-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. obbligo di nominare un responsabile della protezione dei dati (cpv. 1)
- III. funzione del responsabile della protezione dei dati (cpv. 2)
- IV. nomina volontaria di un responsabile della protezione dei dati
- V. comunicazione del nome e dell'indirizzo (cpv. 3)
- Bibliografia
In breve
L'art. 14 LPD disciplina l'obbligo di nominare un responsabile della protezione dei dati in Svizzera da parte dei responsabili del trattamento privati con sede all'estero. L'obbligo sussiste solo a determinate condizioni cumulative ed è probabile che nella pratica si applichi solo a pochi responsabili del trattamento. La rappresentanza ha lo scopo di fungere da punto di contatto per le persone interessate e per l'LPD, al fine di facilitare l'applicazione della LPD nei confronti di determinati responsabili del trattamento all'estero. I responsabili del trattamento devono pubblicare il nome e l'indirizzo della loro rappresentanza, ad esempio come parte dell'informativa sulla privacy sul loro sito web.
I. Aspetti generali
A. scopo
1 I responsabili del trattamento che non hanno una sede legale in Svizzera devono designare una rappresentanza in Svizzera a determinate condizioni, che sono raramente soddisfatte. La formulazione di questi requisiti comporta un'incertezza giuridica sul momento in cui essi sono soddisfatti.
2 L'obbligo può essere giustificato dall'ampio campo di applicazione territoriale della LPD, poiché quest'ultima si applica a tutte le questioni che hanno un impatto in Svizzera, anche se sono state avviate all'estero (art. 3 cpv. 1 LPD). L'obbligo di designare un rappresentante è volto a migliorare l'applicabilità pratica della LPD, analogamente alla rappresentanza per la protezione dei dati nell'UE ai sensi dell'art. 27 LPD.
B. storia delle origini
3 Durante il dibattito parlamentare, la LPD è stata integrata con la rappresentanza per la protezione dei dati ai sensi degli articoli 14 e 15 LPD. I due articoli, insieme alle "Disposizioni generali", formano la seconda sezione "Trattamento dei dati da parte di responsabili privati con sede o domicilio all'estero" del secondo capitolo. La struttura si basa sulla rappresentanza dell'UE per la protezione dei dati ai sensi dell'art. 27 DSGVO. Di conseguenza, il rappresentante per la protezione dei dati può essere una persona giuridica o una persona fisica. Il Regolamento sulla protezione dei dati (DSGVO) non menziona la rappresentanza.
4 La rappresentanza per la protezione dei dati accenna alle richieste politiche di un foro competente obbligatorio per le grandi piattaforme Internet straniere, in particolare per le piattaforme di social media, in materia di diritto penale e civile, ma non le attua. Un'eventuale attuazione di queste richieste di un domicilio obbligatorio potrebbe essere realizzata da un progetto di consultazione del Consiglio federale sulla regolamentazione delle grandi piattaforme di comunicazione annunciato per il 2024, secondo il quale tali piattaforme dovrebbero designare un punto di contatto e un rappresentante legale in Svizzera.
II. obbligo di nominare un responsabile della protezione dei dati (cpv. 1)
5 L'art. 14 cpv. 1 LPD stabilisce le condizioni alle quali i titolari del trattamento devono eccezionalmente nominare un rappresentante per la protezione dei dati in Svizzera. A differenza della rappresentanza dell'UE per la protezione dei dati ai sensi dell'art. 27 cpv. 1 e 2 DSGVO, non esiste un obbligo generale con eccezioni. Di conseguenza, il numero di responsabili del trattamento dei dati interessati sarà probabilmente esiguo.
6 L'IFPDT può ordinare o decretare la designazione di un rappresentante come misura amministrativa (art. 51 cpv. 4 LPD).
7 La violazione dell'obbligo di designare un rappresentante non rientra nelle disposizioni penali di cui agli artt. 60 e segg. LPD. L'inosservanza dell'ordine dell'IFPDT di designare un rappresentante può essere punita con una multa (art. 63 LPD).
A. ambito personale
8 L'obbligo di designare un rappresentante si applica ai responsabili del trattamento privati (art. 5 lett. j LPD) con sede o domicilio all'estero se trattano dati di persone in Svizzera (art. 5 lett. a e b LPD) e se il trattamento soddisfa i requisiti cumulativi di cui all'art. 14 cpv. 1 lett. a-d LPD. A differenza della rappresentazione della protezione dei dati dell'UE, l'obbligo in Svizzera si applica solo ai responsabili del trattamento e non anche agli incaricati del trattamento.
B. Ambito di applicazione materiale
1. in relazione all'offerta di beni o servizi o all'osservazione del comportamento di persone in Svizzera (lit. a)
9 L'art. 14 cpv. 1 lett. a) LPD si basa sui requisiti alternativi per l'ambito territoriale della LPD con l'offerta o l'osservazione di comportamenti (art. 3 cpv. 2 LPD), piuttosto che sul principio dell'effetto ai sensi dell'art. 3 cpv. 1 LPD. Di conseguenza, il requisito si applica solo se l'offerta o l'osservazione di un comportamento ha un effetto su una situazione di fatto in Svizzera. Un semplice collegamento con un'offerta o un'osservazione comportamentale non è sufficiente.
10 Il primo requisito cumulativo di cui all'art. 14 cpv. 1 lett. a LPD è soddisfatto da un lato se il trattamento dei dati personali è connesso all'offerta di beni e servizi a persone in Svizzera. Secondo il considerando 80 dell'art. 27 cpv. 3 DSGVO, è sufficiente un'offerta gratuita o libera.
11 La sola accessibilità delle offerte, ad esempio in un'app su una piattaforma di social media o tramite un sito web, non è sufficiente. Sono necessari indizi concreti del fatto che un'offerta sia effettivamente rivolta a persone in Svizzera. Possibili indicazioni sono, ad esempio, i contenuti nelle lingue nazionali svizzere, le opzioni di consegna in Svizzera, i prezzi in franchi svizzeri, i prezzi con l'indicazione dell'IVA svizzera, la pubblicazione di un numero di telefono svizzero o l'uso di un dominio di primo livello svizzero (.ch o .swiss).
12 Per contro, il primo requisito cumulativo ai sensi dell'art. 14 cpv. 1 lett. a LPD è soddisfatto se il trattamento è effettuato in relazione all'osservazione del comportamento di persone in Svizzera in alternativa all'offerta o contemporaneamente all'offerta. Il termine "osservazione del comportamento" è da intendersi ai sensi dell'art. 3 cpv. 2 DSGVO. La semplice registrazione dell'accesso a un servizio online o a un sito web non è quindi sufficiente. Deve esserci un effettivo targeting di individui in Svizzera o l'osservazione deve portare a una profilazione in relazione agli interessati in Svizzera. Pertanto, la disposizione dovrebbe applicarsi ai fornitori di piattaforme Internet come ByteDance, Google e Meta, ma non, ad esempio, ai gestori di negozi online, a condizione che il loro modello commerciale non sia incentrato sui dati e che la profilazione degli utenti venga effettuata solo nella misura abituale per i propri scopi di marketing.
2. trattamento completo (lit. b)
13 Il secondo requisito cumulativo ai sensi dell'articolo 14 cpv. 1 lettera b), LPD è soddisfatto se il trattamento dei dati personali è esteso. Cosa si intenda per "trattamento esteso" non è spiegato nella legge.
14 L'art. 22 cpv. 2 lett. a LPD cita il trattamento esteso di dati personali particolarmente sensibili come esempio di trattamento di dati ad alto rischio, ma non spiega cosa si intenda per "esteso". I criteri possibili sono un numero elevato di persone interessate in Svizzera o una grande quantità di dati su persone in Svizzera.
3. trattamento regolare (lett. c)
15 Il terzo requisito cumulativo ai sensi dell'art. 14 cpv. 1 lett. c LPD è soddisfatto se vi è un trattamento regolare dei dati personali. Cosa si intenda per "trattamento regolare" non è spiegato nella legge.
16 È ovvio che non vi è regolarità se i responsabili del trattamento trattano i dati personali solo occasionalmente o per un periodo di tempo limitato. D'altro canto, è probabile che la regolarità esista se un responsabile del trattamento tratta regolarmente i dati personali per svolgere le proprie attività (ad esempio, l'offerta attraverso un negozio online) o per perseguire un modello di business incentrato sui dati (ad esempio, il monitoraggio attraverso una piattaforma di social media).
4. rischio elevato per la personalità degli interessati (lett. d).
17 Il quarto requisito cumulativo ai sensi dell'art. 14 cpv. 1 lett. d LPD è soddisfatto se il trattamento comporta un rischio elevato per la personalità delle persone interessate. Questo requisito corrisponde all'approccio basato sul rischio della LPD, ma senza menzionare i diritti fondamentali degli interessati (cfr. anche, ad esempio, l'art. 5, lett. g) LPD: profilazione ad alto rischio; l'art. 22 cpv. 1 e 2 LPD: valutazione d'impatto sulla protezione dei dati; l'art. 24 cpv. 1 LPD: notifica delle violazioni della sicurezza dei dati). La mancanza di menzione dei diritti fondamentali degli interessati è probabilmente una svista legislativa, viste le altre menzioni nella LPD.
18 Il trattamento dei dati che presenta un rischio elevato per la personalità degli interessati è probabilmente raro nella pratica. Pertanto, le valutazioni d'impatto sulla protezione dei dati raramente rivelano un rischio elevato o tale rischio viene eliminato con misure appropriate.
III. funzione del responsabile della protezione dei dati (cpv. 2)
19 Il responsabile della protezione dei dati funge da punto di contatto per gli interessati e l'IFPDT. Gli interessati e l'IFPDT possono contattare la rappresentanza, ma non sono obbligati a farlo. La rappresentanza è considerata giuridicamente come un diritto di assistenza.
20 La rappresentanza è quindi un punto di contatto alternativo per gli interessati e l'IFPDT in quanto autorità speciale accanto al responsabile del trattamento. Se il responsabile del trattamento ha nominato un responsabile della protezione dei dati, esistono in totale tre diversi punti di contatto alternativi (art. 10 cpv. 1 e 2 LPD).
21 Il responsabile della protezione dei dati di un titolare del trattamento non può agire contemporaneamente come responsabile della protezione dei dati dello stesso titolare del trattamento. La rappresentanza sarebbe incompatibile con l'indipendenza del consulente per la protezione dei dati (art. 10 cpv. 3 lett. a e b LPD).
22 Per le persone interessate, la rappresentanza come punto di contatto presenta il particolare vantaggio di poter rivolgere i propri dubbi in materia di protezione dei dati direttamente al responsabile del trattamento in Svizzera, in particolare nell'ambito dei diritti di cui agli artt. 25 e segg. LPD. Nel caso di titolari di archivi di dati senza rappresentanza in Svizzera, ad esempio, gli interessati devono rivolgere le richieste di informazioni ai rispettivi titolari di archivi di dati o ai loro responsabili della protezione dei dati presso la loro sede legale o il loro luogo di residenza all'estero.
23 Per l'IFPDT, la rappresentanza come punto di contatto ha il particolare vantaggio di non dover raggiungere i titolari dei dati all'estero tramite l'assistenza giudiziaria internazionale.
24 La legge non specifica le lingue in cui gli interessati possono rivolgersi alla rappresentanza. Nel caso di una rappresentanza legata a un'offerta, gli interessati dovrebbero essere in grado di contattare la rappresentanza almeno nella lingua dell'offerta o in una delle lingue dell'offerta. La limitazione alle lingue nazionali non sembra appropriata. L'IFPDT dovrebbe poter contattare la rappresentanza in una delle quattro lingue ufficiali svizzere (art. 33a APG per analogia).
IV. nomina volontaria di un responsabile della protezione dei dati
25 Il titolare del trattamento può nominare un responsabile della protezione dei dati in Svizzera anche senza l'obbligo di cui all'articolo 14 cpv. 1 LPD. Il titolare del trattamento può anche affidare al rappresentante volontario e a quello obbligatorio compiti che vanno oltre gli obblighi di cui agli artt. 14 e segg. LPD.
V. comunicazione del nome e dell'indirizzo (cpv. 3)
26 Il titolare del trattamento deve comunicare il nome e l'indirizzo del proprio responsabile della protezione dei dati. Nel caso di una persona giuridica come responsabile del trattamento dei dati, la ragione sociale corrisponde al nome. La pubblicazione di un indirizzo e-mail o di un numero di telefono non è espressamente richiesta. Tuttavia, quando si pubblica nello spazio digitale, è ovvio offrire un'opzione di contatto digitale, come in particolare un indirizzo e-mail. In confronto, l'art. 13 cpv. 1 lett. a DSGVO non prevede solo l'"indirizzo", ma anche i "dati di contatto".
27 Per svolgere la funzione di punto di contatto (art. 14 cpv. 2 DSGVO), il nome e l'indirizzo del rappresentante devono essere pubblicati in una forma facilmente reperibile e accessibile. È ovvio pubblicare le informazioni come parte della dichiarazione generale sulla protezione dei dati sul sito web del responsabile del trattamento o, se necessario, anche nell'impronta.
28 Contrariamente agli obblighi di informazione di cui all'art. 13 f. DSGVO, il nome e l'indirizzo della rappresentanza in Svizzera non rientrano nell'obbligo di informazione di cui all'art. 19 f. LPD.
29 A differenza dell'incaricato della protezione dei dati (art. 10 cpv. 3 lett. d LPD), non sussiste alcun obbligo di notifica della rappresentanza all'IFPDT. L'IFPDT deve scoprire dalle informazioni pubblicate se il titolare del trattamento ha designato un rappresentante o informarsi direttamente presso il rappresentante.
Bibliografia
Husi-Stämpfli Sandra, Kommentierung zu Art. 14 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023. (zit. SHK-Husi-Stämpfli, Art. 14 DSG).
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter).
Lang Markus, Kommentierung zu Art. 27 DSGVO, in: Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Taeger/Gabel, Bearbeiter/-in).