli Stati parte sono tenuti a istituire un regime sanzionatorio e un sistema di ricorso nonché a conferire alle autorità di controllo la competenza di prendere decisioni vincolanti impugnabili.

Il Protocollo prevede infine un meccanismo che permette all'organo competente del Consiglio d'Europa di verificare l'efficacia delle misure adottate dagli Stati parte per dare effetto alle disposizioni del detto atto. Gli Stati parte non possono più formulare riserve.

533

FF 2020

Indice Compendio

532

1

Situazione iniziale 1.1 Situazione internazionale 1.2 Situazione nazionale 1.3 Rilevanza dell'accordo 1.3.1 Strumento universale 1.3.2 Rilevanza dell'accordo per l'esame delle decisioni di adeguatezza dell'UE 1.4 Alternative esaminate 1.5 Svolgimento e risultato dei negoziati relativi al Protocollo di emendamento 1.6 Rapporto con il programma di legislatura e con le strategie del Consiglio federale 1.6.1 Rapporto con il programma di legislatura 1.6.2 Rapporto con le strategie del Consiglio federale 1.7 Interventi parlamentari

536 536 537 537 537

2

Procedura preliminare, consultazione compresa

540

3

Punti essenziali del Protocollo di emendamento

541

4

Commento ai singoli articoli 4.1 Preambolo 4.2 Disposizioni generali 4.3 Principi fondamentali per la protezione dei dati 4.4 Comunicazioni di dati a carattere personale all'estero 4.5 Autorità di controllo 4.6 Cooperazione e assistenza reciproca 4.7 Comitato della Convenzione 4.8 Emendamenti 4.9 Clausole finali 4.10 Allegato al Protocollo di emendamento: Elementi per il regolamento interno del Comitato della Convenzione

542 543 543 544 547 548 548 549 550 550

Struttura del testo di attuazione 5.1 Struttura del disegno di revisione del Consiglio federale del 15 settembre 2017 5.1.1 Modifica del campo di applicazione 5.1.2 Modifica delle definizioni 5.1.3 Rafforzamento dei principi generali di protezione dei dati 5.1.4 Comunicazione di dati a carattere personale all'estero

552

5

534

538 539 539 540 540 540 540

552

552 552 552 553 553

FF 2020

5.1.5

5.2

Rafforzamento degli obblighi del titolare dell'elaborazione 5.1.6 Rafforzamento dei diritti delle persone interessate 5.1.7 Rafforzamento delle competenze e dei compiti dell'IFPDT 5.1.8 Rafforzamento della cooperazione tra le autorità 5.1.9 Rafforzamento del regime di sanzioni penali Lavori parlamentari relativi al D-LPD

554 555 555 556 556 556

6

Ripercussioni 6.1 Ripercussioni per la Confederazione 6.2 Ripercussioni per i Cantoni 6.3 Ripercussioni sull'economia 6.4 Ripercussioni sulla società 6.5 Altre ripercussioni

557 557 558 558 558 558

7

Aspetti giuridici 7.1 Costituzionalità 7.2 Compatibilità con gli altri impegni internazionali della Svizzera 7.3 Forma dell'atto

558 558 559 560

Decreto federale che approva il Protocollo di emendamento del 10 ottobre 2018 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale

561

Protocollo di emendamento alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale

563

535

FF 2020

Messaggio 1

Situazione iniziale

1.1

Situazione internazionale

Il 28 gennaio 1981 il Consiglio d'Europa ha adottato la Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale1 (di seguito «Convenzione»), ratificata dalla Svizzera il 2 ottobre 1997.

Questo atto è stato completato dal Protocollo aggiuntivo 181 dell'8 novembre 2001 2 alla Convenzione, concernente le autorità di controllo e i flussi internazionali di dati (di seguito «Protocollo aggiuntivo»), ratificato dalla Svizzera il 20 dicembre 2007.

Nel 2011 il Consiglio d'Europa ha avviato i lavori di revisione della Convenzione con lo scopo di rispondere all'evoluzione tecnologica e alle sfide della digitalizzazione.

Sotto presidenza svizzera, il Comitato consultivo della Convenzione (di seguito «Comitato consultivo») ha adottato il 30 novembre 2012 un progetto di modernizzazione e l'ha trasmesso, per approvazione, al Comitato dei Ministri del Consiglio d'Europa (di seguito «Comitato dei Ministri»). Per esaminare il progetto, il Comitato dei Ministri ha istituito un comitato di esperti ad hoc (di seguito «CAHDATA»), che ha adottato il progetto di modernizzazione della Convenzione nella sua versione del giugno 2016 e ha così terminato i suoi lavori nello stesso mese. Il 18 maggio 2018 i lavori di revisione si sono infine conclusi con l'adozione del Protocollo di emendamento 223 alla Convenzione (di seguito «Protocollo di emendamento») 3.

Attualmente detto Protocollo, aperto alla firma il 10 ottobre 2018, è stato firmato da 31 Stati membri del Consiglio d'Europa4 e da tre degli otto Stati non membri5 che hanno aderito alla Convenzione. Con la sua decisione del 30 ottobre 2019 il nostro Consiglio ha autorizzato alla firma il Rappresentante permanente della Svizzera presso il Consiglio d'Europa. A breve alcuni Paesi potrebbero procedere con le prime ratifiche: il 9 aprile 2019 l'Unione europea (UE) ha espressamente autorizzato i suoi Stati membri a ratificare il Protocollo di emendamento nel suo interesse.

1 2 3 4

5

536

RS 0.235.1 RS 0.235.11 www.coe.int > Consiglio d'Europa > Esplora > Ufficio Trattati > Lista completa > Trattato n. 223.

Andorra, Armenia, Austria, Belgio, Bulgaria, Cipro, Croazia, Estonia, Federazione Russa, Finlandia, Francia, Germania, Grecia, Irlanda, Islanda, Italia, Lettonia, Lituania, Lussemburgo, Monaco, Norvegia, Paesi Bassi, Polonia, Portogallo, Regno Unito, Repubblica Ceca, San Marino, Slovenia, Spagna, Svezia, Ungheria.

Argentina, Uruguay e Tunisia.

FF 2020

1.2

Situazione nazionale

Il 15 settembre 2017 il nostro Consiglio ha adottato il messaggio concernente la legge federale relativa alla revisione totale della legge sulla protezione dei dati e alla modifica di altri atti normativi sulla protezione dei dati6. Il disegno di revisione intende realizzare due obiettivi principali. Da una parte è teso a rafforzare le disposizioni sulla protezione dei dati per far fronte alla rapidissima evoluzione tecnologica.

Dall'altra, tiene conto degli sviluppi nel Consiglio d'Europa e nell'UE.

Come si evince dal messaggio di cui sopra, il nostro Collegio ha deciso di anticipare i lavori di trasposizione dei nuovi requisiti del Protocollo di emendamento nel quadro del disegno di revisione totale della legge del 19 giugno 19927 sulla protezione dei dati (di seguito «D-LPD»). In questo modo è stato possibile rendere il D-LPD compatibile con i requisiti dell'atto del Consiglio d'Europa. Abbiamo infatti ritenuto nell'interesse della Svizzera poter ratificare il Protocollo di emendamento il più rapidamente possibile, sia per ragioni di protezione della sfera privata sia per ragioni economiche (facilitare i flussi internazionali), oltre che in vista del rinnovo della decisione di adeguatezza della Commissione europea del 26 luglio 20008 nei confronti della legislazione svizzera in materia di protezione dei dati a carattere personale (cfr. n. 1.3.2). Il disegno di revisione si è basato sul progetto di modernizzazione della Convenzione nella versione del giugno 2016, partendo dal presupposto che non avrebbe subito modifiche sostanziali9. La versione finale del Protocollo di emendamento è stata modificata lievemente solo in due punti e non è pertanto necessario adeguare il D-LPD (cfr. n. 1.5).

1.3

Rilevanza dell'accordo

1.3.1

Strumento universale

Così come già la Convenzione e il suo Protocollo aggiuntivo, il Protocollo di emendamento è volto a diventare uno strumento universale. La Convenzione attuale è infatti già aperta alla ratifica di Stati non membri del Consiglio d'Europa. Come descritto più avanti, l'UE considera questo strumento uno dei criteri per ottenere una decisione di adeguatezza e ciò dovrebbe far aumentare l'interesse degli Stati non europei a ratificarlo. Ratificando il Protocollo di emendamento, la Svizzera si pone a favore della determinazione di una norma universale di essenziale importanza nell'era digitale.

Il Protocollo di emendamento permette di armonizzare e rafforzare il livello di protezione dei dati a livello internazionale e perciò anche di proteggere maggiormente i cittadini svizzeri quando i loro dati sono oggetto di elaborazioni internazionali.

6 7 8

9

FF 2017 5939 RS 235.1 Decisione 2000/518/CE della Commissione, del 26 luglio 2000, riguardante l'adeguatezza della protezione dei dati personali in Svizzera a norma della direttiva 95/46/CE, GU L 215 del 25.8.2000, pag. 1.

FF 2017 5963, n. 1.2.3.

537

FF 2020

Con la ratifica, la Svizzera sottolinea infine il fatto di riconoscere l'importanza dei lavori del Consiglio d'Europa nel settore dei diritti fondamentali e della protezione dei dati, in particolare dopo aver partecipato attivamente ai lavori di modernizzazione della Convenzione (cfr. n. 1.5). La ratifica rappresenta pertanto il proseguimento logico di questa partecipazione.

1.3.2

Rilevanza dell'accordo per l'esame delle decisioni di adeguatezza dell'UE

Il Protocollo di emendamento contribuisce anche a facilitare i flussi internazionali di dati tra gli Stati membri. Infatti la LPD, il D-LPD, la Convenzione e il suo Protocollo di emendamento nonché il regolamento (UE) 2016/67910 dispongono in sostanza che i dati a carattere personale possono essere comunicati a uno Stato terzo soltanto se la legislazione di detto Paese assicura un livello di protezione dei dati adeguato.

In caso contrario, il trasferimento è possibile solo a determinate condizioni. La ratifica del Protocollo di emendamento da parte della Svizzera e la trasposizione di questi nuovi requisiti è essenziale non solo per il settore pubblico, ma in particolare anche per il settore privato, poiché permette di mantenere la libera circolazione dei dati a carattere personale tra le aziende svizzere e i titolari dell'elaborazione situati in Stati terzi che hanno aderito al Protocollo di emendamento. Permette inoltre di evitare che i partecipanti al trasferimento debbano offrire garanzie supplementari di protezione dei dati, che potrebbero portare a costi aggiuntivi e complicare di conseguenza lo sviluppo degli affari commerciali. In caso la Svizzera non ratificasse il Protocollo di emendamento, non è da escludere che alcuni attori economici stabiliti in uno Stato parte alla Convenzione abbandonino il mercato svizzero a causa dell'assenza di una facilitazione dei flussi internazionali.

Inoltre, secondo il parere del nostro Collegio11, per l'UE la ratifica del Protocollo di emendamento costituisce un criterio determinante per decidere se la Svizzera potrà beneficiare anche in futuro di una decisione di adeguatezza.

Il regolamento (UE) 2016/679 dispone infatti che la Commissione europea può adottare una decisione di adeguatezza nei confronti di uno Stato terzo se ritiene che la legislazione di quest'ultimo garantisce un livello di protezione adeguato. Dal 26 luglio 2000 la Svizzera beneficia di una tale decisione, adottata ai sensi dei requisiti dell'allora vigente direttiva 95/46/CE12 sulla protezione dei dati a carattere personale; conseguentemente beneficia della libera circolazione di questi dati. La decisione di adeguatezza autorizza i titolari dell'elaborazione stabiliti in uno Stato membro dell'UE a comunicare dati a carattere personale a un titolare dell'elaborazione stabilito in Svizzera, senza esigere garanzie supplementari di protezione dei 10

11 12

538

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GU L 119 del 4.5.2016, pag. 1.

FF 2017 5939 5989 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; GUL L 281, del 23.11.1995, pag. 31.

FF 2020

dati. Ai sensi dell'articolo 97 del regolamento (UE) 2016/679, la Commissione europea deve presentare una relazione sulle decisioni di adeguatezza adottate nei confronti di alcuni Stati terzi, tra cui la Svizzera, entro il 25 maggio 2020; l'organo intende quindi riesaminare tutte le decisioni di adeguatezza esistenti entro questa data. La Svizzera è valutata contemporaneamente agli altri Stati terzi ad eccezione di Stati Uniti e Giappone, che hanno recentemente ottenuto una decisione di adeguatezza dell'UE. La Commissione europea ha iniziato il riesame nella primavera del 2019 e ha chiesto alla Svizzera di fornire ulteriori informazioni circa la legislazione in materia di protezione dei dati. Ai sensi del considerando 105 del regolamento (UE) 2016/679, detto organo europeo deve tenere in considerazione in particolare l'adesione dei Paesi terzi alla Convenzione e al suo Protocollo aggiuntivo; come già detto, anche la ratifica del Protocollo di emendamento è un criterio importante. Per il resto, l'UE ha autorizzato i suoi Stati membri a ratificare il Protocollo di emendamento, mostrando così l'importanza riconosciuta a questo nuovo strumento (cfr.

n. 1.1).

1.4

Alternative esaminate

La Svizzera è membro del Consiglio d'Europa, ha ratificato la Convenzione nel 1997 e il suo Protocollo aggiuntivo nel 2007. Come indicato al numero 2, secondo i risultati della consultazione la maggioranza dei partecipanti si è detta a favore della ratifica del Protocollo di emendamento da parte della Svizzera. In caso di rinuncia alla sua ratifica e alla trasposizione dei suoi requisiti, il nostro Paese si priverebbe a lungo termine della possibilità di scambiare senza impedimenti dati a carattere personale con molti Stati terzi europei e non europei che avranno aderito al Protocollo di emendamento.

1.5

Svolgimento e risultato dei negoziati relativi al Protocollo di emendamento

La proposta di modernizzazione del Comitato consultivo è stata incoraggiata e sostenuta con una decisione del Comitato dei Ministri, il 10 marzo 2010, e una risoluzione dei Ministri della Giustizia del Consiglio d'Europa, il 6 novembre 2010. La procedura di modernizzazione è stata avviata ufficialmente il 28 gennaio 2011 a Bruxelles.

Nel quadro dei loro lavori, sia il Comitato consultivo sia il CAHDATA hanno tenuto in considerazione l'iter legislativo dell'UE allora in corso, in particolare il regolamento (UE) 2016/679, al fine di garantire i più alti livelli di coerenza e compatibilità.

L'ultima tappa del lavoro di modernizzazione, durante la quale la delegazione svizzera si è impegnata in maniera particolare, si è svolta in seno al Gruppo di relatori sulla cooperazione giuridica del Comitato dei Ministri.

539

FF 2020

1.6

Rapporto con il programma di legislatura e con le strategie del Consiglio federale

1.6.1

Rapporto con il programma di legislatura

Il progetto di ratifica del Protocollo di emendamento non è stato annunciato né nel messaggio del 27 gennaio 201613 sul programma di legislatura 20152019, né nel decreto federale del 14 giugno 201614 sul programma di legislatura 20152019. Le disposizioni del Protocollo di emendamento sono tuttavia trasposte nel D-LPD, che è stato annunciato nel messaggio del 27 gennaio 2016 sul programma di legislatura 20152019.

1.6.2

Rapporto con le strategie del Consiglio federale

Il nostro Consiglio ha sostenuto regolarmente la modernizzazione della Convenzione e, tra le altre cose, si è impegnato per rafforzare la protezione dei dati nel quadro del suo operato a favore dei diritti umani. Ha dichiarato di sostenere i lavori del Consiglio d'Europa a favore della modernizzazione della Convenzione anche in risposta a diversi interventi parlamentari15. Infine, le misure disposte dal Protocollo di emendamento collimano con gli obiettivi da noi perseguiti nel quadro del D-LPD16 e della strategia Svizzera digitale17.

1.7

Interventi parlamentari

Gli interventi parlamentari che il nostro Collegio propone di togliere dal ruolo sono elencati nel nostro messaggio del 15 settembre 201718.

2

Procedura preliminare, consultazione compresa

Il nostro Consiglio ha sottoposto simultaneamente alla procedura di consultazione il D-LPD e il progetto di modernizzazione della Convenzione nella sua versione del giugno 2016. La consultazione, avviata il 21 dicembre 2016, si è conclusa il 4 aprile 2017. Secondo il rapporto dell'Ufficio federale di giustizia (UFG) del 10 agosto 201719, di cui il nostro Collegio ha preso atto il 15 settembre 2017, la maggioranza 13 14 15

16 17 18 19

540

FF 2016 909 FF 2016 4605 Cfr. le risposte del Consiglio federale all'interpellanza Eichenberger 13.4209 («US-Swiss Safe Harbor Framework. Ripristino della fiducia nell'ambito dello scambio di dati con gli Stati Uniti») e all'interrogazione Gross 13.1072 («Patto dell'ONU relativo ai diritti civili e politici. Integrazione della protezione dei dati»).

Cfr. il rapporto del Consiglio federale del 9 dicembre 2011 concernente la valutazione della legge federale sulla protezione dei dati, FF 2012 227.

www.ufcom.admin.ch > Svizzera digitale e internet > Svizzera digitale FF 2017 5939 6000 www.admin.ch > Diritto federale > Procedure di consultazione > Procedure di consultazione concluse > 2016 > DFGP

FF 2020

dei partecipanti si è detta favorevole all'armonizzazione del diritto federale sulla protezione dei dati con i requisiti europei, laddove necessario, così da permettere alla Svizzera di continuare a essere riconosciuta dall'UE e dagli Stati terzi come un Paese che garantisce un adeguato livello di protezione dei dati (cfr. n. 3.2 del rapporto). Solo pochi partecipanti criticano l'estensione del campo di applicazione della nuova Convenzione e considerano superflua la ratifica di questo accordo, poiché il D-LPD si allinea già alla riforma dell'UE (cfr. n. 5.2 del rapporto). Questa critica deve essere respinta: come indicato al numero 1.3.2, l'UE considera la ratifica del Protocollo di emendamento e la trasposizione dei suoi requisiti nel diritto interno come criteri per decidere se la Svizzera potrà beneficiare anche in futuro di una decisione di adeguatezza. Inoltre, se il Protocollo di emendamento non venisse ratificato, la Svizzera si priverebbe a lungo termine della possibilità di scambiare dati a carattere personale senza impedimenti con molti Stati terzi europei e non europei che avranno aderito al Protocollo di emendamento.

Il progetto di modernizzazione della Convenzione nella versione del giugno 2016 ha subito due modifiche di secondaria importanza.

La prima modifica limita, in alcuni casi, l'obbligo per il titolare dell'elaborazione di dimostrare all'autorità di controllo di essersi conformato ai requisiti della protezione dei dati, in particolare in caso di attività di elaborazione ai fini della sicurezza nazionale e della difesa (art. 12 e 14 del Protocollo di emendamento; art. 10 par. 1 e 11 par. 3 della nuova Convenzione). Non è necessario adattare il D-LPD in quanto si tratta di una disposizione facoltativa che, se del caso, può essere trasposta nelle leggi federali settoriali.

La seconda modifica permette, a determinate condizioni, di derogare in via eccezionale al principio di libera circolazione dei dati tra Stati parte, nella fattispecie quando sussiste un rischio reale e grave che il trasferimento a un'altra Parte abbia come risultato l'aggiramento delle disposizioni del Protocollo di emendamento, o quando uno Stato parte è tenuto a rispettare le norme di protezione armonizzate condivise dagli Stati membri di un'organizzazione internazionale regionale, come nel caso degli Stati
membri dell'UE (art. 17 del Protocollo di emendamento; art. 14 par. 1 della nuova Convenzione). Trattandosi di un'eccezione, deve essere interpretata in maniera restrittiva: uno Stato parte può avvalersene soltanto in casi specifici in cui sussiste un rischio reale e grave. L'eccezione esiste in parte già nella Convenzione in vigore (art. 12 par. 3 lett. b). Non è necessario adattare gli articoli 13 e 14 D-LPD.

Queste modifiche di secondaria importanza non necessitano di una nuova procedura di consultazione. Infatti, non v'è da attendersi nessuna nuova informazione poiché le posizioni degli ambienti interessati sono note (art. 3a cpv. 1 lett. b della legge del 18 marzo 200520 sulla consultazione).

3

Punti essenziali del Protocollo di emendamento

Il Protocollo di emendamento modernizza la Convenzione con lo scopo di rispondere alle sfide che l'utilizzo delle nuove tecnologie e i sempre maggiori flussi di dati 20

RS 172.061

541

FF 2020

rappresentano per la protezione della sfera privata. Dispone inoltre l'integrazione, previe modifiche, delle disposizioni del Protocollo aggiuntivo nella nuova Convenzione. All'entrata in vigore del Protocollo di emendamento, il Protocollo aggiuntivo sarà abrogato. Il Protocollo di emendamento contiene disposizioni che non possono essere applicate direttamente e che, se del caso, devono essere pertanto trasposte nella legislazione nazionale.

Le disposizioni del Protocollo di emendamento corrispondono in generale ai principi della protezione dei dati previsti dalla riforma dell'UE, ma sono meno dettagliate, e si applicano a tutte le elaborazioni soggette alla giurisdizione degli Stati parte, per il settore pubblico e privato. Sono escluse dal campo d'applicazione solo le elaborazioni effettuate nel quadro di attività a carattere personale.

Il Protocollo di emendamento inasprisce gli obblighi del titolare dell'elaborazione, che è tenuto in particolare a comunicare determinati casi di violazione della protezione dei dati all'autorità di controllo competente (art. 9). Aumentano anche le informazioni che è tenuto a trasmettere alla persona interessata, (art. 10). Il Protocollo di emendamento dispone inoltre l'obbligo per il titolare dell'elaborazione di esaminare l'impatto delle elaborazioni prima del loro inizio e di applicare i principi della protezione dei dati fin dalla progettazione e per impostazione definita (art. 12).

Il Protocollo di emendamento accresce anche i diritti delle persone interessate, in particolare per l'accesso ai documenti e in caso di decisione individuale basata su un'elaborazione automatica (art. 11).

Gli Stati parte sono tenuti a istituire un regime sanzionatorio e un sistema di ricorso (art. 15) nonché a conferire alle autorità di controllo la competenza di prendere decisioni vincolanti impugnabili (art. 19).

Il Protocollo di emendamento obbliga ciascuno Stato parte ad adottare, nell'ambito della propria legislazione, le misure necessarie a dare effetto alle disposizioni di questo atto. Tali misure devono entrare in vigore al momento della ratifica della nuova Convenzione (art. 6). Gli Stati parte non possono più formulare riserve.

Infine, è previsto un meccanismo che permette all'organo competente del Consiglio d'Europa di verificare l'efficacia delle misure adottate
dagli Stati parte per dare effetto alle disposizioni del detto atto (art. 6 e 29).

Il Protocollo di emendamento contiene disposizioni che non possono essere applicate direttamente e il diritto in vigore non adempie completamente alcuni requisiti, che devono pertanto essere trasposti nel diritto federale. Il D-LPD realizza tale trasposizione.

4

Commento ai singoli articoli

Il presente messaggio non commenta le disposizioni del Protocollo di emendamento che modificano la sistematica o il titolo dei capitoli della Convenzione (art. 5, 16, 18, 20 e 27 del Protocollo di emendamento) oppure i rimandi ad alcune disposizioni (art. 13, 26 e 35 del Protocollo di emendamento).

542

FF 2020

4.1 Art. 1

Preambolo (Modifica del preambolo)

Il preambolo rileva che uno dei principali obiettivi della nuova Convenzione è rafforzare la gestione dei dati a carattere personale e cita pertanto l'autonomia personale, che è fondata sul diritto di controllare i propri dati e la loro elaborazione.

Ricorda poi che il diritto alla protezione dei dati deve essere considerato in relazione al suo ruolo nella società e conciliato con altri diritti umani e libertà fondamentali, compresa la libertà di espressione. In maniera generale, il diritto alla protezione dei dati a carattere personale non deve più costituire un ostacolo all'accesso dei cittadini ai documenti ufficiali.

Il preambolo sottolinea poi l'importanza dei trasferimenti di dati per la società. La nuova Convenzione definisce un quadro che permette l'esercizio dei diritti delle persone interessate senza porre impedimenti all'innovazione, al progresso sociale ed economico o alla protezione della sicurezza pubblica.

Il preambolo riconosce infine l'importanza della cooperazione internazionale tra le autorità di controllo degli Stati parte alla nuova Convenzione.

4.2 Art. 2

Disposizioni generali (Modifica dell'art. 1 della Convenzione; Oggetto e scopo)

L'articolo 2 del Protocollo di emendamento pone l'accento sul tema della protezione: ogni persona fisica deve essere protetta se i suoi dati a carattere personale sono oggetto di un'elaborazione manuale o automatica.

Art. 3

(Modifica dell'art. 2 della Convenzione; Definizioni)

L'articolo 3 del Protocollo di emendamento sopprime i concetti di «collezione automatizzata di dati» e di «trattamento automatizzato». Viene data però una definizione all'«elaborazione di dati». La definizione di «detentore di una collezione di dati» è sostituita con quella di «titolare dell'elaborazione» e sono introdotti i concetti di «destinatario» e di «responsabile dell'elaborazione».

Art. 4

(Modifica dell'art. 3 della Convenzione; Campo d'applicazione)

L'articolo 4 del Protocollo di emendamento estende il campo d'applicazione della nuova Convenzione all'elaborazione di dati non automatica. L'atto non si applicherà più alle elaborazioni di dati effettuate da una persona fisica nel quadro di attività a carattere esclusivamente personale o domestico (art. 3 par. 2 della nuova Convenzione). I paragrafi 36 dell'articolo 3 della Convenzione sono abrogati, poiché gli Stati parte non dispongono più della possibilità di formulare dichiarazioni (v. art. 38 del Protocollo di emendamento).

543

FF 2020

4.3 Art. 6

Principi fondamentali per la protezione dei dati (Modifica dell'art. 4 della Convenzione; Impegni delle Parti)

L'articolo 6 paragrafo 1 modifica l'articolo 4 paragrafo 1 della Convenzione e precisa non solo che ciascuno Stato parte deve trasporre nella propria legislazione nazionale i nuovi requisiti del Protocollo di emendamento, ma anche che le misure legislative devono essere state prese ed essere entrate in vigore al momento della ratifica dell'accordo in questione. L'articolo 4 paragrafi 2 e 3 della nuova Convenzione evidenzia che questa disposizione intende consentire all'organo competente del Consiglio d'Europa, ossia al Comitato della Convenzione (art. 27 e segg. del Protocollo di emendamento), di verificare se sono state adottate tutte le misure necessarie nonché di vegliare affinché lo Stato parte rispetti gli impegni presi e garantisca un adeguato livello di protezione dei dati a carattere personale all'interno della propria legislazione nazionale. Il Comitato della Convenzione potrà anche valutare la legislazione dello Stato parte (art. 4 par. 3 lett. a della nuova Convenzione).

Art. 7

(Modifica dell'art. 5 della Convenzione e della relativa rubrica; Legittimità dell'elaborazione di dati e qualità dei dati)

L'articolo 7 del Protocollo di emendamento modifica in diversi punti l'articolo 5 della Convenzione, che, nella versione emendata, regola la legittimità dell'elaborazione e la qualità dei dati.

Il Protocollo di emendamento precisa il principio di proporzionalità: ai sensi del nuovo articolo 5 paragrafo 1 della Convenzione, ciascuna elaborazione, in ogni sua fase, deve essere proporzionata allo scopo legittimo perseguito e limitarsi alle attività strettamente necessarie.

Viene concretizzato il principio della legittimità dell'elaborazione (art. 5 par. 2 della nuova Convenzione). Un'elaborazione è legittima se è effettuata con il consenso della persona interessata e in virtù di una base legittima prevista dalla legge, ad esempio se è necessaria per la conclusione o l'esecuzione di un contratto di cui la persona interessata è parte oppure per la protezione di altri interessi preponderanti. Il Protocollo di emendamento precisa anche il concetto di consenso all'elaborazione dei dati, che è valido solo se libero, specifico, informato e inequivocabile.

Si specifica anche il principio di finalità (art. 5 par. 4 lett. b della nuova Convenzione). I dati a carattere personale devono essere raccolti per finalità esplicite, determinate e legittime. Il requisito attuale, secondo cui la finalità dell'elaborazione deve restare compatibile con la finalità iniziale prevista alla raccolta, è mantenuto. Il Protocollo di emendamento precisa però che in caso di ulteriore elaborazione a fini di archiviazione, di ricerca scientifica o storica o a fini statistici, questo requisito è rispettato mediante garanzie supplementari relative alla protezione dei dati.

Gli altri principi disposti al nuovo articolo 5 paragrafi 3 e 4 restano invariati.

544

FF 2020

Art. 8

(Modifica dell'art. 6 della Convenzione; Categorie speciali di dati)

Il Protocollo di emendamento amplia la lista dei dati degni di particolare protezione.

Ai sensi del nuovo articolo 6 paragrafo 1, l'elaborazione di dati genetici o di dati biometrici che identificano una persona in maniera univoca è autorizzata solo se una base legale prevede garanzie appropriate. Il concetto di «dati a carattere personale relativi a condanne penali» è sostituito da quello di «dati a carattere personale relativi a reati, procedure e condanne penali e alle misure di sicurezza correlate». L'articolo 6 cita infine anche i dati relativi all'appartenenza sindacale oltre ai dati relativi alle opinioni politiche.

Art. 9

(Modifica dell'art. 7 della Convenzione; Sicurezza dei dati)

Il principio di sicurezza, stabilito all'articolo 7 paragrafo 1 della nuova Convenzione, resta in sostanza invariato. Il Protocollo di emendamento introduce però una nuova disposizione all'articolo 7 paragrafo 2 in caso di violazione dei dati: gli Stati parte devono disporre l'obbligo per il titolare dell'elaborazione di comunicare quanto prima all'autorità di controllo competente le violazioni di dati che possono compromettere seriamente i diritti e le libertà fondamentali delle persone interessate.

Art. 10

(Introduzione di un nuovo art. 8; Trasparenza dell'elaborazione)

Il Protocollo di emendamento introduce un nuovo articolo 8 che disciplina il dovere di informazione del titolare dell'elaborazione e sostituisce l'articolo 8 lettera a della Convenzione.

In virtù del nuovo articolo 8, il titolare dell'elaborazione è tenuto a informare la persona interessata di ogni elaborazione che la coinvolge, indicando la propria identità, la base legale dell'elaborazione e la sua finalità, le categorie dei dati elaborati, se del caso i destinatari o le categorie di destinatari, e i mezzi per esercitare i diritti di cui all'articolo 9 della nuova Convenzione. Il dovere di informazione non si applica se la persona interessata è già in possesso di tali informazioni (art. 8 par. 2), se l'elaborazione è espressamente prevista dalla legge oppure se informare la persona interessata si rivela impossibile o esige mezzi sproporzionati (art. 8 par. 3).

Art. 11

(Sostituzione dell'art. 8 della Convenzione con l'art. 9 e modifica; Diritti delle persone interessate)

Il Protocollo di emendamento rafforza i diritti delle persone interessate. Il nuovo articolo 9 dispone che la persona interessata ha il diritto di non essere oggetto di una decisione, presa unicamente sulla base di un'elaborazione automatica dei suoi dati senza avere la possibilità di far valere il suo punto di vista, che abbia per lei ripercussioni notevoli. Fanno eccezione le decisioni previste dalla legge (art. 9 par. 1 lett. a e par. 2). Ha altresì il diritto di essere informata, su richiesta, del ragionamento sottostante all'elaborazione (art. 9 par. 1 lett. c) e di opporsi in qualsiasi momento all'elaborazione dei propri dati, salvo che il titolare dell'elaborazione dimostri l'esistenza di motivi legittimi per procedere (art. 9 par. 1 lett. d). Per l'esercizio dei propri diritti, la persona interessata deve poter beneficiare, quale che sia la sua

545

FF 2020

nazionalità o residenza, dell'assistenza di un'autorità di controllo (art. 9 par. 1 lett. h).

Il diritto d'accesso della persona interessata è rafforzato. Ai sensi dell'articolo 9 paragrafo 1 lettera b, la persona interessata ha il diritto di ottenere non solo la conferma di un'elaborazione di dati che la concernono e la comunicazione in forma intelligibile dei dati elaborati, ma anche tutte le informazioni disponibili sulla loro provenienza e sulla durata della loro conservazione nonché qualsiasi altra informazione che il titolare dell'elaborazione è tenuto a fornire ai sensi dell'articolo 8 paragrafo 1 della nuova Convenzione.

Art. 12

(Introduzione di un nuovo art. 10; Obblighi supplementari)

Il Protocollo di emendamento introduce un nuovo articolo 10 che amplia gli obblighi del titolare dell'elaborazione. In virtù dell'articolo 10 paragrafo 1 gli Stati parte devono disporre l'obbligo per il titolare dell'elaborazione di conformarsi ai requisiti della nuova Convenzione e di essere in grado di dimostrarlo all'autorità di controllo competente. Gli Stati parte devono inoltre disporre l'obbligo per il titolare dell'elaborazione di esaminare l'impatto dell'elaborazione prevista sui diritti e sulle libertà fondamentali delle persone interessate (art. 10 par. 2) nonché di applicare la protezione dei dati fin dalla progettazione e per impostazione definita tenendo conto della natura dell'elaborazione e, ove applicabile, della dimensione del titolare dell'elaborazione (art. 10 par. 3 e 4).

Art. 14

(Sostituzione dell'art. 9 della Convenzione con l'art. 11 e modifica; Eccezioni e restrizioni)

Analogamente a quanto disciplinato dalla Convenzione attuale, il nuovo articolo 11 dispone che non è ammessa alcuna restrizione ai principi di base della protezione dei dati, eccezion fatta per alcune disposizioni se la restrizione è disposta dalla legge e costituisce una misura necessaria e proporzionata atta alla protezione degli interessi elencati all'articolo 11 paragrafo 1. Il Protocollo di emendamento estende la lista di interessi da proteggere, cita infatti anche la difesa, gli importanti interessi economici e finanziari dello Stato (e non più solo gli interessi monetari), l'imparzialità e l'indipendenza della magistratura, le attività di indagine, di repressione dei reati e l'esecuzione di sanzioni penali (e non più soltanto la repressione dei reati), così come altri obiettivi essenziali di interesse pubblico. Nella nuova Convenzione si introduce un nuovo articolo 11 paragrafo 2, ai sensi del quale, in determinate condizioni, possono essere previste restrizioni agli articoli 8 e 9 in caso di elaborazione di dati a fini di archiviazione, di ricerca scientifica oppure storica o a fini statistici. Gli Stati parte sono infine autorizzati ad adottare alcune eccezioni specifiche per le elaborazioni di dati ai fini della sicurezza nazionale e della difesa (art. 11 par. 3 della nuova Convenzione).

Art. 15

(Sostituzione dell'art. 10 della Convenzione con l'art. 12 e modifica; Sanzioni e ricorsi)

La portata del nuovo articolo 12 è ampliata: gli Stati parte sono tenuti a stabilire un regime sanzionatorio e ricorsi giurisdizionali o non giurisdizionali appropriati.

546

FF 2020

4.4 Art. 17

Comunicazioni di dati a carattere personale all'estero (Sostituzione dell'art. 12 della Convenzione con l'art. 14 e modifica; Flussi internazionali di dati a carattere personale)

Ai sensi dell'articolo 17 del Protocollo di emendamento, l'articolo 12 della Convenzione diventa l'articolo 14 e integra, con alcune modifiche, l'articolo 2 del Protocollo aggiuntivo.

L'articolo 14 paragrafo 1 primo periodo della nuova Convenzione corrisponde all'articolo 12 paragrafo 2 della Convenzione attuale, che garantisce la libera circolazione dei dati tra gli Stati parte. L'articolo 17 del Protocollo di emendamento limita la portata di questo principio: ciascuno Stato parte può, in certi casi, proibire o sottoporre a un'autorizzazione speciale il trasferimento di dati a un destinatario soggetto alla giurisdizione di un altro Stato parte, se ad esempio è tenuto a rispettare le norme di protezione dei dati armonizzate condivise dagli Stati membri di un'organizzazione internazionale regionale (art. 14 par. 1 secondo e terzo periodo della nuova Convenzione).

Viene mantenuto il principio di base secondo cui i dati possono essere trasferiti a uno Stato terzo solo se è garantito un livello di protezione appropriato. L'articolo 14 paragrafo 3 precisa che un tale livello può essere garantito dalla legislazione dello Stato in questione, compresi i trattati o gli accordi internazionali applicabili oppure da garanzie specifiche o standardizzate fissate e attuate dalle persone coinvolte nel trasferimento dei dati. Il Protocollo di emendamento obbliga gli Stati parte anche a disporre che l'autorità di controllo possa esigere dalla persona che trasferisce i dati tutte le informazioni utili relative ai trasferimenti (art. 14 par. 5 della nuova Convenzione). Detta autorità può anche chiedere al titolare dell'elaborazione di dimostrare l'efficacia delle garanzie fatte ed è eventualmente autorizzata a sospendere il trasferimento dei dati (art. 14 par. 6 della nuova Convenzione).

L'articolo 17 del Protocollo di emendamento integra nell'articolo 14 paragrafo 4 della nuova Convenzione le eccezioni disposte all'articolo 2 paragrafo 2 del Protocollo aggiuntivo. La Convenzione emendata dispone che è possibile trasferire dati a carattere personale a uno Stato terzo nonostante l'assenza di un livello di protezione dei dati adeguato non solo se interessi preponderanti, compresi quelli della persona interessata, lo richiedono, ma anche se quest'ultima ha dato il proprio consenso esplicito, specifico e libero dopo
essere stata informata dei rischi conseguenti alla mancanza di garanzie adeguate (art. 14 par. 4 lett. a). Il trasferimento è possibile anche se costituisce una misura necessaria e proporzionata in una società democratica per la libertà di espressione (art. 14 par. 4 lett. d).

547

FF 2020

4.5 Art. 19

Autorità di controllo (Introduzione di un nuovo articolo 15; Autorità di controllo)

L'articolo 19 del Protocollo di emendamento integra nell'articolo 15 della nuova Convenzione, con alcune modifiche, le disposizioni di cui all'articolo 1 del Protocollo aggiuntivo.

Così come disciplinato anche dalla Convenzione attuale, le autorità di controllo dispongono di poteri d'indagine, d'intervento e di stare in giudizio. Ai sensi del nuovo articolo 15 paragrafo 2 lettera c e paragrafo 9, d'ora in poi sono abilitate a prendere decisioni impugnabili e in particolare possono infliggere sanzioni amministrative.

Solo le elaborazioni effettuate da organi nell'esercizio delle loro funzioni giurisdizionali sono escluse dalla sorveglianza dell'autorità di controllo (art. 15 par. 10 della nuova Convenzione).

L'articolo 19 del Protocollo di emendamento conferisce nuovi incarichi alle autorità di controllo, che devono in particolare sensibilizzare sia il pubblico in merito alla protezione dei dati a carattere personale (art. 15 par. 2 lett. e n. I e II della nuova Convenzione) sia i titolari e i responsabili dell'elaborazione in merito ai loro obblighi (art. 15 par. 2 lett. e n. III della nuova Convenzione).

Ai sensi dell'articolo 15 paragrafo 3 della nuova Convenzione, le autorità di controllo competenti sono consultate in merito a ogni proposta legislativa o amministrativa che implica l'elaborazione di dati.

L'articolo 19 del Protocollo di emendamento precisa inoltre il diritto per la persona interessata di adire l'autorità di controllo (art. 1 par. 2 lett. b del Protocollo aggiuntivo). L'articolo 15 paragrafo 4 della nuova Convenzione dispone che l'autorità di controllo è tenuta a trattare le domande e i reclami di cui è investita dalle persone interessate e a informarle dei relativi risultati.

L'indipendenza delle autorità di controllo rimane garantita anche nella versione emendata della Convenzione (art. 15 par. 5 della nuova Convenzione). L'articolo 19 del Protocollo di emendamento obbliga gli Stati parte anche ad assicurarsi che le autorità di controllo abbiano le risorse necessarie per l'effettivo adempimento delle loro funzioni e l'esercizio dei loro poteri (art. 15 par. 6 della nuova Convenzione).

4.6 Art. 21

Cooperazione e assistenza reciproca (Sostituzione dell'art. 13 della Convenzione con l'art. 16 e modifica; Designazione delle autorità di controllo)

L'articolo 16 paragrafo 1 della nuova Convenzione dispone che gli Stati parte sono tenuti a cooperare e a fornirsi reciproca assistenza. L'obbligo di designare una o più autorità di controllo resta invariato.

548

FF 2020

Art. 22

(Introduzione di un nuovo art. 17; Forme di cooperazione)

L'articolo 22 del Protocollo di emendamento introduce un nuovo articolo 17 che disciplina in maniera non esaustiva le diverse forme di cooperazione. Si prevede in particolare che le autorità di controllo si forniscano assistenza reciproca scambiandosi le informazioni pertinenti, coordinano le indagini o svolgono azioni congiunte.

Per organizzare la cooperazione costituiscono una rete.

Art. 23

(Sostituzione dell'art. 14 della Convenzione con l'art. 18 e modifica; Assistenza alle persone interessate)

L'articolo 23 del Protocollo di emendamento garantisce l'assistenza alle persone interessate indipendentemente dalla loro residenza e dalla loro nazionalità. Così come disposto anche nella versione attuale della Convenzione, una persona residente in un altro Stato parte ha la facoltà di esercitare i propri diritti direttamente nello Stato in cui i suoi dati sono elaborati o indirettamente per il tramite dell'autorità di controllo designata da tale Stato.

Art. 24

(Sostituzione dell'art. 15 della Convenzione con l'art. 19 e modifica; Garanzie)

Così come anche la legislazione attuale, il nuovo articolo 19 paragrafo 1 dispone che in caso di assistenza reciproca tra autorità di controllo, queste devono rispettare il principio di specialità, ossia non possono fare uso delle informazioni trasmesse per fini diversi da quelli specificati nella richiesta di assistenza reciproca. È inoltre vietato alle autorità di controllo presentare una richiesta a nome di una persona interessata di loro propria iniziativa e senza l'esplicito consenso di tale persona (art. 19 par. 2).

L'obbligo di riservatezza è disposto all'articolo 15 paragrafo 8 della nuova Convenzione.

Art. 25

(Sostituzione dell'art. 16 della Convenzione con l'art. 20 e modifica; Rifiuto di dar corso a richieste)

L'articolo 25 del Protocollo di emendamento apporta alcune modifiche redazionali.

4.7 Art. 28

Comitato della Convenzione (Sostituzione dell'art. 18 della Convenzione con l'art. 22 e modifica; Composizione del Comitato)

L'articolo 28 del Protocollo di emendamento completa il nuovo articolo 22 della Convenzione con una disposizione sulla rappresentazione e la partecipazione finanziaria degli Stati parte che non sono membri del Consiglio d'Europa.

549

FF 2020

Art. 29

(Sostituzione dell'art. 19 della Convenzione con l'art. 23 e modifica; Funzioni del Comitato)

Il Comitato consultivo di cui all'articolo 18 e segg. della Convenzione è sostituito da un Comitato della Convenzione. L'articolo 29 del Protocollo di emendamento gli conferisce nuove funzioni: il Comitato della Convenzione può d'ora in poi fare raccomandazioni (non più solo proposte) per facilitare o migliorare l'applicazione della nuova Convenzione (art. 23 lett. a). È inoltre incaricato di formulare, prima di ogni nuova adesione alla Convenzione, un parere all'indirizzo del Comitato dei Ministri sul livello di protezione dei dati a carattere personale fornito dal candidato all'adesione (art. 23 lett. e). Infine valuta l'attuazione della nuova Convenzione ad opera degli Stati parte e, se del caso, stabilisce raccomandazioni indirizzate allo Stato valutato (art. 23 lett. h).

Art. 30

(Sostituzione dell'art. 20 della Convenzione con l'art. 24 e modifica; Procedura)

L'articolo 30 del Protocollo di emendamento dispone che le modalità di voto in seno al Comitato della Convenzione sono stabilite negli elementi per il regolamento interno annessi al Protocollo di emendamento (cfr. n. 4.10).

Ai sensi del nuovo articolo 24 paragrafo 4, il Comitato della Convenzione è anche incaricato di stabilire nel proprio regolamento interno, secondo criteri oggettivi, le procedure di valutazione e verifica di cui agli articoli 4 paragrafo 3 e 23 lettere e, f e h della nuova Convenzione.

4.8 Art. 31

Emendamenti (Sostituzione dell'art. 21 della Convenzione con l'art. 25 e modifica; Emendamenti)

La principale modifica apportata all'articolo 25 della nuova Convenzione è l'introduzione di un nuovo paragrafo 7. In linea di principio, ogni emendamento entra in vigore entro 30 giorni a decorrere dalla data alla quale tutti gli Stati parte hanno informato il Consiglio d'Europa di accettare l'emendamento in questione. Ai sensi del paragrafo 7, il Comitato dei Ministri potrà però decidere, a determinate condizioni, di ritardare di tre anni l'entrata in vigore degli emendamenti di secondaria importanza, salvo obiezioni di uno Stato parte.

4.9 Art. 32

Clausole finali (Sostituzione dell'art. 22 della Convenzione con l'art. 26 e modifica; Entrata in vigore)

La nuova Convenzione può essere firmata dall'UE.

550

FF 2020

Art. 33

(Sostituzione dell'art. 23 della Convenzione con l'art. 27 e modifica; Adesione di Stati non membri o di organizzazioni internazionali)

Il Protocollo di emendamento stabilisce che la nuova Convenzione può essere firmata non solo da Stati terzi ma anche da organizzazioni internazionali. Se del caso, il Comitato della Convenzione è incaricato di valutare il livello di protezione dei dati garantito dallo Stato o dall'organizzazione candidati all'adesione.

Art. 34

(Sostituzione dell'art. 24 della Convenzione con l'art. 28 e modifica; Clausola territoriale)

Poiché il Protocollo di emendamento è aperto alla firma dell'UE, l'articolo 34 modifica la clausola territoriale e dispone che l'UE e ogni organizzazione internazionale possono estendere l'applicazione della nuova Convenzione a tutti i territori da esse specificati.

Art. 36

Firma, ratifica e adesione

Questa disposizione disciplina l'adesione al Protocollo di emendamento. Dispone in particolare che ogni Stato contraente alla Convenzione può aderire al Protocollo di emendamento. Gli Stati terzi possono diventare Parti alla Convenzione solo aderendo simultaneamente al Protocollo di emendamento (art. 36 par. 2).

Art. 37

Entrata in vigore

Secondo l'articolo 37 paragrafo 1 il Protocollo di emendamento entrerà in vigore dopo che tutti gli Stati parte alla Convenzione l'avranno ratificato o altrimenti, per gli Stati che l'avranno ratificato, alla scadenza di un periodo di cinque anni dopo l'apertura alla firma, a condizione che conti almeno 38 Stati parte. Dall'entrata in vigore del Protocollo di emendamento, il Protocollo aggiuntivo è abrogato (art. 37 par. 4).

Art. 38

Dichiarazioni relative alla Convenzione

Questa disposizione stabilisce che, dalla data di entrata in vigore del Protocollo di emendamento, le dichiarazioni fornite dagli Stati parte ai sensi dell'articolo 3 della Convenzione decadono.

In occasione della ratifica della Convenzione, la Svizzera ha formulato due dichiarazioni. Una verte sull'applicazione della Convenzione alle elaborazioni di dati relativi alle persone giuridiche e alle collezioni di dati che non formano oggetto di elaborazione automatica. L'altra è inerente alla non applicazione della Convenzione ai dati elaborati dal Parlamento nel quadro delle sue deliberazioni e dal Comitato internazionale della Croce Rossa nonché ai dati elaborati da una persona fisica ad uso strettamente personale. La caducità delle due dichiarazioni non pone problemi, il campo di applicazione del D-LPD è infatti conforme a quello della nuova Convenzione (cfr. n. 5.11).

551

FF 2020

Art. 39

Riserve

Gli Stati parte non dispongono più della facoltà di formulare riserve. Il Protocollo di emendamento lascia però un certo margine di manovra agli Stati parte stabilendo eccezioni e restrizioni per la trasposizione di alcune disposizioni.

Art. 40

Notificazioni

Ai sensi di questa disposizione la Segreteria del Consiglio d'Europa notificherà agli Stati membri del Consiglio d'Europa e a ogni altra Parte alla Convenzione ogni nuova adesione al Protocollo di emendamento e la data della sua entrata in vigore.

4.10

Allegato al Protocollo di emendamento: Elementi per il regolamento interno del Comitato della Convenzione

L'allegato al Protocollo di emendamento definisce gli elementi che dovranno comparire nel regolamento interno del Comitato della Convenzione, in particolare per quanto riguarda il diritto di voto di ciascuno Stato parte e il quorum necessario per l'adozione delle decisioni del Comitato della Convenzione.

5

Struttura del testo di attuazione

5.1

Struttura del disegno di revisione del Consiglio federale del 15 settembre 201721

5.1.1

Modifica del campo di applicazione

L'articolo 1 D-LPD si allinea al testo del nuovo articolo 3 della Convenzione: non si applica più alle elaborazioni di dati inerenti a persone giuridiche.

La futura LPD continua a regolamentare le elaborazioni di dati effettuate da persone private o organi federali (art. 2 cpv. 1 D-LPD). Le eccezioni di cui all'articolo 2 capoverso 2 inerenti in particolare al Parlamento e a determinate procedure sono compatibili con i requisiti della nuova Convenzione.

5.1.2

Modifica delle definizioni

La terminologia del D-LPD si allinea in parte a quella della nuova Convenzione. Il D-LPD sostituisce il concetto di «detentore di una collezione di dati» con quello di «titolare del trattamento» (art. 4 lett. i D-LPD) e definisce anche il concetto di «responsabile del trattamento» (art. 4 lett. j D-LPD).

21

552

FF 2017 6173 6185

FF 2020

In linea con le modifiche apportate dall'articolo 8 del Protocollo di emendamento all'articolo 6 della Convenzione, il D-LPD dispone un'estensione della lista dei dati degni di particolare protezione (art. 4 lett. c D-LPD). I dati concernenti l'appartenenza a un'etnia sono citati espressamente (art. 4 lett. c n. 2 D-LPD). Tra gli altri, figurano sulla lista dei dati degni di protezione anche i «dati genetici» (art. 4 lett. c n. 3 D-LPD) e i «dati biometrici, che identificano in modo univoco una persona fisica» (art. 4 lett. c n. 4 D-LPD).

5.1.3

Rafforzamento dei principi generali di protezione dei dati

Le modifiche apportate dall'articolo 7 del Protocollo di emendamento all'articolo 5 della Convenzione (Legittimità dell'elaborazione di dati e qualità dei dati) sono attuate all'articolo 5 D-LPD. L'articolo 5 capoverso 3 D-LPD precisa che i dati a carattere personale possono essere raccolti per finalità che devono essere non solo riconoscibili per la persona interessata ma anche determinate. Il capoverso 3 dispone anche che ogni ulteriore elaborazione dei dati a carattere personale deve essere effettuata in modo compatibile con le finalità iniziali. L'articolo 5 capoverso 4 D-LPD precisa invece che i dati devono essere resi anonimi appena non sono più necessari per lo scopo dell'elaborazione.

Così come anche la legislazione attuale, il D-LPD dispone regole specifiche in caso di elaborazione di dati degni di protezione. I requisiti relativi al consenso sono stati mantenuti (art. 5 cpv. 6 D-LPD).

5.1.4

Comunicazione di dati a carattere personale all'estero

Conformemente all'articolo 13 capoverso 1 D-LPD è possibile comunicare all'estero dati a carattere personale solo se il Consiglio federale ha constatato che la legislazione dello Stato destinatario garantisce una protezione adeguata dei dati. In assenza di una decisione del Consiglio federale, l'articolo 13 capoverso 2 D-LPD autorizza la comunicazione all'estero di dati a carattere personale se una protezione appropriata è garantita da un trattato internazionale (lett. a) o da altre garanzie (lett. be) che in alcuni casi devono essere approvate dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), come disposto all'articolo 14 paragrafo 3 lettera b della Convenzione (art. 17 del Protocollo di emendamento).

L'articolo 14 D-LPD dispone diverse deroghe nel caso in cui lo Stato destinatario non garantisce una protezione adeguata. Per alcune deroghe (art. 14 cpv. 1 lett. b n. 2 e lett. c e d D-LPD), l'articolo 14 capoverso 2 D-LPD autorizza l'IFPDT a richiedere al titolare dell'elaborazione o al responsabile dell'elaborazione informazioni riguardanti le comunicazioni di dati a carattere personale effettuate, così come esige il nuovo articolo 14 paragrafi 5 e 6 della Convenzione (art. 17 del Protocollo di emendamento).

553

FF 2020

5.1.5

Rafforzamento degli obblighi del titolare dell'elaborazione

Obbligo di informare in occasione della raccolta dei dati a carattere personale In linea con quanto stabilito dal nuovo articolo 8 della Convenzione (art. 10 del Protocollo di emendamento), l'articolo 17 D-LPD estende l'obbligo di informare cui soggiacciono i titolari dell'elaborazione privati a tutte le raccolte di dati a carattere personale, comprese quelle di dati che non risultano degni di particolare protezione, analogamente a quanto già avveniva per gli organi federali. L'obbligo di informare si applica sia ai dati raccolti presso le persone interessate che a quelli raccolti presso terzi (cpv. 1).

Ai sensi dell'articolo 17 capoverso 2 D-LPD, il titolare dell'elaborazione dovrà comunicare alla persona interessata le informazioni necessarie affinché questa possa far valere i propri diritti previsti dalla legge e sia garantita la trasparenza dell'elaborazione. Tali informazioni comprendono almeno l'identità e le coordinate di contatto del titolare dell'elaborazione (lett. a), lo scopo dell'elaborazione (lett. b) e, se del caso, i destinatari o le categorie di destinatari cui sono stati comunicati dati a carattere personale (lett. c). Se i dati a carattere personale non sono raccolti presso la persona interessata, il titolare dell'elaborazione le comunicherà anche le categorie di dati elaborati (art. 17 cpv. 3 D-LPD).

Le eccezioni all'obbligo di informare e le limitazioni sono disciplinate all'articolo18 D-LPD e sono conformi ai requisiti di cui all'articolo 11 della nuova Convenzione (art. 14 del Protocollo di emendamento).

Obbligo di informare in caso di decisione individuale automatizzata In linea con quanto disposto al nuovo articolo 9 paragrafo 1 lettera a della Convenzione (art. 11 del Protocollo di emendamento), l'articolo 19 D-LPD introduce l'obbligo per il titolare dell'elaborazione di informare la persona interessata di qualsiasi decisione individuale automatizzata che la concerne. Ai sensi dell'articolo 19 capoverso 2 D-LPD, il titolare dell'elaborazione deve inoltre dare la possibilità di esprimere il suo parere alla persona interessata che lo richiede. Questa deve potersi esprimere sul risultato della decisione e, se necessario, richiedere come quest'ultima è stata presa. Può tra l'altro esigere che la decisione sia riesaminata da una persona fisica (art. 19 cpv. 2 D-LPD). L'articolo
19 capoverso 3 D-LPD dispone alcune eccezioni.

Valutazione d'impatto della protezione dei dati In conformità con i requisiti di cui al nuovo articolo 10 paragrafo 2 della Convenzione (art. 12 del Protocollo di emendamento), l'articolo 20 D-LPD stabilisce l'obbligo per il titolare dell'elaborazione di effettuare una valutazione d'impatto sulla protezione dei dati quando l'elaborazione può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

L'articolo 10 paragrafo 3 della nuova Convenzione è attuato all'articolo 6 D-LPD, che introduce i principi di protezione dei dati fin dalla progettazione e per impostazione definita.

554

FF 2020

Comunicazione di violazioni della sicurezza dei dati a carattere personale In analogia con i requisiti di cui al nuovo articolo 7 paragrafo 2 della Convenzione (art. 9 del Protocollo di emendamento), l'articolo 22 D-LPD dispone che il titolare dell'elaborazione dei dati comunica quanto prima all'IFPDT qualsiasi violazione della sicurezza dei dati che comporta verosimilmente un grave rischio per la personalità e i diritti fondamentali della persona interessata (cpv. 1 e 2). Salvo eccezioni, il titolare dell'elaborazione deve inoltre informare la persona interessata se è necessario per proteggerla o se lo richiede l'IFPDT (art. 22 cpv. 4 D-LPD).

5.1.6

Rafforzamento dei diritti delle persone interessate

In conformità con i requisiti del nuovo articolo 9 della Convenzione (art. 11 del Protocollo di emendamento), i diritti delle persone interessate sono rafforzati.

L'articolo 23 capoverso 1 D-LPD dispone che ogni persona può domandare gratuitamente al titolare dell'elaborazione se vengono elaborati dati a carattere personale che la concernono. La persona interessata deve ricevere le informazioni necessarie affinché possa far valere i suoi diritti e sia garantita un'elaborazione trasparente dei dati. In ogni caso riceve le informazioni seguenti: l'identità del titolare dell'elaborazione, i dati elaborati, la durata di conservazione dei dati, le informazioni disponibili sulla provenienza e, se del caso, l'esistenza di una decisione individuale automatizzata e i destinatari o le categorie di destinatari cui sono comunicati i dati (art. 23 cpv. 2 D-LPD). Le eccezioni, conformi all'articolo 11 della nuova Convenzione, sono disciplinate all'articolo 24 D-LPD.

Il D-LPD mantiene in gran parte l'attuale sistema di pretese verso i titolari dell'elaborazione privati (art. 2628 D-LPD). Le modifiche, di natura essenzialmente redazionale, intendono rendere più chiare le disposizioni. Il diritto alla cancellazione dei dati appare esplicitamente all'articolo 28 capoverso 2 lettera c D-LPD. Il diritto all'opposizione, concepito analogamente alla legislazione vigente, è sancito all'articolo 26 capoverso 2 lettera b D-LPD (in combinato disposto con gli art. 27 e 28 D-LPD). Le pretese verso gli organi federali sono invece disciplinate agli articoli 33 e 37 D-LPD e non subiscono modifiche rilevanti.

5.1.7

Rafforzamento delle competenze e dei compiti dell'IFPDT

In conformità con quanto sancito al nuovo articolo 15 della Convenzione (art. 19 del Protocollo di emendamento), le competenze dell'IFPDT sono rafforzate.

Nel caso in cui la persona privata o l'organo federale nei cui confronti è aperta un'inchiesta si rifiuti di collaborare, l'IFPDT può in particolare ordinare l'accesso a tutte le informazioni e ai documenti necessari nonché ai locali e agli impianti, l'interrogatorio di testimoni e perizie di esperti (art. 44 cpv. 1 D-LPD).

Se constata la violazione delle prescrizioni sulla protezione dei dati, l'IFPDT può adottare misure vincolanti (art. 45 D-LPD). In particolare può ordinare di sospende555

FF 2020

re, adeguare o cessare l'elaborazione nonché di distruggere i dati a carattere personale e differire o bloccare la comunicazione dei dati all'estero (art. 45 cpv. 2). Può altresì ordinare al titolare dell'elaborazione di rispettare gli obblighi di cui all'articolo 45 capoverso 3 D-LPD. Se l'IFPDT constata che la sua decisione non è rispettata, può segnalarlo a determinate condizioni alle autorità di perseguimento penale, che dovranno aprire una procedura per inosservanza di decisioni (art. 57 D-LPD).

L'IFPDT mantiene il proprio diritto all'impugnazione dinanzi i tribunali federali (art. 46 cpv. 3 D-LPD).

La persona interessata non è parte alla procedura d'inchiesta aperta dall'IFPDT.

Tuttavia se l'IFPDT ha aperto la procedura in seguito a una denuncia sporta dalla persona interessata, è tenuto a informarla sul seguito dato alla denuncia.

L'IFPDT ha anche nuovi compiti, ad esempio formare e consigliare gli organi federali e le persone private nonché sensibilizzare alla protezione dei dati il pubblico e le persone vulnerabili (art. 52 cpv. 1 lett. a e c D-LPD).

Al fine di attuare il nuovo articolo 18 della Convenzione (art. 23 del Protocollo di emendamento), l'articolo 52 capoverso 1 lettera d D-LPD stabilisce che l'IFPDT deve consigliare anche le persone interessate e fornire loro, su richiesta, le informazioni necessarie all'esercizio dei loro diritti.

5.1.8

Rafforzamento della cooperazione tra le autorità

In linea con i requisiti di cui al nuovo articolo 17 della Convenzione (art. 22 del Protocollo di emendamento), sono rafforzate le disposizioni inerenti all'assistenza amministrativa tra l'IFPDT e le autorità svizzere nonché tra l'IFPDT e le autorità estere di protezione dei dati (art. 48 e 49 D-LPD).

5.1.9

Rafforzamento del regime di sanzioni penali

Il D-LPD rafforza il regime sanzionatorio al fine di attuare l'articolo 12 della Convenzione (art. 15 del Protocollo di emendamento). Configura come reati le violazioni di alcuni obblighi previsti agli articoli 5456 D-LPD e introduce una disposizione penale in caso di inosservanza di una decisione dell'IFPDT (art. 57 D-LPD).

L'IFPDT può denunciare le infrazioni all'autorità di perseguimento penale competente (art. 59 cpv. 2 D-LPD).

5.2

Lavori parlamentari relativi al D-LPD

Il D-LPD, così come adottato dal Consiglio nazionale in occasione della sessione autunnale del 201922, è compatibile con i requisiti del Protocollo di emendamento tranne che nei punti esposti qui di seguito.

22

556

www.parlamento.ch > 17.059; disegno 3

FF 2020

Il Consiglio nazionale ha deciso di rimuovere dalla lista di dati degni di particolare protezione i «dati concernenti le opinioni o attività sindacali» (art. 4 lett. c n. 1 D-LPD). L'articolo 8 del Protocollo di emendamento introduce però nella lista di dati degni di protezione, oltre ai dati sulle opinioni politiche, quelli relativi all'appartenenza sindacale (art. 6 della nuova Convenzione).

Il Consiglio nazionale ha anche introdotto una nuova eccezione all'obbligo di informare la persona interessata (art. 18 cpv. 1 lett. e D-LPD) che non è conforme ai requisiti degli articoli 10 e 14 del Protocollo di emendamento (art. 8 e 11 della nuova Convenzione). Detta modifica dispone che il titolare dell'elaborazione non è sottoposto all'obbligo di informare se l'informazione esige mezzi sproporzionati, indipendentemente dal fatto che i dati siano raccolti o no presso la persona interessata.

Il Consiglio nazionale ha inoltre modificato l'articolo 23 capoverso 2 D-LPD relativo al diritto d'accesso. Le modifiche apportate rendono esaustiva la lista di informazioni da fornire alla persona interessata. L'articolo 11 paragrafo 2 del Protocollo di emendamento dispone maggiori diritti per la persona interessata: in virtù della trasparenza, il titolare dell'elaborazione può essere tenuto a fornirle ulteriori informazioni (art. 9 par. 1 lett. b della nuova Convenzione).

Il Consiglio nazionale ha infine abrogato la violazione dei requisiti applicabili in materia di sicurezza di cui all'articolo 55 lettera c D-LPD. Il principio di sicurezza e l'adozione di un regime sanzionatorio appropriato in caso di violazione delle disposizioni della nuova Convenzione sono però due requisiti fondamentali di cui agli articoli 9 e 15 del Protocollo di emendamento (art. 7 e 12 della nuova Convenzione).

6

Ripercussioni

6.1

Ripercussioni per la Confederazione

Il D-LPD si pone principalmente gli obiettivi di rafforzare la legislazione inerente alla protezione dei dati, così da far fronte all'evoluzione tecnologica, nonché di tenere conto delle riforme europee e in particolare del Protocollo di emendamento.

Le ripercussioni del D-LPD sulle finanze e sull'effettivo del personale della Confederazione sono esposte nel messaggio del Consiglio federale del 15 settembre 2017 (n. 11.1); non è tuttavia possibile stimare le ripercussioni finanziarie, poiché strettamente legate alla trasposizione del Protocollo di emendamento. Alcune misure legislative infatti (per es. l'affidamento di competenze decisionali all'IFPDT) sono sancite sia nel Protocollo di emendamento sia nelle riforme dell'UE, in particolare nella direttiva (UE) 2016/68023.

23

Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, GU L 119 del 4.5.2016, pag. 89.

557

FF 2020

6.2

Ripercussioni per i Cantoni

La ratifica del Protocollo di emendamento a opera della Svizzera ha effetto anche sui Cantoni. Se necessario, le disposizioni di detto atto devono essere trasposte in conformità con la suddivisione costituzionale delle competenze prevista dalla legislazione interna.

6.3

Ripercussioni sull'economia

La ratifica del Protocollo di emendamento e l'attuazione dei suoi nuovi requisiti nel diritto federale permettono alla Svizzera di continuare a garantire il flusso internazionale di dati, in particolare nel settore privato (cfr. n. 1.3.2).

Per il resto si rinvia alle spiegazioni del messaggio del Consiglio federale del 15 settembre 2017 (cfr. n. 11.4).

6.4

Ripercussioni sulla società

La ratifica del Protocollo di emendamento e l'attuazione dei suoi nuovi requisiti nel diritto federale permettono alla Svizzera di migliorare la protezione dei consumatori e delle persone vulnerabili, in particolare relativamente alle sfide sociali poste dalle nuove tecnologie. Attraverso la ratifica di questo nuovo strumento, la Svizzera garantisce alla sua popolazione un elevato livello di protezione della sfera privata, analogamente a quanto fatto dalla maggior parte degli Stati europei e da alcuni Stati non membri del Consiglio d'Europa.

Il disegno non ha alcuna ripercussione diretta per la salute.

6.5

Altre ripercussioni

Il disegno non ha alcuna ripercussione né per la parità dei sessi né per l'ambiente.

7

Aspetti giuridici

7.1

Costituzionalità

Il disegno di decreto federale che approva il Protocollo di emendamento si fonda sull'articolo 54 capoverso 1 della Costituzione (Cost.)24, secondo cui gli affari esteri competono alla Confederazione. L'articolo 184 capoverso 2 Cost. conferisce al Consiglio federale la competenza di firmare e ratificare i trattati internazionali. Conformemente all'articolo 166 capoverso 2 Cost., l'approvazione di detti trattati spetta invece all'Assemblea federale; sono esclusi quelli la cui conclusione è di competen24

558

RS 101

FF 2020

za del Consiglio federale in virtù della legge o di un trattato internazionale (v. anche art. 24 cpv. 2 della legge del 13 dicembre 200225 sul Parlamento [LParl] e art. 7a cpv. 1 della legge del 21 marzo 199726 sull'organizzazione del Governo e dell'Amministrazione [LOGA]). Nel presente caso, nessuna legge e nessun trattato conferiscono questa competenza al Consiglio federale, dato che l'articolo 36 capoverso 5 LPD non è applicabile. Anche se conferisce al Consiglio federale la competenza di concludere trattati internazionali in materia di protezione dei dati, nella misura in cui siano conformi ai principi della LPD, secondo i lavori preparatori27 questo articolo deve essere interpretato in maniera restrittiva: non conferisce al Consiglio federale la competenza generale di concludere trattati internazionali nel settore della protezione dei dati, ma solo di concludere trattati di portata limitata. L'articolo 7a capoverso 3 LOGA dispone una lista non esaustiva di «trattati di portata limitata», mentre il capoverso 4 elenca alcuni esempi di trattati non considerati di portata limitata.

Il Protocollo di emendamento corrisponde a un trattato che adempie la condizione di cui all'articolo 141 capoverso 1 lettera d numero 3 Cost. (cfr. n. 7.3). Conformemente a questa disposizione, un trattato è sottoposto a referendum se comprende disposizioni importanti che contengono norme di diritto o se per la sua attuazione è necessaria l'emanazione di leggi federali. Secondo l'articolo 22 capoverso 4 LParl, contengono norme di diritto le disposizioni che, in forma direttamente vincolante e in termini generali ed astratti, impongono obblighi, conferiscono diritti o determinano competenze. Sono considerate importanti anche le disposizioni che, nella legislazione interna, in virtù dell'articolo 164 capoverso 1 Cost., sono emanate in una legge in senso formale. La ratifica del Protocollo di emendamento implica diverse modifiche legislative. Sulla base di quanto precede, questo trattato non è di portata limitata (art. 7a cpv. 4 lett. a LOGA) e di conseguenza la competenza spetta all'Assemblea federale.

7.2

Compatibilità con gli altri impegni internazionali della Svizzera

Il disegno di decreto federale è compatibile con gli impegni internazionali della Svizzera, in particolare con la direttiva (UE) 2016/680 in quanto sviluppo dell'acquis di Schengen in materia di protezione dei dati a carattere personale. Le disposizioni del Protocollo di emendamento corrispondono infatti ai principi della protezione dei dati disposti da detto atto europeo, ma sono meno dettagliate.

25 26 27

RS 171.10 RS 172.010 Cfr. Boll. Uff. 1990 S 161; cfr. anche Jöhri Yvonne, commento all'art. 36 cpv. 5 LPD, in: Rosenthal/Jöhri (eds.), Handkommentar zum Datenschutzgesetz, Zurigo, Basilea, Ginevra 2008, n. 4244.

559

FF 2020

7.3

Forma dell'atto

Secondo l'articolo 141 capoverso 1 lettera d numero 3 Cost. un trattato internazionale è sottoposto a referendum se comprende disposizioni importanti che contengono norme di diritto o se per la sua attuazione è necessaria l'emanazione di leggi federali. (cfr. n. 3).

Il Protocollo di emendamento comprende disposizioni importanti per l'attuazione delle quali è necessaria una modifica della legislazione federale sulla protezione dei dati. Il decreto federale che approva il Protocollo di emendamento può essere pertanto sottoposto a referendum.

560