-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Consulente per la protezione dei dati presso il responsabile del trattamento
- III. Consulente per la protezione dei dati presso gli organi federali (art. 10 cpv. 4 LPD)
- Bibliografia
- I Materiali
In breve
L'art. 10 LPD disciplina la nomina e i compiti del consulente per la protezione dei dati, nonché i requisiti per l'utilizzo della deroga di cui all'art. 23 cpv. 4 LPD. L'istituzione del consulente per la protezione dei dati consente alle aziende private di autoregolamentarsi. La nomina di un consulente per la protezione dei dati è volontaria per il responsabile del trattamento privato, tuttavia, in caso di nomina, può beneficiare dell'esenzione che consente di rinunciare alla consultazione dell'IFPDT in caso di valutazione d'impatto sulla protezione dei dati (DIA) a determinate condizioni.
I. Aspetti generali
A. Introduzione
1 L'art. 10 LPD disciplina la nomina e i compiti del consulente per la protezione dei dati, nonché le condizioni per avvalersi della deroga di cui all'art. 23 cpv. 4 LPD. L'art. 23 RGPD specifica i requisiti per un responsabile del trattamento dei dati privati che nomina un consulente per la protezione dei dati. L'istituzione del consulente per la protezione dei dati consente anche alle aziende private di autoregolamentarsi o di nominare una persona che gestisca la protezione dei dati in azienda.
2 Con l'introduzione della nuova disposizione sul consulente per la protezione dei dati nell'art. 10 LPD, la consultazione dell'IFPDT - obbligatoria a determinate condizioni - nell'ambito di una LPD è ora facilitata. Ad esempio, un progetto di trattamento dei dati da parte di responsabili privati che presenta ancora un "rischio elevato" nonostante una LPD non deve più essere sottoposto all'IFPDT se il consulente per la protezione dei dati è già stato consultato (art. 23 cpv. 4 LPD). Un'azienda che ha nominato un consulente per la protezione dei dati può quindi affidarsi esclusivamente alla consulenza interna in materia di protezione dei dati senza dover consultare l'IFPDT.
3 La nomina di un consulente per la protezione dei dati è facoltativa per il responsabile del trattamento privato. In base alla legge precedente, la nomina di un "incaricato della protezione dei dati" (paragonabile nella sua struttura) significava che le aziende non erano più obbligate a notificare all'IFPDT le loro raccolte di dati, che altrimenti avrebbero dovuto essere registrate. Con la revisione, l'obbligo di registrazione per i privati viene generalmente abbandonato.
4 La nomina di un consulente per la protezione dei dati è facoltativa per i responsabili del trattamento dei dati privati, ma è obbligatoria per gli organi federali (art. 10 cpv. 4 LPD in combinato disposto con l'art. 25 e segg. LPD). Il Consiglio federale disciplina la nomina nell'art. 25 LPD e i requisiti e i compiti del consulente per la protezione dei dati degli organi federali nell'art. 26 LPD. L'art. 27 LDP definisce gli obblighi degli organi federali nei confronti del consulente per la protezione dei dati e l'art. 28 LDP definisce il consulente per la protezione dei dati come punto di contatto nei confronti dell'IFPDT.
B. Diritto comparato
1. Obbligo di nominare un responsabile della protezione dei dati ai sensi del DSGVO
5 Con l'entrata in vigore del DSGVO, l'Unione europea ha introdotto l'obbligo di nominare un cosiddetto responsabile della protezione dei dati in determinati casi. L'art. 37(1) del DSGVO elenca tre gruppi di casi in cui è necessario nominare un responsabile della protezione dei dati.
6 In primo luogo, ai sensi dell'art. 37 cpv. 1 let. a DSGVO, tale obbligo sussiste per le autorità pubbliche e gli enti pubblici, ad eccezione dei tribunali, se agiscono nel corso delle loro attività giudiziarie. Si tratta, ad esempio, di autorità edilizie, fornitori di acqua e di energia o aziende di trasporto.
7 Inoltre, l'art. 37 cpv. 1 DSGVO alla lettera b impone l'obbligo di designazione se l'attività principale del responsabile del trattamento o dell'incaricato del trattamento consiste nell'effettuare operazioni di trattamento che, per la loro natura, il loro ambito di applicazione e/o le loro finalità, richiedono un ampio monitoraggio regolare e sistematico delle persone. Il considerando 97 del DSGVO spiega che l'attività principale di un responsabile del trattamento si riferisce alle "sue attività principali e non al trattamento dei dati personali come attività accessoria". Il Gruppo di lavoro Articolo 29 della Commissione europea ha pubblicato delle linee guida su questo argomento con il WP 243 in relazione ai responsabili della protezione dei dati ("DPO"). Le "attività principali" sono quindi i principali processi lavorativi necessari per raggiungere gli obiettivi del responsabile del trattamento o dell'incaricato del trattamento. Il monitoraggio è "regolare" se è continuo o periodico, e "sistematico" se segue un approccio metodico o organizzato o fa parte di una strategia più ampia. Tra gli esempi vi sono le società di sicurezza private che monitorano centri commerciali e luoghi pubblici, o le app la cui funzionalità principale richiede l'analisi dei dati di localizzazione (ad esempio, le app sportive o di navigazione).
8 Infine, ai sensi dell'art. 37 cpv. 1 DSGVO, vi è l'obbligo di nominare un responsabile della protezione dei dati nei casi in cui l'attività principale del responsabile del trattamento o dell'incaricato del trattamento consista in un trattamento esteso di categorie particolari di dati personali ai sensi dell'art. 9 DSGVO o di dati personali relativi a condanne penali e reati ai sensi dell'art. 10 DSGVO. Il fatto che un trattamento sia esteso ai sensi di questa disposizione deve essere chiarito caso per caso, ad esempio tenendo conto della quantità di dati trattati o del numero di interessati. Esempi sono il trattamento dei dati dei pazienti nell'ambito dell'ordinaria attività di un ospedale o il trattamento dei dati dei clienti nell'ambito dell'ordinaria attività di una compagnia di assicurazioni.
2. Obbligo di nominare un responsabile della protezione dei dati in base alle normative specifiche del paese.
9 Le normative nazionali possono prevedere disposizioni più ampie in base alle quali deve essere nominato un responsabile della protezione dei dati. Ad esempio, la legge federale tedesca sulla protezione dei dati (BDSG) prevede l'obbligo di nominare un responsabile della protezione dei dati se almeno 20 dipendenti sono coinvolti in modo permanente nel trattamento automatizzato dei dati personali (sezione 38 (1) frase 1 BDSG). Inoltre, il BDSG menziona due ulteriori scenari nella sezione 38 (1) frase 2 in cui le aziende devono nominare un responsabile della protezione dei dati indipendentemente dal numero di persone coinvolte nel trattamento: Da un lato, nei casi in cui è richiesto un responsabile della protezione dei dati ai sensi dell'art. 35 DSGVO e, dall'altro, nelle costellazioni in cui trattano i dati personali su base commerciale a scopo di trasmissione anonima o per ricerche di mercato o di opinione.
C. Terminologia
10 La precedente LPD utilizzava il termine "responsabile della protezione dei dati" in tedesco e "responsabile per la protezione dei dati" in italiano, mentre la versione francese recita "conseiller à la protection des données", ossia "consulente per la protezione dei dati" (art. 11a cpv. 5 lett. e aDSG). Per evitare confusione con il "responsabile" ai sensi dell'art. 5 lett. i LPD o con il "responsabile", la revisione della LPD ha introdotto il termine "consulente per la protezione dei dati" in tedesco o "consulente per la protezione dei dati" in italiano. Ciò ha uniformato la terminologia dell'art. 10 LPD in tutte e tre le lingue.
11 Allo stesso tempo, è stato anche chiarito che la responsabilità del trattamento dei dati personali in conformità con la legge sulla protezione dei dati non spetta al consulente per la protezione dei dati, ma all'azienda responsabile, il "responsabile del trattamento".
II. Consulente per la protezione dei dati presso il responsabile del trattamento
A. Nomina del consulente per la protezione dei dati (art. 10 cpv. 1 LPD)
1. Natura volontaria della nomina del consulente per la protezione dei dati personali
12 L'art. 10 cpv. 1 LPD stabilisce che la nomina di un consulente per la protezione dei dati è volontaria per i responsabili del trattamento privati. Secondo la LPD, spetta quindi al titolare del trattamento privato nominare o meno un consulente per la protezione dei dati. Tuttavia, un'azienda che ha nominato un consulente per la protezione dei dati ai sensi dell'art. 10 cpv. 3 LPD può, anche se il rischio rimane elevato, affidarsi esclusivamente alla consulenza interna in materia di protezione dei dati dopo aver effettuato una DIA senza dover consultare l'IFPDT (art. 23 cpv. 4 LPDT).
13 Tuttavia, le aziende che operano a livello internazionale devono rispettare le disposizioni del DSGVO e sono quindi spesso obbligate a nominare un responsabile della protezione dei dati ai sensi dell'art. 37 del DSGVO.
14 Inoltre, è nell'interesse di ogni azienda garantire una protezione dei dati efficiente ed efficace all'interno della propria organizzazione in termini di conformità adeguata. Pertanto, è spesso consigliabile nominare almeno un responsabile della protezione dei dati internamente e affidargli compiti di protezione dei dati. Questa persona non è tenuta a soddisfare i requisiti di cui all'art. 10 cpv. 3 LPD. Tuttavia, se non soddisfa i requisiti di cui all'art. 10 cpv. 3, l'azienda non può beneficiare delle agevolazioni di cui all'art. 24 cpv. 3 LDP.
15 Nel caso della designazione di una persona o di un organismo di questo tipo, occorre evitare ambiguità in merito alla qualifica, allo status, alla posizione e al campo di attività. Pertanto, già dalla qualifica all'interno dell'azienda e nei confronti dell'IFPDT e delle persone interessate dovrebbe essere chiaro che non si tratta di un consulente per la protezione dei dati ai sensi dell'art. 10 cpv. 3 LPD. È consigliabile scegliere un'altra denominazione per questa funzione, come unità di protezione dei dati, persona di contatto per la protezione dei dati, coordinatore della protezione dei dati o responsabile della privacy. L'azienda responsabile è libera di assegnare i compiti come ritiene più opportuno. Tuttavia, i compiti devono essere chiaramente definiti in un capitolato. 2.
2. Nomina di un consulente interno o esterno per la protezione dei dati
16 L'azienda responsabile può nominare una persona interna o una persona o un organismo esterno come consulente per la protezione dei dati.
17 Il consulente interno per la protezione dei dati è un dipendente o un dipartimento di un'azienda che si occupa specificamente della protezione dei dati nella rispettiva azienda. Nelle aziende più grandi, essi sono regolarmente affiancati, a un livello gerarchico inferiore, dai cosiddetti responsabili della protezione dei dati o titolari dei dati, che sono responsabili della protezione dei dati nel loro rispettivo settore, come la creazione e la manutenzione del registro delle attività di trattamento (art. 12 LPD).
18 I consulenti esterni per la protezione dei dati, invece, sono persone fisiche o giuridiche che offrono servizi di protezione dei dati (data protection as a service) e agiscono sulla base di un rapporto contrattuale. Di norma, tuttavia, anche in questi casi dovrà essere nominata una persona di riferimento all'interno dell'azienda, che funga da punto di contatto sia per lui che per i dipendenti sulle questioni relative alla protezione dei dati all'interno dell'azienda.
19 Il vantaggio di un consulente interno per la protezione dei dati è che è integrato nell'azienda stessa e ha quindi una migliore visione d'insieme dei processi interni. Inoltre, può controllare e influenzare direttamente che la protezione dei dati sia "vissuta" nella cultura aziendale e non esista solo sulla carta. D'altra parte, può essere svantaggioso essere troppo vicini all'azienda e ai dipendenti, il che può portare a conflitti di interesse. Spesso mancano anche le risorse e il relativo know-how o ci sono conflitti di interesse per garantire che la protezione dei dati sia adeguatamente salvaguardata in azienda. In queste situazioni, è opportuno esternalizzare il mandato del consulente per la protezione dei dati.
3. Nomina di un consulente comune per la protezione dei dati per un gruppo di società
20 È possibile nominare un consulente comune per la protezione dei dati per un gruppo di società. Tuttavia, il consulente comune deve essere facilmente accessibile agli interessati e all'IFPDT come persona di contatto interno attraverso canali di comunicazione adeguati. Deve essere in grado di comunicare efficacemente con gli interessati e di collaborare efficacemente con le autorità di controllo competenti. Tuttavia, non vi è alcun obbligo di risiedere in Svizzera, purché il consulente per la protezione dei dati sia in grado di svolgere efficacemente i propri compiti. Tuttavia, è probabile che sia richiesta la conoscenza di una lingua nazionale.
B. Compiti del consulente per la protezione dei dati (art. 10 cpv. 2)
1. Punto di contatto per l'IFPDT e le altre autorità responsabili della protezione dei dati in Svizzera, nonché per le persone interessate.
21 Il consulente per la protezione dei dati è un importante punto di contatto in relazione alle attività di trattamento dei dati svolte dal titolare del trattamento. È coinvolto nei processi di conformità dell'azienda in materia di protezione dei dati. In questo modo è possibile identificare direttamente una persona di contatto professionale, il che facilita l'esercizio dei diritti da parte dell'IFPDT o degli interessati.
22 Per le questioni relative al trattamento dei dati personali nell'azienda, la persona di contatto funge da punto di contatto per l'IFPDT e per le altre autorità responsabili della protezione dei dati in Svizzera (come la FINMA o le autorità cantonali per la protezione dei dati). Inoltre, funge da punto di contatto per gli interessati, ad esempio in caso di richiesta di informazioni ai sensi degli artt. 25 e segg. LPD.
2. Formazione e consulenza del responsabile del trattamento privato in materia di protezione dei dati (cpv. 2 lett. a)
23 Per garantire un'efficace protezione dei dati nella rispettiva azienda, il consulente per la protezione dei dati deve formare, educare e sensibilizzare il titolare del trattamento privato e i suoi dipendenti. Come minimo, tutti i dipendenti che entrano in contatto con i dati personali dovrebbero essere coinvolti. L'attenzione deve essere rivolta ai principi della legge sulla protezione dei dati (art. 6 LPD). Altri argomenti di formazione sono i requisiti per la divulgazione all'estero e il trattamento di dati personali particolarmente sensibili in azienda. Inoltre, i dipendenti devono essere formati anche sui requisiti di sicurezza dei dati (art. 8 LPD).
24 La formazione dei dipendenti in materia di protezione e sicurezza dei dati da parte del consulente per la protezione dei dati deve essere ripetuta a intervalli regolari, preferibilmente ogni anno. Una regolare sensibilizzazione mantiene il tema della protezione dei dati nella mente dei dipendenti. Inoltre, le innovazioni attuali, ad esempio per quanto riguarda il panorama informatico dell'azienda, possono essere trasmesse ai dipendenti in modo tempestivo.
25 Nel suo ruolo di consulente, il consulente per la protezione dei dati ha il compito di consigliare l'osservanza delle norme sulla protezione dei dati nel trattamento dei dati, identificando i fatti rilevanti della questione della protezione dei dati in ogni caso e indicando decisioni alternative sulla base di questi. 3. Partecipazione all'applicazione della protezione dei dati
3. Partecipazione all'applicazione delle norme sulla protezione dei dati (cpv. 2 lett. b)
26 Un ulteriore compito del consulente per la protezione dei dati è la sua partecipazione all'applicazione delle norme sulla protezione dei dati. Ciò comprende, in particolare, l'assistenza all'emanazione delle condizioni di utilizzo e delle norme sulla protezione dei dati. Inoltre, deve controllare il trattamento dei dati personali e raccomandare misure correttive in caso di violazione delle disposizioni sulla protezione dei dati. Inoltre, deve assistere il responsabile del trattamento privato nella stesura dei DSFA e verificarne l'esecuzione. Inoltre, è importante che il consulente per la protezione dei dati sia percepito come un interlocutore all'interno dell'istituzione e che sia membro dei gruppi di lavoro pertinenti che si occupano delle attività di trattamento dei dati all'interno dell'azienda. Tuttavia, i compiti del consulente per la protezione dei dati del responsabile del trattamento privato non comprendono la segnalazione delle violazioni della sicurezza dei dati all'IFPDT o agli interessati. Anche se spesso può essere opportuno coinvolgere il consulente per la protezione dei dati in caso di violazioni della sicurezza dei dati, ciò non è richiesto dalla legge.
27 Il consulente per la protezione dei dati deve essere inteso come un organo di supporto, ma non come un organo di controllo. Per quanto riguarda la revisione del trattamento dei dati e la raccomandazione di misure correttive, non si tratta quindi di introdurre un obbligo attivo di revisione o di prescrivere controlli sistematici di tutto il trattamento dei dati. Piuttosto, è sufficiente che il responsabile del trattamento dei dati si attivi se, ad esempio, richiede una revisione del trattamento dei dati o se riceve indicazioni di violazione delle norme sulla protezione dei dati. Naturalmente, il titolare del trattamento è libero di chiedere che il consulente per la protezione dei dati verifichi in modo proattivo il trattamento dei dati. Nella pratica è ipotizzabile e comune che il consulente effettui un audit sulla protezione dei dati una volta all'anno.
28 Altri compiti del consulente per la protezione dei dati possono essere:
Sviluppare e verificare l'attuazione delle misure di sicurezza dei dati (art. 8 LPD);
l'esame del trattamento da parte dell'incaricato del trattamento (art. 9 LPD);
elaborazione e verifica degli elenchi delle attività di trattamento (art. 12 LPD);
Esame della divulgazione dei dati all'estero (art. 16 e segg. LPD);
Assistenza nell'adempimento degli obblighi di informazione (art. 19 e segg. LPD);
Sviluppo e implementazione di processi per la gestione delle richieste degli interessati (art. 25 LPD);
Sviluppo di processi appropriati per la salvaguardia dei diritti degli interessati e il rispetto delle norme sulla protezione dei dati (art. 25 e segg. LPD);
condurre valutazioni del rischio (ad esempio, rischio di divulgazione, cancellazione o trattamento non intenzionale/non autorizzato dei dati, perdita di dati o errore tecnico, ecc;
preparare relazioni annuali sulle attività all'attenzione del titolare del trattamento.
4. Excursus: Nessuna responsabilità del consulente per la protezione dei dati
29 Spesso si ritiene che il consulente per la protezione dei dati sia responsabile della protezione dei dati e della loro conformità all'interno dell'azienda. Tuttavia, il consulente per la protezione dei dati non ha alcuna autorità per agire al di là delle sue funzioni di formazione, consulenza e partecipazione, che derivano dalla LPD stessa. L'unico potere decisionale - e quindi anche l'unica responsabilità per il trattamento dei dati personali in conformità alla legge sulla protezione dei dati - spetta all'azienda responsabile. Il consulente per la protezione dei dati deve riferire al livello dirigenziale più alto dell'azienda interessata. La situazione sarebbe diversa solo se il consulente per la protezione dei dati agisse come un organo di fatto e quindi avesse un'influenza decisiva sul processo decisionale del responsabile del trattamento, decidendo i mezzi e le finalità del trattamento. Tuttavia, ciò non sarebbe ammissibile a causa dell'indipendenza professionale e della libertà da istruzioni richieste dall'art. 10 cpv. 3 LPD. Se un consulente per la protezione dei dati decide comunque le finalità e i mezzi del trattamento, è possibile che si configuri una responsabilità (di natura obbligatoria e/o penale).
30 Se il consulente per la protezione dei dati formula raccomandazioni, l'azienda deve assicurarsi che tali raccomandazioni vengano attuate. Se non lo fa e la raccomandazione era giustificata, questo può portare - se l'incidente diventa pubblico - a un notevole danno di immagine per l'azienda. Può anche portare a sanzioni nei confronti di un singolo dipendente. Tuttavia, se la raccomandazione era sbagliata o non corretta, il consulente per la protezione dei dati è responsabile nell'ambito del suo rapporto di lavoro o contrattuale.
C. Requisiti del consulente per la protezione dei dati (cpv. 3)
31 Affinché un'azienda possa essere esonerata dal consultare l'IFPDT se, nonostante l'esecuzione di una DIA, sussiste ancora un rischio elevato (art. 23 cpv. 4 LPD), il consulente per la protezione dei dati deve soddisfare i requisiti di cui all'art. 10 cpv. 3 LPD.
1. Professionalmente indipendente e non vincolato da istruzioni (lett. a)
32 Il consulente per la protezione dei dati deve essere indipendente nelle sue attività nella misura in cui i compiti possono essere svolti indipendentemente dalle istruzioni e non possono essere sanzionati dall'azienda sulla base delle sue attività. Ciò significa che il consulente per la protezione dei dati non può ricevere istruzioni su come procedere in una determinata situazione, ad esempio su quale risultato si debba ottenere, su come si debba dare seguito a un reclamo o se si debba o meno consultare l'IFPDT. Inoltre, non deve essere istruito ad assumere una posizione particolare su una questione di protezione dei dati (ad esempio, in merito all'interpretazione di una legge).
33 Occorre inoltre garantire che il consulente per la protezione dei dati possa esprimere liberamente le proprie raccomandazioni - anche se talvolta impopolari - senza timore di essere penalizzato. Questa indipendenza implica anche che il consulente per la protezione dei dati possa sottoporre questioni importanti ai vertici aziendali (ad esempio, il consiglio di amministrazione di una società per azioni) (art. 23 lett. c LADP). In linea di principio, il consulente per la protezione dei dati dovrebbe quindi riferire anche direttamente alla direzione o addirittura al consiglio di amministrazione del responsabile del trattamento. 2. Incompatibilità con altri incarichi (art. 23 lett. c LADP).
2. Nessuna incompatibilità con altri incarichi (lett. b)
34 Affinché il consulente per la protezione dei dati possa svolgere i propri compiti all'interno dell'azienda, non deve svolgere altre attività che siano incompatibili con i suoi doveri. La consulenza in materia di protezione dei dati deve essere fornita separatamente dai compiti dell'azienda. Deve essere evitato un conflitto di interessi. Ciò potrebbe verificarsi, ad esempio, se il consulente per la protezione dei dati è un membro della direzione, un capo della divisione operativa o un capo del dipartimento IT, o se svolge funzioni nell'ambito della gestione del personale o del sistema informativo (come il responsabile IT). Il consulente per la protezione dei dati non può ricoprire allo stesso tempo una posizione in cui decide lui stesso i mezzi e le finalità delle attività di trattamento dei dati del responsabile del trattamento o ha un interesse in esse. È inoltre consigliabile non mescolare la consulenza in materia di protezione dei dati con altre consulenze e rappresentanze legali.
35 Un possibile conflitto di interessi deve quindi essere evitato in anticipo attraverso la posizione organizzativa del consulente per la protezione dei dati. In linea di principio, occorre assicurarsi che la posizione di consulente per la protezione dei dati non sia associata ad alcuna responsabilità di linea. È quindi consigliabile che un'azienda stabilisca la funzione del consulente per la protezione dei dati come una posizione di staff, ad esempio. È importante che ciò non comporti una funzione esecutiva in un'area aziendale. Un'altra possibilità sarebbe quella di combinare il compito del consulente per la protezione dei dati con quello del responsabile della sicurezza delle informazioni.
36 Poiché nella pratica i conflitti di interesse sono difficilmente evitabili, il consulente per la protezione dei dati - tranne nel caso di aziende più grandi che dispongono di un proprio dipartimento per la protezione dei dati - sarà di norma un fornitore di servizi esterno.
3. Competenze richieste (lett. c)
37 Per poter svolgere i propri compiti in modo indipendente, il consulente per la protezione dei dati deve possedere le necessarie qualifiche professionali. Deve avere conoscenze sufficienti in tutti i settori per poter valutare le raccomandazioni e le misure proposte e valutarle nel quadro della strategia di protezione dei dati dell'azienda.
38 I requisiti comprendono non solo le conoscenze nel campo della protezione e della sicurezza dei dati, ma anche le competenze specifiche dell'azienda. Se dovesse avere conoscenze meno sviluppate in determinate aree, deve almeno avere la possibilità di accedere a tali conoscenze. È richiesta una conoscenza interdisciplinare, soprattutto nei settori dell'informatica e del diritto. I sistemi di gestione devono essere compresi.
4. Pubblicazione dei dati di contatto (lett. d)
39 È responsabilità del titolare del trattamento pubblicare i dati di contatto del consulente per la protezione dei dati e notificarli all'IFPDT. A tal fine, l'IFPDT ha creato un portale di segnalazione. Come per il responsabile del trattamento privato, non è necessario che l'azienda pubblichi il nome del consulente per la protezione dei dati. È sufficiente indicare, ad esempio, l'indirizzo e-mail dell'organo tecnicamente competente. L'organo competente può anche essere un intero team o un'azienda. Il consulente per la protezione dei dati è una persona di contatto importante per quanto riguarda il trattamento dei dati effettuato dall'azienda in questione. La pubblicazione dei dati di contatto garantisce che gli interessati o l'IFPDT possano contattare direttamente il consulente per la protezione dei dati.
40 Non è necessario che l'azienda pubblichi il nome del consulente per la protezione dei dati. È sufficiente indicare, ad esempio, l'indirizzo e-mail dell'ufficio tecnicamente competente.
D. Obblighi del responsabile del trattamento privato (art. 23 DPA)
41 Affinché un'azienda possa essere esonerata dal consultare l'IFPDT se, nonostante l'esecuzione della LPD, sussiste ancora un rischio elevato (art. 23 cpv. 4 LPD), il responsabile del trattamento privato deve anche adempiere a determinati obblighi. Il contenuto di questi obblighi corrisponde alle precedenti disposizioni della legge sulla protezione dei dati; essi sono stati adattati alla nuova LPD solo dal punto di vista terminologico.
1. Messa a disposizione dei mezzi necessari (lett. a)
42 Ai sensi dell'art. 23 lett. a RGPD, il responsabile del trattamento privato deve mettere a disposizione del consulente per la protezione dei dati le risorse necessarie - di solito sotto forma di tempo di lavoro - per consentirgli di svolgere i suoi compiti. Sebbene i requisiti varino a seconda delle dimensioni dell'azienda, il consulente deve sempre disporre di risorse sufficienti per poter svolgere adeguatamente la funzione. Ciò significa che più complesse e/o sensibili sono le operazioni di trattamento dei dati, più risorse devono essere messe a disposizione del consulente per la protezione dei dati.
2. Garantire l'accesso a tutte le informazioni, i documenti, gli elenchi delle attività di trattamento e i dati personali (lett. b)
43 Per poter svolgere la propria funzione, il consulente per la protezione dei dati deve poter accedere, su richiesta, a tutte le informazioni, i documenti, i registri delle attività di trattamento e i dati personali di cui ha bisogno per svolgere i propri compiti. Oltre all'accesso, ciò include anche la conoscenza di tutte le attività di trattamento dei dati svolte all'interno dell'azienda. Ciò richiede un diritto completo di ispezione dei documenti, il diritto di vedere i sistemi di elaborazione dei dati e il diritto di informazione nei confronti di tutte le persone responsabili dell'elaborazione dei dati. Sarebbe consigliabile introdurre un obbligo di segnalazione all'interno dell'azienda, il che significa che tutti i trattamenti dei dati devono essere comunicati al consulente per la protezione dei dati.
44 Tuttavia, l'accesso alle informazioni è limitato in quanto si applica solo ai documenti di cui il consulente per la protezione dei dati ha effettivamente bisogno per svolgere i propri compiti. Ad esempio, se il consulente per la protezione dei dati sta conducendo una revisione generale delle norme interne sulla protezione dei dati o dei processi di trattamento dei dati, di norma non avrà bisogno di accedere ai dati personali.
3. Garantire il diritto di informare la direzione o l'organo amministrativo più alto in casi importanti (lett. c)
45 L'art. 23 lett. c LPD introduce la possibilità per i consulenti per la protezione dei dati di informare la direzione o l'organo amministrativo più alto in casi importanti, ossia l'organo che è anche responsabile del rispetto delle norme sulla protezione dei dati nell'azienda. Questo perché il consulente per la protezione dei dati non ha un potere decisionale proprio, ma è subordinato al livello dirigenziale più alto dell'azienda interessata.
46 La disposizione stabilisce un diritto di escalation per il consulente per la protezione dei dati. Ciò consente al consulente per la protezione dei dati non solo di basarsi sui documenti a sua disposizione durante le verifiche interne della conformità alle disposizioni in materia di protezione dei dati, ma anche di imporre l'acquisizione di ulteriori informazioni e documenti. Inoltre, ciò garantisce che il consulente per la protezione dei dati possa riferire ai massimi organi del responsabile del trattamento o dell'incaricato del trattamento in caso di circostanze complesse e di violazioni particolarmente gravi e prendere una decisione. In pratica, le informazioni ai massimi organi di gestione o amministrativi possono essere fornite anche attraverso relazioni trimestrali e annuali sulle attività del consulente per la protezione dei dati.
III. Consulente per la protezione dei dati presso gli organi federali (art. 10 cpv. 4 LPD)
A. Nomina (art. 25 LPD)
47 Gli organi federali sono tenuti a nominare un consulente per la protezione dei dati nello spazio Schengen sulla base dell'articolo 32 della direttiva (UE) 2016/680. Le regole per la nomina del consulente per la protezione dei dati da parte degli organi federali non si trovano tuttavia nella LPD, ma sono state lasciate al Consiglio federale (art. 10 cpv. 4 LPD).
48 Ai sensi dell'art. 25 della LPD, più organi federali possono nominare congiuntamente un consulente per la protezione dei dati. Questa norma ha lo scopo principale di dare agli organi federali più piccoli o ai dipartimenti con una struttura organizzativa centralizzata la possibilità di sfruttare sinergie sensate e di risparmiare risorse. Gli uffici federali più grandi, invece, dovrebbero nominare autonomamente un consulente per la protezione dei dati. Gli organi federali possono anche nominare più consulenti per la protezione dei dati.
B. Requisiti e compiti (art. 26 LPD)
49 L'art. 26 cpv. 1 LPD contiene i requisiti del consulente per la protezione dei dati: deve disporre delle necessarie conoscenze specialistiche ed esercitare la sua funzione nei confronti dell'organo federale in modo professionalmente indipendente e vincolato da istruzioni. Questo regolamento è analogo a quello previsto dall'art. 10 cpv. 3 LPD per i responsabili del trattamento dei dati privati, motivo per cui si può fare riferimento ad esso.
50 Il ruolo del consulente per la protezione dei dati negli organi federali, che di solito sono gerarchici, è stato rafforzato e istituzionalizzato con la revisione, in modo che possa svolgere efficacemente i suoi compiti. L'indipendenza è espressa dal fatto che il consulente per la protezione dei dati può rivolgersi ai vertici dell'organo federale in casi importanti, come previsto per i privati dall'art. 23 lett. c LADP. L'indipendenza del consulente per la protezione dei dati deve essere garantita soprattutto attraverso misure organizzative: ad esempio, è importante evitare che l'attività di consulente per la protezione dei dati abbia un impatto negativo sul colloquio con i dipendenti.
51 L'art. 26 cpv. 2 LPD contiene i compiti del consulente per la protezione dei dati di un organo federale. Essi sono stati coordinati terminologicamente con la disposizione relativa ai responsabili privati del trattamento dei dati (art. 10 cpv. 2 LPD), motivo per cui si può fare riferimento anche alle dichiarazioni ivi contenute. Partecipa all'applicazione delle norme sulla protezione dei dati, in particolare controllando il trattamento dei dati personali e raccomandando misure correttive (lett. a). Se viene individuata una violazione delle norme sulla protezione dei dati, consiglia il responsabile e ne verifica l'attuazione (lett. b). Inoltre, forma e consiglia i collaboratori dell'organismo federale sulle questioni relative alla protezione dei dati (lett. c). Infine, funge da punto di contatto per le persone interessate (lett. d).
C. Compiti dell'organo federale (art. 27 LDP)
52 L'organo federale concede al consulente per la protezione dei dati l'accesso a tutte le informazioni, i documenti, gli elenchi delle attività di trattamento e i dati personali di cui ha bisogno per adempiere ai suoi compiti (art. 27 cpv. 1 lett. a RPD) e provvede a informarlo di qualsiasi violazione della sicurezza dei dati (art. 27 cpv. 1 lett. b RPD).
53 L'art. 27 cpv. 1 lett. a LADP è quindi identico al regolamento per i responsabili del trattamento privati di cui all'art. 23 lett. b LADP. Si può fare riferimento, mutatis mutandis, alle spiegazioni ivi contenute. Inoltre, tale obbligo si applica a tutte le violazioni della sicurezza dei dati, non solo a quelle che devono essere segnalate all'IFPDT ai sensi dell'art. 24 LPD. L'informazione sulle violazioni della sicurezza dei dati ai sensi dell'art. 27 cpv. 1 lett. b LADP può essere garantita, ad esempio, dall'organo federale che obbliga i collaboratori, mediante istruzioni, a informare il consulente per la protezione dei dati in caso di violazione della sicurezza dei dati. Il consulente per la protezione dei dati consiglia il titolare del trattamento sulla questione se la violazione è soggetta all'obbligo di segnalazione ai sensi dell'art. 24 della LADP. L'organo federale si assicura che venga informato della violazione dei dati. Tuttavia, la notifica stessa è di competenza dell'organo federale. L'organo federale decide se e quali violazioni vengono segnalate all'IFPDT.
54 Infine, l'organo federale pubblica su Internet i dati di contatto del consulente per la protezione dei dati e informa l'IFPDT (art. 27 cpv. 2 LDP). Come per il responsabile del trattamento privato, non è necessario che l'azienda pubblichi il nome del consulente per la protezione dei dati. È sufficiente indicare, ad esempio, l'indirizzo e-mail dell'organo tecnicamente competente. L'organo competente può anche essere un intero team o un'azienda.
D. Punto di contatto dell'IFPDT (art. 28 IFPDT)
55 Il consulente per la protezione dei dati funge da punto di contatto dell'IFPDT per le questioni relative al trattamento dei dati personali da parte dell'organo federale interessato. Poiché dispone delle competenze e delle conoscenze interne necessarie, è quindi il referente tecnico diretto dell'IFPDT.
Bibliografia
Frey Marco, Kommentierung zu Art. 11a DSG (altes DSG), in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG-Bearbeiter:in).
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020 (zit. Rosenthal, Jusletter 2020).
Rosenthal, David/Jöhri, Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. HK-Rosenthal/Jöhri).
Ehrensberger Jennifer/Bersler Urs, Kommentierung zu Art. 11a DSG (altes DSG), In: von Maurer-Lambrou, Urs/Blechta, Gabor-Paul (HrsG.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014 (zit. BK-Bearbeiter:in).
I Materiali
Leitlinien in Bezug auf Datenschutzbeauftragte («DSB») der Datenschutzgruppe nach Art. 29 der Richtlinie 95/46/EG, angenommen am 13. Dezember 2016, zuletzt überarbeitet und angenommen am 5.4.2017.