Modifica della LOGA (protezione dei dati concernenti persone giuridiche da parte di organi federali)
Dipartimento federale di giustizia e polizia DFGP
Berna, 21 maggio 2025
Modifica della legge sull’organizzazione del Governo e dell’Amministrazione (protezione di dati concernenti persone giuridiche da parte di organi federale)
Rapporto esplicativo per l’avvio della procedura di consultazione
BJ-D-72B33401/74
Compendio
La presente revisione parziale della legge sull’organizzazione del Governo e dell’Amministrazione (LOGA) mira a garantire che gli organi federali dispongano anche dopo il 1° settembre 2028 di basi legali sufficienti per trattare dati concernenti persone giuridiche.
Situazione iniziale
Con la revisione totale della legge federale del 25 settembre 2020 sulla protezione dei dati (LPD), il trattamento di dati concernenti persone giuridiche è stato escluso dal campo d’applicazione materiale della LPD. La definizione di dati personali (art. 5 lett. a LPD) è stata limitata ai dati di persone fisiche, con la conseguenza che le basi del diritto federale che disciplinano nei diversi settori il trattamento di dati personali da parte di organi federali non sono più applicabili ai dati concernenti persone giuridiche. In base alle prescrizioni costituzionali, la comunicazione di dati concernenti persone giuridiche in particolare continua a esigere una base legale nel diritto settoriale. Affinché l’entrata in vigore della LPD riveduta non produca una lacuna giuridica, all’articolo 71 LPD è stata introdotta per gli organi federali una disposizione transitoria secondo cui le vigenti disposizioni di diritto speciale in materia di protezione dei dati continuano ad applicarsi ai dati concernenti persone giuridiche durante cinque anni dall’entrata in vigore della LPD, ossia fino al 31 agosto 2028.
Contenuto del progetto
Con il presente progetto, la disposizione transitoria dell’articolo 71 LPD viene trasposta nella LOGA. A tal scopo l’avamprogetto (AP-LOGA) prevede che per gli organi federali le disposizioni di leggi speciali relative alla protezione di dati personali siano applicabili anche ai dati concernenti persone giuridiche, se l’atto normativo speciale in questione non contiene disposizioni particolari sulla protezione dei dati concernenti persone giu ridiche. Ciò significa che, come nel diritto precedente, nelle disposizioni di diritto spe ciale sul trattamento e la comunicazione di dati da parte di organi federali l’espressione «dati personali» comprende anche i dati concernenti persone giuridiche. Viene così introdotta una soluzione residuale duratura che può essere applicata allo stesso modo in tutti i settori specialistici in cui organi federali trattano e comunicano dati concernenti persone giuridiche. Al fine di creare chiarezza e certezza del diritto, i diritti delle persone giuridiche nei confronti di organi federali che trattano dati personali (segnatamente il diritto di accesso, di rettifica e di cancellazione) sono tutelati dall’articolo 13 capo verso 2 della Costituzione federale e sono ora disciplinati esplicitamente nell’AP- LOGA. Inoltre, le esigenze per l’elaborazione di basi giuridiche sul trattamento e la co municazione di dati concernenti persone giuridiche sono allineate a quelle della LPD. Viene infine introdotta una nuova disposizione sul trattamento di dati concernenti per sone giuridiche da parte di un responsabile.
1.1.2 Ripercussioni sulle disposizioni settoriali relative alla protezione dei
dati 7
3.2.36 Legge federale del 20 marzo 1981 sull’assicurazione contro gli infortuni43
Rapporto esplicativo
1 Situazione iniziale
1.1 Contesto
1.1.1 Inapplicabilità della legge sulla protezione dei dati ai dati concernenti
persone giuridiche
Con la revisione totale della legge federale del 25 settembre 20201 sulla protezione dei dati (LPD), il trattamento di dati concernenti persone giuridiche è stato escluso dal campo d’applicazione materiale della LPD. Conformemente all’articolo 2 capoverso 1 LPD, la legge si applica soltanto ai dati concernenti persone fisiche (in merito al concetto di persone giuridiche cfr. il cap. 1.1.5.1).
Questa modifica era stata determinata in particolare dalla situazione all’estero: le di sposizioni in materia di protezione dei dati dell’Unione europea e del Consiglio d’Eu ropa nonché della maggior parte dei Paesi proteggono unicamente i dati concernenti persone fisiche. L’allineamento del pertinente diritto svizzero ha quindi agevolato il tra sferimento internazionale di dati, dato che la comunicazione di dati concernenti per sone giuridiche dalla Svizzera all’estero non dipende più dalla garanzia di un’adeguata protezione dei dati nel Paese destinatario. Inoltre nella prassi, in numerosi settori la protezione dei dati concernenti persone giuridiche svolgeva un ruolo secondario e – in particolare nel diritto privato – la tutela della personalità di persone giuridiche e la con fidenzialità dei loro dati sono garantite da diverse altre leggi (p. es. gli art. 28 segg. del Codice civile2, la legge federale del 19 dicembre 19863 contro la concorrenza sleale, la legge del 9 ottobre 19924 sul diritto d’autore e le disposizioni sulla protezione dei segreti professionali, commerciali e di fabbricazione)5.
Messaggio del Consiglio federale del 15 set. 2017 concernente la legge federale relativa alla revisione totale della legge sulla protezione dei dati e alla modifica di altri atti normativi sulla protezione dei dati (Messaggio LPD 2017), FF 2017 5939, 6009. Cfr. in particolare anche CHRISTIAN DRECHSLER, in: Gabor P. Blechta / David Vasella (a c. di), Basler Kommentar zum Datenschutzgesetz, 4a ed., 2024 («BSK DSG»), Art. 2 N 5; IDEM, Plädoyer für die Abschaffung des Datenschutzes für juristischer Personen, in AJP 1/2016, pag. 80 segg.; JU LIAN POWELL / MATTHIAS R. SCHÖNBÄCHLER, in: Adrian Bieri / Julian Powell (a c. di), Orell Füssli Kommentar zum Datenschutzgesetz, 2023, («OFK DSG»), Art. 2 N 4; SYLVAIN MÉTILLE / LIVIO DI TRIA, in Philippe Meier / Sylvain Métille (a c. di), Commentaire romand. Loi sur la protection des données, 2023 («CR LPD»), Art. 2 N 27; SAN DRA HUSI-STÄMPFLI, in: Thomas Steiner / Anne-Sophie Morand / Daniel Hürlimann (ed.), Onlinekommentar zum
1.1.2 Ripercussioni sulle disposizioni settoriali relative alla protezione dei
dati
Con la soppressione dell’applicabilità della LPD ai dati concernenti persone giuridiche è stato modificato anche il concetto di dati personali, che all’articolo 5 lettera a LPD sono definiti come «le informazioni concernenti una persona fisica identificata o identi ficabile». Questa limitazione alle informazioni concernenti persone fisiche ha reso le basi di diritto federale che disciplinano in settori specifici il trattamento di dati personali da parte di organi federali inapplicabili al trattamento e alla comunicazione di dati con cernenti persone giuridiche. Secondo il principio della legalità, sancito all’articolo 5 ca poverso 1 della Costituzione federale6 (Cost.), l’attività dello Stato richiede però fonda mentalmente una base legale. Lo stesso vale per la restrizione dei diritti fondamentali di cui all’articolo 36 capoverso 1: le persone giuridiche possono invocare il diritto all’au todeterminazione informativa sancito dall’articolo 13 capoverso 2 Cost., per cui il trat tamento e la comunicazione dei loro dati da parte dello Stato richiede una base legale anche da questo punto di vista (cfr. cap. 1.1.3). La modifica della definizione di dati personali ha dunque reso necessario legiferare nel settore del diritto pubblico in materia di protezione dei dati.
1.1.3 Portata del diritto fondamentale alla protezione dei dati concernenti per
sone giuridiche
Conformemente alla giurisprudenza del Tribunale federale e alla dottrina dominante, l’articolo 13 capoverso 2 Cost. garantisce – come sottocategoria della protezione della sfera privata – il diritto fondamentale all’autodeterminazione informativa. Ciò significa che ogni persona deve poter determinare se e a che scopo informazioni che la concer nono siano sottoposte al trattamento di terzi, siano essi privati o organi statali, in linea di massima a prescindere dall’effettivo carattere sensibile delle informazioni in que stione7. L’articolo 13 capoverso 2 Cost. non protegge dunque soltanto dall’abuso dei dati ma contempla (al di là del suo tenore) in linea di principio ogni trattamento statale
Datenschutzgesetz («OK DSG»), Art. 2 N 12 (versione del 15.08.2023); critico JULIEN FRANCEY, in: Yaniv Ben hamou / Bertil Cottier (a c. di), Petit commentaire Loi sur la protection des données («PC LPD»), 2023, Art. 2 N 14 segg. 6 RS 101 Tra le altre: DTF 146 I 11 consid. 3.1.1 e DTF 144 I 126 consid. 4.1, entrambe con altri rinvii.
(in particolare la raccolta, l’utilizzazione, la conservazione o la comunicazione) di dati personali8.
Come innanzi detto (cap. 1.1.2), anche le persone giuridiche possono invocare il diritto all’autodeterminazione informativa9. Pertanto, ogni trattamento o comunicazione di dati concernenti persone giuridiche deve avere una base legale che tenga conto della gra vità dell’ingerenza in questione (art. 36 cpv. 1 Cost.)10.
Dalla protezione costituzionale dei dati secondo l’articolo 13 capoverso 2 Cost. pos sono inoltre essere desunti diversi diritti cui viene attribuito un carattere fondamentale, in particolare il diritto d’accesso di una persona ai dati che la riguardano e il diritto alla rettifica o cancellazione di tali dati. Questi diritti spettano anche alle persone giuridiche. In particolare il diritto d’accesso costituisce una componente centrale del diritto all’au todeterminazione informativa e permette di concretizzare ulteriori diritti in materia di protezione dei dati11.
Le precedenti considerazioni mostrano che le persone giuridiche continuano ad avere diritto alla protezione dei loro dati malgrado il campo d’applicazione della LPD sia cam biato. I diritti fondamentali derivati dall’articolo 13 capoverso 2 Cost. sussistono.
1.1.4 Soluzione transitoria della LPD
Nel quadro della revisione totale della LPD la suddetta necessità di legiferare è stata sì riconosciuta, ma per motivi pratici e di tempo ha potuto essere considerata solo in parte. Negli articoli 57r e seguenti della legge del 21 marzo 199712 sull’organizzazione del Go verno e dell’Amministrazione (LOGA) è stata introdotta una serie di disposizioni che
Cfr. in particolare RAINER J. SCHWEIZER / LEA STRIEGEL, in: Bernhard Ehrenzeller / Patricia Egli / Peter Hettich et al. (a c. di), St. Galler Kommentar zur Bundesverfassung («SGK BV»), 4a ed., 2023, Art. 13 N 79 und 85; GIO VANNI BIAGGINI, Orell Füssli Kommentar zur Bundesverfassung, 2a ed., 2017 («OFK BV»), Art. 13 N 11; OLIVER DIGGELMANN, in: Bernhard Waldmann / Eva Maria Belser / Astrid Epiney (a c. di), Basler Kommentar zur Bunde sverfassung, 2015 («BSK BV»), Art. 13 N 33; JULIEN FRANCEY, PC LPD, Art. 2 N 18 seg., tutti con altri rinvii. 9 Cfr. RAINER J. SCHWEIZER / LEA STRIEGEL, SGK BV, Art. 13 N 83 seg.; GIOVANNI BIAGGINI, OFK BV, Art. 13 N 3
und 12; OLIVER DIGGELMANN, BSK BV, Art. 13 N 8, 33; JULIEN FRANCEY, PC LPD, Art. 2 N 18 seg. con rinvio a DTF 141 I 201 consid. 4.1. Cfr. anche il Messaggio LPD 2017, FF 2017 5939, 6972, con rinvio a DFT 137 II
371 consid. 6.
10 GIOVANNI BIAGGINI, OFK BV, Art. 13 N 15. Parimenti: JULIEN FRANCEY, PC LPD, Art. 2 N 18 segg.
11 RAINER J. SCHWEIZER / LEA STRIEGEL, SGK BV, Art. 13 N 100 f. con altri rinvii; GIOVANNI BIAGGINI, OFK BV, Art. 13
N 13. Cfr. anche SYLVAIN MÉTILLE / LIVIO DI TRIA, CR LPD, Art. 2 N 31. 12 RS 172.010
disciplinano il trattamento di dati concernenti persone giuridiche da parte di organi fede rali (v. qui di seguito cap. 1.1.5). Nel pertinente messaggio del Consiglio federale è stato inoltre annunciato che tutte le disposizioni settoriali in materia di protezione dei dati sa rebbero state verificate dopo l’entrata in vigore della LPD e adeguate con la maggiore possibile uniformità alle nuove regole degli articoli 57r e seguenti LOGA13.
Affinché nel frattempo non insorgessero lacune giuridiche, all’articolo 71 LPD è stata introdotta una disposizione transitoria per gli organi federali la quale prevede che le disposizioni di diritto speciale fino ad allora vigenti in materia di protezione dei dati – contenute in leggi sia in senso formale che in senso materiale – avrebbero continuato ad applicarsi ai dati concernenti persone giuridiche durante cinque anni dall’entrata in vigore della LPD, ossia fino al 31 agosto 2028. Durante questo periodo, per comunicare dati concernenti persone giuridiche, gli organi federali possono basarsi sulle vigenti basi legali relative alla comunicazione di dati personali.
1.1.5 Attuale disciplinamento sul trattamento di dati concernenti persone giu
ridiche da parte di organi federali nella LOGA
1.1.5.1 Impostazione e definizioni
Come innanzi detto (cfr. cap. 1.1.1 e 1.1.3), gli organi federale necessitano basi legali sufficienti per trattare e comunicare dati personali e dati concernenti persone giuridiche. Dato che le prescrizioni della LPD (in particolare le disposizioni sul trattamento di dati da parte di organi federali negli articoli 33 segg. LPD) non sono più applicabili ai dati concernenti persone giuridiche, agli articoli 57r – 57t LOGA l’avamprogetto crea un qua dro legale generale. Come quelle della LPD, anche queste disposizioni della LOGA costituiscono una normativa trasversale che – fatte salve norme divergenti in leggi spe ciali – va osservata in tutti i settori e in tutti casi in cui gli organi federali trattano dati concernenti persone giuridiche.
Gli «organi federali», ai quali si applicano gli articoli 57r e seguenti LOGA, sono definiti all’articolo 5 lettera i LPD (cfr. anche art. 57j LOGA), secondo cui sono considerati or gani federali tutte le autorità o i servizi della Confederazione (incluse le unità ammini strative decentralizzate), nonché le persone cui sono affidati compiti federali14. Anche la definizione di «responsabile del trattamento» risulta dalla LPD (art. 5 lett. k LPD). Occorre inoltre interpretare le nozioni di «dati (concernenti persone giuridiche)» e di «persone giuridiche».
• Dati (concernenti persone giuridiche): per analogia con la nozione di dati personali (art. 5 lett. a LPD), sono considerate dati concernenti persone giuridiche tutte le in formazioni concernenti una persona giuridica identificata o identificabile. Ne fanno ad esempio parte la ragione sociale, le indicazioni di contatto e l’indirizzo, i dettagli di pagamento, le informazioni sull’organizzazione, la forma giuridica e l’attività com
13 Cfr. Messaggio LPD 2017, FF 2017 5939, 6092.
Cfr. Messaggio LPD 2017, FF 2017 5939, 6103.
merciale, le informazioni sulla situazione finanziaria e i risultati aziendali, le informa zioni su sussidi, misure investigative o sanzioni, nonché i rapporti annuali. Se la per sona giuridica non è almeno identificabile (p. es. perché i suoi dati sono stati anoni mizzati), gli articoli 57r e seguenti LOGA non sono applicabili.
• Persone giuridiche: si tratta in primo luogo di tutte le unioni organizzate corporati vamente nonché degli istituti autonomi e destinati ad un fine particolare. Ne fanno parte le associazioni (art. 60 segg. del Codice civile15 [CC]), le fondazioni (art. 80 segg. CC), le società anonime (art. 620 segg. del Codice delle obbligazioni16 [CO]), le società in accomandita per azioni (art. 764 segg. CO), le società a garanzia limi tata (art. 772 segg. OR), le società cooperative (art. 828 segg. CO) nonché le cor porazioni di diritto privato del diritto cantonale e gli istituti e le corporazioni di diritto pubblico dei Cantoni e della Confederazione. La dottrina relativa alla previgente legge sulla protezione dei dati interpretava inoltre in senso più ampio la nozione di persone giuridiche, estendendola oltre il tenore della legge alle società di persone che, pur non essendo dotate di una propria personalità in senso giuridico, possono essere parte e stare in giudizio (come le società in nome collettivo [art. 552 segg. CO], le società in accomandita [art. 594 segg. CO] e le comunioni di proprietà per piani [art. 712l CC]). Questa interpretazione estesa della nozione di persona giuri dica sta pure alla base degli articoli 57r e seguenti LOGA. Ne sono per contro escluse le unioni di persone che secondo il diritto svizzero non presentano alcun elemento di una personalità giuridica come, ad esempio, le società semplici o le comunioni ereditarie17.
1.1.5.2 Base legale per il trattamento di dati concernenti persone giuridiche
(art. 57r LOGA)
Il vigente articolo 57r capoverso 1 LOGA crea una base legale generale e direttamente applicabile per il trattamento18 di dati concernenti persone giuridiche da parte di organi federali. Secondo tale articolo, gli organi federali possono trattare dati concernenti per sone giuridiche, compresi dati degni di particolare protezione19, se: (a) lo esige l’adem pimento di loro compiti e (b) tali compiti sono disciplinati in una legge in senso formale. Una disposizione d’ordinanza o un compito deducibile soltanto implicitamente non sono
15 RS 210 16 RS 220 In generale: DAVID ROSENTHAL / YVONNE JÖHRI, in: Handkommentar zum Datenschutzgesetz, 2008 («HK DSG»), Art. 2 N 6 segg.; BEAT RUDIN, in: Bruno Baeriswyl / Kurt Pärli / Dominika Blonski (a c. di), Stämpfli Handkom mentar zum Datenschutzgesetz, 2a ed., 2023 («SHK DSG»), Art. 2 N 12; CHRISTIAN DRECHSLER, BSK DSG, Art. 2 N 5; JULIEN FRANCEY, PC LPD, Art. 2 N 12 seg. Già nel messaggio del Consiglio federale del 23 mar. 1988 concernente la legge federale sulla protezione dei dati («Messaggio LPD 1988») la nozione di persona giuridica era stata interpretata come sopra in senso esteso (FF 1988 II 353, 378). Analogamente all’art. 5 lett. d LPD, per «trattamento» s’intende qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conser vazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione, la cancellazione o la distruzione di dati. Per quanto riguarda la comunicazione di dati concernenti persone giuridiche si applica invece l’art. 57s LOGA (cfr. cap. 1.1.5.3). 19 Conformemente all’art. 57r cpv. 2 LOGA, sono considerati «dati concernenti persone giuridiche degni di partico
lare protezione» i dati relativi a perseguimenti e sanzioni di natura amministrativa e penale (lett. a) nonché quelli relativi a segreti professionali, d’affari e di fabbricazione (lett. b). 10/48
sufficienti. Il compito deve essere chiaramente riconoscibile e sufficientemente deter minato20.
Se le condizioni di cui all’articolo 57r capoverso 1 LOGA sono soddisfatte non è più necessaria un’autorizzazione in una disposizione speciale, né a livello di legge né a livello di ordinanza. Ciò vale per il trattamento di dati sia «ordinari» che degni di parti colare protezione concernenti persone giuridiche. L’articolo 57r LOGA comprende in linea di principio tutti i tipi di trattamento. Diverso è il caso in cui lo scopo o il tipo di trattamento dei dati può comportare un’ingerenza tanto grave nei diritti fondamentali della persona giuridica interessata che l’articolo 57r LOGA non soddisfa più i requisiti del principio di legalità secondo gli articoli 5 capoverso 1 e 36 capoverso 1 Cost. in ma teria di densità normativa. In tal caso è necessario un disciplinamento esplicito nella pertinente legge materiale, ad esempio quando la forma della raccolta dei dati (in par ticolare la raccolta segreta) o l’impiego di nuove tecnologie comporta ingerenze tali da esigere una determinatezza normativa più elevata.
1.1.5.3 Esigenze riguardo alle basi legali per la comunicazione di dati concer
nenti persone giuridiche (art. 57s LOGA)
L’articolo 57s capoverso 1 LOGA stabilisce che la comunicazione21 di dati concernenti persone giuridiche deve essere prevista da una base legale di legge speciale. Diver samente dall’articolo 57r LOGA, relativo al trattamento di dati concernenti persone giu ridiche, l’articolo 57s LOGA non costituisce quindi una base legale per comunicazioni specifiche di dati da parte di organi federale. In questo caso vige invece il principio dell’autorizzazione speciale. Analogamente all’articolo 36 LPD (Comunicazione di dati personali), l’articolo 57s LOGA disciplina la questione delle basi legali che permettono a un organo federale di comunicare dati concernenti persone giuridiche e stabilisce le condizioni alle quali ciò può eccezionalmente avvenire senza una base legale22:
In linea di principio gli organi federali possono comunicare dati concernenti persone giuridiche soltanto se lo prevede una base legale (art. 57s cpv. 1 LOGA). Quest’ultima può essere un trattato internazionale, una legge in senso formale o un’ordinanza. Men tre per la comunicazione di dati «ordinari» concernenti persone giuridiche è di regola sufficiente una disposizione in un’ordinanza, per dati degni di particolare protezione è necessaria una base legale in una legge in senso formale (art. 57s cpv. 2 LOGA).
L’articolo 57s capoverso 3 LOGA elenca in modo esaustivo i casi in cui la comunica zione di dati «ordinari» o degni di particolare protezione concernenti persone giuridiche è ammessa in singoli casi senza una base legale. Si tratta delle medesime deroghe
In generale cfr. anche Messaggio LPD 2017, FF 2017 5939, 6103 seg. Analogamente all’art. 5 lett. e LPD, per «comunicazione» s’intende la trasmissione di dati personali o il fatto di renderli accessibili.
22 In generale: Messaggio LPD 2017, FF 2017 5939, 6103 seg.
come all’articolo 36 capoverso 2 lettere a, b ed e LPD relative alla comunicazione di dati personali.
L’articolo 57s capoversi 4 e 5 LOGA contiene infine, analogamente all’articolo 36 ca poversi 3 e 5 LPD, una normativa speciale per la comunicazione di dati concernenti persone giuridiche nel quadro dell’informazione del pubblico da parte delle autorità.
1.1.5.4 Diritti delle persone giuridiche (art. 57t LOGA)
Per quanto riguarda i diritti che le persone giuridiche possono invocare nei confronti di organi federali in relazione al trattamento e alla comunicazione dei loro dati, l’arti colo 57t LOGA rinvia al diritto procedurale applicabile. In una procedura amministrativa di prima istanza le persone giuridiche possono esaminare gli atti secondo gli articoli 26 e seguenti della legge federale del 20 dicembre 196823 sulla procedura amministrativa (PA), far valere il loro diritto d’essere sentiti secondo gli articoli 29 e seguenti PA ed eventualmente impugnare la decisione del competente organo federale. Le persone giuridiche possono pure invocare l’articolo 25a PA, secondo cui chiunque ha un inte resse degno di protezione può esigere che l’organo federale pronunci una decisione impugnabile. In tal modo le persone giuridiche possono indirettamente, tramite il diritto procedurale, far rettificare o cancellare i loro dati24.
1.2 Necessità d’intervento e obiettivi
Il presente progetto legislativo mira in primo luogo a garantire che non sorgano lacune giuridiche alla scadenza del termine di transizione di cui all’articolo 71 LPD (cfr. cap. 1.1.4). Poiché i dati concernenti persone giuridiche sono stati esclusi dalla defini zione di dati personali e quindi dal campo d’applicazione della LPD, una volta scaduto il termine di transizione gli organi federali non potranno più fondarsi sulle basi legali contenute negli atti normativi speciali per trattare e comunicare dati personali.
In secondo luogo, il presente progetto è volto a disciplinare espressamente e concre tizzare a livello di legge i diritti fondamentali, che conformemente all’articolo 13 capo verso 2 Cost. spettano alle persone giuridiche nei confronti degli organi federali che trattano i loro dati (segnatamente il diritto di accesso, di rettifica e di cancellazione). Ciò crea chiarezza del diritto e rafforza la posizione delle persone giuridiche. L’attuale rinvio dell’articolo 57t LOGA al diritto procedurale applicabile è problematico dal punto di vista del diritto costituzionale e in particolare permette di invocare i diritti di protezione dei dati soltanto nel quadro di procedure in corso. Inoltre, i diritti fondamentali delle persone giuridiche non sono precisati a sufficienza nella LOGA. La disposizione ha inoltre con dotto a difficoltà di attuazione. Una componente centrale del diritto all’autodetermina zione informativa è segnatamente il diritto d’accesso. Le persone giuridiche devono
23 RS 172.021
24 In generale: Messaggio LPD 2017, FF 2017 5939, 6104.
poter verificare anche al di fuori delle procedure amministrative se organi federali trat tano i loro dati conformemente alla legge, ad esempio nel caso della raccolta di dati da parte del Servizio delle attività informative della Confederazione. Il diritto d’accesso, infine, costituisce sovente la base per l’esercizio di ulteriori pretese giuridiche delle per sone interessate25. Se accertano che i loro dati sono trattati in modo non conforme alla legge da organi federali, le persone giuridiche devono potere procedere (in via giudi ziaria) e poter ad esempio esigere la rettifica o la cancellazione dei dati.
In terzo luogo, il progetto intende allineare il più possibile alle pertinenti prescrizioni della LPD le esigenze stabilite dalla LOGA in merito a eventuali basi legali settoriali per il trattamento e la comunicazione di dati da parte di organi federali. Ciò concerne in particolare i vigenti articoli 57r e 57s LOGA, che vanno adeguati al fine di aumentare la coerenza con le disposizioni particolari della LPD relative al trattamento di dati per sonali da parte di organi federali (art. 34 segg. LPD). Occorre in particolare evitare che al trattamento e alla comunicazione di dati concernenti persone giuridiche siano appli cabili esigenze più severe rispetto al trattamento e alla comunicazione di dati personali.
A parte le suddette modifiche, il presente progetto non intende tuttavia adottare dispo sizioni generali che equiparano la protezione dei dati concernenti persone giuridiche a quella dei dati personali. Il progetto legislativo non mira infatti a istituire una protezione per persone giuridiche identica a quella prevista per le persone fisiche dalla revisione totale della LPD. Occorre rammentare che la maggior parte degli esperti consultati nel quadro della valutazione dell’impatto della revisione totale della LPD e la maggior parte dei partecipanti alla pertinente consultazione erano a favore di un livello inferiore di protezione dei dati concernenti persone giuridiche26. Anche il Parlamento si è espresso due volte a favore dell’abrogazione dell’applicabilità della LPD ai dati concernenti per sone giuridiche: nel settembre 2016 e nel febbraio 2017 ha respinto la mozione Béglé 16.337927, che chiedeva di continuare a garantire la protezione della LPD ai dati con cernenti persone giuridiche. Parimenti respinta nel quadro delle deliberazioni relative alla revisione totale della LPD è stata la proposta di minoranza Rutz, che proponeva di mantenere il vigente campo d’applicazione materiale della LPD28.
Sostituendo la disposizione transitoria dell’articolo 71 LPD con una disposizione inter settoriale nella LOGA (cfr. cap. 2.1.1 e 3.1), si garantisce che le esistenti basi legali relative al trattamento e alla comunicazione di dati personali da parte di organi federali continueranno anche in futuro a riferirsi ai dati concernenti persone giuridiche. Un ade guamento completo delle basi legali del diritto settoriale che autorizzano gli organi fe derali a trattare e comunicare dati personali risulta pertanto inutile (cfr. anche cap. Fe
MARTIN STEIGER, OK DSG, Art. 25 N 3 (versione del 28.08.2023).
26 Cfr. Messaggio LPD 2017, FF 2017 5939, 6003.
27 Mozione Béglé 16.3379 «Promuovere la Svizzera quale cassaforte digitale universale».
Cfr. le delibazioni e la votazione in Consiglio nazionale del 24 set. 2019: Boll. Uff. 2019 N 1783 segg. e 1791.
hler! Verweisquelle konnte nicht gefunden werden.). Vanno tuttavia adeguati sin goli elementi del diritto settoriale (cfr. cap. 2.1.2). Il legislatore è peraltro libero di disci plinare anche in futuro in leggi speciali il trattamento e la comunicazione di dati concer nenti persone giuridiche, se necessario in un settore specifico.
Il presente progetto legislativo riguarda unicamente la protezione dei dati concernenti persone giuridiche nell’ambito del loro trattamento da parte di organi federali. Il rapporto orizzontale tra privati, ossia il trattamento di dati concernenti persone giuridiche da parte di privati, non è interessato dal progetto. Ai privati che trattano dati non vanno pertanto imposti nuovi obblighi.
1.3 Alternative esaminate
Nel Messaggio LPD 2017 il Consiglio federale aveva originariamente previsto di rive dere tutte le disposizioni sulla protezione dei dati delle leggi speciali verificando se le disposizioni che si riferiscono al trattamento di dati relativi a persone giuridiche da parte di organi federali debbano essere mantenute, adeguate o abrogate29. L’obiettivo era in particolare adeguare le disposizioni delle leggi speciali alle nuove prescrizioni degli ar ticoli 57r e seguenti LOGA. Da un sondaggio del 2023 interno all’Amministrazione fe derale è tuttavia emerso che questo modo di procedere non è efficiente: la maggior parte degli organi federali consultati tratta e comunica dati concernenti persone giuridi che; nel loro operato sono riconoscibili pochi – o addirittura nessuno – schemi o ele menti comuni, in particolare per quanto riguarda gli scopi delle comunicazioni di dati. La creazione su misura di basi legali settoriali relative ai dati concernenti persone giu ridiche in un unico e comprensivo progetto legislativo comporterebbe quindi un onere sproporzionato e sarebbe difficilmente realizzabile entro il termine di transizione di cin que anni stabilito dall’articolo 171 LPD. Inoltre, questo modo di procedere aumente rebbe il rischio di lacune giuridiche, cosicché – nel peggiore dei casi – a partire dal 1° settembre 2028 gli organi federali non potrebbero più comunicare dati concernenti persone giuridiche o solo ancora alcuni di essi. Alla luce di ciò il Consiglio federale ha deciso di creare una soluzione residuale duratura nella LOGA, applicabile in egual modo in tutti i settori in cui organi federali trattano e comunicano dati concernenti per sone giuridiche (v. cap. 2.1.1 e 3.1).
1.4 Rapporto con il programma di legislatura e il piano finanziario, nonché con
le strategie del Consiglio federale
Il progetto non è annunciato né nel messaggio del 24 gennaio 202430 sul programma di legislatura 2023–2027 né nel decreto federale del 6 giugno 202431 sul programma di
29 Cfr. Messaggio LPD 2017, FF 2017 5939, 6092.
30 FF 2024 525 31 FF 2024 1440
legislatura 2023–2027. La modifica degli articoli 57r e seguenti LOGA è tuttavia neces saria affinché gli organi federali dispongano anche dopo la scadenza del termine di transizione di cui all’articolo 71 LPD di una base legale sufficiente per il trattamento e la comunicazione di dati concernenti persone giuridiche (cfr. cap. 1.2). Gli adeguamenti devono quindi entrare in vigore entro il 1° settembre 2028.Punti essenziali del pro getto
2.1 La normativa proposta
2.1.1 Modifica della legge sull’organizzazione del Governo e dell’Amministra
zione
Gli articoli 57r e seguenti LOGA costituiscono un quadro normativo generale per il trat tamento e la comunicazione di dati concernenti persone giuridiche da parte di organi federali. Il presente avamprogetto di modifica della LOGA (AP-LOGA) adegua e integra tale quadro normativo sostanzialmente nei seguenti quattro punti.
• Rapporto con il diritto settoriale in materia di protezione dei dati: la disposizione tran sitoria di cui all’articolo 71 LPD è trasposta nella LOGA: Contrariamente all’arti colo 71 LPD, la nuova normativa non è limitata nel tempo. L’articolo 57sbis capo verso 1 AP-LOGA prevede che per gli organi federali le disposizioni di leggi speciali relative a dati personali si applicano anche ai dati concernenti persone giuridiche se un atto normativo speciale non contiene disposizioni sulla protezione dei dati con cernenti persone giuridiche. In altre parole, nelle disposizioni relative al trattamento e alla comunicazione di dati da parte di organi federali la nozione di dati personali comprende, come secondo il diritto anteriore, anche i dati concernenti persone giu ridiche (cfr. art. 3 lett. a e b vLPD). Si vuole così che gli organi federali possano continuare a trattare e comunicare dati concernenti persone giuridiche così come potevano farlo finora sotto il titolo di «dati personali». In particolare possono conti nuare a trattare e comunicare dati concernenti persone giuridiche se una base legale li autorizza a trattare e comunicare dati personali.
• Concretizzazione del diritto all’autodeterminazione informativa secondo l’articolo 13 capoverso 2 Cost.: i diritti che la Costituzione accorda alle persone giuridiche i cui dati sono sottoposti a trattamento sono disciplinati espressamente negli articoli 57t– 57w AP-LOGA, in particolare i diritti d’accesso, di rettifica e di cancellazione. Le di sposizioni si orientano ai diritti delle persone fisiche in materia di protezione dei dati conformemente agli articoli 25 e seguenti nonché 41 e seguenti LPD. Il rapporto con il diritto procedurale federale è disciplinato all’articolo 57x AP-LOGA.
• Uniformazione delle esigenze riguardo alle basi legali (settoriali) per il trattamento e la comunicazione di dati da parte di organi federali: le esigenze riguardo all’elabora zione delle basi legali per il trattamento e la comunicazione di dati concernenti per sone giuridiche vanno impostate in modo per quanto possibile parallelo agli arti coli 34 e seguenti LPD ai fini dell’uniformità e della certezza del diritto. In particolare non vanno previste prescrizioni più severe di quelle vigenti per il trattamento e la comunicazione di dati personali. A tal scopo sono necessari adeguamenti degli arti coli 57r e 57s LOGA. L’articolo 57r AP-LOGA non è più inteso come base diretta per
il trattamento di dati concernenti persone giuridiche (in merito alla situazione giuri dica vigente cfr. il n. Fehler! Verweisquelle konnte nicht gefunden werden.), bensì sarà di nuovo applicabile – conformemente all’articolo 34 LPD che riguarda il trattamento di dati personali da parte di organi federali – il principio dell’autorizza zione speciale. Come quello dei dati di persone fisiche, il trattamento dei dati con cernenti persone giuridiche non esige sempre una base legale formale. A determi nate condizioni, per il trattamento di dati concernenti persone giuridiche degni di particolare protezione è addirittura sufficiente una disposizione in un’ordinanza. Ana logamente alla LPD sono inoltre previste tre disposizioni speciali per il trattamento automatizzato di dati nell’ambito di sistemi pilota, l’offerta di documenti all’Archivio federale e il trattamento di dati personali per scopi impersonali (cfr. i nuovi art. 57rbis, 57squater e 57squinquies AP-LOGA).
• Trattamento da parte di un responsabile: l’articolo 57ster AP-LOGA, infine, disciplina i casi in cui un organo federale affida il trattamento di dati concernenti persone giu ridiche a un responsabile del trattamento. Anche questa disposizione si orienta am piamente alle prescrizioni applicabili ai dati personali (cfr. art. 9 LPD).
2.1.2 Modifica di altre leggi federali (Allegato)
Le disposizioni della LOGA relative al trattamento di dati concernenti persone giuridiche costituiscono una normativa trasversale. Le modifiche effettuate nella LOGA devono dunque essere trasposte anche nelle disposizioni in materia di protezione dei dati con tenute nelle leggi speciali. Si tratta principalmente di modificare o integrare i rinvii nelle leggi speciali.
Si rinuncia per contro ad armonizzare le disposizioni settoriali in materia di protezione dei dati in quanto ciò andrebbe al di là della necessità di legiferare innanzi illustrata e non sarebbe, nel quadro del presente progetto, efficiente né materialmente né tempo ralmente (cfr. cap. 1.2).
2.2 Attuazione
Le disposizioni esecutive per attuare le modifiche della LOGA saranno elaborate a li vello di ordinanza – presumibilmente nell’ordinanza del 25 novembre 199832 sull’orga nizzazione del Governo e dell’Amministrazione (OLOGA) – e concerneranno in parti colare l’affidamento a un responsabile del trattamento e il diritto d’accesso (cfr. art. 57ster cpv. 2 e 57v cpv. 6 AP-LOGA nonché i pertinenti commenti).
32 RS 172.010.1
3 Commenti ai singoli articoli
3.1 Commenti alle modifiche della legge sull’organizzazione del Governo e
dell’Amministrazione
Art. 20 cpv. 2
La disposizione subisce una modifica meramente redazionale volta a introdurre l’acro nimo PA, che viene poi riutilizzato nell’articolo 57v capoverso 6 AP-LOGA.
Art. 57hbis cpv. 1, frase introduttiva, 2, 3 e 4
Il rinvio all’articolo 57r capoverso 2 LOGA viene aggiornato poiché i dati concernenti persone giuridiche degni di particolare protezione sono ora definiti all’articolo 57qbis AP- LOGA.
Art. 57j cpv. 2
Il rinvio all’articolo 57r capoverso 2 LOGA viene aggiornato poiché i dati concernenti persone giuridiche degni di particolare protezione sono ora definiti all’articolo 57qbis AP- LOGA.
Art. 57qbis Dati concernenti persone giuridiche degni di particolare protezione
Per motivi di sistematica, i dati concernenti persone giuridiche degni di particolare pro tezione non sono più definiti nella disposizione sul trattamento di dati concernenti per sone giuridiche secondo l’articolo 57r AP-LOGA, bensì in una disposizione a sé stante all’inizio della sezione relativa alla protezione dei dati concernenti persone giuridiche.
L’articolo 57qbis AP-LOGA elenca in modo esaustivo le categorie di dati concernenti persone giuridiche che, per essere trattati e comunicati, devono in parte rispettare re quisiti legali più severi che i dati «ordinari» concernenti persone giuridiche (v. in parti colare gli art. 57r cpv. 2 AP-LOGA e 57s cpv. 2 LOGA). Il presente progetto rielabora questo catalogo dei dati concernenti persone giuridiche che sono degni di particolare protezione non solo dal punto di vista della sistematica ma anche del contenuto e lo allinea nella misura del possibile alla definizione legale dei dati personali degni di par ticolare protezione di cui all’articolo 5 lettera c LPD. La disposizione residuale prevista all’articolo 57sbis AP-LOGA relativa alle basi legali settoriali esige infatti la massima possibile coerenza tra le definizioni della LPD e della LOGA (cfr. i commenti all’art. 57sbis AP-LOGA). Tutte le categorie di dati personali degni di particolare prote zione secondo l’articolo 5 lettera c LPD che possono essere applicate alle persone giu ridiche o che non presuppongono la qualità di persona fisica (cfr. art. 53 CC), devono pertanto essere contenute anche nel catalogo di cui all’articolo 57qbis capoverso 2 AP- LOGA. Per contro non vengono riprese le categorie specificamente attagliate alle per sone fisiche o quelle con poca importanza pratica per le persone giuridiche. Tali cate gorie includono i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali (art. 5 lett. c n. 1 LPD), i dati concernenti la salute, la sfera intima o l’apparte nenza a una razza o un’etnia (art. 5 lett. c n. 2 LPD), i dati genetici (art. 5 lett. c n. 3 LPD), i dati biometrici che identificano in modo univoco una persona fisica (art. 5 lett. c
n. 4 LPD) e i dati concernenti le misure d’assistenza sociale (art. 5 lett. c n. 6 LPD). In considerazione di quanto precede, tra le categorie di dati di cui all’articolo 5 lettera c LPD per le persone giuridiche soltanto i «dati concernenti perseguimenti e sanzioni amministrativi e penali» sono considerati degni di particolare protezione.
Per contro, i dati relativi a segreti professionali, d’affari o di fabbricazione, finora men zionati nell’articolo 57r capoverso 2 lettera b LOGA, vengono ora stralciati dal catalogo dei dati concernenti persone giuridiche degni di particolare protezione, il che corri sponde alla situazione giuridica vigente prima dell’entrata in vigore della LPD il 1° set tembre 2023. Per gli organi federali ciò significa che il trattamento e la comunicazione di tali dati è retta dalle disposizioni applicabili ai dati «ordinari» concernenti persone giuridiche. Questo ritorno alla precedente situazione giuridica è giustificato anche per ché i dati relativi a segreti professionali, d’affari o di fabbricazione sono protetti in primo luogo dalle disposizioni delle leggi speciali sugli obblighi di serbare il segreto o di di screzione (p. es. art. 62 della legge del 15 dicembre 200033 sugli agenti terapeutici, concernente la confidenzialità dei dati) e non dalla protezione generale dei dati e della personalità. Inoltre, considerando l’assenza di un’analoga protezione per le persone fisiche, una protezione particolare dei segreti professionali, d’affari o di fabbricazione per persone giuridiche genererebbe un’asimmetria che privilegerebbe immotivata mente queste ultime rispetto a quelle fisiche (p. es. gli imprenditori individuali).
Art. 57r Trattamento di dati concernenti persone giuridiche
Affinché le prescrizioni applicabili al trattamento di dati concernenti persone giuridiche siano paragonabili, sotto il profilo dell’esigenza di una base legale, a quelle vigenti per il trattamento di dati personali, l’articolo 57r capoverso 1 LOGA è stato rielaborato e integrato con i capoversi 2, 3 e 4. L’articolo 57r AP-LOGA costituisce in buona misura una disposizione parallela all’articolo 34 LPD.
Capoverso 1: la disposizione stabilisce che gli organi federali possono trattare dati con cernenti persone giuridiche soltanto se lo prevede una base legale. Costituisce una disposizione parallela all’articolo 34 capoverso 1 LPD. Mantenere la (vigente) base le gale direttamente applicabile nell’articolo 57r capoverso 1 LOGA genererebbe, in com binazione con il nuovo articolo 57sbis AP-LOGA un potenziale conflitto normativo: per il trattamento di dati concernenti persone giuridiche gli organi federali potrebbero fon darsi da un lato sull’articolo 57r capoverso 1 LOGA e sull’altro sulla base legale di atti normativi speciali sul trattamento di dati personali applicabili in virtù dell’articolo 57sbis AP-LOGA anche ai dati concernenti persone giuridiche. Al fine di impedire simili conflitti normativi, l’articolo 57r capoverso 1 AP-LOGA non costituisce più una base legale di rettamente applicabile bensì richiede – analogamente all’articolo 57s LOGA per la co municazione di dati concernenti persone giuridiche – una base legale nel diritto setto riale specifico. Ciò significa che in futuro gli organi federali non potranno più fondarsi sull’articolo 57r capoverso 1 LOGA per legittimare il trattamento di dati concernenti per sone giuridiche, bensì dovranno disporre in linea di massima di una base legale in un atto normativo speciale, così com’era il caso prima della revisione totale della LPD. In
33 RS 812.21
virtù dell’articolo 57sbis AP-LOGA può pure trattarsi di una base legale per il trattamento di dati personali. Un intervento legislativo può essere necessario se dopo la revisione totale della LPD le basi legali per il trattamento di dati concernenti persone giuridiche sono state o saranno adeguate nelle leggi speciali, cosicché il trattamento di dati con cernenti persone giuridiche si fonda direttamente sul vigente articolo 57r capoverso 1 LOGA. Se necessario, in simili casi occorre emanare una nuova base legale per il (fu turo) trattamento di dati concernenti persone giuridiche.
Capoverso 2: la definizione dei dati concernenti persone giuridiche degni di particolare protezione attualmente fornita nell’articolo 57r capoverso 2 LOGA è ora prevista in una disposizione a sé stante, l’articolo 57qbis AP-LOGA (cfr. in merito i commenti all’arti colo 57qbis AP-LOGA). Il nuovo articolo 57r capoverso 2 AP-LOGA si orienta all’arti colo 34 capoverso 2 LPD e stabilisce che gli organi federali possono trattare dati con cernenti persone giuridiche degni di particolare protezione soltanto se lo prevede una legge in senso formale. Diversamente dall’articolo 34 LPD, l’AP-LOGA rinuncia a fis sare i casi disciplinati nell’articolo 34 capoverso 2 lettere b e c LPD. Per effettuare pro filazioni, in virtù dell’articolo 57sbis AP-LOGA gli organi federali possono fondarsi sulla base legale concernente la profilazione di dati personali, se si tratta di dati concernenti persone giuridiche. In virtù dell’articolo 57sbis AP-LOGA è fatto salvo il caso in cui il pertinente atto normativo speciale disciplina separatamente il trattamento di dati con cernenti persone giuridiche. In mancanza di una base legale per la profilazione di dati personali, per la profilazione di dati concernenti persone giuridiche occorre una base legale a livello di ordinanza.
Capoverso 3: analogamente all’articolo 34 capoverso 3 LPD, l’articolo 57r capoverso 3 AP-LOGA stabilisce che, a determinate condizioni, per trattare dati concernenti per sone giuridiche degni di particolare protezione è sufficiente una base legale figurante in una legge in senso materiale. Le condizioni di cui alle lettere a e b corrispondono a quelle di cui all’articolo 34 capoverso 3 lettere a e b LPD, per cui non è necessaria una base legale in una legge in senso formale se il trattamento è indispensabile per l’adem pimento di un compito stabilito in una legge in senso formale (lett. a) e se lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona giuri dica interessata (lett. b). In tal modo, al trattamento di dati concernenti persone giuridi che degni di particolare protezione sono applicabili le medesime agevolazioni che val gono per il trattamento di dati personali degni di particolare protezione. Si è rinunciato a menzionare la profilazione poiché, per quanto riguarda i dati concernenti persone giuridiche, secondo l’articolo 57r capoverso 2 AP-LOGA (e contrario) non occorre una base legale in una legge in senso formale.
Capoverso 4: l’articolo 57r capoverso 4 AP-LOGA disciplina, analogamente all’arti colo 34 capoverso 4 LPD, i casi in cui gli organi federali possono eccezionalmente trat tare dati personali concernenti persone giuridiche anche senza base legale, in deroga all’articolo 57r capoversi 1-3 AP-LOGA. Le eccezioni elencate corrispondono a quelle di cui all’articolo 34 capoverso 4 lettere a–c LPD. Il trattamento di dati concernenti per sone giuridiche (inclusi quelli degni di particolare protezione) è quindi ammesso senza base legale (ossia senza fondarsi direttamente sull’art. 57r cpv. 1 LOGA o senza auto rizzazione in una norma speciale) se:
• il Consiglio federale ha autorizzato il trattamento poiché i diritti delle persone giuridi che interessate non sono pregiudicati (lett. a);
• la persona giuridica interessata ha dato, nel caso specifico, il suo consenso al trat tamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è oppo sta espressamente al trattamento (lett. b); o
• il trattamento è necessario per proteggere la vita o l’integrità fisica di un terzo e non è possibile ottenere il consenso della persona giuridica interessata entro un termine ragionevole (lett. c).
La deroga di cui all’articolo 57r capoverso 4 lettera a AP-LOGA è stata leggermente adeguata dal punto di vista linguistico rispetto all’articolo 34 capoverso 4 lettera a LPD al fine di chiarire che la valutazione del pregiudizio dei diritti delle persone giuridiche interessate è effettuata in base a criteri oggettivi.
Art. 57rbis Trattamento automatizzato di dati nell’ambito di sistemi pilota
L’articolo 57rbis AP-LOGA abilita il Consiglio federale ad autorizzare per un periodo li mitato sistemi pilota che trattano dati concernenti persone giuridiche degni di partico lare protezione, fondandosi soltanto su un’ordinanza (e non su una legge in senso for male, come sarebbe in effetti necessario per questo tipo di dati secondo l’art. 57r cpv. 2 AP-LOGA) (cfr. art. 57rbis cpv. 1 e 3 AP-LOGA). Questa disposizione introduce un di sciplinamento analogo a quello dell’articolo 35 LPD e degli articoli 32-35 OPD che mira ad agevolare i progetti di digitalizzazione senza violare i principi dello Stato di diritto34. Diversamente dalla procedura prevista nella LPD e nella OPD per i sistemi pilota, l’ar ticolo 57rbis AP-LOGA non prevede il coinvolgimento dell’IFPDT, che non è competente per la vigilanza nel settore del trattamento di dati concernenti persone giuridiche (cfr. in merito i commenti all’art. 57sbis cpv. 2 lett. b AP-LOGA).
L’articolo 57rbis capoverso 1 AP-LOGA menziona le condizioni che i sistemi pilota de vono soddisfare per essere autorizzati. Analogamente all’articolo 35 capoverso 1 LPD, i compiti che richiedono il trattamento devono essere disciplinati in una legge in senso formale già in vigore (lett. a), devono essere prese misure sufficienti per ridurre al mi nimo l’ingerenza nei diritti fondamentali della persona giuridica interessata (lett. b) e per l’attuazione pratica del trattamento è imprescindibile una fase sperimentale prima dell’entrata in vigore della legge formale, in particolare per ragioni tecniche (lett. c). Infine il sistema pilota deve essere imprescindibile per motivi tecnici che sono elencati all’articolo 57rbis capoverso 2 AP-LOGA e corrispondono all’articolo 32 OPD.
Secondo l’articolo 57rbis capoverso 4 AP-LOGA, il sistema pilota deve essere valutato al più tardi entro due anni. L’organo federale competente deve presentare al Consiglio federale un rapporto di valutazione in cui propone la continuazione o l’interruzione del sistema pilota che può durare al massimo cinque anni. Se entro questo termine non è
34 SANDRA HUSI, OK DSG, Art. 35 N 2 segg. (versione del 19.08.2023) sul trattamento di dati personali nell’ambito di sistemi pilota.
entrata in vigore una legge in senso formale che prevede la base legale necessaria per il trattamento dei dati, il sistema pilota deve essere interrotto (art. 57rbis cpv. 5 AP- LOGA; cfr. in merito anche l’art. 35 cpv. 3 e 4 LPD relativi al trattamento di dati perso nali nell’ambito di sistemi pilota).
In merito a sistemi pilota con dati «ordinari» concernenti persone giuridiche, si vedano i commenti al n. Fehler! Verweisquelle konnte nicht gefunden werden. sulla legge federale del 17 marzo 202335 concernente l’impiego di mezzi elettronici per l’adempi mento dei compiti delle autorità (LMeCA).
Art. 57s cpv. 1, 3, frase introduttiva, lett. bbis e bter, 4, frase introduttiva, 5, primo periodo, nonché 6 lett. a e b
Capoverso 1: l’articolo 57s capoverso 1 AP-LOGA stabilisce che gli organi federali pos sono comunicare dati concernenti persone giuridiche soltanto se esiste una base le gale. Sotto il profilo linguistico, la disposizione è stata allineata dal punto di vista lingui stico alla formulazione dell’articolo 57r capoverso 1 AP-LOGA. Non si tratta di un ade guamento materiale.
Capoverso 3, frase introduttiva, e lettere bbis e bter: l’articolo 57s capoverso 3 LOGA disciplina le eccezioni al requisito di una base legale in una legge speciale per la co municazione di dati concernenti persone giuridiche. Sotto il profilo linguistico, la frase introduttiva è stata allineata alla formulazione dell’articolo 57r capoverso 3 AP-LOGA. Non si tratta di un adeguamento materiale. Il vigente catalogo delle eccezioni è inte grato con le nuove lettere bbis e bter al fine di avvicinare ulteriormente la disposizione all’articolo 36 capoverso 2 lettere c e d LPD. Ammessa è la comunicazione di dati con cernenti persone giuridiche (inclusi quelli degni di particolare protezione) per proteg gere la vita o l’integrità fisica di un terzo (lett. bbis) o se la persona giuridica interessata ha reso i suoi dati accessibili a chiunque (lett. bter).
Capoverso 4, frase introduttiva: la frase introduttiva dell’articolo 57s capoverso 4 LOGA è adeguata introducendo l’acronimo della legge del 17 dicembre 200436 sulla traspa renza (LTras), che viene riutilizzato all’articolo 57w LOGA.
Capoverso 5, primo periodo: nel testo tedesco del primo periodo del capoverso 5, l’espressione «Rechtsgrundlage» è stata sostituita con «gesetzliche Grundlage». In tal modo l’articolo 57s capoverso 5 AP-LOGA corrisponde dal punto di vista linguistico all’articolo 57s capoverso 1 AP-LOGA. Il capoverso non subisce adeguamenti mate riali.
Capoverso 6 lettere a e b: gli adeguamenti dell’articolo 57s capoverso 6 AP-LOGA concernono soltanto il testo francese. La versione francese è adeguata al tenore della disposizione analoga dell’articolo 36 capoverso 6 LPD. Alla lettera a l’espressione «in térêt légitime manifeste» è sostituita con «intérêt digne de protection manifeste»,
35 RS 172.019 36 RS 152.3
menre alla lettera b l’espressione «des prescriptions particulières» è sostituita con «une disposition particulière». Si tratta di modifiche meramente redazionali.
Art. 57sbis Rapporto con la protezione dei dati concernenti persone giuridiche in atti normativi speciali
Capoverso 1 (principio): secondo l’articolo 57sbis capoverso 1 AP-LOGA, se un atto normativo speciale contiene disposizioni sulla protezione dei dati personali ma non sulla protezione dei dati concernenti persone giuridiche, le disposizioni relative alla pro tezione dei dati personali si applicano anche ai dati concernenti persone giuridiche. L’articolo 57sbis capoverso 1 AP-LOGA corrisponde dal punto di vista del contenuto all’attuale disposizione transitoria dell’articolo 71 LPD senza però un termine tempo rale.
Si riferisce a tutte le disposizioni relative alla protezione di dati personali contenute in atti normativi speciali (sia leggi sia ordinanze), salvo che tali atti contengano già dispo sizioni relative alla protezione di dati concernenti persone giuridiche. Dopo la revisione totale del diritto in materia di protezione dei dati, alcune disposizioni di diritto speciale sulla protezione dei dati concernenti persone giuridiche sono state modificate sia in leggi sia in ordinanze,37 al fine di distinguere esplicitamente tra dati personali e dati concernenti persone giuridiche. Non deve necessariamente trattarsi di disposizioni che contengono l’espressione «dati concernenti persone giuridiche», bensì possono disci plinare direttamente le pertinenti categorie di dati. L’ordinanza del 16 ottobre 202438 sul trattamento dei dati nel sistema automatizzato d’informazione del servizio civile, ad esempio, contiene una disposizione sui «dati concernenti gli istituti d’impiego» (art. 1 lett. d) senza fare riferimento ai «dati concernenti persone giuridiche». Se un atto nor mativo speciale comprende già disposizioni relative alla protezione di dati concernenti persone giuridiche, non è più necessario applicare le disposizioni relative alla prote zione dei dati personali ai dati concernenti persone giuridiche. Gli atti normativi speciali con tali disposizioni sono pertanto stati esclusi dal principio dell’applicazione ai dati concernenti persone giuridiche.
L’espressione «atto normativo speciale» chiarisce anche che la disposizione non si riferisce alla LPD e alle sue ordinanze, il che significa che l’articolo 57sbis capoverso 1 AP-LOGA non determina l’applicazione della LPD e delle sue ordinanze ai dati concer nenti persone giuridiche. Con l’entrata in vigore della revisione totale della LPD, la pro
Il messaggio LPD 2017 (cfr. FF 2017 5939, 6093) e il rapporto esplicativo del 31 ago. 2022 relativo all’ordi nanza sulle certificazioni in materia di protezione dei dati (cap. 7.2.; consultabile all’indirizzo: www.bj.admin.ch > Stato & Cittadino > Protezione dei dati > Nuovo diritto in materia di protezione dei dati > 1. Cos’è stato fatto fi nora? > 2022 – Adozione delle nuove ordinanze (OPDa e OCPD) > Rapporto esplicativo OPDa) contengono un elenco degli atti normativi adeguati nel quadro della revisione totale del diritto in materia di protezione dei dati. 38 RS 824.095
tezione dei dati concernenti persone giuridiche è stata esclusa dal campo d’applica zione della LPD e delle sue ordinanze (cfr. 1.1.1), fatto che la presente revisione della LOGA non intende modificare.
Analogamente all’articolo 71 LPD, l’articolo 57sbis capoverso 1 AP-LOGA concerne tutte le disposizioni che disciplinano la protezione di dati personali da parte di organi federali. Si riferisce in primo luogo a tutte le basi legali che autorizzano il trattamento e la comu nicazione di dati personali e mira a permettere agli organi federali di continuare a trattare e comunicare dati concernenti persone giuridiche come avviene finora sotto il titolo di «dati personali». Se ad esempio un organo federale è abilitato a comunicare dati per sonali in virtù di una base legale, l’articolo 57sbis capoverso 1 AP-LOGA lo autorizza a comunicare anche dati concernenti persone giuridiche. Questo articolo non si limita però alle disposizioni che autorizzano l’organo federale a trattare o comunicare dati personali, ma contempla tutte le disposizioni in materia di protezione dei dati che disciplinano il trattamento di dati personali. Possono esservi inclusi obblighi d’informazione nell’ambito della raccolta di dati (p. es. art. 95 del Codice di procedura penale39 o art. 18a della legge del 22 marzo 197440 sul diritto penale amministrativo) o eccezioni al principio della trasparenza per documenti che contengono dati personali (v. p. es. art. 24e cpv. 2 della legge del 23 giugno 200641 sugli impianti a fune o art. 52a cpv. 2 della legge del 20 marzo 200942 sul trasporto di viaggiatori). Se invece di «dati personali» si parla in generale di «protezione dei dati» o di «disposizioni sulla protezione dei dati», oltre alle disposizioni della LPD s’intendono comunque anche quelle della LOGA (v. p. es. art. 8 cpv. 2 della legge federale del 30 settembre 201143 sulla promozione e sul coordina mento del settore universitario svizzero o art. 16b cpv. 2 della legge federale del 20 di cembre 195744 sulle ferrovie). La protezione dei dati concernenti persone giuridiche nel diritto settoriale continua dunque – fatte salve normative separate relative alla prote zione di dati concernenti persone giuridiche nel diritto speciale – come prima della revi sione totale della LPD.
L’articolo 57sbis capoverso 1 AP-LOGA si riferisce unicamente a disposizioni che disci plinano il rapporto tra privati e organi federali. In particolare, l’articolo 57squinquies capo verso 1 non si applica alle disposizioni penali che non si rivolgono a organi federali (come p. es. art. 179novies CP o art. 31 cpv. 2 della legge federale del 23 dicembre
39 RS 312.0 40 RS 313.0 41 RS 743.01
42 RS 745.1 43 RS 414.20
44 RS 742.101
201145 sulla protezione extraprocessuale dei testimoni). Queste disposizioni conti nuano dunque a riguardare unicamente i dati di persone fisiche.
Capoverso 2 (eccezioni): al capoverso 2 la portata dell’articolo 57sbis capoverso 1 LOGA è limitata da due punti di vista:
Conformemente alla lettera a, l’articolo 57sbis capoverso 1 AP-LOGA non si applica alle disposizioni del diritto speciale che riguardano il livello di protezione adeguato per la comunicazione di dati all’estero. Se tali disposizioni fossero applicabili a dati concer nenti persone giuridiche, gli organi federali dovrebbero sempre assicurarsi, in occa sione del trasferimento di dati, che all’estero il livello di protezione dei dati sia adeguato non solo per i dati delle persone fisiche ma anche per quelli concernenti le persone giuridiche. Numerosi ordinamenti giuridici esteri, tra i quali la maggior parte di quelli degli Stati dell’UE, non prevedono però una protezione dei dati concernenti persone giuridiche. Per questi dati gli organi federali dovrebbero dunque esigere o negoziare garanzie di protezione specifiche, il che ostacolerebbe inutilmente il traffico di dati tran sfrontaliero. Le disposizioni di leggi speciali che esigono un livello di protezione ade guato per la comunicazione di dati all’estero sono tipicamente disposizioni che rinviano agli articoli 16 e 17 LPD (p. es. art. 107a cpv. 5 della legge del 21 dicembre 194846 sulla navigazione aerea, art. 100 cpv. 3 lett. b della legge militare del 3 febbraio 199547 o art. 25 cpv. 4 della legge del 17 giugno 201148 sulla promozione dello sport). Si tratta pure di disposizioni di leggi speciali che disciplinano le esigenze poste alla comunica zione di dati all’estero (p. es. art. 11f dell’Assistenza in materia penale del 20 marzo 198149, art. 349c segg. CP o art. 61 cpv. 2 della legge federale del 25 settembre 201550 sulle attività informative). In entrambi i casi, l’articolo 57sbis capoverso 2 lettera a AP- LOGA garantisce che le prescrizioni di leggi speciali si si applichino soltanto al livello di protezione adeguato dei dati personali.
Va considerato che l’articolo 57sbis capoverso 2 lettera a AP-LOGA contempla unica mente disposizioni di diritto speciale che riguardano la protezione adeguata per la co municazione all’estero. Altre prescrizioni che sottopongono la comunicazione all’estero a esigenze più elevate (p. es. nel settore dell’assistenza giudiziaria) continuano a es sere applicabili a dati personali e a dati concernenti persone giuridiche.
L’articolo 57sbis capoverso 1 AP-LOGA non intende attribuire all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) nuove competenze di vigilanza sul
45 RS 312.2 46 RS 748.0 47 RS 510.10 48 RS 415.0
49 RS 351.1 50 RS 121
trattamento di dati concernenti persone giuridiche. L’articolo 57sbis capoverso 2 lettera b AP-LOGA prevede pertanto che le disposizioni di diritto speciale che riguardano la vigi lanza dell’IFPDT siano applicabili unicamente ai dati concernenti persone giuridiche. Si tratta ad esempio di disposizioni relative alla vigilanza sul trattamento di dati nel quadro della cooperazione Schengen/Dublino (p. es. art. 111g della legge del 16 dicembre 200551 sugli stranieri e la loro integrazione o art. 102d della legge del 26 giugno 199852 sull’asilo) oppure all’informazione dell’IFPDT nel quadro della comunicazione di dati all’estero (p. es. art.349c cpv. 5 CP), nonché disposizioni che prevedono che la persona interessata può far verificare all’IFPDT il differimento di un’informazione (p. es. art. 63 cpv. 3 in combinato disposto con art. 64 LAIn53).
Capoverso 3 (delega legislativa): per il settore della sicurezza dei dati l’articolo 57sbis capoverso 3 AP-LOGA prevede che il Consiglio federale disciplini l’applicabilità delle disposizioni relative alla sicurezza dei dati personali ai dati concernenti persone giuri diche. Ciò è connesso al fatto che diverse ordinanze settoriali concretizzano le esi genze in materia di sicurezza dei dati. Le disposizioni generali sul trattamento di dati concernenti persone giuridiche negli articoli 57r e seguenti LOGA non disciplinano però in alcun modo la sicurezza dei dati54. Affinché le disposizioni di diritto speciale sulla sicurezza dei dati non possano essere senz’altro applicate ai dati concernenti persone giuridiche in virtù dell’articolo 57sbis capoverso 1 LOGA, il Consiglio federale è abilitato a disciplinare la loro applicabilità ai dati concernenti persone giuridiche. Dato che le disposizioni speciali sulla sicurezza dei dati sono di norma contenute in ordinanze, an che la pertinente disposizione derogatoria trasversale va prevista in un‘ordinanza.
Art. 57ster Trattamento da parte di un responsabile
La presente disposizione consente agli organi federali di trasmettere, a determinate condizioni, i dati concernenti persone giuridiche a un responsabile e di farli trattare da quest’ultimo. L’affidamento del trattamento a un responsabile va distinto dalla comuni cazione dei dati a un terzo. Non costituisce una comunicazione di dati ai sensi del diritto in materia di protezione dei dati dato che l’organo federale titolare del trattamento man tiene il dominio sui dati55.
Finora una disposizione sull’affidamento del trattamento a un responsabile mancava nella LOGA, sebbene si tratti di una procedura sovente impiegata nella prassi. In nu merosi casi la conservazione di dati in un cloud va ad esempio qualificata in tal modo56.
51 RS 142.20 52 RS 142.31 53 RS 121
54 Cfr. la nota a piè di pagina 59
BRUNO BAERISWYL, SHK DSG, Art. 9 N 10 sull’affidamento del trattamento di dati personali a un responsabile.
56 Messaggio LPD 2017, FF 2017 5939, 6022
L’articolo 57ster AP-LOGA disciplina il rapporto tra l’organo federale titolare del tratta mento e il responsabile armonizzandolo ampiamente con l’articolo 9 LPD.
Capoverso 1: analogamente a quanto previsto per l’affidamento del trattamento di dati personali (art. 9 cpv. 1 LPD), gli organi federali possono affidare il trattamento di dati concernenti persone giuridiche a un responsabile del trattamento per contratto o per legge (art. 57ster cpv. 1, frase introduttiva AP-LOGA), a condizione che, da un lato, il responsabile effettui soltanto i trattamenti che l’organo federale titolare del trattamento avrebbe il dritto di effettuare (lett. a) e, dall’altro, che nessun obbligo legale o contrat tuale di serbare il segreto lo vieti (lett. b). Il responsabile del trattamento deve in parti colare osservare le prescrizioni settoriali applicabili al trattamento di dati concernenti persone giuridiche da parte di organi federali. L’articolo 57ster capoverso 1 AP-LOGA non ha però per conseguenza che le disposizioni della LPD si applichino anche ai dati concernenti persone giuridiche. Per questo motivo si rinuncia pure alla ripresa dell’ar ticolo 9 capoverso 2 LPD. Le disposizioni in materia di sicurezza dei dati della LPD e dell’ordinanza del 31 agosto 202257 sulla protezione dei dati (OPDa) si applicano dun que soltanto ai dati personali e non ai dati concernenti persone giuridiche58.
L’articolo 57ster capoversi 2 e 3 AP-LOGA sull’autorizzazione del trasferimento del trat tamento a terzi e sui motivi giustificativi del responsabile del trattamento corrispondono all’articolo 9 capoversi 3 e 4 LPD. In merito alla forma dell’autorizzazione di un trasfe rimento del trattamento a terzi si pongono diverse questioni di attuazione che saranno precisate a livello di ordinanza orientandosi all’articolo 7 OPDa.
Art. 57quater Offerta di documenti all’Archivio federale
Per l’archiviazione di dati concernenti persone giuridiche devono valere le medesime condizioni che per l’archiviazione di dati personali. A tal scopo, con l’articolo 57squater AP-LOGA è creata una disposizione analoga all’articolo 38 LPD, secondo cui gli organi federali offrono all’Archivio federale i dati concernenti persone giuridiche di cui non ne cessitano più in modo permanente (cpv. 1). Gli organi federali devono distruggere i dati che l’Archivio federale ha designato come non aventi valore archivistico, salvo che siano resi anonimi o conservati a titolo di prova, per misura di sicurezza o per salvaguardare un interesse degno di protezione della persona giuridica interessata (cpv. 2).
57 RS 235.11 58 La sicurezza dei dati concernenti persone giuridiche è però garantita fino a un certo punto dalla legge del 18 dic. 2020 sulla sicurezza delle informazioni (LSIn; RS 128) con le pertinenti ordinanze, come p. es. l’ordi nanza dell’8 nov. 2023 sulla sicurezza delle informazioni (OSIn; RS 128.1). Pur non mirando direttamente a proteggere i dati concernenti persone giuridiche, questi atti normativi possono contribuire indirettamente alla loro sicurezza tramite le misure previste (p. es. la confidenzialità, l’integrità, la disponibilità e la tracciabilità delle informazioni secondo l’art. 6 LSIn), in particolare nel caso in cui dati concernenti persone giuridiche sono conte nuti in documenti per i quali sono previste misure di protezione.
Art. 57squinquies Trattamento di dati per scopi impersonali
L’articolo 39 LPD agevola il trattamento di dati personali per scopi impersonali, in par ticolare nei settori della ricerca, della pianificazione o della statistica. Affinché tali age volazioni siano applicabili anche al trattamento per scopi impersonali di dati concernenti persone giuridiche, con l’articolo 57squinquies AP-LOGA è creata una disposizione ana loga all’articolo 39 LPD. L’articolo 57squinquies capoverso 1 AP-LOGA prevede pertanto quattro condizioni in relazione con l’anonimizzazione (lett. a), la comunicazione di dati concernenti persone giuridiche degni di particolare protezione (lett. b), la trasmissione a terzi (lett. c) e la pubblicazione (lett. d). Se queste condizioni sono rispettate, per la comunicazione di dati concernenti persone giuridiche viene a cadere l’esigenza della base legale (art. 57s cpv. 1 e 2 LOGA) e per il trattamento di dati concernenti persone giuridiche degni di particolare protezione l’esigenza della base legale in senso formale (art. 57r cpv. 2 AP-LOGA) (art. 57squinquies cpv. 2 AP-LOGA)59.
Art. 57t Diritto d’accesso
Il diritto d’accesso è una componente centrale del diritto all’autodeterminazione infor mativa ai sensi dell’articolo 13 capoverso 2 Cost. che può essere invocato anche da persone giuridiche (cfr. cap. 1.1.3 e 1.2). Costituisce la base che permette alle persone i cui dati sono trattati di verificare la legittimità del trattamento e se del caso far valere altre pretese del diritto in materia di protezione dei dati quali la cancellazione o la retti fica dei loro dati60. La pretesa d’accesso, fondata sui diritti fondamentali, è pertanto sancita espressamente a livello di legge all’articolo 57t AP-LOGA.
L’articolo 57t AP-LOGA si basa sull’articolo 25 LPD relativo al diritto d’accesso di per sone fisiche, ma le caratteristiche particolari delle persone giuridiche rendono neces sarie singole differenze. Si rinuncia ad esempio a una disposizione analoga all’arti colo 25 capoverso 3 LPD in quanto nel caso delle persone giuridiche non vi sono dati concernenti la salute.
L’articolo 57t capoverso 1 AP-LOGA accorda a ogni persona giuridica il diritto di do mandare all’organo federale titolare del trattamento se dati che la concernono sono oggetto di trattamento. Questo diritto vale – fatto salvo l’abuso di diritto (cfr. art. 57u cpv. 1 lett. c AP-LOGA) – incondizionatamente e senza che occorra dimostrare un in teresse particolare61. Inoltre, non è possibile rinunciare preventivamente al diritto d’ac cesso (art. 57t cpv. 4 AP-LOGA).
L’articolo 57t capoverso 2 AP-LOGA concretizza con una clausola generale e un elenco delle indicazioni minime i contenuti in merito ai quali devono essere fornite le
Cfr. BRUNO BAERISWYL, SHK DSG, Art. 39 N 6 sul trattamento di dati personali per scopi impersonali. Ad es.: BRUNO BAERISWYL, SHK DSG, Vorbemerkungen zu Art. 25 – 29 N 2; MARTIN STEIGER, OK DSG, Art. 25 N
1 f. (versione del 28.08.2023).
61 Cfr. RAINER J. SCHWEIZER / LEA STRIEGEL, SGK BV, Art. 13 N 102.
informazioni. La persona giuridica deve ricevere tutte le informazioni che sono neces sarie a garantire un trattamento dei dati trasparente e che le permettono di esercitare altri rimedi giuridici. L’elenco delle indicazioni minime di cui all’articolo 57t capoverso 2 lettere a – f AP-LOGA corrisponde per lo più al catalogo di cui all’articolo 25 capo verso 2 lettere a – g LPD. Diversamente che nell’articolo 25 capoverso 2 lettera d LPD, secondo l’articolo 57t capoverso 2 lettera d AP-LOGA non è sufficiente indicare i criteri per stabilire la durata di conservazione dei dati, occorre invece comunicare la durata stessa. Inoltre, per quanto riguarda le persone giuridiche, l’informazione sull’eventuale esistenza di una decisione individuale automatizzata e sulla logica su cui si fonda la decisione (art. 25 cpv. 2 lett. f LPS), non è ripresa nell’articolo 57t capoverso 2 AP- LOGA. Gli articoli 57r e seguenti LOGA non contengono al momento alcuna disposi zione sugli obblighi degli organi federali e i diritti delle persone giuridiche interessate in caso di decisioni individuali automatizzate. Infine, diversamente dall’articolo 25 capo verso 2 lettera g in combinato disposto con l’articolo 19 capoverso 4 LPD, l’articolo 57t capoverso 2 lettera f AP-LOGA non esige, nel caso di una comunicazione all’estero, informazioni su eventuali misure di protezione o eccezioni.
I capoversi 3, 5 e 6 dell’articolo 57t AP-LOGA riguardano diverse modalità della forni tura di informazioni. Il capoverso 6 autorizza il Consiglio federale a disciplinare altri dettagli, in particolare le eccezioni alla gratuità del diritto d’accesso (cfr. anche cap. Fe hler! Verweisquelle konnte nicht gefunden werden.).
Art. 57u Restrizione del diritto d’accesso
Il diritto d’accesso delle persone giuridiche non è assoluto. L’articolo 57u LOGA disci plina le restrizioni del diritto d’accesso in modo per lo più analogo all’articolo 26 LPD. Oltre a disposizioni legali sull’obbligo di mantenere il segreto (art. 57u cpv. 1 lett. a AP- LOGA, in cui – diversamente che nell’art. 26 cpv. 1 lett. a LPD – non si fa espressa mente riferimento ai segreti professionali in quanto mancano di rilevanza pratica), alla fornitura di informazioni possono essere contrapposti anche interessi preponderanti pubblici (art. 57u cpv. 2 AP-LOGA) o privati (art. 57u cpv. 1 lett. b AP-LOGA). L’infor mazione può inoltre essere rifiutata, limitata o differita se la domanda d’accesso è ma nifestamente infondata, segnatamente se persegue uno scopo contrario alla protezione dei dati o è manifestamente querulosa (art. 57u cpv. 1 lett. c AP-LOGA). In tal modo si intende impedire domande d’accesso abusive62. Non sono ripresi i motivi di restrizione di cui all’articolo 26 capoverso 2 lettera a e capoverso 3 LPD, in quanto non sono ade guati agli organi federali ma ai privati in veste di titolari del trattamento di dati.
L’organo federale deve indicare il motivo per cui rifiuta, limita o differisce l’informazione (art. 57u cpv. 3 AP-LOGA). La restrizione del diritto d’accesso è pronunciata sotto forma di decisione impugnabile (art. 5 PA) nel rispetto delle condizioni del diritto della procedura amministrativa63.
62 MARTIN STEIGER, OK DSG, Art. 26 N 13 (versione del 28.08.2023).
SANDRA HUSI, SHK DSG, Art. 26 N 38.
Art. 57v Diritti e procedura
Come gli articoli 57t e 57u AP-LOGA relativi al diritto d’accesso, anche l’articolo 57v AP-LOGA serve a concretizzare il diritto all’autodeterminazione informativa secondo l’articolo 13 capoverso 2 Cost. (cfr. cap. 1.1.3).
In modo ampiamente conforme all’articolo 41 LPD, i capoversi 1 e 2 dell’articolo 57v AP-LOGA accordano alle persone giuridiche i cui dati sono oggetto di un trattamento diverse pretese per difendersi da un trattamento illecito dei loro dati da parte di un organo federale64. La persona giuridica può quindi esigere che l’organo federale si astenga dal trattamento illecito dei suoi dati, elimini le conseguenze di un trattamento illecito o accerti il carattere illecito del trattamento (cpv. 1). In particolare, può esigere la rettifica, la cancellazione o la distruzione dei dati e la comunicazione a terzi o la pubblicazione della decisione (cpv. 2).
I capoversi 3 – 5 dell’articolo 57v AP-LOGA (come i cpv. 3 – 5 dell’art. 41 LPD) preve dono diverse eccezioni, in particolare la limitazione del trattamento dei dati, la men zione del carattere contestato e i fondi di istituzioni pubbliche della memoria collettiva.
Le pretese secondo l’articolo 57v AP-LOGA vanno fatte valere nel quadro di una pro cedura amministrativa conformemente alla PA (cpv. 6). L’organo federale si pronuncia sulla concessione o sul rifiuto delle pretese con una decisione ai sensi dell’articolo 5 PA.
Art. 57w Procedura in caso di comunicazione di documenti ufficiali che contengono dati concernenti persone giuridiche
L’articolo 57w AP-LOGA disciplina l’esercizio delle pretese del diritto in materia di pro tezione dei dati di una persona giuridica secondo l’articolo 57v AP-LOGA se è in corso una procedura concernente l’accesso a documenti ufficiali ai sensi della LTras. La di sposizione si orienta all’articolo 42 LPD.
Art. 57x Rapporto con il diritto procedurale federale
Capoverso 1: l’articolo 57x capoverso 1 AP-LOGA disciplina il rapporto tra le disposi zioni dell’AP-LOGA relative alla protezione di dati concernenti persone giuridiche e il diritto procedurale federale. Si tratta di una disposizione parallela all’articolo 2 capo verso 3 LPD, che in conseguenza dell’esclusione delle persone giuridiche dal campo d’applicazione della LPD dalla revisione totale di quest’ultima è applicabile unicamente ai dati di persone fisiche. Al fine di garantire alle persone giuridiche la medesima situa zione giuridica delle persone fisiche, è introdotto un nuovo articolo 57x capoverso 1 AP-LOGA che stabilisce che la tutela procedurale dei dati concernenti persone giuridi che è disciplinata dal diritto procedurale federale. Tale disciplinamento si riferisce a tutte le disposizioni dell’AP-LOGA relative alla protezione di dati concernenti persone giuridiche eccetto l’articolo 57sbis AP-LOGA. Pertanto, le disposizioni degli ordinamenti procedurali relative alla protezione di dati personali saranno applicabili anche ai dati
64 MONIQUE STURNY, SHK DSG, Art. 41 N 2.
concernenti persone giuridiche, conformemente all’articolo 57sbis AP-LOGA. Sono escluse dal coordinamento di cui all’articolo 57x capoverso 1 AP-LOGA le procedure amministrative di prima istanza, alle quali si applicano gli articoli 57qbis–57w AP-LOGA. L’articolo 57x capoverso 1 vale da un lato per tutte le unità amministrative rientranti nel campo d’applicazione della LOGA, quali ad esempio quelle del settore dell’assistenza giudiziaria, dall’altro per i tribunali federali, i cui ordinamenti procedurali prevedono un’applicazione per analogia delle disposizioni dell’AP-LOGA. Con il nuovo articolo 57x capoverso 1 AP-LOGA si garantisce che la protezione dei dati concernenti persone giuridiche, e in particolare dei diritti procedurali di queste ultime, sia disciplinata dai pertinenti ordinamenti procedurali. Quindi non sono applicabili le disposizioni dell’AP- LOGA relative alla protezione dei dati concernenti persone giuridiche, ad eccezione dell’articolo 57sbis AP-LOGA.
Capoverso 2: l’articolo 57x capoverso 2 AP-LOGA costituisce una disposizione paral lela all’articolo 2 capoverso 4 LPD. Al fine di creare per le persone giuridiche la mede sima situazione giuridica delle persone fisiche è introdotto un nuovo articolo 57x ca poverso 2 AP-LOGA, secondo cui la deroga per i registri pubblici vale anche per i dati concernenti persone giuridiche.
3.2 Commenti alle modifiche di altri atti normativi (allegato)
3.2.1 Legge federale del 21 marzo 199765 sulle misure per la salvaguardia
della sicurezza interna
Art. 23a cpv. 4
La disposizione è integrata con un rinvio alle prescrizioni dell’AP-LOGA relative al diritto d’accesso e di rettifica delle persone giuridiche.
3.2.2 Legge federale del 25 settembre 201566 sulle attività informative
Art. 63 cpv. 1 e 4
I due capoversi sono integrati con un rinvio al diritto d’accesso delle persone giuridiche secondo l’AP-LOGA.
65 RS 120 66 RS 121
3.2.3 Legge federale del 18 dicembre 202067 sulla sicurezza delle informazioni
in seno alla Confederazione
Art. 69 cpv. 2
Poiché la disposizione si riferisce soltanto a persone giuridiche, il rinvio alla LPD rela tivo alla restrizione del diritto d’accesso è sostituito con un rinvio all’AP-LOGA.
Art. 70 cpv. 2
La diposizione è integrata con un rinvio all’AP-LOGA per quanto riguarda la nozione di dati concernenti persone giuridiche degni di particolare protezione.
Art. 75 cpv. 4
In base all’articolo 57sbis capoverso 1 AP-LOGA, l’obbligo d’informazione di cui all’arti colo 75 capoverso 4, primo periodo LSIn vale anche nell’ambito dei dati concernenti persone giuridiche. Affinché le condizioni poste al trattamento di dati concernenti per sone giuridiche non siano più severe di quelle per il trattamento di dati personali, nell’ar ticolo 75 capoverso 4, secondo periodo LSIn la riserva di cui all’articolo 20 LPD, che limita l’obbligo d’informazione, deve applicarsi per analogia ai dati concernenti persone giuridiche. Ciò viene specificato in un nuovo terzo periodo aggiunto all’articolo 75 ca poverso 4 LSIn, poiché la LOGA non contiene alcuna disposizione analoga all’arti colo 20 LPD alla quale si potrebbe rinviare.
3.2.4 Legge federale del 20 giugno 200368 sul sistema d’informazione per il
settore degli stranieri e dell’asilo
Art. 4 cpv. 2
La disposizione è completata con un rinvio all’AP-LOGA per quanto riguarda la nozione di dati concernenti persone giuridiche degni di particolare protezione.
Art. 6
La disposizione sul diritto d’accesso e di rettifica per le persone giuridiche è completata con un rinvio alle pertinenti disposizioni dell’AP-LOGA.
Art. 7 cpv. 2
L’articolo 7 capoverso 2 è adeguato affinché sia applicabile ai dati di persone fisiche così come di persone giuridiche. Il rinvio alla LPD è pertanto cancellato.
67 RS 128 68 RS 142.51
3.2.5 Legge del 22 giugno 200169 sui documenti d’identità
Art. 10
La disposizione è integrata con un rinvio alle pertinenti disposizioni dell’AP-LOGA sulla protezione di dati concernenti persone giuridiche da parte di organi federali.
3.2.6 Legge del 26 giugno 199870 sull’archiviazione
Art. 1 cpv. 1 lett. b
La disposizione è adeguata introducendo l’acronimo LOGA, che viene riutilizzato all’ar ticolo 15. Si tratta di una modifica meramente redazionale.
Art. 15 cpv. 1, primo periodo
La disposizione sulla fornitura di informazioni e la concessione della consultazione alle persone giuridiche è integrata con un rinvio alle pertinenti disposizioni dell’AP-LOGA e adeguata leggermente dal punto di vista redazionale.
Nella legge sull’archiviazione si è rinunciato ad adeguare l’espressione «dati perso nali». Negli articoli interessati (art. 11, 13 cpv. 3 e 14 cpv. 2) l’espressione va intesa nel senso di dati di persone fisiche conformemente all’articolo 5 lettera a LPD. L’arti colo 57sbis AP-LOGA non è applicabile. I dati concernenti persone giuridiche sono pro tetti dagli articoli 9 e 12 della legge sull’archiviazione.
3.2.7 Legge del 17 dicembre 200471 sulla trasparenza
Art. 3 cpv. 2, secondo periodo
L’articolo 3 capoverso 2 della legge sulla trasparenza (LTras) concerne il coordina mento tra il diritto d’accesso ai propri dati secondo il diritto in materia di protezione dei dati e il diritto d’accesso secondo il principio della trasparenza72. Finora era disciplinata unicamente la relazione tra LTras e LPD: l’accesso ai documenti ufficiali che conten gono dati personali del richiedente è retto dalla LPD. Con il presente progetto, il princi pio della trasparenza va coordinato anche con il diritto d’accesso per persone giuridiche secondo l’articolo 57t seg. AP-LOGA. L’articolo 3 capoverso 2 LTras viene pertanto in
69 RS 143.1 70 RS 152.1 71 RS 152.3 Ad es.: CHRISTA STAMM-PFISTER, in: Gabor P. Blechta / David Vasella (a c. di), Basler Kommentar zum Öffent lichkeitsgesetz, 4a ed. 2024 («BSK BGÖ»), Art. 3 N 30.
tegrato con un secondo periodo: se una persona giuridica richiede l’accesso a un do cumento ufficiale contenente suoi dati si applicano gli articoli 57t e 57u AP-LOGA. Que sta prevalenza del diritto d’accesso secondo la LOGA si giustifica per i medesimi motivi come nel caso del diritto d’accesso secondo la LPD, che non costituisce un diritto d’ac cesso generale bensì un rimedio giuridico individuale della persona (fisica o giuridica) i cui dati sono trattati. Si fonda sul diritto all’autodeterminazione informativa e persegue un altro obiettivo rispetto al principio della trasparenza secondo la LTras73.
Art. 9 cpv. 2, primo periodo
La disposizione è adeguata riprendendo l’acronimo LOGA, introdotto all’articolo 3. Si tratta di una modifica meramente redazionale.
3.2.8 Legge del 18 giugno 200474 sulle pubblicazioni ufficiali
Art. 16b cpv. 1
La disposizione è integrata con un rinvio all’AP-LOGA per la nozione di dati concernenti persone giuridiche degni di particolare protezione.
3.2.9 Legge federale del 17 marzo 202375 concernente l’impiego di mezzi elet
tronici per l’adempimento dei compiti delle autorità
Art. 15 cpv. 1 lett. g e 3 lett. a
La disposizione sul trattamento automatizzato di dati personali nell’ambito di sistemi pilota secondo l’articolo 35 LPD è applicabile ai dati personali degni di particolare pro tezione e ai trattamenti di dati di cui all’articolo 34 capoverso 2 lettere b e c LPD. Per il trattamento di dati concernenti persone giuridiche degni di particolare protezione è pre vista una pertinente disposizione all’articolo 57rbis AP-LOGA (cfr. i relativi commenti al n. Fehler! Verweisquelle konnte nicht gefunden werden.).
L’articolo 15 della legge federale concernente l’impiego di mezzi elettronici per l’adem pimento dei compiti delle autorità (LMeCA) introduce inoltre una base legale per il trat tamento di dati concernenti persone giuridiche «ordinari» nell’ambito di sistemi pilota. L’articolo 10 capoverso 2 lettera a LMeCA distingue esplicitamente tra dati personali e dati concernenti persone giuridiche. Questa distinzione viene ora ripresa all’articolo 15 capoversi 1 lettera g e 3 lettera a LMeCA.
73 Cfr. CHRISTA STAMM-PFISTER, BSK BGÖ, Art. 3 N 31.
74 RS 170.512 75 RS 172.019
3.2.10 Legge del 17 giugno 200576 sul Tribunale federale
Art. 25b, rubrica e cpv. 1
Il rinvio alle disposizioni della LOGA è esteso all’intero capitolo quarto del titolo quarto della presente legge.
Per quanto concerne gli articoli 57h – 57hter LOGA, i tribunali federali, così come l’Am ministrazione federale e i servizi del Parlamento, gestiscono sistemi di gestione degli affari. È pertanto opportuno applicare le corrispondenti disposizioni anche ai tribunali. Si rammenta che l’articolo 57h LOGA offre una base legale per la gestione di sistemi di gestione degli affari e che l’articolo 57hbis LOGA precisa gli scopi per i quali il tratta mento di dati personali e concernenti persone giuridiche è ammesso77. Ciò significa che queste disposizioni non costituiscono la base legale per il trattamento di dati per sonali e concernenti persone giuridiche, che deve sempre fondarsi su una base legale di diritto speciale.
Il rinvio mira inoltre a comprendere anche gli articoli 57qbis – 57x AP-LOGA, nella mi sura in cui nel quadro della loro attività i tribunali federali trattano dati concernenti per sone giuridiche. Se è effettuato nel quadro di una procedura, il trattamento è retto, conformemente all’articolo 57x AP-LOGA, dal diritto procedurale federale.
3.2.11 Legge del 17 giugno 200578 sul Tribunale amministrativo federale
Art. 27b, rubrica e cpv. 1
Cfr. i commenti all’articolo 25b capoverso 1 della legge del 17 giugno 2005 sul Tribu nale federale (LTF) al numero Fehler! Verweisquelle konnte nicht gefunden wer den..
3.2.12 Legge del 20 marzo 200979 sul Tribunale federale dei brevetti
Art. 5a, rubrica e cpv. 1
Cfr. i commenti all’articolo 25b capoverso 1 LTF al numero Fehler! Verweisquelle konnte nicht gefunden werden..
76 RS 173.110 Cfr. messaggio LPD 2017, FF 2017 5939, 6100 seg. 78 RS 173.32
79 RS 173.41
3.2.13 Legge del 19 marzo 201080 sull’organizzazione delle autorità penali
Art. 18a
Nel quadro della sua attività, il Ministero pubblico della Confederazione tratta sia dati personali sia dati concernenti persone giuridiche. È pertanto creata una base legale simile a quella vigente per i tribunali federali. Cfr. in merito i commenti all’articolo 25b capoverso 1 LTF al numero Fehler! Verweisquelle konnte nicht gefunden werden..
Art. 62a, rubrica e cpv. 1
Cfr. i commenti all’articolo 25b capoverso 1 LTF al numero Fehler! Verweisquelle konnte nicht gefunden werden..
3.2.14 Legge federale del 25 settembre 202081 sulla protezione dei dati
Art. 71
La disposizione transitoria dell’articolo 71 LPD viene ripresa nell’AP-LOGA senza il ter mine temporale (cfr. i commenti all’art. 57sbis AP-LOGA nel cap. 3.1). Nella LPD la di sposizione può dunque essere abrogata.
3.2.15 Codice penale82
Art. 349a, frase introduttiva
La disposizione è integrata con un rinvio alla pertinente disposizione dell’AP-LOGA relativa alle esigenze poste alla base legale per il trattamento di dati concernenti per sone giuridiche.
3.2.16 Legge federale del 13 giugno 200883 sui sistemi d’informazione di polizia
della Confederazione
Art. 7 cpv. 1
La disposizione è integrata con un rinvio alle disposizioni dell’AP-LOGA sul diritto d’ac cesso delle persone giuridiche.
80 RS 173.71 81 RS 235.1 82 RS 311.0
83 RS 361
3.2.17 Legge del 4 ottobre 199184 sui PF
Art. 36a cpv. 1, primo periodo
L’espressione «dati personali degni di particolare protezione» è sostituita con «dati de gni di particolare protezione» affinché si riferisca ai dati degni di particolare protezione delle persone sia fisiche che giuridiche. Questa modifica interessa soltanto le versioni italiana e tedesca della legge.
Art. 36b cpv. 1 e 5, secondo periodo
L’espressione «dati personali degni di particolare protezione» è sostituita con «dati de gni di particolare protezione» affinché si riferisca ai dati degni di particolare protezione delle persone sia fisiche che giuridiche. Questa modifica interessa soltanto le versioni italiana e tedesca della legge.
Art. 36c
Nel capoverso 1 l’espressione «dati personali degni di particolare protezione» è sosti tuita con «dati degni di particolare protezione» affinché si riferisca ai dati degni di par ticolare protezione delle persone sia fisiche che giuridiche. Questa modifica interessa soltanto le versioni italiana e tedesca della legge.
Il capoverso 2 è integrato con un rinvio alle pertinenti disposizioni dell’AP-LOGA sulla protezione di dati concernenti persone giuridiche da parte di organi federali.
Art. 36f
Nel capoverso 1 l’espressione «dati personali degni di particolare protezione» è sosti tuita con «dati degni di particolare protezione» affinché si riferisca ai dati degni di par ticolare protezione delle persone sia fisiche che giuridiche. Questa modifica concerne soltanto le versioni italiana e tedesca della legge.
Il rinvio alla LPD nell’articolo 36f capoverso 2 è adeguato riprendendo l’acronimo intro dotto all’articolo 36c capoverso 2. La disposizione è inoltre integrata con un rinvio alle pertinenti disposizioni dell’AP-LOGA sulla protezione dei dati concernenti persone giu ridiche da parte di organi federali.
84 RS 414.110
3.2.18 Legge del 9 ottobre 199285 sulla statistica federale
Art. 7 cpv. 2, secondo periodo
Da un lato, l’articolo 7 capoverso 2, secondo periodo, è adeguato introducendo l’acro nimo LPD, poi riutilizzato all’articolo 10 capoverso 5. Dall’altro stabilisce – analoga mente alle regole applicabili ai dati personali – che i dati concernenti persone giuridiche ripresi dalle banche dati dei Cantoni e dei Comuni e sottostanti a un obbligo legale del segreto sancito dalla legge non possono essere comunicati conformemente all’arti colo 57squinquies AP-LOGA sul trattamento di dati per scopi impersonali.
Art. 10 cpv. 5, secondo periodo
La disposizione è adeguata riprendendo l’acronimo LPD, introdotto all’articolo 7. Si tratta di una modifica meramente redazionale. La disposizione è inoltre integrata con un rinvio all’articolo 57squinquies AP-LOGA sul trattamento di dati per scopi impersonali.
Art. 16 cpv. 1, secondo periodo
La disposizione è integrata con un rinvio alle disposizioni della LOGA sul trattamento di dati concernenti persone giuridiche per scopi di ricerca, pianificazione e statistica.
3.2.19 Legge del 5 ottobre 200786 sulla geoinformazione
Art. 11 cpv. 1, primo periodo
La disposizione è integrata con un rinvio alle disposizioni dell’AP-LOGA sulla prote zione di dati concernenti persone giuridiche da parte di organi federali. La sua formu lazione è inoltre adeguata sostituendo l’espressione «tutti i geodati di base» con «i geodati di base», al fine di chiarire che rispettivamente la LPD e la LOGA si applicano al trattamento di geodati di base contenenti dati personali e dati concernenti persone giuridiche. Al fine di uniformare le disposizioni del diritto federale applicabili ai geodati di base, le pertinenti disposizioni della LPD e della LOGA si applicano a prescindere da chi sia competente per il trattamento (amministrazione federale, cantonale o comu nale oppure un attore privato che opera su incarico dell’autorità)87.
85 RS 431.01 86 RS 510.62 Cfr. FF 2017 5939, 6119.
3.2.20 Legge federale del 3 ottobre 200888 sui sistemi d’informazione militari e
su altri sistemi d’informazione nel DDPS
Art. 1 cpv. 1, frase introduttiva, e cpv. 3
La legge federale sui sistemi d’informazione militari e su altri sistemi d’informazione nel DDPS (LSIM) distingue già oggi tra dati di persone fisiche e dati concernenti persone giuridiche, cosicché l’articolo 57sbis AP-LOGA non è applicabile (cfr. i pertinenti com menti al cap. 3.1). In considerazione di quanto precede occorre adeguare la terminolo gia: all’articolo 1 capoverso 1 LSIM, l’espressione «il trattamento di dati personali di persone fisiche e giuridiche» è sostituita con «il trattamento di dati personali e concer nenti persone giuridiche» poiché dall’entrata in vigore della LPD, con il termine di dati personali s’intendono unicamente i dati di persone fisiche. L’espressione «dati perso nali degni di particolare protezione» è inoltre sostituita con «dati degni di particolare protezione», affinché si riferisca a dati degni di particolare protezione sia di persone fisiche che di persone giuridiche. La distinzione esplicita tra dati di persone fisiche e dati concernenti persone giuridiche rende necessari adeguamenti terminologici in tutto l’atto normativo.
L’articolo 1 capoverso 3 LSIM è integrato con un rinvio alle pertinenti disposizioni dell’AP-LOGA sulla protezione dei dati concernenti persone giuridiche da parte di or gani federali. La disposizione è inoltre adeguata leggermente dal punto di vista reda zionale.
Art. 2a cpv. 1 lett. b e c
Come all’articolo 1 capoverso 1 LSIM, anche all’articolo 2a capoverso 1 lettere b e c LSIM l’espressione «dati personali degni di particolare protezione» è sostituita con «dati degni di particolare protezione», affinché si riferisca a dati degni di particolare protezione sia di persone fisiche che di persone giuridiche. Questa modifica concerne unicamente le versioni italiana e tedesca della legge.
Art. 6 lett. b
La disposizione è integrata con un rinvio alla LOGA.
Art. 186 cpv. 1 lett. b e cpv. 3
All’articolo 186 capoverso 1 lettera b LSIM il termine «dati personali» è sostituito con «dati» affinché la disposizione sia applicabile anche ai dati concernenti persone giuri diche. Questa modifica concerne unicamente le versioni italiana e tedesca della legge. L’articolo 186 capoverso 3 LSIM è inoltre integrato con un rinvio alla LOGA.
88 RS 510.91
3.2.21 Legge del 28 giugno 196789 sul Controllo delle finanze
Art. 10 cpv. 3, primo e secondo periodo
Nel quadro della revisione totale della LPD, l’espressione «inclusi quelli personali» era stata eliminata dai testi italiano e tedesco. Questa eliminazione non era fondata. La sua reintroduzione è necessaria per adeguare le versioni italiana e tedesca della disposi zione alla versione, corretta, francese.
Inoltre, l’espressione «dati personali degni di particolare protezione» è sostituita con «dati degni di particolare protezione» affinché si riferisca a dati degni di particolare protezione sia di persone fisiche che di persone giuridiche.
3.2.22 Legge del 18 marzo 200590 sulle dogane
Art. 38 cpv. 2
Le decisioni individuali possono interessare anche persone giuridiche o fondarsi sul trattamento di loro dati. Nell’articolo 38 capoverso 2 della legge sulle dogane il rinvio all’articolo 21 LPD, applicabile soltanto a dati personali ossia di persone fisiche, va dunque stralciato per motivi di chiarezza. La LPD costituisce una legge quadro, per cui l’articolo 21 LPD è applicabile anche senza un rinvio esplicito. Sugli obblighi degli organi federali e i diritti delle persone giuridiche interessate in caso di decisioni individuali automatizzate gli articoli 57qbis segg. LOGA non contengono per contro disposizioni a cui possa essere rinviato (cfr. i commenti all’art. 57t LOGA al cap. 3.1).
3.2.23 Legge del 12 giugno 200991 sull’IVA
Art. 76 cpv. 3, frase introduttiva
Profilazioni e profilazioni a rischio elevato possono essere effettuate anche con dati concernenti persone giuridiche. Il rinvio dell’articolo 76 capoverso 3 della legge sull’IVA alla «legge del 25 settembre 2020 sulla protezione dei dati» che è applicabile soltanto ai dati personali, ossia di persone fisiche, è pertanto stralciato.
89 RS 614.0
90 RS 631.0 91 RS 641.20
3.2.24 Legge del 21 marzo 196992 sull’imposizione del tabacco
Art. 18 cpv. 4
Il rinvio all’articolo 21 LPD relativo alle decisioni individuali automatizzate è stralciato (cfr. i commenti nel cap. 3.2.21).
3.2.25 Legge del 6 ottobre 200693 sull’imposizione della birra
Art. 17 cpv. 3, secondo periodo
Il rinvio all’articolo 21 LPD relativo alle decisioni individuali automatizzate è stralciato (cfr. i commenti nel cap. 3.2.21).
3.2.26 Legge federale del 21 giugno 199694 sull’imposizione degli oli minerali
Art. 21 cpv. 2bis
Il rinvio all’articolo 21 LPD relativo alle decisioni individuali automatizzate è stralciato (cfr. i commenti nel cap. 3.2.21).
3.2.27 Legge del 23 marzo 200795 sull’approvvigionamento elettrico
Art. 17c cpv. 1, secondo periodo
Nell’articolo 17c capoverso 1, secondo periodo, della legge sull’approvvigionamento elettrico (LAEl), la menzione dell’applicazione per analogia della LPD ai dati concernenti persone giuridiche è stralciata e sostituita da un rinvio alle disposizioni dell’AP-LOGA sulla protezione di dati concernenti persone giuridiche da parte di organi federali.
Art. 24
L’acronimo LOGA, introdotto all’articolo 17c capoverso 1 LAEl, è ripreso all’articolo 24 LAEl. Si tratta di una modifica meramente redazionale.
92 RS 641.31 93 RS 641.411 94 RS 641.61
95 RS 734.7
3.2.28 Legge federale del 20 dicembre 195796 sulle ferrovie
Art. 90 cpv. 2, terzo periodo
Nella versione italiana è aggiunto l’acronimo LOGA.
Art. 16a cpv. 1, primo periodo
L’articolo 16a capoverso 1, primo periodo della legge sulle ferrovie (Lferr) è integrato con un rinvio alle disposizioni dell’AP-LOGA sulla protezione di dati concernenti per sone giuridiche da parte di organi federali. Non è necessario adeguare anche l’arti colo 16b capoverso 2 Lferr in quanto l’espressione «disposizioni sulla protezione dei dati» include anche le disposizioni della LOGA in materia di protezione dei dati.
3.2.29 Legge del 20 marzo 200997 sul trasporto di viaggiatori
Art. 54 cpv. 1, primo periodo
La disposizione è integrata con un rinvio alle disposizioni dell’AP-LOGA sulla prote zione di dati concernenti persone giuridiche da parte di organi federali.
3.2.30 Legge federale del 18 marzo 201698 sulla sorveglianza della corrispon
denza postale e del traffico delle telecomunicazioni
Art. 4
L’espressione «dati personali degni di particolare protezione» è sostituita con «dati de gni di particolare protezione» affinché si riferisca ai dati degni di particolare protezione delle persone sia fisiche che giuridiche. Questa modifica interessa soltanto le versioni italiana e tedesca della legge.
Art. 10 cpv. 1 lett. b, 2, primo periodo, e 2ter
La disposizione è integrata introducendo, ai capoversi 1 lettera b, 2, primo periodo, e 2ter, un rinvio alle disposizioni dell’AP-LOGA relative al diritto d’accesso delle persone giuridiche.
96 RS 742.101 97 RS 745.1 98 RS 780.1
3.2.31 Legge del 30 aprile 199799 sulle telecomunicazioni
Art. 13b cpv. 1, secondo periodo, 2, frase introduttiva, 4, primo periodo
L’espressione «dati personali degni di particolare protezione» è sostituita con «dati de gni di particolare protezione» affinché si riferisca ai dati degni di particolare protezione delle persone sia fisiche che giuridiche. Questa modifica interessa soltanto le versioni italiana e tedesca della legge.
3.2.32 Legge federale del 24 marzo 2006100 sulla radiotelevisione
Art. 88 cpv. 2
La disposizione è integrata con un rinvio alle disposizioni dell’AP-LOGA sulla prote zione di dati concernenti persone giuridiche da parte di organi federali.
3.2.33 Legge del 1° ottobre 2021101 sui prodotti del tabacco
Art. 39
Nel titolo e nei capoversi 1 e 2 l’espressione «informazioni concernenti persone giuri diche» è sostituita con «dati concernenti persone giuridiche».
3.2.34 Legge del 17 giugno 2005102 contro il lavoro nero
Art. 17a cpv. 3
La legge contro il lavoro nero (LLN) contiene all’articolo 17a una disposizione sul trat tamento di dati concernenti persone giuridiche che viene integrata con un nuovo capo verso 3 che rinvia alle pertinenti disposizioni dell’AP-LOGA.
3.2.35 Legge federale del 25 giugno 1982103 sulla previdenza professionale per
la vecchiaia, i superstiti e l’invalidità Art. 85a cpv. 1, frase introduttiva
L’espressione «dati personali degni di particolare protezione» è sostituita con «dati de gni di particolare protezione» affinché si riferisca ai dati degni di particolare protezione
99 RS 784.10 100 RS 784.40
101 RS 818.32 102 RS 822.41
103 RS 831.40
delle persone sia fisiche che giuridiche. Questa modifica interessa soltanto le versioni italiana e tedesca della legge.
3.2.36 Legge federale del 20 marzo 1981104 sull’assicurazione contro gli infor
tuni
Art. 96 cpv. 2
I rinvii alla LPD riguardanti le profilazioni e le profilazioni a rischio elevato nonché all’ar ticolo 21 LPD sulle decisioni individuali automatizzate sono stralciati (cfr. i commenti nei cap. 3.2.21 e 3.2.23).
3.2.37 Legge federale del 19 giugno 1992105 sull’assicurazione militare
Art. 94a cpv. 2
I rinvii alla LPD relativi alle profilazioni e alle profilazioni a rischio elevato nonché all’ar ticolo 21 LPD relativo alle decisioni individuali automatizzate sono stralciati (cfr. i com menti nei cap. 3.2.21 e 3.2.23).
3.2.38 Legge federale del 25 settembre 2020106 sui precursori di sostanze
esplodenti
Art. 23 cpv. 1
La disposizione è integrata con un rinvio alle pertinenti disposizioni dell’AP-LOGA sui diritti delle persone giuridiche d’accesso e rettifica dei loro dati inesatti.
3.2.39 Legge del 3 ottobre 2003107 sulla Banca nazionale
Art. 16 cpv. 4bis, secondo periodo, e 5
L’articolo 16 della legge sulla Banca nazionale è integrato con due rinvii all’AP-LOGA: il secondo periodo del capoverso 4bis precisa che, a prescindere dal nuovo arti colo 57squinquies AP-LOGA, l’Ufficio federale di statistica non è autorizzato a trasmettere a terzi i dati concernenti persone giuridiche ricevuti dalla Banca nazionale senza il con senso di quest’ultima, mentre il capoverso 5 rinvia agli articoli 57qbis – 57x AP-LOGA per il trattamento di dati concernenti persone giuridiche.
104 RS 832.20
105 RS 833.1 106 RS 941.42
107 RS 951.11
3.2.40 Legge del 10 ottobre 1997108 sul riciclaggio di denaro
Nella legge sul riciclaggio di denaro (LRD) è introdotta la distinzione esplicita tra dati personali e dati concernenti persone giuridiche.
Art. 29 cpv. 1, secondo periodo, 2, secondo periodo, e 2bis, secondo e terzo periodo
Nell’articolo 29 capoversi 1, secondo periodo, e 2bis, secondo e terzo periodo LRD si precisa ora che le informazioni scambiate possono contenere anche dati personali de gni di particolare protezione e dati concernenti persone giuridiche degni di particolare protezione. Questa aggiunta chiarisce quali informazioni possono essere scambiate tra le autorità.
L’articolo 29 capoverso 2, secondo periodo LRD menziona ora, oltre ai dati personali degni di particolare protezione, anche i dati concernenti persone giuridiche degni di particolare protezione.
Art. 29b cpv. 1 secondo periodo
Si vedano i commenti all’articolo 29 capoverso 1, secondo periodo, e 2bis, secondo pe riodo LRD al cap. 3.2.40.
Art. 30 cpv. 1, frase introduttiva
La disposizione è integrata con la nozione di dati concernenti persone giuridiche. In merito alla menzione dei dati personali degni di particolare protezione e dei dati con cernenti persone giuridiche degni di particolare protezione si vedano i commenti all’ar ticolo 29 capoversi 1, secondo periodo, e 2bis, secondo periodo, LRD al capitolo 3.2.40.
Art. 31a
Il rinvio, riguardante il trattamento di dati, alla legge federale del 7 ottobre 1994109 sugli Uffici centrali di polizia giudiziaria della Confederazione e i centri comuni di coopera zione di polizia e doganale con altri Stati (LUC) è eliminato poiché non più necessario in quanto le disposizioni sulla protezione dei dati figurano ora nella LRD (art. 35 cpv. 1).
Titolo prima dell’art. 33
Il titolo prima dell’articolo 33 LRD menziona ora espressamente il trattamento di dati concernenti persone giuridiche.
108 RS 955.0
109 RS 360
Art. 33
La disposizione è integrata con un rinvio alle disposizioni dell’AP-LOGA sulla prote zione di dati concernenti persone giuridiche da parte di organi federali. A fini di chia rezza, la disposizione è suddivisa in due capoversi.
Art. 34 cpv. 2 e 3
Analogamente all’articolo 29 capoversi 1, secondo periodo, e 2bis, secondo periodo, LRD (cfr. n. 3.2.40), nell’articolo 34 capoverso 2 si precisa ora che gli intermediari fi nanziari possono trasmettere dati personali e dati concernenti persone giuridiche (in clusi quelli degni di particolare protezione) ai servizi menzionati.
L’articolo 34 capoverso 3 LRD rinvia all’AP-LOGA per quanto riguarda il diritto d’ac cesso delle persone giuridiche.
Art. 35 cpv. 1 e 2, secondo periodo
L’articolo 35 capoverso 1, primo periodo LRD disciplina il trattamento di dati da parte dell’Ufficio di comunicazione e, nella versione vigente, rinvia alla LUC. L’adeguamento della LUC e di diverse disposizioni sulla protezione dei dati nonché la loro trasposizione nella legge federale del 13 giugno 2008110 sui sistemi d’informazione di polizia della Confederazione (LSIP) giustificano l’introduzione nella LRD della base legale consoli data per il trattamento di dati personali e di dati concernenti persone giuridiche. Non vi sono modifiche materiali. L’Ufficio di comunicazione è già abilitato dal diritto vigente a trattare dati degni di particolare protezione sia di persone fisiche che giuridiche.
Inoltre è stato corretto il rinvio alle disposizioni della LSIP sul diritto d’accesso affinché siano considerate tutte le disposizioni applicabili rilevanti (art. 7 e segg.).
L’articolo 35 capoverso 2, secondo periodo, LRD prevede ora che le informazioni scambiate mediante una procedura di richiamo possano contenere dati personali de gni di particolare protezione e dati concernenti persone giuridiche degni di particolare protezione (cfr. i commenti all’articolo 29 capoversi 1, secondo periodo, e 2bis, se condo periodo, LRD al n. 3.2.40).
4 Ripercussioni
4.1 Ripercussioni per la Confederazione
Gli articoli 57qbis e seguenti AP-LOGA garantiscono che gli organi federali dispongano di sufficienti basi legali per il trattamento e la comunicazione di dati concernenti persone giuridiche. L’attuale situazione normativa va mantenuta, per cui in linea di massima non è necessario legiferare separatamente per i trattamenti e le comunicazioni di dati già
110 RS 361
in corso. Sono fatti salvi i trattamenti di dati concernenti persone giuridiche direttamente fondati sul tuttora vigente articolo 57r capoverso 1 LOGA. Per i trattamenti nuovi o futuri occorre esaminare la necessità di legiferare nel singolo caso alla luce delle prescrizioni generali nella LOGA.
Gli articoli 57t – 57w AP-LOGA garantiscono inoltre alle persone giuridiche diversi pre tese in materia di protezione dei dati nei confronti degli organi federali. Nella misura in cui si tratta di diritti attualmente garantiti dalla Costituzione, la concretizzazione nella LOGA non comporta tuttavia nuovi obblighi per gli organi federali.
Per i trattamenti di dati nel quadro di procedure di diritto federale e registri pubblici relativi ai rapporti di diritto privato, l’articolo 57x AP-LOGA contiene una disposizione di coordinamento.
4.2 Ripercussioni per i Cantoni e i Comuni
I Cantoni e i Comuni non sono interessati direttamente dal progetto. Gli arti coli 57qbis segg. AP-LOGA riguardano unicamente gli organi federali (cfr. 2.1.1).
4.3 Ripercussioni sull’economia
Gli articoli 57qbis e seguenti AP-LOGA si prefiggono soltanto di mantenere la vigente situazione normativa relativa al trattamento e alla comunicazione di dati concernenti persone giuridiche da parte di organi federali, senza però creare in linea di massima nuove possibilità in materia. In questo senso la posizione legale delle persone giuridi che non viene modificata. Tuttavia, la concretizzazione nella legge dei diritti di accesso, rettifica e cancellazione chiarisce e in tal modo rafforza la loro posizione nei confronti degli organi federali.
Dato che il presente progetto non riguarda il rapporto tra privati, ossia il trattamento di dati concernenti persone giuridiche da parte di privati, per il resto non sono attese ri percussioni per le imprese e l’economia.
4.4 Ripercussioni sulla società
I nuovi articoli 57t – 57w AP-LOGA rafforzano la posizione legale delle persone giuridi che e contribuiscono in tal modo a migliorare la protezione dei dati (cfr. cap. 2.1.1).
5 Aspetti giuridici
5.1 Costituzionalità
Come rilevato dal Consiglio federale nel suo messaggio sulla revisione totale della legge sulla protezione dei dati,111 la Costituzione federale non contiene alcuna norma che abilita espressamente la Confederazione a legiferare nel settore della protezione dei dati. L’articolo 13 capoverso 2 Cost. sancisce sì il diritto di ognuno all’autodetermi nazione informativa ma si tratta di un diritto fondamentale che non attribuisce nuove competenze alla Confederazione. In virtù dell’articolo 35 capoverso 2 Cost., chi svolge un compito statale deve rispettare i diritti fondamentali e contribuire ad attuarli. In que sto senso il presente progetto legislativo contribuisce ad attuare l’articolo 13 capo verso 2 Cost. Gli articoli 57t – 57w AP-LOGA concretizzano le garanzie di cui all’arti colo 13 capoverso 2 Cost. per le persone giuridiche. Il legislatore federale può inoltre fondarsi sulla competenza non scritta per l’organizzazione e la procedura delle autorità federali quale base costituzionale per emanare disposizioni di diritto pubblico in materia di protezione dei dati per autorità e servizi amministrativi. Secondo la prassi attuale, per quanto riguarda le competenze federali che derivano e dalla natura stessa della Confederazione e per le quali non vi è un’esplicita attribuzione di competenza legisla tiva l’articolo 173 capoverso 2 Cost è menzionato a titolo sostitutivo nell’ingresso.
La presente revisione della LOGA garantisce che gli organi federali continuino a di sporre di basi legali sufficienti ai sensi dell’articolo 36 capoverso 1 Cost. per il tratta mento e la comunicazione di dati concernenti persone giuridiche. Conformemente all’articolo 57sbis AP-LOGA, ad esempio, i dati concernenti persone giuridiche possono continuare a essere trattati e comunicati se sussiste una base legale per il trattamento o la comunicazione di dati personali. Le basi legali settoriali non indicano sempre chia ramente che sono trattati anche i dati concernenti persone giuridiche, ma ciò corri sponde alla situazione normativa attuale.
5.2 Compatibilità con gli impegni internazionali della Svizzera
Gli impegni internazionali della Svizzera nel settore della protezione dei dati non esi gono la protezione dei dati concernenti persone giuridiche, per cui non vi sono impegni internazionali da rispettare.
5.3 Forma dell’atto
Il presente avamprogetto del Consiglio federale comprende una modifica della LOGA e in allegato i necessari adeguamenti di altre leggi federali.
111 Cfr. Messaggio LPD 2017, FF 2017 5939, 6166 seg.
5.4 Subordinazione al freno alle spese
Il presente progetto non contiene né nuove disposizioni in materia di sussidi né nuovi crediti d’impegno o limiti di spesa.
5.5 Delega di competenze legislative
Le seguenti disposizioni dell’AP-LOGA contengono una delega di competenze legisla tive al Consiglio federale:
• articolo 57sbis capoverso 3 AP-LOGA: il Consiglio federale disciplina l’applicabiità delle disposizioni sulla sicurezza dei dati personali ai dati concernenti persone giuri diche;
• articolo 57t capoverso 6 AP-LOGA: in relazione con il diritto d’accesso il Consiglio federale è autorizzati a disciplinare le modalità, la competenza in caso di trattamento congiunto dei dati, i termini nonché le eccezioni alla gratuità.
5.6 Protezione dei dati
Gli articoli 57qbis – 57x AP-LOGA sono disposizioni trasversali sulla protezione dei dati che disciplinano il trattamento di dati concernenti persone giuridiche da parte di organi federali e in particolare precisano la protezione di diritto costituzionale dei dati concer nenti persone giuridiche (cfr. cap. 1.1.3, 1.2 e 2.1.1). La protezione dei dati concernenti persone fisiche non è interessata dalle modifiche della LOGA. Per questo motivo non è necessario effettuare una valutazione d’impatto sulla protezione dei dati conforme mente all’articolo 22 LPD.