-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Soggetto obbligato e fattore di collegamento (cpv. 1)
- III. Contenuto delle informazioni (cpv. 2-4)
- IV. Modalità di informazione (cpv. 5; art. 13 DPA)
- V. Consigli pratici
- VI. Applicazione e conseguenze legali
- VII. Criticità della norma
- Bibliografia
- I Materiali
In breve
L'obbligo di informazione ai sensi dell'art. 19 LPD riguarda le dichiarazioni sulla protezione dei dati che sono importanti nella pratica e mira specificamente ad aumentare la trasparenza del trattamento dei dati. Esso integra il principio generale di trasparenza e richiede che gli interessati siano informati dei punti chiave del trattamento dei dati ogni volta che vengono raccolti dati personali. Il catalogo delle informazioni minime da fornire è più breve di quello del DSGVO e comprende informazioni di contatto, finalità del trattamento, categorie di dati trattati, categorie di destinatari dei dati, informazioni sui trasferimenti all'estero e informazioni sulle decisioni individuali automatizzate. Tuttavia, l'art. 19 LPD va oltre il DSGVO in un punto e richiede anche l'indicazione degli Stati destinatari, mentre è sufficiente l'indicazione di gruppi di Paesi o regioni. Nella maggior parte dei casi, le informazioni non devono essere comunicate attivamente agli interessati ed è sufficiente che siano facilmente accessibili su Internet. L'obbligo di fornire informazioni è uno dei reati punibili per legge ai sensi della legge sulla protezione dei dati riveduta: Chiunque ometta intenzionalmente di fornire informazioni o fornisca intenzionalmente informazioni false o incomplete può essere multato. Considerando che nella pratica le dichiarazioni sulla protezione dei dati non vengono quasi mai lette o comprese nel dettaglio, sembra discutibile che l'obbligo di fornire informazioni raggiunga effettivamente l'obiettivo di aumentare la trasparenza nel trattamento dei dati.
I. Aspetti generali
A. Scopo della legge
1 L'art. 19 LPD stabilisce l'obbligo del responsabile del trattamento di fornire informazioni quando ottiene dati personali. Ciò riguarda le comunicazioni sulla protezione dei dati, che sono importanti nella pratica, e le dichiarazioni sulla protezione dei dati, che sono molto comuni nella vita commerciale. L'obbligo di informazione è una delle disposizioni fondamentali della legge sulla protezione dei dati, il che si riflette talvolta nel fatto che è una delle disposizioni della nuova legge sulla protezione dei dati che è punibile per legge.
2 L'obiettivo dell'obbligo di informazione è aumentare la trasparenza del trattamento dei dati. La trasparenza del trattamento dei dati personali è un principio fondamentale della legge sulla protezione dei dati e l'aumento della trasparenza è stato un obiettivo dichiarato della revisione della LPD. Gli interessati devono sapere che i dati che li riguardano vengono trattati e devono avere la possibilità di conoscere i punti chiave del trattamento.
3 La trasparenza del trattamento dei dati dovrebbe consentire agli interessati di prendere una decisione informata sull'utilizzo di offerte e servizi e di esercitare i diritti garantiti dalla legge sulla protezione dei dati. L'obbligo di fornire informazioni serve quindi indirettamente anche a rafforzare i diritti degli interessati, il che corrisponde a un altro obiettivo della revisione.
4 Infine, secondo il messaggio, l'obbligo di informazione mira a sensibilizzare la popolazione sulla protezione dei dati e quindi a promuovere la protezione dei dati in generale.
B. Storia
5 L'art. 19 LPD amplia l'obbligo di fornire informazioni già contenuto nella precedente LPD quando si ottengono dati personali. Secondo la vecchia legge, gli interessati dovevano essere informati solo in caso di acquisizione di dati personali particolarmente sensibili o di profili della personalità. Ora i responsabili del trattamento devono informare gli interessati ogni volta che ottengono dati personali. Anche il catalogo delle informazioni obbligatorie è stato moderatamente ampliato dalla nuova LPD. La nuova LPD riunisce inoltre le disposizioni che in precedenza erano suddivise in diversi articoli e crea un regolamento uniforme per il trattamento dei dati da parte dei responsabili privati e degli organi federali.
6 L'aumento della trasparenza del trattamento dei dati è stato uno dei principali obiettivi della revisione della LPD. Inoltre, la Convenzione 108 sulla protezione dei dati, vincolante per la Svizzera, prescrive l'obbligo generale di fornire informazioni quando si ottengono dati personali, che deve essere attuato nel diritto nazionale. Anche la direttiva (UE) 2016/680, rilevante per lo spazio Schengen, prevede un obbligo di informazione. L'estensione dell'obbligo di informazione era quindi indiscussa in linea di principio nel processo legislativo. Con poche modifiche, il testo diventato legge corrisponde alla versione della bozza.
C. Classificazione e delimitazione
7 L'art. 19 LPD integra l'obbligo generale di trasparenza dell'art. 6 LPD. Mentre l'obbligo di trasparenza crea un livello base di trasparenza, l'obbligo di fornire informazioni si basa su questo e risponde a un'esigenza di informazione più ampia. Il responsabile del trattamento deve non solo garantire che la raccolta dei dati sia riconoscibile come tale, ma anche fornire agli interessati determinate informazioni sulle finalità e sulle modalità del trattamento. Il paragone alimentare di David Rosenthal è esemplificativo: deve essere immediatamente riconoscibile per i consumatori che il prodotto in questione è una marmellata di fragole (requisito di trasparenza), mentre l'elenco degli ingredienti e altri dettagli si trovano sull'etichetta dell'alimento, che può essere consultata se interessati (requisito di informazione).
8 A differenza dell'obbligo di trasparenza, l'obbligo di informazione non è una concretizzazione del diritto della personalità di cui all'art. 28 del Codice Civile, ma ha natura di diritto pubblico. La violazione dell'obbligo di informazione non costituisce pertanto una violazione dei diritti della personalità. Di conseguenza, la violazione non può essere giustificata ai sensi dell'art. 31 LPD. Le eccezioni e le limitazioni all'obbligo di informazione sono esaustivamente normate nell'art. 20 LPD.
9 L'art. 19 LPD è a sua volta integrato dall'art. 21 LPD, che prevede un obbligo speciale di informazione in caso di automazione completa di decisioni importanti, e concretizzato dall'art. 13 LPD, che stabilisce i requisiti per il tipo e le modalità di informazione.
10 L'obbligo di informazione deve essere distinto dal concetto di consenso. Una dichiarazione di protezione dei dati garantisce la trasparenza richiesta dalla legge, ma non costituisce un consenso ai sensi della legge sulla protezione dei dati e non legittima un atto di protezione dei dati che richiede una giustificazione ai sensi dell'art. 30 f. FADP. LPD e non legittima un trattamento dei dati che richiede una giustificazione. Esiste tuttavia una connessione tra l'obbligo di informazione e il consenso nella misura in cui, da un lato, la base informativa necessaria per un consenso valido può essere creata mediante una dichiarazione sulla protezione dei dati e, dall'altro, l'adempimento dell'obbligo di informazione e l'ottenimento del consenso possono coincidere in singoli casi (ad esempio, se una dichiarazione di consenso contiene tutte le informazioni obbligatorie richieste dall'art. 19 LPD).
D. Note interpretative
11 L'obbligo di fornire informazioni nella legge sulla protezione dei dati rivista è modellato sull'obbligo di fornire informazioni contenuto nel DSGVO. Tuttavia, l'art. 19 LPD non si limita a riprodurre l'obbligo di informazione contenuto nel DSGVO, ma stabilisce un regolamento che si discosta deliberatamente da alcune parti del DSGVO. Ad esempio, l'LPD prescrive un numero inferiore di informazioni minime rispetto al DSGVO e concede esenzioni più ampie dall'obbligo di informazione. Come illustrato da Thomas Steiner, l'art. 19 LPD deve quindi essere interpretato autonomamente e la prassi del GDPR deve essere consultata solo per confermare e verificare la plausibilità del risultato dell'interpretazione svizzera.
12 Con David Vasella, va sostenuta anche un'interpretazione prudente dell'obbligo di informazione: Da un lato, l'art. 19 LPD è anche una norma penale e il principio di legalità del diritto penale richiede quindi un'interpretazione restrittiva. In secondo luogo, l'adempimento dell'obbligo di informazione comporta spese considerevoli per le aziende, che incidono sulla libertà economica ai sensi dell'art. 27 Cost. ed è ammissibile solo se l'interferenza è proporzionata e limitata alla misura necessaria. Infine, è necessaria una certa moderazione nell'interpretazione, poiché la trasparenza di base è già garantita dall'obbligo di trasparenza di cui all'art. 6 LPD e l'obbligo di fornire informazioni protegge solo un bisogno di informazioni che va oltre.
II. Soggetto obbligato e fattore di collegamento (cpv. 1)
A. Soggetto obbligato
13 L'obbligo di informazione è rivolto al responsabile del trattamento, ossia alla persona privata o all'ente federale che decide lo scopo e i mezzi del trattamento. Gli incaricati del trattamento che sono vincolati da istruzioni non sono soggetti ad alcun obbligo di informazione in relazione al trattamento effettuato per conto del responsabile del trattamento.
14 Il responsabile non è tenuto ad adempiere personalmente all'obbligo di informazione. Può anche delegare la fornitura di informazioni a un incaricato del trattamento o a un terzo (ad esempio, a un'agenzia web quando gestisce un sito web). Anche in questi casi, tuttavia, il responsabile del trattamento rimane responsabile del corretto adempimento dell'obbligo di informazione.
B. Fattore di connessione
15 L'obbligo di informazione scatta in caso di raccolta di dati personali, indipendentemente dal fatto che il titolare del trattamento li raccolga direttamente dall'interessato o indirettamente. Il tipo di raccolta dei dati è rilevante solo per il momento dell'informazione. Inoltre, non è determinante se si tratta di una raccolta permanente o ripetuta o, come nel caso di una lotteria isolata, di una sola volta. In entrambi i casi, le informazioni devono essere fornite. Una raccolta (rinnovata) che fa scattare l'obbligo di informazione è anche quando i dati personali già esistenti vengono utilizzati per uno scopo nuovo o aggiuntivo.
16 Non è necessario fornire informazioni se il titolare del trattamento riceve dati personali per caso o in altro modo senza alcuna azione da parte sua. Ne sono un esempio le richieste di giornalisti, le candidature alla cieca, le raccomandazioni dei dipendenti o le richieste di e-mail non richieste. Tuttavia, le informazioni devono essere fornite se tali dati personali ottenuti involontariamente devono essere utilizzati per scopi nuovi o aggiuntivi.
17 Il collegamento dell'obbligo di informazione all'acquisizione dei dati significa, in termini di diritto transitorio, che gli interessati non devono essere informati sul trattamento dei dati già in corso al momento dell'entrata in vigore della nuova LPD (a meno che l'informazione non sia già stata fornita in un momento precedente). Tuttavia, le persone interessate, ad esempio i clienti esistenti, devono essere informate al più tardi quando si ottengono nuovi dati, ad esempio gli abbonati a un servizio online quando effettuano il prossimo accesso o i partecipanti a un programma di fidelizzazione dei clienti quando effettuano il prossimo acquisto.
III. Contenuto delle informazioni (cpv. 2-4)
A. Informazioni obbligatorie
1. Generalità
18 L'art. 19 LPD contiene nei paragrafi 2-4 un catalogo di informazioni obbligatorie che devono essere fornite agli interessati: Dati di contatto del responsabile del trattamento, finalità del trattamento, destinatari o categorie di dati, categorie di dati trattati, nonché gli Stati destinatari in caso di trasferimento all'estero e la loro salvaguardia. Alcuni dettagli obbligatori aggiuntivi si trovano in altre disposizioni della LPD, come l'art. 21 LPD relativo alle decisioni individuali automatizzate e l'art. 14 cpv. 3 LPD relativo alla rappresentanza in Svizzera.
19 Rispetto al DSGVO, il catalogo della LPD è breve. Questo è positivo e lascia almeno un po' di spazio al di fuori del campo di applicazione del DSGVO per informare con un senso di proporzione e per contrastare il "sovraccarico di informazioni" che oggi dilaga. La flessibilità del regolamento della LPD consente di limitare le informazioni ai dettagli rilevanti in base al rischio e di omettere i dettagli non necessari.
2. Dati di contatto
20 In primo luogo, devono essere forniti il nome e i dati di contatto del responsabile del trattamento. La legge non specifica quali dati di contatto debbano essere comunicati. Tuttavia, è ovvio fornire almeno un indirizzo postale e un indirizzo e-mail. È anche possibile fornire un numero di telefono, ma vista la possibilità di contatti invadenti da parte di malintenzionati, questo è insolito e sconsigliato.
21 I responsabili del trattamento domiciliati all'estero devono inoltre pubblicare il nome e i dati di contatto di eventuali rappresentanze in Svizzera nominate ai sensi dell'art. 14 LPD (art. 14 cpv. 3 LPD).
22 La divulgazione dei dati di contatto di qualsiasi consulente per la protezione dei dati nominato è volontaria. Ciò è in contrasto con la DSGVO, dove i dati di contatto del responsabile della protezione dei dati devono essere forniti. Tuttavia, la LPD fornisce un (piccolo) incentivo a pubblicare i dati di contatto del consulente per la protezione dei dati, in quanto i responsabili del trattamento dei dati privati possono avvalersi dell'esenzione dalla notifica all'IFPDT solo in caso di rischi residui elevati, dopo aver effettuato una valutazione dell'impatto sulla protezione dei dati. A tal fine, è sufficiente la pubblicazione di una casella di posta elettronica funzionale (ad es. datenschutz@unternehmen.ch); non è necessario indicare il nome del consulente per la protezione dei dati.
3. Finalità del trattamento
23 Il responsabile del trattamento deve indicare le finalità del trattamento dei dati personali. Gli interessati devono quindi essere in grado di sapere per quali finalità vengono trattati i loro dati.
24 Il livello di dettaglio con cui vengono descritte le finalità del trattamento è lasciato al responsabile del trattamento. In genere sono ammesse descrizioni brevi come "comunicazione", "elaborazione di contratti", "sviluppo di prodotti" o "marketing". Tuttavia, descrizioni più dettagliate o esempi esplicativi sono più utili, il che è raccomandato anche in considerazione del principio di limitazione delle finalità, poiché formulazioni poco chiare verrebbero interpretate in modo restrittivo in base al principio di fiducia, in caso di dubbio, a svantaggio del responsabile.
25 Oltre alle finalità di trattamento attuali, è possibile elencare anche possibili finalità di trattamento future. Ciò è consentito anche se il trattamento in questione non è ancora concretamente previsto, ma è solo una possibilità. Alla luce del principio di limitazione delle finalità di cui all'art. 6 cpv. 3 LPD, molte aziende saranno propense a redigere tali informative eccessive al fine di mantenere il più possibile aperti i nuovi utilizzi dei dati, il che tuttavia non favorisce la chiarezza delle informative sulla protezione dei dati.
4. Destinatari dei dati
26 Occorre poi specificare le categorie di destinatari a cui vengono comunicati i dati personali. L'inserimento dell'espressione "se del caso" nel testo normativo ha scarsa rilevanza pratica, poiché tra i destinatari rientrano anche gli incaricati del trattamento degli ordini utilizzati dal responsabile del trattamento e al giorno d'oggi quasi nessun responsabile del trattamento può fare a meno degli incaricati del trattamento degli ordini. Anche i corresponsabili sono considerati destinatari, così come, ovviamente, i "terzi" veri e propri. Anche le società del gruppo appartenenti allo stesso gruppo sono destinatarie, ma non le entità appartenenti alla stessa persona giuridica, come i singoli dipartimenti o le filiali.
27 Le categorie possono essere definite dal responsabile a propria discrezione; la legge non prevede alcuna specificazione al riguardo. Sono ipotizzabili, ad esempio, categorie definite in modo piuttosto ristretto come "fornitore di servizi informatici", "società di logistica" o "fornitore di servizi di riscossione", ma sono ammesse anche categorie più ampie come "incaricato del trattamento degli ordini".
28 Invece di categorie di destinatari, possono essere nominati anche singoli destinatari. Tuttavia, l'indicazione dei singoli destinatari è facoltativa; l'indicazione delle categorie è sufficiente. In pratica, si rinuncia a indicare i singoli destinatari, in quanto la maggior parte delle aziende ha un numero piuttosto elevato di destinatari (in particolare i responsabili degli ordini) e la compilazione di un elenco corrispondente richiederebbe molto tempo. La divulgazione di destinatari specifici è diventata piuttosto diffusa nel settore online, dove gli strumenti di terze parti utilizzati sono talvolta elencati singolarmente in relazione ai cookie e a tecnologie simili.
5. Dati personali trattati
29 Vanno poi indicate le categorie di dati personali trattati. Anche in questo caso, il responsabile del trattamento è libero di definire le categorie a propria discrezione e di scegliere il livello di dettaglio che ritiene ragionevole e adeguato per fornire informazioni sufficienti agli interessati. Sono ipotizzabili categorie come "dati anagrafici", "dati comportamentali" o "dati di preferenza". Anche i "dati personali che richiedono una protezione speciale" o, in senso più stretto, i "dati sulla salute" sono categorie possibili. Di solito è utile specificare le categorie, talvolta piuttosto sfuggenti, con esempi di tipi di dati (ad esempio "nome", "indirizzo e-mail", "luogo di residenza") e renderle più tangibili. È inoltre utile, ma non obbligatorio, assegnare le singole categorie di dati a finalità di trattamento concrete.
30 Ai sensi dell'art. 19 cpv. 3 LPD, le categorie di dati trattati devono essere specificate solo se i dati non sono ottenuti direttamente dalla persona interessata. Ciò si basa sull'idea che, in questo caso, l'interessato ha solo bisogno di informazioni. Se, invece, l'interessato comunica personalmente i propri dati personali (ad esempio, compilando un modulo online o un biglietto della lotteria o presentando una domanda di lavoro), conosce già i dati trattati dal responsabile del trattamento.
31 Seguendo questa idea, la restrizione deve essere interpretata in modo restrittivo e limitata ai casi in cui la persona interessata divulga consapevolmente i dati. D'altra parte, devono essere indicate anche le categorie di dati trattati, ad esempio se i dati sono raccolti direttamente dall'interessato, ma senza il suo coinvolgimento attivo e quindi potrebbe non essere a conoscenza del fatto che i dati che lo riguardano vengono trattati. È il caso, ad esempio, della raccolta automatizzata dei dati relativi alle transazioni quando si fanno acquisti nei negozi o nel commercio online o del web tracking su Internet. Per le stesse considerazioni, devono essere indicate anche le categorie di dati trattati se il responsabile del trattamento ricava nuovi dati dai dati ricevuti dall'interessato, ad esempio informazioni su interessi e affinità personali.
6. Stati destinatari
32 Se i dati personali vengono divulgati all'estero, devono essere indicati gli Stati destinatari. Ai sensi dell'art. 5 lett. e LPD, la divulgazione comprende non solo la trasmissione ma anche qualsiasi accesso ai dati personali dall'estero. Tali trasferimenti all'estero sono molto comuni nel mondo delle imprese, ad esempio quando si utilizzano servizi basati sul cloud.
33 Con l'obbligo di divulgare gli Stati destinatari, la LPD è inutilmente più severa del DSGVO, che richiede solo informazioni sulla divulgazione all'estero in sé, ma non sugli Stati destinatari. La LPD non tiene conto di quanto sia diventato internazionale il traffico di dati. Dopo tutto, anche ai sensi della LPD, non è necessario elencare i singoli Paesi, cosa che difficilmente sarebbe praticabile nella pratica. È sufficiente indicare gruppi di Paesi o regioni, ad esempio "UE/SEE" o "Europa". È ammessa anche l'indicazione "in tutto il mondo". Gli interessati possono vedere che i loro dati possono essere trattati in qualsiasi paese del mondo.
34 Se tra i Paesi destinatari ci sono Paesi che non hanno un livello adeguato di protezione dei dati, è necessario fornire informazioni aggiuntive: In tali costellazioni, devono essere rese note le garanzie fornite ai sensi dell'art. 16 cpv. 2 LPD per assicurare un livello adeguato di protezione dei dati o l'eccezione invocata ai sensi dell'art. 17 LPD. In questo caso, ad esempio, è sufficiente fare riferimento alla stipula delle clausole contrattuali standard riconosciute dalla Commissione europea e dall'IFPDT, che sono di gran lunga lo strumento più diffuso per tutelare i trasferimenti all'estero.
7. Decisioni individuali automatizzate
35 Se il responsabile del trattamento utilizza decisioni individuali automatizzate, deve informare gli interessati di ciò e della possibilità di sottoporre la decisione a revisione umana su richiesta dell'interessato (art. 21 LPD). Le decisioni individuali automatizzate sono decisioni completamente automatizzate che hanno conseguenze legali per gli interessati o che li riguardano in altro modo significativo. L'obbligo di fornire informazioni si applica pertanto solo alle decisioni completamente automatizzate; non è necessario fornire informazioni sulle decisioni solo parzialmente automatizzate o assistite da computer.
B. Ulteriori informazioni
36 Nella pratica commerciale, molte aziende andranno oltre le informazioni obbligatorie sopra descritte e saranno generalmente guidate dal catalogo più completo del DSGVO. Soprattutto (ma non solo) le aziende più grandi e con orientamento internazionale si impegnano a redigere informative sulla protezione dei dati "conformi al GDPR", sia su base volontaria sia perché le loro operazioni di trattamento dei dati rientrano nell'ambito di applicazione (extraterritoriale) del GDPR. In particolare, il catalogo del DSGVO prevede anche informazioni sul periodo di conservazione, la base giuridica applicabile, gli eventuali interessi legittimi perseguiti, i diritti degli interessati e il diritto di ricorso.
37 Tuttavia, l'inclusione di tali informazioni aggiuntive nell'ambito della LPD non è solitamente richiesta dalla legge. Le informazioni che vanno oltre il catalogo minimo devono essere fornite solo se sono necessarie in un caso specifico per garantire un trattamento dei dati ragionevolmente trasparente (art. 19 cpv. 2 LPD). Ciò avverrà raramente ed è tanto più probabile quanto più sensibili sono i dati trattati, quanto più esteso è il trattamento, quanto più critiche sono le modalità del trattamento, quanto più critica è la finalità del trattamento e quanto più nuove sono le tecnologie utilizzate per il trattamento. Ai sensi dell'art. 19 cpv. 2 LPD, il principio guida è ciò che gli interessati devono sapere per poter esercitare i propri diritti.
38 È probabile che il catalogo del DSGVO rappresenti una sorta di limite superiore. È difficile immaginare i casi in cui, ai sensi della LPD, potrebbe essere necessario andare oltre le informazioni richieste dal DSGVO.
39 Il regolamento della LPD lascia teoricamente spazio anche alla possibilità di specificare la gestione dell'obbligo di informazione per un settore specifico in un codice di condotta ai sensi dell'art. 11 LPD. Tuttavia, tali codici di condotta settoriali non sono ancora riusciti ad affermarsi nella pratica e probabilmente svolgeranno solo un ruolo minore in futuro.
IV. Modalità di informazione (cpv. 5; art. 13 DPA)
A. Tempo
40 A seconda che i dati personali siano ottenuti direttamente dalla persona interessata o indirettamente, le informazioni devono essere fornite in momenti diversi. L'acquisizione diretta avviene quando l'interessato fornisce al titolare del trattamento i propri dati di propria iniziativa (ad esempio, compilando un modulo o creando un account utente) o quando il titolare del trattamento raccoglie i dati attraverso l'osservazione stessa o con mezzi automatizzati (ad esempio, registrando le transazioni di acquisto o raccogliendo i dati di movimento attraverso un fitness tracker). L'acquisizione indiretta, invece, avviene quando il responsabile raccoglie i dati da fonti pubbliche (ad esempio, da notizie dei media o da registri pubblici), riceve dati da terzi (ad esempio, da un commerciante di indirizzi o da un'agenzia di credito) o ricava nuovi dati da banche dati esistenti (ad esempio, ricavando le preferenze analizzando i dati delle transazioni).
41 Nel caso di appalti diretti, le informazioni devono essere fornite contemporaneamente all'appalto. In pratica, ciò significa che le informazioni richieste devono essere facilmente accessibili al momento dell'appalto, ad esempio sul sito web del responsabile del trattamento. La fornitura di informazioni subito dopo la prima acquisizione dei dati, che era ancora consentita dalla vecchia legge, non è più consentita dalla nuova legge. Al contrario, le informazioni possono essere fornite prima dell'acquisizione, a condizione che il collegamento tra l'informazione e l'acquisizione sia sufficientemente riconoscibile per gli interessati.
42 Nel caso degli appalti indiretti, le informazioni non devono essere fornite immediatamente, ma solo entro un mese dal ricevimento dei dati (art. 19 cpv. 5 LPD). Tuttavia, il periodo di tolleranza di un mese richiede che i dati personali non vengano divulgati dal responsabile del trattamento a nessun altro destinatario. Se, invece, il responsabile del trattamento comunica i dati personali prima della scadenza del termine, il periodo di attesa non si applica e l'informazione deve essere fornita al più tardi al momento della comunicazione. Dal momento che anche le comunicazioni agli incaricati del trattamento degli ordini rientrano in questa fattispecie (ad esempio, l'archiviazione nel cloud), il rinvio delle informazioni ha un significato pratico limitato e le informazioni devono essere fornite immediatamente anche nel caso di appalti indiretti, che spesso richiedono una comunicazione attiva. Se ciò risulta impossibile da attuare, l'unico ricorso a disposizione del titolare del trattamento è quello di avvalersi di un'eccezione ai sensi dell'art. 20 LPD.
B. Forma
43 La LPD non prevede requisiti formali per la comunicazione delle informazioni. Sono sufficienti anche informazioni orali, ad esempio sotto forma di annunci su nastro. Nella pratica, tuttavia, si raccomanda di solito la forma testuale, se non altro per motivi di prova.
44 In pratica, il modo più comune di adempiere all'obbligo di informazione è attraverso dichiarazioni sulla protezione dei dati ("avviso sulla privacy" o "politica sulla privacy"). Una procedura comune è quella di descrivere un'ampia gamma di trattamenti dei dati in una nota generale sulla privacy (dall'attività con i clienti all'assunzione di personale alla collaborazione con i partner commerciali) e di integrarla con note sulla privacy specifiche per prodotti o servizi. In pratica, sono comuni anche le dichiarazioni speciali sulla protezione dei dati online ("cookie notice" o "cookie policy") per il trattamento dei dati in relazione alla visita di un sito web o di un'app.
45 Le dichiarazioni sulla protezione dei dati rappresentano un'informazione unilaterale per il titolare del trattamento e come tali possono essere adattate in modo flessibile per tenere conto della natura dinamica di molte operazioni di trattamento dei dati. Da un punto di vista pratico, l'unilateralità dell'informazione significa anche che non è necessaria una conferma o un'accettazione attiva della dichiarazione di protezione dei dati da parte degli interessati e quindi, nella maggior parte dei casi, si può fare a meno delle caselle di controllo spesso presenti nei moduli online o nei processi di ordinazione.
46 È anche possibile includere le note sulla protezione dei dati nelle condizioni generali di contratto (CGC). A differenza delle dichiarazioni sulla protezione dei dati, tuttavia, le avvertenze sulla protezione dei dati contenute nelle CGV diventano parte del contratto e possono quindi essere modificate solo emendando il contratto, il che spesso si rivela troppo complicato nella pratica. Inoltre, l'obbligo di informazione può essere adempiuto solo nei confronti dei partner contrattuali (ma non nei confronti di altri soggetti interessati) per mezzo delle CGC. Si sconsiglia pertanto di integrare gli avvisi sulla protezione dei dati nelle CGC e di inserire nelle CGC solo un riferimento alla dichiarazione sulla protezione dei dati. Ulteriori disposizioni sulla protezione dei dati nelle CG sono giustificate al massimo se si vuole ottenere il consenso ai sensi della legge sulla protezione dei dati, sebbene il consenso ottenuto tramite le CG sia talvolta considerato in modo critico.
47 Le comunicazioni sulla protezione dei dati vengono interpretate in base alla regola dell'inusualità e dell'ambiguità, vale a dire che occorre fare particolare riferimento ai punti inusuali e che le formulazioni poco chiare vengono interpretate a svantaggio dell'autore. Ciò vale anche se le informative sulla protezione dei dati sono concepite come dichiarazioni sulla protezione dei dati o comunque come informazioni unilaterali, almeno nella misura in cui non sono puramente informative e possono anche avere un effetto legale, ad esempio definendo gli scopi del trattamento o come base informativa per eventuali consensi. Le informative sulla protezione dei dati integrate nelle CG sono inoltre soggette al controllo degli abusi ai sensi dell'art. 8 LCSl.
C. Messa a disposizione
48 Le informazioni obbligatorie devono essere facilmente accessibili agli interessati (art. 13 LPD). Non è necessario che gli interessati prendano effettivamente nota delle informazioni. Il principio dell'accesso non si applica, ma è sufficiente che gli interessati abbiano la possibilità di accedere alle informazioni senza grandi sforzi. L'accesso alle informazioni può quindi richiedere la collaborazione dell'interessato, anche perché la trasparenza di base è già garantita dall'obbligo di trasparenza e l'obbligo di fornire informazioni serve solo a soddisfare un'esigenza di informazione più ampia.
49 Tuttavia, i passi che l'interessato deve compiere per ottenere le informazioni devono essere ragionevoli. Non sarebbe più facilmente accessibile e quindi non sufficiente, ad esempio, la semplice designazione di una persona di contatto o l'invio della dichiarazione sulla protezione dei dati solo su richiesta. Per contro, è molto diffusa l'indicazione delle informazioni sulla protezione dei dati su un sito web. L'informazione su Internet è sufficiente, purché sia garantito che le informazioni sulla protezione dei dati siano facilmente reperibili sul sito e raggiungibili con pochi clic. In pratica, si è dimostrata efficace una sottopagina separata per la dichiarazione sulla protezione dei dati e il suo collegamento permanente nel cosiddetto footer, cioè nell'area in fondo a un sito web.
50 Le informazioni su Internet sono generalmente sufficienti anche se il trattamento dei dati avviene offline. Gli interessati sono ormai abituati a trovare le informazioni sulla protezione dei dati sul sito web dell'azienda e le danno addirittura per scontate. Le informative sulla protezione dei dati rese disponibili su Internet offrono anche diversi vantaggi, come una navigazione semplificata e ampie possibilità di progettazione user-friendly. Nella maggior parte dei casi, quindi, il passaggio a Internet è ragionevole. Solo in casi particolari, ad esempio quando si tratta di un trattamento delicato di dati personali particolarmente sensibili, quando si tratta di gruppi di persone anziane o quando l'accesso a un sito web non è ragionevole in termini di tempo a causa della situazione, può essere necessario, in via eccezionale, che gli interessati possano accedere a tutte le informazioni obbligatorie ai sensi dell'art. 19 LPD senza dover cambiare mezzo di comunicazione.
51 Un mezzo utile per facilitare il cambio di supporto è la visualizzazione di codici QR che possono essere scansionati con un telefono cellulare e che conducono all'informativa sulla protezione dei dati su Internet. Tali codici QR sono sempre più comuni nella pratica (ad esempio nella segnaletica per la videosorveglianza), ma non sono obbligatori per legge.
52 Non solo è consentita, ma è anche generalmente orientata alle esigenze degli interessati, l'informativa a più livelli, in cui al primo livello viene fornita solo una panoramica iniziale del trattamento dei dati e l'informativa completa viene fornita solo a un livello successivo. In linea di principio, il titolare del trattamento può definire a propria discrezione quali informazioni fornire a quale livello. Non esistono "informazioni di base" che devono essere fornite al primo livello.
53 La versione o la datazione dell'informativa sulla protezione dei dati può essere utile, ma non è richiesta dalla legge, così come non lo è l'archiviazione e la messa a disposizione delle versioni precedenti, che talvolta si riscontra nella pratica.
D. Comunicazione
54 La fornitura delle informazioni richieste è di solito sufficiente e non è necessaria una comunicazione attiva agli interessati. Anche i riferimenti alla dichiarazione sulla protezione dei dati nei moduli, nelle firme di posta elettronica, sulla carta intestata, nonché nelle conversazioni telefoniche e in altre comunicazioni simili, che talvolta si riscontrano nella pratica, non sono necessari secondo il punto di vista qui rappresentato; anche nei contratti, un riferimento esplicito alla dichiarazione sulla protezione dei dati sembra spesso superfluo. Nel caso della videosorveglianza, un pittogramma chiaramente visibile all'ingresso dell'area di vendita è di solito sufficiente a stabilire la trasparenza di base richiesta, a condizione che l'operatore sia riconoscibile nelle circostanze. In questi casi, si può prevedere che gli interessati consultino il sito web se desiderano saperne di più sul trattamento dei dati da parte dell'azienda in questione. Lo faranno anche intuitivamente e daranno per scontato che le note sulla protezione dei dati si trovino sul sito web.
55 La comunicazione attiva agli interessati è necessaria solo se l'interessato non sa (e non ha bisogno di sapere) che l'azienda in questione tratta dati che lo riguardano. Ciò accade spesso quando i dati personali non vengono raccolti direttamente dall'interessato, ma anche nei casi di raccolta diretta quando la raccolta dei dati avviene senza che l'interessato ne sia consapevole (ad esempio, quando le persone vengono registrate automaticamente quando entrano in un'area pubblica e vengono tracciati i percorsi a piedi). In questi casi, gli interessati devono essere informati attivamente dell'informativa sulla protezione dei dati (ad esempio, indicando l'URL o fornendo un codice QR), altrimenti non penserebbero nemmeno di consultare il sito web dell'azienda per informarsi sul trattamento dei dati.
56 Per le stesse ragioni, le modifiche alla dichiarazione sulla protezione dei dati devono essere comunicate ai clienti esistenti nell'ambito di obblighi continuativi, almeno se le finalità del trattamento sono ampliate e la modifica equivale quindi a un nuovo appalto. In caso contrario, gli interessati non avrebbero alcuna indicazione del fatto che la dichiarazione sulla protezione dei dati potrebbe essere cambiata e che sarebbe quindi consigliabile visitare il sito web. In pratica, tali informazioni vengono solitamente inviate via e-mail o tramite banner pop-up in un negozio online o quando si accede a un account cliente. È possibile anche un avviso nella spedizione della fattura.
V. Consigli pratici
A. Procedura e strumenti
57 Le informative sulla protezione dei dati dovrebbero essere preparate in stretta collaborazione con i responsabili commerciali e tecnici delle aree che effettuano il trattamento dei dati, in quanto queste funzioni conoscono meglio quali dati vengono utilizzati per quali scopi e in che modo. Spesso i portatori di conoscenze rilevanti si trovano nelle unità aziendali responsabili del trattamento intensivo dei dati, ad esempio i reparti di marketing, di analisi dei dati e le unità HR. In pratica, un approccio partecipativo basato su workshop che coinvolge questi portatori di conoscenza si è dimostrato efficace. Tuttavia, è anche possibile raccogliere informazioni tramite questionari strutturati o interviste.
58 Anche l'elenco dei trattamenti ai sensi dell'art. 12 LPD o dell'art. 30 DSGVO fornisce una prima panoramica delle operazioni di trattamento e spesso offre una buona base per identificare le operazioni di trattamento dei dati rilevanti. Inoltre, nella maggior parte dei casi l'elenco dei trattamenti contiene informazioni che possono essere utilizzate per preparare i dati obbligatori, come ad esempio informazioni sui tipi di dati trattati, sulle finalità del trattamento e sulle (categorie di) destinatari.
59 In pratica, esistono diversi strumenti che supportano le aziende nella preparazione delle comunicazioni sulla protezione dei dati, tra cui modelli di dichiarazioni sulla protezione dei dati che possono essere utilizzati come punto di partenza e adattati alle proprie esigenze. Ad esempio, le seguenti offerte sono ampiamente utilizzate:
Modello di dichiarazione generale sulla protezione dei dati, che copre numerose attività di trattamento standard ed è allineato sia alla LPD che al DSGVO, preparato da due rinomati studi legali svizzeri e disponibile sul sito https://dsat.ch/download/ (gratuitamente);
Generatore di protezione dei dati di Datenschutzpartner per la creazione di una dichiarazione di protezione dei dati per i siti web con formulazioni campione per numerosi strumenti web comuni, disponibile all'indirizzo https://www.datenschutzpartner.ch/angebot-datenschutz-generator/ (a pagamento);
Esempio di dichiarazione di protezione dei dati del professore universitario tedesco Thomas Hoeren per i gestori di siti web, disponibile all'indirizzo https://www.itm.nrw/wp-content/uploads/Musterdatenschutzerkaerung-nach-der-DSGVO_Stand_September_2022-1.docx (gratuito).
60 Secondo la comune concezione di governance, l'approvazione del contenuto della dichiarazione di protezione dei dati dovrebbe essere effettuata dagli organi di gestione responsabili del trattamento dei dati, ad esempio il comitato esecutivo. Il ruolo del responsabile della protezione dei dati o del consulente per la protezione dei dati e di altre funzioni legali e di conformità dovrebbe essere limitato, anche in considerazione del regime sanzionatorio, a una funzione di coordinamento e consulenza.
B. Preparazione e progettazione
61 L'ordinanza di attuazione della legge sulla protezione dei dati richiede informazioni precise e comprensibili (art. 13 LPD). Tuttavia, si tratta di criteri difficilmente giustiziabili (e nemmeno sanzionabili) e nella pratica dominano ancora testi di flusso dall'aspetto legalistico. A quanto pare, molte aziende ritengono che sia difficile ottenere un posizionamento positivo nei confronti della protezione dei dati e che quindi non valga la pena di investire risorse significative nella preparazione di avvisi sulla protezione dei dati di facile utilizzo.
62 Inoltre, non aiuta il fatto che la legge sulla protezione dei dati incentivi a considerare le informative sulla protezione dei dati principalmente come uno strumento difensivo e non come una comunicazione incentrata sul cliente: da un lato, in vista di strumenti normativi e sanzioni più severe, le aziende sono ansiose di includere formulazioni di apertura e clausole generali, proteggendosi così dalle accuse di informative sulla protezione dei dati errate o incomplete. Dall'altro lato, in considerazione del principio della limitazione delle finalità, le aziende non vogliono precludersi alcun margine di manovra e si limitano a elencare possibili future finalità di trattamento nelle informative sulla protezione dei dati.
63 Nonostante questa sfortunata struttura di incentivi, nella pratica esistono diversi approcci promettenti per rendere le informative sulla protezione dei dati più facili da leggere e più in linea con le esigenze dei destinatari:
Informazioni a più livelli ("approccio a strati"), in cui gli aspetti principali del trattamento dei dati sono presentati in primo luogo in modo chiaro e le informazioni dettagliate seguono solo a un livello successivo. Le informazioni stratificate comprendono anche testi pieghevoli ed esempi tangibili per illustrare le spiegazioni, a volte piuttosto astratte.
L'uso di pittogrammi per la protezione dei dati che consentono agli interessati di ottenere rapidamente una prima panoramica del trattamento dei loro dati. Un esempio sono i pittogrammi standardizzati pubblicati dall'associazione Privacy Icons, che rendono riconoscibili a colpo d'occhio alcuni aspetti tipicamente rilevanti per gli interessati e sono già utilizzati da diverse importanti aziende svizzere.
Cruscotti sulla protezione dei dati che forniscono un facile punto di accesso e consentono agli interessati di stabilire autonomamente le priorità e di ottenere informazioni mirate sui punti essenziali.
Video esplicativi che introducono gli interessati all'argomento e forniscono loro una comprensione semplice dei contenuti più importanti.
Elementi di gamification che trasmettono agli interessati gli aspetti chiave del trattamento dei dati in modo ludico.
64 Tali approcci di "legal design" possono aumentare significativamente l'accessibilità e la facilità di lettura delle informative sulla protezione dei dati e sono quindi da accogliere con favore in termini di trasparenza del trattamento dei dati. Tuttavia, non vi è alcun obbligo legale di utilizzare tali approcci di facile comprensione per il cliente, nemmeno ai sensi del DSGVO.
VI. Applicazione e conseguenze legali
A. Diritto amministrativo
65 Se le persone interessate non sono state informate correttamente sul trattamento dei dati, l'IFPD può avviare un'indagine e ordinare la fornitura di informazioni conformi alla legge come misura amministrativa (art. 51 cpv. 3 lett. c LPD). L'IFPDT può agire d'ufficio o su segnalazione.
66 In linea di principio è possibile anche vietare il trattamento dei dati o ordinare una rettifica da parte dell'IFPD (art. 51 cpv. 1 LPD). Tuttavia, nella maggior parte dei casi, una misura così drastica non sarebbe proporzionata sulla base di informazioni non corrette.
B. Diritto penale
67 L'obbligo di fornire informazioni è uno degli obblighi della LPD soggetto a sanzioni penali. Chiunque non fornisca informazioni ai sensi dell'art. 19 LPD o fornisca informazioni false o incomplete può essere punito con una multa fino a 250.000 franchi svizzeri (art. 60 cpv. 1 LPD). L'obbligo di informazione è un dovere con un grande impatto esterno e la minaccia di una sanzione ha quindi il potenziale per essere usata specificamente come mezzo di pressione contro un'azienda o i dipendenti o i decisori responsabili.
68 Alcuni si chiedono se l'art. 19 LPD soddisfi il requisito di certezza del diritto penale di cui all'art. 1 CP e se una violazione dell'obbligo di informazione possa quindi essere sanzionata dal diritto penale. In ogni caso, si deve pretendere che, per quanto riguarda la completezza, vengano prese in considerazione solo le informazioni obbligatorie ai sensi dell'art. 19 cpv. 2-4 LPD. Eventuali informazioni aggiuntive da fornire ai sensi della clausola generale dell'art. 19 cpv. 2 non devono essere prese in considerazione.
69 In linea di principio, non è l'azienda a essere perseguibile, ma la persona o le persone fisiche responsabili della violazione (art. 64 cpv. 1 LPD in combinato disposto con l'art. 6 del Codice di procedura penale). Può trattarsi di personale direttivo che ha l'obbligo legale di garantire la conformità alla protezione dei dati, o di persone che hanno la responsabilità dei processi operativi all'interno dell'azienda e sono autorizzate a prendere decisioni su questioni relative all'obbligo di informazione. D'altro canto, coloro che si limitano a fornire assistenza sono complici e, in quanto tali, non sono punibili. In alcuni casi, la persona fisica può non essere punita e l'azienda può invece essere multata. Ciò avviene se l'identificazione del colpevole richiederebbe misure investigative sproporzionate ed è possibile una multa non superiore a 50.000 franchi svizzeri (art. 64 cpv. 2 LPD in combinato disposto con l'art. 7 Codice di procedura penale).
70 Sono punibili solo gli atti intenzionali. Ciò include anche il dolo eventuale, ossia l'accettazione del reato. La commissione negligente del reato, invece, rimane impunita. Chi dimentica una dichiarazione, formula qualcosa in modo impreciso o omette deliberatamente qualcosa perché ritiene che non faccia parte delle informazioni obbligatorie non agisce intenzionalmente e rimane impunito. Al fine di escludere il più possibile l'azione intenzionale, le decisioni relative all'obbligo di informazione devono essere documentate in modo comprensibile in ogni caso, ad esempio per le considerazioni che vengono omesse o per le informazioni che vengono omesse.
71 L'art. 60 cpv. 1 LPD è un reato di applicazione. Una violazione dell'obbligo di informazione è quindi perseguibile solo su richiesta, ma non d'ufficio. Qualsiasi interessato può presentare un reclamo, ma non l'IFPDT.
C. Diritto civile
72 La violazione dell'art. 19 LPD, in quanto disposizione di diritto pubblico, non comporta di per sé una violazione dei diritti della personalità e non può quindi essere fatta valere dagli interessati in giudizio.
73 Gli interessati possono tuttavia far valere la violazione del principio generale di trasparenza come principio di trattamento e intentare un'azione legale su questa base presso il tribunale civile competente.
D. DSGVO
74 Nell'ambito di applicazione del DSGVO, le violazioni dell'obbligo di informazione possono essere punite con un'ammenda fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo (art. 83(5) DSGVO). Si tratta della sanzione più elevata tra le due previste dal DSGVO. A differenza del DSGVO, l'ammenda prevista dalla LPD è diretta principalmente contro l'azienda e non contro le persone fisiche che agiscono per conto dell'azienda.
75 Ai sensi del DSGVO, una violazione dell'obbligo di informazione può anche rendere nulla la base giuridica richiesta per il trattamento e quindi rendere illegale il trattamento dei dati.
VII. Criticità della norma
76 L'obbligo di informazione è espressione di una concezione di base del diritto della protezione dei dati basata sull'autodeterminazione informativa. L'idea di base è che gli interessati si informino sul trattamento dei dati e, sulla base di ciò, decidano con cognizione di causa se acconsentire o meno al relativo trattamento dei loro dati e se esercitare uno dei diritti di protezione dei dati loro riconosciuti.
77 Nell'attuale mondo digitalizzato e basato sui dati, i limiti di questa comprensione di base stanno diventando sempre più evidenti. Il trattamento dei dati personali riguarda oggi tutti i settori della vita e gli interessati si trovano costantemente di fronte ad avvisi completi sulla protezione dei dati, per i quali spesso non hanno il tempo e di solito nemmeno le competenze necessarie. Il risultato è un sovraccarico di informazioni e una costante sensazione di essere sopraffatti. Per molti è economicamente razionale risparmiarsi questo sforzo e rimanere disinformati.
78 Ci si chiede quindi se il dovere di informazione raggiunga ancora l'obiettivo prefissato e giustifichi le spese ad esso associate. La sua base concettuale risale agli albori della protezione dei dati, quando il trattamento dei dati era ancora semplice. Da allora, tuttavia, il nostro mondo si è evoluto tecnologicamente e il moderno trattamento dei dati è spesso complesso. È quasi come chiedere a una compagnia aerea di pubblicare informazioni tecniche complete e aspettarsi che i potenziali passeggeri le utilizzino per farsi un'opinione sull'aeronavigabilità dell'aereo. Anche in questo caso, non si tratta di una soluzione né realistica né mirata. Sarebbe opportuno sviluppare nuovi approcci alla protezione dei dati che non si basino su una trasparenza superficiale.
Bibliografia
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised and adopted on 11 April 2018, abrufbar unter https://ec.europa.eu/newsroom/article29/items/622227/en, besucht am 25.5.2023.
Bäcker Matthias, Kommentierung zu Art. 13 und 14 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bergt Matthias, Kommentierung zu Art. 83 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bieri Adrian/Powell Julian, Informationspflicht nach dem totalrevidierten Datenschutzgesetz, AJP 2020, S. 1533 ff.
Bühlmann Lukas/Lagler Marion, Informationspflichten und Auskunftsrecht nach dem neuen Datenschutzrecht, SZW 2021, S. 16 ff.
Bühlmann Lukas/Schüepp Michael, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, in: Jusletter 15. März 2021.
Ettlinger Claudius, Die Informationspflicht gemäss neuem Datenschutzgesetz, in Jusletter IT 16. Dezember 2021.
Franck Lorenz, Kommentierung zu Art. 13 DSGVO, in: Gola Peter/Heckmann Dirk (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2022.
Kohlmeier Astrid/Klemola Meera, Das Legal Design Buch, Hürth 2021.
Maric Antonio, Legal Design im Kontext von Datenschutzerklärungen, in: Jusletter IT 20. Juli 2023.
Paal Boris/Hennemann Moritz, Kommentierung zu Art. 13 DSGVO, in: Paal Boris/Pauly Daniel (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 19 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Rampini Corrado/Fuchs Philippe, Kommentierung zu Art. 14 DSG, in: Maurer-Lambrou Urs/Blechta Gabor P. (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 2021, S. 52 ff.
Schweikard Christine/Vasella David, Datenschutzerklärungen und AGB, digma 2020, S. 88 ff.
Steiner Thomas, Zwischen Autonomie und Angleichung: Eine Analyse zur Anwendung des neuen DSG im Lichte der DSGVO, in: Widmer Michael (Hrsg.), Datenschutz: Rechtliche Schnittstellen, Zürich 2023, S. 51 ff.
Thouvenin Florent, Datenschutz auf der Intensivstation, digma 2019, S. 206 ff. (zit. Intensivstation).
Thouvenin Florent, Informationelle Selbstbestimmung: Intuition, Illusion, Implosion (noch nicht erschienen) (zit. Informationelle Selbstbestimmung).
Thouvenin Florent/Glatthaar Matthias/Hotz Juliette/Ettlinger Claudius/Tschudin Michael, Privacy Icons: Transparenz auf einen Blick, in: Jusletter 30. November 2020.
Vasella David, Zu den Anforderungen an die Erfüllung der Informationspflicht nach dem revDSG, datenrecht.ch, 28. Oktober 2022, abrufbar unter https://datenrecht.ch/zu-den-anforderungen-an-die-erfuellung-der-informationspflicht-nach-dem-revdsg, besucht am 25.5.2023 (zit. Informationspflicht).
I Materiali
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).