-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Generalità
- II. cpv. 1, consenso, interesse preponderante, motivi legali di giustificazione
- III. cpv. 2
- Bibliografia
- I Materiali
In breve
[Nell'introduzione all'articolo 31, a cura di altri redattori].
I. Generalità
[In generale all'articolo 31; preambolo e contesto, a cura di altri redattori].
II. cpv. 1, consenso, interesse preponderante, motivi legali di giustificazione
[sull'art. 31, cpv. 1; a cura di altri redattori].
III. cpv. 2
A. Informazioni generali / fasi di verifica
[In generale al cpv. 2; da parte di altri incaricati del trattamento].
B. Elenco dei casi giuridici
1. lit. a - d
[Da parte di altri incaricati del trattamento].
2 lit. e, Trattamento per finalità non personali
1 L'elaborazione per scopi non personali è la disposizione sugli interessi prevalenti che è stata maggiormente ampliata rispetto alla precedente disposizione dell'art. 13 cpv. 2 lett. e aDSG. Oltre alla precedente disposizione sulla pubblicazione dei risultati (nuova nel cpv. 3 della disposizione, si veda il n. 15 qui di seguito), vi è ora l'obbligo di anonimizzare o pseudonimizzare il più presto possibile (cpv. 1) e, come reato qualificato, l'obbligo di comunicare a terzi i dati personali particolarmente sensibili (cpv. 2). L'autorità di regolamentazione non inizia più con la pubblicazione dei risultati, ma interviene direttamente nella gestione del processo interno durante l'elaborazione. Da un lato, la maggiore densità normativa è il risultato di una concretizzazione giuridica dei principi esistenti; dall'altro, comporta un inasprimento dei requisiti per i responsabili del trattamento in caso di trattamento per finalità non personali.
a) Finalità non personali come reato base
2 L'elemento centrale della disposizione è il trattamento per finalità non personali. Le finalità non personali sono finalità per le quali l'identità dell'interessato è irrilevante. In altre parole, lo scopo dell'attività è soddisfatto anche se vengono trattati dati anonimizzati o criptati. Le finalità di trattamento che possono rientrare in questa giustificazione sono molteplici. Non si tratta solo di un gran numero di persone, ma il trattamento dei dati di una singola persona o di un gruppo può servire anche a scopi non personali, purché riguardi solo le caratteristiche e non l'identità. L'identità dell'interessato può tuttavia avere un'importanza pratica per gli stessi responsabili del trattamento, ad esempio nel settore degli studi longitudinali in cui le informazioni vengono raccolte dagli interessati a intervalli regolari.
3 La legge stessa non definisce il termine "finalità non personalizzata", ma cita come esempi la ricerca privata, la statistica e la pianificazione. Il regolamento viene quindi definito anche come "privilegio di ricerca" ai sensi della legge sulla protezione dei dati. La pianificazione della popolazione, del territorio e dei trasporti sono citati come esempi di pianificazione. Lo status privilegiato di queste aree è giustificato dal fatto che non solo forniscono una base importante per il processo decisionale economico, ma soddisfano anche una serie di esigenze sociali e pubbliche. L'elenco delle aree non è esaustivo. In particolare, si dovrebbe prendere in considerazione la valutazione dei dati di utilizzo di Internet e delle app o l'uso di modelli di intelligenza artificiale nel contesto delle analisi dei big data, in cui qualsiasi interesse per l'individuo viene eliminato in anticipo. D'altra parte, la menzione esplicita nella legge non significa che il trattamento dei dati nei settori della ricerca, della statistica e della pianificazione abbia sempre finalità non personali. Un esempio di finalità personalizzata è la medicina di precisione, in cui i risultati positivi degli studi dovrebbero andare a beneficio anche delle persone interessate. Tra le attività con finalità diverse vi sono le ricerche storiche e genealogiche, che non sono coperte dal privilegio se si riferiscono a persone o gruppi specifici.
4 La disposizione regola il trattamento dei dati da parte di privati. Ciò include, ad esempio, la ricerca farmaceutica privata, gli studi clinici privati o gli studi condotti da organizzazioni private, le ricerche di mercato e la pianificazione nelle aziende. In base all'art. 40 LPD, la disposizione copre anche le attività degli organi federali di diritto privato. L'art. 39 LPD, che contiene una disposizione analoga sul trattamento dei dati per scopi non personali da parte degli organi federali, si applica alle attività governative.
5 Vi saranno anche finalità di trattamento che hanno componenti sia personali che non personali, in particolare nella ricerca. Per tali attività, si pone il problema di stabilire in quale misura si possa invocare il motivo di giustificazione. Per gli organi federali, l'art. 35 LPD stabilisce che le eccezioni di cui all'art. 39 cpv. 2 LPD si applicano solo al trattamento per finalità non personali. Una normativa analoga per i responsabili del trattamento privati è quindi comprensibile; essa porta a considerare separatamente la legge sui dati per i diversi aspetti di un'attività specifica.
6 Per quanto riguarda le tre aree menzionate nella legge e altre aree, si deve poi tenere conto della legislazione speciale che, a seconda dell'emanazione, va dalla norma generale di riferimento a regolamenti dettagliati. Di particolare importanza è la legge sulla ricerca umana (attualmente in fase di revisione) con l'LRMT e le leggi correlate, come la legge sulla registrazione dei tumori, che contengono disposizioni proprie sulla pseudonimizzazione e disposizioni di triage relative all'applicazione dell'LRMT e della LPD (ad es. art. 28 LRMT). Nel settore della fornitura di energia elettrica, l'art. 17c cpv. 1 StromVG fa riferimento alla LPD per quanto riguarda i contatori intelligenti. Nel settore statistico, la legislazione speciale della Legge federale sulla statistica (BStatG) si applica nella misura in cui riguarda organizzazioni private (art. 2 cpv. 3 BStatG, cfr. anche i principi di cui all'art. 4 BStatG).
7 Se il trattamento viene effettuato per scopi non personalizzati, si applicano le varie disposizioni delle sezioni da 1 a 3. Le disposizioni in dettaglio:
b) Cifra 1, anonimizzazione o pseudonimizzazione (crittografia)
8 I responsabili del trattamento devono anonimizzare i dati non appena lo scopo del trattamento lo consente. La disposizione riprende quindi il principio dell'art. 6 cpv. 4 LPD e allo stesso tempo lo relativizza con un'eccezione. Secondo questa disposizione, i responsabili del trattamento possono adottare altre misure appropriate per impedire l'identificazione della persona se l'anonimizzazione è tecnicamente impossibile o comporta uno sforzo sproporzionato. Grazie allo sviluppo dei software di riconoscimento biometrico, ad esempio, oggi è di fatto impossibile anonimizzare i ritratti delle persone, mentre in passato era sufficiente una barra nera nella zona degli occhi. In considerazione dello scopo della norma, l'eccezione deve essere applicata con un senso di proporzione nonostante le conseguenze tecniche e finanziarie e richiede una ponderazione degli interessi nei singoli casi, che bilanci gli interessi delle persone interessate rispetto alla volontà di privilegiare le attività in questione.
9 Le misure appropriate includono, in particolare, la pseudonimizzazione, la crittografia o la codifica. La pseudonimizzazione svolge un ruolo importante nella pratica e allo stesso tempo rappresenta una sfida tecnica. Soprattutto per quanto riguarda i dati ottenuti da materiale biologico (biocampioni), cioè da parti del corpo umano come tessuti o campioni di sangue, i requisiti tecnici per la pseudonimizzazione sono aumentati. La tecnologia di laboratorio, soprattutto l'analisi del DNA, facilita l'identificazione, eventualmente in combinazione con le caratteristiche di altri campioni. La legge sulla ricerca umana prevede disposizioni corrispondenti per il trattamento del materiale biologico e dei dati genetici (art. 32 e segg. LRUm).
10 Per quanto riguarda le misure per impedire l'identificazione, occorre fare riferimento all'ampio catalogo di misure tecniche e organizzative di cui all'art. 3 DPA, in particolare alle norme sulla riservatezza e sull'integrità. Esistono inoltre diverse linee guida sulla crittografia, come le linee guida vincolanti per il collegamento scientifico dell'Ufficio federale di statistica o le linee guida intersettoriali dell'Agenzia europea per la sicurezza informatica (Enisa). Le linee guida contengono, tra l'altro, requisiti per la gestione dei codici e per la de-pseudonimizzazione.
c) Cifra 2, divulgazione a terzi
11 Il secondo requisito riguarda il trattamento di dati particolarmente sensibili (per il termine, si veda il commento all'art. 5 lett. c LPD). La disposizione fa riferimento all'art. 30 cpv. 2 lett. c LPD, secondo cui la divulgazione di tali dati a terzi costituisce una violazione dei diritti della personalità. Come già nel paragrafo 1, viene stabilito un principio, mitigato da un'eccezione. L'eccezione non era ancora stata inserita nel disegno di legge ed è stata introdotta nel Consiglio nazionale.
12 Se è soddisfatto il criterio aggiuntivo dei dati particolarmente sensibili, si applica il principio secondo cui tali dati possono essere trasmessi a terzi solo in modo tale che la persona interessata non possa essere identificata. Pertanto, i dati possono essere trasferiti solo in forma anonima o criptata. Il trasferimento di dati a terzi non è quindi inizialmente trattato in modo diverso dalla pubblicazione (punto 3). Il punto 2 mira a impedire che la divulgazione di dati personali non anonimizzati particolarmente meritevoli di protezione sia giustificata dal fatto che vengono elaborati a fini di ricerca, pianificazione o statistica.
13 L'eccezione si applica se non è possibile adottare misure per impedire l'identificazione, come nel caso dei dati genetici estesi di una persona. Secondo la formulazione, la sproporzione della misura non è considerata una giustificazione (cfr. par. 1). In caso di impossibilità, si deve garantire che i terzi trattino i dati solo per scopi non personalizzati. La disposizione non richiede che lo scopo del trattamento da parte di terzi sia lo stesso del responsabile del trattamento, il che è comprensibile alla luce delle diverse aree di responsabilità nella ricerca, nella statistica e nella pianificazione. L'obbligo di garanzia si applica principalmente al responsabile del trattamento, mentre il paragrafo 2 non contiene alcun requisito metodologico per garantire (contrattualmente) la limitazione delle finalità non personalizzate nei confronti di terzi.
14 Il dispaccio sull'aDSG fa poi riferimento alle disposizioni di legge in materia di riservatezza. Quando queste vietano la divulgazione dei dati a terzi, hanno la precedenza su norme speciali, come il segreto professionale protetto dal diritto penale (ad esempio il segreto medico). Di conseguenza, i dipartimenti di statistica o i ricercatori non possono giustificare la divulgazione di dati segreti sulla base del paragrafo 2. Lo stesso vale per i contratti o le clausole di altro tipo. Lo stesso vale per gli obblighi di riservatezza contrattuali o altrimenti stipulati.
d) Cifra 3, Pubblicazione dei risultati
15 Il cpv. 3 riprende la precedente disposizione secondo cui le persone interessate non devono essere identificabili al momento della pubblicazione dei risultati (art. 13 cpv. 2 lett. e aDSG). In altre parole, non vi è ancora alcun obbligo di anonimizzazione al momento della pubblicazione dei risultati. In dottrina si osserva che la pubblicazione di studi con un numero ridotto di persone colpite può comportare il rischio di trarre conclusioni sull'individuo, ad esempio nel caso di studi su malattie rare o sulla pianificazione di piccole aree geografiche. Tuttavia, quando si pubblicano risultati basati su dati relativi a un numero elevato di persone affette, questo sembra essere un problema minore, in quanto l'identificazione della persona da parte di un essere umano è più difficile. I sistemi di riconoscimento automatico menzionati in precedenza, invece, funzionano indipendentemente da restrizioni geografiche o numeriche, il che significa che, in ultima analisi, è il progresso tecnico ad aumentare costantemente i requisiti per la pubblicazione dei risultati.
Bibliografia
Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2022 (zit. SHK DSG-Bearbeiter/-in).
Baeriswyl Bruno, Die Einwilligung hilft (nicht) weiter, digma 2020 S. 62 ff. (zit. Baeriswyl).
Baeriswyl Bruno, "Big Data" ohne Datenschutz-Leitplanken, digma 2013 S. 14 ff. (zit. Baeriswyl, Big Data).
Baeriswyl Bruno/Pärli Kurt (Hrsg.), Datenschutzgesetz (DSG), Stämpflis Handkommentar, Bern 2015 (zit. SHK aDSG-Bearbeiter/-in).
Kasper Gabriel, People Analytics in privatrechtlichen Arbeitsverhältnissen, Vorschläge zur wirksameren Durchsetzung des Datenschutzrechts, Zürich/St. Gallen 2021 (zit. Kasper).
Bieri Adrian/Powell Julian (Hrsg.), Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, Zürich 2023 (zit. OFK-Bearbeiter/-in).
Blechta, Gabor-Paul/Vasella, David (Hrsg.), Datenschutzgesetz /Öffentlichkeitsgesetz, DSG/BGÖ. Basler Kommentar, 4. Aufl., Basel 2024 (zit. BSK nDSG-Bearbeiter/-in).
Laux, Christian, Introduction into the legal aspects of big data (part #3: privacy aspects – basics), Swiss Data Analytics Magazine 2015/01, S. 13 ff. (zit. Laux).
Maurer-Lambrou, Urs/Blechta, Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014 (zit. BSK-Bearbeiter/-in).
Meier Philippe, Protection des données, Fondements, principes généraux et droit privé, Bern 2010 (zit. Meier).
Reudt-Demont Janine, Digitalisierung des Gesundheitswesens 2023, LSR 2023 S. 39 ff. (zit. Reudt-Demont).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri (2008)).
Volz Stephanie, KI Sandboxen für die Schweiz?, SZW 2022 S. 51 ff., 56 (zit. Volz).
I Materiali
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff., abrufbar https://www.fedlex.admin.ch/eli/fga/2017/2057/de (zit. Botschaft 2017).
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/ de, (zit. Botschaft 1988).
Erläuterungsbericht Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz, BJ, 23.6.2021 (zit. Erläuterungsbericht).