03.016 Messaggio concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l'adesione della Svizzera al Protocollo aggiuntivo dell'8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati del 19 febbraio 2003
Onorevoli presidenti e consiglieri, Con il presente messaggio vi sottoponiamo per approvazione un disegno di revisione della legge federale del 19 giugno 1992 sulla protezione dei dati e un decreto federale concernente l'adesione della Svizzera al Protocollo aggiuntivo dell'8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati.
Contemporaneamente vi proponiamo di togliere di ruolo i seguenti interventi parlamentari: 2000 M 00.3000
Maggiore trasparenza nella raccolta di dati personali (S 28.01.2000, Commissione degli affari giuridici CS)
1999 M 98.3529
Collegamenti «online». Rafforzare la protezione dei dati personali (S 17.11.1998, Commissione di gestione CS)
Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.
19 febbraio 2003
In nome del Consiglio federale svizzero: Il presidente della Confederazione, Pascal Couchepin La cancelliera della Confederazione, Annemarie Huber-Hotz
2002-2572
1885
Compendio La presente revisione è finalizzata in primo luogo a migliorare l'informazione delle persone di cui sono raccolti dati, a fissare un livello di protezione minimo quando le autorità cantonali trattano dati in esecuzione del diritto cantonale e a trasporre nel diritto svizzero i principi previsti dal Protocollo aggiuntivo dell'8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati.
Situazione iniziale e obiettivo del disegno All'origine della revisione sono due mozioni adottate nel 1999 e nel 2000 dalle Camere federali, che chiedevano da una parte maggiore trasparenza nell'ambito della raccolta di dati e dall'altra l'esistenza di una base legale formale per ogni collegamento online a dati trattati da organi federali nonché la fissazione di un livello minimo di protezione quando i Cantoni trattano dati in applicazione del diritto federale. Inoltre determinate disposizioni della LPD devono essere modificate per permettere l'adesione della Svizzera al Protocollo aggiuntivo dell'8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati.
L'esperienza fatta in materia di protezione dei dati mostra che l'applicazione della legge federale sulla protezione dei dati è in generale soddisfacente anche se questa legge presenta alcuni difetti puntuali, in particolare rispetto ai mezzi accordati alle persone interessate per opporsi al trattamento dei dati che le riguardano.
Contenuto del disegno La revisione prevede l'obbligo per le persone private e per gli organi federali di informare attivamente la persona interessata quando raccolgono dati degni di particolare protezione e profili della personalità su di lei. La persona interessata deve essere informata almeno dell'identità del detentore della collezione, delle finalità del trattamento per il quale i dati sono raccolti e delle categorie dei destinatari dei dati se è prevista la loro comunicazione. Per quanto riguarda i dati personali che non sono degni di particolare protezione né profili della personalità, la raccolta deve essere almeno riconoscibile
per la persona interessata.
La revisione prevede anche un certo numero di deroghe all'obbligo di notifica delle raccolte di dati e rafforza la posizione delle persone che si oppongono a un trattamento di dati che le concernono. Stabilisce anche le esigenze minime che i Cantoni devono soddisfare in materia di protezione dei dati quando applicano il diritto federale e aumenta la possibilità di controllo su di loro quando trattano dai personali in applicazione del diritto federale.
La revisione permette al Consiglio federale di autorizzare, per una durata limitata, il trattamento automatizzato di dati personali degni di particolare protezione o di profili della personalità prima dell'entrata in vigore di una legge in senso formale.
1886
Infine per rendere la legislazione svizzera conforme al Protocollo aggiuntivo dell'8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati, la presente revisione armonizza le condizioni alle quali è soggetta la comunicazione di dati all'estero con il diritto europeo e conferisce all'Incaricato federale della protezione dei dati il diritto di ricorrere nell'ambito della sorveglianza sugli organi federali.
1887
Messaggio 1
Parte generale
1.1
Situazione iniziale
1.1.1
Diritto vigente
1.1.1.1
A livello federale
Attualmente, a livello federale, la protezione dei dati è retta dalla legge federale del 19 giugno 19921 sulla protezione dei dati (LPD), entrata in vigore il 1° luglio 1993.
Questa legge si applica al trattamento di dati di persone fisiche e giuridiche da parte di persone private e organi federali (art. 2).
La LPD definisce i principi da rispettare nell'ambito del trattamento di dati personali. In particolare, dati personali possono essere raccolti unicamente in modo lecito (art. 4 cpv. 1). Il trattamento dei dati deve essere conforme ai principi della buona fede e della proporzionalità (art. 4 cpv. 2). I dati personali possono essere trattati soltanto per lo scopo indicato all'atto della loro raccolta, risultante dalle circostanze o previsto dalla legge (art. 4 cpv. 3). La persona o l'organo che tratta dati personali deve inoltre accertarsi della loro esattezza (art. 5).
La LPD disciplina la comunicazione di dati all'estero (art. 6) e il diritto d'accesso (art. 8). Vieta alle persone private che trattano dati personali di ledere illecitamente la personalità delle persone interessate (art. 12 cpv. 1) e in particolare di trattare dati contro l'esplicita volontà della persona interessata, qualora manchi un motivo giustificativo (art. 12 cpv. 2 lett. b). Regola inoltre le azioni che le persone lese possono far valere e la procedura (art. 15).
Gli articoli 1625 LPD disciplinano il trattamento di dati personali da parte di organi federali. Questi ultimi hanno il diritto di trattare dati personali soltanto se esiste una base legale (art. 17 cpv. 1). Una base legale formale è di norma richiesta per il trattamento di dati personali degni di particolare protezione o di profili della personalità (art. 17 cpv. 2). La comunicazione di dati personali a terzi è inoltre subordinata all'esistenza di un fondamento giuridico, fatte salve le eccezioni previste dalla legge (art. 19 cpv. 1). I dati personali possono essere resi accessibili mediante una procedura di richiamo soltanto se è esplicitamente previsto (art. 19 cpv. 3). Le esigenze sono ancora più severe per i dati personali degni di particolare protezione o per i profili della personalità, visto che possono essere resi accessibili mediante una procedura di richiamo soltanto se una legge in senso formale lo prevede esplicitamente (art. 19 cpv. 3).
La LPD definisce agli articoli 2632 i compiti e le competenze dell'Incaricato federale della protezione dei dati (nel seguito: l'Incaricato). Questi sorveglia l'applicazione della legge da parte degli organi federali e consiglia le persone private.
È competente per svolgere indagini e può emanare raccomandazioni. Quando non viene dato seguito a una sua raccomandazione nel settore privato, l'Incaricato può deferire il caso davanti alla Commissione federale della protezione dei dati (art. 28
1
RS 235.1
1888
cpv. 4). Nel settore pubblico, può deferire la pratica per decisione davanti a un Dipartimento o alla Cancelleria federale (art. 27 cpv. 5). L'Incaricato non ha la competenza di ricorrere egli stesso contro le decisioni pronunciate dai Dipartimenti o dalla Cancelleria federale2.
1.1.1.2
A livello cantonale
Il trattamento di dati personali da parte delle autorità cantonali è di norma retto dal diritto cantonale (art. 2 cpv. 1 LPD). È irrilevante che i dati trattati siano stati raccolti direttamente dalle autorità cantonali o che queste ultime li abbiano ricevuti per il tramite di un accesso online a una banca di dati federale. Varie disposizioni del diritto federale limitano tuttavia l'autonomia cantonale in materia di protezione dei dati3. In virtù dell'articolo 37 capoverso 1 LPD, nella misura in cui non vi siano prescrizioni cantonali sulla protezione dei dati, il trattamento di dati personali da parte degli organi cantonali che agiscono in applicazione del diritto federale è retto da disposizioni della LPD. La maggior parte dei Cantoni ha adottato una legge in senso formale, alcuni si fondano invece su un'ordinanza o su direttive che non sempre sono pubblicate.
L'articolo 37 capoverso 2 LPD invita inoltre i Cantoni a designare un organo incaricato di controllare il rispetto della protezione dei dati. Questo obbligo è stato soddisfatto in vari modi. Lo statuto, le competenze e i mezzi degli organi di controllo possono variare fortemente da un Cantone all'altro.
1.1.2
Interventi parlamentari all'origine della revisione
1.1.2.1
Mozione «Collegamenti online»
Una revisione parziale della LPD è resa necessaria dall'accettazione, il 21 dicembre 1999, di una mozione della Commissione di gestione del Consiglio degli Stati (mozione 98.3529 del 17 novembre 1998. Collegamenti «online». Rafforzare la protezione dei dati personali; qui di seguito: mozione «Collegamenti online»). La mozione invita il Consiglio federale a sottoporre alle Camere federali una revisione della LPD allo scopo di imporre basi legali per ogni collegamento online, compresi i progetti pilota, e di prevedere, per le domande e l'installazione di collegamenti online con i sistemi informatici della Confederazione, norme minime che permettano di migliorare la collaborazione fra la Confederazione e i Cantoni.
Nella sua risposta, il Consiglio federale ha proposto di trasformare la mozione in postulato. In merito al primo punto della mozione, ha fatto osservare che secondo il diritto vigente, per permettere, mediante una procedura di richiamo, l'accesso online a una banca di dati gestita da un organo federale, occorre già ora una base legale esplicita (art. 19 cpv. 3 primo periodo LPD). Una base legale esplicita in una legge in senso formale è a maggior ragione richiesta quando la procedura di richiamo rende accessibili dati personali degni di particolare protezione o profili della personalità 2 3
DTF 123 II 542 Cfr. art. 16 cpv. 2 e 37 cpv. 1 LPD; art. 16 cpv. 3 LMSI (RS 120); art. 16 cpv. 1 e 17 cpv. 1 LStat (RS 431.01).
1889
(art. 19 cpv. 3 secondo periodo LPD). Secondo il Consiglio federale, tale esigenza è parimenti applicabile alla fase pilota per cui una revisione della legge in tal senso non è necessaria. Per contro, il Consiglio federale si è detto disposto a proporre una revisione della LPD al fine di introdurvi una regolamentazione specifica per la fase pilota di un progetto qualora un motivo d'interesse pubblico importante renda indispensabile il trattamento di dati personali degni di particolare protezione o di profili della personalità prima dell'entrata in vigore di una base legale formale. Infatti, se i previsti collegamenti non hanno potuto essere testati nella pratica, è difficile circoscrivere con precisione la cerchia degli enti amministrativi federali e cantonali, e in certi casi delle persone private, per i quali può essere necessario disporre di un accesso. Il fatto di poter testare, durante una fase pilota, l'accesso a raccolte di dati, in particolare in caso di collegamenti online, permetterebbe di definire meglio le necessità di accesso al momento dell'elaborazione della base legale formale.
Sul secondo punto della mozione, il Consiglio federale si è dichiarato disposto a fissare a livello federale uno standard da rispettare in materia di accesso, utilizzazione, protezione e controllo delle raccolte di dati federali. Ha tuttavia lasciato aperta la questione se la definizione del livello debba avvenire mediante l'adozione di norme federali direttamente applicabili ai Cantoni oppure assumere la forma di norme sussidiarie da applicare in assenza di una corrispondente regolamentazione cantonale.
In occasione dell'accettazione della mozione da parte delle Camere, il rappresentante del Consiglio federale ha fatto sapere di poter condividere la mozione soltanto se al Consiglio federale veniva concesso un margine di manovra sufficiente per realizzarla nel senso della risposta del Consiglio federale4.
1.1.2.2
Mozione «Maggiore trasparenza nella raccolta di dati personali»
Una seconda mozione che invitava il Consiglio federale a proporre alle Camere federali una revisione della LPD è stata adottata dalle Camere federali il 5 ottobre 2000. Si tratta di una mozione della Commissione degli affari giuridici del Consiglio degli Stati (mozione 00.3000 del 28 gennaio 2000. Maggiore trasparenza nella raccolta di dati personali; qui di seguito: mozione «Maggiore trasparenza»). Vi si chiede l'introduzione nella LPD di un obbligo per le persone private e gli organi federali di informare le persone interessate in occasione della raccolta di dati personali degni di particolare protezione e di profili della personalità. La mozione prevede che l'informazione riguardi in particolare l'identità del detentore della collezione di dati personali, le finalità del trattamento e tutte le informazioni supplementari necessarie a garantire un trattamento dei dati conforme ai principi della buona fede e della proporzionalità. L'obbligo di informare va applicato a ogni raccolta di dati, indipendentemente dal fatto che i dati siano chiesti direttamente alla persona interessata o a terzi. Possono essere previste deroghe per salvaguardare un interesse pubblico o privato preponderante.
4
Boll. uff. 1999 S 212 e N 2599.
1890
1.2
Definizione della portata e degli obiettivi della revisione
In seguito all'adozione delle due mozioni, un primo progetto di revisione è stato elaborato nell'ambito dell'Amministrazione federale, sotto l'egida dell'Ufficio federale di giustizia, in collaborazione con l'Incaricato. Innanzitutto ci si è chiesti se occorreva limitare la revisione ai soli campi oggetto delle due mozioni accettate dalle Camere federali o, al contrario, estenderla ad altri campi e procedere eventualmente a una revisione totale. Ci si poteva inoltre chiedere se non fosse il caso di cogliere l'occasione per rendere la LPD compatibile con il diritto comunitario, in particolare con la Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati5 (Direttiva 95/46/CE).
Per saperne di più, l'Ufficio federale di giustizia ha istituito un gruppo di lavoro informale composto di specialisti della protezione dei dati del settore pubblico e di quello privato6, al quale ha sottoposto il suo avamprogetto. Secondo i pareri espressi dalla maggioranza degli specialisti, la LPD si è mostrata, nell'insieme, valida e una revisione totale della legge sarebbe, in questo stadio, prematura. La legge presenta alcune carenze puntuali alle quali è tuttavia possibile rimediare nell'ambito di una revisione parziale; voler rimettere in discussione i principi materiali della protezione dei dati sarebbe un errore. La revisione deve pertanto limitarsi ai punti per i quali è possibile dimostrare che è necessaria e a quelli che riguardano la realizzazione delle due mozioni citate. Le regole materiali dovrebbero essere mantenute, mentre può essere preso in considerazione, a complemento del miglioramento della trasparenza chiesto dalla mozione, un potenziamento degli strumenti per permettere alle persone lese di far valere più efficacemente i loro diritti. Da parte sua, l'Incaricato avrebbe auspicato una revisione più ambiziosa che, pur senza rimettere in discussione i principi fondamentali della legge, avesse mirato ad armonizzare la legislazione svizzera con il diritto comunitario e a rafforzare le competenze d'indagine, di consulenza e di mediazione dell'Incaricato.
A medio termine una revisione totale sarà inevitabile se la Svizzera si impegnerà ad adottare
le direttive comunitarie sulla protezione dei dati nell'ambito dei negoziati bilaterali II (in materia di liberalizzazione dei servizi e di accordi di Schengen e Dublino). Al momento attuale non appare necessario andare oltre una revisione parziale (cfr. n. 1.2.3.2). In caso di bisogno, il Consiglio federale sottoporrà un messaggio complementare al Parlamento.
Inoltre con la revisione parziale ci si prefigge di permettere alla Svizzera di rendere la sua legislazione compatibile con il Protocollo aggiuntivo alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati (il Pro5 6
GU CE L 281 del 23 novembre 1995 pag. 31 Si tratta dei seguenti specialisti: prof. dott. iur. Rainer J. Schweizer, professore all'Università di San Gallo, presidente della Commissione federale della protezione dei dati; Urs Belser, avvocato, Berna; Ursula Uttinger, lic. iur., presidente del Forum svizzero della protezione dei dati; Markus Siegenthaler, avvocato, Ufficio della sorveglianza sulla protezione dei dati del Canton Berna; Gérald Page, dottore in diritto, avvocato e incaricato di corsi universitari, Ginevra.
1891
tocollo aggiuntivo alla Convenzione STE n. 108). Sulla base dei risultati positivi della procedura di consultazione, il Consiglio federale ha firmato il 17 ottobre 2002 il Protocollo aggiuntivo, sotto riserva dell'approvazione e della ratifica da parte del Parlamento (cfr. n. 1.2.3.1.2).
1.2.1
Le grandi linee della revisione
I lavori di revisione sono stati svolti nell'intento di creare un equilibrio fra il rafforzamento della protezione della personalità da un lato e di evitare procedimenti che complicherebbero inutilmente l'adempimento dei compiti dei detentori di collezioni di dati dall'altro. Le esigenze supplementari imposte alle persone private dall'introduzione dell'obbligo di informare sono compensate almeno parzialmente da alcune semplificazioni in materia di controlli. In particolare, dalla trasparenza derivante dal presente disegno di legge conseguiranno semplificazioni per quanto riguarda l'obbligo di notificare le collezioni di dati ai sensi dell'articolo 11a LPD. Parimenti, l'obbligo di notificare le comunicazioni all'estero (art. 6 LPD) è abrogato e sostituito con un obbligo di informazione puramente puntuale sia per le persone private che per gli organi federali.
Il disegno non si discosta dalla concezione che ha prevalso finora e che lascia principalmente alla persona interessata l'iniziativa di difendere i suoi diritti. L'Incaricato, in qualità di organo di controllo, mantiene la potestà d'intervenire d'ufficio per accertare i fatti ed emanare raccomandazioni; le sue competenze aumentano solo in misura irrilevante.
La giustificazione sta nel fatto che se è informata della raccolta la persona interessata potrà esercitare i diritti che le riconosce la legge; di conseguenza si può rinunciare a provvedimenti più coercitivi nell'ambito del controllo effettuato dall'Incaricato. Questa concezione presenta il vantaggio di limitare al minimo le esigenze nei confronti delle persone che raccolgono i dati, in particolare quando si tratta di persone private, e di lasciare che in larga misura siano le stesse persone interessate a decidere fino a che punto intendono tollerare eventuali lesioni alla loro sfera privata.
Nel contempo si persegue lo scopo di limitare allo stretto necessario l'informazione delle persone interessate invece di sommergerle di informazioni che non hanno richiesto, fatto questo che potrebbe essere risentito come un'altra forma di lesione, soprattutto quando si tratta di transazioni correnti.
Un ulteriore obiettivo è quello di rafforzare la responsabilità dei detentori di raccolte di dati. Per questo motivo il presente disegno è finalizzato a promuovere meccanismi di autoregolamentazione,
in particolare l'assegnazione da parte di organismi indipendenti, di marchi di qualità e certificazioni nella protezione di dati.
Il disegno mira inoltre a meglio definire le responsabilità e il controllo qualora il trattamento sia delegato a terzi. Infatti impone al detentore di una collezione di dati l'obbligo di diligenza, pur lasciandogli, in vari ambiti, un largo margine di manovra circa le modalità di adempire a questo obbligo. A titolo di esempio, nella comunicazione di dati all'estero, il detentore della collezione deve assicurarsi che il destinatario offra un livello di protezione adeguato, ma la LPD non prescrive il modo in cui ottenere tali assicurazioni: queste possono essere desunte da obblighi legali, da convenzioni internazionali o da clausole contrattuali. Il detentore della collezione è pa-
1892
rimenti libero di scegliere il modo in cui intende rendere riconoscibile una raccolta di dati. Il detentore della collezione è tuttavia responsabile del pregiudizio causato.
Il disegno conferisce al Consiglio federale la facoltà di autorizzare per un periodo limitato di tempo e a determinate condizioni il trattamento di dati personali degni di particolare protezione o di profili della personalità prima dell'entrata in vigore di una legge in senso formale.
Infine, il disegno inasprisce le esigenze e rafforza le possibilità di controllo qualora il trattamento di dati federali sia eseguito da organi cantonali in applicazione del diritto federale. Nella misura in cui sono trattati dati federali, la Confederazione dispone di una base costituzionale sufficiente per imporre ai Cantoni garanzie minime (cfr. n. 5.1).
Come complemento all'obbligo di informare, si propone di rafforzare la posizione delle persone che intendono opporsi al trattamento dei dati che le riguardano.
L'esperienza mostra infatti che la persona che subisce una lesione può trovarsi in una posizione d'inferiorità che non le permette di esercitare efficacemente i suoi diritti. Spesso, quando interviene la giustizia, la lesione è già stata fatta e non può più essere impedita. In alcuni casi, la persona interessata non ottiene dal detentore della collezione di dati le informazioni necessarie per poter esercitare le proprie azioni, in particolare per quanto concerne i motivi giustificativi del trattamento. L'obbligo di informare al momento della raccolta ha un senso soltanto se è accompagnato dalla possibilità per la persona interessata di opporsi efficacemente al trattamento. Ecco perché il disegno prevede l'interruzione immediata del trattamento, ma limitata a un breve lasso di tempo, in caso di opposizione della persona interessata, e l'obbligo per il detentore della collezione di dati di comunicare alla persona interessata i motivi giustificativi del trattamento. Il detentore della collezione di dati può tuttavia proseguire il trattamento se quest'ultimo poggia su un obbligo legale.
Si potrebbe pensare ad altri provvedimenti per rafforzare la posizione della persona interessata nel processo. Per esempio, è stata evocata la possibilità di introdurre un alleggerimento dell'onere della prova, analogamente all'articolo 13a della legge
federale contro la concorrenza sleale7. Fornire la prova dell'illiceità della lesione o della portata del pregiudizio subiti, soprattutto nel caso di una comunicazione di dati all'estero, non è facile. Ciononostante non appare opportuno moltiplicare le eccezioni al regime ordinario dell'amministrazione della prova. Anche senza introdurre un alleggerimento, l'onere della prova di fatti relativi alla sfera d'influenza del detentore di una collezione di dati, come l'esistenza di motivi giustificativi, dovrebbe già oggi incombere al detentore della collezione di dati. Si tratta anche di sapere se le norme usuali in materia di responsabilità civile permettono veramente di riparare il pregiudizio subito in caso di lesione illecita, segnatamente se si tratta di una comunicazione di dati all'estero. L'introduzione di nuove sanzioni, per esempio sotto forma di indennità versata indipendentemente dall'ammontare del pregiudizio subito, come nel caso di una rescissione abusiva del contratto di lavoro, è stata esaminata, ma non è stata presa in considerazione. Un tale tipo di sanzione non è affatto usuale nel diritto svizzero e tantomeno in un settore che non è sempre retto da rapporti contrattuali.
7
RS 241
1893
La revisione consente, su certi punti, di armonizzare il diritto svizzero con quello comunitario; tuttavia lo scopo del disegno non è quello di rendere il nostro diritto completamente compatibile con quello comunitario. Il livello di protezione offerto dalla LPD è quasi equivalente a quello del diritto comunitario. L'Unione europea ha d'altronde classificato la Svizzera fra i Paesi che assicurano un livello di protezione adeguato, autorizzando pertanto il trasferimento di dati dei Paesi dell'Unione europea verso il nostro Paese. Nell'ambito dei negoziati bilaterali II (in materia di liberalizzazione dei servizi e di accordi di Schengen e Dublino) sarà necessaria una revisione più ampia. Potrà avere luogo in occasione di una seconda fase oppure costituire l'oggetto di un messaggio supplementare alle Camere federali.
Neppure sul piano terminologico la LPD dà piena soddisfazione. Alcune nozioni dovrebbero essere definite (p. es. «terzo» o «procedura di richiamo») e l'espressione «detentore di una collezione di dati» non corrisponde più alla terminologia utilizzata a livello comunitario. Tuttavia, a causa delle ripercussioni a catena che nuove definizioni legali comporterebbero nell'intero testo di legge, è preferibile, nell'ambito di una revisione parziale, rinunciare a rivedere o completare le attuali definizioni di cui all'articolo 3 LPD.
1.2.2
Principali novità
1.2.2.1
L'obbligo di informare al momento della raccolta dei dati personali
Una delle principali innovazioni del disegno di legge concerne la realizzazione della mozione «Maggiore trasparenza». Un obbligo di informare relativamente circostanziato è introdotto in relazione alla raccolta di dati personali degni di particolare protezione e di profili della personalità (art. 7a). Per quanto concerne la raccolta di dati personali che non sono degni di particolare protezione o non costituiscono profili della personalità, l'obbligo di informare è per contro meno circostanziato. L'articolo 4 capoverso 4 si limita, per questo tipo di dati, a sancire il principio in base al quale la raccolta, e segnatamente le finalità del trattamento, devono essere riconoscibili. Questo principio non è nuovo, visto che attualmente si applica alla raccolta di dati da parte degli organi federali (art. 18 cpv. 2 LPD). In avvenire si applicherà anche al settore privato. La portata di tale obbligo dovrà essere valutata in base alle circostanze della raccolta. Se le circostanze sono tali per cui di primo acchito la raccolta e la finalità del trattamento sono chiaramente riconoscibili dalla persona interessata, chi raccoglie i dati non sarà tenuto a fornire informazioni supplementari. Se, per contro, le circostanze sono tali per cui la raccolta e la finalità del trattamento non sono riconoscibili o non lo sono chiaramente, chi raccoglie i dati dovrà fornire un'informazione più attiva.
1.2.2.2
Semplificazione dell'obbligo di notificare
L'obbligo delle persone private e degli organi federali che trasmettono all'estero collezioni di dati di notificare tale intenzione all'Incaricato (art. 6 LPD) è sostituito con un obbligo di diligenza che comprende solo un obbligo di informazione limitato. L'obbligo delle persone private che trattano regolarmente dati personali degni di 1894
particolare protezione o profili della personalità oppure che comunicano regolarmente dati personali a terzi di notificare all'Incaricato le loro collezioni (art. 11 LPD) è mantenuto con il nuovo articolo 11a. La proposta contenuta nell'avamprogetto sottoposto a consultazione di abolire l'obbligo di notifica ha ricevuto pareri contrastanti; inoltre attualmente non sembra più così probabile che l'UE riveda le sue direttive su questo punto come pareva al momento dell'elaborazione dell'avamprogetto. L'obbligo di notifica è ora mantenuto, ma regolato in modo più differenziato; si prevede inoltre di semplificare la notifica dal punto di vista amministrativo.
1.2.2.3
Procedura d'opposizione
Il diritto della persona interessata di opporsi al trattamento di dati personali che la riguardano è già previsto dall'articolo 12 capoverso 2 lettera b LPD se il trattamento è effettuato da persone private e dall'articolo 20 LPD, se il trattamento è effettuato da organi federali. Nel caso di trattamento da parte di persone private, la procedura è retta dall'articolo 15 LPD. Il disegno prevede all'articolo 15a un'innovazione: le persone private sono obbligate a sospendere immediatamente il trattamento quando la persona interessata si oppone a meno che il trattamento non sia basato su un obbligo legale. Se respinge l'opposizione, il detentore della collezione deve far valere entro un termine di dieci giorni un motivo giustificativo. Se lo fa, le persone interessate possono chiedere al giudice entro un termine di dieci giorni, in virtù dell'articolo 15 capoverso 1 LPD, il divieto provvisorio o definitivo del trattamento. Questo provvedimento è una conseguenza indiretta della mozione «Maggiore trasparenza».
Infatti un diritto all'informazione non ha alcuna utilità, se non è accompagnato dalla possibilità, per la persona interessata, di opporsi efficacemente al trattamento.
1.2.2.4
Promozione dell'autoregolamentazione mediante certificazione
Il disegno è finalizzato a promuovere l'autoregolamentazione nell'ambito della protezione dei dati. Per questo motivo prevede con il nuovo articolo 11a una disposizione volta a favorire la diffusione di certificazioni e di marchi di qualità nella protezione dei dati. Il Consiglio federale è autorizzato a disciplinare per quanto necessario le procedure e il riconoscimento degli enti certificanti. È pure previsto di esentare le aziende certificate dall'obbligo di notifica di cui all'articolo 11a.
1.2.2.5
Realizzazione di collegamenti online prima della creazione di una base legale formale
In risposta alla mozione «Collegamenti online», il Consiglio federale ha dichiarato che le esigenze alla base legale andavano adattate alla luce delle esigenze della prassi nell'ambito della revisione della LPD. Il disegno prevede un nuovo articolo 19a che consente al Consiglio federale di autorizzare, per un periodo limitato e nell'ambito di progetti pilota, il trattamento automatizzato di dati degni di particolare protezione o di profili della personalità prima dell'entrata in vigore di una corrispondente base legale formale. La legge elenca i criteri che determinano in quali casi è indis1895
pensabile svolgere un progetto pilota. I compiti che richiedono un trattamento automatizzato devono da parte loro poggiare su una base legale formale, come è già il caso.
1.2.2.6
Trattamento congiunto di dati personali fra gli organi federali e terzi
Può capitare che gli organi federali trattino dati personali congiuntamente a organi cantonali o a persone private, che a loro volta possono affidare, in tutto o in parte, il trattamento a terzi. In tali casi il problema è di sapere come l'organo federale possa continuare ad assumersi la responsabilità in questo ambito. Il disegno migliora la protezione dei dati in tali casi perché consente all'organo federale di effettuare o far effettuare controlli presso chi tratta i dati (art. 16 cpv. 3 e 4 del disegno). La competenza di effettuare controlli presso i Cantoni o terzi si desume dalla funzione di detentore della collezione di dati. Risulta anche sulla base delle regole generali relative alla competenza di vigilanza della Confederazione.
1.2.2.7
Standard minimo applicabile ai Cantoni
Il disegno rafforza la protezione dei dati quando i dati sono trattati dagli organi cantonali in applicazione del diritto federale fissando uno standard minimo come lo vuole la mozione «Collegamenti online». L'articolo 37 capoverso 1 del disegno si rifà alle regole applicabili alle comunicazioni di dati all'estero che esigono la garanzia di un livello di protezione adeguato. Quando le disposizioni cantonali in materia di protezione dei dati non assicurano un livello di protezione adeguato, le disposizioni del diritto federale si applicano a titolo sussidiario.
1.2.3
Il contesto internazionale
1.2.3.1
Consiglio d'Europa
1.2.3.1.1
Diritto vigente
Di fronte al flusso delle informazioni che per principio non conosce frontiere, è necessaria una cooperazione internazionale per assicurare un livello elevato di protezione dei dati, garantendo nel contempo la libera circolazione delle informazioni. In tal senso il Consiglio d'Europa ha approvato la Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale (Convenzione STE n. 108) del 28 gennaio 19818. La Convenzione è entrata in vigore per la Svizzera il 1° febbraio 19989.
La Convenzione STE n. 108 ha come scopo il rafforzamento nei settori privato e pubblico della protezione giuridica di ogni persona fisica nei confronti del trattamento automatizzato dei dati a carattere personale che la riguardano. Vuole garanti8 9
RS 0.235.1 Cfr. testo originale della Convenzione nel FF 1997 I 665
1896
re, in tutti gli Stati Parte, un minimo di protezione della personalità in occasione del trattamento di dati personali e una certa armonizzazione del sistema di protezione; d'altra parte, garantisce la circolazione internazionale dei dati nel senso che nessuno Stato Parte può vietare il trasferimento di informazioni verso un altro Stato Parte che accorda la protezione minima prevista dalla Convenzione STE n. 108.
I principi di base della protezione di dati enunciati nella Convenzione STE n. 108 si ritrovano nelle linee direttrici dell'OCSE, del 23 settembre 1980, che reggono la protezione della vita privata e i flussi internazionali di dati a carattere personale. Tali principi sono anche contenuti nella direttiva comunitaria 95/46/CE (cfr. n. 1.2.3.2).
La Convenzione STE n. 108 completa e concreta10, nel settore del trattamento automatizzato dei dati a carattere personale, gli articoli 8 (diritto al rispetto della vita privata) e 10 (libertà d'espressione) della Convenzione del 4 novembre 1950 sui diritti dell'uomo e sulle libertà fondamentali11 (CEDU), ratificata dalla Svizzera il 28 novembre 1974. Il diritto svizzero adempie già le esigenze della Convenzione.
Il Comitato dei Ministri ha approvato varie raccomandazioni in materia di protezione dei dati. Generalmente tali raccomandazioni prevedono che chi raccoglie dati personali è tenuto a informare in modo appropriato la persona interessata. Le informazioni da dare concernono segnatamente, a seconda dei casi, il fondamento giuridico della raccolta, le finalità per le quali i dati sono raccolti e trattati, la categoria dei dati raccolti o trattati, l'identità del responsabile del trattamento, indicazioni relative alle persone e agli enti ai quali i dati sono stati chiesti o ai quali i dati possono essere comunicati, il carattere facoltativo od obbligatorio della raccolta, la possibilità di negare il proprio consenso e le conseguenze di un tale rifiuto12. Realizzando la mozione «Maggiore trasparenza» mediante l'introduzione di un obbligo di informare circostanziato nel caso di dati personali degni di particolare protezione e dei profili della personalità e un obbligo di informare meno circostanziato nel caso delle altre categorie di dati, il disegno va nella direzione di tali raccomandazioni.
1.2.3.1.2
Protocollo aggiuntivo alla Convenzione STE n. 108
I Delegati dei Ministri hanno approvato, nella loro riunione del 23 maggio 2001, un Protocollo aggiuntivo concernente le autorità di controllo e i flussi internazionali di dati (il Protocollo. Esso completa la Convenzione STE n. 10813 già ratificata dalla Svizzera. L'obiettivo del Protocollo è quello di rafforzare la messa in opera dei principi contenuti nella Convenzione STE n. 108. Il rafforzamento è necessario per il numero crescente di flussi internazionali di dati personali da uno Stato Parte alla 10 11 12
13
RS 0.235.1 RS 0.101 Cfr. n. 3.2 della Raccomandazione n. R (95) concernente la protezione dei dati a carattere personale nel settore dei servizi di telecomunicazioni, con riguardo segnatamente ai servizi telefonici; cfr. n. 5 della Raccomandazione n. R (97) 5 relativa alla protezione dei dati medici; cfr. n. 5 della Raccomandazione n. R (97) 18 concernente la protezione dei dati a carattere personale, raccolti e trattati a scopi statistici; cfr. n. 3.3 della Raccomandazione n. R (90) 19 concernente la protezione dei dati a carattere personale utilizzati a scopo di pagamento e altre operazioni connesse; cfr. n. 5 della Raccomandazione n. R (2002) 9 concernente la protezione dei dati a carattere personale raccolti e trattati a fini assicurativi.
RS 0.235.1
1897
Convenzione STE n. 108 verso uno Stato terzo o un'organizzazione terza. Esso riveste due aspetti: da una parte si tratta di andare verso una migliore armonizzazione del funzionamento e delle competenze delle autorità di controllo e dall'altra di evitare che trasferimenti di dati verso organizzazioni o Stati terzi permettano di aggirare la legislazione dello Stato di origine Parte alla Convenzione STE n. 108.
Il Protocollo prevede in particolare l'istituzione di autorità di controllo incaricate di assicurare il rispetto dei provvedimenti che danno effetto, nel diritto interno, ai principi enunciati nella Convenzione STE n. 108 e nel Protocollo. Tali autorità devono disporre di poteri d'indagine e d'intervento così come di quello di stare in giudizio o di portare a conoscenza della competente autorità giudiziaria le violazioni alle disposizioni del diritto interno che danno effetto ai principi enunciati nella Convenzione STE n. 108 e nel Protocollo. Il Protocollo prevede anche che il trasferimento di dati a carattere personale verso un destinatario che non è soggetto alla Convenzione STE n. 108 possa avvenire unicamente se lo Stato o l'organizzazione destinatari garantiscono un livello di protezione adeguato. Le garanzie possono segnatamente risultare da clausole contrattuali, a condizione che siano valutate sufficienti.
Per quanto riguarda la questione delle autorità di controllo e quella dei flussi internazionali il Protocollo prevede un sistema molto vicino a quello previsto dalla Direttiva 95/46/CE.
Il Protocollo non può essere firmato che dagli Stati firmatari della Convenzione STE n. 108. Il numero di ratifiche necessarie perché il Protocollo entri in vigore è stato fissato a cinque. Ogni Parte può in qualsiasi momento denunciare il Protocollo indirizzando una notifica al Segretario Generale del Consiglio d'Europa.
Il 17 ottobre 2002 il Consiglio federale ha firmato il Protocollo, proponendone l'approvazione nell'ambito del presente messaggio. Finora hanno firmato il Protocollo due Stati. Ratificando il Protocollo, la Svizzera si avvicinerà anche al sistema adottato dall'Unione europea e mostra che intende rispettare il livello di protezione garantito dal Consiglio d'Europa, segnatamente nell'ambito dei flussi internazionali di dati.
In merito alle ripercussioni della ratifica del Protocollo sul diritto cantonale, si rinvia al numero 3.2.2.
1.2.3.1.2.1
Autorità di controllo
Il Protocollo obbliga ogni Stato Parte a prevedere una o più autorità di controllo indipendenti (art. 1 par. 1 e 3). Queste autorità devono disporre di poteri d'indagine e d'intervento così come del potere di stare in giudizio o di portare alla conoscenza della competente autorità giudiziaria le violazioni alle disposizioni del diritto interno che danno effetto ai principi enunciati nella Convenzione STE n. 10814 e nel Protocollo (art. 1 par. 2). Ogni autorità di controllo può inoltre essere adita da chiunque con una domanda relativa alla protezione dei suoi diritti e libertà fondamentali in relazione al trattamento di dati a carattere personale attinente alla propria competenza (art. 1 par. 2). Le decisioni delle autorità di controllo possono a loro volta essere oggetto di un ricorso giurisdizionale (art. 1 par. 4). Le autorità di controllo devono
14
RS 0.235.1
1898
inoltre cooperare tra loro, segnatamente scambiandosi ogni informazione utile (art. 1 par. 5).
La LPD prevede già due autorità di controllo indipendenti e precisamente l'Incaricato, che adempie i suoi compiti in maniera autonoma (art. 26 cpv. 2 LPD), e la Commissione federale della protezione dei dati, che è una commissione di arbitrato e di ricorso ai sensi della legge federale del 20 dicembre 1968 sulla procedura amministrativa (art. 33 LPD)15. L'Incaricato ha competenze investigative (art. 27 cpv. 13 e 29 cpv. 1 e 2 LPD) e potere d'intervento, in particolare quello di emanare raccomandazioni (art. 27 cpv. 4 e 5 e 29 cpv. 3 e 4 LPD). L'Incaricato può intervenire d'ufficio o su domanda di terzi. Il diritto vigente soddisfa dunque già ampiamente le esigenze del Protocollo con una sola eccezione : l'Incaricato non ha la competenza di stare in giudizio nell'ambito della sua missione di vigilanza sugli organi federali16. L'articolo 27 capoverso 6 del disegno permetterà di rendere il diritto svizzero conforme al Protocollo su questo punto.
1.2.3.1.2.2
Flussi internazionali
Il Protocollo obbliga gli Stati Parte a prevedere che il trasferimento di dati a carattere personale verso un destinatario soggetto alla giurisdizione di uno Stato o di un'organizzazione che non è Parte alla Convenzione STE n. 108 può essere effettuato unicamente se tale Stato od organizzazione assicura un livello di protezione adeguato per il trasferimento in questione (art. 2 par. 1). Gli Stati Parte al Protocollo possono tuttavia autorizzare nella loro legislazione interna deroghe a questo principio per interessi specifici della persona interessata o quando prevalgono interessi legittimi, in particolare interessi pubblici rilevanti (art. 2 par. 2 lett. a). Allo stesso modo possono autorizzare un trasferimento se garanzie che possono segnatamente risultare da clausole contrattuali sono fornite dalla persona responsabile del trasferimento e tali garanzie sono valutate sufficienti dalle autorità competenti (art. 2 par. 2 lett. b).
Il carattere adeguato del livello di protezione deve essere valutato alla luce di tutte le circostanze relative al trasferimento e deve prendere in considerazione i principi della Convenzione STE n. 10817 e del Protocollo, come pure la maniera in cui questi principi sono rispettati e in cui la vittima può difendere i suoi interessi in caso di non conformità. Una valutazione può essere fatta per l'insieme di uno Stato o di una organizzazione: in questo caso, il livello di protezione è determinato dalle autorità competenti di ogni Stato Parte.
Gli Stati Parte possiedono un margine di valutazione per determinare le deroghe al principio del livello adeguato. Simili deroghe possono essere previste per proteggere un interesse pubblico importante ai sensi dell'articolo 8 paragrafo 2 della CEDU18 e dell'articolo 9 paragrafo 2 della Convenzione STE n. 10819. Si possono pure prevedere eccezioni per rispondere a interessi specifici della persona interessata, come
15 16 17 18 19
RS 172.021 DTF 123 II 542 RS 0235.1 RS 0.101 RS 0235.1
1899
l'esecuzione di un contratto, la protezione di interessi vitali della persona interessata o quando la persona interessata ha dato il suo consenso.
La LPD regola anche il trasferimento di dati personali all'estero. L'articolo 6 LPD vieta la comunicazione di dati personali all'estero quando la personalità della persona interessata può subirne grave pregiudizio dovuto in particolare all'assenza di una protezione di dati equivalente a quella istituita in Svizzera. D'altra parte, chi intende trasmettere all'estero collezioni di dati deve notificarlo all'Incaricato se per tale comunicazione non vi è un obbligo legale e la stessa avviene all'insaputa delle persone i cui dati vengono trattati (art. 6 cpv. 2 LPD). Il disegno propone di sostituire questo obbligo di notifica con un sistema simile a quello del Protocollo, che è analogo a quello della Direttiva 95/46/CE.
1.2.3.2
Il diritto comunitario
La Direttiva 95/46/CE del Parlamento mira da un lato a garantire la tutela delle libertà e dei diritti fondamentali delle persone fisiche, segnatamente la loro vita privata, con riguardo al trattamento dei dati a carattere personale, e dall'altro a garantire la libera circolazione dei dati a carattere personale fra gli Stati membri.
Con decisione della Commissione, del 26 luglio 200020, l'Unione europea ha classificato la Svizzera fra gli Stati terzi che offrono un livello di protezione dei dati adeguato ai fini dell'articolo 25 paragrafo 2 della Direttiva 95/46/CE, attestando così che, nell'insieme, la legislazione svizzera offre un livello di protezione pressoché equivalente a quello della Direttiva 95/46/CE. Ciononostante la LPD non è compatibile in ogni punto con tale Direttiva.
Sarebbe tuttavia prematuro avviare una revisione totale della LPD con lo scopo dichiarato di renderla compatibile con il diritto comunitario (cfr. n. 1.2.1). Nondimeno il disegno ravvicina il diritto svizzero a quello comunitario in vari punti. Introducendo l'obbligo di informare quando si raccolgono dati personali degni di particolare protezione o profili della personalità (art. 7a) e ponendo come condizione negli altri casi che la raccolta sia riconoscibile da parte della persona interessata (art. 4 cpv. 4), il disegno soddisfa in parte le esigenze degli articoli 10 e 11 della Direttiva 95/46/CE. Per quanto riguarda il consenso, l'articolo 4 capoverso 5 del disegno definisce in modo analogo alla Direttiva 95/46/CE le condizioni da adempire affinché il consenso possa essere considerato valido.
L'articolo 7b, senza andare altrettanto lontano quanto la Direttiva 95/46/CE, prevede il diritto per le persone interessate di non essere sottoposte a decisioni prese unicamente in base a un trattamento automatizzato di dati e permetterà almeno di garantire che la persona interessata sia debitamente informata del modo mediante il quale è stata presa la decisione. Infine il disegno prevede di conferire all'Incaricato il diritto di ricorrere contro le decisioni dei Dipartimenti e della Cancelleria federale (art. 27 cpv. 6). La Direttiva 95/46/CE prevede infatti che ogni autorità di controllo debba disporre della facoltà di stare in giudizio o di portare a conoscenza della competente autorità giudiziaria le violazioni alle disposizioni del diritto interno. Anche il
20
Pubblicata nella GUCE n. L 215 del 25 agosto 2000, pag. 1
1900
Protocollo aggiuntivo alla Convenzione STE n. 10821 contempla un'esigenza analoga (cfr. n. 1.2.3.1.2).
In diversi punti il disegno non va altrettanto lontano quanto la Direttiva 95/46/CE.
In particolare quest'ultima vieta per principio il trattamento di dati personali degni di particolare protezione come quelli concernenti l'origine razziale, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale nonché i dati concernenti la salute e la vita sessuale; questo principio non è tuttavia assoluto in quanto è previsto un certo numero di eccezioni. Nel diritto svizzero tali dati sono considerati dati personali degni di particolare protezione e pertanto beneficiano di una protezione speciale. Così la comunicazione a terzi di dati personali degni di particolare protezione o di profili della personalità deve fondarsi su uno dei motivi giustificativi enunciati all'articolo 13 LPD (cfr. art. 12 cpv. 2 lett. c LPD). L'obbligo di informare in merito a questo tipo di dati, che figura all'articolo 7a del disegno, dovrebbe avere un effetto dissuasivo sui detentori di collezioni di dati, che non avranno interesse a raccogliere questo genere di dati se non sono strettamente indispensabili all'adempimento dei loro compiti. Un altro punto riguarda l'obbligo previsto dalla Direttiva 95/46/CE secondo il quale, prima di predisporre un trattamento completamente o parzialmente automatizzato, il responsabile del trattamento deve notificare il fatto all'autorità di controllo. Nel diritto svizzero, l'obbligo posto alle persone private che trattano dati di notificare le collezioni all'Incaricato è più limitato rispetto a quanto previsto dalla Direttiva 95/46/CE. Anche se il disegno prevede alcuni adattamenti, questi non vanno così lontano come l'obbligo di notifica della Direttiva 95/46/CE. Diversamente dal diritto svizzero, la Direttiva 95/46/CE prevede che la persona interessata può opporsi al trattamento dei dati che la riguardano effettuato per scopi di ricerca di mercato.
1.2.3.3
Confronto internazionale
1.2.3.3.1
Italia
In virtù della legge n. 675 del 31 dicembre 1996, le persone interessate devono essere previamente informate, oralmente o per scritto, al momento di ogni raccolta di dati, sulle finalità e modalità del trattamento cui sono destinati i dati, sulla natura obbligatoria o facoltativa del trattamento dei dati, sulle conseguenze di un eventuale rifiuto di rispondere, sui soggetti o categorie di soggetti ai quali i dati possono essere comunicati, sui diritti in materia di informazione e accesso, sul nome e la ragione sociale del titolare del trattamento e, se designato, del responsabile.
La legge italiana pone come principio per il trattamento di dati da parte delle persone private o degli enti pubblici il consenso espresso della persona interessata, ma prevede un certo numero di eccezioni. La persona interessata ha il diritto di opporsi, per motivi legittimi, al trattamento dei dati che la riguardano così come il diritto di opporsi, senza dover invocare nessun motivo, a qualsiasi trattamento di dati effettuato a scopi commerciali o di ricerca di mercato.
L'organo di controllo («il Garante») è un collegio composto di quattro membri, eletti due dalla Camera dei deputati e due dal Senato della Repubblica. Gode di 21
RS 0.235.1
1901
uno statuto di autonomia. Ha in particolare i compiti di tenere un registro delle collezioni di dati, controllare l'applicazione delle norme di legge, segnalare ai relativi titolari o responsabili le modificazioni opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, pronunciarsi sui ricorsi presentanti dalle persone interessate, denunciare i fatti configurabili come reati perseguibili d'ufficio e vietare i trattamenti suscettibili, in ragione di un rischio concreto, di causare un pregiudizio rilevante a una o più persone interessate. Può anche pronunciare sanzioni.
1.2.3.3.2
Germania
Il 7 aprile 2001, il Bundestag ha sottoposto a revisione la sua legge al fine di concretare la Direttiva 95/46/CE. La revisione mira soprattutto a migliorare la trasparenza nei confronti delle persone interessate. Quando dati sono raccolti senza che la persona interessata ne abbia conoscenza, il responsabile del trattamento deve informare detta persona della registrazione dei dati, della finalità della raccolta o del trattamento e dell'identità del responsabile del trattamento nonché, nel settore privato, della categoria dei dati raccolti. Salvo quando, conto tenuto delle circostanze, la persona interessata debba aspettarsi che i dati saranno comunicati a terzi, il responsabile del trattamento deve informare la persona interessata anche delle categorie di destinatari ai quali i dati saranno comunicati. Inoltre le decisioni che comportano effetti giuridici per la persona interessata o che la ledono in misura rilevante non possono fondarsi esclusivamente su un trattamento automatizzato di dati che permette di valutare taluni aspetti dalla sua personalità.
1.2.3.3.3
Austria
La legge sulla protezione dei dati 2000 impone al responsabile del trattamento un dovere d'informazione della persona interessata al momento della raccolta di dati.
Tale dovere d'informazione è più o meno esteso a seconda delle circostanze. Il responsabile del trattamento deve almeno fornire informazioni sulla finalità del trattamento e sulla propria identità. Quando il principio della buona fede lo esige, devono essere fornite anche altre informazioni tenendo conto delle circostanze. Inoltre nessuno può essere sottoposto agli effetti di una decisione presa sulla sola base di un trattamento automatizzato di dati che permette di valutare determinati aspetti dalla sua personalità, come il suo rendimento lavorativo, il suo credito, la sua affidabilità o il suo comportamento.
La legge istituisce una commissione («Datenschutzkommission») e un consiglio («Datenschutzrat») della protezione dei dati. La commissione è composta di sei membri che esercitano le loro funzioni in completa autonomia. Ogni trattamento deve essere previamente notificato alla commissione che lo iscrive in un registro.
Chiunque si lamenta di una violazione dei suoi diritti può rivolgersi alla commissione che ha il diritto di indagare se ha ragioni per presumere l'esistenza di una violazione della legge. La commissione può emettere raccomandazioni. Se queste non sono seguite, la commissione può, a seconda della natura della violazione, presentare querela, agire davanti ai tribunali civili o rivolgersi all'istanza superiore. La commissione può inoltre essere adita dalle persone interessate in caso di violazione dell'obbligo di informare al momento della raccolta.
1902
1.2.3.3.4
Francia
La Francia non ha ancora trasposto la Direttiva 95/46/CE. La legge attuale (legge 78/17) è del 6 gennaio 1978. Un progetto che mira a trasporre la Direttiva 95/46/CE è pendente presso il Parlamento.
La legge 78/17 istituisce una Commissione nazionale dell'informatica e delle libertà (CNIL) incaricata di vigilare sul rispetto delle disposizioni della legge. La CNIL è un'autorità amministrativa indipendente che espleta un'attività normativa. È composta di diciassette membri. La CNIL ha i compiti di registrare le collezioni di dati, effettuare controlli in loco, emanare norme semplificate in modo che i trattamenti più usuali e meno pericolosi siano oggetto di formalità semplificate, di garantire il diritto d'accesso, di istruire le querele privilegiando le composizioni in via amichevole, di informare e di consigliare.
Ogni persona fisica ha il diritto di opporsi, per ragioni legittime, al trattamento dei dati personali che la riguardano. Eccezioni possono essere previste per la via di un atto normativo.
Le persone presso le quali sono raccolti dati personali devono essere informate del carattere obbligatorio o facoltativo delle loro risposte, delle conseguenze di un loro rifiuto di rispondere, delle persone fisiche o giuridiche destinatarie delle informazioni e dell'esistenza di un diritto d'accesso e di rettificazione. Se i dati sono raccolti per il tramite di questionari, questi ultimi devono menzionare le prescrizioni di cui sopra. Inoltre nessuna decisione giuridica comportante una valutazione di un comportamento umano può fondarsi su un trattamento automatizzato di dati che danno una definizione del profilo o della personalità della persona interessata.
1.2.3.3.5
Gran Bretagna
La persona interessata può opporsi, mediante semplice dichiarazione scritta indirizzata al responsabile del trattamento, al fatto che dati personali che la riguardano siano trattati per uno scopo commerciale e al fatto che una decisione che la lede sia presa sulla sola base di un trattamento automatizzato di dati che permette di valutare determinati aspetti dalla sua personalità, come il suo credito, la sua affidabilità, il suo comportamento o il suo rendimento lavorativo. La persona interessata può inoltre opporsi, mediante semplice dichiarazione scritta e invocando ragioni specifiche, a qualsiasi trattamento suscettibile di causarle un pregiudizio rilevante. Il trattamento di dati personali degni di particolare protezione è subordinato al consenso della persona interessata. Di norma nessun trattamento può essere effettuato se non è previamente stato notificato dal responsabile del trattamento all'organo di controllo perché questi lo iscriva nel registro delle collezioni di dati. Al momento della raccolta e sempreché ciò sia possibile, la persona interessata deve essere informata dell'identità del responsabile del trattamento e del suo rappresentante, della finalità del trattamento e di qualsiasi altro fatto necessario che permetta di garantire un trattamento dei dati conforme alla buona fede («to enable processing to be fair»).
L'organo di controllo («Information Commissioner») svolge mansioni d'informazione e di consulenza. Può emanare codici di comportamento. D'ufficio o a querela di parte, può pronunciare un'ingiunzione («enforcement notice») nei confronti di 1903
chiunque abbia contravvenuto ai principi della protezione dei dati. Il fatto di non dar seguito a un'ingiunzione costituisce reato.
1.2.4
Relazione con altri progetti di legge
Attualmente è in elaborazione22 una legge federale sulla trasparenza dell'amministrazione (legge sulla trasparenza). Questa legge istituisce un diritto generale di accesso ai documenti ufficiali. In virtù di questo nuovo atto legislativo si dovranno adattare in modo puntuale alcune disposizioni della LPD per assicurare il coordinamento tra protezione dei dati e accesso all'informazione. Si tratta in particolare di un completamento dell'articolo 19 LPD con il quale si permette in via eccezionale all'autorità di accedere, a determinate condizioni, a documenti ufficiali che contengono dati personali. Inoltre si prevede di creare anche una base legale che consente alle autorità, nell'ambito della loro attività di informazione, di pubblicare su Internet documenti che oltre ad altre informazioni comprendono anche dati personali (p. es.
rapporti che contengono singoli nomi o indirizzi), Per assicurare il coordinamento delle disposizioni procedurali previste nella legge sulla trasparenza con le procedure secondo la LPD dovranno essere adattate ulteriori disposizioni.
Le modifiche della legge sulla protezione dei dati rese necessarie dalla legge sulla trasparenza sono state armonizzate con il presente disegno nell'ambito della procedura legislativa preliminare. Per motivi di coerenza materiale non saranno tuttavia sottoposte al Parlamento nell'ambito della presente revisione parziale, bensì unitamente al disegno di legge sulla trasparenza.
1.2.5
Procedura di consultazione e relativi risultati
Tra settembre 2001 e gennaio 2002 ha avuto luogo la procedura di consultazione concernente la revisione parziale della legge federale sulla protezione dei dati e il protocollo aggiuntivo alla Convenzione STE n. 10823.
Gli obiettivi principali della riforma, in particolari quelli della mozione «Maggiore trasparenza» sono ampiamente condivisi. Sedici Cantoni, cinque partiti politici (PLR, Giovani Liberali Radicali, PLS, PS e UDC) e quattordici organizzazioni hanno approvato in linea di principio la prevista revisione parziale della LPD. Le proposte di revisione sono invece complessivamente o sostanzialmente respinte da sedici organizzazioni dell'economia. Si teme che le innovazioni proposte comportino un onere lavorativo sproporzionato e complicazioni nella prassi. Pareri contrastanti invece per quanto riguarda la questione relativa alla necessità di riformare ulteriori aspetti della protezione dei dati. Per diversi partecipanti alla procedura di consultazione tra cui anche alcuni Cantoni la prevista revisione parziale rappresenta una soluzione minima, per altri la revisione sarebbe da limitare esclusivamente alle questioni sollevate dalle due mozioni.
22 23
Cfr. il messaggio del 12 febbraio 2003 concernente la legge federale sulla trasparenza dell'amministrazione.
RS 0235.1
1904
Ampiamente approvata l'introduzione del diritto di ricorrere dell'Incaricato, il miglioramento della posizione della persona che vuole opporsi all'elaborazione dei dati che la concernono e la determinazione di standard minimi per le prescrizioni cantonali in materia di protezione dei dati.
Giudizi critici per quanto riguarda l'allentamento della prescrizione secondo cui per il trattamento dei dati personali da parte di organi federali debba esservi una base legale formale. Controverse le opinioni anche sull'abrogazione dell'obbligo per i privati di notificare le collezioni di dati nonché sulla competenza dell'Incaricato di svolgere controlli presso i Cantoni quando i dati sono trattati da autorità federali e cantonali.
Pochi pareri discordanti invece relativamente alla firma del Protocollo aggiuntivo alla Convenzione STE n. 10824.
1.2.6
Le modifiche più importanti rispetto all'avamprogetto sottoposto a consultazione
Il presente disegno è stato rivisto, in seguito alla procedura di consultazione, nei punti seguenti:
il trasferimento di dati a una società estera che appartiene allo stesso Gruppo e si trova in un Paese che non dispone di una legislazione in materia di protezione di dati che assicuri un livello di protezione adeguato è semplificato a determinante condizioni (art. 6 cpv. 2 lett. g);
è proposta l'introduzione di una disposizione concernente la procedura di certificazione (marchio di qualità inerente alla protezione di dati) (art. 11);
l'obbligo di notifica per le collezioni di dati è mantenuto in forma adattata (art. 11a);
le condizioni da soddisfare per autorizzare il trattamento automatizzato dei dati degni di particolare protezione e dei profili della personalità prima dell'entrata in vigore di una legge in senso formale sono modificate (art. 17a);
la competenza dell'Incaricato di svolgere controlli presso gli organi cantonali se essi trattano dati con organi federali è cancellata.
1.3
Attuazione
Nel settore del diritto pubblico non sono necessari almeno per le autorità federali misure di attuazione importanti. Anche per quanto riguarda l'attuazione della revisione parziale nel settore del diritto privato non sono necessari provvedimenti speciali. Spetta ai detentori privati di collezioni di dati intraprendere i passi necessari in particolare per soddisfare i nuovi obblighi di informazione. Nel settore del diritto privato l'attuazione è controllata dall'Incaricato nell'ambito delle sue competenze secondo l'articolo 29 LPD.
24
RS 0235.1
1905
La promozione degli aspetti di autoregolamentazione auspicata dal disegno, in particolare la certificazione, costituirà uno stimolo per i detentori di collezioni di dati a conformarsi alla revisione parziale e alla legislazione in materia di protezione dei dati. Inoltre il fatto che sarà più semplice per la persona interessata usufruire di diritti contribuirà a fare in modo che i detentori privati di collezioni di dati abbiano un interesse a osservare le esigenze supplementari create con la revisione parziale.
Le legislazioni cantonali dovranno essere adattate nella misura in cui non hanno ancora un livello di protezione adeguato.
1.4
Stralcio di interventi parlamentari
Con il presente disegno di legge si possono togliere di ruolo la mozione 00.3000 del 28 gennaio 2000 («Maggiore trasparenza nella raccolta di dati personali») della Commissione degli affari giuridici del Consiglio degli Stati e la mozione 98.3529 del 17 novembre 1998 («Collegamenti online. Rafforzare la protezione dei dati personali») della Commissione di gestione del Consiglio degli Stati (cfr. n. 1.1.2).
2
Parte speciale
2.1
Art. 2
Campo d'applicazione
Non è giustificato trattare il Comitato internazionale della Croce Rossa in modo diverso dalle altre organizzazioni internazionali site sul territorio della Confederazione con le quali è stato concluso un accordo di sede. Infatti le organizzazioni internazionali, in quanto soggetti di diritto internazionale pubblico, non possono essere assoggettate senz'altro al diritto svizzero. Escludendo esplicitamente dal campo d'applicazione della legge le organizzazioni internazionali, il disegno di legge è più vicino alla realtà. Essendo assimilato a un'organizzazione internazionale25, il Comitato internazionale della Croce Rossa è evidentemente coperto da tale eccezione.
L'articolo 3 paragrafo 2 lettera a della Convenzione STE n. 10826 regola la possibilità per gli Stati membri di escludere dal campo di applicazione della Convenzione certe collezioni di dati non soggette nel diritto interno alle disposizioni in materia di protezione dei dati. La Svizzera ha fatto uso di questa possibilità e ha trasmesso una simile dichiarazione in occasione del deposito dello strumento di ratifica della Convenzione STE n. 108, il 2 ottobre 1997. La modifica dell'articolo 2 paragrafo 2 lettera e esigerà una nuova dichiarazione della Svizzera che notificherà l'aggiunta delle collezioni di dati sulla lista delle collezioni che fuoriescono dal campo d'applicazione della Convenzione STE n. 108.
25 26
FF 1988 II 353 segg.; cfr. anche U. Maurer / N. P. Vogt, Kommentar zum Schweizerischen Datenschutzgesetz, ad art. 2 cpv. 2 lett. e & 58 segg.
RS 0.235.1
1906
2.2
Art. 3
Definizioni
La lettera j diviene ora la lettera i mancante del testo tedesco; l'attuale lettera k diventa la lettera j. Il numero 1 è adattato alla nuova Costituzione federale del 18 aprile 199927 (Cost.) che, agli articoli 163 capoverso 1 e 164 prevede unicamente due forme per gli atti emanati dall'Assemblea federale che contengono norme di diritto, vale a dire la legge federale e l'ordinanza. Il numero 2 resta invariato.
2.3
Art. 4
Principi
La liceità del trattamento (cpv. 1) L'attuale formulazione dell'articolo 4 capoverso 1 LPD non è del tutto conforme all'articolo 5 lettera a della Convenzione STE n. 10828. Non è unicamente la raccolta che deve essere lecita, ma anche ogni trattamento.
Il carattere riconoscibile della raccolta (cpv. 4) L'articolo 4 capoverso 4 del disegno contribuisce alla realizzazione della mozione «Maggiore trasparenza». Sancisce il principio secondo il quale la raccolta deve essere riconoscibile da parte della persona interessata, segnatamente per quanto attiene alle sue finalità. Questo principio generale è completato da un obbligo di informare più circostanziato di cui all'articolo 7a concernente i dati personali degni di particolare protezione e i profili della personalità.
L'applicazione dell'obbligo di informare, previsto dall'articolo 7a, alla raccolta di tutti i dati personali non è stata accettata benché sia più conforme al diritto comunitario e segnatamente alle raccomandazioni del Consiglio d'Europa. Anche l'Incaricato sarebbe stato favorevole a una tale applicazione. Tuttavia, in seno al gruppo di lavoro che ha partecipato all'elaborazione dell'avamprogetto è stato espresso il timore che una tale applicazione avrebbe costituito un onere eccessivo per i detentori di collezioni di dati. Ecco perché si è ritenuto preferibile, come d'altronde chiede la mozione, limitare l'obbligo di informare in quanto tale al trattamento dei dati personali degni di particolare protezione e dei profili della personalità, accontentandosi per il resto che la raccolta sia riconoscibile. L'articolo 4 capoverso 4 del presente disegno è dunque, sul piano della trasparenza, un miglioramento rispetto alla situazione attuale, senza tuttavia andare così lontano come l'articolo 7a. L'esigenza del carattere riconoscibile della raccolta è già previsto per gli organi federali dall'articolo 18 capoverso 2 LPD; è semplicemente estesa alle persone private. È inoltre opportuno rilevare che talune imprese hanno già preso provvedimenti che permettono loro di considerare le maggiori necessità in materia di trasparenza dei trattamenti e che il fatto di essere il più trasparenti possibile al momento della raccolta di dati personali è nel loro proprio interesse, se intendono assicurarsi la fiducia dei consumatori. In tale contesto, le esigenze
in materia di trasparenza poste dal disegno rappresentano il minimo indispensabile. Le imprese sono libere di andare oltre e di applicare a tutti i dati personali l'obbligo di informare di cui all'articolo 7a del disegno.
27 28
RS 101 RS 0.235.1
1907
Per quanto riguarda il carattere «riconoscibile» della raccolta, le esigenze saranno valutate a seconda delle circostanze, in base ai principi della buona fede e della proporzionalità (art. 4 cpv. 2 LPD). Sarà dunque la prassi a sviluppare criteri adeguati a ciascun caso. Si tratterà in particolare di esaminare se, in una situazione data, la buona fede esige che il detentore della collezione di dati attiri l'attenzione della persona interessata, non soltanto sull'esistenza della raccolta, ma anche su alcuni dei suoi elementi determinanti, come la sua finalità, l'identità del detentore della collezione di dati o le categorie di destinatari dei dati qualora si pensi a una loro comunicazione. In certi casi, può anche essere giustificato di attirare l'attenzione della persona interessata sul carattere obbligatorio o facoltativo delle domande poste nonché sulle conseguenze di un rifiuto di rispondere.
Tuttavia si deve osservare che in altre situazioni l'informazione potrà essere meno attiva. In effetti il carattere riconoscibile della collezione può risultare dalle circostanze.
Esempi:
Se, in caso di richiesta di una carta di cliente per una ditta si devono indicare dati personali è per principio chiaro che la ditta può utilizzare i dati per l'invio di pubblicità. Tuttavia se l'uso della carta permette di raccogliere dati sulle abitudini del cliente, per allestire profili dei consumatori o vendere a terzi, i clienti devono essere adeguatamente informati (p. es. mediante una corrispondente osservazione sul modulo di richiesta della carta).
Se invece quando si prenota la camera d'albergo si devono indicare dati concernenti la prenotazione (indirizzo, numero di pernottamenti, numero della carta di credito ecc.) non deve aver luogo nessuna informazione particolare (a condizione che l'albergo non comunichi questi dati a terzi) perché la richiesta dei dati e lo scopo sono riconoscibili dalle circostanze.
Più una transazione è complessa e duratura, più le esigenze relative al carattere riconoscibile della raccolta saranno elevate. Si tratterà parimenti di esaminare, considerando il principio della proporzionalità, in che misura occorra o non attirare l'attenzione della persona interessata sulle condizioni quadro della raccolta, quali sono i mezzi a disposizione del detentore della collezione di dati per rendere tali condizioni quadro riconoscibili e in quale misura ci si può attendere da questi che utilizzi tali mezzi, considerando segnatamente il loro costo e la loro efficacia. Gli usi in vigore nel settore o per il genere di transazione in questione dovranno parimenti essere considerati. Per le transazioni semplici della vita quotidiana, le cui circostanze sono tali che la raccolta, la sua finalità e l'identità del detentore della collezione di dati sono di primo acchito facilmente e chiaramente riconoscibili da parte della persona interessata, l'articolo 4 capoverso 4 non comporterà alcun nuovo obbligo per il detentore della collezione di dati. Si può pertanto ammettere che, per la maggior parte delle transazioni usuali, l'applicazione dell'articolo 4 capoverso 4 non porrà problemi particolari. Per contro, meno le circostanze della raccolta la rendono riconoscibile, più sarà necessario attirare l'attenzione della persona interessata, mediante mezzi appropriati, sull'esistenza della raccolta e sui suoi elementi determinanti. Nel caso di un sondaggio telefonico, per esempio, un'informazione data verbalmente sulle finalità della raccolta dei dati, sulla loro utilizzazione e sull'identità del detentore della collezione di dati può bastare. Su un sito internet, l'indicazione sulla home page di un rubrica sufficientemente visibile che rinvia a informazioni riguardanti la raccolta e l'utilizzazione dei dati costituisce, nella maggior parte dei casi, un mezzo semplice e adeguato per attirare l'attenzione della persona interessata. Altri mezzi, 1908
come la menzione su un modulo di un avviso che informa la persona interessata che, salvo opposizione da parte sua, i dati saranno comunicati a terzi a scopo di ricerca di mercato o per altri scopi può perfettamente adempire lo scopo senza rappresentare un onere sproporzionato per il detentore della collezione di dati. Quando la raccolta è facoltativa, una clausola che permette alla persona interessata di esprimere il proprio consenso anche se quest'ultimo non è formalmente richiesto dalla legge, consentirà in numerosi casi di evitare qualsiasi problema visto che il detentore della collezione di dati sarà sicuro che la raccolta è riconoscibile e che la persona interessata non intende opporsi.
Anche la raccolta di dati personali presso un terzo deve essere per principio riconoscibile per la persona interessata.
La trasparenza richiesta dall'articolo 4 capoverso 4, completata da un obbligo di informare più esteso concernente i dati personali degni di particolare protezione e i profili della personalità previsto dall'articolo 7a, conferisce nel contempo una nuova dimensione al diritto di opporsi al trattamento, di cui all'articolo 12 capoverso 2 lettera b LPD. Infatti, fintanto che le persone interessate non erano a conoscenza né dell'esistenza di una raccolta di dati, né dei suoi elementi determinanti, il diritto di opporsi al trattamento era in larga misura teorico. La trasparenza della raccolta e l'informazione della persona interessata costituiscono, sotto questo punto di vista, la chiave di volta di tutto il sistema di protezione dei dati.
Va da sé che il principio del carattere riconoscibile della raccolta dei dati non è applicabile quando, per legge, le autorità possono raccogliere dati all'insaputa della persona interessata (a titolo di es. si può citare l'art. 14 della legge federale del 21 marzo sulle misure per la salvaguardia della sicurezza interna29).
Le condizioni del consenso (cpv. 5) Occorre rilevare che l'articolo 4 capoverso 5 non modifica il diritto vigente, ma chiarisce la nozione di «consenso».
L'esigenza del consenso, come condizione al trattamento dei dati, ricorre a più riprese nella LPD (art. 13 cpv. 1, art. 17 cpv. 2 lett. c) e nel disegno (art. 6 cpv. 2 lett. b). La nozione di «consenso» ha una grande rilevanza nella pratica perché è uno dei motivi giustificativi più
spesso invocati dalle persone private. Ecco perché l'articolo 4 capoverso 5 prevede di chiarire la nozione ispirandosi alla giurisprudenza.
Il capoverso 5 definisce a quali condizioni il consenso dato va considerato valido.
Non si tratta dunque né di fare del consenso una condizione preliminare per qualsiasi trattamento di dati, né di introdurre nuove esigenze rispetto al diritto vigente. La nozione di consenso valido si ispira alla nozione di «consenso del paziente debitamente informato»30, nel senso in cui la persona interessata deve disporre di tutti gli elementi del caso particolare, che le permettono di prendere liberamente la sua decisione. Il termine «liberamente» corrisponde a quello adottato dal diritto comunitario.
Ciò significa in particolare che la persona interessata deve essere informata delle conseguenze negative o degli svantaggi che potrebbero risultare da un rifiuto. Il fatto che un rifiuto comporti uno svantaggio per la persona interessata non intacca la va29 30
RS 120 Cfr. segnatamente DTF 117 Ib 197, 114 Ia 350 c. 6, 119 II 456.
1909
lidità stessa del consenso, salvo se lo svantaggio è senza rapporto con lo scopo del trattamento oppure se è sproporzionato rispetto a quest'ultimo. Pertanto la persona che consente al trattamento di dati personali che la riguardano per permettere a un istituto finanziario di valutare il suo credito in vista dell'ottenimento di una carta di credito, consente liberamente anche se sa che un rifiuto la priverebbe della possibilità di ricevere una tale carta. In una tale situazione, lo svantaggio che risulta dal non-consenso è infatti adeguato rispetto allo scopo del trattamento. Al contrario, il lavoratore costretto a dare il suo consenso, sotto la minaccia del licenziamento, a un trattamento di dati che non è necessario all'esecuzione del contratto di lavoro, non è in grado di dare liberamente il suo consenso. Infatti, in tale caso, lo svantaggio risultante dal rifiuto del consenso sarebbe palesemente sproporzionato.
Il consenso non sottostà a particolari regole sulla forma; può inoltre essere implicito o risultare da comportamenti concludenti, salvo quando si tratta di dati personali degni di particolare protezione o di profili della personalità. Conformemente al principio della proporzionalità, si ritiene già oggi che più i dati sono degni di particolare protezione, più il consenso deve essere chiaro31.
2.4
Art. 6
Comunicazione di dati all'estero
L'obbligo di notificare all'Incaricato la comunicazione di dati all'estero non si è dimostrato efficace nella pratica. Poche imprese effettuano spontaneamente la notifica e l'Incaricato non dispone dei mezzi necessari, e soprattutto di personale, per procedere a controlli. Questa è una delle ragioni per cui il disegno propone di sostituire l'obbligo di notifica con un dovere di diligenza al quale sarebbero assoggettati gli organi federali e le persone private che trasmettono dati all'estero.
Capoversi 1 e 2 Anche se l'articolo 6 capoverso 1 chiede ora quale condizione di principio per una comunicazione di dati all'estero conforme alla legge che la legislazione nel Paese destinatario assicuri un livello di protezione adeguato ciò non significa nel risultato che rispetto al diritto vigente in cui si esige una protezione dei dati equivalente a quella in Svizzera le esigenze siano state rese più severe. Il capoverso 2 della disposizione contiene in effetti la lista delle condizioni alternative che autorizzano la comunicazione di dati all'estero, cosa che il diritto attuale non fa. In questo modo il disegno di legge evidenzia le diverse possibilità di garantire una comunicazione conforme alla legge e lascia ai detentori delle collezioni di dati la libertà di scegliere i mezzi. Contrariamente alla legislazione in vigore che si avvale della nozione di «trasmissione», il disegno di legge utilizza il termine di «comunicazione»; non si tratta di una modifica materiale, bensì di una mera applicazione del concetto di terminologia definito dall'articolo 3.
Per «livello di protezione adeguato», si intende un livello di protezione che soddisfa le esigenze della Convenzione STE n. 10832; inoltre si deve anche tenere conto nella
31 32
L. Brühwiler-Frésey, Medizinischer Behandlungsvertrag und Datenrecht, Zurigo, 1996, pag. 87 RS 0.235.1
1910
misura del possibile del modo in cui è applicata la legge estera. L'Incaricato tiene una lista degli Stati che soddisfano le condizioni.
Le persone private e gli organi federali che trasmettono dati all'estero dovranno accertarsi, mediante provvedimenti appropriati, che la trasmissione dei dati non costituisca una grave minaccia alla personalità delle persone. L'articolo 6 istituisce una protezione analoga a quella prevista dalla Direttiva 95/46/CE. Permette parimenti di rendere il diritto svizzero conforme al Protocollo aggiuntivo alla Convenzione STE n. 10833 (cfr. n. 1.2.3.1.2).
Secondo l'articolo 6 capoverso 2 lettera a una comunicazione all'estero è autorizzata nonostante l'assenza di una legislazione estera che assicuri un livello di protezione adeguato se vi sono garanzie sufficienti. Tali garanzie possono risultare, per esempio, da un codice di condotta cioè da un insieme di regole alle quali le persone private possono sottoporsi volontariamente come il «Safe Harbor Privacy Framework», elaborato tra la Commissione europea e gli Stati Uniti d'America34. Chi trasmette dati all'estero dispone di un ampio margine di manovra, ma deve rispondere di eventuali pregiudizi causati dalla non osservanza del dovere di diligenza. Di norma incombe a colui che trasmette dati all'estero dimostrare di aver preso tutti i provvedimenti necessari per accertarsi che vi sia un livello di protezione adeguato.
Il capoverso 2 autorizza, a determinate condizioni, flussi internazionali di dati che non adempiono le esigenze del capoverso 1. Le condizioni di cui alle lettere af riprendono in parte i motivi giustificativi dell'articolo 13 capoversi 1 e 2. Contrariamente agli interessi preponderanti menzionati all'articolo 13 capoverso 2, l'enumerazione delle condizioni figurante all'articolo 6 capoverso 2 è esaustiva. Occorre rilevare che si tratta esclusivamente di condizioni alternative.
Il capoverso 2 lettera b si applica a una situazione concreta extracontrattuale. La nozione «nel caso specifico» deve essere interpretata ampiamente, nel senso che non mira forzatamente a ogni operazione di comunicazione, ma può al contrario riferirsi a tutte le comunicazioni. A titolo di esempio, la comunicazione di protocolli tenuti da persone che compongono un gruppo di lavoro che si trovano in differenti Paesi è autorizzata
senza che occorra chiedere il consenso di tutte le persone interessate, per la comunicazione di ogni documento.
Nell'ambito di una relazione contrattuale, il capoverso 2 lettera c prescrive che dati possono essere comunicati all'estero se il trattamento è in relazione diretta con la conclusione o l'esecuzione di un contratto e i dati trattati concernono l'altro contraente. Occorre osservare che questa disposizione troverà applicazione unicamente se la comunicazione all'estero dei dati personali è indispensabile per la conclusione o l'esecuzione di un contratto.
Il capoverso 2 lettera e autorizza la comunicazione di dati all'estero se la comunicazione è necessaria nel caso specifico alla salvaguardia della vita o dell'incolumità fisica della persona interessata. Ai sensi di questa disposizione, una comunicazione è autorizzata unicamente se tende a proteggere un interesse essenziale per la vita della persona interessata. La lettera e considera dunque la situazione in cui la persona interessata non è in grado di far valere i propri interessi e si può presumere che avrebbe dato il suo accordo a una simile comunicazione. La nozione di «salvaguardia 33 34
RS 0235.1 http://www.export.gov/safeharbor/sh.documents.html
1911
della vita o di incolumità fisica» corrisponde a quella di «salvaguardia dell'interesse vitale» adottato dal diritto comunitario (art. 26 par. 1 lett. e e par. 7 lett. d della Direttiva 95/46/CE).
Il capoverso 2 lettera g prescrive che i dati personali possono essere comunicati all'estero quando la comunicazione ha luogo tra persone giuridiche riunite sotto una direzione unica e sottoposte a regole uniformi sulla protezione di dati che assicurano un livello di protezione adeguato. La nozione di «gruppo di società» corrisponde a quella dell'articolo 663e capoverso 1 del Codice delle obbligazioni35. Con questa disposizione si tiene parzialmente conto dell'esigenza formulata nell'ambito della procedura di consultazione di una regolamentazione speciale per il trasferimento di dati all'interno di un gruppo di società.
Capoverso 3 A livello europeo risulta dall'articolo 2 paragrafo 2 lettera b del Protocollo che l'autorità competente deve poter esaminare se le misure sono adeguate quando la legislazione dello Stato destinatario non offre tale protezione. Per questo motivo la presente revisione prevede l'obbligo di informazione.
Conformemente all'articolo 6 capoverso 3 il detentore della collezione di dati deve informare l'Incaricato sulle garanzie prese secondo l'articolo 6 capoverso 2 lettera a.
In nessun caso vi è automaticamente un obbligo di informazione per ogni singola comunicazione (p. es. lettere, e-mail), come temevano alcuni partecipanti alla procedura di consultazione. Parimenti l'Incaricato deve essere informato sulle regole di protezione dei dati applicate se in virtù dell'articolo 6 capoverso 2 lettera g le comunicazioni di dati all'estero hanno luogo con la società di un gruppo di che si trova in un Paese in cui manca una legislazione che assicuri un livello di protezione adeguato.
L'ordinanza del Consiglio federale preciserà in caso di bisogno in quale momento questa informazione deve essere fornita e in che modo. Anche la portata dell'obbligo di informazione dovrà essere precisata nell'ordinanza. Si potrebbe ad esempio prevedere che basti un'unica informazione se una ditta ha adottato regole generali e vincolanti per la comunicazione o se vengono utilizzate determinate clausole contrattuali standardizzate36. Nell'ambito della comunicazione di dati tra le società di un gruppo basterà
un'unica informazione sulle regole di protezione dei dati vincolanti per le società interessate. Si dovrà fare in modo di configurare nel modo più semplice possibile la procedura dell'informazione; si può ad esempio pensare ad un'informazione dell'Incaricato tramite Internet.
L'Incaricato potrà, nell'ambito dei poteri d'indagine di cui dispone, stabilire se le garanzie fornite sono sufficienti (cfr. art. 29 cpv. 1 lett. d).
35 36
RS 220 Cfr. p. es. le clausole contrattuali standard approvate dalla Commissione europea; decisione 2001/497/CE del 15 giugno 2001, GU CE L 181 del 4 luglio 2001, pag. 19 segg. e decisione 2002/16/CE del 27 dicembre 2001, GU CE L 6 del 10 gennaio 2002, pag. 52 segg.
1912
2.5
Art. 7a
Obbligo di informare nell'ambito della raccolta di dati personali degni di particolare protezione e di profili della personalità
L'articolo 7a prevede l'obbligo per chi raccoglie dati personali degni di particolare protezione o profili della personalità di informare la persona interessata. L'informazione deve avvenire d'ufficio, fatto questo che distingue l'articolo 7a dal diritto d'accesso di cui all'articolo 8. L'articolo 9 consente di rifiutare l'informazione, di limitarla o differirla qualora un interesse pubblico o privato preponderante lo esiga.
L'articolo 7a va oltre l'articolo 4 capoverso 4 relativo al principio della riconoscibilità, in quanto sancisce un vero e proprio obbligo di informare. Si fonda sulla mozione «Maggiore trasparenza». Per i dati personali degni di particolare protezione e per i profili della personalità una maggiore tutela è giustificata dal fatto che il loro trattamento può portare a discriminazioni. Sotto questo punto di vista, l'articolo 7a dovrebbe avere indirettamente un effetto preventivo: infatti, se deve informare la persona interessata in modo più circostanziato che per altri tipi di dati, il detentore della collezione di dati avrà interesse ad astenersi dal raccogliere, registrare o comunicare dati personali degni di particolare protezione e profili della personalità che non gli sono assolutamente necessari per lo svolgimento dei suoi compiti.
In virtù del capoverso 2, il detentore della collezione di dati deve di regola esplicitamente fornire alla persona interessata tutte le informazioni necessarie perché il trattamento sia conforme ai principi della buona fede e della proporzionalità, ma almeno quelle che figurano alle lettere ac, vale a dire la propria identità, le finalità del trattamento e le categorie di destinatari (e non l'identità di ogni destinatario). Se il rispetto della buona fede lo esige, il detentore della collezione di dati dovrà fornire anche altre informazioni, per esempio concernenti il carattere obbligatorio o facoltativo della raccolta o le conseguenze di un rifiuto di rispondere (cfr. commento all'art. 4 cpv. 4).
Se una persona è già stata informata, sia che abbia ricevuto una prima volta l'informazione dal detentore della collezione di dati sia che abbia ricevuto l'informazione da terzi, il detentore della collezione di dati non è tenuto a informarla di nuovo (cpv. 4). L'informazione data in occasione della prima raccolta di dati non deve dunque essere
ripetuta ogni volta, se le circostanze delle raccolte seguenti (in particolare la finalità del trattamento) sono coperte dalla prima informazione.
L'informazione non sottostà a particolari regole sulla forma e può dunque essere data verbalmente. La forma scritta è tuttavia raccomandata per motivi di prova.
L'informazione può figurare su un supporto consegnato alla persona interessata o esposto in un luogo sufficientemente visibile (p. es. affissione, testo allegato al contratto o alla fattura, rubrica ben visibile sulla home page del sito internet, ecc.). Come per l'articolo 4 capoverso 4, il detentore della collezione di dati deve adempire l'obbligo di informare di cui all'articolo 7a rispettando i principi della buona fede e della proporzionalità (art. 4 cpv. 2 LPD). Pertanto l'informazione deve essere sufficientemente visibile, leggibile e comprensibile. Il detentore della collezione di dati può cogliere l'occasione per combinare l'informazione con indicazioni che perseguono altri scopi. Nel caso in cui sia prevista la comunicazione di dati personali a 1913
terzi e in cui tale comunicazione non sia né necessaria all'esecuzione di un contratto né prescritta per legge, la persona interessata può essere resa attenta mediante una clausola che la invita ad autorizzare o a negare la comunicazione: in tal modo il detentore della collezione di dati è sicuro che la persona interessata ha ricevuto l'informazione e non intende opporsi alla comunicazione dei dati, se l'ha autorizzata (art. 12 cpv. 2 LPD). Spetterà a chi opera nei vari settori sviluppare i mezzi adeguati per assicurare l'informazione delle persone interessate, tenendo conto delle circostanze e degli usi propri a ciascun settore. Su questo punto l'articolo 7a lascia un ampio margine di manovra ai detentori delle collezioni di dati, che disporranno di un termine di un anno per prendere i provvedimenti adeguati alla loro situazione (cfr. disposizione transitoria).
Esempi:
Una Cassa malati deve espressamente informare per esempio mediante una lettera o un contratto da stipulare con la persona assicurata in che modo sono utilizzati i dati a cui può accedere relativi alla salute della persona assicurata.
Un medico deve informare un paziente sottoposto a test HIV che secondo la legge sulle epidemie37 un risultato positivo deve essere comunicato all'Ufficio federale della sanità (una nuova informazione da parte dell'Ufficio non è più necessaria). Questa informazione può aver luogo oralmente, ma ci si può anche immaginare che figuri ben visibile ad esempio in un opuscolo dedicata a una campagna anti AIDS.
Il capoverso 3 disciplina il caso in cui i dati non sono raccolti direttamente presso la persona interessata, ma presso terzi: in tal caso, la persona interessata deve essere informata preferibilmente al momento della raccolta dei dati, ma in ogni caso al momento della loro registrazione o della loro prima comunicazione a terzi. La nozione di registrazione non comprende solo l'atto tecnico di registrare i dati raccolti per esempio in un sistema informatico; in realtà questa nozione prevede qualsiasi atto successivo alla raccolta che prepara l'elaborazione dei dati. Il detentore della collezione di dati può rinunciare a informare la persona interessata solo se si limita a procedere a una raccolta o quando le circostanze rendano impossibile o molto difficile l'informazione della persona interessata (p. es. quando il detentore della collezione di dati non è in grado di contattare la persona interessata). Per adempire il suo obbligo d'informare, il detentore della collezione di dati è comunque tenuto a prendere tutti i provvedimenti che si possono ragionevolmente esigere, considerando le circostanze: non può semplicemente nascondersi dietro il pretesto che l'informazione è impossibile o richiede un onere sproporzionato. Il comportamento del detentore della collezione di dati va esaminato alla luce del principio della buona fede e l'eccezione di cui al capoverso 3 non può essere interpretata in senso lato. Il detentore della collezione di dati può inoltre rinunciare a informare la persona interessata quando la registrazione o la comunicazione dei dati sono esplicitamente previste dalla legge.
Se nell'ambito dell'applicazione del diritto federale i Cantoni trasmettono dati personali degni di particolare protezione o profili della personalità alle autorità federali (p. es. quando comunicano i dati concernenti la revoca della licenza di condurre all'Ufficio federale delle strade per la registrazione nel registro informatizzato delle misure amministrative secondo l'articolo 104b della legge federale sulla circolazione stradale38. In questi casi spetta alle autorità cantonali informare la persona interes37 38
RS 810.101 RS 741.01
1914
sata; per contro le autorità federali non sono tenute a informare una seconda volta (art. 7a cpv. 3).
Nell'ambito della procedura di consultazione diverse cerchie interessate hanno chiesto che la comunicazione di dati personali in seno a un gruppo di società costituisse espressamente un'eccezione alle regole applicabili alle comunicazioni a terzi segnatamente nel caso dell'articolo 7a capoverso 3. Un'agevolazione è prevista all'articolo 6 capoverso 2 lettera g per le comunicazioni di dati all'estero (cfr. commento a questa disposizione). Per quanto riguarda l'obbligo di informare ivi fissato invece un'esclusione generale delle comunicazioni tra le società di un gruppo andrebbe contro l'obiettivo di creare maggiore trasparenza per gli interessati.
L'articolo 9 contempla deroghe all'obbligo di informare, segnatamente quando tali deroghe sono prescritte dalla legge e quando interessi preponderanti di terzi lo esigono. Gli organi federali possono inoltre negare l'informazione quando un interesse pubblico preponderante lo esige nonché quando la comunicazione dei dati rischia di compromettere un'istruzione penale o un'altra procedura istruttoria.
Facciamo notare che la Direttiva 95/46/CE, le Raccomandazioni del Consiglio d'Europa e le legislazioni dei Paesi limitrofi alla Svizzera prevedono un obbligo di informare molto simile, ma la cui portata è più ampia (cfr. n. 1.2.3).
Talune imprese hanno già preso provvedimenti che permettono loro di adempire l'obbligo di informare così come è previsto dall'articolo 7a. È opportuno ricordare che le imprese hanno interesse a dar prova della massima trasparenza al momento della raccolta di dati personali se intendono guadagnarsi la fiducia dei consumatori.
Questa constatazione è particolarmente vera nel quadro dello sviluppo del commercio per via elettronica.
Chi omette intenzionalmente di informare la persona interessata sulla raccolta di dati e non le fornisce le informazioni di cui al capoverso 2 lettere a-c o chi le fornisce intenzionalmente informazioni inesatte può essere perseguito penalmente (art. 34 cpv. 1).
2.6
Art. 7b
Obbligo di informare in caso di decisioni individuali automatizzate
L'articolo 7b completa l'articolo 7a introducendo un particolare obbligo di informare la persona interessata, applicabile quando una decisione che produce effetti giuridici nei confronti di detta persona o che la concerne in modo significativo è presa sul solo fondamento di un trattamento automatizzato di dati destinato a valutare determinati aspetti della sua personalità. Nel caso specifico si tratta di evitare che la valutazione della personalità della persona interessata avvenga sulla sola base di una decisione automatizzata, senza un intervento umano e senza che la persona interessata sia informata del modo con cui è stata presa la decisione. Tali decisioni servono a valutare aspetti della personalità, come per esempio il credito, l'affidabilità, il comportamento o i rischi, e si fondano su analisi statistiche (p. es. nell'ambito di un'assicurazione responsabilità civile, a conducente con una vettura considerata di tipo poco sportivo è automaticamente assegnata a una classe di rischio più favorevole del conducente di sesso maschile con una vettura di tipo più sportivo).
1915
Prevedendo un semplice obbligo di informare il disegno non ha voluto andare altrettanto lontano quanto la Direttiva 95/46/CE e le legislazioni dei Paesi a noi limitrofi che riconoscono a ogni persona il diritto di non sottostare a una decisione presa sul solo fondamento di un trattamento automatizzato di dati, fatto che equivale a garantire alla persona interessata una sorta di diritto di essere sentita. Inoltre l'obbligo di informare previsto dall'articolo 7b non complica in alcun modo il compito del detentore della collezione di dati, visto che questi può adempire tale obbligo facendo semplicemente figurare sulla decisione automatizzata un'adeguata menzione. Benché non sia esplicitamente contemplato nella mozione «Maggiore trasparenza», un tale obbligo di informare persegue il medesimo obiettivo.
Chi omette intenzionalmente d'informare la persona interessata ai sensi dell'articolo 7b può essere perseguito penalmente (art. 34 cpv. 1).
2.7
Art. 8
Diritto d'accesso
L'articolo 8 è completato al capoverso 2 lettera a dall'obbligo di comunicare alla persona interessata le informazioni sull'origine dei dati, nella misura in cui tali informazioni siano disponibili. La persona interessata può infatti avere un interesse legittimo a conoscere l'origine dei dati, per esempio per poter risalire alle fonti della raccolta e far rettificare eventuali errori. Questa esigenza contribuisce a migliorare la trasparenza nel senso della mozione approvata dalle Camere e chiarisce il diritto d'accesso. Per di più l'interesse della persona interessata di conoscere le fonti dei dati è già ammesso dalla giurisprudenza39. Anche questa precisazione può produrre un effetto preventivo, nella misura in cui chi raccoglie i dati deve considerare la possibilità che la persona interessata venga informata sulle fonti della raccolta.
2.8
Art. 9
Restrizione dell'obbligo di informare e del diritto d'accesso
Le restrizioni del diritto d'accesso sono state estese all'obbligo di informare di cui all'articolo 7a. Può infatti capitare che, a causa di un interesse pubblico o privato preponderante, il detentore della collezione di dati non possa fornire l'informazione prevista dall'articolo 7a o sia obbligato a differirla. Essendo i motivi di restrizione identici a quelli che consentono di limitare il diritto d'accesso, l'applicazione della disposizione nell'ambito dell'obbligo di informare di cui all'articolo 7a non dovrebbe porre problemi particolari. Se nega, limita o differisce l'informazione, il detentore della collezione di dati dovrà informare la persona interessata non appena sarà cessato il motivo di restrizione, sempreché il fatto non comporti un onere sproporzionato (art. 9 cpv. 5 del disegno; cfr. anche art. 18 cpv. 6 LMSI40).
39 40
Cfr. decisione non pubblicata del 18 settembre 1991, dott. F contro Consiglio di Stato del Canton San Gallo, c. 5a; cfr. anche, in ambito penale, DTF 118 Ia 457.
RS 120
1916
2.9
Art. 10a
Trattamento di dati da parte di terzi
L'articolo 14 LPD è stato spostato nella parte generale e diventa l'articolo 10a.
L'articolo 14 LPD si applica attualmente soltanto al trattamento dei dati da parte di persone private. Nella LPD non figurano disposizioni analoghe per il trattamento dei dati da parte degli organi federali. A causa del suo trasferimento nella parte generale, l'articolo 10a si applicherà non soltanto alle persone private, ma anche agli organi federali e, a titolo sussidiario, agli organi cantonali che agiscono in applicazione del diritto federale (art. 37 cpv. 1).
Il trattamento di dati può essere affidato a terzi unicamente se la sicurezza dei dati è garantita (cpv. 2). Questa esigenza figura tra l'altro nelle raccomandazioni emanate dalla Commissione di gestione del Consiglio degli Stati41. Nella procedura di consultazione è stato chiesto da più parti di concretizzare le corrispondenti esigenze e di ancorarle nella legge. Nella misura in cui sono necessarie, saranno integrate nell'ordinanza regole tecniche e organizzative supplementari; del resto il mandatario è tenuto ad osservare, per quanto riguarda la sicurezza dei dati, le stesse esigenze del mandante (cfr. in particolare gli articoli 8 e 9 dell'ordinanza del 14 giugno 199342 relativa alla legge federale sulla protezione dei dati).
Il capoverso 2 non diverge per quanto riguarda la portata dell'obbligo di diligenza dal diritto vigente. Mette però maggiormente in evidenza l'obbligo del mandante formulandolo meglio. Il mandante deve assicurarsi che il mandatario osservi i necessari standard in materia di sicurezza. In questo contesto può anche basarsi su un marchio di qualità inerente alla protezione di dati conferito al mandatario o su una valutazione analoga conferita da esperti indipendenti (cfr. commento all'art. 11). Il mandante deve in particolare assicurarsi che gli standard di sicurezza siano effettivamente applicati presso il mandatario. Ulteriori dettagli in particolare per quanto riguarda il diritto di impartire istruzioni come pure il concetto di sicurezza e le misure tecniche e organizzative presso il mandatario devono essere regolate a livello di ordinanza nella misura in cui sia necessario oltre alle regolamentazioni esistenti.
Fra i motivi giustificativi di cui al capoverso 3 figurano da un lato i motivi giustificativi ai sensi dell'articolo
13 LPD ma anche a causa della validità ora generale dell'articolo 10a motivi giustificativi ai sensi dell'articolo 17.
Il detentore della collezione di dati risponde del pregiudizio derivante dal fatto di aver affidato il trattamento a terzi senza essersi assicurato della sicurezza dei dati.
2.10
Art. 11
Procedura di certificazione
Mediante la disposizione nuova rispetto all'avamprogetto si introduce l'elemento dell'autoregolamentazione nella legge sulla protezione dei dati. In questo modo si intende rafforzare l'autoresponsabilità del detentore della raccolta e stimolare la competitività. Inoltre si contribuisce a un miglioramento regolare della protezione e della sicurezza dei dati e si può limitare il deficit a livello di esecuzione. Per di più il 41
42
Cfr. raccomandazione 267, Rapporto del 19 novembre 1998 della Commissione di gestione del Consiglio degli Stati, Allestimento di collegamenti on-line nel settore della polizia, FF 1999 4871, pag. 4902.
RS 235.11
1917
concetto dell'autocontrollo porta per un certo verso a tenere conto dello sviluppo tecnologico. La mancanza di corrispondenti disposizioni nell'avamprogetto sottoposto a consultazione è stata più volte criticata. La presente disposizione si rifà all'articolo 43a della legge sulla protezione dell'ambiente (LPAmb)43, che ha ottenuto risultati positivi nella prassi.
Il capoverso 1 fissa il principio di base. Devono essere sviluppate sia procedure di certificazione di processi operativi rilevanti per la protezione di dati o di strutture organizzative (audit in materia di protezione di dati) sia la valutazione di sistemi o programmi informatici cioè di prodotti per quanto riguarda l'osservanza di standard in materia di protezione di dati. La procedura di valutazione deve portare, una volta stabilito che le norme legali e tecniche del ramo sono osservate, al conferimento di un marchio di qualità inerente alla protezione di dati. Questo riconoscimento può essere utilizzato dalle ditte di certificazione per scopi pubblicitari e portato a conoscenza del pubblico. Le autorità e ditte certificate sono escluse dall'obbligo di notifica della loro raccolta di dati di cui all'articolo 11a, se hanno comunicato il risultato della valutazione all'Incaricato della protezione dei dati (art. 11 cpv. 3 lett. f). Questo alleggerimento ha lo scopo di incentivare.
Gli organismi che svolgono questa procedura di certificazione devono essere indipendenti, dal punto di vista soprattutto organizzativo ma anche tecnico, dai privati o dalle autorità da valutare. Il riconoscimento di questi organismi dovrà essere regolato dal Consiglio federale nell'ordinanza (cpv. 2). È anche immaginabile che gli organismi di certificazione debbano disporre di un accreditamento44. Inoltre l'Incaricato deve verificare se le procedure di valutazione e il conferimento del marchio di qualità sono compatibili con il diritto vigente (cfr. l'art. 31 cpv. 1 lett. f). Egli può intervenire mediante gli strumenti previsti dalla LPD (raccomandazione, proposta alla commissione della protezione dei dati; cfr. commento all'art. 29 LPD). L'Incaricato della protezione dei dati stesso non fungerà da istanza di certificazione.
In Svizzera è in elaborazione uno standard per procedure uniformi in materia di certificazioni inerenti alla protezione di dati. In Germania è già stato sviluppato uno strumento di qualificazione attualmente sottoposto a test nella prassi.
2.11
Art. 11a
Registro delle collezioni di dati
Attualmente, l'obbligo delle persone private di notificare le collezioni giusta l'articolo 11 capoverso 3 LPD è subordinato, fra l'altro, alla condizione che la persona interessata non sia a conoscenza del trattamento (art. 11 cpv. 3 lett. b LPD). In avvenire, grazie all'obbligo di rendere la raccolta riconoscibile (art. 4 cpv. 4) e all'obbligo di informare al momento della raccolta (art. 7a) di dati degni di particolare protezione e di profili della personalità (art. 7a) la notifica delle collezioni di dati avrà una portata pratica più limitata.
Nell'avamprogetto sottoposto a consultazione veniva inizialmente proposto di cancellare l'obbligo di notifica. Da una parte si cercava così di compensare gli obblighi supplementari in materia di informazione creati per i privati mediante la presente revisione. Dall'altra al momento dell'elaborazione dell'avamprogetto si supponeva 43 44
RS 814.01 Cfr. art. 2 dell'ordinanza sull'accreditamento e sulla designazione; RS 946.512.
1918
che l'UE modificasse il suo diritto al riguardo. Questo tuttavia non si è verificato; nell'ambito della procedura di consultazione non tutti erano favorevoli all'abolizione dell'obbligo di notifica. Per questo motivo l'obbligo rimane, per principio, tuttavia senza l'eccezione prevista dall'attuale capoverso 3 lettera b. L'obbligo è comunque allentato mediante ulteriori nuove deroghe che portano un certo avvicinamento al diritto comunitario.
La notifica stessa è semplificata dal punto di vista amministrativo: i relativi moduli sono a disposizione in Internet.
Il capoverso 1 stabilisce espressamente che il registro deve essere accessibile tramite Internet. I relativi preparativi sono in corso. Con questa misura si migliora ulteriormente la trasparenza.
Conformemente al principio del capoverso 3 il disegno prevede che le collezioni di dati debbano essere notificate se sono trattati regolarmente dati personali degni di particolare protezione o profili della personalità o se sono comunicati dati a terzi.
Diversamente dal diritto vigente questo vale anche quando le persone interessate ne sono informate.
Il capoverso 4 prescrive espressamente che le raccolte di dati devono essere notificate prima di divenire operazionali.
Nel capoverso 5 è prevista una serie di eccezioni. Ora le autorità sono trattate in particolare come i privati. Anche nella Direttiva 95/46/CE non vi è più distinzione tra autorità e privati; a questo merito si registra pertanto un certo avvicinamento.
Come il diritto vigente, il capoverso 5 prescrive che per i privati non vi è obbligo di notifica se i dati sono trattati in virtù di un obbligo legale ; questo capoverso conferisce anche al Consiglio federale la facoltà di prevedere eccezioni (lett. a e b). Le disposizioni delle lettere c e d, che prevedono eccezioni per gli operatori dei mezzi di comunicazione sociale, sono elencate qui per completezza; oggi sono ancorate nell'articolo 4 OLPD45.
La lettera e prevede una novità mediante la quale l'obbligo di notifica può essere adattato al sistema di notifica previsto nella Direttiva 95/46/CE. La disposizione segue il principio dell'autoregolamentazione perseguita già con la promozione delle certificazioni. Il detentore della collezione di dati può istituire un proprio responsabile della protezione di dati che controlla che siano
osservate le disposizioni interne in materia di protezione dei dati e tiene un inventario delle collezioni di dati. Il responsabile della protezione di dati deve essere indipendente, cioè non vincolato da direttive né subordinato gerarchicamente, dal punto di vista dell'organizzazione. Il Consiglio federale disciplina dettagliatamente la funzione e i compiti del responsabile della protezione dei dati secondo il capoverso 6. Può in particolare prevedere che la sua nomina sia valida solo se viene comunicata all'Incaricato.
L'eccezione prevista alla lettera f è la conseguenza della promozione delle certificazioni. Se ha ottenuto il marchio di qualità è per principio garantito che il detentore della collezione di dati osserva le esigenze legali. Il risultato della procedura di certificazione deve essere comunicato all'Incaricato. In questo modo è garantito che, in caso di necessità, può aver luogo un controllo e che le persone interessate possono informarsi presso l'Incaricato se una ditta è certificata. Il Consiglio federale può prevedere che l'Incaricato pubblichi una lista delle aziende e autorità certificate.
45
RS 235.11
1919
2.12
Art. 12
Lesioni della personalità
Il cambiamento di sistema dovuto alla modifica dell'articolo 6 LPD comporta la soppressione del rinvio all'articolo 6 capoverso 1, che figura attualmente nell'articolo 12 capoverso 2 lettera a.
Dall'articolo 12 capoverso 2 lettera a si desume che una comunicazione di dati personali all'estero è ammessa anche se sussiste il rischio di una lesione della personalità in quanto il detentore della collezione di dati possa far valere uno dei motivi giustificativi di cui all'articolo 13 LPD. Nel nuovo articolo 6 previsto nel disegno sono elencati in modo esaustivo i motivi che possono giustificare una deroga al principio dell'articolo 6 capoverso 1.
2.13
Art. 14
Trattamento da parte di terzi
L'articolo 14 è sostituito dall'articolo 10a. Si rinvia dunque al commento di questa disposizione.
2.14
Art. 15
Azioni e procedura
Il tenore dei capoversi 1 e 3 è stato oggetto di una modifica di carattere redazionale allo scopo di far meglio risaltare la possibilità dell'attore di chiedere che il trattamento dei dati, e non soltanto la loro comunicazione a terzi, sia vietato. Tale diritto esiste già attualmente (cfr. art. 12 cpv. 2 lett. b in relazione con l'art. 15 cpv. 1 LPD). Tuttavia, con l'introduzione dell'obbligo di informare di cui all'articolo 7a del presente disegno, il diritto di chiedere il divieto del trattamento diventerà più concreto (cfr. anche commento all'art. 15a).
2.15
Art. 15a
Procedura in caso di opposizione al trattamento
Nel settore privato, il diritto di opporsi al trattamento dei dati sul piano civile esiste già attualmente in virtù degli articoli 12 capoverso 2 lettera b e 15 LPD. L'articolo 15a del disegno disciplina la procedura rafforzando nel contempo in maniera moderata la posizione della persona interessata. L'obbligo di informare introdotto all'articolo 7a rischia di essere di scarsa utilità pratica se non è correlato alla possibilità della persona che è stata informata della raccolta di opporsi efficacemente al trattamento dei dati che la riguardano. In effetti il diritto di opporsi a un trattamento di dati ha senso unicamente se il trattamento può essere sospeso prima che arrechi alla persona interessata un pregiudizio difficilmente riparabile. Inoltre, per poter esercitare i propri diritti giusta l'articolo 15 LPD, la persona interessata deve conoscere i motivi del trattamento dei dati.
Spesso la persona interessata ignora se il trattamento risponde o non a un motivo giustificativo ai sensi dell'articolo 13 LPD e il detentore della collezione di dati non è attualmente obbligato a fornire il motivo del trattamento. È pur vero che la persona
1920
interessata può chiedere spiegazioni al detentore della collezione di dati, ma non è raro che questo genere di domande rimanga senza risposta. In tal caso la persona interessata dovrebbe assumersi il rischio di intentare un'azione ai sensi dell'articolo 15 LPD senza sapere quali sono le sue probabilità di successo.
In virtù dell'articolo 15a capoverso 1, la persona interessata può opporsi al trattamento dei dati che la concernono e esigere dal detentore della collezione di sospendere immediatamente il trattamento. Per evitare abusi da parte della persona interessata, la disposizione citata prevede che quest'ultima non possa opporsi al trattamento se esso poggia su un obbligo legale; in questo caso la persona interessata ne deve essere informata immediatamente (cpv. 2 secondo periodo). Per poter proseguire il trattamento, il detentore della collezione deve comunicare al più presto alla persona interessata i motivi giustificativi sui quali poggia il suo trattamento; a tal fine dispone di un termine di dieci giorni. Se il trattamento non è giustificato, vi può rinunciare di propria iniziativa.
Sulla base dei motivi giustificativi forniti dal detentore della collezione conformemente al capoverso 3, la persona interessata potrà prendere posizione sulla liceità del trattamento dei dati che la concernono. Si può dare per scontato che nella maggior parte dei casi la persona interessata si ritenga soddisfatta dalla risposta del detentore della collezione di dati e rinunci quindi a intentare un'azione. È infatti nell'interesse di ambo le parti evitare procedure inutili. L'articolo 15a vi contribuisce in quanto permette al detentore della collezione di dati di comunicare alla persona interessata i motivi del trattamento e di conseguenza di convincerla del carattere legittimo del trattamento stesso. Questa disposizione consente anche alla persona interessata di meglio valutare le probabilità di successo di un'azione in giustizia.
Se la persona interessata non è soddisfatta dei motivi giustificativi forniti dal detentore della collezione, l'articolo 15a capoverso 5 prescrive che essa dispone di un termine di dieci giorni per intentare le azioni di cui all'articolo 15 LPD e domandare provvedimenti cautelari, in particolare può domandare la rettifica dei dati, la loro distruzione nonché vietarne la comunicazione
o il trattamento.
Il capoverso 4 descrive gli effetti del diritto della persona interessata di opporsi al trattamento dei dati che la concernono. Il detentore della collezione ha l'obbligo di sospendere il trattamento nel senso stretto del termine; è tuttavia autorizzato a conservare, archiviare o registrare i dati in questione fino a quando la situazione giuridica sia chiarita cioè fintanto che corre il termine per la persona interessata di adire le vie legali e se del caso fino a che il giudice adito decida sulla liceità del relativo trattamento e la decisione sia definitiva. Può in ogni caso continuare il trattamento se la persona interessata non adisce il giudice entro un termine utile. Questa precisazione è necessaria poiché la definizione della nozione di «trattamento» secondo l'articolo 3 lettera e LPD comprende anche le operazioni elencate nella presente disposizione.
Se la persona interessata non adisce la via legale entro il termine, l'opposizione è considerata ritirata. Il detentore della collezione è pertanto autorizzato a continuare il trattamento nonché tutte le relative operazioni. Il termine previsto al capoverso 5 limita dunque unicamente la durata del blocco del trattamento ai sensi della presente disposizione e non il diritto della persona interessata di far valere i suoi diritti conformemente all'articolo 15 LPD. Per contro potrà essere fatto nuovamente valere l'articolo 15a unicamente se le condizioni di fatto o di diritto saranno cambiate in
1921
maniera sostanziale; in assenza di una modifica importante vi potrebbe essere abuso di diritto da parte della persona interessata.
Il capoverso 6 prevede espressamente che la procedura dell'articolo 15a non è applicabile ai mezzi di comunicazione sociale a carattere periodico poiché dipendono dall'attualità. Di conseguenza le azioni contro questi mezzi sono rette unicamente dall'articolo 15 LPD.
2.16
Art. 16
Organo responsabile
All'articolo 16 sono aggiunti due nuovi capoversi che permettono all'organo federale responsabile del trattamento di effettuare controlli anche quando tratta dati congiuntamente a organi cantonali o persone private. Può infatti capitare che organi cantonali, o addirittura persone private, trattino dati congiuntamente a un organo federale senza che il trattamento in questione sia necessariamente in relazione con l'esecuzione del diritto federale. Nella misura in cui si tratta di banche di dati federali, l'organo federale deve accertarsi che i dati sono trattati in modo lecito e conforme alla LPD; in particolare deve assicurarsi che sia garantita la sicurezza informatica. Quando il trattamento è effettuato da persone private oppure all'estero, l'esecuzione dei controlli deve essere disciplinata mediante contratto o convenzione.
L'organo federale coopera con l'organo di controllo cantonale quando svolge controlli.
2.17
Art. 17
Fondamenti giuridici
Nel capoverso 2 vi sono alcune modifiche minori.
Alla lettera b, è precisato che il Consiglio federale può eccezionalmente concedere l'autorizzazione in un caso specifico. Questa clausola di delegazione non permette dunque di concedere l'autorizzazione per qualsivoglia caso. D'altronde la lettera b è sempre stata interpretata in tal senso.
Alla lettera c, si tiene conto del diritto della persona interessata di opporsi al trattamento. In analogia con il settore privato (art. 12 cpv. 3 LPD) e come corollario all'obbligo di informare previsto dall'articolo 7a, è giustificato un maggior rispetto del diritto della persona interessata di opporsi al trattamento, anche se quest'ultima ha reso i suoi dati accessibili a chiunque. Con lo sviluppo di Internet, il trattamento dei dati personali degni di particolare protezione assume una dimensione che sfugge al controllo della persona interessata e giustifica che quest'ultima possa opporsi al trattamento anche se ha reso i suoi dati accessibili a chiunque.
1922
2.18
Art. 17a
Trattamento automatizzato di dati nell'ambito di sistemi pilota
La presente disposizione è in relazione con l'esecuzione della mozione «collegamenti online» (cfr. n. 1.2.1.1).
L'avamprogetto proponeva di dare al Consiglio federale la facoltà di autorizzare il trattamento automatizzato di dati degni di particolare protezione o di profili della personalità prima ancora dell'entrata in vigore di una legge in senso formale. Questa proposta è stata criticata a più riprese nell'ambito della procedura di consultazione perché andava troppo avanti. Si è pertanto deciso di prevedere un'altra soluzione, nettamente più limitata. Questa permetteva al Consiglio federale di autorizzare unicamente la comunicazione di dati degni di particolare protezione o di profili della personalità mediante una procedura di richiamo. Questa variante minima non avrebbe tuttavia permesso di risolvere i problemi che si ponevano nella prassi. Di conseguenza la scelta è caduta su uno strumento che corrisponde in linea di principio alla prima proposta ma che si limita a permettere al Consiglio federale di autorizzare, per una durata limitata, il trattamento automatizzato di dati degni di particolare protezione o di profili della personalità nell'ambito di progetti pilota, prima dell'entrata in vigore della relativa base legale formale. Questa nuova misura va nella direzione delle raccomandazioni della Commissione della gestione del 19 novembre 199846, secondo cui il Consiglio federale deve esaminare le procedure di richiamo, prima che esse siano regolamentate in una legge in senso formale, dal punto di vista dell'opportunità, della proporzionalità e della finalità. Già oggi l'allestimento di procedure di richiamo non costituisce più un problema Dal punto di vista tecnico. Al contrario, la struttura di un sistema informatico deve sin dall'inizio conformarsi a simili procedure di richiamo. Questo significa in definitiva che non è sufficiente poter testare nuove procedure di richiamo in prove sperimentali, ma che occorre valutare un sistema integralmente nell'ambito di un progetto pilota.
Occorre ricordare che secondo il diritto vigente, dati degni di particolare protezione o profili della personalità possono essere trattati soltanto se una legge in senso formale lo prevede esplicitamente o eccezionalmente se è soddisfatta una delle condizioni previste all'articolo 17 capoverso 2 lettere ac
LPD. Inoltre, in virtù dell'articolo 19 capoverso 3 LPD, i dati degni di particolare protezione o i profili della personalità possono essere resi accessibili mediante una procedura di richiamo soltanto se una legge in senso formale lo prevede espressamente. Secondo la legge attuale, una base legale formale che disciplina unicamente i compiti che richiedono il trattamento non è sufficiente. La base legale deve indicare l'organo che ha accesso ai dati, la finalità per la quale l'accesso è accordato e la portata di questo accesso.
Le esigenze attuali poste dalla LPD relativamente alla base legale sulla quale fondare il trattamento di dati personali degni di particolare protezione o di profili della personalità sono particolarmente severe. Questa situazione è fonte di problemi in quanto non essendo possibile testare gli accessi a banche di dati in condizioni realistiche nell'intento di considerare tutti i bisogni, la cerchia degli aventi diritto (autorità federali e cantonali come pure in certi casi i privati) tende a essere definita in maniera troppo ampia. Se ad esempio si potessero testare accessi a banche di dati, soprattutto mediante procedure di richiamo, durante una fase sperimentale, si 46
Vedere raccomandazione 261 del rapporto della Commissione della gestione del Consiglio degli Stati, FF 1999 4871, pag. 4896.
1923
potrebbero definire meglio i bisogni in occasione dell'elaborazione di una legge in senso formale. Tuttavia, non è sufficiente testare e allestire unicamente nuove procedure di richiamo a condizioni semplificate; occorre anche procedere in certi casi a prove integrali con nuovi sistemi. Vista la durata relativamente lunga del processo legislativo si dovrebbe nel sistema attuale cominciare a elaborare una base legale prima di conoscere i dettagli del sistema informatico interessato. Procedendo così si corre il rischio che la base legale sia armonizzata solo in misura insufficiente con la finalità del sistema.
L'articolo 17a contiene una clausola di delega che permette al Consiglio federale per una durata massima di cinque anni di autorizzare il trattamento automatizzato di dati degni di particolare protezione o di profili della personalità, quando una fase sperimentale è assolutamente indispensabile per la messa in opera tecnica di un determinato trattamento. L'articolo 17a LPD non allenta in maniera generale l'esigenza di una base legale per il trattamento automatizzato di dati degni di particolare protezione o di profili della personalità. La nuova disposizione si limita a permettere una legislazione sperimentale in situazioni in cui esiste veramente una necessità. In virtù di questa norma è possibile esaminare e valutare esattamente durante una fase sperimentale le conseguenze che potrebbe avere la regolamentazione prevista.
In virtù del capoverso 1 il Consiglio federale ha l'obbligo di consultare prima l'Incaricato. Il preavviso di quest'ultimo non vincola il Consiglio federale. Per contro è difficilmente immaginabile che il Consiglio federale, in assenza di circostanze particolari, si scosti da una presa di posizione negativa dell'Incaricato. Il capoverso 1 prevede inoltre criteri che devono essere soddisfatti in modo cumulativo quando il Consiglio federale prevede di autorizzare un trattamento automatizzato. I compiti che richiedono questo trattamento devono da parte loro essere disciplinati in una legge in senso formale (lett. a). Inoltre, devono essere adottati provvedimenti appropriati che consentono di limitare le lesioni della personalità (lett. b). La lettera c prescrive che la messa in opera tecnica di un trattamento deve rendere indispensabile una fase sperimentale prima dell'entrata
in vigore di una base legale formale. Se questo non è il caso, il Consiglio federale non può accordare l'autorizzazione.
Il capoverso 2 elenca i criteri per determinare se nel caso concreto una fase sperimentale indispensabile. Per esempio innovazioni tecniche sono indispensabili per la realizzazione tecnica di un determinato trattamento, i cui effetti devono ancora essere valutati (lett. a). Questo è il caso quando un determinato software non è stato ancora utilizzato e testato con dati reali e si prevede di introdurre nuove tecnologie per l'elaborazione e la trasmissione delle informazioni (p. es. sistemi per il riconoscimento automatico delle targhe degli automezzi).
Inoltre, è possibile che l'adempimento di un determinato compito richieda l'adozione di misure organizzative importanti. Questo è spesso il caso quando organi federali devono collaborare con autorità cantonali (lett. b). Per l'allestimento di una banca dati di DNA47 si è dovuto ad esempio definire con precisione i compiti di una moltitudine di partecipanti e i flussi informativi, al fine di garantire la migliore protezione possibile alle persone interessate.
47
Messaggio dell'8 novembre 2000 concernente la legge federale sull'utilizzo di profili di DNA nel procedimento penale e l'identificazione di persone sconosciute o scomparse, FF 2001 11
1924
Infine, in occasione della realizzazione di procedure di richiamo, una fase sperimentale può rivelarsi spesso indispensabile affinché la cerchia degli organismi che devono disporre di un diritto di accesso per l'adempimento di un compito specifico possa essere comunicata più precisamente (lett. c). In particolare si possono così ottimizzare anche i diritti d'accesso. Nell'ambito di fasi pilota si può inoltre chiarire se l'allestimento di procedure di richiamo in un determinato caso sarebbe da preferire ai processi informativi sinora applicati.
Secondo il capoverso 3, il Consiglio federale deve disciplinare le modalità del trattamento in un'ordinanza. In questo modo è garantita la trasparenza di queste prove pilota; inoltre il Consiglio federale può fissare nella sua ordinanza provvedimenti per la protezione delle persone interessate.
Secondo il capoverso 4, l'organo federale responsabile ha l'obbligo di sottomettere un rapporto di valutazione al Consiglio federale, entro un termine di due anni dalla messa in opera della fase sperimentale. In funzione delle conclusioni di questo rapporto, ha l'obbligo di proporre l'interruzione o la continuazione del trattamento. Il rapporto potrà anche servire da base per l'elaborazione di una legge in senso formale nell'ipotesi che venga proposta la continuazione del trattamento. Il capoverso. 4, sottolinea il carattere sperimentale delle fasi sperimentali rese possibili in virtù dell'articolo 17a; inoltre, in relazione a questi progetti pilota è garantita la maggior trasparenza possibile.
Il capoverso 5, precisa che il trattamento deve in ogni caso essere interrotto se una base legale formale non è entrata in vigore entro cinque anni dalla messa in opera del sistema pilota; l'esistenza di un simile progetto non è sufficiente. Si tratta di un termine legale che non sarà prolungato.
2.19
Art. 18
Raccolta di dati personali
Il capoverso 2 non è più necessario visto che la regola in base alla quale la raccolta di dati deve essere riconoscibile in quanto tale figura ormai nella parte generale, all'articolo 4 capoverso 4, e si applica a ogni raccolta di dati personali.
2.20
Art. 19
Comunicazione di dati personali
In analogia con l'articolo 17 capoverso 2 lettera c, l'articolo 19 capoverso 1 lettera c del disegno considera il diritto della persona interessata di opporsi al trattamento. La lettera b è stata adattata alla definizione del consenso, che figura all'articolo 4 capoverso 5 del disegno.
1925
2.21
Art. 21
Offerta di documenti all'Archivio federale
L'articolo 21 tiene conto della nuova legge federale del 26 giugno 1998 sull'archiviazione (LAr)48. Riprende quasi integralmente, a livello di legge, il tenore dell'articolo 27 dell'ordinanza del 14 giugno 1993 relativa alla LPD49.
2.22
Art. 26
Nomina e statuto
Il capoverso 2 sancisce la situazione di fatto, visto che l'Incaricato è già oggi aggregato amministrativamente alla Cancelleria federale.
Il capoverso 3 permetterà all'Incaricato di avere un proprio preventivo al pari di altre autorità che godono di uno statuto di autonomia (p. es. il Controllo delle finanze).
2.23
Art. 27
Sorveglianza sugli organi federali
In virtù degli articoli 27 e 29 LPD, l'Incaricato dispone già di poteri d'indagine e d'intervento per quanto concerne il trattamento dei dati da parte degli organi federali o delle persone private. Per la sorveglianza sugli organi federali, il diritto vigente non conferisce tuttavia all'Incaricato il potere di stare in giudizio50. Nel suo messaggio del 23 marzo 198851, il Consiglio federale aveva proposto di dare la possibilità all'Incaricato, qualora un Dipartimento o la Cancelleria federale non rispettasse una sua raccomandazione, di portare l'affare davanti alla Commissione federale della protezione dei dati. Le Camere federali decisero altrimenti, preferendo lasciare ai capi dei Dipartimenti o al Cancelliere la responsabilità delle loro decisioni. Il Consiglio nazionale ha avuto di nuovo l'occasione di ribadire il suo punto di vista, quando il 3 marzo 1999 respinse la mozione von Felten 98.3030 (Diritto di ricorso per l'Incaricato)52.
È tuttavia opportuno considerare l'evoluzione del diritto europeo in proposito. Sia il Protocollo aggiuntivo alla Convenzione STE n° 10853 sia la Direttiva 95/46/CE esigono che le autorità di controllo abbiano il potere di stare in giudizio (o di portare alla conoscenza della competente autorità giudiziaria le violazioni al diritto interno).
Per rendere il diritto federale conforme al diritto comunitario e permettere così la ratifica del Protocollo, il disegno prevede di completare l'articolo 27 LPD con un nuovo capoverso 6 che legittima l'Incaricato a ricorrere contro le decisioni dei Dipartimenti e della Cancelleria federale. Da rilevare che l'Incaricato federale avrà anche la possibilità di ricorrere al Tribunale federale in virtù dell'articolo 100 capoverso 2 lettera a e 103 lettera c OG54. Le competenze dell'Incaricato nell'ambito della 48 49 50 51 52 53 54
RS 152.1 RS 235.11 DTF 123 II 542 FF 1988 II 353 Boll. Uff. 1999 N 115 RS 0.235.1 RS 173.10
1926
sua sorveglianza sugli organi federali sono pertanto configurate in modo analogo alle sue competenze nel settore del diritto privato (art. 29 LPD).
2.24
Art. 29
Accertamento e raccomandazioni nel settore privato
Il potere d'indagine dell'Incaricato deve essere adattato alle modifiche effettuate nell'ambito della presente revisione. Il capoverso 1 lettera b si riferisce soprattutto all'obbligo di informare previsto dall'articolo 7a e, se necessario, permette all'Incaricato di accertare i fatti in caso di presunta violazione dell'obbligo di informare al momento della raccolta dei dati.
Mediante le modifiche relative al capoverso 1 lettere c e d la presente disposizione viene adattata alle modifiche concernenti l'obbligo dei privati di notificare le raccolte di dati (art. 11a) e l'obbligo di informare l'Incaricato in determinati casi di comunicazione di dati all'estero (art. 6 cpv. 3).
2.25
Art. 31
Altri compiti
La lista dei compiti attribuiti all'Incaricato in virtù dell'articolo 31 è completata e precisata, in relazione con l'articolo 6 capoversi 1 e 3, nonché con l'articolo 11.
2.26
Art. 34
Disposizioni penali
Le disposizioni penali dell'articolo 34 LPD sono completate da un rinvio agli articoli 7a e 7b del disegno. Permetteranno di sanzionare penalmente le persone che forniscono intenzionalmente informazioni inesatte o incomplete nell'ambito del loro obbligo di informare oppure che omettono di informare la persona interessata al momento della raccolta di dati o in occasione di decisioni individuali automatizzate.
Il capoverso 2 lettera a è adattato alla nuova regolamentazione dell'articolo 6.
2.27
Art. 37
Esecuzione da parte dei Cantoni
L'articolo 37 concreta la seconda richiesta della mozione «Collegamenti online» e mira a rafforzare il livello di protezione dei dati trattati dagli organi cantonali in applicazione del diritto federale. La mozione chiede che sia previsto un minimo di normativa per permettere di migliorare la collaborazione fra Confederazione e Cantoni in caso di richieste e installazione di collegamenti online con sistemi informatici della Confederazione. Chiede parimenti che la Confederazione disciplini accesso, utilizzazione, protezione e controllo delle sue banche dati55.
55
Cfr. Rapporto della Commissione di gestione del Consiglio degli Stati, FF 1999 4871, pag. 4902.
1927
Nella sua attuale formulazione l'articolo 37 LPD contiene una norma sussidiaria, in virtù della quale il diritto federale si applica unicamente se il trattamento non è retto da prescrizioni cantonali sulla protezione dei dati, come è ancora il caso in alcuni Cantoni. L'articolo 37 capoverso 1 del disegno va oltre e stabilisce un livello minimo di protezione, pur mantenendo il carattere sussidiario della norma. Pertanto il diritto federale si applicherà non soltanto quando il trattamento non è retto da prescrizioni cantonali sulla protezione dei dati, ma anche quando tali prescrizioni cantonali non offrono un livello di protezione adeguato. Per «livello di protezione adeguato», si intende un livello di protezione equivalente a quello della Convenzione STE n. 10856. Il sistema previsto dall'articolo 37 capoverso 1 è quindi il corollario di quello applicato per la comunicazione dei flussi di dati internazionali. Infatti alla Confederazione incombe la responsabilità di accertarsi che le persone private e le autorità alle quali comunica dati personali che essa stessa gestisce rispettino lo stesso livello di protezione che essa stessa deve rispettare. Come ribadito dal Consiglio federale nella sua risposta alla mozione «Collegamenti online», la sicurezza di un sistema informatico e la protezione dei dati ivi contenuti dipendono dall'anello più debole della catena. Sta di fatto che il livello di protezione dei dati può variare in misura notevole da un Cantone all'altro.
Nella procedura di consultazione ci si è chiesti se la Confederazione ha la competenza di adottare la regolamentazione qui prevista. A questo merito si deve rilevare che la Confederazione ha per principio il diritto di fare ai Cantoni nel diritto federale anche prescrizioni nell'ambito della protezione dei dati, nella misura in cui la sua competenza legislativa non sia limitata a regolamentazioni quadro. Inoltre i Cantoni sono chiamati a rispondere anche nei propri ambiti di competenza attraverso contratti statali stipulati dalla Confederazione nel presente caso la Convenzione STE n. 10857.
La Confederazione è tenuta a rispettare nella misura del possibile l'autonomia dei Cantoni (in particolare quella in materia di organizzazione) (art. 46 cpv. 2 e art. 47 Cost.). Nella fattispecie questo è assicurato, dato che le regole della LPD
sono applicabili solo se le prescrizioni cantonali in materia di protezione dei dati non assicurano un livello di protezione adeguato cioè se non sono almeno conformi allo standard della Convenzione STE 10858.
2.28
Art. 38
Disposizioni transitorie
Il detentore della collezione di dati dispone di un termine di un anno dall'entrata in vigore della presente legge, per prendere le misure necessarie al fine di assicurare l'informazione delle persone interessate ai sensi degli articoli 4 capoverso 4, 7a e 7b. Non è dunque previsto di applicare retroattivamente a dati già raccolti l'obbligo di informare giusta l'articolo 7a.
56 57 58
RS 0.235.1 RS 0.235.1 RS 0.235.1
1928
3
Conseguenze della revisione
3.1
Confederazione: Conseguenze finanziarie e sull'effettivo del personale
È difficile stimare con precisione le conseguenze finanziarie e le ripercussioni sul personale delle nuove esigenze relative all'obbligo di informare di cui all'articolo 7a: con molta probabilità saranno di scarso rilievo. Infatti se la raccolta è effettuata direttamente presso la persona interessata, l'informazione può essere fornita senza grandi mezzi supplementari (p. es. una breve frase inserita nel documento che serve per la raccolta). Quando invece la raccolta è effettuata presso terzi, è quasi certo che nella maggior parte delle volte la raccolta o la comunicazione dei dati siano esplicitamente previste dalla legge (cfr. art. 17 cpv. 2 LPD), nel qual caso si può rinunciare a informare la persona interessata (art. 7a cpv. 3, in fine). L'articolo 9 del disegno prevede inoltre, per quanto concerne l'obbligo di informare, un certo numero di eccezioni che riguardano in modo specifico il settore pubblico.
L'Incaricato ottiene solo in misura molto limitata nuove competenze e non ha pertanto bisogno di personale supplementare a causa delle revisioni.
3.2
Conseguenze per i Cantoni
3.2.1
Conseguenze finanziarie e sull'effettivo del personale
La revisione concerne i Cantoni soltanto in misura marginale. Spingerà tuttavia indirettamente i Cantoni che non hanno un livello di protezione adeguato a migliorare la loro legislazione nell'ambito della protezione dei dati, affinché possano continuare a ricevere i dati personali che sono loro comunicati dalla Confederazione. Si tratta comunque di una conseguenza indiretta della revisione. A tale proposito va ricordato che il livello di protezione da raggiungere è dettato dalla Convenzione STE n. 10859, le cui norme sono vincolanti anche per i Cantoni.
3.2.2
Ripercussioni per i Cantoni di un'adesione al Protocollo aggiuntivo
Le ripercussioni sul diritto federale di un'adesione al Protocollo aggiuntivo alla Convenzione STE n° 10860 sono già state esposte (cfr. n. 1.2.3.1.2 e commento ad art. 6 e 27). Il disegno consente di rendere la LPD conforme al Protocollo aggiuntivo (cfr. art. 6 e 27 cpv. 6). Giusta l'articolo 37 capoverso 1, nella misura in cui le prescrizioni cantonali sulla protezione dei dati non garantiscono un livello di protezione adeguato, l'articolo 6 sarà applicabile anche al trattamento di dati personali effettuato da organi cantonali che agiscono in applicazione del diritto federale. Per quanto concerne l'articolo 27 capoverso 6, esso è applicabile per analogia agli organi di controllo designati dai Cantoni, quando tali organi trattano dati personali agendo in applicazione del diritto federale (art. 37 cpv. 2 LPD).
59 60
RS 0.235.1 RS 0.235.1
1929
Nei settori che esulano dall'applicazione del diritto federale e che di conseguenza non sono retti dalla LPD, i Cantoni dovranno adattare la loro legislazione alle esigenze del Protocollo. Ciò significa che dovranno autorizzare la comunicazione di dati personali all'estero unicamente se lo Stato o l'organizzazione destinatari assicurano un livello di protezione adeguato. Il diritto cantonale potrà prevedere deroghe in caso di interessi specifici della persona interessata oppure quando prevalgono interessi legittimi, in particolare interessi pubblici rilevanti, oppure ancora quando vi siano garanzie contrattuali sufficienti. L'Incaricato ha già pubblicato una lista indicativa degli Stati con una legge sulla protezione dei dati che assicura un livello di protezione equivalente a quello garantito dal diritto svizzero; sotto questo punto di vista, l'applicazione del Protocollo non dovrebbe dunque comportare difficoltà pratiche insormontabili per le autorità cantonali e i privati.
I Cantoni che non hanno ancora designato un organo incaricato di controllare il rispetto della protezione dei dati dovranno colmare la lacuna. Va ricordato che già oggi l'articolo 37 capoverso 2 LPD prevede l'obbligo per i Cantoni di designare un tale organo. Le autorità incaricate di controllare il rispetto della protezione dei dati a livello cantonale dovranno anch'esse avere i poteri d'indagine e d'intervento così come quello di stare in giudizio o di portare alla conoscenza della competente autorità giudiziaria le violazioni alle disposizioni sulla protezione dei dati. Una possibilità di ricorso giurisdizionale deve essere aperta contro le decisioni delle autorità di controllo. D'altro canto, chiunque deve poter adire tali autorità con una domanda relativa alla protezione dei suoi diritti nei confronti di un trattamento di dati personali che lo riguardano. Le autorità di controllo devono esercitare le loro funzioni in modo assolutamente indipendente.
Spetta a ogni Cantone esaminare la conformità del suo diritto alle innovazioni sopra menzionate.
3.3
Ripercussioni nel settore informatico
Uno degli obiettivi del disegno è di indurre i detentori delle collezioni di dati a una maggiore trasparenza, in particolare in Internet e nel settore del trattamento automatizzato dei dati. I detentori delle collezioni di dati sono tenuti a prendere le necessarie misure sul piano informatico al fine di poter garantire un trattamento dei dati lecito e compatibile con la LPD. In particolare dovranno vegliare, soprattutto su Internet, affinché la presentazione renda la raccolta di dati personali riconoscibile e garantisca l'informazione della persona interessata quando la raccolta concerne dati personali degni di particolare protezione o profili della personalità. Dovranno inoltre garantire la sicurezza dei dati, segnatamente sul piano informatico, quando ne delegano a terzi il trattamento. Tali misure d'organizzazione avranno il vantaggio di facilitare le transazioni nel campo del commercio per via elettronica e si iscrivono pertanto nella prospettiva di un'utilizzazione più intelligente dello strumento informatico.
Per le autorità federali non risulta necessario in base alla presente revisione parziale adattare sistemi informatici. Gli organi federali devono già rendere riconoscibile la raccolta (art. 18 LPD). Dovranno esaminare se l'obbligo attivo di informare in caso di dati degni di particolare protezione e di profili della personalità esigono adattamenti. La modifica del registro delle raccolte di dati tenuto dall'Incaricato della 1930
protezione dei dati perché sia accessibile tramite Internet (cfr. commento all'art 11a) è in preparazione indipendentemente dalla presente revisione parziale.
Per i Cantoni e i Comuni risultano dalla revisione parziale conseguenze analoghe.
3.4
Conseguenze per l'economia
Il disegno mira a rafforzare la trasparenza nel campo della protezione dei dati istituendo segnatamente un diritto della persona interessata a essere informata. Infatti, con lo sviluppo del trattamento automatizzato dei dati e con Internet, per la persona interessata diventa sempre più difficile sapere chi raccoglie i dati che la riguardano, con quale scopo e a chi tali dati sono destinati. Il disegno mira nel contempo a facilitare il flusso internazionale garantendo lo scambio di dati fra un Paese e l'altro.
Indirettamente il disegno produrrà anche l'effetto di rafforzare la fiducia dei consumatori per quanto concerne il trattamento dei loro dati personali, segnatamente nell'ambito delle transazioni effettuate per via elettronica. Sotto questo punto di vista, il disegno può produrre ricadute positive non soltanto per i consumatori, ma anche per le imprese che potranno migliorare la loro attrattiva soprattutto nell'ambito del commercio per via elettronica e di conseguenza la loro competitività. L'importanza della protezione dei dati per il commercio per via elettronica è d'altronde riconosciuta dall'OCSE che ha adottato direttive sulla protezione dei consumatori e approntato uno strumento di certificazione dei siti Web61. I costi derivanti dalla messa in opera delle misure d'organizzazione che permetteranno di assicurare l'informazione saranno ampiamente compensati da tali ricadute positive e l'efficienza del mercato sarà migliorata. La nuova regolamentazione contribuisce nel contempo a migliorare l'attrattiva della piazza economica svizzera. Favorirà gli scambi, visto che l'esistenza di una legislazione in grado di offrire, nell'ambito della protezione dei dati, un livello di protezione adeguato, corrispondente alle norme internazionali, facilita la libera circolazione dei dati. La firma del Protocollo aggiuntivo alla Convenzione STE n. 10862 persegue il medesimo obiettivo.
I principali beneficiari dei provvedimenti previsti dal disegno, in particolare al livello dell'informazione, saranno i consumatori perché potranno meglio difendere i loro diritti e prevenire eventuali pregiudizi alla personalità. Ma anche le imprese private ne trarranno vantaggio, nella misura in cui l'introduzione di nuovi compiti relativi all'obbligo di informare sarà compensato da alleggerimenti nel settore delle
notificazioni. L'intervento dello Stato è infatti limitato allo stretto necessario. Il controllo sull'applicazione della legge dipenderà in larga misura dall'iniziativa delle persone interessate che, essendo meglio informate, avranno più possibilità di difendere i loro diritti. Nel settore privato, i poteri d'intervento dell'Incaricato rimangono pressoché identici. Infatti è lasciata una grande autonomia agli attori economici che possono garantire un livello di protezione adeguato dei dati, segnatamente per quanto riguarda i flussi internazionali di dati, grazie a misure volontarie come la conclusione di una convenzione o l'adozione di un codice deontologico. Sono concessi vantaggi anche alle società che praticano l'autocontrollo (consulente interno, certificazioni). La non osservanza delle disposizioni legali è principalmente sanzio-
61 62
Cfr. FF 2001 750 e 825 RS 0.235.1
1931
nata per la via del processo civile (art. 28 segg. CC) e dalle raccomandazioni dell'Incaricato.
4
Programma di legislatura
Il disegno è annunciato come altro oggetto nel programma di legislatura63 1999 2003.
5
Aspetti giuridici
5.1
Diritto costituzionale
Nella Costituzione federale del 18 aprile 1999, come del resto nella precedente Costituzione del 1874, non figura nessuna norma che abilita espressamente la Confederazione a legiferare. È pur verso che l'articolo 13 capoverso 2 della nuova Costituzione sancisce che ognuno ha diritto d'essere protetto da un impiego abusivo dei suoi dati personali. Ma si tratta di un diritto fondamentale che non conferisce alla Confederazione nuove competenze. Tuttavia, in virtù dell'articolo 35 capoversi 2 e 3 della Costituzione, chi svolge un compito statale deve rispettare i diritti fondamentali e contribuire ad attuarli e le autorità provvedono affinché i diritti fondamentali, per quanto vi si prestino, siano realizzati anche nelle relazioni tra privati. In questo senso, il disegno contribuisce alla realizzazione dell'articolo 35 capoversi 2 e 3 della Costituzione sia per quanto concerne le relazioni tra le autorità, sia per quanto concerne le relazioni tra privati.
Il disegno si fonda sulle competenze di cui la Confederazione disponeva già al momento dell'adozione della legge. Nel campo del diritto privato, il legislatore può basarsi sulla competenza di legiferare nel campo del diritto civile (art. 122 Cost.), così come sulla competenza di legiferare sull'esercizio dell'attività economica privata (art. 95 Cost.) e sulla tutela dei consumatori (art. 97 Cost.). Altre disposizioni costituzionali completano dette norme, come la competenza di legiferare nel settore delle assicurazioni private (art. 98 cpv. 3 Cost.)64.
Nel campo del diritto pubblico, il legislatore federale si è basato sul potere d'organizzazione che gli conferiva l'articolo 82 numero 1 della precedente Costituzione (art. 173 cpv. 2 Cost.) per emanare disposizioni sulla protezione dei dati, applicabili alle autorità e ai servizi dell'amministrazione. Come ha fatto notare il Consiglio federale nel suo messaggio del 23 marzo 1988 concernente la LPD65, la Costituzione riconosce ai Cantoni una piena autonomia in materia di organizzazione, ragion per cui spetta ai Cantoni legiferare sulla protezione dei dati nel loro settore. La Confederazione ha pertanto diritto di emanare disposizioni sulla protezione dei dati, applicabili ai settori pubblici cantonali o comunali, unicamente negli ambiti in cui i Cantoni sono incaricati di applicare il diritto federale,
fatto questo, e non c'è bisogno di dirlo, che deve fondarsi su una norma costituzionale attributiva di competenza. Perfino in tal caso, la Confederazione deve evitare di sconfinare nel campo delle competenze 63 64 65
Cfr. FF 2000 2268 FF 1988 II 364 segg.
FF 1988 II 353 segg. 365
1932
cantonali in materia di organizzazione. Finora la Confederazione si è limitata a emanare norme sulla protezione dei dati, applicabili ai Cantoni unicamente nei campi in cui questi agiscono in applicazione del diritto federale (cfr. in particolare art. 37 LPD). Il disegno rispetta tale limite. I campi nei quali estende la protezione dei dati concernono infatti sia il trattamento di dati da parte di organi cantonali in applicazione del diritto federale (art. 37), sia il trattamento di dati da parte di un organo federale congiuntamente con organi cantonali (art. 16 cpv. 3 e 27a del disegno).
5.2
Rapporto con il diritto internazionale
Il disegno è conforme alla Convenzione STE n. 18066 e permette di ratificare il Protocollo aggiuntivo dell'8 novembre 2001. Permette pure un avvicinamento parziale al diritto comunitario. Per il resto si rinvia al numero 123.
5.3
Delega del diritto di legiferare
Il Consiglio federale regola le modalità concernenti il nuovo obbligo legale di informare l'Incaricato durante le comunicazioni di dati all'estero in casi determinati (art. 6 cpv. 3).
Il Consiglio federale emana prescrizioni sul riconoscimento di procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati (art. 11 cpv. 2).
Inoltre il Consiglio federale disciplina le modalità di notificazione delle collezioni di dati come pure la tenuta e la pubblicazione del registro delle collezioni di dati da parte dell'Incaricato come pure le altre modalità relative all'obbligo di informare (art. 11a cpv. 6).
Mediante ordinanza il Consiglio federale può autorizzare a determinate condizioni il trattamento automatizzato di dati degni di particolare protezione o di profili della personalità nell'ambito di progetti pilota (art. 17a).
66
RS 0.235.1
1933
Indice Compendio
1886
1 Parte generale 1.1 Situazione iniziale 1.1.1 Diritto vigente 1.1.1.1 A livello federale 1.1.1.2 A livello cantonale 1.1.2 Interventi parlamentari all'origine della revisione 1.1.2.1 Mozione «Collegamenti online» 1.1.2.2 Mozione «Maggiore trasparenza nella raccolta di dati personali» 1.2 Definizione della portata e degli obiettivi della revisione 1.2.1 Le grandi linee della revisione 1.2.2 Principali novità 1.2.2.1 L'obbligo di informare al momento della raccolta dei dati personali 1.2.2.2 Semplificazione dell'obbligo di notificare 1.2.2.3 Procedura d'opposizione 1.2.2.4 Promozione dell'autoregolamentazione mediante certificazione 1.2.2.5 Realizzazione di collegamenti online prima della creazione di una base legale formale 1.2.2.6 Trattamento congiunto di dati personali fra gli organi federali e terzi 1.2.2.7 Standard minimo applicabile ai Cantoni 1.2.3 Il contesto internazionale 1.2.3.1 Consiglio d'Europa 1.2.3.1.1 Diritto vigente 1.2.3.1.2 Protocollo aggiuntivo alla Convenzione STE n. 108 1.2.3.1.2.1 Autorità di controllo 1.2.3.1.2.2 Flussi internazionali 1.2.3.2 Il diritto comunitario 1.2.3.3 Confronto internazionale 1.2.3.3.1 Italia 1.2.3.3.2 Germania 1.2.3.3.3 Austria 1.2.3.3.4 Francia 1.2.3.3.5 Gran Bretagna 1.2.4 Relazione con altri progetti di legge 1.2.5 Procedura di consultazione e relativi risultati 1.2.6 Le modifiche più importanti rispetto all'avamprogetto sottoposto a consultazione 1.3 Attuazione 1.4 Stralcio di interventi parlamentari
1888 1888 1888 1888 1889 1889 1889
1934
1890 1891 1892 1894 1894 1894 1895 1895 1895 1896 1896 1896 1896 1896 1897 1898 1899 1900 1901 1901 1902 1902 1903 1903 1904 1904 1905 1905 1906
2 Parte speciale 2.1 Art. 2 Campo d'applicazione 2.2 Art. 3 Definizioni 2.3 Art. 4 Principi 2.4 Art. 6 Comunicazione di dati all'estero 2.5 Art. 7a Obbligo di informare nell'ambito della raccolta di dati personali degni di particolare protezione e di profili della personalità 2.6 Art. 7b Obbligo di informare in caso di decisioni individuali automatizzate 2.7 Art. 8 Diritto d'accesso 2.8 Art. 9 Restrizione dell'obbligo di informare e del diritto d'accesso 2.9 Art. 10a Trattamento di dati da parte di terzi 2.10 Art. 11 Procedura di certificazione 2.11 Art. 11 Registro delle collezioni di dati 2.12 Art. 12 Lesioni della personalità 2.13 Art. 14 Trattamento da parte di terzi 2.14 Art. 15 Azioni e procedura 2.15 Art. 15a Procedura in caso di opposizione al trattamento 2.16 Art. 16 Organo responsabile 2.17 Art. 17 Fondamenti giuridici 2.18 Art. 17a Trattamento automatizzato di dati nell'ambito di sistemi pilota 2.19 Art. 18 Raccolta di dati personali 2.20 Art. 19 Comunicazione di dati personali 2.21 Art. 21 Offerta di documenti all'Archivio federale 2.22 Art. 26 Nomina e statuto 2.23 Art. 27 Sorveglianza sugli organi federali 2.24 Art. 29 Accertamento e raccomandazioni nel settore privato 2.25 Art. 31 Altri compiti 2.26 Art. 34 Disposizioni penali 2.27 Art. 37 Esecuzione da parte dei Cantoni 2.28 Art. 38 Disposizioni transitorie
1906 1906 1907 1907 1910 1913 1915 1916 1916 1917 1917 1918 1920 1920 1920 1920 1922 1922 1923 1925 1925 1926 1926 1926 1927 1927 1927 1927 1928
3 Conseguenze della revisione 1929 3.1 Confederazione: Conseguenze finanziarie e sull'effettivo del personale 1929 3.2 Conseguenze per i Cantoni 1929 3.2.1 Conseguenze finanziarie e sull'effettivo del personale 1929 3.2.2 Ripercussioni per i Cantoni di un'adesione al Protocollo aggiuntivo 1929 3.3 Ripercussioni nel settore informatico 1930 3.4 Conseguenze per l'economia 1931 4 Programma di legislatura
1932 1935
5 Aspetti giuridici 5.1 Diritto costituzionale 5.2 Rapporto con il diritto internazionale 5.3 Delega del diritto di legiferare
1932 1932 1933 1933
Legge federale sulla protezione dei dati (LPD) (Disegno)
1937
Decreto federale concernente l'adesione della Svizzera al Protocollo aggiuntivo del 23 maggio 2003 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati (Disegno)
1946
Protocollo aggiuntivo alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale (STE n. 108) concernente le autorità di controllo e i flussi internazionali di dati 1947
1936