La presente legge serve a proteggere le persone dal trattamento illecito di dati personali da parte di organi pubblici.

La presente legge si applica al trattamento di dati personali da parte di organi pubblici.

Se un organo pubblico prende parte alla concorrenza economica e in questo ambito non agisce in veste decisionale, per il trattamento di tali dati sono applicabili le normative della legge federale sulla protezione dei dati[4]. La vigilanza si conforma alla presente legge, tranne nel caso di organi pubblici che prendono parte esclusivamente alla concorrenza economica e in questo ambito agiscono in base al diritto privato.

Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali nonché nelle procedure della giurisdizione amministrativa, ad eccezione delle procedure di prima istanza dinanzi ad autorità amministrative, sono retti dal diritto processuale applicabile.

Le disposizioni divergenti e complementari in altre leggi sono fatte salve a condizione che garantiscano la protezione dei diritti fondamentali di persone i cui dati personali sono oggetto di trattamento da parte di organi pubblici ai sensi della presente legge.

Per dati personali ai sensi della presente legge si intendono tutte le informazioni concernenti una persona fisica identificata o identificabile.

Per profili della personalità si intendono raccolte di dati che permettono di valutare aspetti essenziali della personalità di una persona fisica.

Per profilazione si intende qualsiasi tipo di trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona.

Per trattamento si intende qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati.

Per comunicazione si intende la trasmissione di dati personali o il fatto di renderli accessibili.

Per violazione della sicurezza dei dati si intende la violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate.

Per responsabile del trattamento si intende una terza persona che tratta dati personali per conto dell'organo pubblico titolare del trattamento.

Per la protezione dei dati è responsabile l'organo pubblico che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento.

Se più organi pubblici trattano dati personali di un insieme di dati, disciplinano tra loro le responsabilità e designano l'organo che detiene la responsabilità globale.

Su richiesta, l'organo pubblico titolare del trattamento deve essere in grado di dimostrare nei confronti dell'organo di vigilanza il rispetto delle disposizioni in materia di protezione dei dati.

I dati personali devono essere trattati in modo lecito.

Il trattamento deve essere conforme ai principi della buona fede e della proporzionalità.

I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata; possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo.

I dati personali sono distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento.

Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati. L'adeguatezza delle misure dipende segnatamente dal tipo e dall'entità del trattamento come pure dai rischi derivanti dal trattamento per i diritti fondamentali delle persone interessate.

Laddove una condizione sia necessaria per il trattamento, il consenso della persona interessata è valido soltanto se, dopo debita informazione, è dato in modo libero in riferimento a uno o più trattamenti specifici.

L'organo pubblico titolare del trattamento e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.

I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.

Il Governo emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

Gli organi pubblici hanno il diritto di trattare dati personali soltanto se lo prevede una base legale o se il trattamento è indispensabile all'adempimento di un compito legale.

Il Governo chiede previamente il parere dell'organo di vigilanza.

L'organo pubblico titolare del trattamento presenta un rapporto di valutazione al Governo al più tardi due anni dopo la messa in opera del sistema pilota. Nel rapporto propone la continuazione o l'interruzione del trattamento.

Il trattamento automatizzato di dati personali deve in ogni caso essere interrotto se entro cinque anni dalla messa in opera del sistema pilota non è entrata in vigore una legge che prevede la pertinente base legale.

L'organo pubblico titolare del trattamento deve in particolare accertarsi che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.

Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione dell'organo pubblico titolare del trattamento.

Gli organi pubblici hanno il diritto di comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 7 capoverso 1 fino al capoverso 3.

Gli organi pubblici possono comunicare, su richiesta, cognome, nome, indirizzo e data di nascita di una persona anche se le condizioni del capoverso 1 o del capoverso 2 non sono soddisfatte.

Gli organi pubblici possono rendere accessibili a chiunque dati personali mediante servizi di informazione e comunicazione automatizzati se una base legale prevede la pubblicazione di questi dati oppure se comunicano dati in virtù del capoverso 1. Se cessa l'interesse pubblico a renderli accessibili a chiunque, i dati contenuti nel servizio di informazione e comunicazione automatizzato sono cancellati.

La procedura di accesso a documenti ufficiali si conforma alla legge sul principio di trasparenza[5].

Dati personali possono essere comunicati all'estero soltanto se la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata.

Prima della comunicazione dei dati personali all'estero l'organo pubblico informa l'organo di vigilanza in merito alle garanzie di cui al capoverso 2 lettera a.

L'articolo 5 capoverso 3, l'articolo7 capoverso 2 nonché l'articolo 10 capoverso 1 non sono applicabili.

La sorveglianza con acquisizione di immagini dello spazio pubblico e pubblicamente accessibile può essere disposta da un organo pubblico titolare del diritto d'uso o della sovranità sullo spazio oggetto di sorveglianza.

L'organo pubblico emana una decisione generale in cui vengono definiti lo scopo, la tipologia e la durata della sorveglianza, i luoghi oggetto di sorveglianza, le ubicazioni degli apparecchi di sorveglianza, le misure con le quali viene segnalata la sorveglianza, i diritti d'accesso nonché le misure adottate per garantire la sicurezza dei dati. La decisione generale è valida per al massimo cinque anni.

L'organo pubblico è tenuto a pubblicare in precedenza la decisione generale da emanare. Concede il diritto di essere sentiti prevedendo un termine adeguato per prendere posizione.

Non va concessa una previa protezione giuridica per sorveglianze con acquisizione di immagini riferite a un evento con una durata di al massimo tre mesi e per sorveglianze con acquisizione di immagini a protezione di edifici destinati a usi pubblici che vengono impiegate in relazione a un evento e non registrano dati personali.

L'organo pubblico offre all'archivio competente i dati personali di cui non necessita più secondo le prescrizioni vigenti in materia.

L'organo pubblico titolare del trattamento informa in modo adeguato la persona interessata sulla raccolta di dati personali; tale obbligo sussiste anche se i dati non sono raccolti presso la persona interessata.

Se i dati personali non sono raccolti presso la persona interessata, l'organo pubblico titolare del trattamento fornisce alla persona interessata le informazioni di cui al capoverso 2 entro un mese dalla ricezione dei dati. Se comunica questi dati personali prima della scadenza di detto termine, l'organo pubblico titolare del trattamento fornisce alla persona interessata tali informazioni al più tardi al momento della comunicazione.

L'organo pubblico titolare del trattamento può limitare o differire l'informazione oppure rinunciarvi alle stesse condizioni valide per il diritto d'accesso secondo l'articolo 25.

L'organo pubblico titolare del trattamento effettua previamente una valutazione d'impatto sulla protezione dei dati quando il trattamento può comportare un rischio elevato per i diritti fondamentali della persona interessata. Se prevede più operazioni di trattamento simili può procedere a una valutazione d'impatto comune.

La valutazione d'impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela.

L'organo pubblico titolare del trattamento chiede previamente il parere dell'organo di vigilanza se dalla valutazione d'impatto sulla protezione dei dati emerge che, nonostante i provvedimenti previsti dall'organo pubblico titolare, il trattamento previsto comporta un rischio elevato per i diritti fondamentali della persona interessata.

L'organo di vigilanza comunica entro un termine adeguato all'organo pubblico titolare del trattamento le sue obiezioni contro il trattamento previsto e propone provvedimenti idonei.

L'organo pubblico titolare del trattamento notifica quanto prima all'organo di vigilanza ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per i diritti fondamentali della persona interessata.

Nella notifica l'organo pubblico titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.

Il responsabile del trattamento informa quanto prima l'organo pubblico titolare del trattamento su ogni violazione della sicurezza dei dati.

L'organo pubblico titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l'organo di vigilanza.

Quale comprova del rispetto delle disposizioni sulla protezione dei dati, gli organi pubblici designati dal Governo e i tribunali penali tengono un registro delle rispettive attività di trattamento.

L'organo pubblico notifica i suoi registri all'organo di vigilanza e può pubblicarli.

Ogni persona interessata può domandare all'organo pubblico titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.

I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.

L'organo pubblico titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.

Nessuno può rinunciare preventivamente al diritto d'accesso.

Di norma l'informazione è fornita entro 30 giorni.

La persona interessata che rende verosimile un interesse degno di protezione può opporsi alla comunicazione di determinati dati personali da parte dell'organo pubblico titolare del trattamento.

È fatto salvo l'articolo 11 capoverso 1.

Se non possono essere accertate né l'esattezza né l'inesattezza dei dati personali, l'organo pubblico titolare del trattamento aggiunge agli stessi una menzione che ne indica il carattere contestato.

Se un organo pubblico non accoglie una richiesta in virtù della presente legge, emana una decisione motivata.

Di norma, l'esercizio del diritto d'accesso e del diritto di rettifica di dati personali nonché la domanda di opposizione alla comunicazione di dati personali sono gratuiti.

Se l'organo pubblico non dispone di una regolamentazione propria relativa alla riscossione di una tassa, vale per analogia l'ordinanza sulle spese nelle procedure amministrative.

Per il resto la procedura si conforma alla legge sulla giustizia amministrativa[7].

Se è in corso una procedura ai sensi della legge sul principio di trasparenza[8] concernente l'accesso a documenti ufficiali che contengono dati personali, la persona interessata può, in tale procedura, far valere i diritti che le spettano in virtù dell'articolo 27 in riferimento ai documenti oggetto della procedura di accesso.

L'organo di vigilanza per la protezione dei dati vigila sull'applicazione delle disposizioni sulla protezione dei dati.

L'organo di vigilanza è composto almeno dall'incaricato della protezione dei dati e da un supplente.

Dal profilo professionale l'organo di vigilanza adempie i suoi compiti in maniera autonoma ed indipendente. Nell'adempimento dei suoi compiti l'organo di vigilanza non è vincolato a direttive.

Dal profilo amministrativo l'organo di vigilanza è subordinato alla Cancelleria dello Stato.

Il Governo esercita la vigilanza sull'organo di vigilanza.

I rapporti di lavoro e la previdenza professionale di tutti i collaboratori dell'organo di vigilanza si conformano al diritto cantonale sul personale rispettivamente al diritto cantonale sulla Cassa pensioni, per quanto la presente legge non preveda nulla di diverso.

Il Governo classifica gli impieghi dell'incaricato della protezione dei dati e del suo supplente in classi di funzione secondo il diritto cantonale sul personale.

Il Governo nomina uno specialista in questioni concernenti la protezione dei dati quale incaricato della protezione dei dati nonché un supplente per un mandato di quattro anni. La riconferma è ammessa.

L'incaricato della protezione dei dati e il supplente non possono ricoprire un'altra carica pubblica, esercitare una funzione direttiva in seno a un partito politico o svolgere un'altra attività lavorativa. Il Governo può autorizzare eccezioni sempreché non siano pregiudicati l'adempimento della funzione nonché l'indipendenza e la reputazione.

Se l'incaricato della protezione dei dati e il supplente svolgono la loro attività a tempo parziale, un'altra attività lucrativa deve essere autorizzata dal Governo. L'autorizzazione può essere negata se tale attività lucrativa pregiudica l'adempimento della funzione nonché l'indipendenza e la reputazione.

L'incaricato della protezione dei dati allestisce un proprio preventivo.

Nel messaggio sul preventivo il Governo comunica se la proposta è stata ripresa senza modifiche. Le divergenze devono essere motivate.

Nel quadro del preventivo l'incaricato della protezione dei dati è competente per l'assunzione di impiegati nonché per la disdetta e la riconfigurazione dei rispettivi rapporti di lavoro.

L'organo di vigilanza si attiva d'ufficio o a seguito di notifiche da parte delle persone interessate. L'organo pubblico competente deve essere messo a conoscenza della notifica e deve essere invitato a esprimere un parere.

Indipendentemente da eventuali disposizioni relative all'obbligo di serbare il segreto, l'organo di vigilanza può raccogliere tutte le informazioni relative al trattamento di dati necessarie per l'adempimento del mandato di controllo, prendere visione di tutta la documentazione, svolgere sopralluoghi e farsi spiegare lo svolgimento di trattamenti di dati.

L'organo di vigilanza può formulare raccomandazioni per il trattamento di dati personali. L'organo pubblico al quale è destinata la raccomandazione deve dichiarare all'organo di vigilanza se intende dare seguito alla raccomandazione.

Gli organi pubblici e il responsabile del trattamento sono tenuti a sostenere l'organo di vigilanza nell'adempimento dei suoi compiti. Essi partecipano in particolare all'accertamento della fattispecie.

Se un organo pubblico dichiara di non dare seguito alla raccomandazione dell'organo di vigilanza o non vi dà effettivamente seguito, l'organo di vigilanza può emanare la raccomandazione o parti di essa sotto forma di decisione.

L'organo di vigilanza può emanare una decisione direttamente quando è prevedibile che l'organo pubblico rifiuterà una raccomandazione o non vi darà seguito.

Contro decisioni ai sensi dell'articolo 37 capoverso 1 e capoverso 2 l'organo pubblico può interporre ricorso al Tribunale d'appello. Fa stato la legge sulla giustizia amministrativa[9].

Contro decisioni concernenti il Tribunale d'appello quest'ultimo può interporre ricorso al Tribunale della magistratura.

L'organo di vigilanza riferisce ogni anno al Governo in merito all'entità e ai punti centrali della propria attività nonché a importanti constatazioni e valutazioni.

L'organo di vigilanza consente all'organo pubblico interessato da raccomandazioni e decisioni di prendere posizione per iscritto. Le prese di posizione vengono allegate al rapporto.

Il rapporto viene pubblicato.

Per quanto attiene ai dati personali, l'organo di vigilanza è tenuto al medesimo obbligo di discrezione cui soggiace l'organo pubblico che tratta i dati. L'obbligo di discrezione si protrae oltre la cessazione della funzione.

Fatte salve particolari disposizioni relative all'obbligo di serbare il segreto, l'organo di vigilanza può trasmettere informazioni delle quali è venuto a conoscenza durante l'esercizio della propria funzione soltanto nella misura in cui ciò sia necessario per l'adempimento dei suoi compiti.

Chi in veste di responsabile del trattamento senza autorizzazione esplicita da parte dell'organo pubblico intenzionalmente o per negligenza utilizza per sé stesso o per terzi oppure comunica a terzi dati personali è punito con la multa.

Chi, contrariamente all'obbligo di cui all'articolo 13, intenzionalmente o per negligenza tratta per scopi diversi o trasmette a terzi dati personali che ha ricevuto da un organo pubblico per il trattamento per scopi impersonali è punito con la multa.

I trattamenti di dati che secondo il diritto anteriore si fondano su una base legale sufficiente possono essere proseguiti per due anni in virtù delle basi legali esistenti.

La comprova del rispetto delle disposizioni in materia di protezione dei dati deve essere fornita entro due anni dall'entrata in vigore della presente legge.

L'articolo 19 e l'articolo 20 non sono applicabili ai trattamenti di dati avviati prima dell'entrata in vigore della presente legge, se lo scopo del trattamento o l'attività di trattamento non ha subito cambiamenti sostanziali.