25.4661 · Interpellanza · 2025-12-18
Dipartimento di giustizia e polizia
La dichiarazione sull’intervento è disponibile
Wortlaut
La riveduta legge federale sulla protezione dei dati (LPD) obbliga i privati che trattano dati a informare le persone interessate in merito al trattamento dei loro dati, in particolare in caso di trasmissione a terzi o all’estero. Non è tuttavia previsto alcun obbligo d’informazione analogo per i servizi statali. La legge non disciplina nemmeno la divulgazione a posteriori degli accessi statali a dati digitali. Le persone interessate non sono informate neppure quando una misura di sorveglianza è conclusa o si è rivelata infondata. In questo contesto, invito il Consiglio federale a rispondere alle domande seguenti:
Quali basi legali disciplinano attualmente l’informazione a posteriori delle persone interessate in merito ad accessi statali ai dati da parte della polizia, dei servizi delle attività informative o delle autorità amministrative?
Tra il 2018 e il 2023, quante persone sono state informate in merito all’accesso ai loro dati dopo la conclusione di una misura statale di raccolta di dati? Esistono statistiche che includono anche terzi non oggetto della misura?
Quali Paesi prevedono obblighi legali di informare le persone interessate in merito all’accesso statale ai dati dopo la conclusione della misura? Quali Stati dell’UE non prevedono alcun obbligo di questo tipo?
Il Consiglio federale ritiene che l’assenza di un obbligo d’informazione per i servizi statali comporti un’asimmetria rilevante rispetto ai privati che trattano dati secondo la LPD?
Quali possibilità vede il Consiglio federale per introdurre nella legge un obbligo d’informazione per i servizi statali in merito agli accessi ai dati dopo la conclusione della misura? Quale ruolo potrebbe svolgere un organo indipendente di controllo analogo alla vigilanza sulle attività informative?
Come giustifica il Consiglio federale che fornitori privati di servizi cloud siano tenuti alla trasparenza sulla trasmissione dei dati, mentre i servizi statali non devono informare le persone interessate in merito all’accesso ai loro dati, nemmeno quando la misura è conclusa?
Di quali strumenti di applicazione della legge dispongono oggi le persone interessate che sospettano un accesso statale ai loro dati, ma non ne sono mai state informate?
In numerosi Stati dell’UE, anche i servizi statali sono per legge obbligati a comunicare alle autorità di vigilanza e alle persone interessate le violazioni della protezione dei dati, mentre in Svizzera sono previsti obblighi d’informazione solo per attori privati. Come giudica il Consiglio federale questa incoerenza?
Stellungnahme des Bundesrates
1./4./6. L’articolo 19 capoverso 1 della legge federale del 25 settembre 2020 sulla protezione dei dati (LPD; RS 235.1) obbliga i titolari del trattamento a informare in modo adeguato gli interessati sulla raccolta dei loro dati personali allo scopo di rendere il trattamento dei dati più trasparente. L’obbligo d’informazione vale non solo per i privati, ma anche per gli organi federali. Tuttavia, secondo l’articolo 20 capoverso 1 lettere a e b LPD tale obbligo non sussiste se l’interessato dispone già delle pertinenti informazioni oppure se il trattamento dei dati è previsto dalla legge. Dato che nella maggior parte dei casi gli organi federali sono comunque autorizzati a trattare dati personali soltanto se lo prevede una base legale (art. 34 cpv. 1 LPD), essi non sottostanno ad alcun obbligo supplementare d’informazione in quasi nessun trattamento di dati che effettuano. Sono tenuti a informare ai sensi dell’articolo 19 LPD solo se il trattamento dei dati è in via eccezionale retto dall’articolo 34 capoverso 4 LPD e richiede in particolare il consenso dell’interessato. Secondo il Consiglio federale, questa soluzione è giustificata poiché la base legale garantisce la necessaria trasparenza in merito al trattamento dei dati. Di conseguenza, l’Esecutivo non ravvisa alcuna asimmetria rilevante tra gli organi federali e i privati che trattano dati, tanto più che all’atto pratico questi ultimi adempiono il loro obbligo d’informazione perlopiù pubblicando sui loro siti Internet informative standardizzate sulla protezione dei dati. In caso di trattamento di dati da parte di autorità cantonali e comunali si applicano le garanzie previste dal diritto cantonale in materia di protezione dei dati.
Inoltre, leggi speciali prevedono obblighi d’informazione specifici per diversi accessi statali ai dati che potrebbero comportare gravi ingerenze nei diritti fondamentali. Ad esempio, in caso di provvedimenti coercitivi secondo il Codice di procedura penale come la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (art. 279 del Codice di procedura penale [CPP; RS 312.0]), l’osservazione di persone e cose (art. 283 CPP) o le indagini sotto copertura e incognito (art. 298 e 298d cpv. 4 CPP) gli interessati sono in linea di massima informati una volta conclusa la misura. L’articolo 95 capoverso 2 primo periodo CPP prevede in generale che l’interessato che non poteva ravvisare di essere oggetto di una raccolta di dati deve esserne immediatamente informato. Anche in caso di misure di acquisizione soggette ad autorizzazione del Servizio delle attività informative della Confederazione (SIC), come la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni, l’impiego di apparecchi di localizzazione e sorveglianza o l’infiltrazione in sistemi e reti informatici (art. 33 della legge federale del 25 settembre 2015 sulle attività informative [LAIn]; RS 121), i servizi statali sono tenuti a informare l’interessato a operazione conclusa, il che rende più trasparenti anche questi accessi a dati.
2.Ogni anno attori statali federali, cantonali e comunali raccolgono i dati personali necessari per l’adempimento dei loro compiti. Il Consiglio federale non è a conoscenza di alcuna statistica che offra una panoramica completa dei casi in cui si applica l’obbligo d’informazione in seguito a misure statali di acquisizione di dati. Il trattamento di dati da parte di autorità statali si fonda su basi legali che garantiscono trasparenza in merito al servizio responsabile del trattamento, allo scopo del trattamento e agli eventuali destinatari di una comunicazione di dati. Deroghe ai motivi giustificativi sono possibili solo in determinati casi (cfr. in particolare l’art. 34 cpv. 4 LPD).
3 e 8. Gli Stati membri dell’UE sono tenuti a rispettare in particolare il regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, GDPR) e la direttiva (UE) 2016/680 sulla protezione dei dati nelle attività di polizia e giudiziarie, la quale è vincolante anche per la Svizzera quale Stato associato a Schengen. Questi due testi prescrivono un obbligo d’informazione anche per le autorità in caso di raccolta e/o trattamento di dati personali, ma prevedono pure la possibilità per gli Stati membri di imporre limitazioni per motivi d’interesse pubblico (art. 23 GDPR; art. 13 direttiva [UE] 2016/680). Sembra che, in linea generale, la maggior parte degli Stati membri preveda limitazioni di questo tipo, in particolare nell’ambito del perseguimento penale (cfr. in particolare la prima relazione sull’applicazione e sul funzionamento della direttiva [UE] 2016/680 sulla protezione dei dati nelle attività di polizia e giudiziarie COM/2022/364 final, pag. 18).
Gli obblighi del titolare del trattamento e del responsabile del trattamento in materia di informazione e di notifica delle violazioni della sicurezza dei dati previsti dalla LPD si applicano, come nell’UE, sia ai privati che agli organi federali (art. 24 LPD).
5. e 7. Come illustrato sopra, in Svizzera esistono diversi obblighi d’informazione in materia di raccolta di dati personali, non solo per i privati ma anche per gli organi federali e altri servizi statali, al fine di garantire un trattamento trasparente dei dati. Il Consiglio federale non ritiene pertanto necessarie, al momento, misure legislative.
Il Consiglio federale considera inoltre che siano garantite sia una tutela giurisdizionale sufficiente contro il trattamento non trasparente dei dati sia una vigilanza indipendente sulla protezione dei dati: una violazione del principio di trasparenza, applicabile a ogni trattamento (art. 6 cpv. 3 LPD), o un trattamento di dati senza base legale può costituire un trattamento illecito di dati da parte di un organo federale. In virtù dell’articolo 41 LPD l’interessato può far valere in un caso di questo tipo diverse pretese giuridiche nei confronti dell’organo federale responsabile: può ad esempio esigere che quest’ultimo si astenga dal trattamento illecito dei dati, ne elimini le conseguenze, rettifichi, cancelli o distrugga i dati personali. Se il trattamento s’iscrive nel quadro di misure coercitive ordinate in un procedimento penale, la persona i cui dati sono stati oggetto di trattamento può interporre ricorso ai sensi degli articoli 393 e seguenti CPP. I rimedi giuridici contro una decisione del SIC sono retti dall’articolo 83 LAIn.
Inoltre, se indizi sufficienti lasciano presumere che il trattamento di dati da parte di un organo federale possa violare le disposizioni sulla protezione dei dati, l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) apre, d’ufficio o su denuncia, un’inchiesta (art. 49 cpv. 1 LPD). Se constata una violazione delle disposizioni sulla protezione dei dati, l’IFPDT può ordinare di adeguare, sospendere o cessare del tutto o in parte il trattamento nonché di cancellare o distruggere del tutto o in parte i dati personali (art. 51 cpv. 1 LPD). Può segnatamente disporre che l’organo federale informi gli interessati conformemente all’articolo 19 LPD (art. 51 cpv. 3 lett. c LPD). La vigilanza sul trattamento di dati da parte di autorità cantonali e comunali compete ai servizi cantonali preposti alla protezione dei dati.