Le domande frequenti sulla protezione dei dati sono attualmente in revisione e saranno integrate con spiegazioni dettagliate. La versione aggiornata sarà pubblicata a breve su questa pagina.
1 Decisione del Consiglio federale
Il Consiglio federale ha deciso di porre in vigore la nuova legge sulla protezione dei dati (LPD) e le disposizioni d’esecuzione delle nuove ordinanze sulla protezione dei dati (OPDa) e sulle certificazioni in materia di protezione dei dati (OCPD) il 1° settembre 2023.
Fissando al 1° settembre 2023 l’entrata in vigore della nuova legislazione sulla protezione dei dati, il Consiglio federale ha tenuto conto delle esigenze dell’economia. Con un termine di transizione di un anno i titolari del trattamento dei dati hanno a disposizione un periodo di tempo sufficiente per introdurre le misure necessarie all’attuazione della nuova legislazione sulla protezione dei dati.
2 Scopo e contenuto della legislazione sulla protezione dei dati
La legislazione sulla protezione dei dati concretizza il diritto fondamentale all’autodeterminazione informativa ai sensi dell’articolo 13 capoverso 2 Cost. e protegge la sfera privata. Garantisce che i diritti fondamentali esplichino effetto non soltanto nei rapporti con lo Stato, bensì anche in quelli tra privati (art. 35 cpv. 3 Cost.).
La legislazione sulla protezione dei dati stabilisce i principi per il trattamento dei dati personali. Disciplina gli obblighi di coloro che trattano dati personali e sancisce i diritti delle persone i cui dati sono oggetto di trattamento. Per garantire l’applicazione di tali regole nella prassi, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha il compito di vigilare sul rispetto delle regole del diritto federale in materia di protezione dei dati.
3 Novità importanti della revisione totale della legislazione sulla protezione dei dati
La revisione della legislazione sulla protezione dei dati si è resa necessaria per tenere conto dell’evoluzione tecnologica e della trasformazione digitale della nostra società. Le nuove norme garantiscono inoltre la compatibilità con il diritto europeo e permettono di ratificare la versione aggiornata della Convenzione 108+ del Consiglio d’Europa. Gli adattamenti previsti dalla nuova legislazione consentono alla Svizzera di continuare a essere considerata dall’UE uno Stato terzo con una protezione dei dati adeguata e permettono quindi anche in futuro la comunicazione transfrontaliera di dati senza condizioni aggiuntive. In tale contesto occorre menzionare in particolare l’attuazione delle condizioni della versione aggiornata della Convenzione 108+ del Consiglio d’Europa, l’attuazione della direttiva (UE) 2016/680 sulla protezione dei dati in materia penale, rilevante per Schengen, e l’adeguamento al regolamento generale sulla protezione dei dati 2016/679 dell’UE (RGPD).
La revisione totale intende migliorare l’autodeterminazione delle persone in relazione all’uso dei loro dati personali. Vanno menzionati soprattutto i seguenti miglioramenti:
- miglioramento generale della trasparenza;
- rafforzamento delle competenze di vigilanza e dell’indipendenza dell’IFPDT;
- inasprimento delle disposizioni penali;
- considerazione della protezione dei dati già in occasione della pianificazione del trattamento dei dati ("privacy by design") e mediante preimpostazioni favorevoli alla protezione ("privacy by default");
- obbligo di svolgere una valutazione d’impatto sulla protezione dei dati;
- diritto alla consegna e al trasferimento di dati;
- promozione della sicurezza dei dati e notificazione delle violazioni della sicurezza dei dati.
La revisione mira inoltre a promuovere l’autoregolazione presso i titolari del trattamento attraverso codici di condotta tesi ad agevolare le loro attività e a migliorare il rispetto della legge. Tali codici sono elaborati dalle associazioni professionali, di categoria e dell’economia o dagli organi della Confederazione e possono essere sottoposti all’IFPDT.
- Totalrevision des Datenschutzgesetzes (DSG) - Übersicht zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane (PDF, 680 kB, 10.11.2022)
-
Révision totale de la loi fédérale sur la protection des données (LPD) - Aperçu des principales modifications en vue de l’élaboration des bases légales concernant le traitement de données par les organes fédéraux (PDF, 683 kB, 10.11.2022)
(Questo documento non è disponibile in italiano)
Le persone i cui dati sono oggetto di trattamento devono sapere chi li tratta e a quale scopo, affinché possano far valere i propri diritti risultanti dalla legge sulla protezione dei dati. A tal fine sono stati estesi l’obbligo dei titolari del trattamento di informare attivamente e il diritto d’accesso delle persone i cui dati sono trattati. Un’ulteriore novità è l’obbligo di informare nel caso di decisioni individuali automatizzate (p. es. mediante algoritmi).
Il capo dell’IFPDT sarà in futuro eletto dall’Assemblea federale. Inoltre, al fine di rafforzare la sua indipendenza, l’IFPDT disporrà di un proprio budget. Saranno estese anche le sue competenze di vigilanza. Secondo la nuova legge sulla protezione dei dati, l’IFPDT apre, d’ufficio o su denuncia, un’inchiesta se indizi sufficienti lasciano presumere che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati. Se constata che un trattamento di dati viola tali disposizioni, oltre a una raccomandazione, l’IFPDT potrà emanare anche una decisione impugnabile, ordinando ad esempio di adeguare, sospendere o cessare del tutto il trattamento dei dati oppure di cancellare o distruggere i dati personali.
Accanto al rafforzamento della vigilanza sulla protezione dei dati, anche norme penali più severe intendono migliorare il rispetto della legge sulla protezione dei dati. Pertanto, la nuova legge sulla protezione dei dati estende le fattispecie penali e aumenta da 10 000 franchi a 250 000 franchi la multa massima per le violazioni. Il perseguimento e il giudizio dei reati permane di competenza dei Cantoni; tuttavia l’IFPDT può sporgere denuncia presso l’autorità di perseguimento penale competente e avvalersi nei procedimenti dei diritti dell’accusatore privato.
Le disposizioni penali della nuova legge sulla protezione dei dati contemplano, come sinora, principalmente le persone fisiche. Non si tratta di una specificità della legislazione sulla protezione dei dati: nel diritto penale svizzero i destinatari delle disposizioni penali sono infatti in primo luogo le persone fisiche e non le imprese. Tuttavia, in caso di violazione degli obblighi in materia di protezione dei dati da parte di un’impresa, devono rispondere del reato i dirigenti e non i semplici collaboratori. Ciò significa che sono responsabili soprattutto il padrone d’azienda, gli organi o i membri di un organo, i soci autorizzati nonché i dirigenti effettivi. È comunque necessario il potere decisionale autonomo in un determinato settore dell’impresa.
Chi prevede un trattamento dei dati che può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata deve effettuare una valutazione d’impatto sulla protezione dei dati. Sussiste un rischio elevato in particolare nel caso di trattamento su grande scala di dati personali degni di particolare protezione (p. es. dati sanitari) o di sorveglianza sistematica di ampi spazi pubblici. La valutazione d’impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per la personalità o per i diritti fondamentali della persona interessata nonché i provvedimenti a sua tutela. Il titolare del trattamento deve chiedere il parere dell’IFPDT se dalla valutazione d’impatto sulla protezione dei dati emerge che, nonostante i provvedimenti del titolare, il trattamento previsto comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
Si parla di decisione individuale automatizzata quando la decisione si basa esclusivamente su un trattamento automatizzato di dati personali e ha effetti giuridici o ripercussioni significative per la persona interessata. Nel caso di una decisione individuale automatizzata sia la valutazione del contenuto di un fatto sia la decisione che si basa su di essa sono quindi effettuate da una macchina o da un algoritmo, senza la partecipazione di una persona fisica. La decisione individuale automatizzata ai sensi della nuova legge sulla protezione dei dati deve presentare una certa complessità. Non ne fanno parte semplici decisioni conseguenziali (se – allora) o domande cui rispondere sì o no e che si fondano su criteri oggettivi evidenti per la persona interessata (p. es. il prelievo di denaro a un bancomat).
La nuova legge sulla protezione dei dati prescrive che la persona i cui dati sono trattati deve essere informata in merito a una decisione individuale automatizzata. Inoltre la persona in questione ha il diritto, su sua richiesta, di esprimere un parere e di esigere che la decisione vada riesaminata da una persona fisica. Infine, nell’ambito del suo diritto di essere informata le devono essere fornite indicazioni sulla presenza di una decisione individuale automatizzata e sulla logica su cui si fonda quest’ultima.
Per profilazione s’intende qualsiasi trattamento automatizzato di dati personali volto a valutare determinate caratteristiche di una persona fisica, ad esempio mediante l’analisi o la previsione di aspetti inerenti alla prestazione lavorativa, alla situazione economica, alla salute, alle preferenze personali, agli interessi, all’affidabilità, al comportamento, al luogo di domicilio o alla mobilità. In altre parole, la profilazione è un metodo per inquadrare o valutare una persona. Può trattarsi dell’analisi di caratteristiche personali, ma anche della previsione futura di comportamenti e peculiarità. A differenza della decisione individuale automatizzata (cfr. domanda 3.2.5) la profilazione non implica obbligatoriamente un trattamento del tutto automatizzato. L’intervento di una persona fisica non esclude che si tratti di una profilazione a condizione che la parte essenziale del trattamento dei dati si svolga in modo automatizzato.
È considerata "profilazione a rischio elevato" quella che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata, poiché collega dati in modo tale da permettere di valutare aspetti essenziali della personalità di una persona fisica. In altre parole, si è in presenza di una profilazione a rischio elevato se ne risulta un profilo della personalità ai sensi della vigente legge sulla protezione dei dati. In tal caso vi è il pericolo che dal collegamento di una moltitudine di dati (anche non particolarmente degni di protezioni) risulti un’immagine complessiva della persona interessata che implica di per sé un rischio elevato per la personalità e i diritti fondamentali. Spesso la persona interessata non ha alcun influsso su questa immagine e non può controllarne né l’esattezza né l’uso.
Ai titolari privati del trattamento di dati si applicano regole più severe per la profilazione a rischio elevato (p. es. requisiti più elevati per il consenso). Agli organi federali invece si applicano regole più severe anche alla profilazione "normale". Sono in particolare autorizzate a effettuare una profilazione soltanto se lo prevede una base legale formale.
Chiunque può esigere, a determinate condizioni, che i dati personali che ha comunicato al titolare del trattamento gli siano consegnati in un formato elettronico usuale. Può inoltre esigere dal titolare del trattamento che i dati personali siano trasmessi a un altro titolare, se non ne consegue un onere sproporzionato. Si tratta del cosiddetto diritto alla portabilità dei dati. In tal modo si rafforzano nel contempo l’autonomia delle persone interessate in relazione alle prestazioni digitali e la libera concorrenza tra i diversi fornitori.
4 Sviluppi internazionali della protezione dei dati
La direttiva UE 2016/680 tratta di uno sviluppo dell’acquis di Schengen, che la Svizzera è tenuta a recepire in virtù dell’Accordo di associazione a Schenge. La direttiva ha un campo d’applicazione specifico: e regola il trattamento dei dati da parte delle autorità ai fini del perseguimento penale, dell’esecuzione delle pene e della prevenzione dei pericoli per la pubblica sicurezza.
Il regolamento generale sulla protezione dei dati disciplina la protezione dei dati trattati dai privati o dalle autorità degli Stati membri dell’UE. Contrariamente alla direttiva UE 2016/680 sulla protezione dei dati in materia penale, il regolamento generale dell’UE non costituisce uno sviluppo dell’acquis di Schengen e non è direttamente vincolante per la Svizzera. Tuttavia, esso si applica anche alle imprese in Svizzera che offrono merci e servizi a persone residenti nell’UE o che osservano il comportamento di persone nell’UE. Inoltre, per la Svizzera è importante che l’UE continui a considerarla uno Stato terzo con un livello adeguato di protezione dei dati anche ai sensi del regolamento generale sulla protezione dei dati.
Già dal 2000 la Svizzera usufruisce di una decisione di adeguatezza dell’UE che riconosce un livello equivalente della protezione dei dati. L’adeguatezza rispetto alle disposizioni europee sulla protezione dei dati è sottoposta a verifiche periodiche. Il nuovo diritto permette di adeguare il livello di protezione svizzero alle nuove norme dell’UE.
In assenza di una decisione di adeguatezza da parte dell’UE possono essere trasmessi dati in Svizzera soltanto se sono previste garanzie appropriate o se sussistono determinate fattispecie eccezionali. Ciò implica notevoli ostacoli amministrativi, che rallentano il libero flusso di dati nonché le innovazioni a esso connesse e quindi si ripercuotono negativamente sulla piazza economica svizzera.
La Svizzera ratificherà il protocollo di emendamento (noto come Convenzione 108+) al momento dell’entrata in vigore della revisione totale della LPD. La Convenzione 108+ entrerà in vigore l’11 ottobre 2023, a condizione che fino ad allora ne facciano parte 38 Stati contraenti.
Finora circa 50 Stati, tra cui anche la Svizzera, hanno ratificato la Convenzione 108 del Consiglio d’Europa sulla protezione dei dati. Si tratta del primo strumento vincolante del diritto internazionale nel settore della protezione dei dati e risale al 1981. Il Consiglio d’Europa ha ora adeguato anche questa Convenzione all’era digitale. Con la ratifica della Convenzione modernizzata la Svizzera mantiene un buon livello di protezione dei dati nei confronti dei suoi partner internazionali, rafforzando in tal modo la sua piazza economica. Con la revisione totale della legge sulla protezione dei dati LPD s’intendono adempiere i requisiti della Convenzione 108 modernizzata, d’altronde molto simili a quelli delle disposizioni dell’UE e a quelle cui si aspira in Svizzera.
Ultima modifica 01.05.2023