04.1064 · Interrogazione · 2004-06-01
Cancelleria federale
Liquidato
Stellungnahme des Bundesrates
Situazione iniziale.
Nell'ambito della riorganizzazione della sua rete di concessionari, un importatore di automobili ha informato i clienti di un concessionario della sua marca di auto che al loro attuale garagista era stata tolta la concessione. Contemporaneamente, ai proprietari di automobili è stato proposto un nuovo concessionario della marca. Nella stessa lettera l'importatore ha indicato che i proprietari di automobili possono rifiutare la trasmissione dei loro dati di clienti al nuovo concessionario della marca. Si è posto il problema di sapere se l'importatore fosse autorizzato a utilizzare i dati dei clienti del suo concessionario o a trasmetterli a un nuovo concessionario, rispettivamente se egli abbia contravvenuto alla legge sulla protezione dei dati.
L'Incaricato federale della protezione dei dati, nel suo accertamento dei fatti, ha osservato quanto segue:
1. il garagista (precedente concessionario della marca) ha trasmesso all'importatore, con il consenso dei proprietari di auto interessati, i loro dati di clienti per scopi di marketing;
2. l'importatore ha informato per scritto i proprietari di automobili interessati in merito alla prevista trasmissione dei dati di clienti al nuovo concessionario della marca e al cambiamento dello scopo del trattamento dei dati;
3. l'importatore ha accordato ai proprietari di automobili la possibilità di opporsi alla trasmissione dei propri dati di clienti al nuovo concessionario della marca. Se gli interessati non fanno uso di questa possibilità, ciò equivale a un consenso implicito alla trasmissione dei dati;
4. la trasmissione dei dati di clienti da parte dell'importatore, sottoposta a valutazione, fondamentalmente era compatibile con la legge federale sulla protezione dei dati (LPD; SR 235.1);
5. la legge sulla protezione dei dati non accorda al precedente concessionario della marca alcun diritto a disporre dei dati di clienti che egli ha comunicato all'importatore in modo conforme ai principi della protezione dei dati, ossia con il consenso degli interessati.
Risposta alle domande:
1. No: la legge sulla protezione dei dati non stabilisce particolari esigenze formali per una dichiarazione di consenso. Il consenso della persona interessata, ad esempio per la trasmissione di dati dei clienti, può avvenire esplicitamente o tacitamente. Quali esigenze deve adempiere nel caso concreto il consenso degli interessati dipende in particolare dal grado di sensibilità dei dati personali trattati. Nel presente caso, l'operatore del livello commerciale superiore ha informato i clienti sulla prevista trasmissione dei dati che li riguardavano e ha accordato loro la possibilità di opporsvii, entro un determinato termine. Nel caso dei dati dei clienti in questione non si trattava di dati personali degni di particolare protezione. Pertanto, non era necessario un'autorizzazione esplicita dei clienti per la trasmissione dei loro dati. Il consenso tacito di un cliente può essere considerato a buon diritto quale valida autorizzazione ai sensi della legge sulla protezione dei dati.
2. Se l'operatore del livello commerciale inferiore trasmette i dati dei clienti che ha raccolto in modo conforme alla protezione dei dati all'operatore del livello commerciale superiore, la legge sulla protezione dei dati non gli accorda alcun diritto di partecipare in futuro a decisioni dell'operatore superiore riguardanti il trattamento di questi dati. Conformemente alla legge sulla protezione dei dati, soltanto le persone interessate, in questo caso i clienti, possono far valere diritti per influire sul trattamento da parte di chi tratta i dati. Dal profilo del diritto sulla protezione dei dati, soltanto il cliente può vietare la trasmissione dei suoi dati a un nuovo distributore, ma non invece l'operatore del livello commerciale inferiore. Con il consenso del cliente, anche l'operatore commerciale superiore è autorizzato a trasmettere i dati, benché ciò costituisca un cambiamento dello scopo originale del trattamento.
3. La durata necessaria per rispondere a una richiesta dipende sia dagli accertamenti dei fatti indispensabili nel singolo caso, sia dal carico di lavoro presso la segreteria dell'Incaricato federale della protezione dei dati. La legge sulla protezione dei dati (art. 26) garantisce all'Incaricato federale della protezione dei dati la possibilità di svolgere i propri compiti in maniera autonoma. Pertanto, il Consiglio federale non si esprime di regola in merito alla durata degli accertamenti svolti dall'Incaricato.
4. L'Incaricato federale della protezione dei dati ha riconosciuto sin dall'inizio la propria competenza in questo affare per quanto riguarda gli aspetti relativi al diritto in materia di protezione dei dati. Ciò è confermato dal fatto che egli ha immediatamente avviato gli accertamenti previsti dalla legge sulla protezione dei dati e ha effettuato una valutazione completa dal profilo del diritto della protezione dei dati. L'Incaricato federale della protezione dei dati ha la possibilità di emanare raccomandazioni in base ai suoi accertamenti e di portare un caso davanti alla Commissione federale della protezione dei dati per decisione (art. 29 cpv. 3-4 LPD). L'Incaricato federale della protezione dei dati non ha ritenuto appropriato nel presente caso emanare una raccomandazione. Conformemente all'articolo 15 LPD, le persone interessate possono però anche far valere i loro diritti secondo il diritto civile.
Risposta del Consiglio federale.