-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Contenuto
- III. Violazione dell'obbligo di consultazione dell'IFPDT
- IV. Sfide e rilevanza pratica
- V. Confronto con il diritto dell'UE
- Bibliografia
- I Materiali
In breve
L'art. 23 è il regolamento successivo all'art. 22. Se nel corso di una DIA il responsabile del trattamento stabilisce che esiste un rischio elevato per la personalità o i diritti fondamentali dell'interessato nonostante le misure di attenuazione del rischio adottate, è necessaria la consultazione dell'IFPDT. I requisiti, le scadenze e le conseguenze sono elencati e specificati. L'IFPD controlla il trattamento dei dati previsto in relazione alla conformità con la LPD. In caso di obiezioni al trattamento dei dati previsto, l'IFPDT emette un parere che contiene anche raccomandazioni sulle possibili misure da adottare. Il parere viene trasmesso al titolare del trattamento. L'IFPDT può anche esercitare i poteri di cui agli artt. 49 e 51 e segg. successivamente alla consultazione di cui all'art. 23. Tuttavia, la violazione dell'obbligo di cui all'art. 23 non è punibile.
I. Aspetti generali
A. Panoramica
1L'art. 23 descrive i requisiti per la consultazione dell'IFPDT. Si tratta di una procedura strettamente correlata alla valutazione d'impatto sulla protezione dei dati (DIA) di cui all'art. 22. Se, nel corso di una valutazione d'impatto sulla protezione dei dati, il responsabile del trattamento stabilisce che, nonostante le misure adottate, sussiste ancora un rischio elevato per la personalità o i diritti fondamentali dell'interessato a seguito del trattamento dei dati previsto, è necessario consultare preventivamente l'IFPDT. In questo caso, l'IFPDT verifica la compatibilità del trattamento dei dati previsto con la legge sulla protezione dei dati e con i requisiti di sicurezza delle informazioni. Entro due o tre mesi, l'IFPDT informa il titolare del trattamento delle sue obiezioni con una dichiarazione. In tal modo, l'IFPDT è tenuto a proporre misure adeguate per contrastare i rischi individuati.
B. Storia
2L'obbligo di effettuare una DIA e di consultare l'IFPD se il trattamento dei dati previsto comporta un rischio elevato per gli interessati nonostante le misure adottate non esisteva prima della revisione totale della LPD. L'obbligo non esisteva nemmeno per le autorità federali, che dovevano effettuare una DPA ai sensi dell'art. 22 aDSG. Neanche la Convenzione europea sulla protezione dei dati (ETS 108+) richiede l'introduzione di questo obbligo. Tuttavia, l'obbligo era già previsto in alcune leggi cantonali sulla protezione dei dati, ad esempio nel Cantone di Zurigo all'art. 10 IDG o nel Cantone di Berna all'art. 17a KDSG.
3 Tuttavia, la possibilità o la necessità di consultazione si basa sui requisiti legali europei del 2008, in particolare sull'art. 20 della Direttiva 95/46/CE, secondo cui le operazioni di trattamento che comportano determinati rischi per le persone, in particolare per quanto riguarda i diritti e le libertà, devono essere esaminate preventivamente dal commissario per la protezione dei dati. Questa norma continua ad avere effetto oggi nell'art. 28 dell'attuale Direttiva 2016/680/UE, che ha dovuto essere attuata anche in Svizzera a causa dell'acquis di Schengen nel settore della prevenzione, indagine, accertamento o perseguimento transfrontaliero dei reati o dell'esecuzione delle sanzioni penali, nonché nell'art. 36 del DSGVO, che è stato attuato in modo analogo.
4 Il VE-DSG prevedeva all'art. 16 cpv. 3 del VE-DSG la notifica all'FDPIC dei risultati della DIA in ogni caso. In linea con l'attuale regolamento, l'IFPDT doveva notificare al responsabile del trattamento le sue obiezioni entro un certo periodo di tempo. L'obbligo di informare l'IFPDT dei risultati di una DIA in ogni caso è stato fortemente criticato nella consultazione pubblica. Il Consiglio federale ha quindi ammorbidito l'obbligo con l'articolo 21 cpv. 1 della LPD. Questa norma indebolita è stata adottata nell'attuale regolamento all'art. 23 cpv. 1, nel senso che l'IFPDT deve essere consultato solo se, nonostante le misure adottate, sussistono ancora rischi elevati per la personalità o i diritti fondamentali della persona interessata.
C. Scopo della norma
5 Secondo il messaggio, l'obbligo di consultazione è stato inserito nell'ambito della revisione totale del 2020 "perché consente al responsabile di agire in modo preventivo e consultivo". Questo è il modo più efficiente per il responsabile del trattamento, in quanto i potenziali problemi di protezione dei dati possono essere identificati e affrontati in una fase precoce. La consultazione consente all'IFPDT di ottenere e valutare le informazioni necessarie per valutare un'operazione di trattamento dei dati pianificata ad alto rischio. Ciò va anche a vantaggio del processo democratico.
6 Lo scopo dell'art. 23 è anche quello di sviluppare soluzioni prima dell'attuazione di un progetto che prevede tale trattamento di dati. Ciò serve a garantire un elevato standard di protezione dei dati e di sicurezza delle informazioni fin dall'inizio. Il legislatore mira quindi a un comportamento proattivo per ridurre al minimo le possibili violazioni legali fin dall'inizio o, idealmente, per escluderle del tutto. Inoltre, serve a proteggere il titolare del trattamento dei dati a posteriori - quando il trattamento dei dati è già iniziato - da sforzi e costi aggiuntivi. Ciò sembra avere senso anche alla luce del fatto che i danni e le violazioni successive sono spesso difficili da rimediare. Nel complesso, l'articolo si inserisce quindi nell'approccio basato sul rischio della LPD completamente rivista.
II. Contenuto
A. Destinatari
7Come nell'art. 22, i destinatari dell'art. 23 sono le autorità federali e i responsabili privati del trattamento dei dati. Sono esclusi gli incaricati del trattamento. Per quanto riguarda il ruolo di questi incaricati del trattamento, si rimanda al corrispondente commento dell'art. 22.
8 Le autorità federali e i responsabili privati del trattamento dei dati sono quindi tenuti a consultare l'IFPDT se un trattamento dei dati pianificato comporta un rischio elevato per la personalità e i diritti fondamentali delle persone interessate, nonostante le misure attuate. L'IFPDT, dal canto suo, è tenuto a effettuare la consultazione in conformità con la LPD e a rispettare le scadenze applicabili (cfr. n. 25).
B. Trattamento "pianificato
9 Il testo dell'art. 23 prevede, al cpv. 1, che la consultazione dell'IFPDT debba essere effettuata in caso di trattamento pianificato che comporti un rischio elevato per la personalità o i diritti fondamentali dell'interessato. Questa disposizione si applica solo se il responsabile del trattamento ha già adottato misure per mitigare i rischi risultanti e il trattamento dei dati comporta comunque un rischio elevato.
10Sebbene la formulazione suggerisca che ciò possa riguardare solo i trattamenti di dati nuovi e pianificati, essa copre anche le modifiche a trattamenti o procedure già esistenti (cfr. il commento all'art. 69). Ciò significa che l'IFPDT deve essere consultato ogniqualvolta si verifichino cambiamenti nel processo di trattamento dei dati o mutate circostanze di fatto o giuridiche. Tuttavia, queste mutate circostanze devono suggerire o rendere evidente l'esistenza di un rischio elevato ai sensi dell'art. 22. Inoltre, le misure adottate nel contesto di una DIA rinnovata o ripetuta potrebbero non essere sufficienti a ridurre questo rischio elevato. Per quanto riguarda il concetto di rischio elevato, si rimanda alle spiegazioni sull'art. 22 (art. 22 n. 12 e segg.). La valutazione secondo cui l'IFPDT deve essere consultato anche in caso di modifiche alle attività di trattamento dei dati esistenti è supportata dal fatto che in un ambiente così dirompente, caratterizzato da rapidi cambiamenti, i responsabili del trattamento dei dati devono sempre includere i rischi nelle proprie considerazioni e nella pianificazione del trattamento dei dati, al fine di non mettere in pericolo o violare specificamente i diritti degli interessati (cfr. art. 7).
C. Consultazione
1. Introduzione
11 In primo luogo, l'art. 23 richiede che il responsabile del trattamento abbia effettuato una DIA in relazione a un trattamento dei dati pianificato o modificato ai sensi dell'art. 22. Se il responsabile del trattamento giunge alla conclusione che, nonostante le misure previste, il trattamento dei dati presenta un rischio elevato per la personalità o i diritti fondamentali dell'interessato, deve consultare l'IFPDT. Anche se la legge non prevede requisiti formali, questa consultazione deve avvenire per iscritto, se non altro per motivi di prova. Se questo rischio elevato non sussiste, il responsabile del trattamento può comunque presentare volontariamente la DIA all'IFPDT. Sebbene ciò sia utile per la sicurezza giuridica e dell'informazione, è probabile che i responsabili del trattamento privati si astengano dal farlo regolarmente (cfr. n. 34 e segg.).
12 La consultazione deve essere effettuata prima dell'inizio del trattamento dei dati in questione. Solo al termine della consultazione, ossia dopo che l'IFPDT ha emesso un parere, l'autorità federale o il responsabile del trattamento privato possono iniziare a trattare i dati.
13Per quanto riguarda la consultazione, occorre tenere conto di tre punti:
In primo luogo, la consultazione è soggetta a una tassa per i responsabili del trattamento privati (cfr. art. 59 cpv. 1 lett. c LPD; art. 44 LPD). I rispettivi costi dipendono dalle spese per il personale nel singolo caso. Per gli organi federali, invece, non sono previsti costi.
In secondo luogo, l'IFPDT può a sua volta contattare il responsabile del trattamento e richiedere una valutazione dei rischi e una consultazione se viene a conoscenza di operazioni di trattamento pianificate.
In terzo luogo, l'IFPDT può combinare questa richiesta con l'adozione di misure investigative (cfr. n. 23).
2. Informazioni da fornire
14La disposizione dell'art. 23 precisa i casi in cui l'IFPDT deve essere consultato. Tuttavia, non definisce quali informazioni debbano essere presentate all'IFPDT per la sua valutazione. A causa di questa situazione iniziale, si può presumere, o è già stato annunciato, che lo stesso IFPDT emanerà delle linee guida corrispondenti poco dopo l'entrata in vigore, che il responsabile del trattamento potrà utilizzare come orientamento. Tuttavia, il responsabile del trattamento dovrebbe almeno assicurarsi che i documenti creati nel corso della DIA siano disponibili nella loro interezza, in modo che l'IFPDT possa emettere un parere corrispondente su questa base. Tali documenti devono quindi contenere, tra l'altro, informazioni sul trattamento previsto - compresa la finalità del trattamento, se applicabile - sui possibili rischi per la personalità o i diritti fondamentali dell'interessato e sulle misure tecniche e organizzative previste. Deve inoltre essere spiegato perché il rischio è ancora considerato elevato nonostante le misure descritte. Questo è importante, perché altrimenti non sarebbe necessaria alcuna consultazione.
15 Il DSGVO può servire da guida in questo senso, in quanto contiene un elenco delle informazioni da presentare (cfr. n. 39). Può essere utile anche procedere secondo il cosiddetto concetto ISDS. Questo prevede una descrizione del progetto il più precisa possibile, che includa una spiegazione della situazione giuridica e delle misure organizzative e tecniche. La descrizione del progetto deve includere informazioni sul titolare e sul responsabile del trattamento, sullo scopo e sul tipo di trattamento dei dati, nonché sui destinatari e sugli interessati. La descrizione degli aspetti organizzativi e tecnici richiede invece una descrizione delle applicazioni, delle reti, delle tecnologie, nonché dei ruoli e dei concetti di autorizzazione. Va notato che in singoli casi possono essere richiesti concetti o piani d'azione più dettagliati.
16Inoltre, i documenti presentati devono essere strutturati e includere il nome del richiedente e un indirizzo di contatto. Questo serve come mezzo di comunicazione con l'IFPDT nel caso in cui sorgano domande nei singoli casi o ci sia bisogno di altri chiarimenti.
3. Procedura dell'IFPDT
17Una volta presentata la documentazione completa (cfr. n. 15 e segg.), l'IFPDT procede solitamente in tre fasi (i)-(iii): In una prima fase, le informazioni presentate vengono esaminate e si verifica se sono necessarie ulteriori informazioni, documenti o altri dettagli per il chiarimento. In tal caso, tali informazioni vengono richieste alla persona responsabile (i). Successivamente, i documenti vengono attentamente controllati e analizzati per verificarne la comprensibilità e la validità (ii). In una terza fase si conclude la procedura, con la comunicazione delle obiezioni, se necessario, e la proposta delle misure da adottare (iii). In queste tre fasi, l'IFPDT valuta se le misure proposte sono sufficienti a garantire la protezione della personalità e dei diritti fondamentali dell'interessato e a mitigare il rischio elevato.
18Nella prima fase, l'IFPDT esamina le informazioni presentate dal titolare del trattamento e si assicura di comprendere l'operazione di trattamento dei dati. In particolare, l'attenzione si concentra sulla descrizione fattuale e tecnica del trattamento dei dati in questione. Se l'IFPDT necessita di ulteriori informazioni, le richiederà e, se necessario, chiederà una discussione orale del trattamento dei dati previsto con il responsabile del trattamento al fine di chiarire questioni specifiche. Va osservato che la formulazione della legge non chiarisce se il termine per la presentazione di osservazioni da parte dell'IFPDT inizi a decorrere solo dopo questa fase o direttamente dalla presentazione della richiesta di consultazione. Secondo il punto di vista qui adottato, tuttavia, il termine per presentare osservazioni inizia a decorrere solo dopo che tutte le informazioni richieste dall'IFPDT sono state presentate in modo completo. Ciò significa che la durata della consultazione può quindi essere superiore a questi due o tre mesi, a seconda delle informazioni e dei documenti supplementari che l'IFPDT continua a richiedere.
19 Su questa base, inizia la revisione vera e propria del trattamento dei dati in questione. In questa seconda fase, l'IFPDT esamina in particolare la valutazione dei rischi e le misure proposte dal titolare del trattamento. Questa valutazione comprende un esame dei requisiti legali, che include principalmente il rispetto dei principi di protezione dei dati. Oltre alla proporzionalità (parola chiave: economia dei dati ed evitamento dei dati), ciò include, tra l'altro, qualsiasi base legale o contrattuale o giustificazione per il trattamento dei dati, l'esternalizzazione del trattamento dei dati o la divulgazione dei dati all'estero, la sicurezza dei dati e la garanzia dei diritti degli interessati come, in particolare, il diritto all'informazione e il diritto alla correzione e alla cancellazione dei dati. Si deve tenere conto sia della sensibilità dei dati che delle parti coinvolte e delle loro responsabilità. Vengono inoltre esaminate le misure tecniche e organizzative. Ciò avviene in relazione alle tecnologie utilizzate e, se del caso, ai fornitori che le hanno adottate. Nell'era dei crescenti attacchi informatici e di hacker, questo serve alla sicurezza delle informazioni.
20Dopo aver approfondito questi aspetti, in una terza fase l'IFPDT redige generalmente un parere all'attenzione della persona responsabile. In questo parere elenca le sue osservazioni sul trattamento dei dati previsto e offre una valutazione sia dal punto di vista legale che da quello tecnico-organizzativo. Se l'IFPDT giunge alla conclusione che il trattamento dei dati è conforme alla legge sulla protezione dei dati, non vi sono ulteriori requisiti per il responsabile del trattamento. In questo caso, l'IFPDT non formula alcuna raccomandazione. In tal caso, l'IFPDT può anche astenersi dal rilasciare una dichiarazione al responsabile del trattamento. Se l'IFPDT solleva obiezioni, le associa a proposte di misure concrete (cfr. misure art. 22 n. 26). Tali misure mirano a garantire il rispetto della protezione dei dati e della sicurezza delle informazioni. Di norma, l'IFPDT fissa un termine per l'attuazione di tali misure da parte del responsabile.
21 In questo contesto, va notato un caso particolare: Se, a seguito del trattamento dei dati effettuato, l'IFPDT giunge alla conclusione che le misure non erano sufficienti o che non esistono affatto misure per ridurre i rischi individuati, è autorizzato a svolgere un'indagine (art. 49). A tal fine, l'IFPDT dispone di tutte le misure amministrative di cui all'art. 51. L'indagine può quindi portare alla sospensione o addirittura al divieto di trattamento dei dati. Sebbene si possa presumere che l'IFPDT emetterà generalmente sentenze formali solo in casi isolati, la legge gli lascia esplicitamente questa possibilità se i responsabili del trattamento dei dati non gestiscono i rischi in modo adeguato.
22 Va inoltre sottolineato che il parere dell'IFPDT è una raccomandazione non vincolante. Non ha il carattere di un ordine e non può quindi essere inteso in alcun modo come un'approvazione o addirittura un'autorizzazione a effettuare il trattamento dei dati previsto.
4. Limite di tempo
23Se l'IFPDT è chiamato in causa per una consultazione, deve comunicare il suo parere al titolare del trattamento entro due mesi dalla presentazione completa all'IFPDT, ai sensi dell'articolo 23, paragrafo 2. L'IFPDT può prorogare il termine per l'invio del parere. L'IFPDT può prorogare il termine di un mese al massimo se il trattamento dei dati è complesso. Se il titolare del trattamento non riceve alcuna comunicazione dall'IFPDT entro questo termine, si può presumere che l'IFPDT non solleverà alcuna obiezione al trattamento dei dati previsto.
D. Eccezioni
24L'articolo 23 prevede alcune eccezioni all'obbligo fondamentale di consultazione. Tali eccezioni sono disciplinate dal cpv. 4 e si applicano solo ai responsabili del trattamento dei dati privati. Le autorità federali sono quindi escluse dalle eccezioni.
25 Paragrafo 4 stabilisce che la consultazione non è necessaria se il titolare del trattamento consulta un consulente per la protezione dei dati in merito al trattamento dei dati previsto. A questo proposito, il messaggio afferma che il consulente per la protezione dei dati deve essere effettivamente coinvolto attivamente nella DPA. Deve quindi essere stato in grado di esprimersi in modo esauriente sulle misure e sui rischi. Alla luce di questa circostanza, sembra ragionevole regolamentare il processo di un DSFA, nonché le competenze e il coinvolgimento del consulente per la protezione dei dati in linee guida o direttive interne.
26 Secondo il messaggio, l'eccezione è volta a ridurre l'onere amministrativo per i responsabili del trattamento dei dati privati. Da un punto di vista economico, questa eccezione va accolta con favore. Ciò vale soprattutto perché, dal punto di vista dei responsabili privati, si possono evitare ritardi, costi aggiuntivi e conseguenze potenzialmente negative dovute alla consultazione dell'IFPDT. Sebbene l'FDPIC si fosse espresso contro questa eccezione durante il processo di consultazione, alla fine è stata comunque integrata nel testo di legge.
27 L'eccezione deve essere interpretata anche come un incentivo per i responsabili del trattamento dei dati privati. Il regolamento offre loro un motivo molto specifico per nominare un consulente per la protezione dei dati. Questo incentivo è importante perché, a differenza dell'art. 37 DSGVO, la nomina di un consulente per la protezione dei dati è sempre volontaria ai sensi della LPD.
28 Tuttavia, l'eccezione si applica solo se sono soddisfatti i requisiti dell'art. 10(3). Di conseguenza, il consulente per la protezione dei dati deve essere professionalmente indipendente e non vincolato da istruzioni, deve essere esente da conflitti di interesse e deve possedere le competenze necessarie (per maggiori dettagli su questi requisiti si veda il commento all'art. 10). Il titolare del trattamento, invece, deve pubblicare i dati di contatto del consulente per la protezione dei dati e comunicarli all'IFPDT. Questa eccezione ricorda quella prevista dall'art. 11a cpv. 5 lett. e aDSG relativa all'obbligo di registrare le raccolte di dati, che è stata eliminata dalla LPD senza essere sostituita. I responsabili del trattamento dei dati privati hanno quindi già molta familiarità con questi requisiti.
29I responsabili del trattamento privati che sviluppano o utilizzano modelli o tecnologie aziendali che potenzialmente comportano rischi elevati per gli interessati, sulla base dell'esperienza, nomineranno un consulente per la protezione dei dati e si avvarranno di questa eccezione. Ciò consentirà loro di evitare di consultare l'IFPDT. Ciò è tanto più probabile in quanto i responsabili del trattamento privati attivi a livello internazionale in tali settori sono già obbligati a nominare un responsabile della protezione dei dati ai sensi del DSGVO.
III. Violazione dell'obbligo di consultazione dell'IFPDT
30 Nel caso in cui un responsabile del trattamento non consulti preventivamente l'IFPDT nonostante l'obbligo di cui all'art. 23, l'art. 51 cpv. 3 lett. e), prevede che l'IFPDT possa ordinare al responsabile del trattamento di consultare preventivamente l'IFPDT sotto pena di ammenda. Per contro, gli interessati non hanno il diritto di agire in giudizio per ottenere la consultazione dell'IFPDT.
31 Se nel corso di un'indagine l'IFPDT stabilisce che un'operazione di trattamento dei dati comporta un rischio elevato, può ordinare che l'operazione di trattamento dei dati sia adattata, sospesa o completamente interrotta. Ciò vale fino a quando non sia stata effettuata una DIA e non sia stato consultato l'IFPDT (art. 51 cpv. 1 in combinato disposto con l'art. 49 f). Questa fase può comportare notevoli ritardi e quindi costi elevati e sforzi aggiuntivi per la persona responsabile. Inoltre, poiché i risultati di un'indagine possono essere pubblicati dall'IFPDT (art. 57 cpv. 2), in questi casi sono prevedibili rischi per la reputazione.
32 Tuttavia, la violazione dell'obbligo di consultazione dell'IFPDT non è autonomamente soggetta a una multa. Ciò sembra logico, soprattutto perché si tratta di un obbligo di diligenza e l'IFPDT ha le competenze corrispondenti (cfr. a questo proposito le spiegazioni dell'art. 22 n. 37). Nell'UE, in questi casi è prevista una multa.
IV. Sfide e rilevanza pratica
33 La rilevanza pratica dell'art. 23 resta da vedere. Almeno i responsabili del trattamento dei dati privati cercheranno di evitare il più possibile l'obbligo adattando il trattamento dei dati previsto fino a quando non comporterà più un rischio elevato per gli interessati nell'ambito delle misure adottate. Si può quindi presumere che l'IFPDT sarà consultato solo in casi eccezionali. Vi sono altre ragioni per questo: Da un lato, i responsabili del trattamento dei dati privati non vorranno aspettare fino a tre mesi prima di ricevere una valutazione del loro trattamento dei dati e poter procedere con il loro progetto. Soprattutto perché si può presumere che questo periodo non inizierà prima che l'IFPDT abbia ricevuto tutte le informazioni che ritiene necessarie dal responsabile del trattamento. In singoli casi, ciò potrebbe comportare un'interruzione dei progetti molto più lunga. I progetti potrebbero poi riguardare anche processi e fatti rilevanti per l'azienda che, non appena presentati all'IFPDT, potrebbero diventare pubblici. Quest'ultimo, ad esempio, perché l'FDPIC deve riferire sulla DIA nel suo rapporto di attività o è obbligato a divulgare determinate informazioni sulla base di una richiesta pubblica ai sensi di LTras. A ciò non si può sempre opporre il fatto che l'FDPIC si impegna a mantenere la riservatezza. Infine, la consultazione dell'IFPD ai sensi dell'art. 59 cpv. 1 lett. c LPD è soggetta a un onorario per i responsabili del trattamento dei dati privati in funzione del tempo impiegato dall'IFPD e si basa su una tariffa oraria di 150-250 franchi (art. 44 cpv. 2 LPD), che non deve essere un costo sottovalutato nel contesto di procedure di trattamento dei dati complesse. Gli onorari possono essere aumentati fino al doppio se la consultazione dell'IFPDT può essere ulteriormente utilizzata a fini commerciali (art. 44 cpv. 3 e 4 LADP). Questi costi si aggiungono ai costi propri che un DSFA comporta comunque per un responsabile del trattamento privato.
34 Nei casi in cui un'operazione di trattamento dei dati sia di dominio pubblico e l'IFPDT, a causa di questo o delle pressioni politiche che lo accompagnano, effettui un'indagine sul responsabile del trattamento o conduca un'inchiesta, i responsabili del trattamento privati possono essere obbligati a eseguire una DIA mediante un'ordinanza, come è avvenuto in passato (cfr. art. 51 cpv. 2 lett. d e art. 49). Tali ordini prevederanno presumibilmente anche l'obbligo di consultare l'IFPDT per quella particolare operazione di trattamento dei dati.
V. Confronto con il diritto dell'UE
35Il DSGVO prevede all'art. 36 cpv. 1 l'obbligo di consultare l'autorità di controllo competente se un trattamento di dati potrebbe comportare rischi elevati per gli interessati nonostante le misure adottate. A questo proposito, la disposizione è identica all'art. 23 cpv. 1 LPD.
36Similmente all'art. 23 cpv. 2 DPA, l'autorità di controllo competente deve notificare al responsabile del trattamento e, se del caso, agli incaricati del trattamento coinvolti, eventuali obiezioni al trattamento dei dati previsto entro otto settimane ai sensi dell'art. 36 cpv. 2 DPA. Tali obiezioni possono sorgere perché l'autorità di controllo conclude che il responsabile del trattamento "non ha sufficientemente identificato o attenuato il rischio". Il termine, invece, può essere prorogato di sei settimane, e non solo di un mese, a partire dalla data di ricezione della richiesta. Tale proroga deve essere notificata alla persona responsabile entro un mese e deve essere accompagnata da una motivazione. L'autorità di controllo può sospendere questi termini fino a quando non avrà ricevuto le informazioni necessarie ai sensi dell'art. 36 cpv. 3 DSGVO. Le norme dell'UE sono più dettagliate rispetto a quelle svizzere e sembrano avere senso, soprattutto perché regolano in modo più dettagliato il processo e anche gli obblighi delle autorità di controllo in relazione ai termini.
37 Se l'autorità di controllo ha obiezioni, deve inviare raccomandazioni scritte al responsabile del trattamento e, se del caso, agli incaricati del trattamento coinvolti, il che è molto simile alla normativa svizzera, dove in Svizzera il destinatario del parere è generalmente il responsabile del trattamento. L'autorità di controllo ha anche il diritto esplicito di esercitare gli altri poteri di cui all'art. 58 DSGVO. Ciò non è esplicitamente menzionato nella LPD.
38Sebbene l'art. 23 DPA non contenga disposizioni più dettagliate sulle informazioni che il responsabile del trattamento deve fornire all'IFPDT nel contesto della consultazione, l'art. 36 cpv. 3 DPA contiene un elenco delle informazioni da fornire: Informazioni sulle responsabilità del responsabile del trattamento, dei contitolari del trattamento e, se del caso, dei responsabili del trattamento incaricati, le finalità e i mezzi del trattamento dei dati previsto, le misure e le garanzie previste per la protezione dei diritti e delle libertà degli interessati [ai sensi del DSGVO], i dati di contatto del responsabile della protezione dei dati, se del caso, la valutazione d'impatto sulla protezione dei dati stessa e qualsiasi altra informazione richiesta dall'autorità di controllo.
39 L'articolo 36 cpv. 4 e 5 del DSGVO disciplina poi alcuni diritti e obblighi degli Stati membri, nonché ulteriori requisiti che gli Stati membri possono prevedere nel loro diritto locale.
40 La violazione dell'obbligo di consultare l'autorità di controllo è punibile ai sensi del DSGVO, così come l'obbligo di condurre una DFA. Il DSGVO prevede multe fino a 10 milioni di euro o fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente per la violazione dell'obbligo di consultazione (art. 83 cpv. 4 lett. a DSGVO). Ciò è in contrasto con la LPD, che non prevede una multa in questi casi (cfr. n. 33).
Bibliografia
Blonski Dominika, Kommentierung zu Art. 23 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen: Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts, Zürich 2021.
Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 2023, S. 311–319.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16. November 2020.
Kühling Jürgen/Buchner Benedikt, Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl., München, 2020.
I Materiali
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017, S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.