-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Contenuto
- III. Confronto con il diritto dell'UE
- Bibliografia
- I materiali
In breve
L'art. 12 della FADP descrive l'obbligo per gli organi federali e i responsabili del trattamento privati e per gli incaricati del trattamento di tenere un registro delle attività di trattamento. I dati devono essere registrati durante tutto il loro ciclo di vita nell'organizzazione. Un registro contiene almeno
l'identità delle persone responsabili
le categorie di dati personali trattati
lo scopo del trattamento
se possibile, il periodo di conservazione o almeno i criteri per determinarlo
i destinatari dei dati trattati
le misure da adottare in conformità con la legge sulla protezione dei dati
i requisiti per la divulgazione dei dati all'estero
L'elenco non comprende le categorie di dati personali che l'azienda non tratta affatto e le garanzie per la divulgazione dei dati all'estero se non viene effettuata l'esportazione dei dati. Anche i dati che dovrebbero essere ottenuti prima solo con uno sforzo sproporzionato.
Infine, le aziende con meno di 250 dipendenti (PMI) sono legalmente esentate dall'obbligo di creare e mantenere un elenco dei trattamenti per motivi amministrativi. Poiché un registro delle attività di trattamento serve a chiarire internamente i dati trattati e a rispettare gli obblighi di responsabilità e di due diligence, si raccomanda a ogni azienda di tenere un registro.
Il registro delle attività di trattamento, che non è vincolato ad alcun requisito formale, viene registrato all'interno dell'azienda e offre, tra l'altro, la possibilità di un'autoregolamentazione regolamentata, oltre a codici di condotta e certificazioni. Da un lato, l'azienda acquisisce chiarezza sui dati che elabora e, dall'altro, l'IFPDT, a partire dall'entrata in vigore della revisione della LPD, sarà guidato dagli elenchi di trattamento dei dati per verificare la conformità alla protezione dei dati.
I. Aspetti generali
A. Panoramica
1 Secondo le disposizioni della legge sulla protezione dei dati (LPD), un repertorio delle attività di trattamento è uno strumento importante per garantire il rispetto delle disposizioni della legge sulla protezione dei dati. Esso fornisce una panoramica sistematica delle attività di trattamento dei dati e costituisce un obbligo sia per gli organi federali che per i privati. Fornisce informazioni sull'origine e sullo scopo dei dati, sugli aspetti della conservazione, nonché sulle misure di sicurezza applicate e sul trasferimento dei dati, eventualmente all'estero. Lo standard sostituisce l'art. 11a aDSG in combinazione con l'art. 11 VDSG. L'art. 11 VDSG specifica e amplia l'obbligo di tenere un registro delle raccolte di dati. Le parti responsabili devono determinare autonomamente e documentare sistematicamente i dati raccolti internamente. Il registro pone quindi maggiore attenzione all'obbligo di documentazione e alle attività di trattamento dei dati. Tuttavia, il registro delle attività di trattamento deve essere distinto dal registro delle raccolte di dati e presenta ulteriori requisiti di contenuto (cfr. n. 6).
2 Grazie al registro delle attività di trattamento, le organizzazioni dispongono di informazioni importanti sui loro dati digitali, hanno una panoramica chiara e aggiornata. Ciò va a vantaggio sia dell'IFPDT, il cui esame della conformità alla protezione dei dati di un'azienda è semplificato, sia dell'azienda stessa.
B. Storia delle origini
3 Ai sensi dell'art. 11a aDSG, il "Commissario", ossia l'IFPDT, teneva un registro delle raccolte di dati ("Registro") accessibile al pubblico. Mentre gli organi federali dovevano registrare tutte le raccolte di dati presso l'IFPDT (art. 11a cpv. 1 aDSG), i privati erano tenuti a registrarsi solo se trasmettevano regolarmente dati personali a terzi (art. 11a cpv. 3 lett. b aDSG) o se trattavano profili della personalità o dati che richiedevano una protezione speciale (art. 11a cpv. 3 lett. aDSG). L'art. 11a cpv. 5 LDSG esonera dall'obbligo di notifica all'IFPDT diversi titolari di raccolte di dati, tra cui i titolari di una certificazione di protezione dei dati o le aziende con un responsabile della protezione dei dati.
4 L'art. 11a LADP non specificava di per sé i requisiti per un registro delle raccolte di dati, ma lo faceva l'art. 11 LADP. Secondo questo articolo, il registro deve contenere la descrizione delle strutture organizzative interne e delle procedure di elaborazione e controllo dei dati. Dovevano essere elencate anche le prove relative alla pianificazione, all'implementazione e al funzionamento della raccolta di dati, nonché le risorse informatiche utilizzate. Queste specifiche si applicavano solo al trattamento dei dati soggetti a rendicontazione.
5 Tuttavia, il termine "registro delle attività di trattamento" va oltre una breve panoramica dei dati raccolti. Include anche informazioni su cosa viene fatto con i dati, come vengono raccolti e dove vengono trasmessi. I registri si sovrappongono a un repertorio delle attività di trattamento in termini di contenuto, ma si concentrano in modo più approfondito sulla struttura interna, sulla pianificazione e sull'amministrazione dell'azienda. Nell'attuale FADP, il termine registro delle raccolte di dati non è più presente, in quanto è stato sostituito dall'elenco delle attività di trattamento.
6 L'art. 12 della LPD è più completo e richiede informazioni aggiuntive quali l'identità del responsabile del trattamento, lo scopo del trattamento, la categorizzazione dei dati personali trattati e dei destinatari, il periodo di conservazione e le misure concrete per garantire la sicurezza dei dati. Sebbene vi siano molte sovrapposizioni con l'art. 11 della legge sulla protezione dei dati, i requisiti sono molto più dettagliati, il che dovrebbe anche semplificare la creazione di un elenco. Anche il precedente obbligo generale di documentazione, ossia l'obbligo di segnalare le raccolte di dati, viene sostituito dall'elenco dei trattamenti.
7Con l'entrata in vigore della nuova FADP, i privati e gli organi federali devono redigere un elenco delle attività di trattamento dei dati ai sensi dell'art. 12 della FADP. Tuttavia, sono solo gli organi federali a dover presentare il proprio elenco dei trattamenti all'IFPDT (art. 12 cpv. 4 RPDT). L'obbligo di tenere un registro, tuttavia, si applica anche ai privati. L'elenco delle attività di trattamento consente di controllare meglio i propri dati. L'elenco delle attività di trattamento è ora classificato nelle disposizioni generali sulla protezione dei dati.
C. Scopo della norma
8 L'art. 12 della FADP è un obbligo per i responsabili e gli incaricati del trattamento. Lo scopo della norma è aumentare la trasparenza nel trattamento dei dati. Ciò è garantito dai requisiti più severi per l'elenco (art. 12 LADP) rispetto alla precedente controparte, il registro delle raccolte di dati (art. 11a aLADP). Grazie a informazioni minime precise, i responsabili del trattamento dei dati hanno un quadro di orientamento chiaro per quanto riguarda i dati da inserire in un elenco. In questo modo, il trattamento dei dati viene registrato in modo standardizzato. Per il titolare del trattamento diventa più facile tenere traccia dei dati raccolti all'interno dell'azienda. Da un lato, può adempiere adeguatamente al dovere di informazione e, dall'altro, rispettare in modo soddisfacente il diritto all'informazione.
9 Una raccolta sistematica di dati e informazioni è generalmente vantaggiosa per le aziende, non solo nel settore dei dati personali. Un registro dei materiali o un registro delle informazioni soggette a obbligo di riservatezza consentono all'azienda di avere sempre una panoramica aggiornata, corretta e semplificata del flusso interno di informazioni. Anche in questo caso vale il principio secondo cui la raccolta e la compilazione sistematica dei dati costituiscono un importante patrimonio digitale.
10 Lo standard rappresenta anche una semplificazione per l'FDPIC. L'FDPIC beneficia della standardizzazione dell'elenco, in quanto tutte le categorizzazioni o le modifiche pertinenti sono ora direttamente disponibili per l'FDPIC. In futuro, l'FDPIC chiederà l'elenco prima di tutto durante un'indagine. Tuttavia, la mancata tenuta dell'elenco non comporta una sanzione immediata. Tuttavia, fornire informazioni false o rifiutarsi di collaborare a un'indagine dell'IFPDT rimane un reato punibile, come già previsto dalla legge attuale.
II. Contenuto
A. Contenuto di un repertorio di trattamento
11 L'art. 12 prevede alcuni requisiti minimi per il contenuto di questo repertorio, come segue:
Chi è il responsabile, art. 12 cpv. 2 lett. a LADP.
Il responsabile è la persona che decide le finalità e i mezzi del trattamento dei dati. Se ci sono più responsabili del trattamento, devono essere elencati tutti.
Qual è lo scopo del trattamento?, art. 12 cpv. 2 lett. b LADP.
La finalità può variare; il fattore decisivo è l'obiettivo perseguito con il trattamento dei dati. Di norma, la persona che avvia il trattamento decide anche in merito alla sua finalità.
Quali persone e quali tipi di dati personali vengono trattati (categorizzazione), art. 12 cpv. 2 lett. c LADP.
Le categorie di persone interessate sono raggruppamenti tipizzati come "consumatori" o "dipendenti". Le categorie di "dati personali trattati" si riferiscono ai tipi di dati trattati, come i dati personali che richiedono una protezione speciale.
Chi è il destinatario dei dati trattati, art. 12 cpv. 2 lett. d LADP.
Anche i destinatari dei dati personali trattati sono suddivisi in categorie, ad esempio le autorità di controllo.
Per quanto tempo vengono conservati i dati personali o come si può determinare tale durata?, art. 12 cpv. 2 lett. e LADP.
Ciò riguarda in particolare i periodi di archiviazione dei dati raccolti. Se non esiste una base giuridica o uno scopo definito per la conservazione dei dati personali raccolti, questi devono essere cancellati o resi anonimi (art. 6 cpv. 4 LADP).
Quali misure vengono adottate per garantire la sicurezza dei dati ai sensi dell'art. 8 e dell'art. 12 cpv. 2 lett. f LADP?
Si fa riferimento ai principi fondamentali della protezione e della sicurezza dei dati. Questi includono in particolare l'integrità dei dati raccolti, misure tecniche e organizzative adeguate e la "privacy by default" e la "privacy by design".
Quali sono le misure da adottare per la divulgazione dei dati all'estero?, art. 12 cpv. 2 lett. g LADP.
Oltre alle misure legali (cfr. art. 16 e segg. LADP), queste comprendono anche clausole standard concordate contrattualmente e standard settoriali definiti a livello internazionale (cfr. a questo proposito l'art. 11 LADP in combinato disposto con l'art. 12 LPD).
12 L'art. 12 è molto preciso e dettagliato, ma lascia comunque un certo grado di libertà. Ad esempio, l'elenco dovrebbe contenere solo informazioni il cui contenuto è sufficientemente certo. La descrizione deve essere fornita solo se le attività possono essere descritte in termini sufficientemente concreti. A volte non è possibile specificare l'esatto periodo di conservazione. Pertanto, è necessario specificare solo i criteri per il periodo di conservazione. A causa di questa ampia formulazione, sarebbe auspicabile l'elaborazione di linee guida specifiche per il settore, che potrebbero essere applicate uniformemente nei rispettivi settori. Ciò faciliterebbe il lavoro sia delle aziende che dell'FDPIC. L'elaborazione di linee guida settoriali che possano essere applicate in modo uniforme nei rispettivi settori potrebbe rendere più concreta questa ampia formulazione. Ciò aiuterebbe sia i responsabili che l'FDPIC a facilitare il loro lavoro. Le linee guida fornirebbero istruzioni chiare ai responsabili e li aiuterebbero a comprendere e attuare meglio i requisiti di protezione dei dati nel loro settore. Allo stesso tempo, consentirebbero all'IFPDT di effettuare una revisione e un'applicazione più coerente della protezione dei dati nei diversi settori.
B. Forma dell'elenco
13 L'articolo 12 della LPD non disciplina nel dettaglio il modo in cui le attività di trattamento dei dati sono sistematizzate nell'elenco delle attività di trattamento. Non ci sono nemmeno requisiti formali. Un elenco può essere un semplice documento Word o Excel o una soluzione informatica complessa. L'elenco può essere tenuto in modo decentralizzato e la sua manutenzione può anche essere delegata.
C. Obblighi dei privati
1. Obblighi di legge
14In linea di principio, tutte le aziende e gli altri soggetti privati responsabili sono obbligati a tenere un registro delle attività di trattamento. Ciò deriva dal fatto che quasi tutti i privati raccolgono e trattano dati personali nell'ambito delle loro attività commerciali o senza scopo di lucro.
2. L'incaricato del trattamento
15Il registro delle attività di trattamento deve essere tenuto dal responsabile del trattamento e dall'incaricato del trattamento (art. 12 cpv. 1 LADP). L'incaricato del trattamento è una persona che tratta i dati per conto del responsabile del trattamento (art. 5 lett. k LADP). Un esempio è il fornitore di servizi informatici che ospita un sito web o un dipendente che prende i dati di contatto dei clienti. Il responsabile del trattamento dei dati, invece, è la persona che decide le finalità e i mezzi del trattamento dei dati (art. 5 lett. j LADP).
16 Ogni azienda è l'unica responsabile dei dati trattati internamente. Un incaricato del trattamento non è obbligato a tenere un elenco dei trattamenti per il responsabile del trattamento. I dati del responsabile del trattamento, detto anche "incaricato del trattamento", non devono essere elencati. È solo responsabilità del responsabile del trattamento stesso, che è responsabile dei dati raccolti, ad esempio i dati dei clienti. Altrimenti, ciò porterebbe a una raccolta eccessiva di dati personali. Per le aziende sarebbe quasi impossibile far rispettare questo requisito. Sarebbe necessario raccogliere la totalità dei dati personali del cliente per ogni servizio. Ci si aspetterebbe una proliferazione di elenchi e la conseguente perdita di una visione d'insieme dei dati raccolti. La directory dell'incaricato del trattamento contiene quindi meno informazioni di quella del responsabile del trattamento. D'altra parte, questo elenco crea trasparenza nel rapporto contrattuale tra il responsabile del trattamento e l'incaricato del trattamento, stabilendo che entrambe le parti devono essere chiaramente identificabili. Le condizioni quadro pertinenti sono stabilite dall'art. 9 della FADP, che chiarisce il trattamento dei dati da parte di un incaricato.
3. Eccezioni legali: PMI
17 L'art. 12 cpv. 5, prevede un'eccezione per le aziende che impiegano meno di 250 dipendenti e non trattano dati ad alto rischio. Queste sono esenti dall'obbligo di tenere un registro delle attività di trattamento. Le attività di trattamento dei dati ad alto rischio sono quelle che con maggiore probabilità possono comportare una violazione della personalità (violazione della privacy, dati medici, orientamento sessuale, confessione religiosa ecc.) Questa eccezione è menzionata anche nell'art. 24 dell'ordinanza sulla protezione dei dati (DPA). Tuttavia, l'art. 24 non contiene disposizioni più dettagliate sull'eccezione legale. Si limita a ribadire che le PMI sono esenti dall'obbligo di repertorio, a meno che non trattino su larga scala dati personali che richiedono una protezione speciale (lett. a) o non effettuino profilazioni ad alto rischio (lett. b). Il termine "rischio elevato" è utilizzato in modo analogo a quello dell'articolo 22 cpv. 2,della LDA.
18Lo scopo di questa eccezione è quello di alleggerire l'onere amministrativo delle imprese più piccole. Non si tiene conto solo delle dimensioni dell'azienda, ma anche dei dati trattati e dei rischi ad essi associati. Anche le PMI sono interessate dalle sanzioni previste dalla FADP e alle PMI è richiesto il rispetto dei principi di protezione dei dati. Ciò comporta un obbligo di documentazione indiretto per le aziende, anche se non sono obbligate per legge a creare un repertorio dei trattamenti. Infatti, l'IFPDT si occuperà delle misure di protezione dei dati all'interno di una PMI indipendentemente dall'esistenza o meno di un elenco delle attività di trattamento. La PMI deve quindi presentare comunque i dati trattati. Un registro offre all'azienda una migliore protezione in termini di responsabilità e di due diligence.
19Se la metà di tutti i dati trattati sono ad alto rischio, rientrano nei requisiti degli obblighi di documentazione rafforzata, ma potrebbero comunque non essere legalmente obbligati a essere elencati in un elenco delle attività di trattamento. La responsabilità e il rischio di eventuali violazioni della protezione dei dati sono sempre a carico del titolare del trattamento. Si raccomanda pertanto la creazione di un elenco delle attività di trattamento se viene effettuato un trattamento di dati ad alto rischio, indipendentemente dalla portata.
4. Requisiti contrattuali
20 È anche possibile prevedere la tenuta di un registro per contratto. Sebbene un tale obbligo sia di natura dispositiva, potrebbe assumere un'importanza maggiore a seconda del settore. Tenendo un registro dei trattamenti, un'azienda può proteggersi non solo dall'IFPDT e dai requisiti di legge, ma anche da altre aziende, che possono essere sia partner che clienti. Se un responsabile del trattamento sa come l'incaricato del trattamento elabora e archivia i dati e con quali mezzi, promuove la fiducia e la cooperazione tra le due parti. Inoltre, l'applicazione di una prassi in cui gli elenchi sono concordati contrattualmente consente l'elaborazione indipendente di elenchi che sono adattati ai rispettivi settori economici e rispondono alle sfide specifiche della protezione dei dati nelle aree di lavoro interessate.
21 Nel contrattare gli elenchi, è necessario tenere conto di alcuni aspetti e possono sorgere diversi ostacoli. L'attuazione di questa prassi consentirà alle aziende di creare autonomamente elenchi che soddisfino i requisiti specifici e le sfide in materia di protezione dei dati dei rispettivi settori economici.
22Uno degli ostacoli consiste nel redigere i contratti in modo da soddisfare i requisiti precisi della legge sulla protezione dei dati. È necessario stipulare accordi chiari sul tipo di dati raccolti, sulle finalità del trattamento dei dati, sul periodo di conservazione, sulle misure di sicurezza e su altri aspetti rilevanti della protezione dei dati. È importante garantire che gli accordi contrattuali siano conformi alla legge e che i diritti degli interessati siano adeguatamente tutelati.
23Inoltre, l'elaborazione di elenchi settoriali può essere impegnativa. I diversi settori economici hanno requisiti diversi in materia di protezione dei dati e aree di lavoro specifiche che possono presentare sfide specifiche in materia di protezione dei dati. Le aziende devono essere in grado di identificare e incorporare questi requisiti specifici nei loro elenchi, al fine di rispettare le normative sulla protezione dei dati.
24La collaborazione tra le parti coinvolte, come le aziende, gli esperti di protezione dei dati e, se del caso, le autorità di vigilanza, può essere utile per implementare con successo gli accordi contrattuali e l'elaborazione di elenchi settoriali specifici.
D. Obblighi degli organi federali (art. 12 cpv. 4 LDP)
25Secondo l'art. 5 lett. i LADP, gli organi federali non sono solo le autorità o gli organi amministrativi centrali, ma qualsiasi autorità o servizio della Confederazione, nonché le persone che svolgono compiti pubblici della Confederazione.
26 Gli organi federali hanno l'obbligo, ai sensi dell'art. 12 cpv. 4 LDP, di comunicare all'IFPDT i loro elenchi di attività di trattamento. Lo stesso IFPDT tiene un registro delle attività di trattamento degli organi federali ai sensi dell'art. 56 LDP, che viene pubblicato.
27Anche prima della revisione della legge sulla protezione dei dati, gli organi federali erano tenuti a registrare le strutture organizzative e le procedure di trattamento dei dati in un registro delle raccolte di dati. Questo includeva implicitamente il nome e l'indirizzo dell'organo federale responsabile, la designazione della raccolta di dati, l'organo responsabile del diritto di accesso, nonché la base giuridica e lo scopo. Venivano registrate le categorie di dati personali trattati, i destinatari e i partecipanti alla raccolta di dati (art. 11a della vecchia FADP). Anche i registri delle raccolte di dati dovevano essere registrati presso l'IFPDT ai sensi dell'art. 11a aDSG. In generale, gli organi federali erano soggetti a requisiti più severi. Il Consiglio federale aveva inoltre la facoltà di stabilire norme speciali per la protezione dei dati (art. 16 cpv. 2 aDSG).
28Non vi sono quindi cambiamenti significativi negli obblighi degli organi federali. Piuttosto, l'art. 12 LADP estende ai privati gli obblighi che in precedenza si applicavano solo agli organi federali. Gli organismi federali devono quindi tenere un registro delle attività di trattamento, senza eccezioni. Un registro già esistente e tenuto in modo accurato e aggiornato soddisfa già molti dei requisiti di un registro, motivo per cui spesso sono necessarie poche o nessuna modifica per attuare l'attuale legge sulla protezione dei dati. Il cambiamento più significativo è che invece delle raccolte di dati, il trattamento dei dati è ora suddiviso.
E. Attuazione della conformità alla protezione dei dati
29In linea di principio, il registro delle attività di trattamento non è destinato agli interessati, ma serve principalmente al controllo interno di un'azienda e alle indagini dell'IFPDT. Redigendo un registro delle attività di trattamento, i responsabili del trattamento ottengono chiarezza sulle proprie attività di trattamento dei dati. La tenuta del registro semplifica l'attuazione di alcuni obblighi e l'adempimento dei diritti degli interessati, come il diritto all'informazione (art. 25 LDP).
1. Obblighi di informazione
30L'art. 19 della FADP prevede un obbligo di informazione per il responsabile del trattamento e l'incaricato del trattamento quando ottengono dati personali. Devono essere comunicati almeno l'identità e i dati di contatto del responsabile del trattamento, lo scopo del trattamento e, se del caso, i destinatari dei dati personali ottenuti. Con la revisione della protezione dei dati, l'obbligo di informazione è stato generalmente esteso. Prima della revisione, si applicava solo all'acquisizione di dati particolarmente sensibili o di profili della personalità, mentre ora si applica a qualsiasi acquisizione di dati personali.
31 Con un elenco delle attività di trattamento, la persona interessata viene informata in modo efficace e uniforme sulla raccolta dei propri dati. Inoltre, è possibile comunicare con precisione le finalità, i mezzi e, in determinate circostanze, il periodo di conservazione, poiché queste informazioni sono già contenute nell'elenco. In questo senso, l'elenco rappresenta uno sgravio amministrativo per le aziende, grazie al quale i processi informativi esterni nei confronti degli interessati o dell'IFPDT possono essere progettati in modo più semplice ed efficiente. Questa progettazione più efficiente presenta diversi vantaggi. In primo luogo, il responsabile riduce l'onere amministrativo, poiché non deve più creare e inviare una notifica separata per ogni singolo trattamento dei dati. Può invece fare riferimento all'elenco, che contiene già tutte le informazioni necessarie. In secondo luogo, la comunicazione con gli interessati è standardizzata. Poiché tutte le informazioni sono contenute nell'elenco, tutti gli interessati ricevono le stesse informazioni su finalità, mezzi e periodo di conservazione, il che porta a una comunicazione più coerente e trasparente. In terzo luogo, l'elenco facilita anche la collaborazione con soggetti esterni, come l'Incaricato federale della protezione dei dati e delle informazioni (IFPDT). Quando l'FDPIC richiede informazioni sul trattamento dei dati, l'azienda può semplicemente fornire l'elenco invece di dover preparare relazioni separate per ogni singolo trattamento dei dati.
2. Il diritto di accesso
32Il diritto all'informazione di cui all'art. 25 della LDP è un diritto della persona interessata che può essere fatto valere in base alla legge sulla protezione dei dati. Con il diritto all'informazione è possibile verificare la legittimità del trattamento dei dati e l'interessato ha il diritto di chiedere l'autorizzazione o la cancellazione dei dati. Ai sensi dell'art. 25 della FADP, l'interessato riceve tutte le informazioni sui propri dati personali per poter far valere i propri diritti, ovvero l'identità del responsabile del trattamento, le finalità del trattamento e i dati personali trattati. I diritti che possono essere fatti valere in seguito sono, ad esempio, il diritto alla rettifica dei dati personali raccolti in modo errato o all'eliminazione di questi ultimi (art. 32 LDP).
33Un registro delle attività di trattamento garantisce e sostiene il diritto di accesso, in quanto comprende pienamente le informazioni che devono essere comunicate all'interessato ai sensi dell'art. 25 LADP. Con un registro correttamente tenuto, l'interessato riceve informazioni complete, uniformi e corrette sui dati raccolti. Si garantisce un'informazione adeguata e si aumenta la sicurezza per entrambe le parti, poiché l'azienda ha una migliore visione d'insieme dei dati raccolti e corre meno rischi di violare le norme sulla protezione dei dati. Se l'elenco non è corretto, il responsabile del trattamento può non registrare correttamente le informazioni sul trattamento dei dati o adottare precauzioni di sicurezza insufficienti. Ciò comporta il rischio di violazioni della protezione dei dati e può comportare conseguenze legali.
F. Dati all'estero (art. 12 cpv. 2 lett. g)
34Secondo l'art. 12 cpv. 1 lett. g LADP, quando i dati vengono divulgati all'estero, è necessario indicare il rispettivo paese e le garanzie di cui all'art. 16 cpv. 2 LADP. Queste disposizioni garantiscono che la persona interessata sia informata del trasferimento dei suoi dati personali all'estero e che vengano adottate misure di protezione dei dati adeguate. L'elenco delle attività di trattamento può includere questi requisiti indicando lo scopo esatto del trasferimento dei dati all'estero e il nome del paese di destinazione. Inoltre, l'elenco dovrebbe contenere anche informazioni sulle garanzie adottate ai sensi dell'articolo 16, paragrafo 2, della FADP, al fine di rassicurare l'interessato sull'esistenza di garanzie adeguate. È importante che l'interessato sia informato in modo chiaro e comprensibile del fatto che i suoi dati saranno trasferiti all'estero e delle misure di protezione adottate nel processo. In questo modo si garantisce il diritto all'informazione e si protegge la privacy dell'interessato. Questi requisiti rafforzano la protezione dei dati in caso di trattamento e divulgazione transfrontaliera dei dati. In linea di principio, i dati personali possono essere divulgati all'estero solo se il Consiglio federale ha deciso che il Paese in questione garantisce un'adeguata protezione dei dati. L'IFPDT ha pubblicato un elenco dello stato di protezione dei dati a livello mondiale. Una protezione inadeguata è garantita, tra gli altri, dalla Russia, da gran parte dei Paesi africani e sudamericani, nonché da tutta l'Asia (con l'eccezione di Israele).
35L'art. 16 cpv. 2 LADP richiede un trattato internazionale, clausole contrattuali di protezione dei dati, garanzie specifiche approvate dall'IFPDT, clausole di protezione standard o specifiche interne vincolanti di protezione dei dati aziendali, anch'esse approvate dall'IFPDT (art. 16 lett. a-e LADP). Queste disposizioni si applicano ora in caso di divulgazione di dati non solo se il Paese stesso non garantisce una protezione adeguata, ma anche per tutte le divulgazioni estere.
III. Confronto con il diritto dell'UE
36L'articolo 12 della LADP, come molti altri articoli dopo la revisione totale, presenta alcuni parallelismi con i requisiti del GDPR. Ad esempio, l'art. 12 è stato redatto in modo analogo all'art. 30 DPA. Sia l'art. 30 DPA che l'art. 12 DPA richiedono che sia gli enti pubblici che i privati tengano un registro. In esso deve essere indicata l'identità del responsabile del trattamento e dell'incaricato del trattamento. Entrambe le disposizioni richiedono informazioni sullo scopo del trattamento, sulla categorizzazione dei dati personali trattati e dei destinatari, sulle garanzie per il trasferimento all'estero, sul periodo di conservazione e sulle misure tecniche e organizzative per l'attuazione della sicurezza dei dati. Anche l'esenzione dalla creazione di un elenco di trattamento dei dati è mantenuta sia nell'art. 30 del GDPR che nell'art. 12 del DPA. L'espressione "se possibile" (comma 1, lettere f e g) consente una certa flessibilità, come nella legge svizzera sulla protezione dei dati. Il contenuto di un elenco non è definito in modo uguale e rigoroso per ogni azienda, ma si basa sulla precisione con cui i dati trattati possono essere circoscritti in primo luogo. Pertanto, non si può sempre dire con certezza quando i dati saranno cancellati, né tutte le aziende seguono misure tecniche e organizzative analoghe e generalmente riconosciute. Un elenco di dati dovrebbe anche essere in grado di adattarsi alla rispettiva attività.
37 Le differenze tra le disposizioni emergono sporadicamente nelle formulazioni e nelle spiegazioni. Analogamente all'IFPDT in Svizzera, l'autorità di controllo della protezione dei dati nell'UE assume funzioni simili, come il controllo della conformità al GDPR o alla LPD. L'articolo 30 del GDPR richiede inoltre che l'identità del responsabile della protezione dei dati sia indicata nell'elenco, se esiste nell'azienda. Il trasferimento all'estero deve essere specificamente indicato ai sensi del GDPR e la forma dell'elenco deve essere scritta. Gli enti pubblici o i privati hanno inoltre l'obbligo, ai sensi del diritto dell'Unione, di mettere a disposizione dell'autorità di controllo, su richiesta, l'elenco delle attività di trattamento. In genere è richiesta una cooperazione in buona fede con le autorità pubbliche.
38 Oltre all'art. 30 del GDPR, l'art. 24 della Direttiva 2016/680 elabora il contenuto di un registro delle attività di trattamento. Vale la pena ricordare che l'articolo 24 della direttiva prevede anche l'uso della profilazione (articolo 24 cpv. 1, lett. e) e l'indicazione della base giuridica per il trasferimento dei dati personali (articolo 24 cpv. 1 lett. g)) in un registro dei trattamenti. Ciò non è previsto dalla normativa svizzera, ma può essere coperto da informazioni supplementari nelle finalità del trattamento o nelle categorie di dati personali trattati.
Bibliografia
Baeriswil Bruno, Kommentierung zu Art. 12 DSG in: Baeriswil Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpfli Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Bucheli Bernadette, Datenschutz im Mietverhältnis: Ausgangslage und Revision des DSG, mp 2020, S. 383 ff.
Pärli Kurt/Eggmann Jonas, Das Auskunftsrecht im Privatrecht, digma 2020, S. 140 ff.
Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter 17.6.2019 (zit. Rosenthal, Controller oder Processor)
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. Rosenthal, Datenschutzgesetz)
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 2021, S. 52 ff. Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri), S. 304 ff.-
Steiner Thomas, Neues DSG: Umsetzung und Anwendung in Anwaltskanzleien, Anwaltsrevue 2022, S. 417 ff.
Sury Ursula, Neues Datenschutzgesetz und Dokumentation von Unternehmen, SJZ 2021, S. 458 ff.
Trüeb Hans Rudolf/Zobl Martin, Steuerdaten in der Cloud?, digma 2016, S. 102 ff.
Vasella David, Das neue Datenschutzgesetz und seine Umsetzung, TREX 2021, S. 272 ff.
I materiali
Botschaft vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 6941 ff.