-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
In breve
L'art. 20 LPD contiene una serie di esenzioni dall'obbligo di informazione: da un lato, esenzioni in cui l'obbligo di informazione non si applica affatto, ad esempio se l'interessato dispone già delle informazioni pertinenti o se il trattamento è effettuato in adempimento di un obbligo legale. D'altro canto, la disposizione contiene restrizioni in cui l'obbligo di informazione continua a sussistere, ma l'informazione può essere limitata, rinviata o sospesa in singoli casi, ad esempio se l'informazione vanificherebbe lo scopo del trattamento o se interessi prevalenti sono in conflitto con l'informazione. L'articolo 20 LPD funge da correttivo a un obbligo di informazione completo e garantisce che l'obbligo di informazione non diventi un onere eccessivo per i responsabili del trattamento e rimanga limitato ai casi in cui è necessario per la protezione degli interessati.
I. Aspetti generali
A. Scopo della legge
1 L'art. 20 LPD prevede una serie di esenzioni dall'obbligo di fornire informazioni. La disposizione mira a garantire che l'obbligo di informazione si applichi quando è necessario per un trattamento trasparente dei dati e per la protezione degli interessati, mentre non si applica nei casi in cui sarebbe superfluo o sproporzionato. È un'espressione dello sforzo legislativo di trovare un equilibrio di interessi e di creare agevolazioni mirate. Rispetto al DSGVO, il catalogo di eccezioni dell'art. 20 LPD è piuttosto ampio.
B. Storia delle origini
2 L'art. 20 LPD riunisce le eccezioni e le limitazioni presenti in vari articoli della vecchia legge (art. 9, art. 14 cpv. 4 e 5, art. 18a e art. 18b aDSG) e le integra moderatamente. L'art. 20 LPD è rimasto indiscusso in linea di principio nelle deliberazioni parlamentari, anche se l'eccezione per lo sforzo sproporzionato è stata considerata troppo ampia da alcune parti del Parlamento. Il privilegio di gruppo ai sensi dell'art. 20 cpv. 4 LPD è stato aggiunto nelle deliberazioni parlamentari.
C. Sistema
3 La disposizione distingue tra eccezioni, in cui l'obbligo di fornire informazioni non si applica affatto, e restrizioni, in cui l'obbligo di fornire informazioni continua ad applicarsi in linea di principio, ma il responsabile del trattamento può limitare, rinviare o sospendere la fornitura di informazioni in singoli casi. L'art. 20 LPD si applica sia ai responsabili del trattamento dei dati privati che agli organi federali, ma distingue tra organi privati e organi federali nelle singole eccezioni e limitazioni.
4 Le eccezioni e le limitazioni contenute nell'art. 20 LPD sono esaustive. Una violazione dell'obbligo di informazione non può essere giustificata nemmeno ai sensi dell'art. 31 LPD, poiché l'obbligo di informazione di cui all'art. 19 LPD è di natura pubblicistica e non è una concretizzazione dei principi di trattamento di cui all'art. 6 LPD.
D. Note interpretative
5 Le eccezioni di cui all'art. 20 LPD sono piuttosto ampie e comprendono i casi in cui il trattamento dei dati è identificabile (base giuridica, cpv. 1 lett. b) o la riservatezza dei dati personali trattati è garantita (obbligo legale di segretezza, cpv. 1 lett. c), ma il bisogno di informazioni dell'interessato protetto dall'obbligo di informazione rimane insoddisfatto. È quindi opportuno interpretare i fatti in modo piuttosto restrittivo e allinearli allo scopo dell'obbligo di informazione.
II. Eccezioni (cpv. 1 e 2)
A. Generalità
6 L'art. 20 LPD prevede ai cpv. 1 e 2 un totale di sei situazioni in cui il responsabile del trattamento è completamente esonerato dall'obbligo di informare gli interessati. In queste situazioni, l'interessato non deve essere informato dell'applicabilità dell'eccezione. L'unica possibilità è quella di esercitare il diritto di accesso, anche se spesso l'interessato non ha motivo di chiedere l'accesso ai propri dati se non è a conoscenza del trattamento e il diritto di accesso è a sua volta soggetto a restrizioni simili (art. 26 LPD).
B. Conoscenza preventiva delle informazioni (cpv. 1 lett. a)
7 L'obbligo di fornire informazioni non si applica se l'interessato è già in possesso delle informazioni pertinenti. Gli interessati non devono essere informati su cose che già conoscono, il che è ovvio. Un'eccezione analoga all'obbligo di informazione si trova anche nel DSGVO. Nella vecchia LPD, l'eccezione era ancora un po' più ristretta e si riferiva al processo di informazione e non all'esistenza dell'informazione in sé (art. 14 cpv. 4 e art. 18a cpv. 3 aDSG: "se l'interessato è già stato informato").
8 L'eccezione significa inizialmente che gli interessati non devono essere nuovamente informati in caso di successivi acquisti di dati se sono già stati informati in occasione di un precedente acquisto. Il prerequisito è che le acquisizioni siano correlate dal punto di vista fattuale e non troppo distanti nel tempo. Si potrebbe pensare a singoli ordini in un negozio online, ad esempio, se le informazioni erano già state fornite al momento della creazione dell'account, o a un trattamento medico successivo se le informazioni erano già state fornite in relazione al trattamento iniziale.
9 Un'altra applicazione dell'eccezione si ha quando la persona interessata ha acconsentito al trattamento dei dati, in quanto un consenso valido ai sensi dell'art. 6 cpv. 6 LPD richiede per definizione informazioni sufficienti. Le informazioni richieste dall'art. 19 LPD possono quindi essere fornite anche tramite una dichiarazione di consenso.
10 Secondo il messaggio, l'eccezione dovrebbe coprire anche le situazioni in cui la persona interessata invia i propri dati personali al responsabile del trattamento senza l'intervento di quest'ultimo. Si tratta di un'eccezione di ampia portata, poiché la conoscenza dell'interessato si limita all'acquisizione dei dati. Tuttavia, esiste un interesse informativo legittimo in ulteriori circostanze del trattamento dei dati, nell'esempio di una domanda di lavoro menzionata dall'invio, ad esempio se (e per quanto tempo) i documenti di candidatura vengono conservati anche per lavori futuri, a chi possono essere trasmessi e dove vengono conservati.
11 Infine, rientrano nell'eccezione anche i casi in cui è chiaro che la persona interessata ha rinunciato al diritto alle informazioni ai sensi dell'art. 19 LPD o non ha alcun interesse nelle informazioni. Tuttavia, questo deve essere limitato a casi evidenti e in ogni caso non si può presumere se la persona interessata ha reso i suoi dati personali pubblicamente accessibili (ad esempio, su un profilo di social media).
C. Trattamento prescritto dalla legge (cpv. 1 lett. b)
12 L'obbligo di informazione non si applica nemmeno se il trattamento dei dati è previsto dalla legge. Il ragionamento è che in questi casi il legislatore ha già definito i cardini del trattamento dei dati, ponderando i vari interessi, e informare gli interessati non fornirebbe quindi alcuna protezione aggiuntiva significativa. Il DSGVO contiene un'eccezione simile, ma limitata al caso degli appalti indiretti e soggetta alla condizione che la norma legislativa disciplini esplicitamente il trattamento dei dati e preveda misure adeguate per tutelare gli interessi legittimi degli interessati.
13 Per rientrare nell'eccezione, il trattamento stesso dei dati deve essere prescritto dalla legge o deve essere indispensabile per l'adempimento di un obbligo legale. Per quanto riguarda i responsabili del trattamento privati, è sufficiente una base sufficientemente precisa in una legge in senso sostanziale. Per gli organi federali, si applica lo standard dell'art. 34 LPD ed è necessaria una legge in senso formale se si tratta del trattamento di dati personali particolarmente sensibili, se viene effettuata una profilazione o se si tratta di una grave violazione dei diritti fondamentali.
14 I trattamenti di dati richiesti dalla legge sono numerosi nell'ordinamento giuridico e l'eccezione è quindi di grande importanza pratica. Tra gli esempi si possono citare la tenuta del registro delle azioni e la convocazione e lo svolgimento dell'assemblea generale degli azionisti nel caso di società per azioni; gli obblighi di identificazione e di determinazione del titolare effettivo ai fini della lotta al riciclaggio di denaro; gli obblighi di notifica delle autorità sanitarie in relazione alle malattie trasmissibili; il pagamento delle retribuzioni e la preparazione dei certificati da parte del datore di lavoro nel rapporto di lavoro; gli obblighi contabili ai sensi della normativa fiscale e previdenziale.
15 L'eccezione può essere invocata anche nel caso in cui il responsabile del trattamento dei dati abbia determinato egli stesso l'obbligo legale, ad esempio gli obblighi di identificazione ai sensi della legge sul riciclaggio di denaro attraverso l'avvio del rapporto commerciale o il trattamento indicato dalla legge sul lavoro attraverso la conclusione del contratto di lavoro.
16 Se il trattamento dei dati va oltre l'obbligo legale (ad esempio, se i dati raccolti per combattere una pandemia devono essere utilizzati anche per scopi di marketing), l'eccezione non si applica e occorre fornire informazioni. Non sono esenti dall'obbligo di informazione nemmeno le operazioni di trattamento dei dati che vengono effettuate solo a livello generale all'interno di un quadro giuridicamente definito, ma che sono eseguite volontariamente. Nel settore dei dipendenti, le informazioni sono quindi regolarmente richieste, ad esempio sotto forma di dichiarazione di protezione dei dati dei dipendenti. Anche se il quadro stabilito dall'art. 328b CO non viene superato, il trattamento dei dati nell'area dei dipendenti di solito va oltre quanto effettivamente prescritto dalla legge.
17 Nel caso degli organi federali, il trattamento dei dati personali ai sensi dell'art. 34 LPD si basa nella maggior parte dei casi su una base giuridica. Tuttavia, le relative disposizioni di legge sono spesso piuttosto generiche e spesso non sono in grado di garantire da sole la trasparenza richiesta dall'obbligo di informazione. Il cpv. 1 lett. b esonera quindi gli organi federali dall'obbligo di informazione solo se il trattamento dei dati è espressamente previsto dalla legge ed è descritto con sufficiente precisione. Come esempio di trattamento dei dati descritto con precisione nella legge, si possono utilizzare gli artt. 69f e 69g RTVA in combinazione con gli artt. 67 e 67a RTVA. Si possono citare gli artt. 67 e 67a RTVO. D'altro canto, esentare gli organi federali dall'obbligo di fornire informazioni per qualsiasi trattamento basato sulla legge sulla base del cpv. 1 lett. b comporterebbe un onere eccessivo per la trasparenza del trattamento dei dati da parte della Confederazione e renderebbe in gran parte obsoleta l'applicabilità dell'art. 19 LPD agli organi federali di per sé e le restrizioni previste dall'art. 20 cpv. 3 LPD specificamente per gli organi federali.
D. Obblighi di riservatezza previsti dalla legge (cpv. 1 lett. c)
18 Le persone fisiche soggette a un obbligo legale di riservatezza sono esenti dall'obbligo di fornire informazioni. Ciò vale in particolare per i gruppi professionali di cui all'art. 321 CP, come il clero, gli avvocati, i farmacisti e i medici. L'eccezione si applica solo (ma sempre) all'area di attività protetta dal segreto, ma non a qualsiasi altra attività di una persona appartenente a questi gruppi professionali. Se, ad esempio, l'avvocato o il medico generico tratta dati personali per l'acquisizione di clienti (inviti a eventi o invio di informazioni sui clienti) o per la fornitura del proprio sito web, è soggetto all'obbligo di divulgazione per queste attività.
19 L'eccezione non si applica alla persona giuridica presso la quale la persona soggetta all'obbligo di riservatezza è impiegata o per la quale lavora. Un organismo di avvocati o un centro medico deve quindi fornire informazioni anche sul trattamento dei dati nell'area di attività protetta dal segreto (ad esempio, sui servizi di avvocati nell'area del monopolio o sui servizi sanitari). L'eccezione non si applica nemmeno agli organi federali.
20 Secondo il messaggio, l'eccezione di cui al cpv. 1, lettera c), regola un possibile conflitto di norme tra l'obbligo di riservatezza e l'obbligo di informazione, ma ciò non è convincente: anche nell'ambito delle attività protette da segreto, non verrebbero divulgati dati personali fornendo le informazioni richieste dall'art. 19 LPD e quindi non verrebbero divulgati segreti. Un avvocato, ad esempio, potrebbe facilmente informare in modo generico che i dati personali contenuti in un documento legale saranno trasmessi alla controparte e al tribunale competente. Allo stesso modo, un medico potrebbe informare della divulgazione di dati personali alla compagnia di assicurazione sanitaria ai fini della fatturazione. In questi casi il segreto professionale non verrebbe intaccato. Se tuttavia dovesse esistere un conflitto nel singolo caso, potrebbe anche essere risolto attraverso una delle restrizioni previste dal cpv. 3 (ad esempio, nel caso di interessi prevalenti).
21 L'esenzione generalizzata dall'obbligo di informazione per le persone soggette a un obbligo di segretezza è sorprendente anche perché, sebbene la riservatezza dei dati personali trattati sia garantita quando si applica un obbligo di segretezza previsto dalla legge, la necessità di informazioni tutelata dall'obbligo di informazione non viene automaticamente meno. Ad esempio, rimane aperto per quali scopi la persona con l'obbligo di riservatezza tratta i dati personali, ad esempio se il medico o l'avvocato effettua anche la profilazione e utilizza i dati raccolti per scopi di marketing.
22 Il DSGVO contiene un'eccezione analoga per il caso in cui i dati personali raccolti siano soggetti a segreto professionale. È allo stesso tempo più ampia e più ristretta dell'eccezione del DPA: l'eccezione del DPA non è limitata ai privati, ma si applica solo in caso di approvvigionamento indiretto.
E. Privilegio dei media (cpv. 1 lett. d)
23 Un'altra eccezione riguarda le attività di ricerca dei media in relazione alla pubblicazione di un lavoro giornalistico e alla protezione delle fonti. Alle stesse condizioni in cui le informazioni possono essere rifiutate, si può anche rinunciare alle informazioni: L'art. 20 cpv. 1 lett. d LPD fa riferimento all'art. 27 LPD. L'eccezione tutela la funzione di informazione e controllo dei media. Se le persone oggetto di ricerche investigative dovessero essere informate e le fonti di informazione dovessero essere divulgate, il lavoro giornalistico sarebbe reso impossibile e i media non potrebbero svolgere la funzione democratica che si prefiggono.
24 L'eccezione al cpv. 1 lett. d è disponibile solo nel caso di trattamento di dati personali in vista della pubblicazione nella sezione editoriale di un mezzo di comunicazione periodico (ad esempio un giornale o una rivista online). L'eccezione non può essere invocata per i cosiddetti "advertorial" e altre pubblicazioni a carattere prevalentemente pubblicitario, né può essere invocata per le attività di ricerca relative a un film documentario o a un altro supporto non periodico. Tuttavia, nel caso di tali attività di ricerca, è possibile invocare un altro motivo di eccezione o restrizione, ad esempio l'art. 20(3)(b) LPD (frustrazione dello scopo).
F. Impossibilità di ottenere informazioni (cpv. 2 lett. a)
25 Se i dati personali non sono ottenuti direttamente dall'interessato, cioè indirettamente, l'obbligo di informazione non si applica anche se non è possibile fornire le informazioni. Nei casi di acquisizione diretta, l'eccezione non è disponibile, il che è logico. Logicamente, non è possibile la raccolta diretta dei dati presso l'interessato, ma non è possibile la sua informazione.
26 L'impossibilità di effettuare l'informazione esiste, ad esempio, se l'interessato non può essere identificato in alcun modo. Nell'esempio della foto di uno sconosciuto menzionato nel dispaccio, ciò non può essere assunto senza ulteriori indugi alla luce delle odierne possibilità tecnologiche. L'eccezione ha poca rilevanza pratica per altri aspetti: Se non è possibile identificare la persona interessata, di solito i dati in questione non sono personalmente identificabili e la questione dell'obbligo di informazione non si pone nemmeno.
G. Sforzo sproporzionato (cpv. 2 lett. b)
27 Infine, l'obbligo di informazione non si applica se i dati personali sono ottenuti indirettamente e informare gli interessati richiederebbe uno sforzo sproporzionato. Anche in questo caso, l'eccezione non può essere invocata in caso di acquisizione diretta. Chiunque raccolga dati personali direttamente dall'interessato deve essere tenuto a informarlo della raccolta.
28 La misura in cui lo sforzo è ancora proporzionato deve essere determinata caso per caso e si basa sullo sforzo richiesto al responsabile del trattamento in relazione all'interesse informativo degli interessati. Il fattore decisivo non è l'interesse informativo specifico delle singole persone, ma un interesse informativo generalizzato. Quanto più sensibili sono i dati trattati, quanto più esteso è il trattamento, quanto più critiche sono le modalità del trattamento, quanto più critica è la finalità del trattamento e quanto più nuove sono le tecnologie utilizzate per il trattamento, tanto maggiore è la spesa che si può prevedere per il titolare del trattamento.
29 Il dispaccio cita il trattamento dei dati personali a fini di archiviazione come esempio di sforzo sproporzionato. Nel caso di un gran numero di persone, le informazioni sarebbero associate a un grande sforzo, mentre l'interesse per le informazioni delle persone interessate in questi casi sarebbe regolarmente limitato. L'analoga disposizione di esenzione del DSGVO cita come ulteriori esempi il trattamento a fini di ricerca scientifica o storica e a fini statistici. Le informazioni degli interessati possono anche essere sproporzionate se vengono utilizzate quantità molto elevate di dati per l'addestramento di modelli linguistici di grandi dimensioni e di modelli di IA simili, ad esempio se l'IA viene addestrata con "l'intera Internet". In pratica, è consigliabile documentare in ogni caso le considerazioni in base alle quali le informazioni dell'interessato non sono più considerate proporzionate.
30 I fatti del cpv. 2 lett. b sono concepiti come un'eccezione, ma una restrizione sarebbe stata più appropriata. Se l'informazione è sproporzionata, ad esempio a causa dell'elevato numero di persone interessate, l'omissione completa dell'informazione non sembra appropriata. Un rimedio più blando (e ovvio) in questi casi sarebbe quello di fornire una dichiarazione sulla privacy sul sito web della società interessata, rinunciando alla notifica individuale.
III. Restrizioni
A. Generale
31 L'art. 20 LPD contiene nel cpv. 3 un totale di cinque costellazioni in cui le informazioni possono essere limitate, rinviate o sospese. A differenza delle eccezioni di cui ai cpv. 1 e 2, in questi casi l'obbligo di fornire informazioni non cessa completamente e le informazioni possono essere limitate solo nella misura richiesta dal motivo corrispondente nel singolo caso. Se il motivo della restrizione cessa di essere valido, le informazioni devono essere fornite successivamente. Come per le eccezioni, anche nel caso delle restrizioni ai sensi del cpv. 3 non è necessario informare l'interessato dell'applicazione e della portata della restrizione, e l'unico ricorso dell'interessato è quello di far valere il diritto all'informazione.
32 Le possibilità di limitare le informazioni si basano in gran parte su un bilanciamento di interessi, in cui la ragione specifica di una restrizione deve essere stabilita in relazione alla necessità di informazioni delle persone interessate. Al contrario, nel caso delle eccezioni, l'esistenza di una circostanza specifica (ad esempio, il fatto che l'interessato sia già in possesso delle informazioni) di solito determina se l'eccezione può essere utilizzata o meno.
B. Interessi prevalenti di terzi (cpv. 3 lett. a)
33 È possibile limitare le informazioni se ciò è necessario a causa di interessi prevalenti di terzi. Il termine "terzi" di cui al cpv. 3 lett. a non va inteso esclusivamente al plurale e per poter limitare le informazioni è sufficiente anche il prevalente interesse di un singolo terzo. Questa possibilità di restrizione esiste sia per i responsabili del trattamento dei dati privati che per gli organi federali.
34 La restrizione può essere utilizzata nei casi in cui i terzi abbiano interesse a non fornire informazioni all'interessato e tale interesse sia superiore al bisogno di informazioni dell'interessato. Ciò è particolarmente concepibile nelle costellazioni in cui l'interessato otterrebbe anche dettagli di terzi attraverso le informazioni e i suoi interessi alla riservatezza verrebbero così compromessi. In pratica, tuttavia, è probabile che tali costellazioni si verifichino solo raramente, poiché le informazioni in quanto tali non rivelano di solito alcun dato personale.
C. Vanificazione dello scopo (cpv. 3 lett. b)
35 La limitazione delle informazioni per i responsabili del trattamento dei dati privati e gli organi federali è possibile anche se le informazioni vanificano lo scopo del trattamento dei dati. L'art. 20 cpv. 3 lett. b LPD lascia aperto il problema se sia sufficiente una semplice compromissione dello scopo del trattamento per limitare l'informazione o se questa debba essere completamente impedita. Secondo il messaggio, le disposizioni dell'art. 20 cpv. 3 LPD devono essere interpretate in modo restrittivo, per cui si deve presumere che l'impedimento debba essere completo.
36 Nel caso di più finalità perseguite con il trattamento dei dati, l'informazione alla persona interessata deve vanificare l'effettiva finalità principale, che, secondo il messaggio, deve essere anche di notevole importanza. La possibilità di limitare l'informazione è inoltre ulteriormente limitata dal fatto che gli interessi puramente economici non rientrano generalmente nel campo di applicazione della restrizione ai sensi del cpv. 3 lett. b. In pratica, quindi, saranno pochi i casi in cui le parti responsabili private potranno avvalersi di questa restrizione. Le possibilità di applicazione sono più ampie nel caso degli organi federali, soprattutto nell'ambito dell'azione penale, anche se in questo caso la possibilità di restrizione ai sensi del cpv. 3 lett. d n. 2 è probabilmente applicabile nella maggior parte dei casi.
37 Un esempio di applicazione della restrizione è rappresentato dalle attività di ricerca nell'ambito del giornalismo investigativo, che non rientrano nell'eccezione di cui all'art. 20 cpv. 1 lett. d LPD, ad esempio perché la ricerca viene effettuata per un documentario e non per un mezzo di comunicazione pubblicato periodicamente. La sospensione dell'informazione ai sensi del cpv. 3 lettera b può essere giustificata anche nel caso in cui i dati personali vengano elaborati nell'ambito della conservazione di prove per un processo successivo e l'informazione della persona interessata renderebbe impossibile la raccolta delle prove. Altrettanto ipotizzabile è il rinvio dell'informazione quando si conducono studi comportamentali in cui le persone interessate devono mostrare un comportamento il più naturale possibile e l'informazione prima dello svolgimento dello studio falsificherebbe i risultati. Anche nel caso di un'osservazione giustificata di una persona da parte di un investigatore privato, il suo scopo sarebbe vanificato dal fornire informazioni alla persona osservata.
D. Interessi superiori della persona responsabile (cpv. 3 lett. c)
38 La possibilità di limitare le informazioni sulla base di interessi prevalenti del responsabile del trattamento è aperta solo ai responsabili del trattamento privati. Gli organi federali non possono fare riferimento a questa possibilità.
39 A differenza del cpv. 3 lett. b, in questo caso sono in gioco anche interessi economici come la promozione delle vendite o lo sviluppo del prodotto. Poiché la possibilità di restrizione è rivolta solo ai responsabili privati, in molti casi saranno proprio questi gli interessi economici in gioco. Tuttavia, l'effettiva restrizione delle informazioni deve essere preceduta da un bilanciamento tra gli interessi del responsabile del trattamento e le esigenze informative delle persone interessate. Si tratta di uno standard piuttosto aperto ed è quindi consigliabile che i responsabili del trattamento dei dati documentino perché i loro interessi prevalgono.
40 Un altro prerequisito per limitare le informazioni ai sensi del cpv. 3, lettera c), è che i dati non vengano divulgati a terzi. Ciò significa che i dati devono essere comunicati a soggetti responsabili indipendenti, ad esempio a partner di cooperazione o a reti pubblicitarie, ma anche alle autorità. Tuttavia, non sono dannose le comunicazioni agli incaricati del trattamento che eseguono il trattamento dei dati per conto del titolare del trattamento secondo le istruzioni impartite, nonché ai corresponsabili. Se si vogliono includere anche le comunicazioni agli incaricati del trattamento e ai corresponsabili, la LPD parla solitamente di "destinatari" anziché di "terzi".
41 Ai sensi del cpv. 4, anche la divulgazione di dati a società del gruppo è generalmente innocua, anche se il destinatario all'interno del gruppo è a sua volta un responsabile del trattamento. Nel caso di divulgazione di dati personali all'interno del proprio gruppo, ad esempio nell'area delle risorse umane, le condizioni per la possibilità di restrizione sono quindi ancora soddisfatte. Questo privilegio di gruppo non era originariamente previsto nel progetto di legge ed è stato aggiunto durante le consultazioni parlamentari. Di conseguenza, solo la divulgazione a persone responsabili distinte al di fuori del gruppo di appartenenza porterà all'esclusione della possibilità di restrizione di cui al cpv. 3 lett. c.
42 Cpv. 3 lettera c, offre un notevole margine di manovra per l'applicazione pratica di una restrizione delle informazioni, poiché per un gran numero di operazioni di trattamento dei dati è possibile far valere un interesse prevalente del titolare del trattamento. Di norma, si deve presumere che vi sia un interesse prevalente, ad esempio, nel caso di trattamenti di dati a bassa soglia, come le semplici misure di fidelizzazione dei clienti, in cui le circostanze e le modalità del trattamento dei dati sono ovvie e un'informazione completa non avrebbe quindi alcun valore aggiunto per gli interessati.
E. Interessi pubblici prevalenti (cpv. 3 lett. d n. 1)
43 Per gli organi federali è possibile limitare le informazioni se ciò è necessario per tutelare interessi pubblici prevalenti. Per i responsabili privati, non è possibile basare una restrizione delle informazioni sul cpv. 3 lett. d.
44 Ciò che deve essere inteso come interesse pubblico è definito in modo piuttosto ampio. La norma cita, a titolo di esempio, gli interessi alla sicurezza interna o esterna della Svizzera, che possono essere rilevanti in particolare nel contesto delle attività di intelligence. Tuttavia, gli interessi pubblici sono coinvolti anche se, ad esempio, sono in gioco il rispetto di obblighi di diritto internazionale, scopi diplomatici o il mantenimento di relazioni con l'estero. Un organo federale potrebbe quindi, ad esempio, limitare la fornitura di informazioni se la comunicazione alle persone interessate danneggiasse le relazioni di politica estera con un altro Paese.
45 Anche in questo caso, l'interesse pubblico deve "prevalere" ed è quindi necessario un bilanciamento degli interessi perché un organo federale possa avvalersi della possibilità di restrizione. Tuttavia, un bilanciamento tra la necessità di informazione delle (singole) persone interessate e gli interessi della sicurezza nazionale è spesso favorevole alla possibilità di restrizione.
F. Minaccia al procedimento (cpv. 3 lett. d n. 2)
46 Infine, il cpv. 3 lett. d n. 2 prevede la possibilità di restrizione se le informazioni mettono in pericolo un'indagine, un'inchiesta o un procedimento ufficiale o giudiziario. Anche questa possibilità è riservata agli organi federali e non può essere utilizzata dai privati incaricati. I responsabili privati devono ricorrere a un'altra eccezione o ragione di restrizione in caso di minaccia al procedimento.
47 La possibilità ha una prossimità sostanziale con la restrizione delle informazioni se questa vanifica lo scopo effettivo del trattamento dei dati. A differenza di quanto previsto dal cpv. 3 lettera b in cui lo scopo deve essere effettivamente frustrato, una minaccia è sufficiente per l'opzione di restrizione di cui al cpv. 3 lettera d. Non è quindi necessario che il pericolo si concretizzi effettivamente; il rischio è sufficiente.
Bibliografia
Bieri Adrian/Powell Julian, Informationspflicht nach dem totalrevidierten Datenschutzgesetz, AJP 2020, S. 1533 ff.
Bühlmann Lukas/Lagler Marion, Informationspflichten und Auskunftsrecht nach dem neuen Datenschutzrecht, SZW 2021, S. 16 ff.
Cottier Bertil, Transparence des traitements de données personnelles opérés par les organes fédéraux: un pas en avant, deux en arrière, SZW 2021, S. 65 ff.
Ettlinger Claudius, Die Informationspflicht gemäss neuem Datenschutzgesetz, in Jusletter IT 16. Dezember 2021.
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 19 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Vasella David, Zu den Anforderungen an die Erfüllung der Informationspflicht nach dem revDSG, datenrecht.ch, 28. Oktober 2022, abrufbar unter https://datenrecht.ch/zu-den-anforderungen-an-die-erfuellung-der-informationspflicht-nach-dem-revdsg, besucht am 25.5.2023 (zit. Informationspflicht).
I Materiali
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 18.5.2023 (zit. Botschaft DSG).