Revisione totale dell’ordinanza relativa alla legge federale sulla protezione dei dati (OLPD)
Dipartimento federale di giustizia e polizia DFGP Ufficio federale della giustizia UFG Ambito direzionale Diritto pubblico Settore Progetti legislativi I
Berna, 23 giugno 2021
Revisione totale dell’ordinanza relativa alla legge federale sulla protezione dei dati
Rapporto esplicativo per l’avvio della consultazione
BJ-D-DB3D3401/217
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
5 Commento all’allegato 1 (Stati, territori, settori determinati in uno Stato e organismi 6.1 Abrogazione dell’ordinanza del 14 giugno 1993 relativa alla legge federale sulla 6.4 Ordinanza del 4 dicembre 2009 sulle misure di polizia amministrativa dell’Ufficio
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.5 Ordinanza del 16 agosto 2017 sui sistemi d’informazione e di memorizzazione del 6.8 Ordinanza 3 dell’11 agosto 1999 sull’asilo relativa al trattamento di dati personali . 50 6.12 Ordinanza del 14 novembre 2012 concernente il rilascio di documenti di viaggio per
6.13 Ordinanza del 2 novembre 2016 concernente la legge federale relativa alla
Convenzione internazionale per la protezione di tutte le persone dalla sparizione forzata . 52 6.19 Ordinanza del 19 ottobre 2016 sui sistemi di gestione delle identità e sui servizi di 6.20 Ordinanza del 20 giugno 2018 concernente il trattamento dei dati nel sistema di 6.24 Ordinanza del 18 novembre 2015 sul sistema d’informazione concernente il servizio 6.25 Ordinanza del 25 novembre 1998 concernente lo Stato maggiore Presa d'ostaggi e 6.26 Ordinanza del 22 novembre 2017 sulla protezione dei dati personali del personale 6.27 Ordinanza del 5 novembre 2014 sull’elaborazione di dati personali nell’Intranet e 6.34 Ordinanza del 17 ottobre 2018 concernente il trattamento dei dati nel sistema «e- 6.36 Ordinanza del 26 giugno 2013 sulla commissione peritale federale incaricata di
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.37 Ordinanza del 7 novembre 2012 sulla protezione extraprocessuale dei testimoni .. 58 6.38 Ordinanza del 20 settembre 2013 sul sistema d’informazione in materia penale 6.41 Ordinanza del 30 novembre 2001 sull’adempimento di compiti di polizia giudiziaria in 6.45 Ordinanza del 6 dicembre 2013 sul trattamento dei dati segnaletici di natura 6.51 Ordinanza del 29 novembre 2013 sulla promozione della ricerca e dell’innovazione .. 6.55 Ordinanza del 25 giugno 2003 sugli emolumenti e le indennità per le prestazioni di 6.56 Ordinanza del 9 giugno 2017 sul Registro federale degli edifici e delle abitazioni ... 64 6.58 Ordinanza del 4 settembre 2013 sulla circolazione delle specie di fauna e di flora 6.59 Ordinanza del 1° settembre 2010 concernente il sistema d'informazione elettronico 6.67 Ordinanza del 12 agosto 2015 sul centro di notifica per i medicamenti a uso umano
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.70 Ordinanza del 4 aprile 2007 sull'impiego di telecamere, videoregistratori e altri 6.75 Ordinanza del 9 giugno 2006 sulle esigenze per il personale degli impianti nucleari... 6.76 Ordinanza del 9 giugno 2006 concernente i corpi di guardia degli impianti nucleari 69 6.81 Ordinanza del 17 dicembre 2014 concernente le inchieste sulla sicurezza in caso di 6.85 Ordinanza del 15 novembre 2017 sulla sorveglianza della corrispondenza postale e 6.86 Ordinanza del 15 novembre 2017 sul sistema di trattamento per la sorveglianza 6.88 Ordinanza del 6 ottobre 1997 concernente gli elementi d'indirizzo nel settore delle 6.98 Ordinanza del 14 novembre 2018 sulle autorizzazioni nel settore dei medicamenti 74 6.103 Ordinanza del 27 febbraio 1991 sulla protezione contro gli incidenti rilevanti . 75 5/82
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.105 Ordinanza del 27 maggio 2020 sull’esecuzione della legislazione sulle derrate 6.117 Ordinanza del 31 ottobre 1947 sull'assicurazione per la vecchiaia e per i superstiti 6.129 Ordinanza del 26 giugno 2013 sull’obbligo di dichiarazione e sulla verifica delle 6.130 Ordinanza del 24 giugno 2015 sulle prestazioni di sicurezza private fornite 6.131 Ordinanza del 12 agosto 2015 sul sistema di trattamento dei dati concernenti le
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
1 Presentazione del progetto
1.1 Contesto
In seguito alla valutazione della legge federale del 19 giugno 1992 1 sulla protezione dei dati (LPD) e in considerazione degli sviluppi tecnologici e dell’evoluzione del diritto europeo, il Consiglio federale ha deciso di rivedere una parte della legislazione federale in materia di protezione dei dati. Il 15 settembre 2017 ha quindi adottato il messaggio concernente la legge federale relativa alla revisione totale della legge sulla protezione dei dati e alla modifica di altri atti normativi sulla protezione dei dati 2. Il progetto di legge comprende da una parte una revisione totale della LPD (P-LPD) e dall’altra una revisione parziale di altre leggi federali, al fine di dare attuazione alla direttiva (UE) 2016/680 3. Il Parlamento ha diviso in due tappe il progetto del Consiglio federale. La prima tappa attua la direttiva (UE) 2016/680 riguardante la protezione dei dati in materia penale. La legge federale del 28 settembre 2018 4 sulla protezione dei dati personali nell’ambito dell’applicazione dell’acquis di Schengen in materia penale (Legge sulla protezione dei dati in ambito Schengen, LPDS) è entrata in vigore il 1° marzo 2019. In una seconda tappa il Parlamento ha dibattuto la nuova legge sulla protezione dei dati (nLPD), adottata il 25 settembre 2020 5.
1.2 Presentazione della nLPD
La nLPD disciplina il trattamento dei dati personali riguardanti le persone fisiche effettuato da persone private o da organi federali (art. 2 cpv. 1). Non si applica tuttavia al trattamento di dati personali da parte di persone fisiche per uso esclusivamente personale (art. 2 cpv. 2 lett. a). La nLPD prevede inoltre un’eccezione per il trattamento di dati da parte delle Camere federali e delle commissioni parlamentari nel quadro delle loro deliberazioni (art. 2 cpv. 2 lett. b), nonché da parte dei beneficiari istituzionali che godono dell’immunità di giurisdizione (art. 2 cpv. 2 lett. c). Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. La nLPD si applica invece alle procedure amministrative di primo grado (art. 2 cpv. 3). I registri pubblici relativi ai rapporti di diritto privato, in particolare l’accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile (art. 2 cpv. 4). Il Parlamento ha aggiunto un articolo sul campo d’applicazione territoriale della nLPD. Esso precisa che la legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero. Vi è segnatamente un rimando alla legge federale del 18 dicembre 1987 6 sul diritto internazionale privato (LDIP). Infine l’articolo 4 stabilisce il ruolo dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
Il secondo capitolo contiene disposizioni generali sul trattamento di dati personali.
L’articolo 5 contiene diverse definizioni. Occorre segnatamente rilevare che la nuova legge sostituisce l’espressione «detentore di una collezione di dati» con «titolare del trattamento»
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, GU L 119 del 4.5.2016, pag. 89. 4 RS 235.3 5 FF 2020 6695 6 RS 291
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
(art. 5 lett. j nLPD). L’espressione «profilazione a rischio elevato» è stata introdotta successivamente dalle Camere federali (art. 5 lett. g).
L’articolo 6 stabilisce alcuni principi generali da rispettare. Ogni trattamento di dati personali deve essere lecito (art. 6 cpv. 1) e rispettare i principi della buona fede e della proporzionalità (art. 6 cpv. 2). La raccolta di dati personali deve perseguire uno scopo determinato ed essere riconoscibile per la persona interessata (art. 6 cpv. 3). I dati devono essere distrutti o anonimizzati appena non sono più necessari per lo scopo del trattamento (art. 6 cpv. 4). Chi tratta dati personali deve accertarsi della loro esattezza (art. 6 cpv. 5). Il titolare e il responsabile del trattamento devono proteggere i dati dalla concezione e per difetto (privacy by design and by default ; art. 7) e garantire la sicurezza dei dati personali (art. 8). In virtù dell’articolo 10, i titolari del trattamento possono nominare un consulente per la protezione dei dati. Devono anche stabilire un registro delle attività di trattamento (art. 12).
L’articolo 9 stabilisce la responsabilità per i dati personali; la nLPD introduce lo strumento del codice di condotta (art. 11).
Il Parlamento ha introdotto una sezione del capitolo 2 dedicata al trattamento di dati personali da parte di titolari privati con sede o domicilio all’estero. L’articolo 14 introduce la nozione di rappresentante e l’articolo 15 definisce le sue obbligazioni.
La sezione 3 del capitolo 2 riguarda la comunicazione dei dati all’estero. Dati personali possono essere comunicati all’estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l’organismo internazionale garantisce una protezione adeguata dei dati (art. 16). L’articolo 17 prevede comunque diverse eccezioni.
Il capitolo 3 disciplina gli obblighi del titolare e del responsabile del trattamento. Precisa l’obbligo di informare le persone interessate sulla raccolta di dati personali (art. 19–20). L’articolo 21 introduce un nuovo obbligo d’informare per le decisioni individuali automatizzate. L’articolo 22 introduce l’obbligo di eseguire un’analisi d’impatto relativa alla protezione dei dati personali. Il responsabile del trattamento ha inoltre l’obbligo di chiedere previamente il parere dell’IFPDT se dalla valutazione d’impatto sulla protezione dei dati emerge che, nonostante i provvedimenti previsti dal titolare, il trattamento previsto comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata (art. 23). Infine, il titolare del trattamento notifica quanto prima all’IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata (art. 24).
I diritti della persona interessata sono indicati nel capitolo 4. Il diritto d’accesso e le sue restrizioni sono disciplinati agli articoli 25–27. Mentre il diritto alla portabilità e le sue restrizioni, previsti agli articoli 28 e 29, sono stati introdotti dal Parlamento.
Il capitolo 5 contiene disposizioni applicabili al trattamento di dati personali da parte di privati. La nLPD vieta così alle persone private che trattano dati personali di ledere illecitamente la personalità delle persone interessate (art. 30 cpv. 1) e in particolare di trattare dati personali in violazione dei principi definiti agli articoli 6 e 8 nLPD o contro la volontà espressa della persona interessata in assenza di motivo giustificativo (art. 30 cpv. 2 lett. a e b e 31). Questo capitolo regola inoltre le pretese di diritto civile che possono far valere le persone lese (art. 32).
Il capitolo 6 (art. 33–42) disciplina il trattamento di dati personali da parte di organi federali che hanno il diritto di trattare dati personali soltanto se lo prevede una base legale (art. 34
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
cpv. 1). L’articolo 41 regola le pretese che le persone interessate possono far valere nei confronti di un organo federale titolare del trattamento che li riguarda.
L’organizzazione e le competenze dell’IFPDT sono definite nel capitolo 7. L’Incaricato federale è eletto dall’Assemblea federale (art. 43 cpv. 1). Questa nuova procedura è stata introdotta dalle Camere federali. La durata, il rinnovo del mandato nonché la fine dei rapporti di funzione sono disciplinati nell’articolo 44, mentre l’articolo 47 riguarda le attività accessorie. Il Parlamento ha inoltre introdotto articoli sul preventivo dell’IFPDT (art. 45) e sulle incompatibilità con la funzione dell’Incaricato federale (art. 46). L’articolo 48, ultima disposizione di questa prima sezione relativa all’organizzazione dell’IFPDT, riguarda l’autocontrollo dell’IFPDT. Una seconda sezione riguarda le inchieste dell’IFPDT e prevede che quest’ultimo apra, d’ufficio o su denuncia, un’inchiesta nei confronti di un organo federale o di un privato se indizi sufficienti lasciano presumere che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati (art. 49 cpv. 1). L’IFPDT ha determinate attribuzioni (art. 50) e può adottare provvedimenti amministrativi (art. 51). La sezione 3 contiene le disposizioni relative all’assistenza amministrativa tra l’IFPDT e altre autorità in Svizzera (art. 54) o autorità estere (art. 55). La nLPD conferisce anche altri compiti all’IFPDT (art. 56–58), in particolare la tenuta di un registro delle attività di trattamento degli organi federali (art. 56). Per alcune prestazioni fornite a privati, l’IFPDT riscuote emolumenti (art. 59).
Infine, la nLPD contiene un catalogo di disposizioni penali relative alla violazione dei diversi obblighi legali (cap. 8, art. 60–66), nonché un certo numero di disposizioni finali (cap. 10, art. 68–74) tra le quali occorre menzionare la disposizione transitoria relativa ai dati concernenti persone giuridiche (art. 71) che è importante per l’adeguamento delle ordinanze settoriali (cfr. all. 2 della presente ordinanza).
1.3 Revisione di altre leggi federali
La revisione totale della LPD ha reso necessario modificare numerose leggi settoriali. Anche in seguito alla revisione dell’OLPD (P-OLPD) devono quindi essere modificate molte ordinanze.
1.4 Aspetti giuridici
L’ordinanza relativa alla legge federale sulla protezione dei dati è un’ordinanza esecutiva della legge federale sulla protezione dei dati riveduta dal Parlamento il 25 settembre 2020. In tal senso, l’ordinanza rispetta la legge e si può rimandare alle spiegazioni contenute nel messaggio per quanto concerne gli aspetti giuridici (cfr. FF 2017 5939 pagg. 6165 segg.).
2 Lineamenti della revisione dell’OLPD
In seguito sono illustrate le novità principali del P-OLPD.
2.1 Sicurezza dei dati
L’articolo 8 capoverso 3 obbliga il Consiglio federale a emanare disposizioni sui requisiti minimi in materia di sicurezza dei dati. Le nuove normative si riallacciano allo standard dei vigenti articoli 8 e seguenti OLPD in materia di sicurezza dei dati. Le disposizioni sono tuttavia rielaborate, integrate e adeguate allo stato attuale della tecnica e per soddisfare le prescrizioni della direttiva (UE) 2016/680 rilevante per lo Spazio Schengen. Riveste un’importanza centrale anche la compatibilità con il Regolamento generale sulla protezione dei dati (GDPR) affinché le imprese svizzere attive nell’UE che garantiscono una protezione
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
dei dati conforme al GDPR possano partire dal presupposto che soddisfano i requisiti minimi anche in Svizzera.
Come previsto dall’articolo 8 capoverso 1 nLPD che parla di una sicurezza dei dati personali adeguata al rischio, l’ordinanza non prescrive requisiti minimi rigidi validi per tutti, perché una tale normativa non sarebbe praticabile. Segue invece anche qui un approccio basato sul rischio: il titolare del trattamento deve determinare i provvedimenti adeguati in base al rischio che di volta in volta si presenta. L’ordinanza illustra i criteri alla base di questa valutazione e fornisce direttive volte a definire i provvedimenti stilando un elenco di scopi di protezione (art. 1 e 2 P-OLPD).
È inoltre stato consolidato e concretizzato l’obbligo di verbalizzazione (art. 3 P-OLPD) e quindi i titolari privati del trattamento dovranno verbalizzare tutti i trattamenti automatizzati di dati personali nel cui ambito sussiste un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. Gli organi federali devono verbalizzare tutti i trattamenti automatizzati di dati personali. Inoltre, il termine di conservazione è stato prolungato a due anni.
Inoltre, in alcuni casi i titolari privati del trattamento e gli organi federali continuano a essere obbligati a dotarsi di un regolamento sul trattamento (art. 4 seg. P-OLPD).
2.2 Comunicazione di dati personali all’estero
La sezione sulla comunicazione di dati personali all’estero è stata interamente modificata, poiché secondo la nLPD spetta al Consiglio federale stabilire quali Stati od organi internazionali garantiscono una protezione dei dati adeguata. Pertanto l’ordinanza disciplina ora i criteri di cui deve tenere conto il Consiglio federale per prendere tale decisione (art. 8 P- OLPD). Nell’allegato 1 sono elencati in una tabella gli Stati e gli organi internazionali che dispongono di una protezione adeguata. Attualmente tale elenco non è ancora definitivo perché si attendono le decisioni della Commissione europea in materia di adeguatezza e gli sviluppi riguardo alle ratifiche della convenzione STE 108. Questi fattori sono particolarmente importanti nell’ottica di uno spazio di protezione uniforme e quindi ne va tenuto conto nell’ambito degli esami dell’adeguatezza del Consiglio federale. L’elenco degli Stati e organi internazionali adeguati e il livello di protezione degli Stati o degli organismi internazionali sarà inoltre periodicamente verificato anche dopo l’entrata in vigore dell’ordinanza (art. 8 cpv. 3 P- OLPD).
Inoltre, l’ordinanza concretizza il contenuto delle ulteriori possibilità di garantire una protezione adeguata dei dati menzionate nell’articolo 16 capoverso 2 nLPD (p. es. clausole di standard di protezione dei dati) (art. 9 segg. P-OLPD).
Infine viene utilizzata la delega dell’articolo 16 capoverso 3 nLPD secondo cui possono essere previste altre garanzie idonee. Possono così anche essere comunicati dati personali se il livello adeguato di protezione dei dati è garantito da un codice di comportamento o da una certificazione (art. 12 P-OLPD).
2.3 Diritto d’accesso
Come nel diritto vigente, la richiesta di informazioni deve in linea di massima essere presentata per scritto. In futuro, per il richiedente, le condizioni del diritto d’accesso saranno un po’ meno severe perché, con il consenso del titolare del trattamento, la richiesta di informazioni potrà essere presentata anche in forma orale.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Ulteriori disposizioni esecutive del diritto d’accesso sono in parte state riprese dal diritto previgente. La disposizione sul termine per il diritto d’accesso è quindi stata adeguata soltanto sotto i profili terminologico e sistematico (art. 22 P-OLPD). Anche le eccezioni alla gratuità del diritto d’accesso (art. 23 P-OLPD) rimangono le medesime, fatta salva la soppressione dell’eccezione riguardante la mancanza di interesse degno di protezione perché si tratta ora di un motivo di rifiuto dell’accesso secondo l’articolo 26 capoverso 1 lettera c nLPD.
Non è invece stato ripreso nel P-OLPD l’accesso ai dati di una persona deceduta perché tale normativa il livello dell’ordinanza non era adeguato per tale regola e un articolo di legge a tale riguardo è stato rifiutato dal Parlamento nel D-LPD.
La revisione ha introdotto a livello di legge un diritto alla consegna o alla trasmissione dei dati. A tale diritto devono essere applicate per analogia la maggior parte delle disposizioni esecutive del diritto d’accesso (art. 24 P-OLPD).
2.4 Consulente per la protezione dei dati
Le attuali disposizioni sul titolare della protezione dei dati (art. 12a e 12b OLPD) e sul consulente per la protezione dei dati dei dipartimenti e della Cancelleria federale (art. 23 OLPD) sono sostituite da quelle sul consulente per la protezione dei dati. In proposito vi è una regola separata per il titolare privato del trattamento (art. 25 P-OLPD) e gli organi federali (art. 27 segg. P-OLPD).
Poiché i requisiti per il consulente e i suoi compiti principali, nei confronti del titolare privato del trattamento, sono già disciplinati nell’articolo 10 nLPD, la disposizione dell’ordinanza si limita principalmente a precisare i compiti.
Invece la normativa sul consulente degli organi federali è di competenza del Consiglio federale. Non soltanto i singoli dipartimenti e la Cancelleria federale ma in linea di massima ogni organo federale dovrà designare un consulente. Tuttavia, in particolare per evitare di perdere opportune sinergie che permettono di risparmiare risorse in particolare per quanto concerne gli organi federali di dimensioni ridotte e quelli con una speciale struttura organizzativa, più organi federali possono designare insieme un consulente per la protezione dei dati. I requisiti per questo consulente, per quanto ragionevolmente applicabili agli organi federali, sono uguali a quelli per i titolari privati del trattamento e anche i compiti, nella misura in cui siano paragonabili, sono gli stessi.
2.5 Eccezione all’obbligo di tenere un registro delle attività di trattamento
Per sgravare sotto il profilo amministrativo le PMI che non eseguono trattamenti di dati rischiosi, l’articolo 12 capoverso 5 nLPD ha delegato al Consiglio federale la competenza di prevedere eccezioni all’obbligo di tenere un registro delle attività di trattamento per le imprese con meno di 250 collaboratori. L’ordinanza stila un elenco negativo delle eccezioni enumerando i trattamenti di dati a rischio (p. es. il trattamento su vasta scala di dati personali particolarmente degni di protezione) (art. 26 P-OLPD). Il catalogo si basa sulla definizione di «rischio elevato» contenuta nella valutazione dell’impatto sulla protezione dei dati nell’articolo 22 capoverso 2 nLPD.
2.6 IFPDT Benché la nLPD modifichi l’IFPDT in molti aspetti fondamentali, è stato possibile riprendere, con lievi modifiche, le disposizioni sulla sede e sulla relazione e comunicazione con altre autorità (cfr. art. 37–39 P-OLPD). Alla luce della modifica della procedura di elezione secondo cui in futuro l’Incaricato federale sarà eletto dall’Assemblea federale (art. 43 cpv. 1 nLPD), 11/82
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
il Parlamento elaborerà un’ordinanza sul rapporto di lavoro dell’Incaricato. Il rapporto di lavoro del segretario permanente dell’IFPDT continuerà invece a essere disciplinato nell’OLPD e retto dalla legge del 24 marzo 2000 7 sul personale federale (LPers) e dalle sue disposizioni esecutive (art. 37 cpv. 2 P-OLPD).
La base legale per i trattamenti di dati da parte dell’IFPDT (art. 40 P-OLPD) è ora disciplinata in modo più dettagliato, finora lo era in modo più generale nell’ambito del sistema di gestione degli atti. Inoltre, l’articolo 48 nLPD prescrive che l’IFPDT debba istituire un autocontrollo al fine di assicurare al suo interno l’esecuzione conforme delle norme federali. Queste misure di controllo sono definite nell’ordinanza (art. 41 P-OLPD), in base alla quale l’IFPDT deve elaborare un regolamento sulla protezione dei dati per tutti i suoi trattamenti automatizzati e verificarne il rispetto.
3 Ripercussioni
3.1 Ripercussioni finanziarie e sull’effettivo del personale per la Confederazione Il P-OLPD ha ripercussioni autonome sulla Confederazione soltanto nell’ambito delle deleghe della nLPD: - i titolari del trattamento dovranno assumere un certo onere per attuare le modifiche dei requisiti minimi di sicurezza dei dati. Tale onere dovrebbe tuttavia essere contenuto, perché la normativa essenziale è stata ripresa dal diritto vigente e modificata solo in singoli punti. Generano nuove spese in particolare l’estensione dell’obbligo di verbalizzazione e la modifica della durata di conservazione dei verbali da uno a due anni, perché a tal fine sarà necessario adeguare il sistema una volta sola e occorrerà disporre di maggiori capacità di memorizzazione; - un certo onere supplementare risulterà probabilmente anche dal fatto che d’ora innanzi in linea di massima ogni organo federale dovrà nominare un consulente per la protezione dei dati. L’onere dovrebbe tuttavia essere limitato, poiché oggi molti uffici federali hanno già un consulente per la protezione dei dati. A determinate condizioni alcuni organi federali dovranno tuttavia mettere a disposizione dei loro consulenti maggiori risorse, perché il profilo dei requisiti e dei compiti di questi ultimi è disciplinato in maniera più esaustiva rispetto al diritto vigente. In generale, non è possibile quantificare l’onere legato all’aumento del fabbisogno di risorse per i singoli organi federali. Esso può variare fortemente a seconda delle dimensioni dell’organo federale (a determinate condizioni è possibile nominare un consulente per la protezione dei dati comune) e dei suoi compiti. Occorre quindi partire dal presupposto che il fabbisogno di risorse ad esempio di un organo federale la cui attività principale riguarda il trattamento dei dati o che tratta regolarmente dati personali degni di particolare protezione, sarà più elevato di quello di un organo federale che tratta dati personali principalmente nell’ambito di attività amministrative generali e non nell’ambito della sua attività principale. Di contro, dal rafforzamento dei consulenti per la protezione dei dati può risultare un certo sgravio per l’IFPDT. Per la Confederazione le ripercussioni finanziarie e sull’effettivo del personale saranno avvertite in particolare presso l’IFPDT che in virtù della nLPD dovrà assumere numerosi nuovi compiti e, in misura minore, presso l’UFG il quale dovrà anche esaminare il livello di protezione di altri Stati e organismi internazionali. Il messaggio del 15 settembre 2017 concernente la legge federale relativa alla revisione totale della legge sulla protezione dei dati e alla modifica di altri atti normativi sulla protezione dei dati (FF 2017 5939 pagg. 6153 segg.) prevede pertanto risorse supplementari per l’IFPDT e l’UFG. Le richieste di risorse per l’IFPDT e l’UFG sono state presentate al Consiglio federale in separata sede.
7 RS 172.220.1
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
I Cantoni e i Comuni non sono toccati dal progetto. Nel campo d’applicazione della nLPD e quindi anche del P-OLPD rientrano soltanto i privati e gli organi federali (art. 2 cpv. 1 nLPD).
3.2 Ripercussioni per l’economia
La revisione totale della LPD ha ripercussioni soprattutto per le imprese. Tali ripercussioni sono state prese in considerazione e spiegate nell’analisi d’impatto della regolamentazione 8. Sono da attendersi ripercussioni del P-OLPD che non dipendono dalla revisione della LPD e che non sono ancora state esaminate nell’AIR relativa alla LPD soprattutto nell’ambito della sicurezza dei dati (tra l’altro in relazione alle nuove regole sulla verbalizzazione). Complessivamente l’impatto di queste ripercussioni dovrebbe essere minimo, perché le regole concrete per le imprese sono state oggetto soltanto di lievi modifiche rispetto al diritto vigente. È previsto un certo onere iniziale per l’attuazione. A tale riguardo occorre tenere presente che l’onere dipende dai rischi legati ai trattamenti di dati di un’impresa. Le imprese con un’esposizione ridotta sotto il profilo del diritto della protezione dei dati devono adottare meno provvedimenti delle imprese con una forte esposizione sotto tale profilo. Inoltre l’adozione della revisione totale dell’’OLPD è significativa anche nell’ottica dell’economia nel suo insieme, perché l’entrata in vigore del nuovo diritto della protezione dei dati è importante per la valutazione della Svizzera attualmente in corso da parte della Commissione europea. Conservare la decisione di adeguatezza dell’UE è di importanza centrale per la piazza economica e la competitività della Svizzera. Infatti, gli Stati membri dell’UE possono continuare a comunicare dati personali in Svizzera senza ostacoli supplementari soltanto se la Svizzera continua a essere riconosciuta dall’UE come uno Stato terzo con un’adeguata protezione dei dati. Senza la decisione di adeguatezza dell’UE (e senza libera circolazione dei dati) la Svizzera andrebbe incontro a notevoli svantaggi in termini di concorrenza. Anche l’adeguamento del diritto svizzero della protezione dei dati all’aggiornata convenzione 108 del Consiglio d’Europa sulla protezione dei dati ha una grande importanza per l’accesso al mercato internazionale. L’interesse degli Stati extraeuropei a un’adesione a tale convenzione aumenta, il che potrebbe in futuro semplificare lo scambio di dati con questi Paesi. Infine il trattamento sicuro dei dati personali incentiva la fiducia nelle tecnologie digitali e nei relativi fornitori. Una migliore protezione dei dati permette anche di consolidare la digitalizzazione.
4 Commento del P-OLPD
4.1 Disposizioni generali
4.1.1 Sicurezza dei dati
Le linee guida per garantire la sicurezza dei dati sono già disciplinate nella legge. Secondo l’articolo 8 capoverso 1 nLPD, il titolare del trattamento e il responsabile del trattamento sono tenuti a garantire, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio. Secondo il capoverso 2 questi provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. Il capoverso 3 incarica il Consiglio federale di emanare in via di ordinanza requisiti minimi in materia di sicurezza dei dati.
Con le disposizioni sulla sicurezza dei dati il Consiglio federale adempie il mandato legislativo di cui all’articolo 8 capoverso 3 nLPD. La norma penale dell’articolo 61 lettera c nLPD si riallaccia inoltre a questi requisiti minimi. Il grado di sicurezza da rispettare per non violare la norma penale si determina secondo i principi e i criteri della presente sezione. La
8 Analisi d’impatto della regolamentazione (AIR) dell’11 luglio 2016 (consultabile in tedesco e francese all’indirizzo: http://www.seco.admin.ch > SECO - Staatssekretariat für Wirtschaft > Publikationen & Dienstleistungen > Publikationen > Regulierung > Regulierungsfolgenabschätzung > Vertiefte RFA > Datenschutzgesetz (DSG) (2016)
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
punibilità secondo l’articolo 61 lettera c nLPD sussiste soltanto in caso di commissione intenzionale e ciò presuppone che il responsabile del trattamento violi consapevolmente e intenzionalmente i requisiti minimi della sicurezza dei dati. Sarebbe quindi ad esempio punibile chi omette di installare un’applicazione antivirus, sebbene sappia (o almeno prenda in considerazione) che in tal modo prende provvedimenti insufficienti per rispettare i requisiti minimi di sicurezza dei dati.
Poiché la legge segue già l’approccio della sicurezza dei dati basata sul rischio e non stabilisce requisiti generali minimi per tutti i settori, il P-OLPD non introduce requisiti minimi rigidi. L’approccio del progetto di ordinanza si fonda piuttosto sul fatto che spetta in primo luogo al titolare del trattamento definire e adottare le misure necessarie nel singolo caso. Tali misure vanno prese caso per caso e definite a seconda del rischio. Un ospedale ad esempio, in cui sono trattati periodicamente dati personali particolarmente degni di protezione, dovrà soddisfare requisiti più elevati rispetto a una panetteria o una macelleria che tratta dati di clienti o fornitori. Il P-OLPD contiene pertanto in particolare le linee guida per determinare i provvedimenti da adottare (art. 1 e 2 P-OLPD). In tal modo è possibile garantire la flessibilità necessaria per coprire tutti i possibili casi ed evitare un’eccessiva regolamentazione soprattutto per le aziende per le quali i trattamenti di dati sono rari e presentano rischi esigui.
I provvedimenti di sicurezza dei dati specificamente previsti dal diritto vigente sono rispettati: si tratta di una verbalizzazione (art. 3) e del regolamento sul trattamento (art. 4, 5). Il Consiglio federale persegue anche in questo ambito un approccio basato sul rischio: maggiore il pericolo per i diritti della personalità e i diritti fondamentali del singolo più elevati i requisiti.
Nel diritto vigente i requisiti minimi in materia di sicurezza dei dati sono disciplinati negli articoli 8–12 e 20–21 OLPD. Il Consiglio federale ha deciso di basarsi sull’attuale standard di sicurezza dei dati. In linea di massima, quindi, le prescrizioni di diritto materiale sono riprese immutate. Gli adeguamenti sono stati effettuati soltanto laddove apparivano opportuni a causa della digitalizzazione o del progresso tecnico, delle regole della legge riveduta o della direttiva (UE) 216/680 determinante per la Svizzera, segnatamente dell’articolo 29. Inoltre, il Consiglio federale si è ispirato all’ordinanza (UE) 2016/679 affinché le imprese svizzere che sono attive nell’UE e garantiscono una protezione dei dati conforme al RGPD, possano partire dal presupposto di rispettare i requisiti minimi anche in Svizzera.
Sotto il profilo sistematico la sicurezza dei dati è ora disciplinata in una sezione appositamente prevista a tal fine. Nell’attuale OLPD la sicurezza dei dati è disciplinata separatamente per i privati e per gli organi federali. Ai fini di una maggiore trasparenza e comprensibilità, tali disposizioni sono state riunite. Nei casi in cui per privati e organi federali vigono regole diverse, esse sono enunciate in articoli e capoversi separati.
Art. 1 Principi
L’articolo 1 P-OLPD disciplina i principi da rispettare per la determinazione dei provvedimenti. Rispetto alla normativa vigente dell’articolo 8 OLPD, la densità normativa dell’articolo 1 P- OLPD è stata ridotta. L’articolo 1 capoversi 1 e 2 P-OLPD corrisponde sostanzialmente all’articolo 8 capoversi 2 e 3 OLPD. L’articolo 8 capoverso 1 OLPD è invece soppresso perché gli obiettivi volti a garantire la sicurezza dei dati sono ora sanciti a livello di legge. L’articolo 8 capoverso 2 nLPD stabilisce segnatamente che i provvedimenti devono permettere di evitare violazioni della sicurezza dei dati. Secondo l’articolo 5 lettera h nLPD, vi è una violazione della sicurezza dei dati se, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili. Da ciò si
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
deducono i tradizionali obiettivi di protezione nell’ambito informatico, ovvero la confidenzialità, l’integrità, la disponibilità e la tracciabilità. Secondo l’articolo 8 capoverso 1 nLPD, il titolare e il responsabile del trattamento garantiscono che la sicurezza dei dati personali sia adeguata. L’articolo 1 capoverso 1 P- OLPD riprende questo principio e stabilisce i criteri da prendere in considerazione per la valutazione dell’adeguatezza dei provvedimenti tecnici e organizzativi. L’elenco dei criteri corrisponde ampiamente al diritto vigente, sono però state adeguate singole formulazioni: – lo scopo, il tipo, la portata e le circostanze del trattamento di dati (lett. a): la lettera a riguarda in particolare il livello di protezione da garantire in considerazione del pericolo per i diritti della personalità e i diritti fondamentali della persona interessata. Infatti, quanto più elevato è il livello di protezione tanto più elevati sono i requisiti dei provvedimenti. A tale riguardo è decisivo che siano trattati dati personali degni di particolare protezione o che lo scopo del trattamento comporti un rischio elevato per i diritti della personalità o i diritti fondamentali. Per il tipo del trattamento di dati si può anche fare riferimento al grado di automatizzazione: il grado di protezione sarebbe quindi più elevato nel caso di un trattamento completamente automatizzato (segnatamente l’applicazione dell’intelligenza artificiale) rispetto al trattamento di dati effettuato e verificato da persone fisiche. La lettera a è stata completata conformemente all’articolo 22 capoverso 2 nLPD con l’aggiunta delle «circostanze» del trattamento; – la probabilità che si verifichi una violazione della sicurezza dei dati e le sue potenziali conseguenze per la persona interessata (lett. b): la lettera b è stata riformulata in modo tale da esplicitare che, oltre alle potenziali ripercussioni, è decisiva anche la probabilità che si verifichi una violazione della sicurezza dei dati. A tale riguardo occorre rilevare che la severità dei requisiti è stabilita in funzione della probabilità che si verifichi una violazione della sicurezza dei dati e della gravità delle ripercussioni per la persona interessata. Occorre qui rilevare che non tutte le violazioni della sicurezza dei dati ai sensi dell’articolo 5 lettera h nLPD sono anche violazioni dei requisiti minimi ai sensi dell’articolo 8 capoverso 3 nLPD e costituiscono quindi violazioni degli obblighi di diligenza secondo l’articolo 61 lettera c nLPD. Non si può né si deve pretendere una sicurezza assoluta. È di fatto ipotizzabile il caso in cui sebbene il titolare del trattamento abbia adottato tutti i provvedimenti adeguati, si verifichi comunque una violazione della sicurezza dei dati, segnatamente perché si è realizzato il rischio residuale. Ciò non può essere rimproverato al titolare del trattamento. Occorre invece esaminare nell’ambito dei requisiti minimi se il titolare e il responsabile del trattamento abbiano adottato tutti provvedimenti adeguati per garantire la sicurezza dei dati e ciò a prescindere dal verificarsi di una violazione della sicurezza dei dati; – lo stato della tecnica (lett. c): i provvedimenti vanno definiti o adeguati in base allo stato della tecnica. Per stato della tecnica s’intende considerare lo stato attuale. È quindi sufficiente adottare provvedimenti già disponibili che hanno dato buoni risultati. Non si può invece pretendere che siano impiegate recentissime tecniche poco approfondite o ancora in fase di sviluppo; – le spese d’implementazione (lett. d): la lettera d menziona esplicitamente le spese d’implementazione che sono un criterio di valutazione dell’adeguatezza dei provvedimenti, come risulta dal n. 6.1.1. del commento dell’Ufficio federale di giustizia all’ordinanza del 14 giugno 1993 di esecuzione della legge federale sulla protezione dei dati (OLPD, RS 235.11; stato il 1° gennaio 2008;documento disponibile soltanto in tedesco e francese9). In primo luogo occorre tuttavia definire i provvedimenti tecnici e organizzativi necessari in considerazione dei criteri di cui alle lettere a–c. I titolari e
Consultabile all’indirizzo: Basi legali (admin.ch).
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
i responsabili del trattamento non possono in particolare esimersi dall’obbligo di garantire un’adeguata sicurezza dei dati facendo valere spese eccessive:ma devono sempre essere in grado di garantire un’adeguata sicurezza dei dati. Nemmeno l’assenza di un piano al momento dello sviluppo può essere addotta come argomento per far valere che le spese d’implementazione per l’attuazione della sicurezza dei dati sono troppo elevate dopo la messa in servizio del sistema. Per quanto concerne le applicazioni Legacy si deve invece tenere conto del tempo necessario fino alla sostituzione (ciclo di vita). Il criterio dei costi è stato introdotto anche per garantire un livello di protezione dei dati sempre adeguato, va preferita la variante più economica 10.
Per garantire la sicurezza dei dati vi sono diversi provvedimenti. Eccone tre a titolo esemplificativo:
– l’anonimizzazione, la pseudonimizzazione e il criptaggio di dati personali: l’anonimizzazione contribuisce in particolare a ridurre eventuali ripercussioni negative per gli interessati; ripercussioni che potrebbero derivare ad esempio dalla pubblicazione non autorizzata di dati personali. In caso di anonimizzazione, la LPD non si applica; – la procedura per identificare, analizzare e valutare i rischi ed esaminare l’adeguatezza dei provvedimenti presi: a partire da un certo rischio, in molti casi sarà pertanto più ragionevole o addirittura necessario implementare procedure e processi standardizzati che non soltanto verificano regolarmente i rischi e l’adeguatezza dei provvedimenti presi, ma li valutano anche. Tali provvedimenti sono rilevanti in particolare per quanto concerne i sistemi automatizzati. Contribuiscono a garantire durevolmente la sicurezza dei dati e sono semplici da provare; – la formazione e la consulenza delle persone incaricate di attuare i provvedimenti: il Consiglio federale ritiene importante la presente misura, perché l’attuazione e l’efficacia della sicurezza dei dati dipende in particolare anche dalle persone che applicano i provvedimenti stabiliti. Infatti una formazione e una consulenza lacunose possono causare una violazione della sicurezza dei dati, si pensi ad esempio al caso in cui un collaboratore apre un’e-mail con un malware.
In definitiva, sono le circostanze del singolo caso a essere determinanti per la definizione dei provvedimenti che vanno stabiliti nell’ambito di una ponderazione dei diversi interessi nel quadro di una valutazione complessiva.
I provvedimenti, conformemente all’articolo 1 capoverso 2 e al diritto vigente devono essere costantemente verificati o adeguati. Occorre in particolare verificare se le misure sono ancora adeguate al rischio ed efficaci. Invece che «periodicamente» la verifica deve avvenire a «intervalli adeguati». La necessità della verifica dipende in particolare dal pericolo per i diritti della personalità e dai diritti fondamentali delle persone interessate e aumenta con l’aumentare del pericolo. La verifica deve avvenire in base a una determinata periodicità, ad esempio si può prevedere un intervallo da uno a cinque anni. Una verifica può anche imporsi in caso di violazione della sicurezza dei dati o di trattamento di dati personali. L’articolo 1 capoverso 2 precisa anche che non deve essere garantita soltanto la sicurezza dei dati, ma anche la sua verifica durante tutta la durata del trattamento. Si esplicita così che la sicurezza dei dati e la sua verifica sono obblighi duraturi che devono essere adempiuti per tutto il ciclo di vita dei dati personali.
Cfr. anche BRUNO BAERISWYL, in: Stämpfis Handkommentar, Datenschutzgesetz, 1a ed. 2015, Nr. 26 ad Art. 7.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Art. 2 Obiettivi di protezione
L’articolo 2 contiene un elenco degli obiettivi di protezione in base ai quali devono essere formulati i provvedimenti. In applicazione del principio di proporzionalità, i provvedimenti organizzativi e tecnici devono essere stabiliti nel singolo caso in base a tali obiettivi. Il titolare e il responsabile del trattamento devono quindi valutare quali misure sono adeguate per raggiungere gli obiettivi di protezione. È possibile che non tutti gli obiettivi di protezione siano rilevanti in ogni caso. Se in un dato caso un obiettivo di protezione non è rilevante, il titolare e il responsabile del trattamento devono essere in grado di spiegare perché.
L’articolo riprende in gran parte l’articolo 9 OLPD. La normativa reca ora la rubrica «Obiettivi di protezione». Dalla frase introduttiva sono eliminati l’espressione «detentore di una collezione di dati» e il passaggio secondo cui le misure devono essere rilevanti in particolare per i trattamenti automatizzati di dati personali. Gli obiettivi di protezione del diritto vigente sono ripresi sotto il profilo contenutistico, in parte in forma lievemente modificata. Inoltre, l’elenco è stato integrato con tre nuovi obiettivi di protezione (lett. i, j, k). L’articolo 2 P-OLPD permette alla Svizzera di attuare l’articolo 29 della direttiva (UE) 2016/680.
Nel testo dell’ordinanza diversi obiettivi di protezione rimandano a persone «non autorizzate» o «autorizzate». Ciò non presuppone necessariamente il coinvolgimento diretto di una persona. Possono di fatto rientrare in questi casi anche i trattamenti automatizzati di dati personali nelle applicazioni:
– in primo luogo, la lettera a del progetto disciplina il controllo d’accesso. L’obiettivo di protezione è stato ripreso dall’articolo 9 capoverso 1 lettera g OLPD. A tal fine è particolarmente indicato definire le autorizzazioni di accesso che disciplinano in particolare il genere e la portata dell’accesso; – la lettera b disciplina i controlli dell’accesso ai locali e agli impianti prima disciplinati all’articolo 9 capoverso 1 lettera a OLPD. Le persone non autorizzate non avranno accesso ai locali e agli impianti utilizzati per il trattamento dei dati personali. Ora l’obiettivo di protezione comprende anche gli «impianti». Con ciò s’intende precisare che occorre impedire l’accesso agli impianti di trattamento mobili. La nozione è molto ampia e comprende, oltre ai server fissi e ai computer, ai telefoni mobili o ai tablet, ogni tipo di apparecchio per il trattamento di dati personali. Possibili provvedimenti sono ad esempio impianti d’allarme e contenitori per i server che possono essere chiusi a chiave; – la lettera c disciplina i controlli dei supporti di dati attualmente disciplinati nell’articolo 9 capoverso 1 lettera b OLPD secondo cui le persone non autorizzate non possono leggere, copiare, modificare o rimuovere supporti di dati. Va in particolare evitato che dati personali possano essere trasferiti in modo incontrollato su supporti di dati (p. es. dischi duri, penne USB). Per supporti di dati si intendono non soltanto i supporti fisici ma anche ad esempio i servizi cloud. Possibili provvedimenti sono ad esempio il criptaggio e la regolare distruzione di supporti di dati; – la lettera d corrisponde all’articolo 9 capoverso 1 lettera e OLPD e disciplina il controllo di memoria. Secondo l’obiettivo di protezione le persone non autorizzate non devono poter né introdurre dati personali nel supporto di memoria né prendere conoscenza di dati memorizzati, modificarli o cancellarli. Deve essere impossibile che persone non autorizzate abbiano accesso al contenuto del supporto di memoria, che lo consultino, lo modifichino o lo cancellino. I possibili provvedimenti sono ad esempio la definizione di diritti d’accesso differenziati per i dati, le applicazioni e i sistemi operativi e per la verbalizzazione degli accessi alle applicazioni;
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
– la lettera e disciplina il controllo di utilizzazione di cui all’articolo 9 capoverso 1 lettera f OLPD. La disposizione si prefigge di impedire l’utilizzazione da parte di persone non autorizzate di sistemi di trattamento automatizzato di dati con l’ausilio di impianti di trasmissione. Tra i provvedimenti possibili vi sono ad esempio i controlli regolari delle autorizzazioni (p. es. blocco delle autorizzazioni a causa di cambiamento del personale o di nuove suddivisioni dei compiti) e l’impiego di applicazioni contro i virus o gli spyware; – la lettera f disciplina il controllo del trasporto, attualmente regolato nell’articolo 9 capoverso 1 lettera c OLPD. La disposizione si prefigge di impedire che, nell’ambito della comunicazione di dati personali e del trasporto di supporti di dati, i dati siano letti, copiati, modificati o cancellati da persone non autorizzate. A tal fine, il titolare del trattamento e il responsabile del trattamento devono adoperarsi affinché il destinatario designato riceva i dati nella loro forma originaria e che nessun terzo non autorizzato possa impossessarsi dei dati. In particolare per quanto concerne i dati personali degni di particolare protezione vi sono requisiti più elevati per quanto concerne i provvedimenti. Entra in considerazione ad esempio il criptaggio dei dati o dei supporti di dati; – la lettera g disciplina il controllo dell’introduzione. Conformemente all’articolo 9 capoverso 2 lettera h OLPD, la presente disposizione esige che sia possibile verificare a posteriori nei sistemi automatizzati quali dati personali sono stati introdotti o modificati, in quale momento e da chi. L’obiettivo della protezione è stato modificato per esprimere esplicitamente che anche la modifica di dati personale deve poter essere verificata a posteriori. Come possibile provvedimento entra in considerazione in particolare la verbalizzazione; – la lettera h riguarda il controllo di comunicazione. È stata ripresa dall’articolo 9 capoverso 1 lettera d OLPD la cui formulazione è stata leggermente adeguata. La nuova lettera h permette di verificare a quale destinatario sono stati comunicati dati personali con l’ausilio di impianti di trasmissione. I provvedimenti mirano in particolare a identificare i destinatari dei dati. A tal fine in determinate circostanze può essere sufficiente conoscere l’organo in quanto tale senza che la persona fisica debba in ogni caso essere identificabile. In caso di necessità deve poter essere accertato, ad esempio mediante i verbali, con quali mezzi sono stati comunicati i dati personali e a chi; – la lettera i riguarda la possibilità di ripristinare la disponibilità dei dati personali e il relativo accesso dopo un incidente fisico o tecnico. È stato inserito nell’elenco sul modello dell’articolo 32 paragrafo 1 lettera c del Regolamento (UE) 2016/679 e corrisponde alla regola dell’articolo 29 paragrafo 2 lettera i della direttiva (UE) 2016/680. Un possibile provvedimento è ad esempio l’elaborazione e l’applicazione di un piano di backup; – la lettera j stabilisce che tutte le funzioni del sistema devono essere disponibili (disponibilità), eventuali malfunzionamenti devono essere segnalate (affidabilità) e i dati personali registrati non devono poter essere danneggiati da malfunzionamenti del sistema (integrità). È stata aggiunta in base all’articolo 32 capoverso 1 lettera b del Regolamento (UE) 2016/679 e corrisponde alla regola prevista nell’articolo 29 capoverso 2 lettera j della direttiva (UE) 2016/680. Si vuole in particolare garantire durevolmente la stabilità e la capacità dei sistemi impiegati. Il sistema deve segnalare da sé i malfunzionamenti, in modo da informarne automaticamente il titolare o il responsabile del trattamento; – la lettera k esige che il titolare e il responsabile del trattamento individuino rapidamente le violazioni della sicurezza dei dati secondo l’articolo 5 lettera h e che adottino provvedimenti per ridurne o eliminarne le conseguenze. Diversamente dalla
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
lettera j si tratta in particolare di provvedimenti reattivi adottati dal titolare e dal responsabile del trattamento.
L’articolo 9 capoverso 2 OLPD è stato soppresso perché, secondo il Consiglio federale, non è più necessario. I motivi per rifiutare, limitare o differire la richiesta d’informazioni sono ora definiti sul piano legislativo (cfr. art. 26 nLPD). Di fatto, già la nLPD obbliga il titolare del trattamento e il responsabile del trattamento a provvedere a che le persone interessate possano tutelare efficacemente i loro diritti e ciò indipendentemente dalle tecnologie applicate nel caso concreto per elaborare i dati personali.
Art. 3 Verbalizzazione
La disposizione sostituisce la normativa dell’articolo 10 OLPD che si applica anche agli organi federali in virtù del rimando di cui all’articolo 20 capoverso 1 primo periodo OLPD. La normativa si sovrappone in parte agli obiettivi di protezione dell’articolo 2 P-OLPD. Così, la verbalizzazione può anche essere un possibile provvedimento per raggiungere l’obiettivo di protezione ai sensi dell’articolo 2 lettere g e h P-OLPD.
La verbalizzazione si prefigge di permettere la verifica a posteriori dei trattamenti di dati personali, affinché si possa in seguito constatare se sono stati smarriti, cancellati, distrutti, modificati o pubblicati dati. Inoltre si tratta anche di garantire la conformità allo scopo. Così la verbalizzazione può anche fornire indicazioni sul trattamento conforme allo scopo dei dati personali. Inoltre le verbalizzazioni possono anche servire a scoprire e chiarire violazioni della sicurezza dei dati. La verbalizzazione non ha invece lo scopo di sorvegliare gli utenti che trattano dati personali. Secondo l’articolo 3 capoverso 1 P-OLPD la verbalizzazione dovrà essere eseguita se dalla valutazione d’impatto sulla protezione dei dati risulta che, in caso di trattamento automatizzato di dati personali, vi è un forte rischio per la personalità o i diritti fondamentali delle persone interessate. Il capoverso 1 obbliga i titolari e i responsabili privati del trattamento a eseguire la verbalizzazione. L’espressione «detentore della collezione di dati» è stata sostituita in questo senso.
Secondo il capoverso 2 gli organi federali devono verbalizzare tutti i trattamenti automatizzati di dati personali. Così si tiene conto dei requisiti dell’articolo 25 della direttiva (UE) 2016/680 nella cooperazione di Schengen nell’ambito penale.
La normativa è completata con un nuovo capoverso 3 in cui sono concretizzati i contenuti della verbalizzazione. La verbalizzazione deve informare sul genere del processo di trattamento, sull’identità della persona che ha eseguito il trattamento, sull’identità del destinatario e sul momento in cui è avvenuto il trattamento.
Il capoverso 4 riprende i contenuti dell’articolo 10 capoverso 2 OLPD in una forma lievemente riveduta. I verbali dovranno essere conservati per una durata di due anni separatamente dal sistema in cui sono trattati i dati personali. La conservazione separata da tale sistema è necessaria perché altrimenti in caso di ciberattacco potrebbero essere manipolati o criptati anche i verbali. Il termine di conservazione è stato aumentato a due anni perché nei casi di ciberattacchi gli aggressori possono rimanere a lungo nei sistemi senza cagionare immediatamente danni. Un attacco non è quindi per forza individuato immediatamente. Per poter tracciare quando e come l’aggressore è penetrato nel sistema occorre dunque conservare i verbali più a lungo. Visto che spesso i ciberattacchi sono scoperti tardivamente, il termine di conservazione di un anno è troppo breve. I verbali sono accessibili soltanto a organi o a persone cui compete la sorveglianza delle prescrizioni in materia di protezione
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
dei dati o il ripristino della confidenzialità, dell’integrità, della disponibilità e della tracciabilità dei dati e possono essere utilizzati soltanto a tal fine. In seguito all’ultima integrazione, l’ordinanza precisa ora che i verbali sono accessibili anche ai responsabili della sicurezza affinché possano ripristinare la confidenzialità, l’integrità, la disponibilità e la tracciabilità dei dati. È naturalmente fatta salva l’utilizzazione per scopi previsti da leggi speciali, ad esempio nel quadro di un procedimento penale.
L’articolo 10 capoverso 1 terzo periodo OLPD è stato soppresso. Sarebbe contrario al sistema se l’IFPDT potesse formulare raccomandazioni nel settore della sicurezza dei dati che è sottoposto alla punibilità secondo l’articolo 61 lettera c. Inoltre, l’IFPDT in virtù della sua competenza decisionale generale può ordinare una verbalizzazione nell’ambito di un’inchiesta secondo l’articolo 51 nLPD.
Art. 4 Regolamento dei privati sul trattamento
L’obbligo di stabilire un regolamento era rivolto al «detentore della collezione di dati automatizzata e sottoposta a notifica» secondo l’articolo 11a cpv. 3 LPD che non può invocare l’articolo 11a capoverso 5 lett. b–d per non notificare le sue collezioni di dati (art. 11 cpv. 1 OLPD). Dato che la nLPD non prevede più l’obbligo di notificare le collezioni di dati per i responsabili dei trattamenti privati (art. 11a LPD), l’articolo 11 OLPD non può essere ripreso tale quale.
L’obbligo di redigere un regolamento sul trattamento incombe al titolare e al suo responsabile. Per analogia con l’articolo 12 capoverso 1 nLPD, anche tali regolamenti devono essere redatti separatamente. Conformemente all’approccio basato sul rischio della normativa sulla sicurezza dei dati, un regolamento sul trattamento deve sempre essere elaborato in presenza di un rischio elevato. Così i titolari del trattamento privati devono allestire un regolamento sul trattamento per i trattamenti automatici se trattano su grande scala dati personali degni di particolare protezione (lett. a) o eseguono una profilazione a rischio elevato (lett. b). La lettera a corrisponde alla regola dell’articolo 22 capoverso 2 lettera a nLPD e riguarda il trattamento su grande scala di dati personali degni di particolare protezione. Sono quindi esclusi i casi isolati in cui sono trattati dati personali degni di particolare protezione.
Il capoverso 2 contiene un elenco dei contenuti minimi che devono essere previsti nel regolamento sul trattamento. I contenuti sono stati ripresi in forma leggermente modificata dagli articoli 11 capoverso 1 e 21 capoverso 2 OLPD e completati. Come finora, il regolamento sul trattamento deve essere strutturato come una documentazione o un manuale e deve servire a tal fine al titolare del trattamento 11. In virtù del rimando dell’articolo 5 capoverso 2 P-OLPD, il capoverso 2 si applica anche agli organi federali e rappresenta quindi una normativa unificata per privati e organi federali:
– le indicazioni nelle lettere a, b e c corrispondono all’articolo 12 capoverso 2 lettere b, c ed e nLPD. Si tratta di indicazioni che devono assolutamente figurare nel registro delle attività di trattamento. Possono pertanto essere copiate dal registro; – come finora i titolari e i responsabili privati del trattamento devono descrivere l’organizzazione interna nel regolamento sul trattamento (lett. d). Ciò comprende anche la descrizione dell’architettura e delle modalità di funzionamento del sistema; – conformemente all’articolo 21 capoverso 2 lettera b OLPD, nel regolamento sul trattamento vanno indicati anche la provenienza e il genere dei dati ottenuti. Per
Cfr. commento UFG, 6.1.4.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
provenienza si intende in particolare la fonte concreta dell’informazione, p. es. il registro di commercio, un sito web pubblico, un registro dei clienti ecc. Il modo in cui sono stati raccolti i dati informa sulla loro origine, p. es. direttamente con un questionario compilato dall’interessato, mediante un accesso diretto limitato ai sistemi di informazione, in modo automatizzato da fonti accessibili al pubblico ecc. (lett. e); – di importanza centrale sono le indicazioni di cui alla lettera f: il regolamento sul trattamento deve indicare i provvedimenti tecnici e organizzativi per garantire la sicurezza dei dati. Così occorre ad esempio indicare quali provvedimenti permettono di tenere conto degli obiettivi di protezione di cui all’articolo 2. Le indicazioni secondo la lettera f dovrebbero anche informare sulla configurazione dei mezzi informatici perché si tratta di provvedimenti tecnici. L’attuale articolo 21 capoverso 2 lettera h OLPD, che menziona ancora esplicitamente la configurazione dei mezzi informatici, non viene pertanto ripreso. È quindi sufficiente che il regolamento sul trattamento spieghi le principali configurazioni dei mezzi informatici, senza specificare dettagli tecnici; – anche le autorizzazioni d’accesso nonché il tipo e l’estensione dell’accesso devono essere indicati nel regolamento sul trattamento (lett. g); – la lettera h rappresenta una novità: il titolare e il responsabile del trattamento devono esporre nel regolamento sul trattamento anche le misure adottate per ridurre i dati al minimo. Il principio della riduzione dei dati al minimo è un principio centrale della protezione dei dati, come si desume dal messaggio sulla LPD del 15 settembre 2017 12, che discende implicitamente dal principio della proporzionalità conformemente all’articolo 6 capoverso 2 nLPD; – secondo la lettera i anche le procedure di trattamento dei dati, in particolare le procedure di registrazione, rettifica, comunicazione, conservazione, archiviazione, pseudonimizzazione, anonimizzazione, cancellazione o distruzione dei dati devono essere descritte nel regolamento sul trattamento. Occorre in particolare precisare quali procedure di trattamento dei dati sono state eseguite e le modalità della loro esecuzione (lett. i); – infine, nel regolamento sul trattamento devono essere descritti anche la procedura di esercizio del diritto d’accesso e di farsi consegnare i dati o esigere la trasmissione dei dati (lett. j). Tale diritto sussiste naturalmente soltanto nell’ambito della legge e segnatamente dell’articolo 28 nLPD e deve pertanto essere descritto nel regolamento sul trattamento soltanto in questi casi. La normativa avrà scarsa importanza in particolare per gli organi federali.
Il capoverso 3 riprende l’articolo 11 capoverso 2 OLPD. L’obbligo di mettere a disposizione, su richiesta, anche del responsabile del trattamento il regolamento sul trattamento è stato soppresso. Per analogia con il registro delle attività di trattamento, l’IFPDT può però richiederlo nell’ambito di un’inchiesta (art. 50 cpv. 1 lett. a nLPD).
Art. 5 Regolamento sul trattamento degli organi federali
L’articolo 5 corrisponde all’art. 21 OLPD con alcune modifiche.
L’obbligo di redigere un regolamento sul trattamento incombe al titolare e al suo responsabile. Per analogia con l’articolo 12 capoverso 1 nLPD, anche tali regolamenti devono essere redatti separatamente.
12 FF 2017 5939, 6015
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Nella frase introduttiva del capoverso 1 l’espressione «collezioni di dati automatizzati» che figura all’articolo 21 capoverso 1 frase introduttiva OLPD, è sostituita con «trattamenti», perché la nLPD non la usa più Secondo questa norma gli organi federali titolari del trattamento allestiscono un regolamento sul trattamento nei casi elencati alle lettere a–f.
In considerazione della soppressione dell’espressione «profilo della personalità» e dell’introduzione del termine «profilazione» nella nLPD, occorre modificare l’articolo 21 capoverso 1 lettera a OLPD, prevedendo all’articolo 5 capoverso 1 P-OLPD, che l’organo federale titolare del trattamento sia tenuto a stabilire un regolamento sul trattamento se tratta dati personali degni di particolare protezione (lett. a), se effettua una profilazione ai sensi dell’articolo 5 lettera f nLPD (lett. b) o se tratta dati personali ai sensi dell’articolo 34 capoverso 2 lettera c nLPD (lett. c). La fattispecie di cui alla lettera a corrisponde al diritto vigente secondo la LPD. Invece, le lettere b e c sono nuove: sostituiscono l’obbligo dell’organo federale titolare del trattamento di stabilire un regolamento sul trattamento per ogni collezione di dati automatizzata dei profili della personalità (art. 21 cpv. 1 lett. a OLPD).
L’articolo 5 capoverso 1 lettera d P-OLPD è oggetto di sole modifiche redazionali rispetto all’articolo 21 capoverso 1 lettera c OLPD.
Rispetto all’articolo 21 capoverso 1 lettera d OLPD, nell’articolo 5 capoverso 1 lettera e l’espressione «collezione di dati» è sostituita da «raccolte di dati».
Secondo l’articolo 5 capoverso 1 lettera f P-OLPD deve essere stabilito un regolamento sul trattamento anche se l’organo federale titolare del trattamento gestisce un sistema d’informazione o gestisce raccolte di dati insieme ad altri organi federali. Questa disposizione sostituisce l’articolo 21 capoverso 1 lettera b OLPD che prevede un tale obbligo quando una collezione di dati automatizzati è utilizzata da diversi organi federali.
Il capoverso 2 rimanda alla normativa sui contenuti del regolamento dei privati sul trattamento. Si rimanda quindi alle osservazioni fatte in precedenza.
Il capoverso 3 riprende in forma leggermente modificata l’articolo 21 capoverso 3 OLPD. L’espressione «organo di controllo» è sostituita con «consulente per la protezione dei dati» e «IFPDT». Mentre il regolamento sul trattamento deve essere notificato al consulente per la protezione dei dati anche senza che questi ne faccia richiesta, all’IFPDT deve essere trasmesso soltanto su richiesta.
4.1.2 Responsabilità del trattamento
Sotto il profilo sistematico, gli articoli relativi alla responsabilità del trattamento sono collocati nella prima parte sulle disposizioni generali nella misura in cui si applicano al settore pubblico e al settore privato. Ciò permette una migliore coerenza con la sistematica della nLPD.
Art. 6 Modalità
L’articolo 6 P-OLPD stabilisce le modalità applicabili quando un titolare del trattamento affida il trattamento di dati personali a un responsabile conformemente all’articolo 9 nLPD. Corrisponde in parte all’articolo 22 OLPD che disciplina il trattamento di dati da parte di un terzo su mandato di un organo federale.
Sotto il profilo redazionale la nuova disposizione sostituisce il termine «terzo» dell’articolo 22 capoverso 2 e 3 OLPD con «responsabile del trattamento» e, nei primi due capoversi, il termine «titolare del trattamento» sostituisce i «organo federale» nella misura in cui, e 22/82
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
come già indicato qui sopra, l’articolo 9 nLPD si applica al titolare privato del trattamento e a quello pubblico. Infine i due primi capoversi sono oggetto di piccoli adeguamenti formali.
Materialmente quindi, secondo il capoverso 1, il titolare del trattamento, pubblico o privato, che affida il trattamento di dati personali a un responsabile del trattamento rimane titolare della protezione dei dati personali. Nel secondo periodo del capoverso 1, l’espressione «conformemente al mandato» (art. 22 cpv. 2 OLPD), ritenuta troppo restrittiva, è sostituita con «conformemente al contratto o alla legge» conformemente all’articolo 9 nLPD. Questo secondo periodo precisa cosa significa essere titolare e prevede che il titolare debba garantire che il trattamento è eseguito conformemente al contratto o alla legge e che il responsabile tratta i dati soltanto per adempiere il suo compito.
Secondo l’articolo 22 paragrafo 3 della direttiva (UE) 2016/680, il contratto o la legge devono definire i seguenti aspetti: l’oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di persone interessate nonché gli obblighi e i diritti del titolare del trattamento. Peraltro, il contratto o la legge prevedono segnatamente che il responsabile del trattamento agisca soltanto su istruzione del titolare del trattamento; assista il titolare del trattamento con ogni mezzo adeguato per garantire la conformità con le disposizioni relative ai diritti dell'interessato; a scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi di trattamento di dati e cancelli le copie esistenti (sempre che non vi siano obblighi legali contrari); e metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità con il contratto o la legge.
L’articolo 6 capoverso 2 P-OLPD corrisponde all’articolo 22 capoverso 3 OLPD, eccetto che il termine «terzo» è sostituito con «responsabile del trattamento» e che la disposizione riguarda i responsabili del trattamento nel loro insieme. Anche a tale riguardo sono stati effettuati alcuni adeguamenti puramente formali.
Il capoverso 3 precisa le modalità applicabili nel caso in cui il responsabile del trattamento intenda delegare il trattamento di dati personali a un terzo. Questo capoverso riguarda soltanto gli organi federali. Conformemente alla sua scelta legistica riguardo all’estensione della trasposizione della direttiva (UE) 2016/680 (cfr. n. 2.3 del messaggio del 15 settembre 2017), il Consiglio federale propone di applicare il requisito previsto dall’articolo 22 paragrafo 2 di tale atto normativo europeo a tutto il settore pubblico, poiché non si tratta di una norma specifica alla cooperazione instaurata da Schengen nel settore penale. Come indicato nel messaggio del Consiglio federale (FF 2017 5939 pag. 6023), il titolare privato del trattamento non è tenuto a rispettare questa esigenza formale. L’articolo 9 capoverso 3 nLPD prescrive che il responsabile del trattamento può delegare il trattamento soltanto previa autorizzazione del titolare del trattamento. Come risulta dal messaggio del 15 settembre 2017 13 (n. 91.3.1), il Consiglio federale è incaricato di precisare nell’ordinanza che nel settore pubblico l’autorizzazione deve essere scritta conformemente ai requisiti dell’articolo 22 paragrafo 2 della direttiva (UE) 2016/680. Questa disposizione prescrive che gli Stati Schengen sono tenuti di prevedere che il responsabile non possa reclutare un altro responsabile senza l’autorizzazione scritta del titolare del trattamento. Occorre rammentare che la forma scritta comprende la forma elettronica.
Art. 7 Informazione del consulente per la protezione dei dati dell’organo federale
13 FF 2017 5939, 6023
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
La presente disposizione prevede l’obbligo, unicamente per l’organo federale, d’informare il competente consulente per la protezione dei dati della conclusione di un contratto con il responsabile del trattamento o dell’autorizzazione di subappaltare il trattamento dei dati personali a un terzo. Il trattamento di dati personali da parte di un responsabile pone in generale maggiori rischi per la protezione dei dati delle persone interessate. L’organo federale è pure tenuto a informare quanto prima il consulente dei problemi incontrati per quanto riguarda il rispetto delle disposizioni legali o contrattuali sulla protezione dei dati.
4.1.3 Comunicazione di dati personali all’estero
Per seguire la sistematica della legge, le disposizioni sulla comunicazione di dati personali all’estero sono collocate nel primo capitolo dedicato alle disposizioni generali. Occorre precisare diverse nozioni relative alle comunicazioni all’estero e il P-OLPD lo fa in cinque articoli distinti. Un primo articolo permette di concretizzare i criteri di cui deve tenere conto il Consiglio federale al fine di stabilire se uno Stato o un organismo internazionale garantisce una protezione adeguata. Un secondo articolo chiarisce l’oggetto delle clausole di protezione dei dati di un contratto e delle garanzie specifiche che garantiscono una protezione adeguata. Un terzo articolo riguarda le clausole tipo di protezione dei dati, un quarto si concentra sulle norme interne dell’impresa vincolanti e un quinto introduce altre garanzie adeguate sulla base della competenza del Consiglio federale in virtù dell’articolo 16 capoverso 3 nLPD.
Art. 8 Valutazione dell’adeguatezza della protezione dei dati di uno Stato estero o di un organismo internazionale
Se sono adempiuti alcuni criteri, il Consiglio federale può decidere che uno Stato (come anche un territorio o uno o più settori specifici di uno Stato) o un organismo internazionale garantisce una protezione adeguata.
Prima di indicare in dettaglio i fattori di cui dovrà tenere conto il Consiglio federale per decidere in merito all’adeguatezza, occorre precisare cosa si intende per «territorio» o «settore determinato». In particolare negli Stati federali è infatti possibile che lo Stato federale non disponga di una legislazione che assicura una protezione adeguata ma che uno Stato federato sia invece provvisto di un regime di protezione dei dati adeguato e valido sul suo territorio. Per quanto concerne il «settore specifico», può ad esempio essere citato il riconoscimento da parte della Commissione europea della parziale adeguatezza del Canada, nella misura in cui una legislazione di protezione specifica per il settore privato permetteva di riconoscere una protezione adeguata soltanto a questo settore 14. Fino al luglio 2020, tale era il caso anche degli Stati Uniti, a causa del Privacy Shield CH-USA (scudo della privacy CH- USA) che permetteva il libero trasferimento dei dati unicamente verso le imprese che si erano impegnate a rispettare i principi vincolanti dello scudo di protezione 15. Si possono anche menzionare altri settori particolari come le assicurazioni o il trattamenti di dati 16 da parte di un responsabile dei dati. La nozione di organismo internazionale è stata precisata nel messaggio concernente la legge sulla protezione dei dati. Si tratta di «qualsiasi istituzione internazionale,
Decisione 2002/2/CE della Commissione, del 20 dicembre 2001, conforme alla direttiva 95/46/CE del Parlamento europeo e del Consiglio e riguardante l'adeguatezza della protezione fornita dalla legge canadese sulla tutela delle informazioni personali e sui documenti elettronici, GUCE, L 2 del 4 gennaio 2002. Si veda anche l’osservazione dell’IFPDT sul Canada nel suo elenco di Stati con una legislazione che garantisce una protezione adeguata: https://www.edoeb.admin.ch/dam/edoeb/fr/dokumente/2020/staatenliste.pdf.download.pdf/20200908_Staatenliste_f.pdf (documento disponibile soltanto in francese). Dopo che, il 16 luglio 2020, la CGUE ha invalidato il Privacy Shield UE-USA (sentenza «Schrems II»), l’IFPDT ha soppresso la menzione «livello adeguato a determinate condizioni» per gli Stati Uniti sul suo elenco di Stati. Si veda anche il comunicato dell’IFPDT: https://www.admin.ch/gov/it/pagina- iniziale/documentazione/comunicati-stampa.msg-id-80318.htmle il relativo parere : https://www.newsd.admin.ch/newsd/message/attachments/64260.pdf. Cfr. De Terwangne Cécile/Gayrel Claire, Le RGPD et les transferts internationaux de données à caractère personnel, in : Le règlement général sur la protection des données (RGPD/GDPR): analyse approfondie, Cahiers du CRIDS; n. 44, 2018, http://www.crid.be/pdf/public/8344.pdf, pag. 297.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
a prescindere che si tratti di un’organizzazione o di un’autorità giurisdizionale» (FF 2017 5939 pag. 6029) 17.
Per stabilire se uno Stato (o un territorio o un settore specifico) o un organismo internazionale assicura una protezione adeguata, occorre in particolare tenere conto dei seguenti criteri (art. 8 cpv. 1 P-OLPDT):
– gli impegni internazionali dello Stato o dell’organismo internazionale nel settore della protezione dei dati; (cpv. 1 lett. a); – il rispetto dei diritti dell’uomo (cpv. 1 lett. b); – la legislazione vigente in materia di protezione dei dati, la sua attuazione e la giurisprudenza pertinente (cpv. 1 lett. c).
Questi primi tre aspetti implicano segnatamente che sia tenuto conto dello Stato di diritto, del rispetto dei diritti dell’uomo e delle libertà fondamentali, della legislazione generale e speciale pertinente dello Stato, compresa quella riguardante la sanità pubblica, la difesa, la sicurezza nazionale e il diritto penale, nonché l’accesso delle autorità pubbliche ai dati personali:
– la garanzia effettiva dei diritti delle persone interessate e della tutela giuri- sdizionale (cpv. 1 lett. d).
Non occorre soltanto verificare se le persone hanno diritti previsti da una base legale ma anche se a tali diritti è effettivamente data attuazione:
– il funzionamento efficace di una o più autorità indipendenti che sono incaricate della protezione dei dati nello Stato interessato o alle quali è assoggettato un organo internazionale e che dispongono di poteri e competenze sufficienti. In tal senso le esigenze minime della Convenzione STE 108 devono essere adempiute (cpv. 1, lett. e).
Il Consiglio federale può peraltro tenere conto anche dell’esistenza di una valutazione relativa al livello di protezione effettuata sia da un’autorità estera incaricata della protezione dei dati (proveniente da uno Stato che garantisce una protezione adeguata) sia da un organismo internazionale (cpv. 2). Per organismo internazionale ai sensi del presente capoverso si può segnatamente intendere il Comitato convenzionale istituito dalla Convenzione STE 108. Anche le valutazioni effettuate dalla Commissione europea possono costituire una fonte di informazioni.
L’articolo 8 P-OLPD prevede anche che l’adeguatezza della protezione dei dati dello Stato o dell’organismo interessato sia periodicamente oggetto di una nuova valutazione (cpv. 3). Se constata, in tale contesto o attraverso altre informazioni disponibili, che uno Stato o un organismo internazionale non garantisce una protezione adeguata, il Consiglio federale deve modificare, sospendere o abrogare la sua decisione ai sensi dell’articolo 16 capoverso 1 nLPD. Ad esempio, nel caso degli Stati Uniti, la sentenza «Schrems II», resa dalla CGUE nel luglio 2020, ha indotto l’IFPDT a rivedere la sua posizione riguardo a tale Stato (e a modificare il suo elenco), perché tale informazione era «disponibile». Se lo ritiene necessario, il Consiglio federale può modificare la lista degli Stati o degli organismi internazionali in modo urgente, sulla base dell’articolo 7 capoverso 3 LPubb 18 che autorizza le pubblicazioni urgenti.
17 De Terwangne Cécile/Gayrel Claire citano ad esempio l’Agenzia mondiale antidoping di Montréal alla quale sono trasferiti dati sensibili riguardanti la salute degli sportivi di altro livello, op. cit., pag. 296. 18 RS 170.512
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Va ancora precisato che la nuova decisione non ha alcun effetto sulle comunicazioni di dati già eseguite (cpv. 4).
Il capoverso 5 prevede che gli Stati, i territori, i settori specifici di tali Stati e gli organismi internazionali in cui il Consiglio federale ha constatato una protezione adeguata siano elencati nell’allegato 1 della presente ordinanza. Il messaggio 19 raccomanda una lista «positiva». Il fatto che uno Stato non vi figuri non significa necessariamente che è sprovvisto di una legislazione sulla protezione dei dati che assicura una protezione adeguata; è possibile che non sia stato esaminato dal Consiglio federale. Questo modo di procedere differisce leggermente da quello dell’IFPDT. Infatti, finora quest’ultimo ha precisato se il livello di protezione di ciascuno Stato è adeguato, adeguato in determinate condizioni o insufficiente.
Infine, il capoverso 6 precisa che l’IFPDT è consultato prima di qualsivoglia decisione in merito all’adeguatezza.
Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche
L’articolo 16 capoverso 2 nLPD prescrive che, in assenza di una decisione del Consiglio federale, si possono comunicare dati all’estero se è garantita una protezione adeguata. Nel settore privato, questa garanzia può essere fornita da clausole di protezione dei dati contenute in un contratto concluso tra il titolare del trattamento o il responsabile e l’altro contraente (lett. b). Nel settore pubblico, si può trattare di garanzie specifiche stabilite dall’organo federale competente (lett. c).
Contrariamente agli altri strumenti previsti al capoverso 2, i titolari del trattamento e i responsabili non devono far approvare queste garanzie dall’IFPDT ma soltanto comunicargliele ogni volta che trasmettono dati personali all’estero. Esiste un certo rischio che i titolari e i responsabili del trattamento diano un’interpretazione del grado di protezione che queste garanzie devono raggiungere, sia nel settore privato sia in quello pubblico.
Il Consiglio federale considera quindi opportuno definire alcuni standard di protezione dei dati e precisa nell’articolo 9 capoverso 1 P-OLPD i punti che devono essere regolati da queste clausole di protezione o garanzie specifiche. Si tratta in particolare dei seguenti elementi: l’applicazione dei principi della liceità, della buona fede, della proporzionalità, di finalità ed esattezza (lett. a); le categorie dei dati personali comunicati e delle persone interessate (lett. b); il tipo e lo scopo della comunicazione dei dati personali (lett. c); i nomi degli Stati ai quali sono comunicati dati personali (lett. d); i nomi degli organismi internazionali ai quali sono comunicati dati personali (lett. e); i requisiti della conservazione, della cancellazione e della distruzione di dati personali (lett. f); i destinatari autorizzati a trattare i dati (lett. g); i provvedimenti per garantire la sicurezza dei dati (lett. h); i requisiti della comunicazione dei dati personali a un altro Stato estero od a un altro organismo internazionale (lett. i); l’obbligo del destinatario di informare le persone interessate sul trattamento (lett. j); i diritti della persona interessata (lett. k), segnatamente i diritti di chiedere accesso ai propri dati personali (n. 1), di fare opposizione al trattamento dei dati personali (n. 2), di chiedere la rettifica, la cancellazione o la distruzione di dati personali (n. 3) e di chiedere tutela giurisdizionale a un’autorità (autorità di protezione dei dati o tribunale; n. 4).
Tutti questi elementi riprendono i fondamenti della nLPD e il capoverso 2 precisa che, se comunica all’estero dati personali, il titolare della protezione prende misure adeguate per
19 FF 2017 6029
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
garantire che il destinatario rispetti le clausole contrattuali di protezione dei dati o le garanzie specifiche. Questo capoverso riprende sostanzialmente l’articolo 6 capoverso 4 OLPD e permette di garantire che il destinatario dei dati comunicati rispetti il quadro giuridico di protezione dei dati applicabile in Svizzera.
Infine il capoverso 3 riprende l’articolo 6 capoverso 2 OLPD riguardante il dovere d’informazione del titolare del trattamento che è modificato soltanto dal punto di vista redazionale, in particolare con la sostituzione dell’espressione «detentore della collezione di dati».
Art. 10 Clausole tipo di protezione dei dati
Come nell’ambito delle comunicazioni di dati all’estero fondate su clausole contrattuali di protezione dei dati e su garanzie specifiche, le comunicazioni fondate su clausole tipo di protezione dei dati (art. 16 cpv. 2 lett. d nLPD) devono effettivamente rispettare il diritto svizzero della protezione dei dati. Così l’articolo 10 capoverso 1 P-OLPD riprende anche l’articolo 6 capoverso 4 OLPD e precisa che il titolare del trattamento deve prendere provvedimenti adeguati per assicurarsi che il destinatario rispetti le clausole tipo. Il commento dell’Ufficio federale di giustizia sull’OLPD 20 precisa questo obbligo di diligenza: l’adeguatezza dei provvedimenti dipenderebbe dalle circostanze del caso concreto. Le esigenze sarebbero più severe per i dati sensibili o i profili della personalità che per gli altri dati personali. Sebbene l’espressione «profilo della personalità» sia stata eliminata nella nLPD, la spiegazione rimane pertinente: le misure adeguate devono essere adeguate alle circostanze concrete.
Peraltro, l’articolo 10 capoverso 2 P-OLPD precisa l’articolo 16 capoverso 2 lettera d nLPD secondo cui le clausole tipo di protezione dei dati che possono essere elaborate da un privato o da un organo federale devono essere sottoposte all’IPDT. Quindi quest’ultimo prende una decisione ai sensi dell’articolo 5 della legge federale del 20 dicembre 1968 21 sulla procedura amministrativa (PA) nel termine previsto dall’articolo 4 dell’ordinanza del 25 maggio 2011 22 sui termini ordinatori (OTOr) e pubblica sul proprio sito internet un elenco delle clausole tipo di protezione dei dati che ha approvato, emanato o riconosciuto.
Art. 11 Norme interne dell’impresa vincolanti sulla protezione dei dati
Le norme interne dell’impresa vincolanti si applicano a tutte le imprese che appartengono a uno stesso gruppo che le devono rispettare. Queste regole non disciplinano soltanto i punti menzionati nell’articolo 9 capoverso 1 P-OLPD, ma anche la struttura e i dati di contatto del gruppo di imprese e di ciascuna delle sue unità nonché i meccanismi predisposti in seno ai gruppi di imprese per garantire che queste norme siano effettivamente rispettate.
Conformemente all’articolo 16 capoverso 2lettera e nLPD, queste norme interne dell’impresa vincolanti devono essere sottoposte all’IFPDT che prende una decisione secondo l’articolo 5 PA nel termine previsto dall’articolo 4 OTOr.
Art. 12 Codici di condotta e certificazioni
20 Cfr. il commento UFG, 5.2 (disponibile soltanto in francese e tedesco).
21 RS 172.021 22 RS 172.010.14
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Come fa presente l’articolo 16 capoverso 3 nLPD, il Consiglio federale può prevedere altre garanzie appropriate che permettano di comunicare dati all’estero. Un codice di condotta o una certificazione possono quindi garantire una protezione adeguata (cpv. 1).
Questa nuova misura incoraggia le imprese ad adottare tali codici o far certificare i loro sistemi, prodotti o servizi. Per coerenza con le clausole tipo di protezione dei dati e le norme interne dell’impresa vincolanti, anche i codici di condotta devono essere approvati dall’IFPDT (cpv. 2). L’adeguatezza di questi strumenti va infatti verificata. I codici di condotta devono almeno comprendere i medesimi punti richiesti per le clausole di protezione dei dati di un contratto e per le garanzie specifiche. Quindi si rimanda all’articolo 9 capoverso 1 P-OLPD. L’approvazione dei codici di condotta da parte dell’IFPDT non è in contraddizione con l’articolo 11 nLPD secondo cui, in generale, l’IFPDT prende posizione sui codici di condotta che gli sono sottoposti (senza approvarli). Nel caso concreto, se un titolare del trattamento intende servirsi del proprio codice di condotta per comunicare dati personali all’estero, l’IFPDT deve approvare tale strumento per coerenza rispetto alle clausole tipo di protezione dei dati e alle norme interne dell’impresa vincolanti. Conformemente all’ordinanza del 28 settembre 2007 23 sulle certificazioni in materia di protezione dei dati, soltanto le certificazioni straniere devono essere riconosciute dall’IFPDT. Ciò non significa che la certificazione non deve essere conforme alle esigenze di tale ordinanza.
Inoltre, il titolare del trattamento o il responsabile in un Paese terzo deve assumere l’impegno vincolante ed esecutivo di applicare i provvedimenti contenuti nei codici di condotta e nelle certificazioni (cpv. 3).
Va inoltre menzionato il fatto che gli articoli 5 e 7 OLPD non sono ripresi: il primo è ormai stato integrato nella nLPD (art. 18) e il secondo non è più pertinente perché la competenza che conferiva all’IFPDT di emanare la lista degli Stati con protezione adeguata spetta ormai al Consiglio federale (art. 16 cpv. 1 nLPD).
4.2 Obblighi del titolare e del responsabile del trattamento
Art. 13 Modalità degli obblighi di informare
Cpv. 1
L’obbligo d’informare del titolare e del responsabile del trattamento è sancito nell’articolo 19 nLPD. È accompagnato da eccezioni e restrizioni di cui all’articolo 20 nLPD. L’articolo 19 capoverso 1 nLPD precisa che la persona interessata deve essere informata «in modo adeguato». Ciò implica una comunicazione delle informazioni per quanto possibile concisa, comprensibile e facilmente accessibile. In altri termini, ciò significa che il titolare e il responsabile del trattamento devono scegliere le modalità di comunicazione di modo che le informazioni più importanti siano sempre trasmesse al primo livello di comunicazione con la persona interessata. Occorre tuttavia precisare che la comunicazione mediante un sito Internet non è sempre sufficiente: la persona interessata deve sapere che troverà tali informazioni su un determinato sito. Se la comunicazione avviene su un sito Internet, ad esempio, potrebbe costituire una buona pratica il fatto di mettere a disposizione in modo immediato tutte le informazioni essenziali. La persona che desidera informazioni supplementari potrà cliccare su queste prime informazioni i. Se la comunicazione avviene per telefono, una persona fisica fornirà spiegazioni orali e risponderà alle eventuali domande della persona interessata; se si tratta di informazioni registrate, la persona interessata dovrà avere la possibilità di ottenere informazioni più dettagliate. Infine, se in un ambiente
23 RS 235.13
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
«reale» una persona è filmata con un sistema di videosorveglianza fissa o un drone, occorrerà informare di quest’attività mediante una segnaletica chiara o una campagna di informazione.
Cpv. 2
Per permettere una presentazione chiara e comprensibile, le informazioni possono essere accompagnate da pittogrammi. L’impiego di pittogrammi non può che avvenire in aggiunta alla comunicazione delle informazioni necessarie alle persone interessate e al fine di migliorarne la trasparenza, ma non può sostituire tale comunicazione. L’ordinanza precisa inoltre che se i pittogrammi sono presentati in via elettronica, devono poter essere letti a macchina. Ciò significa che determinati programmi possono facilmente identificare, riconoscere ed estrarre informazioni da questi formati, il che permette di confrontare questi documenti, e in senso più ampio, consente una certa automatizzazione.
Le eccezioni all’obbligo di informare, e in particolare quelle previste nell’articolo 20 capoverso 2 nLPD non richiedono ulteriori precisazioni poiché il messaggio già indica cosa si intende per informazione impossibile da fornire o che richiede un onere sproporzionato al titolare del trattamento o al responsabile (cfr. FF 2017 6041 segg.).
L’articolo 13 capoversi 1 e 2 è applicabile anche all’obbligo di informare in caso di decisioni individuali automatizzate secondo l’articolo 21 nLPD.
Art. 14 Obbligo di informare degli organi federali in merito alla raccolta sistematica di dati personali
La normativa corrisponde all’attuale articolo 24 OLPD: se la persona interessata non è tenuta a fornire un’informazione, l’organo federale che raccoglie sistematicamente dati mediante moduli deve informarla del carattere facoltativo della sua risposta. Conformemente all’articolo 24 OLPD tale obbligo vale soltanto per la raccolta sistematica di dati personali, in particolare mediante moduli. Riguarda in particolare i settori della statistica e della ricerca.
Art. 15 Informazione in occasione della comunicazione di dati personali
La presente disposizione corrisponde agli articoli 12 e 26 OLPD e riguarda l’affidabilità dei dati personali comunicati. Oltre all’«attualità» e all’«affidabilità» dei dati personali, l’articolo 15 menziona ora anche l’«esaustività». Per garantire la qualità dei dati, questi ultimi devono infatti essere attuali, affidabili e completi (non devono essere né parziali né lacunosi). La presente disposizione è così adeguata all’articolo 7 paragrafo 2 della Direttiva (UE) 2016/680. In considerazione della sistematica della nuova legge, essa si applica sia ai privati sia agli organi federali e completa l’articolo 6 capoverso 5 nLPD.
Art. 16 Informazione sulla rettifica, sulla cancellazione o la distruzione nonché sulla restrizione del trattamento di dati personali Secondo l’articolo 16 P-OLPD, il titolare del trattamento deve informare immediatamente i destinatari cui ha comunicato dati personali sulla rettifica, sulla cancellazione o la distruzione nonché sulla restrizione del trattamento di tali dati, eccetto che la comunicazione sia impossibile o comporti un onere sproporzionato. La normativa si ispira all’articolo 19 GDPR. Le regole dell’articolo 16 paragrafi 5 e 6 della direttiva (UE) 2016/680 sono invece già attuate nel diritto settoriale. Scopo della normativa è in particolare garantire che non vi siano raccolte di dati in contraddizione tra loro. L’obbligo del titolare del trattamento secondo l’articolo 16 completa i diritti delle persone interessate previsti dagli articoli 32 capoverso 4 e 41 capoverso 2 lettera b nLPD: il titolare del trattamento è obbligato dal P-OLPD a
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
comunicare ai destinatari la rettifica, la cancellazione o la distruzione nonché la restrizione del trattamento di dati personali. Se omette tale comunicazione, la persona interessata può far valere i propri diritti secondo la nLPD. Art. 17 Riesame di una decisione individuale automatizzata
Conformemente all’articolo 21 capoverso 2 nLPD, la persona interessata da una decisione individuale automatizzata ha il diritto di esprimere un parere e di esigere un riesame da parte di una persona fisica. Per non dissuadere la persona interessata dall’esercitare i propri diritti, viene precisato che essa non deve subire pregiudizi a causa della sua richiesta. In tal ambito la nozione di pregiudizio va intesa in senso ampio, e comprende ad esempio i pregiudizi finanziari e sociali nonché le complicazioni amministrative (vessazioni).
Art. 18 Forma e conservazione della valutazione d’impatto sulla protezione dei dati
La norma concretizza le modalità della valutazione d’impatto sulla protezione dei dati secondo dell’articolo 22 nLPD, segnatamente quanto alla forma e alla durata di conservazione.
Il periodo 1 stabilisce che la valutazione d’impatto sulla protezione dei dati deve essere redatta per scritto in forma comprensibile. È in particolare rilevante per provare che una tale valutazione d’impatto è stata effettuata.
Il periodo 2 riguarda la durata di conservazione. Il motivo per cui si conserva la valutazione d’impatto sulla protezione dei dati è, oltre all’esecuzione del trattamento dei dati, il fatto che costituisce uno strumento centrale della protezione dei dati. Può avere un’importanza in particolare per chiarire le violazioni della sicurezza dei dati o per valutare la punibilità di un comportamento. Quindi la valutazione d’impatto sulla protezione dei dati informa sulla valutazione dei rischi per la personalità o i diritti fondamentali e sui provvedimenti presi. Per quanto concerne gli organi federali, che in via di principio trattano dati soltanto se vi sono basi legali che lo permettono, è possibile che l’affidabilità di determinate basi legali renda necessario conservare per un lungo periodo la valutazione d’impatto sulla protezione dei dati (p. es. diversi decenni).
Per quanto concerne gli organi federali sarà inoltre necessario disciplinare le modalità del coordinamento temporale della valutazione d’impatto sulla protezione dei dati con la procedura legislativa per l’adozione di una base legale per il trattamento dei dati. Occorre prevedere che gli organi federali alleghino i risultati della valutazione d’impatto sulla protezione dei dati al messaggio del Consiglio federale. Poiché la normativa ha soltanto carattere di istruzione in seno all’Amministrazione federale, non occorre un disciplinamento in via di ordinanza. È previsto di attuare la normativa nelle direttive concernenti gli affari del Consiglio federale («classificatore rosso)» e nelle linee guida sui messaggi. Art. 19 Notifica di violazioni della sicurezza dei dati
L’articolo 24 capoverso 2 nLPD contiene i requisiti minimi di una notifica all’IFPDT da parte del titolare del trattamento di violazioni della sicurezza dei dati. Vanno menzionati il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure prese o previste. Il contenuto di tale notifica all’IFPDT è precisato nell’articolo 19 capoverso 1 P-OLPD. Va notato che la notifica all’IFPDT, conformemente all’articolo 24 capoverso 1 nLPD, è limitata alle violazioni della sicurezza dei dati che comportano verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Il termine «verosimilmente» chiarisce che nei casi dubbi, in cui non si può escludere un rischio elevato, deve essere effettuata una notifica.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Il capoverso 1 contiene il seguente elenco di indicazioni: oltre al tipo di violazione della sicurezza dei dati (lett. a) già menzionato nella legge, è inoltre prevista, per quanto possibile, la comunicazione del momento in cui si è verificata la violazione della sicurezza dei dati e della sua durata (lett. b). Ciò permette così all’IFPDT di verificare se il titolare del trattamento ha rispetto il suo obbligo di fargli pervenire quanto prima la notifica. Devono inoltre essere comunicati, per quanto possibile, le categorie e il numero approssimativo di dati personali interessati dalla violazione della sicurezza dei dati (lett. c) nonché le categorie e il numero approssimativo delle persone interessate (lett. d). Queste informazioni sono di importanza fondamentale per poter valutare l’entità della violazione. A tale riguardo è in particolare necessario che siano note le categorie di dati personali toccate dalla violazione (p. es. indirizzi, informazioni relative a carte di credito, dati sanitari) per rendere comprensibili le osservazioni in merito alle conseguenze, ai rischi e ai provvedimenti. In relazione alla notifica delle conseguenze e dei rischi per le persone interessate (lett. e) e delle misure adottate dal titolare del trattamento (lett. f), il titolare del trattamento, nell’ambito dell’informazione della persona interessata, deve anche indicare le categorie di dati personali concretamente toccate dalla violazione e i provvedimenti concreti che la persona interessata può adottare (p. es. modifica immediata della password se sono stati sottratti dati di login o blocco delle carte di credito). Infine il titolare del trattamento deve indicare nome e le generalità della persona di contatto (lett. g) interlocutore per la comunicazione con l’IFPDT e la persona interessata.
Il capoverso 2 permette al titolare del trattamento che non è in grado di mettere a disposizione dell’IFPDT le informazioni di cui al capoverso 1 al momento della scoperta della violazione della sicurezza dei dati, di fornire gradualmente tali informazioni all’IFPDT. Secondo l’articolo 24 capoverso 1 nLPD, il titolare del trattamento deve effettuare la notifica «quanto prima». Spesso tuttavia nella pratica, le informazioni secondo il capoverso 1 lettere b–d non sono disponibili subito dopo la scoperta della violazione. In un primo momento, il titolare del trattamento potrà quindi, fornire «quanto prima» soltanto le indicazioni di base che gli sono note. Non appena saranno disponibili le altre informazioni, che dovrà procurarsi senza ulteriori indugi ingiustificati, le trasmetterà gradualmente all’IFPDT. Il capoverso 3 stabilisce quali indicazioni devono essere fornite alla persona interessata da informare conformemente all’articolo 24 capoverso 4 nLPD. Precisa inoltre che l’informazione, rispetto alla notifica al responsabile del trattamento, deve essere comunicata in una lingua semplice e comprensibile. Di fatto, non si può pretendere che una persona non esperta conosca il linguaggio specializzato di questa materia tecnica. Il contenuto della notifica all’IFPDT è più vasto dell’informazione alla persona interessata, perché l’IFPDT deve potersi fare un quadro dell’entità della violazione della sicurezza dei dati.
La notifica all’organo federale è effettuata dal consulente per la protezione dei dati (cpv. 4). Gli organi federali devono quindi garantire mediante istruzioni o altri strumenti adeguati che i settori responsabili informino senza indugio il consulente per la protezione dei dati sulle violazioni della sicurezza dei dati, per permettergli di effettuare quanto prima la notifica secondo l’articolo 24 capoverso 1 nLPD.
Il capoverso 5 prevede che tutti i fatti connessi con la violazione della sicurezza dei dati notificata, le loro conseguenze e i provvedimenti adottati siano documentati. I documenti devono essere conservati per almeno tre anni dal momento della notifica della violazione della sicurezza dei dati.
Alla luce delle esperienze raccolte dalle autorità di vigilanza straniere nell’ambito dell’attuazione dell’obbligo di notifica di cui all’articolo 33 del regolamento (UE) 2016/679, ci sarà da attendersi un numero elevato di notifiche annuali nell’ambito del corrispondente obbligo di cui all’articolo 24 nLPD. Infatti, dallo scambio con l’ufficio del Land bavarese per
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
la vigilanza in materia di protezione dei dati (Bayerischen Landesamt für Datenschutzaufsicht), le cui cifre possono essere proiettate sulla realtà svizzera, è emerso che potrebbe trattarsi di circa 6000 notifiche all’anno. Per poter offrire al titolare del trattamento la possibilità di strutturare le notifiche e assicurare un trattamento efficace del loro elevato numero, attualmente l’IFPDT sta sviluppando uno sportello di notifica via Internet, probabilmente sotto forma di formulario interattivo. Nell’ambito di questo progetto, l’IFPDT sta valutando l’opportunità di istituire un portale di notifica da condividere con altri organi federali che hanno obblighi o possibilità di notifica analoghi nell’ambito della sicurezza dei dati (p. es. la notificazione volontaria di ciberincidenti presso l’NCSC). Un portale comune ridurrebbe l’onere per i titolari del trattamento nel quadro dell’invio delle notifiche ai numerosi servizi federali e permetterebbe di aumentare il numero di notifiche facoltative che non causerebbero oneri aggiuntivi.
4.3 Diritti della persona interessata
Il capitolo relativo ai diritti della persona interessata trattava, nel quadro del D-LPD, del diritto di accesso e delle relative restrizioni. Il Parlamento ha quindi deciso di aggiungervi un diritto alla consegna e alla trasmissione di dati personali. L’ordinanza precisa ora questi due aspetti dei diritti della persona interessata.
Il diritto d’accesso è disciplinato in parti diverse dell’OLPD a seconda del fatto che riguardi il settore privato (art. 1 e 2 OLPD) o quello pubblico (art. 13 e 14 OLPD). Le norme sono in ampia misura riprese (cfr. art. 13 OLPD), salvo una disposizione sulle domande di informazioni alle missioni svizzere all’estero per quanto concerne il settore pubblico (art. 14 OLPD). In seguito alla discussione con il Dipartimento federali degli affari esteri e con il Dipartimento della difesa, della protezione della popolazione e dello sport, il contenuto dell’articolo 14 OLPD non è stato ripreso nella P-OLPD, perché non era più attuale. Si è quindi deciso di disciplinare il diritto d’accesso per i due settori privato e pubblico in una parte comune che segue la sistematica della nLPD ed è collocata dopo quella concernente gli obblighi dei titolari e dei responsabili del trattamento.
Ora i diversi elementi relativi al diritto d’accesso sono ripartiti su diversi articoli. Un primo articolo si concentra sulle modalità del diritto di accesso e in particolare sulla forma della comunicazione delle informazioni; un secondo articolo è dedicato al diritto d’accesso quando vi sono diversi titolari del trattamento o se i dati sono trattati da un responsabile del trattamento; un terzo articolo riguarda i termini applicabili e infine un quarto disciplina le eccezioni alla gratuità del diritto d’accesso.
Un’ultima disposizione precisa quali norme si applicano anche al diritto alla consegna e alla trasmissione dei dati personali.
4.3.1 Diritto d’accesso
Art. 20 Modalità
Questa disposizione concretizza le modalità del diritto d’accesso previsto all’articolo 25 nLPD e riprende in una certa misura l’articolo 1 capoversi 1–3 OLPD.
Cpv. 1
L’articolo 20 capoverso 1 P-OLPD si concentra sulla forma della domanda di accesso. Sostanzialmente riprende il contenuto dell’articolo 1 capoverso 1 OLPD secondo cui la persona che fa valere il suo diritto d’accesso di regola «lo deve fare per scritto». Il commento
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
dell’OLPD dell’Ufficio federale della giustizia 24 precisa che la forma orale può essere sufficiente in alcuni casi, a condizione che il detentore della collezione di dati (in futuro: il titolare del trattamento) sia d’accordo. La redazione dell’articolo 20 P-OLPD tiene conto di queste considerazioni ai fini di una maggiore chiarezza.
Infine va precisato che la forma scritta comprende la forma elettronica.
Cpv. 2
La comunicazione delle informazioni, disciplinata nell’articolo 20 capoverso 2 P-OLPD, avviene in generale per scritto (quindi in formato cartaceo o elettronico). La forma scritta è quindi privilegiata, ma non ne esclude altre. Va precisato che la forma digitale comprende anche i dati personali audio (come le domande vocali registrate mediante una segreteria). Come previsto all’articolo 1 capoverso 3 OLPD, la consultazione in loco è ad esempio possibile segnatamente quando i dati sono suddivisi in dossier diversi, sono particolarmente abbondanti o quando le informazioni richieste devono essere spiegate. In caso di consultazione in loco, la persona interessata deve comunque avere la possibilità di chiedere una fotocopia di alcuni documenti del suo dossier. È anche prevista la trasmissione in forma orale delle informazioni, ad esempio per telefono, a condizione che la persona interessata vi abbia acconsentito.
Questa triplice soluzione (comunicazione scritta, consultazione sul posto o forma orale) riprende l’articolo 8 capoverso 5 LPD integrando la via elettronica come è già il caso dell’articolo 1 capoverso 2 OLPD) per conservare nella base legale quanto auspicato anche dal Tribunale federale (cfr. DTF 141 III 119).
Cpv. 3
Quando i dati personali sono forniti in una forma tecnica che non è leggibile e/o comprensibile per la persona interessata, il titolare del trattamento deve essere in grado di offrirle spiegazioni complementari, ad esempio oralmente.
Cpv. 4
L’articolo 20 capoverso 4 P-OLPD riprende le condizioni già applicabili secondo l’articolo 1 capoverso 2 lettere a e b OLPD volte a garantire la sicurezza delle informazioni trasmesse. Così il titolare del trattamento deve adottare i provvedimenti adeguati per garantire l’identificazione della persona interessata e per proteggere i suoi dati personali contro ogni accesso di terzi non autorizzato al momento della comunicazione delle informazioni e ciò a prescindere dalla modalità di comunicazione. Si tratta segnatamente dei casi in cui le informazioni da fornire contengono dati sensibili, per esempio in relazione alla salute, che non sarebbero sufficientemente protetti nell’ambito di una comunicazione orale o elettronica. Il titolare e il responsabile del trattamento dovranno quindi crittare i messaggi elettronici o prevedere un accesso Internet per i dati consultabili online. In questi casi, i codici per accedere alle informazioni dovranno essere consegnati alla persona interessata nell’ambito di una comunicazione separata (ad esempio per lettera separata o sms). La persona interessata deve tuttavia collaborare alla propria identificazione.
Cpv. 5
24 Cfr. commento UFG, 3.1.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
I motivi di un rifiuto, di una restrizione o di un differimento dell’informazione devono essere documentati. Di regola questo obbligo di documentare è osservato con la mera conservazione della copia della risposta scritta alla persona interessata. Sebbene l’articolo 26 capoverso 4 nLPD non obblighi i titolari privati del trattamento a rispettare requisiti formali quanto alla modalità di comunicazione alla persona interessata di un rifiuto, di una restrizione o di un differimento dell’informazione, per motivi legati alla prova è tuttavia necessario che la comunicazione avvenga per scritto. In caso di informazione orale la documentazione dovrà essere garantita in altro modo (p. es. mediante un appunto relativo alla telefonata). Il termine di conservazione delle registrazioni è al minimo di tre anni.
Altri elementi
Il termine per fornire informazioni di cui all’articolo 1 capoverso 4 OLPD è oggetto di un articolo specifico del progetto (cfr. art. 22 P-OLPD). Altrettanto vale per i capoversi 5 e 6 dell’articolo 1 OLPD (cfr. art. 21 P-OLPD).
Infine l’articolo 1 capoverso 7 OLPD relativo alla consultazione dei dati di una persona deceduta è abrogato, perché il Parlamento non ha voluto conservare questa possibilità. Figurava nell’articolo 16 D-LPD, ma le Camere federali l’hanno eliminata. Non è pertanto opportuno reinserirla nell’ordinanza.
Art. 21 Competenza
Per i casi in cui i dati sono trattati congiuntamente da diversi titolari o da uno o più responsabili del trattamento, è stato previsto un articolo separato.
Cpv. 1
Il capoverso 1 riprende l’articolo 1 capoverso 5 OLPD con alcune modifiche terminologiche (p. es. l’espressione «detentore della collezione di dati» è stata sostituita con «titolare del trattamento»). L’eccezione alla possibilità di invocare il diritto d’accesso presso qualsiasi titolare del trattamento è soppressa. Ciò significa che la persona interessata può sempre esercitare il suo diritto d’accesso presso ogni titolare del trattamento. Peraltro, il testo non menziona più il caso in cui il responsabile del trattamento non è «autorizzato» ma quello in cui non è «competente».
Cpv. 2 Il capoverso 2 riprende l’articolo 1 capoverso 6 OLPD. È stato modificato per tenere conto dell’introduzione della nozione di «responsabile del trattamento» nella nLPD (art. 5 lett. k nLPD) e l’espressione «detentore della collezione di dati» è sostituita con «titolare del trattamento». La disposizione è stata riformulata anche per motivi di chiarezza, ma la sua portata materiale è rimasta la stessa.
Art. 22 Termine
L’articolo 22 P-OLPD riprende l’articolo 1 capoverso 4 OLPD senza modifiche sostanziali e precisa così l’articolo 25 capoverso 7 nLPD, disposizione aggiunta dal Parlamento che sancisce nella legge il termine di 30 giorni finora prevista nell’ordinanza. La precisazione secondo cui una decisione che limita il diritto d’accesso deve essere motivata è stata soppressa poiché questa norma è già iscritta nell’articolo 26 capoverso 4 nLPD. Infine, il
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
termine «richiedente» è sostituito con «persona interessata» per armonizzare la terminologia con la nLPD. Sostanzialmente la presente norma precisa che il titolare del trattamento dispone di 30 giorni per fornire le informazioni chieste dalla persona interessata o per informarla che rifiuta, limita o differisce il diritto d’accesso. Il capoverso 2 si applica soltanto se il titolare del trattamento non è in grado di fornire le informazioni nei 30 giorni successivi al ricevimento della domanda (e non nel caso in cui restringe il diritto d’accesso ai sensi dell’articolo 26 nLPD). Quindi il titolare del trattamento è tenuto a indicare il termine entro il quale saranno fornite le informazioni. Art. 23 Eccezioni alla gratuità
La rubrica della disposizione è oggetto di una mera modifica redazionale rispetto all’articolo 2 OLPD.
Il capoverso 1 lettera a è soppresso. Tale disposizione riguardava i casi di domande d’informazioni querulomani; questi casi sono ora disciplinati dalla nLPD che all’articolo 26 capoverso 1 lettera c prevede che il titolare del trattamento possa rifiutare, limitare o differire la comunicazione delle informazioni, quando la domanda d’accesso è manifestamente querulomane.
Sono invece sostanzialmente mantenuti l’articolo 2 capoverso 1 lettera b e capoverso 2 OLPD. Il termine «eccezionalmente» è soppresso perché il titolo della disposizione già menziona le «eccezioni» e il termine «richiedente» (nuovo cpv. 3) è sostituito con «persona interessata» per assicurare l’uniformità con la nLPD. Il termine «lavoro considerevole» è tuttavia sostituito con «onere sproporzionato» per restare coerenti con le modifiche apportate dal Consiglio nazionale all’articolo 25 capoverso 6 nLPD. Non costituisce ad esempio un onere sproporzionato il caso in cui il responsabile del trattamento deve dare accesso a numerosi dati personali, perché ha un preciso interesse a raccogliere quanti più dati possibile. Altrettanto vale se il lavoro è considerevole, perché il titolare del trattamento dispone di un’organizzazione insufficientemente strutturata (violazione del principio della «privacy by design» secondo cui i titolari o i responsabili del trattamento dispongono di un sistema che permette di accedere facilmente ai dati trattati). Infine, l’importo di 300 franchi rimane invariato: sotto il profilo dell’indice svizzero dei prezzi al consumo si è modificato soltanto in lieve misura dalla sua introduzione nell’ordinanza e non deve avere un effetto dissuasivo per la persona interessata.
4.3.2 Diritto alla consegna o alla trasmissione dei dati
Art. 24
Il presente articolo precisa che diverse condizioni del diritto d’accesso si applicano per analogia al diritto alla consegna e alla trasmissione dei dati personali (diritto alla portabilità). Ciò riguarda la forma in cui la persona interessata può chiedere la portabilità dei suoi dati (art. 20 cpv. 1 P-OLPD), i provvedimenti adeguati per garantire l’identificazione della persona interessata e proteggere i suoi dati da ogni accesso non autorizzato di terzi in occasione della comunicazione delle informazioni (art. 20 cpv. 4 P-OLPD), nonché le condizioni applicabili alla restrizione della portabilità (documentazione dei motivi e della durata di conservazione, art. 20 cpv. 5 P-OLPD). Altrettanto vale per le disposizioni relative al titolare del trattamento presso il quale può essere esercitato il diritto alla portabilità quando vi sono diversi titolari del trattamento (art. 21 cpv. 1 P-OLPD) e nei casi in cui il trattamento dei dati è effettuato da un responsabile del trattamento (art. 21 cpv. 2 P-OLPD). Si applicano per analogia anche le disposizioni sui termini (art. 22 P-OLPD) e sulle eccezioni alla gratuità (art. 23 P-OLPD).
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
4.4 Disposizioni particolari sul trattamento di dati da parte di persone private
Art. 25 Consulente per la protezione dei dati
L’articolo 10 capoverso 2 nLPD disciplina in modo non esaustivo due compiti che incombono al consulente per la protezione dei dati di un titolare privato del trattamento: formare e consigliare i titolari privati del trattamento in merito alle questioni della protezione dei dati (lett. a) e partecipare all’applicazione delle disposizioni sulla protezione dei dati (lettera b). L’articolo 25 P-OLPD precisa questi due compiti riprendendo determinate regole dell’articolo 12b OLPD.
Cpv. 1 lett. a
La presente disposizione è stata ripresa dall’articolo 12b capoverso 1 lettera a OLPD con lievi modifiche.
Secondo la lettera a, il consulente per la protezione dei dati esamina il trattamento dei dati personali nonché le sue condizioni e raccomanda provvedimenti correttivi al titolare del trattamento se constata che le prescrizioni sulla protezione dei dati sono state violate. Vigila quindi sul rispetto della legislazione in materia di protezione dei dati e di eventuali prescrizioni interne del titolare del trattamento. Con il complemento «nonché le sue condizioni» si precisa che il consulente esamina anche se le prescrizioni interne sulla protezione dei dati sono compatibili con la legislazione in materia. Il titolare del trattamento non può in nessun caso prendere provvedimenti sanzionatori contro il consulente per la protezione dei dati se quest’ultimo adempie ai suoi compiti.
A tale riguardo occorre rilevare che il consulente per la protezione dei dati, come suggerisce il suo nome, va inteso come un servizio di consulente e sostegno. Quindi, in considerazione della sua competenza decisionale, il titolare è solo responsabile per il rispetto della protezione dei dati, in particolare nei confronti della persona interessata. Il compito di cui alla lettera a non ha come conseguenza alcuna responsabilità del consulente per la protezione dei dati se il titolare del trattamento viola la legislazione in materia di protezione dei dati.
Cpv. 1 lett. b
La presente disposizione è nuova e concretizza il ruolo del consulente per la protezione dei dati nella realizzazione delle valutazioni d’impatto sulla protezione dei dati.
In virtù dell’articolo 23 capoverso 4 nLPD, il titolare privato del trattamento può rinunciare a consultare l’IPDT dopo una valutazione d’impatto sulla protezione dei dati se ha nominato un consulente ai sensi dell’articolo 10 nLPD e l’ha consultato riguardo a tale valutazione. Non basta sottoporgli i risultati della valutazione una volta che è stata eseguita. Il consulente deve infatti prestare il suo concorso alla realizzazione della valutazione e verificare in particolare la valutazione del rischio nonché i provvedimenti proposti dal titolare del trattamento. Idealmente, un tale coinvolgimento del consulente per la protezione dei dati dovrebbe essere sempre previsto, ma è obbligatorio soltanto nel caso in cui il titolare del trattamento ha rinunciato a consultare l’IFPDT (art. 23 cpv. 4 nLPD).
Cpv. 2
La disposizione riprende il contenuto dell’articolo 12b capoverso 2 lettere b e c OLPD.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
L’elenco dei documenti cui deve avere accesso il consulente per la protezione dei dati è stato adeguato alla terminologia della nLPD. L’accesso è limitato ai documenti di cui il consulente per la protezione dei dati ha effettivamente bisogno per adempiere i suoi compiti. In particolare, l’accesso ai dati personali va concesso soltanto se è necessario per l’adempimento dei compiti. Ad esempio se il consulente per la protezione dei dati compie un esame generale delle prescrizioni interne sulla protezione dei dati o dei processi di trattamento dei dati, di norma non ha bisogno di consultare dati personali.
Per contro, non è ripreso l’articolo 12b capoverso 2 lettera a OLPD perché la condizione che menziona è ora prevista dalla legge (art. 10 cpv. 3 lett. a nLPD).
Soppressione dell’art. 12a OLPD
Questa disposizione è soppressa, perché il suo contenuto figura ora nella legge (art. 10 cpv. 3 lett. b e c nLPD).
Art. 26 Eccezione all’obbligo di tenere un registro delle attività di trattamento
In virtù dell’articolo 12 nLPD, i titolari e i responsabili del trattamento devono tenere un registro delle attività di trattamento che deve contenere certe informazioni minime come l’identità del titolare del trattamento, la finalità del trattamento, una descrizione delle categorie di persone interessate e delle categorie di destinatari e, nella misura del possibile, i termini di conservazione dei dati personali o i criteri per determinare la durata di conservazione, nonché una descrizione generale dei provvedimenti che si prefiggono di garantire la sicurezza dei dati secondo l’articolo 8 nLPD e, in caso di comunicazione dei dati personali all’estero, il nome dello Stato in questione e le garanzie previste all’articolo 16 capoverso 2 nLPD.
Per alcune PMI, la tenuta di un tale registro rischia di comportare un onere amministrativo sproporzionato rispetto ai rischi potenziali dei trattamenti per la personalità delle persone interessate. Per questo motivo, il Consiglio federale può prevedere eccezioni all’obbligo di tenere tale registro. Nella misura in cui l’articolo 12 capoverso 5 nLPD autorizza il Consiglio federale a prevedere eccezioni per le imprese, comprese le imprese individuali, è logico che esso sia autorizzato ad applicare queste eccezioni anche alle persone fisiche e agli altri enti giuridici come le associazioni e le fondazioni. Ciò appare appropriato perché la tenuta del registro potrebbe comportare, come per le PMI, un onere sproporzionato.
L’articolo 26 concretizza quindi l’articolo 12 capoverso 5 nLPD precisando chi è interessato da tale eccezione e in quali casi i rischi di lesione sono limitati (cfr. messaggio, FF 2017 6028). Prevede che le imprese e altri organismi di diritto privato con meno di 250 collaboratori a inizio anno, a prescindere dal loro tasso di occupazione, e le persone fisiche siano liberate dall’obbligo di tenere un registro delle attività di trattamento se non sono trattati su vasta scala dati personali degni di particolare protezione (lett. a) e se non viene eseguita una profilazione ad altro rischio (lett. b). In altri termini, soltanto le PMI che eseguono trattamenti con un rischio elevato sono obbligate a tenere un registro delle attività di trattamento. Per quanto concerne la lettera a, si rimanda alle considerazioni sull’articolo 4 capoverso 1 lettera a P-OLPD che presenta una struttura simile e riguarda l’obbligo dei privati di allestire un regolamento sul trattamento. Naturalmente non è vietato alle PMI non assoggettate all’obbligo di tenere volontariamente un siffatto registro. Proprio nei casi in cui un titolare del trattamento tratta regolarmente dati personali, esso è uno strumento utile e semplice per conservare una visione d’insieme su tali attività, il che può semplificare anche il rispetto di altri obblighi come quello d’informazione.
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
4.5 Disposizioni particolari sul trattamento di dati da parte di organi federali
4.5.1 Consulente per la protezione dei dati
Gli articoli 27–30 P-OLPD sostituiscono l’articolo 23 OLPD che riguarda il consulente per la protezione dei dati degli organi federali.
Art. 27 Nomina
L’articolo 27 P-OLPD attua l’articolo 10 capoverso 4 nLPD e l’articolo 32 della direttiva (UE) 2016/680. La normativa secondo cui più organi federali possono designare insieme un consulente per la protezione dei dati intende permettere in particolare agli organi federali e ai dipartimenti di piccole dimensioni con una struttura organizzativa centralizzata di approfittare di opportune sinergie che permettono di risparmiare risorse. Invece, da parte degli uffici federali più grossi ci si può attendere che dispongano di un consulente per la protezione dei dati. Naturalmente gli organi federali possono anche designare più consulenti.
Art. 28 Requisiti e compiti
La lettera a dell’articolo 28 capoverso 1 P-OLPD riprende i requisiti dell’articolo 12a capoverso 2 ultimo periodo OLPD. Come finora previsto nell’articolo 12b capoverso 2 lettera a OLPD e per analogia con la normativa sui titolari privati del trattamento dell’articolo 10 capoverso 3 lettera a nLPD, la lettera b dispone a titolo vincolante per tutti gli organi federali che il consulente per la protezione dei dati esercita la sua funzione in modo indipendente e senza ricevere istruzioni. Finora gli organi federali che volevano liberarsi dall’obbligo di notificare le loro collezioni di dati dovevano soddisfare i requisiti degli articoli 12a e 12b OLPD (cfr. art. 23 cpv. 2 OLPD). Ciò permette di consolidare e istituzionalizzare il ruolo del consulente per la protezione dei dati negli organi federali normalmente caratterizzati da una struttura gerarchica permettendogli di adempiere efficacemente i suoi compiti. L’indipendenza del consulente per la protezione dei dati deve essere garantita soprattutto con provvedimenti organizzativi. Quindi occorre in particolare evitare che l’attività di consulente si ripercuota negativamente sul colloquio del collaboratore.
I compiti del consulente per la protezione dei dati di un organo federale descritti nel capoverso 2 sono stati armonizzati sotto il profilo terminologico con la disposizione sui titolari privati del trattamento (art. 25 cpv. 1 P-OLPD). Il capoverso 2 lettera b, in modo analogo all’articolo 25 capoverso 1 lettera b P-OLPD, stabilisce che il consulente per la protezione dei dati collabora alla valutazione d’impatto sulla protezione dei dati e la verifica. Al contrario di quest’ultima disposizione, non vi è rimando all’articolo 23 capoverso 4 nLPD che si applica soltanto ai titolari privati del trattamento. lI capoverso 2 lettera a è identico all’articolo 25 capoverso 1 lettera a P-OLPD. Si può pertanto rinviare per analogia ai commenti a tali disposizioni. Come già menzionato riguardo alla normativa sul titolare privato del trattamento, il consulente per la protezione dei dati è un servizio di consulenza e supporto e non un organo di sorveglianza. Per quanto concerne l’esame dei trattamenti e la raccomandazione di provvedimenti correttivi, va notato che non si tratta di introdurre un obbligo attivo di verifica o di prescrivere controlli sistematici di tutti i trattamenti di dati. È sufficiente che il consulente si attivi se i servizi titolari del trattamento chiedono l’esame di un trattamento di dati o se gli sono riferiti indizi di violazioni delle prescrizioni sulla sicurezza dei dati. Naturalmente il consulente per la protezione dei dati può svolgere l’esame in modo proattivo. Il compito previsto nel capoverso 2 lettera c di comunicare le violazioni della sicurezza dei dati, risulta dall’articolo 19 capoverso 4 P-OLPD ed è nuovamente ripreso nella presente disposizione a fini di completezza. Inoltre, secondo il capoverso 2 lettera d, il consulente per la protezione
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
dei dati funge da servizio di contatto per la persona interessata, ad esempio nei casi di richiesta di informazione secondo l’articolo 25 nLPD.
Art. 29 Obblighi dell’organo federale
L’articolo 29 capoverso 1 è identico alla normativa riguardante i titolari privati del trattamento, ovvero agli articoli 25 capoverso 2 lettera b P-OLPD. Anche a questo riguardo si può rimandare per analogia alle considerazioni fatte su tali disposizioni. Le basi legali speciali che impediscono al consulente per la protezione dei dati di accedere a determinate informazioni, in particolare i dati personali, prevalgono in ossequio al principio generale della lex specialis. I dati personali devono essere oscurati qualora il consulente per la protezione dei dati, per adempiere il suo compito, dovesse accedere a informazioni che contengono dati personali.
Il capoverso 2 è nuovo e prevede una normativa analoga a quella dell’articolo 10 capoverso 3 lettera d nLPD sul titolare privato del trattamento. Si prefigge di permettere alle persone interessate di esercitare i loro diritti in modo più semplice, assicurando la presenza di almeno un interlocutore specializzato. Non è necessario pubblicare il nome del consulente per la protezione dei dati. Basta indicare l’indirizzo e-mail del servizio specializzato competente. Inoltre, i dati di contatto del consulente per la protezione dei dati devono essere comunicati anche all’IFPDT.
Art. 30 Servizio di contatto dell’IFPDT
L’articolo 30 P-OLPD rende il senso e il contenuto dell’articolo 23 capoverso 3 OLPD precisandolo sotto il profilo formale. La formulazione fuorviante è stata tuttavia adeguata perché poteva essere intesa come una restrizione del contatto. L’organo federale deve essere libero di avere contatti con l’IFPDT anche tramite altri servizi e non soltanto per il tramite del consulente per la protezione dei dati. Non ha una funzione di persona di collegamento per l’IFPDT ma di servizio di contatto perché dispone delle necessarie conoscenze specialistiche e delle conoscenze interne nelle questioni in relazione con il trattamento di dati personali effettuato dall’organo federale cui appartiene.
Progetti degli organi federali di trattamento automatizzato di dati personali
Art. 31 Informazione del consulente per la protezione dei dati
L’articolo 31 P-OLPD riprende in parte l’articolo 20 capoverso 2 OLPD. L’articolo 20 capoverso 2 OLPD prevede già oggi l’obbligo per gli organi federali di annunciare senza indugio i progetti di trattamento automatizzato di dati personali al responsabile della protezione dei dati o, se del caso, all’IFPDT affinché le esigenze della protezione dei dati siano immediatamente prese in considerazione. Nell’articolo 31 P-OLPD l’annuncio all’IFPDT è soppresso, perché ogni organo federale disporrà di un consulente per la protezione dei dati (art. 27 P-OLPD) e quindi, secondo il Consiglio federale, l’annuncio a tale consulente è sufficiente.
Dal punto di vista temporale la legge stabilisce che il principio della protezione dei dati mediante provvedimenti tecnici deve essere considerato sin dalla pianificazione di un progetto (art. 7 nLPD). Questo principio viene ripreso nell’ordinanza. L’idea è che il consulente per la protezione dei dati deve essere coinvolto quanto prima nella pianificazione del progetto per permettergli di integrarvi tempestivamente i requisiti della protezione dei dati. Ciò vale per i progetti che prevedono nuovi trattamenti automatizzati di dati personali, ma anche per le modifiche dopo la conclusione di un progetto. Quindi il consulente per la
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
protezione dei dati va coinvolto ad esempio anche in caso di una modifica di un sistema già esistente che implica modifiche del trattamento di dati personali. In tedesco il termine «unverzüglich» è stato sostituito dal termine «rechtzeitig» senza tuttavia comportare una modifica materiale. Come attualmente, l’informazione deve avvenire il più rapidamente possibile.
Art. 32 Notifica all’IFPDT L’articolo 32 capoverso 1 P-OLPD stabilisce che l’organo federale responsabile deve notificare all’IFPDT le attività di trattamento automatizzato previste dall’autorizzazione del progetto o dalla decisione di sviluppo. L’IFPDT inserisce questa notifica nel registro delle attività di trattamento secondo l’articolo 56 nLPD. Tale notifica, tuttavia, non è pubblicata (cfr. art. 43 cpv. 2 P-OLPD). Rispetto all’annuncio sussidiario all’IFPDT secondo l’articolo 20 capoverso 2 OLPD, che si prefigge una verifica del contenuto dei progetti, la presente notifica serve invece per dare all’IFPDT una panoramica dei previsti progetti di trattamento automatizzato di dati personali. In primo luogo, la notifica intende permettere all’IFPDT di farsi un quadro d’insieme dei progetti previsti e quindi di ottimizzare la pianificazione delle risorse nell’ambito delle attività di consulenza e di accompagnamento di progetti legislativi. In questo senso l’articolo 32 P-OLPD persegue uno scopo diverso dall’informazione del consulente per la protezione dei dati nell’articolo 31 P-OLPD.
Come la notifica delle attività di trattamento esistenti secondo l’articolo 12 nLPD, l’IFPDT inserisce anche la notifica delle previste attività di trattamento nel registro delle attività di trattamento secondo l’articolo 56 nLPD. Tuttavia, poiché al momento della notifica i progetti si trovano ancora in uno stadio precoce, il contenuto di tale notifica secondo il capoverso 2 si limita a una parte delle indicazioni richieste dall’articolo 12 capoverso 2 nLPD in particolare alle lettere a–d. Secondo il capoverso 3, l’organo federale titolare del trattamento aggiorna la notifica al momento del passaggio all’esercizio produttivo (p. es. trasferisce l’iscrizione in una notifica secondo l’art. 12 cpv. 4 nLPD) o dell’interruzione del progetto (ossia cancellazione dell’iscrizione).
4.5.3 Progetti pilota
Art. 30 Carattere indispensabile della fase sperimentale
In virtù dell’articolo 35 capoverso 1 nLPD, prima dell’entrata in vigore di una legge in senso formale, il Consiglio federale può autorizzare il trattamento automatizzato di dati sensibili o altri trattamenti ai sensi dell’articolo 34 capoverso 2 lettere b e c nLPD se sono adempiute date condizioni cumulative. Una di tali condizioni è che l’attuazione del trattamento renda imprescindibile una fase sperimentale prima dell’entrata in vigore della legge formale, in particolare per motivi tecnici. Al fine di diminuire la densità normativa dell’articolo 35 nLPD, il Consiglio federale ha infatti deciso di spostare queste precisazioni dall’articolo 17a capoverso 2 LPD e di iscriverle nell’ordinanza.
L’articolo 33 OLPD definisce i casi in cui un sistema pilota può essere considerato imprescindibile e riprende l’articolo 17a capoverso 2 LPD con qualche modifica redazionale. Quindi ad esempio la nozione di «innovazioni tecniche» continua a essere intesa come finora e comprende l’impiego di nuove tecnologie, ma anche l’impiego di tecnologie già note in nuovi contesti o nell’implementazione di nuove soluzioni. Come esempio si può citare
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
l’applicazione SwissCovid 25, che si fonda su tecnologie già note come il Bluetooth, le quali non sono tuttavia mai state impiegate in una soluzione paragonabile. È modificata soltanto la lettera c: la disposizione comprende ora tutte le procedure di richiamo e non più soltanto quelle che conferiscono l’accesso alle autorità cantonali. I motivi di tale formulazione restrittiva erano da ricercare nella genesi della norma, ma a essere decisivo materialmente non è il criterio dei destinatari della procedura di richiamo, bensì l’aspetto tecnico che prevale nella definizione del carattere imprescindibile (cfr. art. 35 cpv. 1 lett. c nLPD). Anche se la procedura di richiamo è sparita dalla nLPD, perché non richiede più una base legale, nel presente contesto resta rilevante in quanto elemento di fatto.
Deve essere adempiuta almeno una delle condizioni di cui alle lettere a–c, il che significa in particolare che un sistema pilota non può essere impiegato per meri motivi di tempo.
Art. 34 Autorizzazione
La presente disposizione riprende l’articolo 27 OLPD aggiornando i rimandi alla nLPD. Soltanto il capoverso 6 rappresenta una nuova aggiunta: per ridurre la densità normativa della nLPD il contenuto dell’articolo 17a capoverso 3 LPD, secondo cui le modalità del trattamento automatizzato dei dati sono disciplinate in un’ordinanza, è ora ripreso nell’ordinanza. Ciò permette di garantire la trasparenza di queste fasi pilota; inoltre nell’ordinanza possono essere previsti provvedimenti a tutela delle persone interessate.
Art. 35 Rapporto di valutazione
La presente disposizione riprende l’articolo 27a OLPD.
4.5.4 Trattamento di dati per scopi impersonali
Art. 36
Per garantire che le deroghe previste all’articolo 39 capoverso 2 nLPD non siano applicate al di là di quanto prevede la legge, l’ordinanza precisa che, se un trattamento per scopi impersonali (ad esempio un trattamento a scopo di ricerca, di pianificazione o di statistica) serve nel contempo un altro scopo, tali deroghe si applicano soltanto al trattamento eseguito per gli scopi menzionati nell’articolo 39 nLPD.
Nel presente contesto occorre rilevare che il P-OLPD non prevede alcuna disposizione esecutiva dell’articolo 33 nLPD. L’articolo 33 nLPD chiede che il Consiglio federale disciplini le procedure di controllo e la responsabilità in materia di protezione dei dati nei casi in cui un organo federale tratta dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati. La disposizione è attuata direttamente nelle ordinanze settoriali e non è pertanto necessario prevedere una normativa trasversale nel P-OLPD.
4.6 Incaricato federale della protezione dei dati e della trasparenza
Art. 37 Sede e segretariato permanente
La presente disposizione corrisponde in via di principio all’articolo 30 OLPD. L’articolo 37 capoverso 1 P-OLPD non subisce modifiche materiali. Nel presente contesto si rinuncia tuttavia a menzionare il segretariato perché il cambiamento di termini da «incaricato» a
Cfr. art. 60a della legge del 28 settembre 2012 sulle epidemie (RS 818.101) e l’ordinanza del 24 giugno 2020 sul sistema di tracciamento della prossimità per il coronavirus SARS-CoV-2 (RS 818.101.25)
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
«IFPDT» esplicita sufficientemente che si intende l’autorità come un tutto comprensivo del segretariato.
L’articolo 37 capoverso 2 P-OLPD disciplina il rapporto di lavoro del segretariato permanente dell’IFPDT. Il contenuto della disposizione corrisponde all’attuale articolo 30 capoverso 2 OLPD. Rispetto al diritto vigente contiene alcuni adeguamenti (terminologici) e un complemento. L’Incaricato e il segretariato permanente dell’IFPDT costituiscono anche dopo la revisione totale della LPD un’unità amministrativa decentralizzata senza personalità giuridica aggregata amministrativamente alla Cancelleria federale (art. 43 cpv. 4 secondo periodo nLPD, art. 2 cpv. 1 lett. e LPers 26, art. 2 cpv. 3 della legge del 21 marzo 1997 27 sull’organizzazione del Governo e dell’Amministrazione [LOGA] e art. 8 cpv. 1 lett. b in combinato disposto con all. 1 lett. A n. 2.1.1 dell’ordinanza del 25 novembre 1998 28 sull’organizzazione del Governo e dell’Amministrazione [OLOGA]). Come finora, l’articolo 43 capoverso 5 secondo periodo nLPD prevede che l’Incaricato assuma il proprio personale e disponga di determinate competenze in questo ambito. Ad esempio i contratti di lavoro del personale dell’IFPDT sono firmati dall’Incaricato. Per il segretariato dell’IFPDT, l’Incaricato continua a non essere considerato datore di lavoro del diritto in materia di personale e di previdenza ai sensi della LPers. Conformemente all’articolo 3 capoverso 1 lettera a LPers, datore di lavoro è il Consiglio federale. Ne consegue che al rapporto di lavoro degli impiegati del segretariato permanente dell’IFPDT, secondo l’articolo 37 capoverso 2 primo periodo P- OLPD, continua ad applicarsi la legislazione sul personale federale. Restano quindi applicabili l’ordinanza del 3 luglio 2001 29 sul personale federale (OPers), l’ordinanza del DFF del 6 dicembre 2001 30 concernente l’ordinanza sul personale federale (O-OPers) e l’ordinanza del 22 novembre 2017 31 sulla protezione dei dati personali del personale federale (OPDPers). A questo proposito l’attuale articolo 30 capoverso 2 OLPD è oggetto soltanto di una modifica terminologica («impiegati del segretariato permanente dell’IFPDT» invece di «segretariato dell’Incaricato» e «legislazione sul personale federale» invece di «legge del 24 marzo 2000 sul personale federale e […] relative disposizioni esecutive»). Inoltre, l’articolo 37 capoverso 2 secondo periodo P-OLPD precisa che gli impiegati del segretariato permanente dell’IFPDT sono assicurati contro le conseguenze economiche di vecchiaia, invalidità e morte nell’ambito della Cassa di previdenza della Confederazione presso la Cassa pensioni della Confederazione (PUBLICA). Questo complemento non comporta alcuna modifica materiale ma esplicita soltanto la normativa vigente in materia di previdenza per il segretariato permanente dell’IFPDT (cfr. art. 32a cpv. 1 e 32d cpv. 1 LPers). Il personale rimane quindi assicurato conformemente alle disposizioni del regolamento di previdenza del 15 giugno 2007 32 per gli impiegati e i beneficiari di rendite della Cassa di previdenza della Confederazione (RPIC).
Per quanto riguarda il rapporto di lavoro del segretariato permanente dell’IFPDT è provvisoriamente mantenuto lo status quo. Ciò si giustifica in particolare perché l’aggregazione amministrativa alla Cancelleria federale permette all’IFPDT di concentrare le sue risorse sull’esercizio operativo. La cooperazione tra la Cancelleria federale e l’IFPDT è strutturata in modo da garantire l’indipendenza dell’IFPDT. Occorre tuttavia stabilire se l’Incaricato dispone, nei confronti degli impiegati del segretariato permanente, delle
26 RS 172.220.1 27 RS 172.010 28 RS 172.010.1 29 RS 172.220.111.3 30 RS 172.220.111.31 31 RS 172.220.111.4 32 RS 172.220.141.1
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
competenze di un datore di lavoro in materia di diritto del personale e della previdenza. Tale questione deve essere chiarita a livello legislativo formale alla prossima occasione. La verifica e l’adeguamento coordinati delle basi legali previste dalle leggi speciali per i dati delle persone giuridiche, che avverrà entro cinque anni dall’entrata in vigore della nLPD (cfr. art. 71 nLPD), potrebbero rappresentare l’occasione giusta.
Le disposizioni esecutive sul rapporto di lavoro dell’Incaricato medesimo devono essere emanate dall’Assemblea federale e non dal Consiglio federale poiché il rapporto di lavoro dell’Incaricato si fonda sull’elezione da parte dell’Assemblea federale riunita (art. 43 cpv. 1 nLPD). Nell’ambito dell’iniziativa parlamentare 21.443 CIP-N è stato elaborato un progetto di ordinanza dell’Assemblea federale contenente le disposizioni esecutive sul rapporto di lavoro dell’Incaricato.
L’articolo 30 capoverso 3 OLPD non è stato mantenuto, perché l’IFPDT dispone ora di un preventivo autonomo disciplinato in modo esaustivo nell’articolo 45 nLPD e nell’articolo 142 capoversi 2 e 3 della legge del 13 dicembre 200233 sul Parlamento (LParl).
Art. 38 Canale di comunicazione
L’articolo 38 P-OLPD riprende in ampia misura l’articolo 31 capoversi 1 e 1bis OLPD. L’articolo 31 capoverso 2 OLPD non è stato ripreso nel P-OLPD, perché l’indipendenza dell’IFPDT e il fatto che non è vincolato a istruzioni gli permette di comunicare direttamente con altre unità amministrative. La soppressione non costituisce pertanto una modifica di diritto materiale. Rispetto all’articolo 31 OLPD è modificato soltanto il primo capoverso. La nuova formulazione intende precisare che l’IFPDT può entrare in contatto con il Consiglio federale per motivi che figurano all’ordine del giorno di una riunione del Consiglio federale, ad esempio comunicando pareri. A parte questo aspetto, il contenuto del capoverso 1 è immutato perché il Cancelliere federale deve trasmettere tutte le comunicazioni al Consiglio federale e non ha margine di manovra su questo punto. Ciò riguarda anche la procedura di corapporto. Nel capoverso 2 è stata operata soltanto una lieve modifica redazionale: a livello materiale la disposizione corrisponde all’articolo 31 capoverso 1bis OLPD.
Art. 39 Comunicazione di direttive e decisioni
Questa disposizione corrisponde all’articolo 32 capoverso 1 OLPD, salvo alcuni adeguamenti terminologici e sistematici.
Capoverso 2: il coinvolgimento dell’IFPDT deve avvenire quanto prima. Deve essere consultato al più tardi nell’ambito della consultazione degli uffici.
Art. 40 Trattamento di dati personali
Il vigente articolo 32 capoverso 2 OLPD indica gli scopi per i quali l’IFPDT gestisce un sistema d’informazione e di documentazione. L’articolo 57h LOGA, introdotto nell’ambito della revisione totale della LPD, stabilisce a titolo generale che in futuro le unità dell’Amministrazione federale gestiranno sistemi elettronici di gestione degli affari. Non sarà pertanto necessario fare riferimento nell’OLPD al sistema di gestione degli affari.
Invece gli scopi per i quali l’IFPDT tratta dati personali sono disciplinati in modo più dettagliato nel capoverso 1. I dati personali, compresi i dati personali particolarmente
33 RS 171.10
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
degni di protezione, sono trattati per gli scopi seguenti: esercitare le attività di vigilanza (lett. a); indagare sulle violazioni delle disposizioni sulla protezione dei dati (lett. b); formare e consigliare gli organi federali e privati (lett. c); collaborare con autorità federali, cantonali ed estere (lett. d); eseguire procedure di mediazione e valutazioni secondo la legge federale del 17 dicembre 200434 sul principio di trasparenza dell’amministrazione (LTras) (lett. e); rispondere alle domande di cittadini (lett. f).
Art. 41 Autocontrollo
Secondo l’articolo 48 nLPD l’IFPDT adotta misure adeguate per garantire che al suo interno siano ben rispettate e applicate le norme di protezione dei dati. Il messaggio concernente la LPD precisa che il Consiglio federale ha il compito di concretizzare nell’ordinanza le misure che può adottare l’IFPDT (FF 2017 5939 pag. 6075).
Secondo il capoverso 1, l’IFPDT elabora un regolamento sul trattamento per tutti i trattamenti automatizzati non soltanto per i trattamenti particolari di cui all’articolo 5 capoverso 1 P- OLPD, quali il trattamento di dati sensibili o la profilazione.
Secondo il capoverso 2, l’IFPDT prevede processi interni che garantiscono l’esecuzione dei trattamenti conformemente al regolamento sul trattamento. Verifica ogni anno il rispetto del regolamento sul trattamento.
Art. 42 Cooperazione con il Centro nazionale per la cibersicurezza (NCSC)
Per permettere all’IFPDT di coinvolgere gli specialisti del NCSC nell’analisi di una violazione della sicurezza dei dati notificata dal titolare del trattamento in base agli articoli 24 nLPD e 19 P-OLPD, il capoverso 1 prevede che l’IFPDTD possa trasmettere al NCSC le indicazioni relative alla notifica di una violazione della sicurezza dei dati. La trasmissione può contenere qualsiasi dato secondo l’articolo 19 capoverso 1 P-OLPD, ma deve nel contempo anche essere limitata ai dati necessari al NCSC per l’analisi dell’evento. Ciò a condizione che il titolare del trattamento obbligato a effettuare la notifica all’IFPDT abbia precedentemente acconsentito alla trasmissione. Inoltre, la trasmissione non deve permettere di eludere l’articolo 24 capoverso 6 nLPD secondo cui la notifica può essere usata nel quadro di un procedimento penale contro la persona soggetta all’obbligo di notifica soltanto con il suo consenso. Alla prossima occasione, il capoverso 1 dovrebbe essere ripreso in una legge, ad esempio nella futura legge sulle infrastrutture critiche.
Il capoverso 2 prevede che l’IFPDT e il NCSC si coordinino nei settori comuni di attività. In via di principio la norma corrisponde all’articolo 20 capoverso 3 secondo periodo OLPD. Il capoverso 2 obbliga l’IFPDT a invitare il NCSC a prendere posizione prima di ordinare un provvedimento secondo l’articolo 51 capoverso 3 lettera b nLPD riguardo alla sicurezza dei dati. La disposizione mira in particolare a evitare che l’IFPDT e il NCSC diano ordini diversi agli organi federali nello stesso settore. L’indipendenza dell’IFPDT rimane tuttavia garantita perché esso è obbligato soltanto a chiedere un parere, non a tenerne conto.
Art. 43 Registro delle attività di trattamento degli organi federali
Alla luce dell’articolo 12 capoverso 4 nLPD, gli organi federali e i loro responsabili del trattamento devono notificare i loro registri delle attività di trattamento all’IFPDT che,
34 RS 152.3
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
conformemente all’articolo 56 nLPD, deve tenere e pubblicare un registro delle attività di trattamento degli organi federali.
L’articolo 39 capoverso 1 P-OLPD precisa che il registro dell’IFPDT deve contenere le indicazioni degli organi federali e dei loro responsabili del trattamento di cui all’articolo 12 capoversi 2 e 3 nLPD. Inoltre, il registro contiene anche le indicazioni sulle previste attività di trattamento automatizzato degli organi federali conformemente all’articolo 2 capoverso 2 P- OLPD.
Secondo il capoverso 2, il registro dell’IFPDT deve essere pubblicato su Internet. Non sono pubblicate le iscrizioni nel registro delle previste attività di trattamento automatizzato degli organi federali di cui all’articolo 32 P-OLPD, perché al momento della loro notifica queste ultime non possono ancora essere considerate definitive e potrebbero essere ulteriormente modificate.
Art. 44 Codice di condotta
In virtù dell’articolo 22 capoverso 5 nLPD, il titolare privato del trattamento può rinunciare a una valutazione d’impatto se dispone di una certificazione secondo l’articolo 13 per l’impiego previsto o se rispetta un codice di condotta secondo l’articolo 11 che soddisfa determinate condizioni. Quando gli viene sottoposto un codice di condotta, l’IFPDT indica nel suo parere se ritiene che le condizioni per rinunciare a un’analisi d’impatto sulla protezione dei dati personali siano adempiute. Questa disposizione permette di precisare che il titolare del trattamento per rinunciare all’analisi del trattamento deve sottoporre il suo codice di condotta all’IFPDT e quest’ultimo deve poterlo valutare. Non si tratta di un’approvazione ma nel caso in cui un titolare del trattamento si prevalesse dell’eccezione di cui all’articolo 22 capoverso 5 lettere a–c e, contrariamente alla posizione dell’IFPDT, quest’ultimo può ordinargli di eseguire un’analisi in base all’articolo 51 capoverso 3 lettera d nLPD.
Art. 45 Emolumenti
In virtù dell’articolo 59 capoverso 1 nLPD, l’IFPDT è tenuto a riscuotere dai privati emolumenti per il parere in merito a un codice di condotta (lett. a); l’approvazione di clausole tipo di protezione dei dati e di norme interne d’impresa vincolanti (lett. b); l’esame di una valutazione d’impatto sulla protezione dei dati (lett. c); provvedimenti cautelari e provvedimenti secondo l’articolo 51 nLPD (lett. d); le consultazioni su questioni inerenti alla protezione dei dati (lett. e).
L’articolo 59 capoverso 2 nLPD incarica il Consiglio federale di determinare l’importo degli emolumenti.
L’articolo 45 capoverso 1 P-OLPD consacra il principio secondo cui l’emolumento va calcolato in funzione del tempo impiegato. La tariffa oraria va da 150 a 350 franchi (cpv. 2 per. 1) e dipende segnatamente dalla complessità dell’affare, dai costi del posto di lavoro e dalla tariffa oraria del personale che esercita la funzione necessaria a fornire la prestazione (cpv. 2 per. 2). Nel capoverso 3, viene dichiarata applicabile per il rimanente l’ordinanza generale dell’8 settembre 2004 35 sugli emolumenti (OgeEm) che disciplina in particolare la riscossione dei contributi, le eccezioni all’obbligo dell’emolumento e la procedura d’incasso.
35 RS 172.041.1
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
4.7 Disposizioni finali
Art. 46 Abrogazione e modifica di altri atti normativi
Le disposizioni di abrogazione e modifica di altri atti normativi sono riunite in un allegato, perché insieme occupano più di una pagina di stampa. L’abrogazione e la modifica di altri atti normativi sono commentati al numero 6.
Art. 47 Disposizione transitoria concernente la notifica all’IFPDT delle previste attività di trattamento automatizzato
Secondo l’articolo 32 P-OLPD, gli organi federali devono notificare all’IFPDT i previsti trattamenti automatizzati nel momento dell’autorizzazione del progetto o della decisione sullo sviluppo del progetto. Pertanto, la presente disposizione transitoria prevede che l’articolo 32 P-OLPD non sia applicabile alle previste attività di trattamento automatizzato per le quali, nel momento dell’entrata in vigore dell’ordinanza, il progetto è già stato autorizzato o è già stata presa la decisione sullo sviluppo.
5 Commento all’allegato 1 (Stati, territori, settori determinati in uno Stato e
organismi internazionali nei quali è garantita una protezione adeguata) Alla luce dell’articolo 16 capoverso 1 nLPD, il Consiglio federale è competente e ha il compito di stabilire gli Stati (o territori o settori determinati in uno Stato) e gli organismi internazionali che garantiscono una protezione adeguata per la comunicazione di dati personali all’estero. Un elenco di tali Stati è pubblicato in allegato all’ordinanza. L’obiettivo di tale elenco è di ottenere uno spazio uniforme in materia di protezione dei dati. L’elenco sarà riveduto periodicamente per tenere conto segnatamente dell’evoluzione a livello europeo e in particolare delle ratifiche della Convenzione 108. Esso non è quindi definitivo e potrà essere modificato prima dell’entrata in vigore dell’ordinanza.
6 Commento all’allegato 2 (abrogazione e modifica di altre ordinanze)
6.1 Abrogazione dell’ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD) La vigente OLPD deve essere abrogata, poiché il P-OLPD costituisce una revisione totale.
6.2 Compendio delle modifiche delle ordinanze settoriali
Poiché il diritto della protezione dei dati è una materia trasversale, le modifiche della nLPD e del P-OLPD devono essere integrate nelle pertinenti disposizioni delle ordinanze settoriali.
Le modifiche riguardano innanzitutto le seguenti nozioni:
– l’espressione «profilo della personalità» è stata eliminata dalla nLPD e sostituita con «profilazione» 36. Se viene eliminata senza essere sostituita nella legge settoriale, l’espressione «profilo della personalità» è eliminata anche nelle relative ordinanze. Se l’espressione è sostituita da una nuova formulazione, quest’ultima è ripresa anche nelle relative ordinanze; – l’espressione «raccolta di dati» è soppressa nella nLPD 37. Nelle ordinanze settoriali è sostituita in particolare con «banca dati», «trattamento dei dati», «raccolta di dati» o «acquisizione di dati». Se l’espressione non riguarda le disposizioni sulla
Cfr. i commenti nel messaggio LPD del 15 settembre 2017 (FF 2017 5939, 6013, 6094). Cfr. i commenti nel messaggio LPD del 15 settembre 2017 (FF 2017 5939, 6015).
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
protezione dei dati, si può rinunciare alla modifica. L’espressione «detentore di una collezione di dati» è sostituita con «titolare del trattamento» conformemente all’articolo 5 lettera j nLDP; – per quanto concerne la designazione dell’Incaricato federale della protezione dei dati e della trasparenza sul piano legislativo si distingue ora tra l’incaricato e l’istituzione. Con l’abbreviazione «IFPDT» si intende l’istituzione, «l’Incaricato» indica il capo dell’IFPDT. La distinzione tra le due nozioni è ripresa nelle ordinanze settoriali; – l’espressione «i dati concernenti i procedimenti o le sanzioni amministrativi e penali» è sostituita con «i dati concernenti perseguimenti e sanzioni amministrativi e penali», conformemente all’articolo 5 lettera c numero 5 nLPD.
Inoltre, nelle ordinanze settoriali devono essere adeguati i rimandi alla nLPD e al P-OLPD. Un adeguamento deve essere effettuato anche quando la LPD è citata nell’ingresso di un’ordinanza.
Nella nLPD i dati delle persone giuridiche sono fatti salvi dal campo d’applicazione materiale della legge 38. La nozione di «dati personali» rimanda quindi ora soltanto ai dati di persone fisiche. Questa novità fa sì che le basi legali che autorizzano gli organi federali a trattare e comunicare dati personali, in futuro non saranno più applicabili ai dati di persone giuridiche. Alla luce del principio della legalità, occorre una base legale anche per il trattamento e la comunicazione statali dei dati di persone giuridiche. In futuro le modalità di trattamento dei dati di queste ultime saranno quindi in parte disciplinate nella LOGA. D’altro lato tutte le disposizioni sulla protezione dei dati previste nelle leggi speciali devono essere verificate per stabilire se, riguardo ai dati delle persone giuridiche, occorre conservarle o modificarle. L’articolo 71 nLPD contiene pertanto una disposizione transitoria secondo cui, per gli organi federali, le disposizioni di altri atti normativi federali che si riferiscono a dati personali continuano ad applicarsi ai dati concernenti persone giuridiche per cinque anni dall’entrata in vigore della nLPD. Durante questi cinque anni si intende eseguire una verifica e una modifica, coordinate dall’UFG, delle basi legali previste dalle leggi speciali per i dati delle persone giuridiche. Tuttavia, nell’ambito della revisione totale della LPD, per motivi di praticabilità e di certezza del diritto nelle singole leggi sono già state adeguate le basi legali riguardanti i dati delle persone giuridiche. In questi casi le necessarie modifiche devono essere effettuate anche a livello di ordinanza. In proposito il Consiglio federale ha scelto un approccio moderato. Non sono quindi modificate tutte le ordinanze emanate in base a una legge settoriale le cui disposizioni sulle persone giuridiche sono state modificate. Si vogliono in particolare evitare conflitti giuridici derivanti da modifiche di ordinanze basate su altre leggi settoriali con disposizioni sui dati di persone giuridiche non (ancora) modificate nell’allegato 1/II della nLPD. Occorre distinguere tra le ordinanze relative alla LOGA e quelle relative alle altre leggi settoriali. Nella LOGA sono state modificate le disposizioni sul trattamento di dati nei diversi sistemi di gestione delle pratiche (art. 57h–hter LOGA) e in caso di utilizzazione dell’infrastruttura elettronica (art. 57i–57l LOGA). In modo analogo, a livello di ordinanza occorre modificare le ordinanze che fanno riferimento ai medesimi aspetti della normativa. Inoltre, per i succitati motivi, si rinuncia a modificare le ordinanze fondate su altre leggi settoriali non modificate nell’ambito della revisione totale della LPD. Per le altre leggi settoriali (LTras, legge sulla Banca nazionale) si segue un approccio globale. Per trovare una soluzione coerente per l’intero settore, sono in primo luogo state modificate le ordinanze fondate soltanto sulla legge modificata. Inoltre le disposizioni di un’ordinanza sono state modificate anche se la modifica si impone sotto il profilo del contenuto (p. es. perché si tratta di una precisazione o dell’attuazione di una disposizione modificata di legge). La disposizione transitoria dell’articolo 71 nLPD vale tuttavia anche per le ordinanze non modificate, nella misura in cui prevede che la nozione di «dati personali» continui a fare riferimento ai dati persone fisiche e giuridiche. Nell’allegato del P-OLPD sono già modificate le seguenti ordinanze:
Cfr. i commenti nel messaggio LPD del 15 settembre 2017 (FF 2017 5939, 5968, 6003 seg.)
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
– Ordinanza del 24 maggio 2006 39 sulla trasparenza (cfr. n. 6.15) – Ordinanza del 22 febbraio 2012 40 sul trattamento di dati personali derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione (cfr. n. 6.17) – Ordinanza del 30 giugno 1993 41 sull’organizzazione della statistica federale (cfr. n. 6.52) – Ordinanza del 30 giugno 1993 42 sulle rilevazioni statistiche (cfr. n. 6.53) – Ordinanza del 25 giugno 2003 43 sugli emolumenti e le indennità per le prestazioni di servizi statistici delle unità amministrative della Confederazione (cfr. n. 6.55) – Ordinanza del 9 giugno 2017 44 sul Registro federale degli edifici e delle abitazioni (cfr. n. 6.56) – Ordinanza del 1° novembre 2017 45 sull’energia (cfr. n. 6.74) – Ordinanza del 14 marzo 2008 46 sull’approvvigionamento elettrico (cfr. n. 6.77) – Ordinanza del 6 settembre 2006 47 contro il lavoro nero (cfr. n. 6.111)
Infine, anche le disposizioni delle ordinanze settoriali sono armonizzate con le novità della P- OLPD per evitare le contraddizioni all’entrata in vigore della nuova ordinanza. In proposito si può citare come esempio la modifica dell’articolo 3 capoverso 4 P-OLPD secondo cui i verbali dovranno essere conservati per due anni invece che per un anno solo. Inoltre, le disposizioni sulla protezione dei dati nel diritto settoriale sono armonizzate anche con le nuove modalità del diritto d’accesso secondo l’articolo 20 capoverso 1 P-OLPD secondo cui la domanda d’informazioni può essere presentata in forma scritta od orale.
6.3 Ordinanza del 4 marzo 2011 48 sui controlli di sicurezza relativi alle persone Art. 12 cpv. 1 lett. e, cpv. 2 lett. a n. 2 e allegato 1, n. 2.1 riga 2
L'Incaricato federale della protezione dei dati e della trasparenza non sarà più eletto dal Consiglio federale ma dal Parlamento, conformemente all'articolo 43 capoverso 1 nLPD. Spetta all'organo eleggente decidere se l'Incaricato continuerà a essere sottoposto a un controllo di sicurezza relativo alle persone. La menzione dell'Incaricato è pertanto stata soppressa nell'articolo 12 capoverso 1 lettera e, nel capoverso 2 lettera a numero 2 e nell’allegato 1 numero 2.1. Tutte le funzioni in seno all’IFPDT, eccetto quella di capo dell’IFPDT, sono soggette al controllo di sicurezza relativo alle persone. L’allegato 1 numero 2.1 è stato adeguato di conseguenza.
Art. 21 cpv. 2
Il rimando è adeguato alla nuova numerazione della nLPD.
39 RS 152.31 40 RS 172.010.442 41 RS 431.011 42 RS 431.012.1 43 RS 431.09 44 RS 431.841 45 RS 730.01 46 RS 734.71 47 RS 822.411 48 RS 120.4
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.4 Ordinanza del 4 dicembre 2009 49 sulle misure di polizia amministrativa
dell’Ufficio federale di polizia e sul sistema d’informazione HOOGAN Art. 9 cpv. 1 lett. a n. 3 e cpv. 4 lett. b
L’espressione «l’Incaricato della protezione dei dati e della protezione delle informazioni di fedpol» è sostituita con «il consulente della protezione dei dati di fedpol».
Art. 13 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD. Il rimando all’articolo 20 OLPD è sostituito dagli articoli 1–3 e 5 P-OLPD, perché la normativa sulla sicurezza dei dati nella sezione 1 va considerata come un’unità. Quindi il nuovo rimando riguarda anche il regolamento per il trattamento pure disciplinato nella sezione sulla sicurezza dei dati.
6.5 Ordinanza del 16 agosto 2017 50 sui sistemi d’informazione e di memorizzazione del Servizio delle attività informative della Confederazione Art. 13 cpv. 1 lett. a
Il rimando al è adeguato P-OLPD. Il rimando all’articolo 20 OLPD è sostituito dagli articoli 1–3 e 5 P-OLPD perché la normativa sulla sicurezza dei dati nella sezione 1 va considerata come un’unità. Quindi il nuovo rimando riguarda anche il regolamento per il trattamento pure disciplinato nella sezione sulla sicurezza dei dati.
Art. 17 cpv. 3, 23 cpv. 3, 30 cpv. 3, 67 cpv. 2
Conformemente alla modifica dell'articolo 44 capoverso 1 della legge federale sulle attività informative (n. 2 all. 1/II nLPD), l’espressione «profilo della personalità» è sostituita con «dati personali» compresi i dati personali che permettono di valutare il grado di pericolosità di una persona, indipendentemente dal fatto che si tratti di dati personali degni di particolare protezione o no.
Art. 38 cpv. 1, 44 cpv. 1, 59 cpv. 1
La presente modifica concerne soltanto i testi italiano e francese. L’espressione «raccolte di dati dei dossier» è sostituita con «dati dei dossier».
6.6 Ordinanza del 24 ottobre 200751 sull’ammissione, il soggiorno e l’attività
lucrativa Art. 89a
La presente disposizione è oggetto di due modifiche. Da una parte, il rimando alla legge sugli stranieri fa d’ora innanzi riferimento all’articolo 111d cpv. 3 e non più all’intero articolo 111d. Dall’altra, l’articolo 89a è modificato per rispettare la terminologia dell’articolo 16 nLPD e le garanzie adeguate di cui agli articoli 9–12 P-OLPD.
49 RS 120.52 50 RS 121.2 51 RS 142.201
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.7 Ordinanza del 15 agosto 2018 52 concernente l’entrata e il rilascio del visto Art. 48 cpv. 4 secondo periodo
Il termine «detentore» deve essere sostituito con «titolare».
Art. 51 cpv. 2, 52 cpv. 2 e 53 cpv. 2
Queste disposizioni prevedono un’applicazione sussidiaria della LPD quando il diritto cantonale non garantisce una protezione adeguata. Queste sono abrogate nell’articolo 37 LPD. La consultazione esterna relativa al nLPD ha effettivamente mostrato che, secondo la maggioranza dei partecipanti che hanno espresso un parere, l’articolo 37 LPD è divenuto superfluo perché tutti i Cantoni dispongono oggi di prescrizioni sulla protezione dei dati che garantiscono una protezione adeguata (cfr. n. 9.1.11 del messaggio del Consiglio federale del 15 settembre 2017).
6.8 Ordinanza 3 dell’11 agosto 199953 sull’asilo relativa al trattamento di dati
personali Art. 1b cpv. 2 primo periodo
L’espressione «profilo della personalità» è soppressa.
Art. 6a
L’articolo 6a è modificato per rispettare la terminologia dell’articolo 16 nLPD e le garanzie adeguate previste negli articoli 9–12 P-OLPD.
Art. 12 lett. a
Il rimando è adeguato al P-OLPD.
6.9 Ordinanza VIS del 18 dicembre 2013 54
Art. 31 cpv. 1
La formulazione della norma è modificata per adeguarla all’articolo 20 capoverso 1 P-OLPD.
Art. 32 cpv. 1 frase introduttiva lett. a e c
La formulazione della frase introduttiva è stata oggetto di una lieve modifica formale. Nella lettera a, l’espressione «detentore della collezione» è sostituita con «titolare del trattamento». Come la lettera c, anche la lettera a è stata adeguata facendola corrispondere all’articolo 19 capoverso 2 nLPD.
Art. 34 lett. a
Il rimando è adeguato al P-OLPD.
52 RS 142.204 53 RS 142.314 54 RS 142.512
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.10 Ordinanza SIMIC del 12 aprile 2006 55
Art. 17 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
Art. 19 cpv. 1 e 2
Nel capoverso 1 il rimando è adeguato alla nLPD. Nella versione tedesca l’espressione «besonders schützenswerte Personendaten» (dati personali degni di particolare protezione) è sostituita con «Personendaten» (dati personali) per armonizzarne il contenuto con le versioni francese e italiana.
La formulazione del capoverso 2 è modificata per adeguare la disposizione all’articolo 20 capoverso 2 P-OLPD.
Art. 25
Il rimando ha dovuto essere adeguato alle disposizioni della nLPD. La disposizione transitoria non è più aggiornata ed è quindi abrogata.
6.11 Ordinanza del 20 settembre 2002 56 sui documenti d'identità
Art. 40 cpv. 2
La durata di conservazione dei verbali è ora fissata a due anni conformemente alla regola dell’articolo 3 capoverso 4 P-OLPD. Secondo tale disposizione i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali. Per unificare le regole nel diritto settoriale, viene eliminata la norma secondo cui i verbali sono conservati in forma adeguata alle esigenze della revisione.
Art. 42 cpv. 1 e 3
La formulazione del capoverso 1 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD. Nel capoverso 3 il rimando è adeguato alla nLPD.
Art. 43
Il rimando è adeguato alla nLPD.
6.12 Ordinanza del 14 novembre 201257 concernente il rilascio di documenti di
viaggio per stranieri Art. 30 cpv. 1, 3 e 5
La formulazione del capoverso 1 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD. I rimandi nei capoversi 3 e 5 sono adeguati alla nLPD.
55 RS 142.513 56 RS143.11 57 RS 143.5
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.13 Ordinanza del 2 novembre 2016 58 concernente la legge federale relativa alla Convenzione internazionale per la protezione di tutte le persone dalla sparizione forzata Art. 10 cpv. 2
Il rimando è adeguato alla numerazione della nLPD.
6.14 Ordinanza dell’8 settembre 1999 59 sull’archiviazione
Art. 12 cpv. 3 primo periodo e 14 cpv. 1 primo periodo
L’espressione «profili della personalità» è soppressa.
Art. 26 cpv. 2
Il capoverso 2 è soppresso perché contiene un rimando obsoleto.
6.15 Ordinanza del 24 maggio 2006 60 sulla trasparenza
Art. 12 cpv. 1, 2 primo e secondo periodo nonché cpv. 3, 12a cpv. 1 frase introduttiva e 2, 12b cpv. 1 frase introduttiva, lett. b e c, 13 cpv. 1, 3 e 4, 13a rubrica, 21 frase introduttiva
L'espressione «Incaricato federale della protezione dei dati e della trasparenza (Incaricato)» è sostituita con «Incaricato federale della protezione dei dati e della trasparenza (IFPDT)». Le modifiche negli articoli 12 capoverso 2 primo e secondo periodo e capoverso 3, 12b capoverso 1 lettere b e c nonché 13 capoverso 3 riguardano soltanto il testo tedesco.
Art. 13 cpv. 3 e 4
Conformemente alle modifiche della legge sulla trasparenza (n. 10 all. 1/II della nLPD), nell'articolo 13 capoversi 3 e 4 la nozione di «dati personali» è completata con la protezione dei dati delle persone giuridiche. Le modifiche nel capoverso 4 riguardano soltanto le versioni tedesca e italiana.
6.16 Ordinanza GEVER del 3 aprile 2019 61
Ingresso
In considerazione delle modifiche della LOGA (n. 13 all. 1/II della nLPD), l'ordinanza GEVER si fonda ora sull'articolo 57hter LOGA. L'ingresso è modificato di conseguenza.
6.17 Ordinanza del 22 febbraio 2012 62 sul trattamento di dati personali derivanti dall'utilizzazione dell'infrastruttura elettronica della Confederazione Titolo
58 RS 150.21 59 RS 152.11 60 RS 152.31 61 RS 172.010.441 62 RS 172.010.442
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Conformemente alle modifiche della LOGA (n. 13 all. 1/II della nLPD), nel titolo dell'ordinanza è integrata la nozione di «dati di persone giuridiche».
Art. 1 lett. a e b
Nelle definizioni delle nozioni di «dati amministrati» e di «dati non amministrati» l'espressione «dati personali» diviene «dati personali e dati di persone giuridiche».
Art. 10 cpv. 3
L'articolo 10 capoverso 3 è modificato perché in futuro in via di principio ogni organo federale disporrà di un consulente per la protezione dei dati.
Art. 14
L'espressione «dei loro dati personali» è sostituita con «dei loro dati».
6.18 Ordinanza del 25 novembre 2020 63 sulla trasformazione digitale e l’informatica Art. 26 cpv. 2
L’espressione «profilo della personalità» è soppressa.
6.19 Ordinanza del 19 ottobre 2016 64 sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione Art. 11 cpv. 2
La presente disposizione è soppressa perché l’espressione «profilo della personalità» non figura più nella nLPD.
Art. 11a L’articolo 11a sostituisce l’attuale articolo 11 capoverso 2, soppresso in seguito all’eliminazione dell’espressione «profili della personalità». Nella nLPD tale espressione è sostituita con «profilazione». L’articolo 11a sancisce il divieto della profilazione per garantire che i trattamenti di dati nei sistemi IAM, nei servizi di elenchi e nell’archivio centralizzato delle identità siano limitati alla loro funzione di mettere a disposizione dei dati su di altri sistemi e degli utenti. Art. 13 cpv. 4 e art. 18 cpv. 1 secondo periodo
L'obbligo dei titolari del trattamento di notificare all'IFPDT le collezioni di dati è soppresso dalla nLPD (art. 11a LPD). L'articolo 12 capoverso 4 nLPD prevede che gli organi federali titolari annuncino il registro delle attività di trattamento all’IFPDT. L'articolo 13 capoverso 4 lettera b è pertanto modificato in modo tale da collegare la notifica all’articolo 12 capoverso 4 nLPD.
Inoltre negli articoli 13 capoverso 4 e 18 capoverso 1 secondo periodo i riferimenti sono adeguati al P-OLPD.
63 RS 172.010.58 64 RS 172.010.59
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Art. 17 cpv. 2 e 26 cpv. 2
Per unificare la terminologia, sono modificate le versioni italiana e tedesca. Le nozioni di «Datenschutzverantwortliche» / «Datenschutzverantwortlicher» e «responsabile per la protezione dei dati» sono sostituite con «Datenschutzberaterin» / «Datenschutzberater» e «consulente per la protezione dei dati» (cfr. in proposito il messaggio LPD del 15 settembre 2017, FF 2017 5939 pag. 6023 seg.).
Art. 25 cpv. 2
La durata di conservazione dei verbali è portata a due anni conformemente all'articolo 3 capoverso 4 nLPD. Conformemente a tale disposizione i verbali sono conservati separatamente dal sistema in cui sono trattati i dati personali.
6.20 Ordinanza del 20 giugno 2018 65 concernente il trattamento dei dati nel sistema di gestione dei mandati del Servizio linguistico DFAE Art. 13 cpv. 2
La durata di conservazione dei verbali è ora fissata a due anni conformemente alla regola dell’articolo 3 capoverso 4 P-OLPD. Secondo tale disposizione i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.21 Ordinanza del 4 maggio 2016 66 sugli emolumenti di fedpol
Art. 1 cpv. 1 lett. d
Il rimando è adeguato al P-OLPD.
6.22 Ordinanza del 12 febbraio 2020 67 sugli appalti pubblici
Art. 24 cpv. 2
Il rimando è adeguato alla nLPD.
6.23 Ordinanza del 29 ottobre 2008 68 sull’organizzazione della Cancelleria federale Art. 5a cpv. 3 lett. c, 10 cpv. 1
L'abbreviazione IFPDT è introdotta nell'articolo 5a capoverso 3 lettera c e ripresa nell'articolo 10 capoverso 1.
6.24 Ordinanza del 18 novembre 201569 sul sistema d’informazione concernente il
servizio VIP Art. 11 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
65 RS 172.010.60 66 RS 172.043.60 67 RS 172.056.11 68 RS 172.210.10 69 RS 172.211.21
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.25 Ordinanza del 25 novembre 1998 70 concernente lo Stato maggiore Presa
d'ostaggi e ricatto Art. 14 rubrica, capoverso 1 (concerne soltanto i testi tedesco e francese) e 2 primo periodo
Nella rubrica e nel capoverso 1 delle versioni tedesca e francese le espressioni «Datensammlung» e «fichier» sono sostituite con «Datenbank» e «banque de données». Il capoverso 2 deve essere adeguato per tenere conto della soppressione dell’espressione «detentore dei dati».
6.26 Ordinanza del 22 novembre 2017 71 sulla protezione dei dati personali del
personale federale Art. 2
Occorre sostituire l’espressione «raccolta di dati» con «banca dati».
Art. 9 cpv. 1
L'espressione «profilo della personalità» è soppressa.
Art. 34 cpv. 1 lett. b
L'obbligo dei titolari di notificare all'IFPDT le collezioni di dati è soppresso dalla nLPD (art. 11a LPD). L'articolo 12 capoverso 4 nLPD prevede che l'organo federale titolare notifichi il registro delle attività di trattamento all'IFPDT. L'articolo 34 capoverso 1 lettera b è pertanto modificato in modo tale da collegare la notifica all’articolo 12 capoverso 4 nLPD.
Art. 16 cpv. 2, 28 cpv. 2, 37 cpv. 2, 44 cpv. 2, 51 cpv. 2, 57 cpv. 2, 65 cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separamente dal sistema in cui sono trattati i dati personali.
6.27 Ordinanza del 5 novembre 2014 72 sull’elaborazione di dati personali nell’Intranet e nell’Extranet del DFAE Art. 12 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
Art. 13 cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separamente dal sistema in cui sono trattati i dati personali.
70 RS 172.213.80 71 RS 172.220.111.4 72 RS 172.220.111.42
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.28 Ordinanza del 28 aprile 2004 73 sullo stato civile
Art. 83 cpv. 2, 3 e 4
Gli adeguamenti dell'articolo 83 capoversi 2–4 OSC adempiono il mandato legislativo dell'articolo 45a capoverso 5 numero 5 CC. Tale disposizione incarica il Consiglio federale di disciplinare, con la partecipazione dei Cantoni, la vigilanza sul rispetto delle disposizioni in materia di protezione dei dati. Alla luce del nuovo articolo 2 capoverso 4 nLPD, viene soppresso il principio secondo cui i registri pubblici relativi ai rapporti di diritto privato sono esclusi dal campo d'applicazione della LPD. Ciò ha per conseguenza che il registro dello stato civile, per quanto concerne il rispetto delle prescrizioni relative alla protezione dei dati, sarà sottoposto alla vigilanza dell'Incaricato federale della protezione dei dati e della trasparenza (art. 4 cpv. 2 nLPD e contrario). Riguardo al coordinamento di questa vigilanza il capoverso 2 prevede che l'UFSC inviti l'IFPDT a presentare un parere prima di adottare un provvedimento riguardante le questioni della protezione dei dati e della sicurezza dei dati. Secondo il capoverso 4, l’IFPDT nell’ambito della sua vigilanza si coordina con l’UFSC e se necessario con le autorità cantonali della protezione dei dati. Il capoverso 3 corrisponde all'articolo 83 capoverso 2 OSC.
6.29 Ordinanza del 18 novembre 199274 concernente la misurazione ufficiale
Art. 40 cpv. 5
L’autorizzazione di tenere un registro dei dati è sostituita dal trattamento dei dati.
6.30 Ordinanza Ordipro del 22 marzo 2019 75
Art. 15 cpv. 2
La durata di conservazione dei verbali è ora fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separamente dal sistema in cui sono trattati i dati personali.
6.31 Ordinanza E-VERA del 17 agosto 2016 76
Art. 9 rubrica e cpv. 1 frase introduttiva
Nella versione francese è soppresso il termine «fichier». Nelle versioni tedesca e italiana, i termini «Datensatz» e «set di dati» sono sostituiti con «Daten» e «dati». Nelle tre versioni sono inoltre necessari adeguamenti grammaticali.
Art. 14 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
Art. 15 cpv. 2
73 RS 211.112.2 74 RS 211.432.2 75 RS 235.21 76 RS 235.22
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separamente dal sistema in cui sono trattati i dati personali.
6.32 Ordinanza CV DFAE del 26 aprile 2017 77
Art. 6 rubrica
La modifica concerne soltanto il testo tedesco. Nel testo tedesco il termine «Datensatz» è sostituito con «Daten» per mantenere l'uniformità della terminologia nel contesto delle ordinanze sui sistemi d'informazione del DFAE (cfr. art. 9 cpv. 1 ordinanza E-VERA).
Art. 11 cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separamente dal sistema in cui sono trattati i dati personali.
6.33 Ordinanza del 9 dicembre 2011 78 sul sistema d’informazione EDAssist+
Art. 14 cpv. 1 e 3
La formulazione del capoverso 1 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD. Nel capoverso 3 è adeguato il rimando alla nLPD.
Art. 16 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
Art. 17 secondo periodo
La durata di conservazione dei verbali è ora fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
Allegato 6 n. 18
L'adeguamento terminologico concerne soltanto il testo tedesco. In tale versione linguistica, l'espressione «Daten über administrative und strafrechtliche Verfolgungen und Sanktionen» è sostituita con «Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen» conformemente all'articolo 5 lettera c numero 5 nLPD.
6.34 Ordinanza del 17 ottobre 2018 79 concernente il trattamento dei dati nel sistema «e-vent» del Servizio delle conferenze DFAE Art. 13 cpv. 2
77 RS 235.23 78 RS 235.24 79 RS 235.25
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.35 Ordinanza del 25 settembre 2020 80 concernente il sistema d’informazione Plato Art. 14 cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.36 Ordinanza del 26 giugno 201381 sulla commissione peritale federale incaricata di valutare l’idoneità alla terapia dei criminali internati a vita Art. 13 cpv. 1
Il rimando è adeguato alla nLPD.
6.37 Ordinanza del 7 novembre 2012 82 sulla protezione extraprocessuale dei
testimoni Art. 13 cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
Art. 15 cpv. 1 lett. b
Il rimando è adeguato al P-OLPD.
6.38 Ordinanza del 20 settembre 2013 83 sul sistema d’informazione in materia penale dell’Amministrazione federale delle dogane Art. 3
Il rimando è adeguato alla numerazione del P-OLPD.
Art. 14 cpv. 1 e 2
Nel capoverso 1 il rimando è adeguato alla numerazione della nLPD.
La revisione della legge federale del 22 marzo 1974 84 sul diritto penale amministrativo (n. 27 all. 1/II nLPD) introduce un nuovo articolo 18d che disciplina il diritto d’accesso delle parti e di
80 RS 235.26 81 RS 311.039.2 82 RS 312.21 83 RS 313.041 84 RS 313.0
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
altri partecipanti a un procedimento pendente. Nel capoverso 2 va quindi citato il capoverso 2.
Art. 18 cpv. 1
Il rimando agli articoli 20 e 21 OLPD è sostituito dal rimando agli articoli 1–3 e 5 P-OLPD.
6.39 Ordinanza VOSTRA del 29 settembre 2006 85
Art. 18 cpv. 5
L’espressione «raccolta di dati» è sostituita con «banca dati».
Art. 26 cpv. 1 secondo periodo, 2 e 4
I rimandi sono adeguati alla numerazione della nLPD. La formulazione del capoverso 2 è adeguata per adeguarlo alle regole dell’articolo 20 capoverso 1 P-OLPD.
Art. 27 cpv. 1 lett. b
Il rimando è adeguato alla numerazione del P-OLPD.
Art. 32
Il rimando è adeguato alla numerazione della nLPD. Inoltre, sotto il profilo terminologico, la norma è adeguata all'articolo 39 nLPD.
6.40 Ordinanza EGPAP del 23 settembre 2016 86
Art. 14 cpv. 1 frase introduttiva e lett. a
Il rimando è adeguato alla nuova legislazione sulla protezione dei dati. La modifica della frase introduttiva riguarda soltanto il testo francese. L’espressione «sécurité informatique» è sostituita con «sécurité des données» per armonizzare la versione francese con le versioni italiana e tedesca.
Art. 15 cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
Art. 17
Il rimando è adeguato alla nLPD.
85 RS 331 86 RS 351.12
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.41 Ordinanza del 30 novembre 2001 87 sull’adempimento di compiti di polizia
giudiziaria in seno all’Ufficio federale di polizia Art. 6 cpv. 1 lett. c e d, 2 lett. b e c
La formulazione è adeguata perché l'articolo 13 capoverso 2 LUC non contiene più alcuna condizione ma fa riferimento alle regole del CP.
6.42 Ordinanza JANUS del 15 ottobre 2008 88
Art. 19 cpv. 1 lett. a e b, 2 lett. a e b
La formulazione è adeguata perché l'articolo 13 capoverso 2 LUC non contiene più alcuna condizione ma fa riferimento alle regole del CP.
Art. 24 cpv. 1 e 26
I rimandi sono adeguati alla nLPD e alla nuova numerazione del P-OLPD.
Art. 26 lett. a, 29l secondo periodo, 29n cpv. 1 lett. a, 29v secondo periodo, 29w cpv. 1 lett. a
I rimandi sono adeguati alla nuova legislazione sulla protezione dei dati.
Art. 27 cpv. 1 secondo periodo, 29i cpv. 2, 29t cpv. 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
Allegato 2 n. 4.1, riga 1 colonna 2
Il termine «raccolta» è sostituito con «banca dati».
6.43 Ordinanza RIPOL del 26 ottobre 201689
Art. 2 cpv. 1 frase introduttiva e lett. f, 13 cpv. 1 e 14 cpv. 2
Nella frase introduttiva dell’articolo 2 capoverso 1 l’espressione «detentore della banca dati» è sostituita con «organo federale». Le altre modifiche adeguano i rimandi alla nuova legislazione.
Art. 13 cpv. 1bis e 2
Con la revisione della legge federale del 13 giugno 2008 90 sui sistemi d’informazione di polizia della Confederazione (n. 30 all. 1/II nLPD) viene aggiunto un nuovo articolo 8a LSIP che limita il diritto d’accesso ai sistemi di cui all’articolo 2 LSIP in caso di segnalazioni per l’arresto a scopo di estradizione, segnatamente il sistema di ricerca informatizzato di polizia (RIPOL). Quindi, l’articolo 8a LSIP va menzionato nel nuovo articolo 13 capoverso 1bis dell’ordinanza RIPOL.
87 RS 360.1 88 RS 360.2 89 RS 361.0 90 RS 361
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
La formulazione del capoverso 1 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
Art. 15 cpv. 1 secondo periodo e 2
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.44 Ordinanza IPAS del 15 ottobre 2008 91
Art. 9a, 13 secondo periodo
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
L’adeguamento dell’articolo 9a secondo periodo riguarda soltanto le versioni tedesca e italiana. L’espressione «incaricato per la protezione dei dati» è sostituita con «consulente per la protezione dei dati».
Art. 10 e 12 lett. a
I rimandi sono adeguati alla nuova legislazione federale sulla protezione dei dati.
6.45 Ordinanza del 6 dicembre 2013 92 sul trattamento dei dati segnaletici di natura biometrica Art. 3 cpv. 1 lett. b e d
Le modifiche riguardano soltanto i testi francese e italiano. In italiano, il termine «schedari» è sostituito con «registri».
Art. 5 cpv. 1, 6 e 14 lett. a
I rimandi sono adeguati alla nuova legislazione federale sulla protezione dei dati.
Art. 5 cpv. 2
La formulazione del capoverso è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
6.46 Ordinanza del 15 ottobre 2008 93 sul Registro nazionale di polizia
Art. 7 cpv. 1 e 12 cpv. 1 lett. a
91 RS 361.2 92 RS 361.3 93 RS 361.4
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
I rimandi sono adeguati alla nuova legislazione federale sulla protezione dei dati.
Art. 8 cpv. 1 lett. c e d I rimandi all’ordinanza RIPOL del 15 ottobre 2008 94 e all’ordinanza N-SIS dell’8 marzo 2013 95 sono aggiornati. Art. 11 cpv. 1, 2 frase introduttiva e 3 La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali. La modifica dei capoversi 1 e 2 riguarda soltanto la versione tedesca nella quale il termine «Datenschutzbeauftragten» è sostituito con «Datenschutzberaterin» / «Datenschutzberater».
6.47 Ordinanza N-SIS dell'8 marzo 2013 96
Art. 50 cpv. 1
La formulazione del capoverso è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
Art. 50 cpv. 6
Con la revisione della legge federale del 13 giugno 2008 97 sui sistemi d’informazione di polizia della Confederazione (n. 30 all. 1/II nLPD) viene aggiunto un nuovo articolo 8a LSIP che limita il diritto d’accesso ai sistemi di cui all’articolo 2 LSIP in caso di segnalazioni per l’arresto a scopo di estradizione, segnatamente il sistema di ricerca informatizzato di polizia (RIPOL). Quindi, l’articolo 8a LSIP va menzionato nel nuovo articolo 50 capoverso 6.
Art. 51 cpv. 1 e 2 lett. c, 53 cpv. 1 lett. a
I rimandi devono essere adeguati alla nuova legislazione federale sulla protezione dei dati.
6.48 Ordinanza del 3 dicembre 200498 sui profili del DNA
Art. 8 cpv. 1
L’espressione «detentore del sistema» è sostituita con «organo federale titolare del sistema». La seconda parte del capoverso 1 può essere soppressa.
Art. 17 cpv. 1 e 3 primo periodo, 19 cpv. 1 lett. a
Il rimando è adeguato alla numerazione della nLPD e del P-OLPD.
La formulazione dell’articolo 17 capoverso 3 è modificata, perché l’articolo 62 LPD non contiene alcun obbligo di mantenere il segreto, ma disciplina soltanto le conseguenze della violazione di tale obbligo.
94 RS 361.0 95 RS 362.0 96 RS 362.0 97 RS 361 98 RS 363.1
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Nell’articolo 19 capoverso 1 lettera a il rimando agli articoli 20–23 OLPD è sostituito con il rimando agli articoli 1–3 e 5 P-OLPD, perché la normativa dell’articolo 19 conformemente alla sua rubrica riguarda soltanto il settore normativo della sicurezza dei dati. Nell’ambito del loro campo d’applicazione si applicano tuttavia anche le disposizioni del P-OLPD sul trattamento degli incarichi e sul consulente per la protezione dei dati.
6.49 Ordinanza Interpol del 21 giugno 2013 99
Art. 4 cpv. 1 lett. f, 11 cpv. 4 terzo periodo, 12 cpv. 2 secondo periodo, 16 cpv. 1, 17 cpv. 1
L’espressione «l’Incaricato della protezione dei dati e della protezione delle informazioni di fedpol» è sostituita con «il consulente della protezione dei dati di fedpol» (cfr. in proposito i commenti nel messaggio LPD del 15 settembre 2017, FF 2017 5939, 6023 seg.).
Art. 16 cpv. 1
La formulazione del capoverso è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
6.50 Ordinanza del 15 settembre 2017 100 concernente i sistemi d’informazione nella formazione professionale e nel settore universitario Art. 20, 21 cpv. 1 lett. a
Il rimando è adeguato alla nLPD.
6.51 Ordinanza del 29 novembre 2013 101 sulla promozione della ricerca e
dell’innovazione Art. 41a cpv. 3
L’espressione «profilo della personalità» è soppressa e il rimando è adeguato alla numerazione della nLPD.
6.52 Ordinanza del 30 giugno 1993 102 sull’organizzazione della statistica federale Art. 9 cpv. 1 secondo periodo e 4
La modifica riguarda soltanto le versioni tedesca e italiana. Per armonizzare queste due versioni linguistiche con la versione francese, l'espressione «collezioni di dati amministrativi» è sostituita con «insiemi di dati amministrativi».
Art. 10
Il rimando alla legislazione sulla protezione dei dati deve essere adeguato. Conformemente all'articolo 16 della legge sulla statistica federale (n. 35 all. 1/II nLPD, LStat), il rimando alle disposizioni sulla protezione dei dati nel capoverso 1 si applica soltanto ai dati personali. Il capoverso 2 riguardante la sicurezza dei dati si applica sia ai dati personali sia ai dati
99 RS 366.1 100 RS 412.108.1 101 RS 420.11 102 RS 431.011
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
delle persone giuridiche, conformemente all'articolo 15 capoverso 1 LStat. Anche il messaggio LPD (FF 2017 5939, 6117) fa notare che il principio della sicurezza dei dati deve valere per le due categorie di persone.
6.53 Ordinanza del 30 giugno 1993 103 sulle rilevazioni statistiche
Art. 5 cpv. 2 frase introduttiva e 3
Nell'articolo 5 capoverso 2 l'espressione «dati personali» è integrata con l'espressione «nonché dati di persone giuridiche». Il rimando nel capoverso 3 è adeguato in modo tale che le disposizioni sulla sicurezza dei dati si applicano per analogia ai dati delle persone giuridiche (cfr. commenti al n. 6.52).
Art. 13 m cpv. 1
A causa dell’abrogazione dell’espressione «profilo della personalità», l’articolo 14a della legge federale del 9 ottobre 1992 104 sulla statistica federale riguardante il collegamento di dati è stato modificato (cfr. n. 35 all. 1/II nLPD). L’espressione «profili della personalità» è quindi stata sostituita con «caratteristiche essenziali di una persona fisica o giuridica». La medesima modifica deve essere effettuata all’articolo 13m capoverso 1.
Allegato n. 69 riga 3 colonna 2, n. 70 riga 3 colonna 2, n. 71 riga 3 colonna 2, n. 72, rubrica, riga 3 colonna 2, riga 9 colonna 2, n. 73, riga 3 colonna 2, n. 74, riga 3 colonna 2, n. 76, rubrica, riga 3 colonna 2, n. 184, riga 3 colonna 2, n. 201, riga 3 colonna 2, indice, n. 72, 76
L’espressione «studenti delle scuole universitarie in Svizzera SIUS» è stata sostituita con «banca dati svizzera degli studenti delle scuole universitarie in Svizzera SIUS» e da formulazioni analoghe.
6.54 Ordinanza del 26 gennaio 2011105sul numero d'identificazione delle imprese
Art. 3 cpv. 1 lett. b e d, 8 cpv. 4 e 20 cpv. 3
L’espressione «raccolte di dati» è sostituita con «banca dati».
6.55 Ordinanza del 25 giugno 2003 106 sugli emolumenti e le indennità per le
prestazioni di servizi statistici delle unità amministrative della Confederazione Art. 1 lett. d
L'espressione «dati personali» è modificata nell'espressione «dati personali e dati di persone giuridiche».
6.56 Ordinanza del 9 giugno 2017 107 sul Registro federale degli edifici e delle
abitazioni Art. 9 cpv. 2 lett. f
103 RS 431.012.1 104 RS 431.01 105 RS 431.031 106 RS 431.09 107 RS 431.841
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
La modifica riguarda soltanto il testo tedesco e italiano. In italiano l’espressione «raccolte di dati» è sostituita con «banche dati».
Art. 18 cpv. 1 lett. a e 2
Il rimando è adeguato al P-OLPD. Nel settore della statistica le disposizioni sulla sicurezza dei dati si applicano per analogia ai dati delle persone giuridiche (cfr. i commenti al n. 6.52).
6.57 Ordinanza del 30 giugno 1993 sul Registro delle imprese e degli stabilimenti 108 Art. 10 cpv. 4, 14 cpv. 1, 15 lett. a
I rimandi sono adeguati alla nLPD e al P-OLPD.
6.58 Ordinanza del 4 settembre 2013 109 sulla circolazione delle specie di fauna e di flora protette Art. 54 cpv. 1 e 2
Nel capoverso 1 il rimando è adeguato alla nLPD. La formulazione del capoverso 2 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
6.59 Ordinanza del 1° settembre 2010 110 concernente il sistema d'informazione
elettronico per la gestione degli esperimenti sugli animali Art. 18 cpv. 1 e 2
Nel capoverso 1 il rimando è adeguato alla nLPD. La formulazione del capoverso 2 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
6.60 Ordinanza del 4 dicembre 2009 111 sul Servizio informazioni dell'esercito
Art. 8 rubrica e frase introduttiva
La disposizione deve essere modificata a causa dell’abrogazione dell’espressione «profilo della personalità». Conformemente all’articolo 99 capoverso 2 LM, occorre introdurre la formulazione «compresi quelli necessari per valutare il grado di pericolosità di una persona» (cfr. n. 40 all. 1/II nLPD).
Art. 9
Secondo l’articolo 56 nLPD, l’FPDT tiene un registro delle attività di trattamento che gli organi federali gli hanno notificato (art. 12 cvp. 4 nLPD) e non più un registro delle collezioni di dati (art. 11a cpv. 1 LPD). Secondo l'articolo 99 capoverso 3 lettera d della legge militare (n. 40 all. 1/II nLPD), il Consiglio federale disciplina le eccezioni alle prescrizioni concernenti la registrazione di attività di trattamento di dati qualora queste pregiudicassero la raccolta d’informazioni. Pertanto l'articolo 9 capoverso 1 prevede che le attività di trattamento dati eseguite nell'ambito della ricerca di informazioni secondo l'articolo 99 capoverso 2 LM non siano elencate nel registro delle attività di trattamento di dati secondo l'articolo 56 nLPD
108 RS 431.903 109 RS 453.0 110 RS 455.61 111 RS 510.291
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
se pregiudicano la raccolta d'informazioni. Secondo il capoverso 2 il SIEs deve informare l'IFPDT in forma generale su queste attività di trattamento di dati.
Art. 10 cpv. 2
L’espressione «collezioni di dati indipendenti» è sostituita con «banche dati indipendenti».
6.61 Ordinanza del 17 ottobre 2012 112 sulla condotta della guerra elettronica e
sull´esplorazione radio Art. 4 cpv. 5
L'obbligo di notificare le collezioni di dati è sostituito da quello di notificare i registri delle attività di trattamento.
6.62 Ordinanza del 4 luglio 2007 113 sulla protezione delle informazioni
Art. 3 lett. h
L’espressione «raccolte di dati» è sostituita con «banche dati». La versione francese è stata armonizzata con le altre versioni linguistiche.
6.63 OGI-swisstopo del 21 maggio 2008 114
Art. 3a
Nell'allegato della revisione totale della LPD viene modificato l'articolo 11 capoverso 2 della legge sulla geoinformazione (LGI 115). Tale modifica permette al Consiglio federale di prevedere eccezioni all’obbligo di tenere un registro delle attività di trattamento, se tali trattamenti presentano un rischio limitato di ingerenza nei diritti fondamentali della persona interessata. L'elenco dei geodati di base nell'allegato 1 dell'ordinanza sulla geoinformazione (OGI), allo stato attuale, contiene soltanto pochi dati personali e il trattamento di questi ultimi non pone alcun rischio o solo rischi esigui di ledere un diritto fondamentale, tanto più che la pertinente legislazione speciale della Confederazione prevede di regola espressamente la comunicazione dei dati personali. L'elenco dei geodati di base nell'allegato 1 corrisponde quindi ai requisiti dell’articolo 11 capoverso 2 LGI. In occasione di ogni aggiunta all’allegato 1 occorre verificare se le condizioni sono adempite anche per le nuove raccolte di dati.
Allegato 1, identificativo 102 colonna 1; identificativo 186 colonna 1; identificativo 187 colonna 1; identificativo 188, colonna 1; identificativo 189 colonna 1; identificativo 190 colonna 1; identificativo 191 colonna 1
Nel testo tedesco il termine «Datensammlung» è sostituito con «Daten».
6.64 Ordinanza del 16 dicembre 2009116 sui sistemi d'informazione militari
Art. 2a, art. 2b lett. b, allegato 1 rubrica e riga 1 colonna 4
112 RS 510.292 113 RS 510.411. 114 RS 510.620 115 RS 510.62 116 RS 510.911
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
L’espressione «detentore della collezione di dati» è soppressa
Titolo prima dell’art. 72h, art. 72hbis, 72hquater, 72hquinquies, Allegato 35d rubrica
L’espressione «collezione ausiliaria di dati» è sostituita con «banca dati ausiliaria».
6.65 Ordinanza del 21 novembre 2018 117 sulla sicurezza militare
Art. 4 cpv. 3
Il rimando è adeguato alla nLPD.
Art. 5
Secondo l’articolo 56 nLPD, l’IFPDT tiene un registro delle attività di trattamento che gli organi federali gli hanno notificato (art. 12 cvp. 4 nLPD) e non più un registro delle collezioni di dati (art. 11a cpv. 1 LPD). Secondo l'articolo 100 capoverso 4 lettera c numero 2 della legge militare (n. 40 all. 1/II nLPD), il Consiglio federale disciplina le eccezioni all’obbligo di notificare all’IFPDT i registri delle attività di trattamento quando tale notifica pregiudica la raccolta di informazioni. L'articolo 5 prevede quindi che le attività di trattamento di dati eseguite nel quadro di un servizio d’appoggio o di un servizio attivo non siano elencate nel registro delle attività di trattamento di cui all’articolo 56 nLPD, se ciò può pregiudicare l’acquisizione d’informazioni e l’adempimento dei compiti secondo la presente ordinanza. Secondo il capoverso 2, il SIEs deve informare l'IFPDT in forma generale su queste attività di trattamento di dati. L'espressione «Incaricato federale della protezione dei dati e della trasparenza» è soppressa nel capoverso 2, perché quest'ultimo fa riferimento all'IFPDT.
6.66 Ordinanza del 2 luglio 2008 118 sulle armi
Art. 58 cpv. 1 lett. h, 59 cpv. 1 frase introduttiva, 59a cpv. 1 frase introduttiva e 60 rubrica, 66a primo periodo, 66b, 66d, 68 cpv. 2 lett. c, 69 lett. c, 70 cpv. 1 lett. c e 2 lett. c
La presente modifica concerne soltanto il testo francese in cui il termine «fichier» è sostituito con «banque de données».
Art. 64
La presente disposizione è modificata in due punti. In primo luogo, il rimando alla legge sulle armi rimanda ora all’articolo 32e capoverso 3 e non più all’articolo 32e nel suo insieme. In secondo luogo, l’articolo 64 è modificato al fine di rispettare la terminologia dell’articolo 16 nLPD e le garanzie adeguate previste agli articoli 9–12 P-OLPD.
Art. 65, 66b e 66c cpv. 1 lett. a
I rimandi sono adeguati alla nLPD e al P-OLPD.
Art. 66a secondo periodo
117 RS 513.61 118 RS 514.541
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.67 Ordinanza del 12 agosto 2015 119 sul centro di notifica per i medicamenti a uso umano d’importanza vitale Art. 8 cpv. 2 lett. a
Il rimando è adeguato al P-OLPD.
6.68 Ordinanza del 5 aprile 2006 120 sulle finanze della Confederazione
Art. 1 cpv. 2 e 26 cpv. 2
La nLPD affida all'IFPDT nuove competenze in materia di preventivo. Secondo l'articolo 45 nLPD, l'IFPDT presenta ogni anno, per il tramite della Cancelleria federale, un progetto di preventivo al Consiglio federale che lo inoltra senza modifiche all'Assemblea federale. Il nuovo articolo 142 capoverso 2 della legge sul Parlamento (n. 12 all. 1/II nLPD, LParl) prevede pertanto che il Consiglio federale riprenda nel suo disegno di preventivo e nel consuntivo della Confederazione, senza modificarli, il progetto di preventivo e il consuntivo dell'IFPDT. Secondo il capoverso 3 della citata disposizione, l’IFPDT difende il suo progetto di preventivo e il suo consuntivo dinnanzi all’Assemblea federale. In seguito a queste modifiche devono essere modificati gli articoli 1 capoverso 2 e 26 capoverso 2 dell'ordinanza sulle finanze della Confederazione.
6.69 Ordinanza del 1° novembre 2006121 sulle dogane
Art. 226 cpv. 3 lett. b
L’articolo 103 capoverso 1 frase introduttiva della legge sulle dogane riveduta (n. 48 all. 1/II nLPD) abilita d’ora in poi l’Amministrazione delle dogane a stabilire l’identità di una persona rilevandone i dati genetici. La base legale attuale dell’articolo 226 capoverso 3 lettera b n. 1 può quindi essere soppressa (cfr. n. 9.2.37 del messaggio del Consiglio federale del 15 settembre 2017).
6.70 Ordinanza del 4 aprile 2007 122 sull'impiego di telecamere, videoregistratori e altri apparecchi di sorveglianza da parte dell'Amministrazione federale delle dogane Art. 10 cpv. 1
Il rimando è adeguato alla nLPD.
6.71 Ordinanza del 23 agosto 2017 123 sul trattamento dei dati nell’AFD
Art. 8 e 12 cpv. 1
119 RS 531.215.32 120 RS 611.01 121 RS 631.01 122 RS 631.053 123 RS 631.061
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
I rimandi sono adeguati alla nLPD e al P-OLPD. Quindi nell’articolo 12 il rimando agli articoli 20 e 21 OLPD è sostituito dal rimando agli articoli 1–3 e 5 P-OLPD.
Allegato 73
In tutto l’allegato 73 l’espressione «collezione ausiliaria di dati» è sostituita con «banca dati ausiliaria».
6.72 Ordinanza del 12 ottobre 2011 124 sulla statistica del commercio esterno
Art. 13
Nella versione tedesca il termine «Datensammlungen» è sostituito con «Datenbanken».
6.73 Ordinanza del 27 novembre 2009 125 concernente l'imposta sul valore aggiunto Art. 135 cpv. 2
La presente modifica risulta dalla modifica dell'articolo 14 capoverso 3 della legge sulla Banca nazionale 126, operata nell'allegato della nLPD per creare una base legale per lo scambio di dati tra BNS, AFC e UST a fini statistici 127.
6.74 Ordinanza del 1° novembre 2017 128 sull'energia
Art. 70
Conformemente alla modifica della legge sull'energia (n. 56 all. 1/II nLPD), l’espressione «dati personali» è sostituita con «dati personali nonché dati di persone giuridiche». Inoltre, l’espressione «dati concernenti i procedimenti o le sanzioni amministrativi e penali» è sostituita con «dati concernenti perseguimenti e sanzioni amministrativi e penali», conformemente all’articolo 5 lettera c nLPD.
6.75 Ordinanza del 9 giugno 2006 129 sulle esigenze per il personale degli impianti nucleari Art. 39 cpv. 1 frase introduttiva
L’espressione «profilo della personalità» è soppressa.
6.76 Ordinanza del 9 giugno 2006 130 concernente i corpi di guardia degli impianti nucleari Art. 18 cpv. 1
L’espressione «profilo della personalità» è soppressa.
124 RS 632.14 125 RS 641.201 126 RS 951.11
127 Cfr. messaggio LPD del 15 settembre 2017, FF 2017 5939, 6131 seg.
128 RS 730.01 129 RS 732.143.1 130 RS 732.143.2
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.77 Ordinanza del 14 marzo 2008 131 sull'approvvigionamento elettrico
Art. 8d cpv. 1, 2 lett. a e 3
L'espressione «profilo della personalità» è soppressa. Conformemente alla modifica della legge sull'energia (n. 59 all. 1/II nLPD, LAEI) l’espressione «dati personali» è integrata con l’aggettivo «giuridiche».
Art. 8d cpv. 5 secondo e terzo periodo
Il rimando è adeguato al P-OLPD. Conformemente alla modifica dall'articolo 17c capoverso 1 LAEI, le disposizioni dell'OLPD sono dichiarate applicabili per analogia ai dati delle persone giuridiche.
6.78 Ordinanza del 30 novembre 2018132 concernente il sistema d'informazione sugli incidenti stradali Ingresso
I rimandi sono adeguati alle disposizioni della nLPD.
Art. 17 cpv. 4
Il rimando è adeguato alla nLPD e al P-OLPD.
6.79 Ordinanza del 30 novembre 2018 133 concernente il sistema d'informazione
sull'ammissione alla circolazione Ingresso
I rimandi sono adeguati alle disposizioni della nLPD.
Art. 18 cpv. 5
Il rimando è adeguato al P-OLPD.
6.80 Ordinanza del 4 novembre 2009 134 sulla videosorveglianza TP
Art. 6 cpv. 2
Il rimando è adeguato al P-OLPD.
6.81 Ordinanza del 17 dicembre 2014 135 concernente le inchieste sulla sicurezza in caso di eventi imprevisti nei trasporti Art. 19
131 RS 734.71 132 RS 741.57 133 RS 741.58 134 RS 742.147.2 135 RS 742.161
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Il rimando nel capoverso 2 è adeguato al P-OLPD. La versione francese è oggetto di una modifica formale, per far sì che la disposizione abbia due capoversi come le altre versioni linguistiche.
6.82 Ordinanza del 2 settembre 2015 136 concernente l’accesso alle professioni di trasportatore di viaggiatori e di merci su strada Art. 14
La disposizione è modificata per adeguarla all’articolo 20 capoverso 1 P-OLPD.
6.83 Ordinanza del 4 novembre 2009 137 sul trasporto di viaggiatori
Art. 58b cpv. 1
La disposizione è modificata per adeguarla all’articolo 20 capoverso 1 P-OLPD.
6.84 Ordinanza del 18 dicembre 1995 138 concernente il servizio della sicurezza aerea Art. 40a cpv. 2
L'espressione «collezione di dati» è sostituita con «banca dati».
6.85 Ordinanza del 15 novembre 2017 139 sulla sorveglianza della corrispondenza
postale e del traffico delle telecomunicazioni Art. 8 cpv. 2 L’espressione «incaricato della protezione dei dati» è sostituita con «consulente per la protezione dei dati».
6.86 Ordinanza del 15 novembre 2017 140 sul sistema di trattamento per la
sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni Art. 7 cpv. 4, 8 cpv. 2 primo periodo
Il rimando è adeguato alla nLPD e al P-OLPD.
6.87 Ordinanza del 9 marzo 2007 141 sui servizi di telecomunicazione
Art. 48 cpv. 3 secondo periodo
L’espressione «dati concernenti i procedimenti o le sanzioni amministrativi e penali» è sostituita con «dati concernenti perseguimenti e sanzioni amministrativi e penali», conformemente all’articolo 5 lettera c nLPD.
Art. 89
Il rimando è adeguato alla nLPD.
136 RS 744.103 137 RS 745.11 138 RS 748.132.1 139 RS 780.11 140 RS 780.12 141 RS 784.101.1
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.88 Ordinanza del 6 ottobre 1997 142 concernente gli elementi d'indirizzo nel settore delle telecomunicazioni Art. 13l cpv. 2
Il rimando è adeguato alla nLPD.
6.89 Ordinanza del 5 novembre 2014 143 sui domini Internet
Art. 17 cpv. 2 lett. f
Il rimando è adeguato alla nLPD.
6.90 Ordinanza del 4 dicembre 2000 144 sulla medicina della procreazione
Art. 19a cpv. 2, secondo periodo
Il rimando è adeguato alla nLPD.
6.91 Ordinanza del 14 febbraio 2007 145 sugli esami genetici sull'essere umano
Art. 21 cpv. 3
Il rimando è adeguato alla nLPD.
6.92 Ordinanza del 16 marzo 2007 146 sui trapianti
art. 48 cpv. 3, 49 secondo periodo
Il rimando è adeguato alla nLPD e al P-OLPD.
Art. 49c cpv. 1 primo periodo
L'espressione «detentore della raccolta di dati» è soppressa. Ciò non comporta modifiche materiali.
6.93 Ordinanza del 18 ottobre 2017147 sul trapianto incrociato tra vivi
Art. 21 cpv. 1 primo periodo
L'espressione «detentore della banca dati» è soppressa. Ciò non comporta modifiche materiali.
6.94 Ordinanza del 16 marzo 2007 148 sull'attribuzione di organi
Art. 34c cpv. 1 primo periodo
142 RS 784.104 143 RS 784.104.2 144 RS 810.112.2 145 RS 810.122.1 146 RS 810.211 147 RS 810.212.3 148 RS 810.212.4
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
L'espressione «detentore della banca dati» è soppressa. Ciò non comporta modifiche materiali.
Art. 34i cpv. 1 lett. a
Il rimando agli articoli 20 e 21 OLPD è sostituito dal rimando agli articoli 1–3 e 5 P-OLPD.
6.95 Ordinanza del 20 settembre 2013 149 sulla ricerca umana
Art. 26 cpv. 2
Nella versione italiana l'espressione «dalla raccolta di materiale o di dati» è sostituita con «dal materiale o dai dati personali».
6.96 Ordinanza del 20 settembre 2013 150 sull’organizzazione relativa alla LRUm
Art. 11 cpv. 2 lett. a e b
L’articolo 11 disciplina l’obbligo dell’autorità esecutiva di informare la persona interessate se comunica dati personali che la riguardano.
Le eccezioni di cui al capoverso 2 lettere a e b non sono conformi alle disposizioni dell’articolo 20 capoverso 1 lettere a e b nLPD. Il capoverso 2 lettera a deve essere adeguato di conseguenza. L’eccezione di cui al capoverso 2 lettera b deve essere soppressa perché non è prevista nell’articolo 20 nLPD.
Art. 12 cpv. 2–4
La presente disposizione disciplina lo scambio di dati con le autorità e istituzioni straniere. Il capoverso 1 non è modificato rispetto al diritto vigente. I capoversi 2 e 3 tengono conto dei nuovi requisiti previsti dagli articoli 16 capoversi 1 e 2 lettera c e 17 capoverso 1 lettere a e d nLPD.
Il capoverso 4 riprende la normativa dell’articolo 19 capoverso 4 nLPD.
6.97 Ordinanza del 26 novembre 2008151 sugli esami LPMed
Art. 26 cpv. 2
La formulazione della disposizione è modificata per adeguarla all’articolo 20 capoverso 2 P- OLPD. Poiché i dati personali trattati sono estremamente sensibili, a differenza dell’articolo 20 capoverso 1 P-OLPD, l’accesso può essere chiesto soltanto mediante richiesta scritta.
149 RS 810.301 150 RS 810.308 151 RS 811.113.3
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.98 Ordinanza del 14 novembre 2018 152 sulle autorizzazioni nel settore dei
medicamenti Art. 66 lett. b
La presente modifica concerne soltanto le versioni tedesca e italiana. L'espressione «i dati relativi a procedimenti e sanzioni amministrativi e penali» è sostituita con «i dati concernenti perseguimenti e sanzioni amministrativi e penali» conformemente all'articolo 5 lettera c numero 5 nLPD.
Art. 68 cpv. 2
Il primo periodo è modificato affinché tutti gli accessi al sistema d'informazione siano verbalizzati. Inoltre, secondo il secondo periodo e la corrispondente regola dell’articolo 3 capoverso 4 P-OLPD, la durata di conservazione dei verbali è ora fissata a due anni. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.99 Ordinanza del 21 settembre 2018 153 sui medicamenti
Art. 76 cpv. 2 secondo periodo
La versione francese è oggetto di una modifica formale per adeguare il primo periodo alle versioni tedesca e italiana. La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.100 Ordinanza del 18 agosto 2004 154 sui medicamenti veterinari
Art. 36 rubrica e cpv. 5
Nella rubrica l'espressione «collezione di dati» è sostituita con «trattamento di dati». Nel capoverso 5 il rimando è adeguato alla nLPD.
6.101 Ordinanza del 1° luglio 2020 155 relativa ai dispositivi medici
Art. 84 cpv. 1 e 2
Il rimando è adeguato al P-OLPD. Il rimando agli articoli 20 e 21 OLPD è sostituito dal rimando agli articoli 1–3 e 5 P-OLPD.
Art. 92 e allegato 3, 2 Diritto svizzero, n. 13, colonna 2
Il rimando è adeguato alla nLPD.
152 RS 812.212.1 153 RS 812.212.21 154 RS 812.212.27 155 RS 812.213
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.102 Ordinanza del 31 ottobre 2018 156 concernente il sistema d’informazione sugli antibiotici nella medicina veterinaria Art. 13
Nel capoverso 1 il rimando è adeguato alla nLPD. La formulazione del capoverso 2 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
6.103 Ordinanza del 27 febbraio 1991 157 sulla protezione contro gli incidenti rilevanti Art. 17 rubrica
Nella versione tedesca il termine «Datensammlung» è sostituito con «Datenbeschaffung».
6.104 Ordinanza del 22 marzo 2017 158 sulla cartella informatizzata del paziente
Art. 12 cpv. 1 lett. b
Art. 12, cpv. 1, secondo periodo, lett. b e 2
Secondo il vigente capoverso 1 lettera b, le comunità devono dotarsi di un sistema di gestione della protezione e della sicurezza dei dati adeguato ai rischi. Tale sistema deve in particolare comprendere un registro dei mezzi informatici e delle raccolte di dati. Questa disposizione deve essere modificata in seguito all’introduzione di un nuovo obbligo dei titolari del trattamento di allestire un registro delle attività di trattamento (art. 12 nLPD).
6.105 Ordinanza del 27 maggio 2020 159 sull’esecuzione della legislazione sulle derrate alimentari Art. 97 cpv. 1, 2 e 3
I capoversi 1 e 2 dell’articolo 97 sono stati modificati per rispettare la terminologia della nLPD. Si propone di abrogarli perché non aggiungono alcun contenuto normativo alla nLPD e al P- OLPD.
Il capoverso 3 concerne soltanto le versioni tedesca e italiana. L'espressione «i dati relativi a procedimenti e sanzioni amministrativi e penali» è sostituita con «i dati concernenti perseguimenti e sanzioni amministrativi e penali» conformemente all'articolo 5 lettera c numero 5 nLPD.
Art. 98 cpv. 4
Nel capoverso 4 l'espressione «necessariamente indispensabili» è sostituita dal termine «necessari» per adeguare il capoverso alla terminologia dell'articolo 6 capoverso 4 nLPD. Possono essere comunicati soltanto i dati personali necessari al destinatario.
156 RS 812.214.4 157 RS 814.012 158 RS 816.11 159 RS 817.042
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.106 Ordinanza del 29 aprile 2015 160 sulle epidemie
Art. 90 rubrica
Tenuto conto dell’abrogazione dell’espressione «raccolta di dati», la rubrica dell’articolo 90 deve essere modificata.
Art. 96
Il rimando agli articoli 20 e 21 OLPD è sostituito con il rimando agli articoli 1–3 e 5 P-OLPD.
Art. 97 secondo periodo
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.107 Ordinanza del 29 aprile 2015 161 concernente i laboratori di microbiologia
Art. 23 cpv. 1 secondo periodo
La presente modifica concerne soltanto la versione francese. Il termine «fichier» è sostituito dal termine «dossier».
6.108 Ordinanza dell'11 aprile 2018 162 sulla registrazione delle malattie tumorali Art. 30 cpv. 4
La presente modifica concerne soltanto la versione francese. L'espressione «fichier de données» è sostituita con «ensemble de données».
6.109 Ordinanza 1 del 10 maggio 2000 163 concernente la legge sul lavoro
Ingresso, art. 89 e 90
I rimandi sono adeguati alla nLPD.
6.110 Ordinanza del 19 giugno 1995 164 per gli autisti
Art. 18 cpv. 6 I rimandi sono adeguati alla nLPD e al P-OLPD.
6.111 Ordinanza del 6 settembre 2006 165 contro il lavoro nero
Art. 9 rubrica, cpv. 1 e 9a
160 RS 818.101.1 161 RS 818.101.32 162 RS 818.331 163 RS 822.111 164 RS 822.221 165 RS 822.411
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Poiché la nLPD sopprime la protezione dei dati personali delle persone giuridiche, nell’articolo 17a del disegno di revisione della legge federale contro il lavoro nero viene inserita una nuova base legale che autorizza gli organi di controllo cantonali e le competenti autorità cantonali a trattare i dati di persone giuridiche (cfr. n. 78 all. 1/II nLPD). Secondo il progetto di revisione, sono adeguati la rubrica e il capoverso 1 dell’articolo 9 dell’ordinanza contro il lavoro nero. È inoltre aggiunto un nuovo articolo 9a che disciplina il trattamento dei dati delle persone giuridiche. L’articolo 9a contiene una normativa analoga a quella dell’articolo 9 capoverso 1. Secondo l’articolo 9a capoverso 2, l’articolo 9 capoversi 2–4 si applica per analogia ai dati di persone giuridiche.
6.112 Ordinanza del 16 gennaio 1991 166 sul collocamento
Art. 58 rubrica e cpv. 1
L’articolo 58 dell’ordinanza sul collocamento disciplina il diritto della persona interessata a essere informata dai servizi che trattano dati che la riguardano.
È adeguato alle nuove regole della nLPD, segnatamente all’articolo 19 nLPD (obbligo di informare sulla raccolta di dati personali), 25 nLPD (diritto d’accesso) e 41 (pretese e procedura).
La prima modifica riguarda la rubrica dell’articolo 58 che non è corretta. Come esposto in seguito la disposizione disciplina diversi diritti delle persone interessate e non soltanto il diritto d’accesso.
Come nel diritto vigente, il capoverso 1 disciplina l’obbligo di informare la persona interessata. L’elenco delle informazioni da fornire viene comunque esteso. Secondo il nuovo capoverso 1 le persone in cerca di lavoro e i datori di lavoro che si annunciano alle autorità preposte al mercato del lavoro sono informati su sono informati sull’identità e i dati di contatto del titolare del sistema d’informazione (lett. a). A prescindere dalle modifiche redazionali, le informazioni secondo le lettere b, c ed e rimangono le medesime. L’informazione secondo la lettera d è modificata nel senso che la persona interessata non deve più essere informata sui «destinatari regolari» ma su tutti i destinatari ai quali sono comunicati dati personali.
Art. 59a
La modifica concerne soltanto il testo francese in cui il termine «fichier» è sostituito con «registre».
6.113 O-COLSTA del 1° novembre 2006167
Art. 2 cpv. A
La modifica concerne soltanto il testo francese in cui il termine «fichier» è sostituito con «banque de données» con i necessari adeguamenti grammaticali.
166 RS 823.111 167 RS 823.114
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Art. 10 cpv. 3
Il capoverso 3 disciplina i contenuti del regolamento per il trattamento. In alcuni punti fa riferimento alla corrispondente disposizione del P-OLPD.
Art. 11 cpv. 1, 2 primo periodo e 4
Nel capoverso 1 è adeguato il rimando alla nLPD. La formulazione del capoverso 2 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD. Poiché il capoverso 1 contiene un rimando generale alla nLPD, il capoverso 4 è abrogato e si rinuncia quindi a modificarlo. Il contenuto del capoverso si ritrova infatti nell’articolo 41 capoverso 2 nLPD.
6.114 Ordinanza dell'11 settembre 1996 168 sul servizio civile
Art. 110 rubrica, cpv. 1 e 2 frase introduttiva
L'espressione «collezione di dati» è sostituita con «banca dati».
6.115 Ordinanza del 20 agosto 2014 169 sul sistema d'informazione del servizio civile Art. 11 cpv. 1 lett. a e 13 cpv. 1
Il rimando è adeguato alla nuova legislazione sulla protezione dei dati.
Art. 11 cpv. 4
La disposizione è adeguata ai requisiti in materia di verbalizzazione del P-OLPD.
6.116 Ordinanza dell'11 settembre 2002 170 sulla parte generale del diritto delle assicurazioni sociali Art. 8b cpv. 2 terzo periodo e 9 cpv. 2 secondo periodo
Il rimando è adeguato alla nuova legislazione sulla protezione dei dati.
6.117 Ordinanza del 31 ottobre 1947 171 sull'assicurazione per la vecchiaia e per i superstiti Art. 134quinquies cpv. 1 e 2
L’espressione «collezioni di dati» è sostituita con «banche dati». Il capoverso 2 della versione tedesca è inoltre armonizzato con le versioni francese e italiana, perché è stata soppressa una delle due ricorrenze dell’espressione «von der Zentralen Ausgleichsstelle».
6.118 Ordinanza del 27 giugno 1995 172 sull'assicurazione malattie
Art. 30c primo periodo
168 RS 824.01 169 RS 824.095 170 RS 830.11 171 RS 831.101 172 RS 832.102
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Il rimando è adeguato alla numerazione del P-OLPD.
Art. 59a cpv. 1 e 3 primo periodo, 6 secondo periodo e 7 primo periodo
Le modifiche dei capoversi 1 e 3 primo periodo riguardano soltanto il testo francese. Il termine «fichier» è sostituito dal termine «ensemble». Il testo francese è così allineato ai testi tedesco e italiano («Datensatz» rispettivamente «insieme di dati»).
I rimandi previsti nei capoversi 6 secondo periodo e 7 primo periodo devono essere adeguati alla numerazione della nLPD.
Art. 59a cpv. 7
Il termine «Incaricato» è sostituito con «Incaricato federale della protezione dei dati e della trasparenza» e da «IFPDT».
Art. 59ater cpv. 1
Il rimando agli articoli 21 e 22 OLPD è sostituito con il rimando agli articoli 1–3 e 5 P-OLPD, perché la normativa sulla sicurezza dei dati nella sezione 1 va considerata come un’unità. Le disposizioni sul trattamento da parte del responsabile sono comunque valide nell’ambito del loro campo d’applicazione.
6.119 Ordinanza del 20 dicembre 1982 173 sull'assicurazione contro gli infortuni
Art. 72a cpv. 2 secondo periodo
Il rimando è adeguato al P-OLPD.
6.120 Ordinanza del 31 ottobre 2007 174 sugli assegni familiari
Art. 18h cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
6.121 Ordinanza del 31 agosto 1983 175 sull'assicurazione contro la disoccupazione Art. 126 cpv. 1
Si vedano i commenti all’articolo 58 del progetto di revisione dell’ordinanza del 16 gennaio
1991 sul collocamento (n. 6.112).
Inoltre, nel capoverso 1 l’espressione «sistemi d’informazione» è usata al plurale perché vi sono diversi sistemi d’informazione.
6.122 Ordinanza LAMDA del 25 ottobre 2017 176
Art. 17 cpv. 2
173 RS 832.202 174 RS 836.21 175 RS 837.02 176 RS 837.063.2
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
Il rimando è adeguato alla nLPD.
6.123 Ordinanza SAS-DFAE del 5 novembre 2014 177
Art. 10 cpv. 1
La formulazione dell’articolo 10 capoverso 1 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
Art. 12 cpv. 1 lett. a
Il rimando è adeguato al P-OLPD.
Art. 13 secondo periodo
La durata di conservazione dei verbali è fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.124 Ordinanza DOP/IGP del 28 maggio 1997 178
Art. 19 cpv. 2 lett. d n. 4 e 21b cpv. 2 lett. d
Il rimando è adeguato alla nLPD.
6.125 Ordinanza del 22 settembre 1997 179 sull’agricoltura biologica
Art. 33 lett. c n. 6
Il rimando è adeguato alla nLPD.
6.126 Ordinanza del 25 maggio 2011 180 sulle designazioni «montagna» e «alpe»
Art. 11 cpv. 1 lett. d n. 4
Il rimando è adeguato alla nLPD.
6.127 O-SISVet del 6 giugno 2014 181
Art. 11 secondo periodo
Il capoverso 2 è abrogato, perché l’espressione «profilo della personalità» è soppressa anche nell’articolo 54a LFE (n. 86 all. 1/II nLPD).
Art. 26
Il rimando è adeguato al P-OLPD. La formulazione del capoverso 2 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
177 RS 852.12 178 RS 910.12 179 RS 910.18 180 RS 910.19 181 RS 916.408
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.128 Ordinanza del 18 novembre 2015 182 concernente l’importazione, il transito e l’esportazione di animali e prodotti animali nel traffico con Paesi terzi Art. 102e
Il rimando è adeguato alla nLPD. La formulazione del capoverso 1 è modificata per adeguare la disposizione all’articolo 20 capoverso 1 P-OLPD.
6.129 Ordinanza del 26 giugno 2013183 sull’obbligo di dichiarazione e sulla verifica delle qualifiche professionali dei prestatori di servizi in professioni regolamentate Titolo prima dell’art. 9 e art. 9 cpv. 1
Nel titolo l’espressione «collezione di dati» è sostituita con «trattamento di dati»; la modifica del capoverso 1 riguarda soltanto il testo tedesco.
6.130 Ordinanza del 24 giugno 2015184 sulle prestazioni di sicurezza private fornite all’estero Art. 12 cpv. 1 frase introduttiva, 3 frase introduttiva e 4
Le modifiche dei capoversi 1 e 3 riguardano soltanto i testi tedesco e italiano. L’espressione «dati concernenti i procedimenti o le sanzioni amministrativi e penali» è sostituita con «dati concernenti perseguimenti e sanzioni amministrativi e penali», conformemente all’articolo 5 lettera c nLPD. Nel capoverso 4 il rimando è adeguato alla nLPD.
6.131 Ordinanza del 12 agosto 2015 185 sul sistema di trattamento dei dati concernenti le prestazioni di sicurezza private Art. 9 cpv. 1 lett. a
Il rimando è adeguato alla nLPD.
Art. 10 cpv. 2
La durata di conservazione dei verbali è ora fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
6.132 Ordinanza del 7 novembre 2018 186 sui giochi in denaro
Art. 73 cpv. 3
Il rimando è adeguato alla nLPD.
182 RS 916.443.10 183 RS 935.011 184 RS 935.411 185 RS 935.412 186 RS 935.511
Rapporto esplicativo sulla revisione dell’ordinanza relativa alla legge federale sulla protezione dei dati
6.133 Ordinanza del 27 novembre 2000 187 sugli esplosivi
Titolo 9a, art. 117a, 117b, 117f cpv. 2 frase introduttiva
Nella versione francese l’espressione «fichier électronique» è sostituita dall’espressione «banque de données».
Art. 117g secondo periodo
La durata di conservazione dei verbali è ora fissata a due anni conformemente all'articolo 3 capoverso 4 P-OLPD. Conformemente a tale disposizione, i verbali devono essere conservati separatamente dal sistema in cui sono trattati i dati personali.
Art. 117i, 117j cpv. 1 e 117k
Il rimando è adeguato alla nLPD. Nella versione francese dell’art. 117i è inoltre soppresso il termine «fichier».
Allegato 14 n. 13, rubrica e cpv. 1
Nella versione francese il termine «fichier» è sostituito dal termine «registro».
6.134 Ordinanza del 25 agosto 2004188 sull'Ufficio di comunicazione in materia di riciclaggio di denaro Art. 13 cpv. 1 lett. a
La formulazione è modificata perché l’articolo 13 capoverso 2 LUC non prevede più alcuna condizione ma rimanda alle regole del CP.
Art. 19 cpv. 1 e 26 cpv. 1 terzo periodo
Il rimando è adeguato alla nLPD. Nell’articolo 26 capoverso 1 terzo periodo l’espressione «Ufficio federale» è sostituita con «Segreteria di Stato».
Art. 25 cpv. 1 primo periodo
La disposizione è integrata con la nozione di «completezza» conformemente alla regola dell’articolo 1 P-OLPD.
187 RS 941.411 188 RS 955.23