Lexipedia

163.110

Regolamento di applicazione alla legge cantonale sulla protezione dei dati personali

RLPDP

Preambolo

Regolamento

di applicazione alla legge cantonale sulla protezione dei dati personali

(RLPDP)

(del 6 dicembre 2000)

IL CONSIGLIO DI STATO

DELLA REPUBBLICA E CANTONE TICINO

decreta:

Titolo I

Norme generali

Art. 1

… [1] Definizioni Banca dati

Art. 2

La banca dati o banca di dati personali è un archivio o un insieme di archivi di dati personali elaborati in forma elettronica o informatizzata da uno o più organi.

Alla banca dati si applicano per analogia le norme sugli archivi di dati personali, riservate specifiche esigenze di sicurezza. Copie di archivi

Art. 3

Sono considerate copie o strumenti di lavoro ai sensi dell’art. 19 cpv. 3 lett. c) della legge, le raccolte di dati personali che contengono la totalità o una parte di un archivio di dati personali già notificato nel Registro centrale o che servono esclusivamente alla semplificazione del lavoro. Titolo II Principi per l’elaborazione dei dati personali Liceità

Art. 4

L’organo responsabile:

  1. verifica d’ufficio la liceità di ogni elaborazione di dati personali;
  2. controlla che la raccolta sia organizzata in modo da rispettare i diritti della persona interessata, in particolare il diritto d’informazione e il diritto di rettifica.

Al fine di garantire il rispetto delle disposizioni in materia di protezione dati, l’organo responsabile comunica all’Incaricato cantonale della protezione dei dati (in seguito: Incaricato), nella sua qualità di autorità cantonale di vigilanza e controllo, l’intenzione di procedere ad un’elaborazione sistematica di dati personali. [3] Elaborazio ne da parte di più organi

Art. 5

L’utilizzazione da parte di più organi responsabili di una banca di dati personali oppure l’elaborazione da parte di un organo dei dati personali contenuti nell’archivio di dati di un altro organo responsabile, è sottoposta al preavviso dell’Incaricato. Raccolta dei dati art. 9 ( LPDP) Eccezioni

Art. 6

Le eccezioni all’art. 9 cpv. 1 della legge sono ammesse se la raccolta è necessaria per l’adempimento di un mandato conferito ad un’Autorità giudiziaria o amministrativa. Obbligo di informazione

Art. 7

L’organo responsabile deve informare la persona interessata se i dati personali che la concernono sono utilizzati per uno scopo diverso da quello originario. Trasmissione di dati personali art. 10 ( e segg. LPDP)

Art. 8

L’organo responsabile verifica d’ufficio la compatibilità degli scopi della propria elaborazione con quelli del destinatario della trasmissione.

In caso d’incompatibilità l’organo responsabile ne dà immediata comunicazione all’Incaricato. [5] Trasmissione a persone od organizzazioni private Istanza e procedura

Art. 9

L’organo responsabile decide su istanza la trasmissione di dati personali a persone od organizzazioni private.

In caso di richiesta di trasmissione sistematica o periodica di dati personali, l’istanza deve contenere:

  1. le indicazioni concernenti il richiedente;
  2. il tipo di dati oggetto della trasmissione;
  3. lo scopo per il quale i dati verranno utilizzati. Convenzione

Art. 10

La trasmissione di dati personali deve essere preceduta dalla stipulazione di una convenzione tra l’organo responsabile, proprietario dei dati, e il richiedente.

La convenzione deve indicare:

  1. la base legale;
  2. l’elenco dei dati personali soggetti alla trasmissione;
  3. l’origine dei dati personali;
  4. l’obbligo per il richiedente di garantire alla persona interessata il diritto d’accesso e le informazioni relative all’origine dei dati;
  5. le misure di sicurezza incombenti al richiedente;
  6. la riserva, a favore dell’Incaricato, di poter controllare in ogni momento l’utilizzazione dei dati trasmessi; [6]
  7. l’obbligo per il richiedente di ossequiare i principi della legislazione in materia di protezione dei dati;
  8. le spese a carico del richiedente;
  9. l’importo della pena convenzionale che verrà applicata in caso di violazione degli obblighi da parte del richiedente.

Se la trasmissione di dati personali è periodica, la convenzione deve pure contenere la frequenza della trasmissione e il riferimento all’ultimo aggiornamento dei dati. Trasmissione di dati per indiriz zari e pubblicazioni similari art. 11 ( cpv. 4 LPDP)

Art. 11

Le trasmissioni di dati personali in vista dell’allestimento d’indirizzari e pubblicazioni similari devono fare oggetto di una convenzione.

Possono essere trasmessi il nome, il cognome e l’indirizzo. Tramite l’ufficio controllo abitanti art. 12 ( LPDP) art. 12 Ar t. 12 1 La trasmissione di dati personali, ai sensi dell’ della legge, è sottoposta all’obbligo della convenzione se, cumulativamente:

  1. è periodica;
  2. i dati sono elaborati in ordine sistematico.

Tutte le richieste e le relative decisioni dell’Autorità comunale dovranno essere conservate a disposizione dell’Incaricato per una durata di cinque anni. [7] art. 14a Trasmissione all’estero ( LPDP) Obbligo di informare

Art. 12a

L’organo responsabile che intende trasmettere dati personali all’estero deve rispettare i principi generali della LPDP e accertarsi preventivamente dell’adeguatezza della protezione dei dati nello Stato di destinazione. art. 14a 2 Prima della trasmissione all’estero, esso informa l’Incaricato sulle garanzie e sulle regole di protezione dei dati ai sensi dell’ cpv. 2 lett. a LPDP.

L’obbligo di informare è considerato adempito se i dati sono trasmessi mediante contratto modello o clausole standard allestiti o riconosciuti dall’Incaricato e se l’organo responsabile informa in modo generale l’Incaricato dell’impiego di tali contratti modello o clausole standard.

L’Incaricato pubblica un elenco di tali contratti modello o clausole standard.

L’organo responsabile può applicare anche altre garanzie, quali una convezione specifica di protezione dei dati o clausole contenute in altri contratti; queste garanzie speciali devono assicurare un livello di protezione adeguato.

L’organo responsabile prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati. art. 14 7 L’Incaricato esamina le garanzie e le regole sulla protezione dei dati che gli sono state comunicate ( cpv. 2 LPDP) e comunica il risultato del suo esame all’organo responsabile entro 30 giorni dalla ricezione dell’informazione. Stati che adempiono il requisito di adeguatezza

Art. 12b

Per valutare l’adeguatezza della protezione dei dati in vista di una trasmissione all’estero, l’organo responsabile può fondarsi sull’elenco, pubblicato e aggiornato dalle autorità federali, degli Stati che dispongono di una legislazione che assicura una protezione dei dati adeguata.

L’Incaricato cura e coordina la necessaria informazione. Trasmissione dei dati a fini statistici art. 15 ( LPDP)

Art. 13

La trasmissione di dati personali a persone o servizi che elaborano statistiche o a istituti di ricerca de ve essere sottoposta alla stipu lazione di una convenzione.

L’organo responsabile accerta che:

  1. nessuna norma ne escluda la trasmissione;
  2. i dati personali siano elaborati in modo da rendere quanto più difficile l’identificazione di una determinata persona. art. 17 Sicurezza ( LPDP)

Art. 14

L’organo responsabile prende tutte le misure idonee a garantire la sicurezza dei dati in funzione del tipo di dati elaborati (neutri o sensibili).

L’Incaricato può controllare in ogni momento l’efficacia delle misure di sicurezza ed emanare le istruzioni per il loro potenziamento. [10] Titolo III Norme per gli archivi di dati art. 19 Registro dell’organo responsabile ( LPDP)

Art. 15

L’organo responsabile comunica all’Incaricato ogni costituzione, distruzione o modifica di archivi di dati personali. art. 20 Registro centrale ( LPDP)

Art. 16

Il Registro centrale contiene le indicazioni sulla denominazione dell’archivio, sull’organo responsabile, sul tipo d’elaborazione, sulla base legale e sulla natura dei dati.

Esso è pubblico e può essere consultato in ogni momento presso l’Incaricato.

L’Incaricato pubblica sul Foglio Ufficiale la costituzione e gli aggiornamenti del Registro centrale. [12] Titolo IV Diritti della persona interessata art. 22 Consultazione dei registri ( LPDP)

Art. 17

Il Registro centrale e il Registro dell’organo responsabile possono essere consultati liberamente. art. 23 Informazione ( LPDP)

Art. 18

Chi intende ottenere delle informazioni dall’organo responsabile deve provare la propria identità.

L’organo responsabile informa, immediatamente o entro breve termine, la persona interessata su:

  1. i dati che la concernono disponibili nell’archivio;
  2. la base legale, lo scopo dell’elaborazione, gli organi partecipanti e i destinatari regolari.

L’informazione è data in forma scritta e, se richiesta, verbalmente, oppure, se i mezzi tecnici lo permettono, con la consultazione diretta. art. 24 Limitazioni ( LPDP)

Art. 19

La limitazione della consultazione degli archivi è motivata nella forma scritta. [13]

Sono riservate le disposizioni speciali in materia di dati sanitari. art. 25 Rettifica ( LPDP)

Art. 20

La rettifica è notificata a tutti i destinatari regolari dei dati personali. Titolo V Vigilanza, rimedi giuridici e sanzioni [14] Incaricato cantonale della prote zione dei dati art. 30 ( segg. LPDP) Organizzazione [15]

Art. 21

Nell’esercizio delle sue mansioni, l’Incaricato procede per il tramite del Servizio per la protezione dei dati, di cui egli è il responsabile. Commissione canto nale per la protezione dei dati art. 31 ( segg. LPDP) [17]

Art. 22

La Commissione cantonale per la protezione dei dati adotta un proprio regolamento concernente l’organizzazione, il funzionamento e la procedura.

Il regolamento è pubblicato nel Bollettino Ufficiale delle leggi e degli atti esecutivi.

Art. 23

… [19] art. 31b Autorità di vigilanza comunali ( LPDP) Regolamento comunale e nomina [20]

Art. 24

I comuni possono prevedere nel proprio regolamento l’istituzione di un Servizio comunale per la protezione dei dati nominando ogni quadriennio un Incaricato comunale della protezione dei dati (in seguito: Incaricato comunale). art. 30 2 All’Incaricato comunale sono attribuite, per il territorio comunale, le competenze di cui all’ lett. a), b), c), d), e), f) della legge.

L’Incaricato comunale adempie la missione in modo autonomo e indipendente. Dal comune gli sono attribuite risorse adeguate.

L’Incaricato comunale collabora, nella misura necessaria allo svolgimento dei propri compiti, con l’Incaricato cantonale, in particolare scambiando con lui ogni informazione utile. Approvazione della regolamentazione comunale

Art. 25

L’Incaricato cantonale preavvisa al Consiglio di Stato l’approvazione della normativa comunale in materia di protezione dei dati personali. Comunicazione delle nomine

Art. 26

Il Municipio comunica all’Incaricato cantonale il nominativo della persona nominata quale Incaricato comunale. Registro comunale

Art. 27

L’Incaricato comunale trasmette all’Incaricato cantonale copia del Registro comunale degli archivi dei dati personali e i relativi aggiornamenti. TITOLO VI Norme finali e transitorie Norma transitoria

Art. 28

I comuni sono tenuti a modificare, se necessario, i regolament i comunali entro due anni dall’ entrata in vigore del presente regolamento. Norma abrogativa

Art. 29

È abrogato il Regolamento di applicazione della legge sulla protezione dei dati del 5 luglio 1990. Entrata in vigore

Art. 30

Il presente regolamento è pubblicato nel Bollettino ufficiale delle leggi e degli atti esecutivi ed entra in vigore il 1. gennaio 2001. Pubblicato nel BU 2000 , 386. [1] Art. abrogato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [2] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [3] Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [4] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [5] Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [6] Lett. modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [7] Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [8] Art. introdotto dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [9] Art. introdotto dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [10] Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [11] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [12] Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [13] Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [14] Sottotitolo modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [15] Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [16] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [17] Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [18] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [19] Art. abrogato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [20] Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [21] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [22] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [23] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554. [24] Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.