-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Contenuto
- III. Parere dell'IFPDT
- IV. Autoregolamentazione ai sensi dell'art. 40 del GDPR
- Bibliografia
- I materiali
In breve
I codici di condotta sono norme di comportamento emanate da associazioni professionali, industriali e imprenditoriali. Si sono affermati nell'economia come parte della "good corporate governance" come codice di condotta e ora vengono estesi alla protezione dei dati. I requisiti e le disposizioni in materia di protezione dei dati sono concretizzati in codici di condotta specifici per ogni settore. Gli organi federali e le associazioni private sono liberi di redigere i propri codici di condotta.
I codici di condotta possono essere sottoposti all'IFPDT. La DFP verifica la compatibilità dei codici con la FADP. La presentazione è obbligatoria solo se il codice deve essere utilizzato come giustificazione per un'esportazione di dati ai sensi dell'art. 12 LPD. Tuttavia, è generalmente raccomandata per ragioni di diligenza e di responsabilità.
L'art. 11 può essere paragonato all'art. 40 DPA, dove i requisiti e le conseguenze legali dei codici di condotta o "regole di condotta" (art. 40 DPA) sono simili. I codici redatti ai sensi dell'art. 40 GDPR costituiscono quindi un buon punto di riferimento per un'eventuale implementazione in Svizzera. Se si desidera l'approvazione del codice per l'Unione Europea, i suoi requisiti sono autorevoli.
Inoltre, la creazione di codici di condotta promuove l'internazionalizzazione delle aziende e la standardizzazione della protezione dei dati all'interno dei singoli settori. I codici di condotta sono stati introdotti da tempo a livello economico internazionale e sostengono una governance aziendale transnazionale, uniforme ed efficiente. Attraverso un codice di condotta, un'azienda può quindi essere in grado di soddisfare anche i requisiti internazionali, legali e specifici del settore.
I. Aspetti generali
A. Storia
1. I codici di condotta in azienda
1Uno degli obiettivi principali della revisione totale della FADP è stato quello di ampliare e promuovere gli aspetti di autoregolamentazione. Mentre l'art. 11 dell'aDSG prevedeva solo una procedura di certificazione (n. 22 s.), nella nDSG questa viene integrata dallo strumento dei codici di condotta. Questi hanno lo scopo di consentire alle associazioni di concretizzare autonomamente la legislazione sulla protezione dei dati in base alle loro esigenze. Il codice di condotta introduce un concetto economico e aziendale ("codice di condotta") nella legge sulla protezione dei dati. Come parte della cultura della compliance e della "corporate governance", i codici di condotta sono diffusi da tempo nelle aziende. Ora sono previsti e definiti dalla legge per sostenere, concretizzare e guidare i sistemi di gestione della protezione dei dati.
2. Le migliori pratiche
2Per l'attuazione della protezione dei dati, il BBl 2017 cita le cosiddette "best practice" per l'attuazione della protezione dei dati all'interno dell'azienda. "Le best practice sono da tempo diffuse nel campo della corporate governance e descrivono vari modelli o metodi per ottimizzare sistematicamente procedure, processi o pratiche all'interno dell'azienda stessa. Una procedura viene standardizzata per ottenere un processo aziendale ottimale. Il concetto di "buona prassi" è anche esplicitamente menzionato nell'art. 58 cpv. 1 lett. g LADP, secondo il quale la stessa DFP deve sviluppare strumenti di lavoro per garantire la conformità.
3Le buone prassi sono rappresentate anche a livello internazionale; nell'art. 4 cpv. 3 dell'ordinanza sulla certificazione della protezione dei dati (RGPD), si fa riferimento agli standard internazionali esistenti, che costituiscono un punto di riferimento per i sistemi di gestione della protezione dei dati funzionanti. Indirettamente, si fa riferimento anche alle buone prassi e ai codici di condotta. Anche la Nuova Zelanda e l'Argentina fanno riferimento ai codici di condotta come buone pratiche.
4 Anche in Svizzera, nel corso della consultazione, si è discusso se l'IFPDT debba emanare esso stesso delle best practice in materia di protezione dei dati, dal momento che l'IFPDT ha il compito di fornire consulenza agli organi federali e ai privati e, in questo contesto, di fornire loro anche linee guida e strumenti di lavoro. Queste linee guida nel senso di best practice avrebbero quindi influenzato anche i codici di condotta. L'art. 58 cpv. 1 lett. g LADP può essere inteso anche come una competenza a redigere linee guida simili a codici di condotta.
5 Nel corso della consultazione, la comunità imprenditoriale ha criticato in particolare il fatto che la DFP avrebbe oltrepassato i suoi poteri esecutivi, poiché tali linee guida hanno indirettamente un effetto simile a quello di una legge. Per questo motivo, alla fine si è deciso di non concedere all'IFPDT questi poteri aggiuntivi. Si ricorrerà invece alle misure di autoregolamentazione e individualizzate dei codici di condotta, che hanno riscosso un ampio consenso in sede di consultazione. Le "migliori pratiche" potranno poi essere registrate nel codice di condotta stesso.
B. Scopo della norma
6Lo scopo della norma e l'obiettivo del legislatore è quello di creare un quadro di orientamento e di certezza giuridica per gli stakeholder e le associazioni imprenditoriali. Attraverso una misura di autoregolamentazione, un'associazione può concretizzare i requisiti di protezione dei dati e adattarli in modo flessibile ai nuovi sviluppi della protezione dei dati.
1. Promuovere la conformità alla protezione dei dati
7I codici di condotta mirano a promuovere la conformità alla protezione dei dati a due livelli: al primo livello, forniscono un quadro di certezza giuridica per vari gruppi e associazioni di categoria. Le misure di protezione dei dati possono ora essere regolamentate in modo uniforme. La concretizzazione autonoma offre anche la possibilità di adeguamenti specifici per la professione e di flessibilità di fronte agli sviluppi della protezione dei dati. Quest'ultimo aspetto si rivelerà particolarmente importante con l'avanzare del progresso tecnologico. Naturalmente, a fronte di queste libertà, i requisiti della LPD devono essere sempre osservati e rispettati. In questo modo, la nuova legge sulla protezione dei dati può essere attuata meglio a lungo termine. I destinatari devono essere incoraggiati a comportarsi secondo la legge.
8In secondo luogo, la legge solleverà l'IFPDT da una parte del suo carico di lavoro. È evidente che l'adozione di codici da parte dei responsabili del trattamento dei dati porterà a una standardizzazione delle linee guida sulla protezione dei dati nei singoli settori. L'IFPDT può basare qualsiasi verifica di un responsabile del trattamento sul codice già approvato e deve solo controllare che sia rispettato. La ricerca e la compilazione delle norme sulla protezione dei dati sparse in regolamenti e statuti, potenzialmente dispendiose in termini di tempo, non sono più necessarie. I controlli sull'ammissibilità della conformità alla protezione dei dati non sono più selettivi e caso per caso, ma si basano su un insieme uniforme di regole stabilite da un codice di condotta.
2. Autoregolamentazione regolamentata
9Nel contesto della digitalizzazione e della rete globale, i fornitori di servizi intermedi e gli operatori di rete stanno acquisendo un'influenza sempre maggiore sulla raccolta e sul trattamento dei dati personali. Inoltre, di solito il legislatore può reagire a una determinata tecnologia solo dopo che questa è diventata socialmente e giuridicamente rilevante.
10 L'"autoregolamentazione regolamentata" costituisce oggi un ponte tra le norme giuridiche statali (la cosiddetta "hard law") e le linee guida settoriali di diritto privato. I codici di condotta ne sono un esempio lampante. Da un lato, i codici di condotta sono previsti dalla legge e la loro presentazione ha determinate conseguenze legali (n. 30 s.), dall'altro, il legislatore lascia alle associazioni un notevole margine di manovra nel redigerli in base al proprio ambiente. L'esempio del codice di protezione dei dati dell'Associazione tedesca delle assicurazioni, che si basa sull'analogo regolamento del GDPR, illustra come questo sia stato specificamente concepito nella pratica. Esso stabilisce le regole per il trattamento dei dati personali nelle tipiche attività assicurative, come le statistiche, il calcolo delle tariffe e il calcolo dei premi. Vengono inoltre definite in modo più dettagliato le regole per la trasmissione dei dati a varie categorie di persone specifiche del settore, come riassicuratori, intermediari, concorrenti, ecc. Per l'elaborazione dei dati sulla solvibilità, invece, si fa riferimento alla legge senza emanare ulteriori regolamenti.
11Nel quadro fornito dalla legge, le associazioni e gli organi federali possono orientarsi e regolamentare su base settoriale. La conoscenza e la consapevolezza della protezione dei dati sta crescendo all'interno della società. Codici di condotta contestualizzati e precisi portano a una maggiore certezza giuridica. Anche gli standard specificati dovrebbero incontrare una maggiore comprensione e approvazione nel rispettivo settore. Offrire alle aziende queste misure orientate alla pratica è essenziale per una legge sulla protezione dei dati contemporanea, dinamica e, soprattutto, conforme.
II. Contenuto
A. Codice di condotta
1. Un codice di condotta in generale
12Un codice di condotta è un documento formale che contiene una serie di norme. Ha lo scopo di definire in termini concreti il comportamento auspicabile in azienda. È ben rispettato nella cultura aziendale ed è considerato un importante pilastro della buona governance aziendale ed è diventato una parte indispensabile della cultura aziendale.
13 Tuttavia, un codice di condotta non fa parte di un ordinamento giuridico obbligatorio. Le aziende decidono autonomamente se aderire o meno a un codice di condotta. Si tratta di un impegno personale. Una volta che l'azienda si è impegnata, il codice è in linea di principio vincolante. Spetta all'associazione decidere come e se far rispettare il codice. Lo scopo di un codice di questo tipo è quello di guidare il comportamento dei dipendenti e dei dirigenti, sia all'interno dell'azienda che nei confronti di terzi esterni. Ciò si ottiene standardizzando e sistematizzando le azioni quotidiane e le norme di comportamento all'interno e all'esterno dell'azienda.
14 In questo modo, un codice di condotta protegge l'azienda sia internamente che esternamente. All'esterno, i dipendenti sono tutelati nelle loro decisioni e l'azienda può proteggersi meglio dagli attacchi esterni essendo in grado di dimostrare la conformità legale, la conformità e la diligenza attraverso il codice di condotta. All'interno, un codice di condotta contribuisce a creare una cultura aziendale sana e solidale, stabilendo degli standard, ad esempio nell'area della comunicazione, a cui i dipendenti devono attenersi. Ciò rafforza la fiducia tra i dipendenti.
15Per la creazione di un codice di condotta in generale, è utile farsi guidare da domande guida. In particolare, è necessario chiarire i seguenti punti:
Come mi devo comportare?
Cosa mi è permesso fare e cosa è vietato?
Quando devo intervenire sul comportamento di un terzo?
Chi è la mia persona di riferimento in caso di domande, dubbi o incertezze?
Cosa succede in caso di violazione del Codice di Condotta?
16I punti regolamentati rappresentano un'importante informazione per i dipendenti stessi sul comportamento da tenere. È quindi importante formulare un codice di condotta in modo chiaro e comprensibile e adattarlo all'azienda. I requisiti comportamentali corrispondenti si concentrano anche sui rischi specifici dell'azienda o del settore. Un codice di condotta valido viene regolarmente aggiornato e confermato dalla direzione.
2. Codici di condotta per la protezione dei dati
17I codici di condotta per la protezione dei dati fanno riferimento alle norme della FADP, le ampliano e le adattano specificamente al settore interessato. Tra questi vi sono, ad esempio, modelli esemplificativi di dichiarazioni sulla protezione dei dati, trattamento dei dati ad alto rischio in azienda o istruzioni sulla corretta anonimizzazione dei dati. Di seguito è riportato un elenco di domande guida sulle possibili aree di regolamentazione. Queste domande non sono né conclusive né obbligatorie. Tuttavia, forniscono una panoramica di ciò che dovrebbe essere incluso in un codice di condotta specifico per la protezione dei dati.
I dati che sto trattando sono accurati?
Chi è coinvolto nel trattamento dei dati?
Quali dati personali vengono raccolti?
Quali dati sono particolarmente rischiosi?
È possibile garantire adeguatamente la crittografia dei dati?
Gli interessati hanno il diritto di essere informati?
L'azienda dispone di misure tecniche e organizzative per la protezione dei dati?
Presupposti per il trasferimento di dati personali all'estero e per la garanzia delle garanzie della legge svizzera sulla protezione dei dati
Modalità procedurali in caso di conflitto tra interessati e responsabili del trattamento.
18Queste domande guida possono servire come punto di partenza per le associazioni. Tuttavia, per soddisfare le esigenze individuali di un determinato settore, sono necessarie spiegazioni più dettagliate e un'attenta documentazione e riflessione sui dati raccolti quotidianamente in quel settore. Si deve tenere conto delle esigenze delle aziende che fanno parte dell'associazione, cioè dei dipendenti, degli azionisti, dei clienti, ecc.
3. Concretizzazione e autoregolamentazione
19Il codice di condotta di cui all'art. 11 della FADP applica quindi le norme della legge sulla protezione dei dati a una situazione specifica. Le formulazioni generali vengono concretizzate, rese più precise e anche comprensibili ai dipendenti.
20 Deve essere almeno altrettanto rigoroso della FADP, con al massimo requisiti più severi e specifici per il settore. È l'associazione stessa a redigere le specifiche. L'obiettivo è promuovere l'autoregolamentazione e la responsabilità personale. L'intervento dello Stato dovrebbe essere ridotto al minimo. Inoltre, l'autonomia di autoregolamentazione promuove il senso di responsabilità dei responsabili.
21Lo Stato non dovrebbe intervenire attivamente nelle attività dei singoli settori o di altre associazioni, ma lasciare che siano loro a definire le clausole generali del DPA in base alle loro esigenze. Questo porta alla chiarezza della situazione legale e a formulazioni precise.
B. Distinzione dalla certificazione
22L'art. 13 della FADP introduce le certificazioni di protezione dei dati che dimostrano la conformità dei sistemi, dei prodotti e dei servizi di un'azienda alla protezione dei dati. Gli organismi di certificazione agiscono in modo indipendente nel quadro delle direttive dell'IFPDT. Pertanto, a differenza dei codici di condotta, l'IFPDT non esercita un controllo autonomo, ma solo un'influenza indiretta attraverso l'emanazione di norme sul riconoscimento di una certificazione (art. 13 LDP). La VDSZ, che definisce e specifica i requisiti degli organismi di certificazione, funge da guida.
23 Le certificazioni per la protezione dei dati servono a valutare selettivamente la conformità alla protezione dei dati di un sistema o di singole operazioni di trattamento. I codici di condotta, invece, descrivono tutti o la maggior parte dei requisiti delle attività di trattamento di un'azienda, o il modo in cui devono essere gestite in un settore specifico. In altre parole, i codici di condotta forniscono un quadro generale di orientamento, mentre le certificazioni di protezione dei dati confermano la conformità di una singola operazione. Le certificazioni sono fondamentali per l'attuazione pratica della conformità alla protezione dei dati. Mentre i codici di condotta stabiliscono il comportamento desiderato, analogo alla legge in teoria, le certificazioni servono come strumento per l'attuazione delle regole nella vita quotidiana.
24Certificazioni e codice di condotta non si escludono quindi a vicenda. Pertanto, sembra essere utile per un'azienda se, oltre a un codice di condotta, si ottengono certificazioni selettive sulla protezione dei dati da parte di organismi qualificati. Ciò è particolarmente vero se lo specifico trattamento dei dati sembra essere atipico, nuovo o particolarmente rischioso per l'azienda interessata.
III. Parere dell'IFPDT
25Le associazioni professionali, settoriali ed economiche autorizzate dai loro statuti a tutelare gli interessi economici dei loro membri sono legittimate a redigere un codice che può essere sottoposto all'esame dell'IFPDT.
26I singoli responsabili del trattamento o incaricati del trattamento non possono presentare i loro codici di condotta. Ciò è giustificato dal fatto che l'art. 11 DPA mira a una certa standardizzazione all'interno dei singoli settori.
27 Tuttavia, le associazioni e le organizzazioni che hanno una certa rilevanza nazionale o almeno regionale hanno il diritto di presentare i loro codici di condotta, analogamente all'art. 89 CCP. Un'associazione cantonale soddisfa regolarmente questo requisito.
28 La forma giuridica dell'associazione non è in linea di principio determinante. Tuttavia, le società individuali, in particolare le società per azioni, sono escluse in quanto prive di soci. Per lo stesso motivo, le fondazioni non possono presentare domande. Le organizzazioni dei consumatori e le associazioni di persone interessate non hanno il requisito di rappresentare gli interessi economici dei loro membri.
29Gli organismi federali hanno sempre il diritto di presentare candidature. Ciò è dovuto ai numerosi requisiti legali e ai vari compiti imposti ai diversi organi.
A. Portata giuridica di una presentazione
30Secondo l'art. 11 del DPA, la presentazione di un codice di condotta per associazioni e società è in linea di principio facoltativa. Questo principio è mitigato dall'art. 12 DPA. In esso è previsto l'obbligo di sottoporre il codice all'approvazione dell'IFPDT se l'esportazione di dati deve essere giustificata dal codice (art. 12 LDP). Il principio della volontarietà, che si applica sia alla creazione dei codici di condotta sia alla loro presentazione all'IFPDT, viene ora violato da questa costellazione di trasferimenti di dati all'estero. Ciò può essere giustificato da uno standard di sicurezza più elevato, che deriva quasi automaticamente da uno scambio internazionale di dati molto più rischioso. Questo per garantire che il codice di condotta garantisca una sufficiente protezione dei dati. Ciò è sottolineato da un obbligo "vincolante ed esecutivo" per il responsabile del trattamento o l'incaricato del trattamento nel Paese terzo di rispettare il codice di condotta (art. 12 cpv. 3 DPA). Il codice diventa vincolante attraverso misure conformi alla legge applicabile nel rispettivo Paese terzo, come l'inserimento dei codici nello statuto del responsabile del trattamento.
31 A si rivela vantaggioso dal punto di vista della due diligence e della responsabilità all'interno delle aziende rappresentate. Infatti, solo una dichiarazione ufficiale può dimostrare in modo sufficiente che il codice è conforme alla legge sulla protezione dei dati. Un codice di condotta confermato è la prova diretta che l'azienda segue regole chiare in termini di legge sulla protezione dei dati, conformi alla DPA.
32Poiché i codici di condotta sono misure di autoregolamentazione che hanno effetto sui rispettivi settori e professioni per i quali sono stati creati, essi rappresentano una concretizzazione legale per la pratica. Pertanto, è anche possibile che si formino standard di condotta generalmente accettati in un determinato settore. Ciò rende molto più facile per le aziende conformarsi alla protezione dei dati; esse disporrebbero così di una linea guida concreta e di un parametro di riferimento per il proprio settore di attività.
B. Conseguenze del parere
33 L'IFPDT è tenuto a emettere un parere. Il parere non è un ordine, ma un vero e proprio atto e quindi, in linea di principio, non è vincolante. Tuttavia, una conferma da parte dell'IFPDT può avere diverse conseguenze.
34Si può sempre prevedere un parere positivo se il codice prevede il rispetto di tutte le disposizioni della RICA. Lo standard per il parere è quindi la legge. L'IFPDT può fornire al parere suggerimenti per il miglioramento e raccomandazioni, in particolare nel caso di una mancata concretizzazione o di una non corretta applicazione della legge. Ai sensi dell'art. 59 della LDP, il parere è a pagamento per i privati. Ai sensi dell'art. 44 cpv. 1 e 2 LADP, l'onorario è calcolato in linea di principio in base al tempo impiegato, con una tariffa oraria compresa tra 150 e 250 franchi, a seconda della funzione del personale incaricato dell'esecuzione.
35 In seguito a un parere positivo, si può presumere che il comportamento conforme al Codice non comporti sanzioni o misure amministrative, ossia che il trattamento dei dati in conformità al Codice sia conforme alla protezione dei dati.
36 Inoltre, si può rinunciare a una valutazione d'impatto sulla protezione dei dati (DIA) se l'IFPDT emette un parere positivo e il codice di condotta si basa su una DIA ancora aggiornata che tutela i diritti personali e fondamentali della persona interessata (art. 22 cpv. 5 lett. a e b LDP). Un codice di condotta approvato è un'alternativa o un'eccezione all'obbligo di preparare una valutazione d'impatto. Per l'analisi dei rischi di un'azienda, è consigliabile collegare i DSFA e i codici di condotta al fine di minimizzare il più possibile qualsiasi rischio ai sensi della legge sulla protezione dei dati.
37 Le conseguenze di una dichiarazione errata sono ora discutibili. In questo caso, il privato ritiene che il proprio codice di condotta sia conforme alla legge sulla protezione dei dati. Pertanto, il trattamento basato su di esso non comporterà alcuna misura o sanzione amministrativa. Se tuttavia il privato viola la protezione dei dati sulla base di informazioni false, può comunque rischiare sanzioni. Questo perché i requisiti per una valida protezione delle aspettative legittime sono severi. Affinché ciò sia accettato, il codice deve contenere formulazioni sufficientemente specifiche e i fatti accaduti devono essere congruenti con quanto previsto.
38L'art. 11 non prevede il caso in cui associazioni diverse stabiliscano nei loro codici regole diverse per fatti identici o sovrapponibili. A condizione che le bozze concorrenti soddisfino di per sé i requisiti di cui sopra, l'IFPDT darà un parere positivo ai codici. Tuttavia, è libero di evidenziare le contraddizioni nel suo parere, poiché l'unificazione delle norme sulla protezione dei dati è inclusa nello scopo della norma.
39 Potrebbe quindi verificarsi una situazione in cui un responsabile del trattamento, membro di diverse associazioni, si impegni a rispettare codici di condotta contrastanti. Poiché l'IFPDT emetterà un parere positivo solo se i requisiti legali della LPD sono soddisfatti, ciò non lo metterà in conflitto con la legge. Tuttavia, è consigliabile aderire a un solo codice di condotta per mantenere rigorosi i principi interni di protezione dei dati dell'azienda.
IV. Autoregolamentazione ai sensi dell'art. 40 del GDPR
40Il GDPR prevede anche una norma per l'autoregolamentazione e la concretizzazione della protezione dei dati. L'articolo 40 del GDPR parla di "sviluppo di codici di condotta", redatti da associazioni o organizzazioni simili. Anche in questo caso, l'attenzione è rivolta alle misure di autoregolamentazione da parte delle aziende. Le norme devono essere considerate come un'integrazione e non come un sostituto delle disposizioni di legge.
41I requisiti e le conseguenze legali dei codici di condotta e delle regole di condotta sono simili. Pertanto, anche i codici di condotta sono sottoposti a un'autorità di vigilanza per un parere, che viene anch'esso pubblicato. In base agli obblighi generali di responsabilità di cui all'art. 5 cpv. 2 del GDPR, il responsabile del trattamento deve rispettare i principi della legge sulla protezione dei dati e deve anche essere in grado di dimostrarlo. La stesura di regole di condotta facilita questo compito. L'art. 40 del GDPR specifica più precisamente i requisiti dei codici di condotta (par. 2 lett. a-k) e prevede varie procedure per garantire una protezione sicura dei dati in tutti gli Stati membri, anche attraverso atti di esecuzione della Commissione.
42 Il GDPR promette inoltre alle aziende vantaggi e semplificazione della prova se si conformano volontariamente ai codici di condotta approvati.
43 A differenza della Svizzera, un codice di condotta presentato dall'autorità nazionale di controllo al Comitato europeo per la protezione dei dati (art. 63 GDPR) e da questo confermato può avere effetto anche a livello dell'Unione. Le regole di condotta possono essere dichiarate valide in tutta l'Unione mediante una dichiarazione di applicabilità generale (art. 40 cpv. 9 GDPR). Un codice di condotta orientato solo all'autorità di protezione dei dati e presentato solo all'IFPDT non garantisce la conformità alla protezione dei dati a livello transnazionale. Sembrerebbe vantaggioso che le associazioni (svizzere) che operano nell'Unione presentino i loro codici anche agli organi competenti dell'UE o che i responsabili del trattamento adottino codici di condotta già approvati. Questo facilita l'accesso al mercato e allo stesso tempo porta a un aumento dell'efficienza, in quanto si devono spendere meno tempo e risorse per i processi burocratici e normativi. Inoltre, si crea un'armonizzazione degli standard, di cui beneficiano soprattutto le aziende che operano sia in Svizzera che nell'UE.
Bibliografia
Amacher Michel/Hajdini Lorian, Straf- und Strafprozessrecht/Geheime Überwachungsmassnahmen im digitalen Zeitalter, in: Alexandra Dal Molin-Kränzlin/Anne Mirjam Schneuwly/Jasna Stojanovic (Hrsg.), Digitalisierung - Gesellschaft - Recht, Zürich/St. Gallen 2019, S. 386.
Baeriswyl Bruno, Geschichten aus dem Wilden Westen - Der Datenschutz im privatrechtlichen Bereich geht seine eigenen Wege: Der Grundrechtsschutz bleibt auf der Strecke., digma 2011, S. 140 ff.
Drittenbass Joel, Regulierung von autonomen Robotern, Zürich 2021, S. 309 ff.
Gasser Dominik/Rickli Brigitte, Schweizerische Zivilprozessordnung (ZPO), Kurzkommentar, Zürich et al. 2014.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Zürich 2021, S. 315 ff.
Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutzgrundverordnung BDSG, München 2020.
Kunz Laura, Kommentierung zu Art. 11 DSG in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Lepperhoff Niels, Kommentierung zu Art. 40 DS-GVO in: Gola/Heckmann (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., Königswinter et al. 2022.
Paal Boris P./Pauly Daniel A., Datenschutzgrundverordnung, Beck’sche Kompakt-Kommentare, 3. Auf., München 2021.
Portmann Wolfgang/Meier Anne (Hrsg.), Jahrbuch des Schweizerischen Arbeitsrechts 2021, Bern 2021, S. 57 ff. (zit. JAR 2021).
Richter Julia, Soft Law als Brückenbauer zwischen Wirtschaft und dem Schutz der Gesundheit?, Archiv des Völkerrechts 2014/52, S. 545 ff.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020; Stirnimann Sonja, Der Verhaltenskodex aus praxistauglicher Perspektive, EF 10/22 2022, S. 460 ff.
Rothkegel Tobias, Verhaltensregeln und Zertifizierungen, in: Moos Flemming/Schefzig Jens/Arning Marian Alexander (Hrsg.), Praxishandbuch DSGVO, Frankfurt am Main 2021, S. 879 ff.
Wind Christian, Leitfaden Compliance, Zürich et al. 2018, S. 111 ff.
I materiali
Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.