-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Generalità
- II. Contenuto
- III. Violazione dell'obbligo di effettuare una DIA
- IV. Sfide e rilevanza pratica
- V. Confronto con il diritto dell'UE
- Bibliografia
- I Materiali
In breve
L'art. 22 LPD disciplina i requisiti per l'esecuzione di una valutazione d'impatto sulla protezione dei dati (DPIA). L'articolo si basa sulle disposizioni dell'art. 35 septies del GDPR. DSGVO. Con l'aiuto dell'analisi dei rischi per la protezione dei dati, deve essere effettuata una valutazione di tali rischi prima di qualsiasi trattamento dei dati previsto che possa comportare rischi elevati per la personalità o i diritti fondamentali degli interessati. In questo modo, le misure appropriate per ridurre al minimo il rischio dovrebbero essere definite e adottate prima dell'inizio del trattamento dei dati. Secondo la legge, un rischio elevato sussiste in particolare nel caso di (i) trattamento esteso di dati che richiedono una protezione speciale (ad esempio, dati sanitari) o (ii) monitoraggio sistematico ed esteso di aree pubbliche (ad esempio, l'installazione di telecamere di sorveglianza in un parco). Tuttavia, l'elenco dei rischi elevati di cui all'art. 22 non è esaustivo. In genere, i rischi elevati derivano dall'uso di nuove tecnologie e processi, come i sistemi algoritmici ("intelligenza artificiale"), i sistemi DLT o l'analisi dei Big Data. Tuttavia, l'attività di trattamento prevista può essere classificata come ad alto rischio per la personalità o i diritti fondamentali degli interessati anche a causa di altri fattori, ad esempio perché sono coinvolti minori, vengono prese decisioni individuali automatizzate o i dati personali vengono trasmessi a una rete complessa di responsabili del trattamento. Tuttavia, la violazione dell'obbligo di cui all'art. 22 non è direttamente punibile.
I. Generalità
A. Panoramica
1A differenza del GDPR, il DSGVO rivisto non prevede un obbligo generale di responsabilità. Tuttavia, è stato introdotto l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati (DPIA) per le operazioni di trattamento dei dati con rischi elevati, che costituisce di fatto un obbligo di responsabilità per determinate operazioni di trattamento dei dati. La DPIA non è sancita dalla legge solo a livello federale, ma anche in numerosi cantoni. A Zurigo, ad esempio, l'obbligo corrispondente si trova nel § 10 cpv. 1 IDG, in relazione al controllo preventivo (cfr. sulla procedura di consultazione preventiva a livello federale il commento all'art. 23).
2Con la revisione, la DIA è ancorata alla Legge svizzera sulla protezione dei dati per tutti i responsabili del trattamento, sia per i responsabili privati che per gli organi federali. Per questo motivo, la formulazione della disposizione copre sia i rischi elevati per la personalità (per il trattamento dei dati da parte dei responsabili privati) sia i diritti fondamentali (per il trattamento dei dati da parte degli organi federali) degli interessati. La DIA serve a identificare e valutare i rischi potenziali di un trattamento di dati pianificato in una fase iniziale e a definire e attuare misure di riduzione del rischio. Queste misure devono essere adottate prima dell'inizio del trattamento dei dati previsto (si veda più avanti il paragrafo 8 e seguenti). L'applicazione dell'art. 22 è una conseguenza dell'approccio basato sul rischio della LPD, che è particolarmente evidente nell'attuazione degli artt. 22 e 23.
3 DIA viene attribuita un'importanza crescente. Ciò è giustificato soprattutto dalla crescente diffusione di sistemi algoritmici avanzati o di nuove tecnologie comparabili in tutti i settori della vita, come le tecnologie di distributed ledger o l'Internet degli oggetti. In molte delle suddette applicazioni sono coinvolti dati personali e non si può escludere che la personalità o i diritti fondamentali degli interessati siano esposti a rischi elevati quando si utilizzano queste tecnologie. In questi casi, è quindi necessaria una DPA. Il titolare del trattamento è incoraggiato ad analizzare in anticipo il trattamento dei dati previsto. Allo stesso tempo, va notato che alcuni processi sono difficilmente tracciabili, soprattutto nel caso di sistemi algoritmici, e il loro potenziale non può essere definito in modo definitivo (il cosiddetto problema della "scatola nera"). Di conseguenza, potrebbe non essere possibile definire e delimitare chiaramente i dati personali trattati e le finalità del trattamento nei singoli casi, soprattutto perché spesso nel trattamento dei dati sono coinvolti molti responsabili del trattamento e altre terze parti e le analisi dei big data alla base dei sistemi offrono un potenziale non ancora prevedibile. In questi casi, il DPAA può anche essere un'"impresa ambiziosa", ma la sua attuazione deve essere presa ancora più sul serio. Quanto meglio sarà fatto, tanto più sarà probabile che l'uso di queste tecnologie sia affidabile e trasparente.
B. Storia delle origini
4 Prima della revisione totale, la LPD svizzera non richiedeva esplicitamente ai responsabili del trattamento dei dati privati di effettuare una LPD. Tuttavia, gli organi federali erano già obbligati, ai sensi della vecchia LPD, a notificare al responsabile interno della protezione dei dati o all'IFPDT i progetti che prevedevano il trattamento automatizzato di dati personali (art. 20 cpv. 2 LPD). Questa notifica era legata al fatto che le rispettive autorità federali dovevano elaborare un concetto di sicurezza delle informazioni e di protezione dei dati ("concetto ISDS") per il trattamento dei dati previsto. Secondo il messaggio, questa procedura è paragonabile al DSFA. Per i responsabili del trattamento dei dati privati, la DIA si basava in alcuni casi sull'art. 7 dell'aDSG. Inoltre, i principi del trattamento dei dati hanno sempre richiesto che si tenga conto delle conseguenze del trattamento dei dati. In passato, inoltre, l'IFPDT richiedeva agli incaricati del trattamento dei dati privati di presentare una DIA in determinati casi, soprattutto quando si trattava di un trattamento dei dati ad alto rischio. L'introduzione dell'obbligo di effettuare una DIA era dovuta, non da ultimo, ai requisiti a livello dell'UE ai sensi dell'art. 8bis del progetto di decreto 108 e dell'art. 27 septies della direttiva (UE) 2016/680. L'art. 35 septies del GDPR contiene disposizioni analoghe per i responsabili del trattamento dei dati privati. Il DSGVO contiene disposizioni analoghe per i responsabili del trattamento dei dati che rientrano nell'ambito di applicazione del DSGVO ma non obbligano direttamente la Svizzera nel contesto della legislazione.
5A livello internazionale, lo strumento si basa su una lunga storia che risale agli anni Novanta. Durante questo periodo, le prime valutazioni d'impatto sulla privacy sono state sviluppate sia nella direttiva UE sulla protezione dei dati (art. 20, direttiva 95/46/CE), che è stata sostituita dal DSGVO, sia nel mondo anglosassone. Altri Stati membri dell'UE, come Francia e Germania, hanno emesso raccomandazioni corrispondenti basate sulla Direttiva 95/46/CE. Queste linee guida non vincolanti miravano a ridurre al minimo i possibili rischi fin dall'inizio o, se possibile, a escluderli, soprattutto perché un tale orientamento preventivo si è sempre dimostrato più semplice ed economico rispetto all'adattamento dei processi, ad esempio a posteriori, a un'indagine dell'autorità di vigilanza competente. Questi obiettivi dovrebbero essere raggiunti, tra l'altro, attraverso la descrizione dei "flussi di informazioni", l'inclusione e il dialogo con le "parti interessate" e la stesura di relazioni. Si possono citare come esempio anche i regolamenti della precedente legge federale sulla protezione dei dati (aBDSG) in Germania, che prevedevano una maggiore protezione per tipi speciali di dati nel § 3 cpv. 9 dell'aBDSG. Questi dati speciali erano, tra gli altri, quelli relativi alle opinioni politiche o alla salute. Prima di consentire il trattamento di questi dati da parte delle organizzazioni, il responsabile della protezione dei dati doveva effettuare un cosiddetto "controllo preventivo" per garantire un trattamento adeguato (sezione 4d cpv. 5, aBDSG).
6 Il processo legislativo svizzero ha evidentemente recepito tutti questi sviluppi, prevedendo una LPD in tutte le versioni preliminari della LPD totalmente rivista. Nella bozza preliminare, l'art. 22 e l'associato art. 23 LPD sono stati riuniti in un articolo 16 VE-DSG. Tuttavia, l'art. 16 cpv. 3 LPD era formulato in modo più rigoroso rispetto alla disposizione attualmente in vigore. L'articolo prevedeva che ogni DIA dovesse comunicare all'FDPIC sia il risultato che le misure adottate. Nella LPD, la valutazione d'impatto è stata quindi suddivisa in due articoli e adattata alla struttura dell'art. 35 DSGVO. L'elenco delle operazioni di trattamento ad alto rischio, che richiedono pertanto una DIA, includeva nella bozza anche la profilazione (art. 20 cpv. 2 lett. b LPD). Nel testo finale della legge, tuttavia, questa procedura di trattamento è stata rimossa dall'elenco delle operazioni di trattamento dei dati ad alto rischio sulla base delle consultazioni parlamentari e in conformità con l'attuale sistema giuridico. Questo passo è da accogliere con favore, soprattutto perché in molti casi la profilazione non sarà classificata come particolarmente sensibile e una DIA non sarebbe quindi giustificata.
7 La DIA è ora standardizzata nell'articolo 22 della LPD ed è applicabile sia ai responsabili del trattamento dei dati privati che agli organi federali. La norma giuridica va quindi oltre l'obbligo precedentemente previsto per gli organi federali dall'art. 20 cpv. 2 della FADP e lo amplia. Nell'ambito della nuova norma introdotta con la revisione totale, mancano ulteriori disposizioni di attuazione - ad eccezione dell'art. 14 LPD sull'obbligo di conservazione dei dati per due anni - che potrebbero semplificare l'attuazione nella pratica.
C. Scopo della norma
8Il rispetto dei requisiti dell'art. 22 serve a garantire che un trattamento dei dati pianificato non comporti una violazione della LPD. Il DPA ha lo scopo di sensibilizzare il titolare del trattamento al trattamento dei dati ad alto rischio, come l'uso di sistemi algoritmici ("intelligenza artificiale") o di big data analytics, l'uso di software di riconoscimento facciale, l'introduzione di una banca dati di pazienti o la profilazione ad alto rischio. Si tratta quindi di una "autovalutazione ai sensi della legge sulla protezione dei dati" nel caso di un trattamento dei dati particolarmente rischioso. L'art. 22 è una conseguenza dei principi di protezione dei dati e del principio della protezione dei dati attraverso la tecnologia e le impostazioni predefinite favorevoli alla protezione dei dati (art. 7). L'obiettivo è identificare i rischi in una prima fase e valutarli analiticamente in una seconda fase. Il responsabile del trattamento deve formulare una prognosi sulle possibili conseguenze del trattamento dei dati previsto per gli interessati. Ciò che conta in questo caso è come e in che misura il trattamento dei dati previsto influirà sugli interessati. Infine, lo standard mira a sviluppare e implementare misure appropriate basate sui risultati dell'analisi effettuata al fine di (i) mitigare i rischi identificati del trattamento dei dati pianificato, (ii) trarne conclusioni a lungo termine e (iii) comportarsi complessivamente in modo conforme alla protezione dei dati. In caso di successo, la DPA offre anche la possibilità di dimostrare all'IFPDT la conformità alle disposizioni della legge sulla protezione dei dati e di risparmiare sui costi a lungo termine. In questo senso, l'art. 22 impone al titolare del trattamento di riflettere autonomamente ed esaminare i rischi derivanti dal trattamento dei dati previsto: il trattamento dei dati previsto è conforme alle disposizioni della legge sulla protezione dei dati? Vengono rispettati i principi generali di protezione dei dati? Il trattamento dei dati è proporzionato? La sicurezza dei dati è messa in pericolo dal trattamento previsto? Esistono altri rischi per la personalità o i diritti fondamentali delle persone interessate? Queste domande devono essere affrontate indipendentemente dal livello di rischio, per cui il legislatore si affida in larga misura a una "mentalità pratica". Ciò dovrebbe servire a ridurre i rischi associati al trattamento dei dati a un livello percepito come adeguato.
9Gli obblighi di documentazione e conservazione di cui all'art. 14 DPA integrano l'obbligo di condurre una DIA per i trattamenti di dati ad alto rischio. Il titolare del trattamento è tenuto a documentare la DSFA effettuata e a conservarla per almeno due anni dopo la fine del trattamento dei dati. In questo modo, in caso di indagine da parte dell'IFPDT, il responsabile del trattamento è in grado di giustificare il trattamento dei dati ad alto rischio e di dimostrare come i rischi elevati sono stati contrastati. Questa disposizione dimostra il carattere della DIA come responsabilità supplementare sia nei confronti dell'IFPDT che degli interessati.
II. Contenuto
A. Destinatari
10L'articolo 22 si rivolge in particolare a due soggetti: gli organi federali e i responsabili privati del trattamento dei dati, poiché riguarda sia la valutazione del rischio del trattamento dei dati in questione in relazione alla personalità e ai diritti fondamentali degli interessati. Gli organi federali avevano già un obbligo simile ai sensi dell'aDSG. I responsabili del trattamento dei dati privati, così come gli organi federali, sono interessati da questo obbligo se rientrano nell'ambito di applicazione della LPD ai sensi dell'articolo 3, paragrafo 1. Ciò significa che i responsabili del trattamento dei dati privati con sede in Italia sono tenuti a rispettare le disposizioni della LPD. Ciò significa che anche i responsabili del trattamento dei dati privati con sede all'estero sono soggetti a tale obbligo, a condizione che le loro attività di trattamento dei dati abbiano un impatto in Svizzera secondo il principio dell'impatto e che siano soddisfatti gli altri requisiti dell'art. 22 (cfr. il commento all'art. 3 per i dettagli sul principio dell'impatto).
11 Gli incaricati del trattamento contrattuali non sono giustamente coperti dall'obbligo di effettuare una DIA, soprattutto perché trattano i dati per conto di un responsabile del trattamento e il responsabile del trattamento decide fondamentalmente le finalità e i mezzi del trattamento dei dati. La valutazione del rischio non rientra quindi fondamentalmente nella loro sfera di competenza. Sebbene la LPD, a differenza dell'articolo 28, paragrafo 3, lettera f), del DSGVO, non preveda un obbligo di assistenza per gli incaricati del trattamento dei dati nei confronti dei responsabili del trattamento nell'esecuzione di una DIA, un obbligo di assistenza per gli incaricati del trattamento dei dati può anche essere nel loro interesse. In pratica, un obbligo corrispondente sarà spesso parte degli accordi contrattuali tra il responsabile del trattamento e l'incaricato del trattamento. Dai principi di protezione dei dati di cui all'art. 6, tuttavia, si può dedurre l'obbligo per gli incaricati del trattamento di garantire che il trattamento dei dati loro trasferito sia effettuato in conformità ai principi di protezione dei dati. In caso contrario, il titolare del trattamento deve essere informato che l'attività di trattamento dei dati deve essere adattata. Se necessario, si dovrebbe persino suggerire di effettuare una DPA.
B. Rischio elevato
12 Cpv. 2 prevede che la DIA debba essere effettuata in tutti i casi in cui si debba presumere un rischio elevato per la personalità o i diritti fondamentali dell'interessato. Di conseguenza, non è necessario effettuare una DIA per ogni operazione di trattamento dei dati. Ciò corrisponde all'approccio basato sul rischio della LPD, per cui in questo caso sono in primo piano i rischi per gli interessati e non quelli che si presentano per i responsabili del trattamento.
13Il rischio elevato deriva dalla natura, dalla portata e dalle circostanze, nonché dalla finalità del trattamento dei dati. Questi criteri sono paragonabili ai rischi che devono essere presi in considerazione nella determinazione delle misure di sicurezza dei dati ai sensi dell'art. 1 cpv. 3 LPD. In questo senso, il rischio elevato è presente in particolare, ma non esclusivamente, quando vengono utilizzate nuove tecnologie. Quanto più estese e sensibili sono le azioni e gli archivi di dati, tanto più probabile è l'esistenza di un rischio elevato. Il trattamento dei dati previsto deve essere esaminato in relazione all'impatto sull'identità, l'autodeterminazione o la dignità della persona interessata. Non è necessario che il rischio elevato si manifesti effettivamente: Si tratta di identificare e valutare i rischi potenziali che potrebbero sorgere nel corso del trattamento dei dati.
14 In base alle lettere a e b, esiste un rischio elevato nel senso di una finzione se (i) i dati personali che richiedono una protezione speciale sono trattati in modo estensivo (ad esempio, quando le informazioni sul casellario giudiziario sono pubblicate in un registro pubblico, quando si utilizzano applicazioni sanitarie che valutano i dati e formulano diagnosi, o nelle sperimentazioni cliniche) o (ii) le aree pubbliche sono monitorate in modo estensivo e sistematico (ad esempio, il monitoraggio di un parco giochi o di un parco pubblico o il monitoraggio sistematico dell'uso di Internet da parte dei dipendenti). La legge non elenca altri trattamenti di dati per i quali è necessario effettuare una DPA. Al contrario, il DSGVO prevede, ad esempio, che le autorità di controllo pubblichino gli elenchi dei trattamenti di dati per i quali è obbligatoria una DIA.
15 Secondo la formulazione dell'articolo 22, paragrafo 2, né la profilazione ad alto rischio né il processo decisionale individuale automatizzato sono classificati come attività di trattamento dei dati che richiedono una DIA. A prima vista, ciò sembra sorprendente, soprattutto perché la profilazione ad alto rischio comporta per definizione un rischio elevato per l'interessato e le decisioni individuali automatizzate comportano conseguenze giuridiche o altre conseguenze che riguardano in modo significativo l'interessato. In questo contesto, la profilazione ad alto rischio deve sempre essere oggetto di una DIA. Nel caso delle decisioni automatizzate, invece, la situazione è diversa e più complessa, soprattutto perché una DIA valuta il trattamento dei dati in sé, che non è necessariamente sensibile nel caso di queste decisioni individuali automatizzate. Ciò che è sensibile in questo caso è principalmente il risultato della decisione, che è disciplinato dall'art. 21. Una DIA deve comunque essere effettuata se il trattamento dei dati che porta alla decisione individuale automatizzata potrebbe di per sé comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
16 L'invio elenca ulteriori trattamenti di dati che potrebbero comportare un rischio elevato, in particolare in caso di trattamento di grandi quantità di dati, di trasferimento di dati a paesi terzi (in questo contesto, si fa riferimento alla cosiddetta valutazione d'impatto del trasferimento di dati; cfr. il commento all'art. 16 f.) o se un gran numero di persone può accedere ai dati. Nei singoli casi, tuttavia, occorre sempre verificare se esiste effettivamente un rischio elevato.
17 Né la LDA né la LPD contengono requisiti più precisi in merito alla determinazione del rischio elevato. Pertanto, occorre sempre verificare, sulla base dello specifico trattamento dei dati previsto, se è necessario effettuare una DIA. Le linee guida dell'UE, che forniscono nove criteri per il regolamento di cui all'art. 35 f. DPA, possono servire da guida. DSGVO, che forniscono nove criteri in base ai quali è possibile determinare un rischio elevato. Secondo le linee guida, non appena un'operazione di trattamento dei dati pianificata soddisfa due di questi nove criteri, dovrebbe esserci l'obbligo di effettuare una DIA. I nove criteri sono i seguenti:
Valutazione o classificazione di persone o aspetti della personalità con l'ausilio di dati;
Processo decisionale automatizzato con effetti giuridici nei confronti di persone fisiche o effetti altrettanto significativi;
Monitoraggio sistematico;
Trattamento di dati riservati o altamente personali;
Elaborazione di dati su larga scala;
Corrispondenza o fusione di diverse serie di dati, a meno che non sia prevedibile;
Trattamento dei dati di persone vulnerabili (ad esempio, bambini, dipendenti o pazienti);
Uso o applicazione innovativa di nuove soluzioni tecnologiche o organizzative (ad esempio, intelligenza artificiale, big data analytics o tecnologie basate su blockchain), poiché spesso il loro rischio per la protezione dei dati non è ancora stato valutato con precisione; e
casi in cui il trattamento dei dati impedisce agli interessati di esercitare un diritto, utilizzare un servizio o eseguire un contratto.
Sebbene le linee guida dell'UE non siano applicabili in Svizzera, possono essere utilizzate per condurre una DIA ai sensi della legge svizzera e dell'UE sulla protezione dei dati, a causa dei requisiti legali comparabili. Inoltre, non si può escludere che l'IFPDT pubblichi linee guida simili o applichi per analogia alla Svizzera gli elenchi delle operazioni di trattamento dei dati delle varie autorità di controllo dell'UE ai sensi dell'art. 35 (4) del DSGVO, che richiedono una DPA. Questa prassi garantirà una maggiore certezza giuridica per quanto riguarda la valutazione del rischio elevato.
C. Attuazione della DIA
1. Introduzione
18L'articolo 22 specifica chiaramente in quali casi il responsabile del trattamento deve condurre una DSFA e cosa deve essere osservato nel condurla. Ciò include che la valutazione del rischio deve essere effettuata e documentata in modo strutturato. La documentazione deve anche essere sottoposta alla consultazione dell'IFPDT se, nonostante le misure attuate, il trattamento dei dati continua a comportare un rischio elevato per la personalità o i diritti fondamentali degli interessati (art. 23, par. 1; cfr. in dettaglio il commento all'art. 23).
2. Procedura
19 La DIA deve essere effettuata dal titolare del trattamento prima di avviare un'attività di trattamento dei dati nuova o aggiornata. Ciò serve a identificare in anticipo i rischi del trattamento dei dati previsto e ad attuare misure adeguate prima che si verifichino violazioni legali. La regola è: prima è, meglio è. Tuttavia, l'implementazione iniziale del DSFA non è sufficiente. Piuttosto, sono necessarie ulteriori prove nel corso del progetto, per verificare se le modifiche apportate al trattamento dei dati portino a una valutazione diversa e se quindi altre misure appaiano più appropriate o addirittura obsolete.
20 Per quanto riguarda il contenuto, il DSFA richiede tre fasi, definite nel cpv. 3. Si tratta, in primo luogo, della fase di preparazione, in cui il trattamento dei dati viene descritto nel modo più preciso possibile. In secondo luogo, nella fase di valutazione, si valutano i rischi e su questa base, in una terza fase, si adottano misure per affrontare o superare tali rischi.
21 Prima di eseguire queste tre fasi, tuttavia, i responsabili del trattamento dei dati privati devono verificare se sono legalmente obbligati a trattare i dati. Se esiste un obbligo legale di trattamento, sono esenti dall'obbligo di effettuare una DIA (art. 22 cpv. 4). Inoltre, l'autorità federale o il responsabile del trattamento privato deve innanzitutto effettuare una valutazione preliminare. Si tratta di una valutazione del rischio generale, piuttosto superficiale, per verificare se il trattamento dei dati previsto possa potenzialmente comportare un rischio elevato (cfr. sul rischio elevato N. 12 e segg.). In questo modo, è possibile chiarire in anticipo se sia necessaria una DIA. Se il responsabile del trattamento giunge alla conclusione che il trattamento dei dati previsto non può comportare un rischio elevato, la DIA non è necessaria. Tuttavia, tale decisione deve essere documentata e conservata a fini probatori. Tuttavia, se il responsabile del trattamento conclude, sulla base di questa valutazione preliminare, che il trattamento dei dati in questione potrebbe comportare un rischio elevato, la DIA deve essere effettuata in linea di principio. Un'eccezione è prevista solo nei casi di cui all'art. 22(5).
22 La fase preparatoria comprende una descrizione dettagliata dell'attività di trattamento dei dati (prevista). La legge non specifica cosa debba includere questa descrizione, né quanto dettagliata debba essere. A seconda della complessità dell'attività di trattamento dei dati prevista, la DPA può essere più o meno lunga. Tuttavia, la descrizione deve almeno includere il tipo di dati trattati e le categorie di interessati, una spiegazione delle finalità perseguite, il periodo di conservazione, le operazioni di trattamento, i destinatari e il luogo di trattamento e conservazione. In caso contrario, non è possibile effettuare una valutazione completa del rischio. La descrizione deve indicare i motivi per cui i dati personali devono essere trattati e le modalità di trattamento. Nell'ambito di questa descrizione, devono essere affrontate le tecnologie e i sistemi sottostanti, nonché le basi giuridiche pertinenti, in modo da riconoscere e attuare tempestivamente l'eventuale necessità di un intervento legislativo.
23 Segue la fase di valutazione, durante la quale la necessità e la proporzionalità del trattamento dei dati vengono messe in relazione con i possibili rischi. Vengono valutate le conseguenze negative del trattamento dei dati per la personalità o i diritti fondamentali dell'interessato. I rischi elevati o gli effetti negativi del trattamento dei dati possono manifestarsi in modi diversi: Ad esempio, il trattamento dei dati può danneggiare la reputazione di una persona, oppure il trattamento di dati falsi può portare a prognosi o diagnosi errate in ambito medico. Sono anche ipotizzabili situazioni in cui una persona viene licenziata ingiustificatamente o si verifica una perdita di fiducia nelle autorità, nel responsabile privato o in amici e familiari. Inoltre, il trattamento dei dati può avere anche conseguenze finanziarie. Questi e altri rischi analoghi devono essere analizzati in base alla loro probabilità e gravità nella fase di valutazione.
24 Nella valutazione dei rischi, devono essere rispettati i principi della protezione dei dati, in particolare quelli della minimizzazione dei dati, della protezione dei dati attraverso la tecnologia e delle impostazioni predefinite favorevoli alla protezione dei dati (cfr. n. 4). Anche l'autodeterminazione informativa dell'interessato è di particolare importanza, ma non gli interessi del responsabile del trattamento. Tuttavia, la ponderazione degli interessi in merito alle misure da adottare tra gli interessi dell'interessato (interesse alla protezione dei dati, interesse alla libertà di disporre dei propri dati) e del responsabile del trattamento (interesse al trattamento dei dati) può avvenire in una fase successiva. Sebbene i dati rilevanti per il DPA non debbano necessariamente essere "particolarmente sensibili", la "natura sensibile" dei dati deve essere presa in considerazione nel contesto del rispettivo DPA e delle misure da adottare. Di conseguenza, in questa fase si deve tenere conto sia del numero che della sensibilità dei dati. La fase di valutazione comprende la valutazione della gravità dei rischi e della probabilità che questi si verifichino. Anche se un rischio potenzialmente elevato deve essere identificato in questa fase, i rischi possono anche emergere solo dopo l'esecuzione del DSFA. In questo senso, le tre fasi citate non possono essere rigorosamente separate l'una dall'altra.
25Dopo che la fase di valutazione ha stabilito se il trattamento dei dati comporta un rischio elevato per la personalità o i diritti fondamentali dell'interessato, nella terza fase vengono definite le misure per ridurre il rischio. In questa fase, il responsabile del trattamento non solo deve essere consapevole dei rischi esistenti, ma deve anche decidere come contrastarli. Le misure possono essere organizzative, tecniche, legali o contrattuali. Il responsabile del trattamento deve analizzare come l'attività di trattamento dei dati prevista possa essere adattata per ridurre il rischio elevato a un livello ragionevole. Tali misure possono essere, ad esempio, la restrizione delle categorie di dati, la limitazione dell'accesso ai dati, la crittografia dei dati, la modifica di un incaricato del trattamento coinvolto, la modifica del luogo di trattamento, l'inclusione di determinati obblighi nei contratti con terzi in relazione al trattamento dei dati, ecc. Tuttavia, le misure devono essere adatte a mitigare i rischi specificamente identificati e non possono essere applicate di default, cioè in generale a tutti i rischi delle attività di trattamento dei dati che richiedono una DPA. Esse devono essere definite caso per caso.
26 La LPD non specifica se la DIA debba essere effettuata una sola volta o su base regolare. Ciò dipende dall'attività di trattamento dei dati: Se si tratta di un'attività una tantum, è sufficiente una DIA effettuata una volta sola. Tuttavia, se il trattamento dei dati viene effettuato per un periodo di tempo più lungo e sorgono rischi nuovi o più elevati a causa di circostanze mutate, la DIA deve essere ripetuta. In linea di principio, tuttavia, il DSFA dovrebbe essere ripetuto ogni tre anni circa. Resta da vedere se questa raccomandazione resisterà alla prova del tempo di fronte alle innovazioni tecnologiche in rapido progresso e sempre più complete, ma sembra piuttosto improbabile nella prospettiva attuale.
27 In termini di tempo, si deve tenere conto anche del periodo di conservazione. Ai sensi dell'art. 14 DPA, la documentazione richiesta per la DIA deve essere conservata per due anni. Il periodo inizia con la fine del trattamento dei dati.
3. Esecuzione di una DIA congiunta
28 Il responsabile del trattamento ha il diritto di condurre una DIA congiunta nel caso di diverse operazioni di trattamento dei dati comparabili. Tuttavia, ciò vale solo se i rischi e le contromisure sono simili. Questa possibilità serve a ridurre lo sforzo e i costi per il responsabile del trattamento. Tuttavia, non è certo che questo diritto porti effettivamente a una riduzione degli oneri per i responsabili del trattamento, a meno che una particolare piattaforma o applicazione di trattamento non venga utilizzata in diversi settori o progetti.
4. Organizzazione
29 L'esecuzione di un DSFA non è responsabilità di una sola persona, organo o dipartimento del responsabile del trattamento. Come qualsiasi altra analisi del rischio, si tratta di un processo in cui devono essere coinvolti diversi soggetti, organi e dipartimenti. All'interno di un'azienda, il DSFA coinvolge solitamente la direzione del progetto, il reparto IT e/o il Chief Information Security Officer, l'unità di protezione dei dati o il consulente per la protezione dei dati, il reparto legale, il reparto rischi e conformità e altre persone chiave. Ogni persona coinvolta è essenziale per alcune fasi del DSFA. Ad esempio, il project management è particolarmente importante per la fase di preparazione, perché può descrivere al meglio il trattamento dei dati (previsto). Il dipartimento legale e di protezione dei dati è responsabile della valutazione dei rischi in base alla protezione dei dati e alla legge applicabile. Altri dipartimenti sono particolarmente importanti nel determinare le misure di mitigazione del rischio. Anche gli incaricati del trattamento dei dati che saranno utilizzati nell'operazione di trattamento dei dati prevista dovrebbero essere coinvolti nella DIA. Come per ogni progetto, è particolarmente importante che una persona, un ente o un dipartimento assuma la guida del DSFA e mantenga una visione d'insieme dell'intero processo. Questa leadership è solitamente fornita dal consulente per la protezione dei dati o dal responsabile del progetto a livello operativo. Gli incaricati del trattamento che vengono utilizzati nell'operazione di trattamento dei dati pianificata devono essere coinvolti nel DSFA.
30 Dal punto di vista del titolare del trattamento, è quindi opportuno definire un organismo o un dipartimento che abbia familiarità con i requisiti legali per un DSFA e che disponga delle competenze necessarie per condurre un DSFA. Di solito si tratta dell'ufficio o del dipartimento responsabile della protezione dei dati. A seconda dell'obiettivo o del modello aziendale delle parti responsabili, può essere utile creare un modello che includa le istruzioni per condurre un DSFA, da utilizzare nei singoli casi. In questo modo, si soddisfano i requisiti legali senza dimenticare alcuni aspetti.
D. Eccezioni
31Oltre all'obbligo generale di condurre una DIA nei casi in cui il trattamento dei dati comporti un rischio elevato per gli interessati, i paragrafi 4 e 5 definiscono alcune eccezioni.
32L'articolo 22 cpv. 4 prevede che i responsabili del trattamento dei dati privati possano essere esentati dall'obbligo di effettuare una DIA in singoli casi, a condizione che siano legalmente obbligati a trattare i dati. Nel processo legislativo, questa esenzione è stata giustificata dal fatto che i possibili rischi in questi casi sono già stati valutati e quindi non è più necessario condurre una DIA. Tuttavia, è stato giustamente sottolineato che l'eccezione riguarda esclusivamente la questione dell'ammissibilità del trattamento dei dati, non le modalità di trattamento dei dati. Il DSGVO è più rigoroso a questo proposito e richiede che l'analisi dei rischi effettuata nel contesto della legislazione si riferisca alla specifica attività di trattamento affinché l'eccezione sia applicabile (cfr. n. 40). Inoltre, devono essere presi in considerazione anche i casi in cui il trattamento dei dati non avviene esclusivamente per l'adempimento del rispettivo obbligo di legge. Gli obblighi legali di trattamento dei dati da parte di soggetti privati si trovano, ad esempio, nella Legge federale sulla lotta al riciclaggio di denaro e al finanziamento del terrorismo (art. 30 LRD) o nella divulgazione dei dati dei dipendenti da parte di un datore di lavoro per adempiere agli obblighi di sicurezza sociale (art. 84 LAMal). È ovvio che le autorità federali non rientrano in questa esenzione: Esse possono trattare i dati solo sulla base di un fondamento giuridico.
33L'art. 22 cpv. 5 prevede poi un'ulteriore eccezione. In base ad esso, i responsabili del trattamento dei dati privati possono esimersi dall'obbligo di predisporre la DIA se sono soddisfatte determinate condizioni relative alla certificazione di un'operazione di trattamento dei dati o al rispetto di codici di condotta approvati. Queste esenzioni non si applicano alle autorità federali. Da un lato, ciò avviene se il responsabile del trattamento utilizza un sistema, un prodotto o un servizio certificato per l'uso ai sensi dell'articolo 13 (si veda in dettaglio il commento all'articolo 13 LPD). D'altro canto, l'obbligo non si applica nel caso in cui il responsabile del trattamento si attenga a un codice di condotta ai sensi dell'art. 11, (i) che sia basato su una DPAA, (ii) che adotti misure specifiche per proteggere la personalità e i diritti fondamentali delle persone interessate e (iii) che sia stato sottoposto all'IFPDT. Attualmente in Svizzera non esistono codici di condotta di questo tipo. Tuttavia, tali codici sono ipotizzabili per i settori in cui gli operatori del settore lavorano a stretto contatto e sviluppano congiuntamente processi standardizzati, come ad esempio nelle banche e nelle compagnie assicurative, nelle aziende tecnologiche o dei media o nell'industria pubblicitaria. Nell'UE, lo sviluppo di codici di condotta o regolamenti analoghi è disciplinato dall'art. 40 del DSGVO, per cui è attualmente noto il Codice di condotta UE per il cloud, che funge da codice di condotta armonizzato per il settore del cloud all'interno dell'UE.
III. Violazione dell'obbligo di effettuare una DIA
34 Se un responsabile del trattamento non effettua una DSFA, sebbene esista un obbligo corrispondente ai sensi dell'art. 22, è necessario osservare l'art. 51 cpv. 3, lett. d. In base a questo articolo, l'IFPDT può ordinare al responsabile del trattamento di effettuare una DIA sotto pena di ammenda. Per contro, gli interessati non hanno il diritto di agire in giudizio per ottenere l'esecuzione di una DIA.
35 Se nel corso di un'indagine l'IFPDT stabilisce che un'operazione di trattamento dei dati comporta un rischio elevato, può ordinare che l'operazione di trattamento dei dati sia adattata, sospesa o interrotta del tutto fino all'esecuzione di una DIA (art. 51 cpv. 1 in combinato disposto con l'art. 49 f). Ciò può comportare notevoli ritardi per il responsabile del trattamento, che a sua volta comporta costi elevati e sforzi aggiuntivi per il responsabile del trattamento. Poiché i risultati di un'indagine possono anche essere pubblicati dall'IFPDT (art. 57 cpv. 2), vi sono anche notevoli rischi di reputazione per la persona responsabile.
36 La violazione dell'obbligo di condurre una DIA non è autonomamente soggetta a multa. Questa norma sembra avere senso alla luce del fatto che tale obbligo è principalmente un obbligo di diligenza (consistente in un obbligo di documentazione e di rendicontazione). Nell'UE, tuttavia, la questione è trattata in modo diverso (cfr. n. 40 e segg.). Tuttavia, si può presumere che i responsabili del trattamento dei dati rispetteranno comunque gli obblighi previsti dalla LPD. Da un lato, perché le autorità pubbliche dovevano già tenere conto di tale obbligo nell'ambito dell'aDSG. D'altro canto, anche i responsabili del trattamento dei dati privati, in particolare i gruppi aziendali, hanno effettuato DPA prima dell'entrata in vigore della DPA completamente rivista, ad esempio perché il trattamento dei dati in questione rientrava nella DPA o perché l'IFPDT lo aveva richiesto.
IV. Sfide e rilevanza pratica
37 Con l'entrata in vigore dell'art. 22 rivisto, è evidente che i requisiti normativi per una LPD sono molto complessi. Ciò vale in particolare per l'attuazione da parte delle piccole e medie imprese (PMI), la cui importanza economica in Svizzera non va sottovalutata. Per loro, è probabile che l'esecuzione delle singole fasi previste dall'art. 22 si riveli impegnativa. Ciò vale in particolare per la fase preparatoria e per la fase delle misure (cfr. N. 18 e segg.), che richiedono molto tempo a causa della procedura analitica necessaria. Ciò può generare costi considerevoli nei singoli casi. Di conseguenza, si può presumere che la necessità di modelli, consulenza e assistenza da parte dell'IFPDT aumenterà notevolmente nel prossimo futuro. A questo proposito, l'obbligo delle autorità di vigilanza europee di pubblicare elenchi che definiscano quando una DFA è obbligatoria può essere visto come un passo in questa direzione (art. 35 cpv. 4 DSGVO; cfr. n. 43).
38 Con il crescente utilizzo di sistemi algoritmici e altre applicazioni (cfr. n. 2), anche la DPA diventerà più importante. I responsabili del trattamento devono valutare attentamente in ogni singolo caso quali rischi sembrano appropriati e se l'uso di tali sistemi è conveniente. Questo approccio analitico prima dell'inizio effettivo del progetto non dovrebbe essere una novità, in particolare per le grandi aziende, soprattutto perché le corrispondenti valutazioni d'impatto sulla privacy sono già state effettuate prima della revisione totale (cfr. n. 4 s. e 35) e dovrebbero conoscere gli obblighi analoghi a livello UE attraverso il DSGVO.
39 Il DPA chiarisce inoltre che nell'ambito delle nuove tecnologie dirompenti, le varie aree del diritto si sovrappongono e si può osservare una crescente commistione tra le questioni legali e quelle relative alla tecnologia utilizzata. Un esempio di questo sviluppo è la discussione sulla legge sull'intelligenza artificiale ("AI Act"). Paragonabile alla DIA ai sensi dell'art. 22 LPD, l'ultimo testo discusso si basa su un approccio fortemente basato sul rischio, in base al quale viene operata una differenziazione tra rischio limitato, elevato e inaccettabile. Pertanto, soprattutto nel caso di applicazioni ad alto rischio, definite nell'Allegato III della Legge sull'AI, deve essere eseguita una procedura di valutazione della conformità ai sensi dell'Art. 43 della Legge sull'AI, che si basa, tra l'altro, sull'Allegato VI. Questi requisiti, come la DIA ai sensi della LPD, devono essere intesi come un processo preventivo e continuo che comprende sia aspetti legali che tecnici e, più in generale, serve a garantire la trasparenza e quindi la fiducia degli utenti.
V. Confronto con il diritto dell'UE
40 In generale, l'attuazione del DSGVO ai sensi della LPD è paragonabile ai requisiti a livello UE del DSGVO. Allo stesso tempo, l'Art. 22 f. LPD sono meno severi dell'Art. 35 f. DSGVO. Nell'UE, ad esempio, la DPA deve essere effettuata anche se il trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. A differenza dell'art. 22 del DPA, l'art. 35 cpv. 3 lett. a del DPA prevede esplicitamente una DPA anche per le decisioni individuali automatizzate.
41 Le lettere da a a d dell'art. 35 cpv. 7 regolano fasi comparabili a quelle dell'art. 22 LPD, che devono essere prese in considerazione quando si effettua una DIA. Pertanto, la fase preparatoria è paragonabile alla lettera a, la fase di valutazione alle lettere b e c e la fase di attuazione delle misure alla lettera d. Anche se in Svizzera si può presumere che una DIA possa essere effettuata nuovamente nel corso del trattamento dei dati a causa di circostanze mutate, l'art. 35 cpv. 11 DSGVO lo prevede esplicitamente in alcuni casi.
42 Mentre l'art. 35 cpv. 2 DSGVO prevede l'obbligo di consultare il responsabile della protezione dei dati, almeno se è stato nominato, l'art. 35 cpv. 9 DSGVO prevede addirittura che il responsabile del trattamento possa consultare gli interessati quando effettua la DIA. La LPD non contiene una disposizione di questo tipo. La consultazione del responsabile della protezione dei dati non ha alcuna influenza sul DSFA in termini di contenuto, soprattutto perché il ruolo del responsabile della protezione dei dati non è specificato. La consultazione degli interessati, invece, è finalizzata alla trasparenza da parte del responsabile del trattamento e all'autodeterminazione degli interessati. Queste consultazioni rafforzano il senso e lo scopo della LPD, dimostrando ancora una volta che i rischi da valutare sono quelli del trattamento dei dati per gli interessati e quindi non principalmente quelli per il responsabile del trattamento.
43 A differenza della Svizzera, l'art. 35 cpv. 4 DSGVO impone alle autorità di controllo di tenere un elenco delle operazioni di trattamento per le quali è necessario effettuare una DIA in ogni caso (i cosiddetti elenchi positivi). In sostanza, il legislatore europeo stabilisce un obbligo de facto di effettuare una DIA nei casi definiti dalle autorità di controllo. Inoltre, le autorità di controllo sono autorizzate a tenere facoltativamente elenchi di attività di trattamento dei dati per le quali non è richiesta una DIA (i cosiddetti elenchi negativi; art. 35 cpv. 5 DSGVO). Questi elenchi sono soggetti alla procedura di coerenza se includono "attività di trattamento connesse all'offerta di beni o servizi agli interessati o al monitoraggio del comportamento di tali interessati in diversi Stati membri o che potrebbero incidere in modo sostanziale sulla libera circolazione dei dati personali all'interno dell'Unione" (art. 35 cpv. 6 GDPR). La LPD non prevede l'obbligo di mantenere elenchi positivi o negativi, anche se ciò sarebbe utile per la certezza del diritto.
44 Mentre l'art. 22 cpv. 5 LPD afferma esplicitamente che non è necessario effettuare una DIA se viene rispettato un codice di condotta ai sensi dell'art. 11 LPD e vengono soddisfatti i requisiti aggiuntivi di cui al cpv. 5 ai sensi del DSGVO tali codici di condotta devono essere presi in considerazione nella DIA solo come parte della valutazione dell'impatto del trattamento dei dati in questione. Tuttavia, non esonerano il responsabile del trattamento dall'obbligo di condurre una DIA se questa è obbligatoria per legge.
45 Infine, analogamente all'art. 22 cpv. 4 del DPA, l'art. 35 cpv. 10 del DPA stabilisce che non è necessario effettuare una DIA se un'operazione di trattamento dei dati si basa su una base legittima. Tuttavia, l'eccezione nel DSGVO è definita in modo più restrittivo: L'eccezione si applica solo se la DIA è stata effettuata nel contesto dell'emanazione della base giuridica e la base giuridica regola la specifica operazione o le specifiche operazioni di trattamento. L'importanza pratica è quindi probabilmente limitata. Inoltre, esiste un'eccezione ai sensi dell'art. 35(10) del DSGVO se il trattamento dei dati è effettuato per il soddisfacimento di interessi pubblici o nell'esercizio di pubblici poteri.
46Il DSGVO prevede multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente per le violazioni dell'obbligo di condurre una DPA (art. 83(4)(a) DSGVO). Questa multa è in contrasto con la LPD, che non prevede una multa per tale violazione (cfr. n. 35).
Bibliografia
Baeriswyl Bruno, Der «grosse Bruder» DSGVO und das revDSG: Ein vergleichender Überblick, S. 8–15.
Blonski Dominika, Kommentierung zu Art. 22 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023
Blonski Dominika, DSFA und Vorabkonsultation, digma 2020, S. 28–32.
Früh Alfred/Haux Dario, Foundations of Artificial Intelligence and Machine Learning, Weizenbaum Series 29, DOI: 10.34669/WI.WS/29.
Klaus Samuel, KI trifft Datenschutz – Risiken und Lösungsansätze, in: Epiney Astrid/Rovelli Sophia, Künstliche Intelligenz und Datenschutz, Zürich 2021, S. 81–95.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.
Pfaffinger Monika, Das Recht auf informationellen Systemschutz. Plädoyer für einen Paradigmenwechsel im Datenschutzrecht, Habil., Baden-Baden 2022.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Schönbächler Matthias R., Zum neuen Schweizer Datenschutzrecht, ZBJV 2023, S. 171–195.
Schürmann Kathrin, Datenschutz-Folgenabschätzung beim Einsatz Künstlicher Intelligenz: Bewertung und Minimierung der Risiken, ZD 2022, S. 316–321.
Vasella David, Widersprüche im Datenschutzrecht, digma 2020, S. 174–179.
Vasella David/Sievers Jacqueline, Der «Swiss Finish» im Vorentwurf des DSG, digma 2017, S. 44–49.
Widmer Michael, Datenschutz-Folgenabschätzung, digma 2017, S. 224–231.
Kühling Jürgen/Benedikt Buchner, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW/RSDA 2021, S. 52–64.
I Materiali
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.