In breve

La legge sulla protezione dei dati ha le sue origini nel segreto professionale (antico) sviluppato per la prima volta da Ippocrate: L'idea era quella di mantenere segrete le informazioni sui pazienti. Da questo concetto, con il crescente progresso tecnico, la relativa complessità e la globalizzazione dello scambio di informazioni, a partire dal 1970 si sono sviluppate le prime codificazioni generali della legge sulla protezione dei dati - prima nei singoli Paesi, poi gradualmente anche a livello transfrontaliero da parte di organizzazioni internazionali e infine dalla Comunità Europea. La prima legge sulla protezione dei dati in Svizzera è entrata in vigore nel 1992, quella totalmente rivista (nuova) il 1° settembre 2023.

I. Il giuramento di Ippocrate come primo segreto professionale

1 La prima normativa codificata sulla protezione dei dati personali può essere fatta risalire al periodo compreso tra il 460 e il 370 a.C.: Con il Giuramento di Ippocrate, i medici si impegnano ancora oggi a mantenere segrete le informazioni sui loro pazienti. A questo si aggiunsero vari segreti professionali, come il segreto dell'ostetrica, il segreto del confessionale o il segreto dell'avvocato.

II. XX secolo: La legge sulla protezione dei dati entra nell'ordinamento giuridico

2 Le disposizioni originariamente legate alla professione per la protezione delle informazioni personali, come il segreto medico, il segreto ostetrico o persino il segreto professionale, si basano sulla convinzione che le violazioni possano essere individuate immediatamente e che i responsabili possano essere chiamati a risponderne senza ulteriori sforzi.

3 Questo concetto di chiarezza delle responsabilità è stato superato dal progresso tecnico, dalla relativa complessità e dalla crescente globalizzazione dello scambio di informazioni già nel secolo scorso. Così, negli anni '70, sono sorte le prime domande su come gestire l'elaborazione "automatizzata" dei dati, cioè l'uso dei computer e le relative responsabilità e sfide per la sicurezza dei dati - improvvisamente, ad esempio, non era più "solo" il medico a scrivere una nota a mano nella cartella clinica fisica del paziente - i dati erano memorizzati su un PC, che nella migliore delle ipotesi era gestito da una società informatica esterna, ecc. Le nuove sfide associate a questo fenomeno hanno portato alla creazione delle prime codifiche generali della legge sulla protezione dei dati intorno al 1970, prima nei singoli Paesi, poi gradualmente a livello transfrontaliero da parte di organizzazioni internazionali e infine da parte della Comunità Europea.

4 Esempi:

• 1973: Svezia.

• 1977: Repubblica Federale Tedesca.

• 1978: Austria e Francia.

• 1980: Linee guida dell'OCSE per la protezione della privacy e dei flussi transfrontalieri di dati personali.

• 1981: Convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali.

• 1995: Direttiva UE sulla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati.

• 2000: Carta dei diritti fondamentali dell'Unione Europea (CGUE) con l'articolo 8 "Protezione dei dati personali".

In Svizzera, il movimento di codificazione è iniziato a livello cantonale e federale negli anni '70 ed è infine culminato nella Legge federale sulla protezione dei dati nel 1992.

III. XXI secolo: Protezione dei dati e digitalizzazione

5 La LPD, nata in un'epoca in cui il "trattamento automatizzato dei dati" era un'eccezione, non era sempre più in grado di soddisfare le esigenze del mondo digitalizzato. La revisione della LPD è stata influenzata in modo significativo dalla revisione della protezione dei dati nell'UE:

A. Impulso: la revisione della protezione dei dati nell'UE

6 Nel 2012 l'Unione europea ha avviato un dibattito sulla moderna normativa in materia di protezione dei dati. Dopo intensi negoziati, il Parlamento europeo e il Consiglio dell'Unione europea hanno infine adottato il Regolamento generale sulla protezione dei dati (DSGVO) e la Direttiva 2016/680 nel 2016.

• Il DSGVO regolamenta principalmente la protezione dei dati trattati nel contesto del mercato interno europeo, ma si applica anche al settore pubblico. È entrato in vigore il 25 maggio 2018.

• La direttiva 2016/680 è volta a proteggere i dati personali trattati a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, compresa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica. La direttiva 2016/680 è allineata alla formulazione del DSGVO per ottenere un vocabolario di base coerente per quanto riguarda i principi generali in tutta l'area dell'UE. È entrata in vigore il 5 maggio 2016.

B. Il percorso svizzero verso una moderna legge sulla protezione dei dati personali

7 Il 9 dicembre 2011, il Consiglio federale ha approvato un rapporto sulla valutazione della LPD e ha incaricato il Dipartimento federale di giustizia e polizia (DFGP) di esaminare misure legislative per rafforzare la protezione dei dati, tenendo conto dei risultati della valutazione e degli sviluppi in corso nell'UE e nel Consiglio d'Europa. In quell'occasione, il Consiglio federale si è chiesto in che misura fosse necessario aumentare la trasparenza del trattamento dei dati e sensibilizzare le persone interessate ai nuovi rischi. In particolare, la revisione della necessità di azioni legali dovrebbe tenere conto del fatto che i minori sono particolarmente vulnerabili quando si tratta del trattamento dei loro dati. Allo stesso tempo, però, il Consiglio federale ha anche sottolineato che l'esame delle misure legislative deve tenere conto del fatto che le misure di protezione dei dati possono entrare in conflitto con altri interessi. Pertanto, oltre alla protezione della privacy, devono essere presi in considerazione anche gli interessi dell'economia, il diritto alla libertà di opinione e di informazione, nonché altri interessi privati e pubblici. Questo lavoro è stato svolto con il coinvolgimento di un gruppo consultivo, che ha definito la necessità di un intervento legislativo entro il 2014.

8 Dopo aver preso atto del rapporto del gruppo consultivo il 1° aprile 2015, il Consiglio federale ha incaricato il DFGP di preparare un progetto preliminare di revisione della LPD entro la fine di agosto 2016. Questo progetto preliminare di revisione totale della LPD e di modifica di altre leggi sulla protezione dei dati è stato inviato in consultazione il 21 dicembre 2016.

9 Il Consiglio federale ha infine adottato il messaggio sulla "nuova" legge sulla protezione dei dati il 15 settembre 2017. L'obiettivo del Consiglio federale era quello di "adattare la protezione dei dati all'era di Internet e rafforzare la posizione dei cittadini". Allo stesso tempo, il livello svizzero di protezione dei dati doveva essere allineato a quello dell'UE al fine di preservare la decisione di adeguatezza, importante per il libero trasferimento dei dati tra le aziende svizzere e quelle dell'UE.

10 Le consultazioni parlamentari sono state difficili; a volte vi erano opinioni fondamentalmente divergenti sulla portata della nuova legge sulla protezione dei dati. Allo stesso tempo, il tempo stringeva: singole disposizioni della nuova legge sulla protezione dei dati erano "rilevanti per Schengen" e dovevano essere attuate entro due anni dall'entrata in vigore della corrispondente legge Schengen. Il Parlamento ha quindi deciso di dividere il disegno di legge: La cosiddetta "legge sulla protezione dei dati Schengen" è stata adottata il 28 settembre 2018 ed è entrata in vigore il 1° marzo 2019. È stata nuovamente abrogata o reintegrata nella legge sulla protezione dei dati quando è entrata in vigore la nuova legge sulla protezione dei dati. La "legge sulla protezione dei dati Schengen" disciplinava il trattamento dei dati personali da parte degli organi federali ai fini della prevenzione, dell'indagine o del perseguimento di reati o dell'esecuzione di pene, compresa la protezione e la prevenzione di minacce alla sicurezza pubblica.

11 In una seconda fase, sono stati discussi gli aspetti della revisione della protezione dei dati non pertinenti all'area Schengen e fortemente influenzati dal DSGVO. Si trattava in particolare delle innovazioni per il trattamento dei dati personali da parte dei privati (cioè principalmente delle aziende). Le discussioni si sono concentrate sui seguenti argomenti:

• Rafforzamento dei diritti degli interessati: Estensione del diritto all'informazione (OC-Steiger sull'art. 25 LPD) e introduzione del diritto alla portabilità dei dati (si veda il commento dell'OC sull'art. 28 LPD).

• Estensione degli obblighi dei responsabili e degli incaricati del trattamento: introduzione del principio della privacy by design e default (OC Claus sull'art. 7 LPD) e dell'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati per determinate forme di trattamento (OC Harasgama sull'art. 22 LPD) e di segnalare le violazioni della protezione dei dati all'autorità di controllo (OC de la Cruz sull'art. 24 LPD).

• Introduzione di un catalogo di sanzioni (OK-Gassmann sull'art. 60 e segg. LPD) e rafforzamento delle competenze dell'IFPD (OK-Reinle sull'art. 49 LPD; OK-Fanger/Oehri sull'art. 50 LPD).

12 Infine, dopo tre anni, la revisione della legge sulla protezione dei dati è stata adottata il 25 settembre 2020. Il referendum è decaduto non utilizzato, per cui la legge è entrata in vigore il 1° settembre 2023 insieme all'ordinanza di attuazione (DPO), anch'essa totalmente rivista.

L'autrice fornisce la sua valutazione personale in questo commento.

Bibliografia

Husi-Stämpfli Sandra, Kommentierung zur Entstehungsgeschichte des DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Auflage, Bern 2023.