-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Generalità
- II. Diritto di accesso (cpv. 1)
- III. Contenuto delle informazioni (cpv. 2)
- IV. Casi speciali
- V. Modalità
- VI. Applicazione
- Bibliografia
In breve
L'art. 25 LPD disciplina il diritto all'informazione degli interessati come "pietra angolare della legge sulla protezione dei dati". Ogni interessato può chiedere al titolare del trattamento informazioni sull'eventuale trattamento di dati personali che lo riguardano. Il diritto all'informazione è altamente personale. Gli interessati non possono rinunciare in anticipo al diritto all'informazione. L'informativa deve contenere tutti i dettagli necessari per consentire all'interessato di far valere i propri diritti e di comprendere il trattamento dei dati. Il contenuto minimo dell'informativa è regolato dalla legge. Le informazioni devono essere fornite in forma comprensibile, gratuitamente ed entro 30 giorni. In caso di trattamento da parte di un incaricato, il responsabile del trattamento rimane obbligato a fornire informazioni. Gli interessati hanno diverse opzioni legali per far valere il loro diritto all'informazione.
I. Generalità
A. Finalità
1 Il capitolo 4, "Diritti degli interessati", comprende il diritto all'informazione (art. 25 e segg. LPD) e il diritto alla divulgazione o al trasferimento dei dati introdotto con la LPD (art. 28 e segg. LPD; anche: diritto alla portabilità dei dati). Il diritto all'informazione può essere ricavato dall'art. 13 della Cost. sulla "protezione della privacy" e dall'art. 8 della CEDU sul "diritto al rispetto della vita privata e familiare" ed è una "pietra miliare della legge sulla protezione dei dati". Il diritto di accesso deve quindi essere espressamente incluso anche nelle clausole di protezione dei dati in un contratto (art. 16 cpv. 2 lett. b LPD) e in garanzie specifiche (art. 16 cpv. 2 lett. c LPD) quando i dati personali vengono divulgati all'estero.
2 Il diritto di accesso è un diritto legale fondamentale per le persone interessate a scoprire - entro certi limiti - quali dati che le riguardano vengono trattati da chi e per quale scopo. In particolare, le persone interessate dovrebbero poter utilizzare il diritto di accesso per verificare se i loro dati sono trattati in conformità con i principi della legge sulla protezione dei dati (art. 6 e segg. LPD). Il diritto all'informazione dovrebbe quindi avere una funzione di controllo e di prevenzione.
3 Il diritto all'informazione consente agli interessati di esercitare il loro diritto all'autodeterminazione informativa, se e nella misura in cui tale diritto è stato attuato nella LPD. Il diritto all'informazione e le informazioni fornite costituiscono spesso la base per l'esercizio di ulteriori diritti legali degli interessati, quali la rettifica e la cancellazione (artt. 32 e 41 LPD) o l'opposizione (art. 30 cpv. 2 lett. b LPD), in ultima analisi per far valere la protezione della personalità.
4 Il diritto all'informazione ai sensi degli artt. 25 e segg. LPD integra l'obbligo di informazione di cui agli artt. 19 e segg. e va oltre in termini di contenuto. Gli interessati possono ricevere informazioni che vanno al di là di quelle che il responsabile del trattamento è tenuto a comunicare loro, aumentando così la trasparenza.
5 I tre articoli sul diritto all'informazione sono strutturati come segue: L'art. 25 LPD stabilisce chi può richiedere informazioni e quali informazioni i responsabili del trattamento devono fornire e in quale ambito. L'art. 26 LPD chiarisce le condizioni in cui il diritto all'informazione può essere limitato. L'art. 27 LPD disciplina le condizioni in cui il diritto all'informazione può essere ulteriormente limitato in relazione ai media. Nell'ordinanza sulla protezione dei dati, gli artt. 16-19 LDP specificano il diritto all'informazione.
B. Storia delle origini
6 L'art. 25 si basa sul precedente art. 8 aDSG. Rispetto all'art. 8 LPD, le persone possono chiedere informazioni a tutti i responsabili del trattamento (art. 5 lett. j LPD) e non più solo al "responsabile di una raccolta di dati" (art. 3 lett. i i.V.m. art. 8 cpv. 1 LPD). Nel complesso, le precedenti disposizioni sul diritto all'informazione ai sensi dell'art. 8 aDSG e seguenti sono state mantenute e in parte integrate.
7 L'obbligo di informazione - dal punto di vista del responsabile del trattamento dei dati la controparte del diritto all'informazione degli interessati - non è più limitato a informazioni specifiche (come era ancora il caso in particolare nell'art. 8 cpv. 2 aDSG), ma devono essere fornite le informazioni necessarie per consentire all'interessato di far valere i propri diritti ai sensi della LPD e per garantire un trattamento trasparente dei dati (art. 25 cpv. 2 LPD). Allo stesso tempo, si cerca di limitare "l'abuso abituale del diritto all'informazione per ottenere prove" ai sensi dell'aDSG. Nel dibattito parlamentare è stato aggiunto in particolare che devono essere fornite informazioni sui "dati personali trattati in quanto tali" (art. 25 cpv. 2 lett. b LPD).
II. Diritto di accesso (cpv. 1)
8 L'art. 25 cpv. 1 LPD stabilisce il diritto all'informazione in modo generale. Ogni persona fisica può chiedere che un responsabile del trattamento o un incaricato fornisca informazioni sull'eventuale trattamento di dati personali (art. 5 lett. a LPD) che la riguardano. I privati e gli organi federali responsabili sono tenuti a fornire informazioni (art. 5 lett. j LPD). In linea di principio, non è richiesta una giustificazione o un interesse legale per le informazioni richieste. Nel caso degli organi federali, la fornitura di informazioni è un ordine ai sensi dell'art. 5 PA, il che significa che sono necessarie una motivazione e istruzioni sulle modalità di ricorso ai sensi dell'art. 35 PA.
9 Il diritto all'informazione è di natura altamente personale ed è limitato all'accesso ai dati personali. Il diritto all'informazione non è trasferibile e non è ereditabile. Per le persone incapaci di giudizio, agisce il rappresentante legale (art. 19c cpv. 2 CC).
10 La persona interessata che richiede informazioni deve farsi identificare dal titolare del trattamento adottando misure ragionevoli e deve collaborare per dimostrare la propria identità (art. 16 cpv. 5 LDP). L'adeguatezza dell'identificazione con una copia di un documento d'identità ufficiale deve essere valutata caso per caso. L'obbligo di cui all'art. 1 cpv. 1 dell'AVDSG, secondo il quale l'interessato deve dimostrare la propria identità, non esiste più. A seconda dei dati disponibili su una persona, le informazioni contenute in una carta d'identità ufficiale possono non essere adatte all'identificazione. Nel caso delle piattaforme Internet, ad esempio, i responsabili spesso conoscono solo l'indirizzo e-mail o un numero di cellulare. In questo caso, l'identificazione può avvenire in questo modo. La richiesta generica di una copia di un documento d'identità, se necessario anche certificata, violerebbe i principi di necessità, proporzionalità e finalità della protezione dei dati (art. 6 cpv. 2, 3 e 4 LPD).
11 La richiesta dell'interessato di informazioni sul trattamento dei dati che lo riguardano deve, in linea di principio, essere formulata per iscritto (art. 16 cpv. 1 frase 1 LDP). Il responsabile del trattamento può anche autorizzare richieste di informazioni orali (art. 16 cpv. 1 frase 2 RPD). Il diritto all'informazione è quindi potenzialmente reso a bassa soglia. I mezzi elettronici sono equiparati ai mezzi scritti (Art. 16 (3) FADP). La forma scritta comprende qualsiasi forma che consenta una prova testuale.
12 Le informazioni sui dati trattati devono essere fornite per iscritto o nella forma in cui i dati sono disponibili (Art. 16 (2), prima frase, FADP). La forma elettronica equivale a quella scritta (art. 16 cpv. 3 LPD). Il responsabile del trattamento può offrire un'ispezione in loco, alla quale l'interessato non è tenuto ad acconsentire (art. 16, par. 2, seconda frase, LADP). Il responsabile del trattamento può anche fornire informazioni oralmente con il consenso dell'interessato (art. 16, par. 2, terza frase, LADP). In caso di ispezione in loco, esiste un diritto di copia. I dati personali dell'interessato devono essere protetti dall'accesso di terzi non autorizzati quando vengono fornite informazioni (art. 8 LPD). Il titolare del trattamento può rispondere nella stessa forma in cui l'interessato ha richiesto le informazioni, ad esempio tramite un messaggio di posta elettronica non criptato da capo a capo. La crittografia della posta elettronica è spesso impraticabile e non appropriata. Un'alternativa alla posta elettronica può essere la messaggistica istantanea con crittografia end-to-end standard, ad esempio con Signal, Threema o WhatsApp, a condizione che l'interessato che richiede le informazioni utilizzi un tale servizio di messaggistica istantanea.
13 Quando si utilizzano mezzi elettronici, in particolare la posta elettronica, occorre notare che una richiesta di informazioni o un'informazione fornita per via elettronica senza conferma di ricezione può non essere considerata consegnata. L'onere della prova spetta al mittente. Nel caso di piattaforme internet, può essere offerto di elaborare le richieste di informazioni e la fornitura di informazioni tramite la piattaforma. Tuttavia, gli interessati sono liberi di richiedere informazioni per iscritto.
14 Le informazioni devono essere fornite in una forma comprensibile per l'interessato (art. 16 cpv. 4 LADP). La comprensibilità, ad esempio nel caso di un formato insolito o non facilmente leggibile dei dati, può essere garantita da spiegazioni adeguate. Secondo la formulazione, la comprensibilità riguarda la forma e non il contenuto delle informazioni.
III. Contenuto delle informazioni (cpv. 2)
15 Nel senso di una clausola generale ai sensi dell'art. 25 cpv. 2 LPD, l'informativa deve includere le informazioni necessarie per consentire alla persona interessata di far valere i propri diritti ai sensi della LPD e per garantire un trattamento trasparente dei dati. Se non sono disponibili dati personali, deve essere fornita un'informazione negativa.
16 Indipendentemente da ciò, l'art. 25 cpv. 2 LPD definisce un catalogo minimo di informazioni che devono essere fornite agli interessati: identità e dati di contatto del titolare del trattamento (lett. a, analoga all'art. 19 cpv. 2 lett. a LPD), dati personali trattati in quanto tali (lett. b), finalità del trattamento (lett. c, analoga all'art. 19 cpv. 2 lett. b LPD), periodo di conservazione o, se non è possibile, criteri per determinare il periodo di conservazione (lett. d), informazioni disponibili sull'origine dei dati personali (fonte), a meno che non siano state ottenute dall'interessato, poiché in questo caso l'interessato doveva già essere informato ai sensi dell'art. 19 lett. f. LPD (lett. e), l'esistenza e la logica di qualsiasi decisione individuale automatizzata ai sensi dell'art. 21 LPD (lett. f) e gli eventuali destinatari (lett. f, analoga all'art. 19 cpv. 2 lett. c LPD). È controverso se le informazioni non elencate debbano essere fornite dal responsabile del trattamento solo su richiesta o se si debba fare riferimento a tali informazioni fin dall'inizio.
17 Nel caso della persona responsabile ai sensi dell'art. 25 cpv. 2 lett. a, potrebbe non essere chiaro chi sia il responsabile, eventualmente insieme ad altri (art. 5 lett. j LPD). L'identità e i dati di contatto devono essere indicati o, se già noti, confermati. Chiunque riceva una richiesta di informazioni dovrà informare l'interessato - anche alla luce della clausola generale - se non esiste una responsabilità esclusiva o se non è possibile fornire informazioni per mancanza di responsabilità. In caso di responsabilità congiunta, la fornitura di informazioni deve essere coordinata tra i responsabili del trattamento, per cui gli interessati devono sempre poter richiedere informazioni a uno o più responsabili del trattamento in Svizzera, il che è particolarmente importante nel caso di altri responsabili del trattamento all'estero. Se vi sono più responsabili del trattamento, ogni singolo responsabile è tenuto a fornire informazioni (art. 17 cpv. 1 LADP). Se non esiste un responsabile del trattamento, in particolare nel caso di trattamento da parte di incaricati del trattamento (art. 8 LPD), la richiesta di informazioni deve essere inoltrata al responsabile del trattamento o, quanto meno, si deve fare riferimento al responsabile del trattamento. L'onere di dimostrare che le informazioni indicate come complete sono effettivamente complete spetta al responsabile. I responsabili del trattamento di norma non vogliono dare l'impressione che le informazioni fornite siano complete e non sono obbligati a confermarlo.
18 Ai sensi dell'art. 25 par. 2 lett. b, devono essere forniti solo i dati personali trattati in quanto tali, vale a dire non, ad esempio, singoli documenti, e-mail, note o contratti nel loro complesso, ma solo i dati personali in essi contenuti. I documenti nel loro complesso possono essere forniti volontariamente, il che in pratica può essere più facile per il titolare del trattamento o il responsabile, a seconda dei dati. Il diritto di accesso può riguardare solo i dati personali trattati coperti dalla LPD (art. 2 cpv. 2 LPD), cioè, ad esempio, non i dati personali trattati da persone fisiche esclusivamente per uso personale (art. 2 cpv. 2 lett. a LPD e contrario). In caso di trattamento di grandi quantità di dati, il titolare del trattamento può chiedere all'interessato di specificare i dati.
19 Possono essere divulgati solo "i dati che esistono per iscritto o "fisicamente" e che quindi possono essere oggettivamente consultati a lungo termine [...], ma non i dati che possono essere semplicemente recuperati dalla memoria". "Il tipo di archiviazione o la denominazione" dei dati è irrilevante.
20 Il diritto di accesso ai dati di persone decedute ai sensi dell'art. 1 cpv. 7 LPD non è stato incorporato nella LDP o nella LPD. La disposizione è stata recentemente qualificata dalla giurisprudenza come contraria al diritto federale.
21 Ciò che costituisce un dato personale ai sensi del diritto all'informazione deve essere valutato caso per caso, soprattutto per quanto riguarda il criterio dell'identificabilità (art. 5 lett. a LPD). La norma e allo stesso tempo la restrizione è la clausola generale: "La legge sulla protezione dei dati ha il solo scopo di aiutare la persona interessata a far valere i propri diritti di protezione dei dati (almeno i diritti azionabili) e di garantire la trasparenza del trattamento dei dati (motivata dalla legge sulla protezione dei dati)". In particolare, il diritto di accesso non è inteso come mezzo per ottenere prove (cfr. n. 7 sopra).
22 Lo scopo del trattamento (art. 25 cpv. 2 lett. c) corrisponde a quello previsto dall'obbligo di informazione (art. 18 cpv. 2 lett. b LPD).
23 Il periodo di conservazione o, se non è possibile comunicare un periodo, i criteri per determinarlo (art. 25 cpv. 2 lett. d LPD) possono essere presi dai titolari del trattamento da qualsiasi elenco esistente di attività di trattamento (art. 12 cpv. 2 lett. e LPD). Come criterio, si dovrà almeno fare riferimento al principio di necessità (art. 6 cpv. 4 LPD).
24 In caso di origine, ai sensi dell'art. 25 cpv. 2 lett. e LPD, il responsabile del trattamento non può essere tenuto a chiarire l'origine dei dati.
25 Nel caso di una decisione individuale automatizzata, devono essere fornite informazioni su questo fatto, da un lato, e sulla logica su cui si basa la decisione, dall'altro, ai sensi dell'art. 25 cpv. 1 lett. f LPD. In linea di principio, l'esistenza stessa del dato dovrebbe essere già nota alla persona interessata in virtù dell'obbligo di informazione nel caso di una decisione individuale automatizzata (art. 21 cpv. 1 LPD; eccezioni ai sensi dell'art. 21 cpv. 3 LPD). La logica, ossia i criteri e i dati sottostanti, devono essere richiesti dall'interessato con riferimento al suo diritto all'informazione. Gli algoritmi possono essere protetti come segreti commerciali, ma i presupposti di base della logica dell'algoritmo devono essere dichiarati. Nel caso dell'"intelligenza artificiale", il diritto all'informazione ha i suoi limiti a questo riguardo, poiché il responsabile spesso non sa (e non può sapere) quali dati personali hanno portato al risultato visibile e perché.
26 Nel caso di eventuali destinatari ai sensi dell'art. 25 cpv. 2 lett. g, è sufficiente rivelare le categorie. Le categorie sono, ad esempio, le autorità o le società del gruppo, mentre i nomi non devono essere resi noti. Inoltre, devono essere fornite informazioni sulla divulgazione all'estero ai sensi dell'art. 19 cpv. 4 LPD.
IV. Casi speciali
A. Informazioni da parte di un professionista della salute (cpv. 3)
27 Nel caso di dati personali relativi alla salute, l'art. 25 cpv. 3 LPD prevede che tali dati possano essere divulgati da un professionista della salute designato dalla persona interessata, previo consenso di quest'ultima. I dati sulla salute sono dati personali che richiedono una protezione speciale ai sensi dell'art. 5 lett. c n. 2 LPD.
28 La disposizione corrisponde in larga misura all'art. 8 cpv. 3 aDSG. Il consenso richiesto è stato aggiunto per consentire alla persona interessata di effettuare una scelta libera. Le informazioni non possono più essere fornite solo dai medici, ma da tutti gli operatori sanitari qualificati per il caso specifico. In particolare, devono essere considerati professionisti della salute i medici iscritti al Registro professionale medico (MedReg).
B. Trattamento da parte di incaricati del trattamento (cpv. 4)
29 In caso di trattamento di dati personali da parte di incaricati del trattamento (art. 9 LPD), il responsabile del trattamento rimane obbligato a fornire informazioni. La disposizione corrisponde alla prima frase del precedente art. 8 cpv. 4 aDSG, la cui seconda frase è stata eliminata senza sostituirla.
30 Un incaricato del trattamento a cui viene richiesto di fornire informazioni senza essere il responsabile del trattamento deve inoltrare la richiesta di informazioni al responsabile del trattamento o almeno fare riferimento al responsabile del trattamento. Ai sensi dell'art. 17 cpv. 2 della FADP, gli incaricati del trattamento devono assistere il responsabile del trattamento nel fornire informazioni se non sono stati incaricati di farlo. Il responsabile del trattamento dovrà disciplinare la fornitura di informazioni nel contratto con l'incaricato del trattamento (contratto di trattamento commissionato) (art. 9 cpv. 1 lett. a LPD).
V. Modalità
A. Nessuna rinuncia al diritto all'informazione (cpv. 5)
31 Ai sensi dell'art. 25 cpv. 5 LPD, il diritto all'informazione non può essere rinunciato in anticipo. La disposizione corrisponde all'art. 8 cpv. 6 aDSG.
B. Fornitura gratuita di informazioni (cpv. 6)
32 Secondo l'art. 25 cpv. 6 LPD, in linea di principio le informazioni devono essere fornite gratuitamente. La corrispondente disposizione parziale dell'art. 8 cpv. 5 aDSG ("di norma [...] gratuitamente") è stata così ripresa. Il diritto all'informazione si basa sul presupposto che la fornitura di informazioni è generalmente possibile senza grandi sforzi se il trattamento dei dati è conforme alla legge e all'ordinanza.
33 Il Consiglio federale ha la facoltà di prevedere eccezioni al diritto all'informazione gratuita, "in particolare se lo sforzo richiesto è sproporzionato". Il Consiglio federale si è avvalso di questa competenza con l'art. 19 DPA.
34 In caso di sforzo sproporzionato, la fornitura di informazioni può eccezionalmente essere subordinata a un contributo ragionevole alle spese fino a 300 franchi (art. 19 cpv. 1 e 2 LDP).
35 Non sussiste uno sforzo sproporzionato se le informazioni devono essere fornite su una grande quantità di dati personali perché il titolare del trattamento raccoglie il maggior numero possibile di dati nel proprio interesse. Lo stesso vale se lo sforzo sproporzionato è il risultato di un'organizzazione inadeguata da parte del responsabile del trattamento. Nel caso delle richieste di informazioni alla fondazione meineimpfungen in seguito alla cessazione della piattaforma internet meineimpfungen.ch, l'IFPDT ha raccomandato di rimborsare agli interessati che avevano richiesto informazioni le spese per le copie certificate dei documenti di identità che la fondazione aveva richiesto.
36 Il responsabile del trattamento deve informare l'interessato che ha richiesto informazioni sull'importo della partecipazione ai costi prima di fornire le informazioni (art. 19 cpv. 3 frase 1 LDP). Se l'interessato non aderisce alle informazioni richieste entro dieci giorni, la richiesta di informazioni si considera ritirata senza spese (art. 19 cpv. 2 LADP). Il primo termine per fornire le informazioni ai sensi dell'articolo 18, paragrafo 1, della LADP è quindi prorogato di questo periodo di riflessione di dieci giorni (articolo 19, paragrafo 3, frase 2, della LADP).
37 In pratica, la partecipazione ai costi da parte dell'interessato è poco significativa. Nel caso di una contabilità dei costi completa, l'impegno della persona responsabile in relazione alla condivisione dei costi raggiunge spesso un massimo di 300 franchi svizzeri. Questo sforzo aumenta ulteriormente se l'interessato adegua la sua richiesta di informazioni a causa della condivisione dei costi richiesta, in modo che il responsabile non possa più rivendicare uno sforzo sproporzionato. Di solito è più facile per il responsabile chiedere una definizione più precisa delle informazioni richieste (cfr. n. 18 sopra).
C. Termine per fornire le informazioni (cpv. 7)
38 Per la fornitura di informazioni si applica un termine iniziale di 30 giorni dal ricevimento da parte del titolare del trattamento (art. 18 cpv. 1 LDP). Il responsabile del trattamento può prorogare il termine se le informazioni non possono essere fornite entro 30 giorni, e in tal caso deve informare l'interessato del nuovo termine (art. 18, par. 2, RPD). L'informazione deve essere fornita prima della scadenza del primo termine di 30 giorni, così come l'informazione sul rinvio, la restrizione o il rifiuto dell'informazione (art. 18 cpv. 3 LADP; cfr. art. 26 f. LADP sulle restrizioni all'accesso). LPD sulle limitazioni del diritto all'informazione).
VI. Applicazione
39 Il diritto all'informazione deve essere fatto valere con un'azione civile contro i privati responsabili, laddove il mancato adempimento non costituisce in linea di principio una violazione diretta dei diritti della personalità. Il mancato adempimento non può essere giustificato ai sensi dell'art. 31 LPD. Il foro competente per le azioni civili è il domicilio o la residenza di una delle parti (art. 20 lett. d CPC); non è previsto il pagamento di un anticipo sulle spese (art. 99 cpv. 3 lett. d CPC) e non vengono riconosciute le spese processuali (art. 113 cpv. 2 lett. g e 114 lett. g CPC). La procedura semplificata si applica alle azioni per far valere il diritto all'informazione (art. 243 cpv. 2 lett. d CPC).
40 Il diritto all'informazione nei confronti degli organi federali responsabili deve essere esercitato mediante ricorso. L'interessato che richiede informazioni ha diritto a una sentenza impugnabile.
41 L'IFPDT può ordinare la trasmissione di informazioni in un procedimento amministrativo ai sensi degli artt. 49 e segg. LPD e può comminare una sanzione (art. 51 cpv. 3 lett. g e 63 LPD). L'interessato non è parte in causa in questo procedimento (art. 52 cpv. 2 LPD e contrario).
42 La fornitura intenzionale di informazioni false o incomplete è punibile, su richiesta della persona interessata, con una multa fino a 250.000 franchi svizzeri (art. 60 cpv. 1 lett. a LPD). L'interessato ha il diritto di presentare un'istanza (art. 30 CP, in particolare art. 30 cpv. 1 CP). A differenza del DSGVO, la LPD non prevede sanzioni amministrative (art. 83 DSGVO), anche se è possibile una sanzione pecuniaria per le imprese in via eccezionale (cfr. n. 44).
43 Chiunque, in qualità di responsabile o incaricato, non risponda a una richiesta di informazioni o dichiari falsamente di non essere obbligato a fornire informazioni non è perseguibile. Questa scappatoia di responsabilità penale esisteva già con l'art. 34 cpv. 1 lett. aDSG, che prevedeva una multa massima di 10.000 franchi svizzeri (art. 106 cpv. 1 CP).
44 La disposizione sanzionatoria è fondamentalmente limitata alle persone fisiche nel caso di privati responsabili. Il rischio di una multa è essenzialmente a carico delle singole persone fisiche che forniscono informazioni, che possono anche essere un soggetto subordinato. Le società possono essere punite solo in casi eccezionali; in questo caso la multa massima possibile è di 50.000 franchi svizzeri (art. 64 LPD). La responsabilità penale per la fornitura intenzionale di informazioni incomplete non si applica se non si dà l'impressione che le informazioni siano complete. Non esiste l'obbligo di rilasciare una dichiarazione di completezza. Per i dipendenti dell'Amministrazione federale e di altri organi federali sono previste solo sanzioni disciplinari.
Bibliografia
Baeriswyl Bruno, Vorbemerkung zu Art. 25-29 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023 (zit. SHK-Baeriswyl, Vorb. zu Art. 25-29 DSG).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBI 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 30.3.2023.
Bundesamt für Justiz: Verordnung über den Datenschutz (Datenschutzverordnung, DSV), Erläuternder Bericht vom 31.8.2022 (zit. BJ, Bericht).
Bauer Stefan, Beweisführung der Zustellung im E-Mail-Verkehr, 1.5.2022, https://www.cubewerk.de/wp-content/uploads/2022/06/Stefan_Bauer_Beweisfuehrung_E-Mail_Fiktion_Zugangsfiktion_Zustellnachweise_E-Mail.pdf, besucht am 30.3.2023 (zit. Bauer, E-Mail-Zustellung).
Pärli Kurt/Flück Nathalie, Kommentierung zu Art. 25 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023 (zit. SHK-Pärli/Flück, Art. 25 DSG).
Rosenthal David, Das neue Datenschutzgesetz, Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz und weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri Art. 8 aDSG).
Schlussbericht und Empfehlungen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EBÖB) betreffend die Plattform «meineimpfungen.ch», 31.8.21 (zit. Schlussbericht EDÖB).
Suter-Sieber Irène/Stutz Christoph/Wirz Chiara, Datenschutzzweckwidrige Auskunftsbegehren im Arbeitsverhältnis, AJP 5 (2021), S. 593-605 (zit. Suter-Sieber/Stutz/Wirz, Auskunftsbegehren).
Thouvenin Florent, Recht auf informationelle Selbstbestimmung?!, Vortrag am Datenschutz-Festival der Digitalen Gesellschaft am 2.12.2022 in Zürich, https://www.digitale-gesellschaft.ch/2022/12/15/erstes-datenschutz-festival-der-schweiz-zusammenfassung-rueck-und-ausblick/ und https://www.digitale-gesellschaft.ch/uploads/2022/12/Datenschutz-Festival-Informationelle-Selbstbestimmung.pdf, besucht am 30.3.2023.
Vasella David, 4A_125/2020 (amtl. Publ.): Gegenstand des Auskunftsrechts, insb. betr. Herkunftsangaben; keine Auskunft über Daten im Gedächtnis, in: datenrecht.ch, 12.1.2021, https://datenrecht.ch/4a_125-2020-amtl-publ-gegenstand-des-auskunftsrechts-insb-betr-herkunftsangaben-keine-auskunft-auf-daten-im-gedaechtnis/, besucht am 30.3.2023 (zit. Vasella, Gedächtnis).
Vasella David, 4A_277/2020: Rechtsmissbrauch eines Auskunftsbegehrens bejaht (Fishing Expedition), in: datenrecht.ch, 8.12.2020, https://datenrecht.ch/4a_277-2020-rechtsmissbrauch-eines-auskunftsbegehrens-bejaht-fishing-expedition/, besucht am 30.3.2023 (zit. Vasella, Fishing Expedition).
Vasella David, EuGH (Österreichische Post): Auskunftsrecht umfasst wenn möglich die einzelnen Empfänger (nicht nur Kategorien), in: datenrecht.ch, 14.1.2023, https://datenrecht.ch/eugh-oesterreichische-post-auskunftsrecht-umfasst-die-einzelnen-empfaenger-nicht-nur-kategorien/, besucht am 30.3.2023 (zit. Vasella, Österreichische Post).
Vasella David, OGer ZH: kein Auskunftsrecht betr. Daten einer verstorbenen Person, Art. 1 Abs. 7 VDSG bundesrechtswidrig; Dispositionsmaxime bei Klagen auf Auskunftserteilung, in: datenrecht.ch, 4.4.2017, https://datenrecht.ch/oger-zh-kein-auskunftsrecht-betr-daten-einer-verstorbenen-person-art-7-abs-1-vdsg-bundesrechtswidrig-dispositionsmaxime-bei-klagen-auf-auskunftserteilung/, besucht am 30.3.2023 (zit. Vasella, Tod).
Waldvogel Marcel, Machine Learning: Künstliche Faultier-Intelligenz, in: dnip.ch, 16.8.2022, https://dnip.ch/2022/08/16/machine-learning-kuenstliche-faultier-intelligenz/, besucht am 30.3.2023 (zit. Waldvogel, Machine Learning).