-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Prerequisiti per un test pilota ammissibile (cpv. 1)
- III. Regolamentazione del progetto pilota in un'ordinanza
- IV. Obbligo di ottenere il parere dell'IFPDT (cpv. 2)
- V. Valutazione e termine della fase pilota (cpv. 3 e 4)
- VI. valutazione
- Bibliografia
In breve
La disposizione sull'esecuzione di test pilota consente il trattamento di dati personali che richiedono una protezione speciale, anche se non esiste ancora una base giuridica formale. Lo scopo della disposizione è quello di consentire il trattamento sperimentale dei dati per un periodo di tempo limitato, se ciò è indispensabile per affrontare determinate innovazioni tecniche, questioni organizzative o ulteriori incertezze.
I. Aspetti generali
A. Contesto
1 La necessità di applicazioni potenti non solo nelle cosiddette "e-aree", cioè nell'eGovernment o nell'eHealth, ma più in generale nell'ambito dell'adempimento di compiti ufficiali, cresce con la digitalizzazione dei nostri ambiti di vita e di attività.
2 Poiché i progetti di digitalizzazione comportano solitamente elevati costi di investimento, ma allo stesso tempo è spesso impossibile valutare se le applicazioni in questione possano essere tecnicamente implementate come sperato, è necessario fornire opportunità per poter valutare la concezione e soprattutto la messa in rete delle applicazioni nell'ambito di prove pilota. Le prove pilota devono essere intese come test per acquisire conoscenze sulla fattibilità o sull'accettazione di un progetto.
B. Scopo della norma
3 Le prove pilota non devono compromettere i principi dello Stato di diritto. Anche se, a causa della natura sperimentale del trattamento dei dati e della complessità del processo legislativo, al momento del progetto pilota non è ancora possibile ricorrere alle basi giuridiche fornite dalla Costituzione (con un livello e una densità adeguati di norme), devono comunque essere rispettati i requisiti legali minimi.
4 L'art. 35 LPD consente quindi al Consiglio federale di effettuare test pilota per un periodo di tempo limitato, basandosi solo su un'ordinanza (e non su una legge in senso formale, come sarebbe richiesto per i dati personali particolarmente sensibili, art. 34 cpv. 2 LPD).
C. Storia
5 Già nel 1999 è stata presentata la mozione "Maggiore protezione dei dati personali nelle connessioni online". Essa ha costituito la base per il successivo art. 17a aDSG e per la regolamentazione del trattamento dei dati nell'ambito di test pilota in cui i diritti personali delle persone interessate potrebbero essere particolarmente a rischio. Il contenuto dell'art. 35 LPD è stato incorporato nella nuova legge sulla protezione dei dati in modo sostanzialmente invariato e incontestato nelle deliberazioni parlamentari.
II. Prerequisiti per un test pilota ammissibile (cpv. 1)
6 I dati personali che richiedono una protezione particolare o altri trattamenti di dati ai sensi dell'art. 34 cpv. 2 lett. b e c LPD possono essere trattati nell'ambito di un test pilota e in deroga all'obbligo di una base giuridica solo se sono soddisfatte cumulativamente le seguenti condizioni:
A. Norma di compito in una legge in senso formale (lett. a)
7I compiti per l'adempimento dei quali è necessario il progetto pilota con il trattamento automatizzato di dati personali sensibili devono essere già disciplinati in una legge in senso formale al momento del progetto pilota (cfr. OK-Zysset sull'art. 34 LPD), e la legge deve anche essere già in vigore.
8 Non è sufficiente che la base giuridica formale disciplini solo i compiti che rendono necessario il trattamento. Il requisito della densità normativa deve essere soddisfatto, se non per il progetto pilota in sé, almeno per i compiti alla base del progetto. La base giuridica deve quindi descrivere l'organismo che ha accesso ai dati, lo scopo specifico dell'accesso e la portata dell'autorizzazione all'accesso.
B. Limitare al minimo le violazioni della personalità (lett. b)
9 Al fine di ridurre al minimo i rischi che il progetto pilota comporta per gli interessati, devono essere adottate misure organizzative, tecniche e legali, in particolare per garantire la sicurezza dei dati. Le misure di protezione devono ridurre al minimo la possibile minaccia di violazioni della personalità. La nuova formulazione dell'art. 35 cpv. 1 lett. b LPD rende quindi giustizia al fatto che il rischio di violazioni della personalità nel contesto del trattamento dei dati digitalizzati non può di fatto mai essere completamente escluso.
C. Indispensabilità della fase di prova (lett. c)
10 I progetti pilota per il trattamento di dati personali particolarmente sensibili e la relativa relativizzazione del principio di legalità non devono essere avviati a cuor leggero: L'art. 35 cpv. 1 lett. c LPD richiede che la fase di prova sia indispensabile, in particolare per motivi tecnici. Allo stesso tempo, però, il legislatore ammette che ci possono essere altre ragioni, ad esempio organizzative, che rendono necessario un test pilota per il trattamento di dati personali particolarmente sensibili ("in particolare").
11 Sono inoltre ipotizzabili combinazioni di condizioni tecniche e organizzative che da sole non giustificherebbero il ricorso all'art. 35 LPD, ma che insieme rendono necessaria una prova pilota, soprattutto quando si tratta di testare i sistemi informatici e verificare le interfacce tra i livelli federali. Infine, la pandemia Covid ha dimostrato che possono esserci anche motivi imprevisti per effettuare un test pilota: L'applicazione svizzera Covid è stata gestita sulla base dell'allora art. 17a aDSG (in combinato disposto con l'art. 78 cpv. 1 EpG) durante una fase di prova di un mese, al fine di testare gli "approcci risolutivi di nuova concezione per quanto riguarda la natura decentralizzata dell'elaborazione dei dati e i metodi crittografici, (la) stabilità del funzionamento, (la) protezione da manipolazioni involontarie o non autorizzate, (la) facilità d'uso (nonché) la comprensibilità delle informazioni per i partecipanti e per i professionisti autorizzati ad accedervi". In questo caso e a causa dell'urgenza della situazione, la fase pilota è durata solo dal 14 maggio 2020 al 25 giugno 2020, dopodiché l'app è stata messa in funzione regolarmente.
III. Regolamentazione del progetto pilota in un'ordinanza
12 Anche se l'art. 35 LPD, a differenza della precedente disposizione dell'art. 17a cpv. 3 aDSG, non prevede più esplicitamente che il Consiglio federale debba disciplinare il progetto pilota proprio nell'ambito di un'ordinanza, tale obbligo non solo continua a sussistere ai sensi dell'art. 33 cpv. 2 lett. e LPD (obbligo dell'organo federale competente di consultare l'IFPD nell'ambito della procedura di autorizzazione e di sottoporgli un progetto di ordinanza): Si tratta del principio di legalità sancito dall'art. 5 cpv. 1 Cost. da cui si può dedurre che un livello minimo di controllo da parte dello Stato di diritto deve essere mantenuto anche durante un progetto pilota, oppure che gravi violazioni dei diritti fondamentali richiedono almeno una base giuridica a livello di ordinanza, anche nel caso di progetti pilota.
13 L'ordinanza deve contenere tutte quelle regole che (al di fuori di un progetto pilota) dovrebbero essere stabilite a livello di leggi e ordinanze. È importante - soprattutto per quanto riguarda la valutazione obbligatoria (n. 16) - che sia specificato il più precisamente possibile in anticipo che cosa esattamente deve essere testato.
IV. Obbligo di ottenere il parere dell'IFPDT (cpv. 2)
14 Il progetto pilota deve essere sottoposto al parere dell'IFPDT. Questa norma stabilisce un meccanismo di controllo essenziale che tiene conto del fatto che i progetti pilota possono discostarsi dal principio costituzionale del livello standard. Come elemento di "checks and balances", l'IFPDT è responsabile almeno della verifica della plausibilità del progetto pilota, del controllo dei meccanismi di protezione adottati, della revisione dell'ordinanza e delle valutazioni periodiche. A tal fine, ai sensi dell'art. 33 cpv. 2 e 3 LADP, devono essere trasmesse all'IFPDT informazioni dettagliate, in particolare sul progetto pilota in sé e per sé, sulle misure organizzative e tecniche (di sicurezza), su una bozza o almeno su un concetto dell'ordinanza che deve regolare il test pilota, nonché su un piano del progetto.
15 Anche se l'IFPDT non può emettere un parere vincolante, si può presumere che il Consiglio federale seguirà generalmente la valutazione dell'IFPDT.
V. Valutazione e termine della fase pilota (cpv. 3 e 4)
16 Il progetto pilota deve essere valutato al più tardi entro due anni dall'entrata in funzione (art. 35 cpv. 3 LPD). L'ente responsabile del progetto pilota deve spiegare al Consiglio federale nel rapporto di valutazione se il progetto può già essere trasferito a un servizio regolare, se il progetto pilota deve essere continuato (ma si noti il limite massimo di cinque anni, n. 17) o se il progetto deve essere interrotto.
17 In generale, la fase pilota può durare al massimo cinque anni (art. 35 cpv. 4 LPD). Questo periodo non può essere prorogato, anche se il progetto pilota deve essere convertito in un servizio regolare, ma non è ancora stata sviluppata una base legale - un funzionamento "regolare" basato su una semplice bozza non è ammissibile per ragioni di stato di diritto.
VI. valutazione
18 Sebbene l'art. 17a aDSG sia stato finora utilizzato solo molto raramente e il Consiglio federale affermi che ricorrerà all'art. 35 LPD solo in casi eccezionali, si può presumere che con la trasformazione digitale dell'amministrazione anche la disposizione relativa ai test pilota sarà utilizzata più spesso. Ciò può essere nell'interesse dello sviluppo digitale dell'Amministrazione federale, ma non va dimenticato che l'applicazione dell'art. 17a aDSG o dell'art. 35 LPD è sempre accompagnata da una violazione del principio di legalità. Si dovrebbe quindi evitare un ricorso troppo generoso all'art. 35 LPD, senza che, ad esempio, esista una norma sul compito in senso formale o che sia stata esaminata seriamente l'indispensabilità della fase di prova. Dopotutto, non si può negare che i progetti pilota siano sempre accompagnati da alti costi di investimento: la decisione di non continuare a gestire un sistema dopo la fine della fase di test dovrebbe quindi essere non solo difficile, ma anche rara.
L'autrice fornisce la sua valutazione personale in questo commento.
Bibliografia
Husi-Stämpfli Sandra, Kommentierung zu Art. 35, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Huber René, die Teilrevision des Eidg. Datenschutzgesetzes, ungenügende Pinselrenovation, in: recht 2006, S. 205.
Schäfer Marc Frédéric, Kommentierung zu Art. 17a DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Oberlin Jutta Sonja/Kessler Rainer, Daten: Die Schlüsselrolle im Kampf gegen die Coronavirus-Pandemie?, in: jusletter 16.11.2020.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Vokinger Kerstin Noëlle, Die digitale Bekämpfung von Covid-19 und die Rolle des Bundes(rates), SJZ 116/2020, S. 412.