-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
In breve
Il rispetto delle norme sulla protezione dei dati da parte dell'IFPDT è un obbligo legale che deriva già dalla sua qualità di organo federale. Poiché l'IFPDT non è sottoposto a un controllo esterno in materia di protezione dei dati, il legislatore lo obbliga ad autocontrollarsi: ai sensi dell'art. 48 LPD, l'IFPDT deve garantire l'esecuzione conforme alla legge mediante misure di controllo adeguate. L'art. 40 LADP specifica che l'IFPDT deve redigere un regolamento di trattamento per tutte le sue operazioni di trattamento automatizzato dei dati, indipendentemente dal fatto che tratti dati personali sensibili o che effettui una profilazione. Ciò garantisce che il rispetto delle norme sulla protezione dei dati sia monitorato anche all'interno dell'IFPDT, il che rafforza la credibilità dell'IFPDT come autorità di controllo nei confronti di terzi.
I. Aspetti generali
1 L'art. 48 LPD si rivolge all'IFPDT - ma non nella sua funzione di autorità di controllo, bensì di organo federale che tratta dati personali. Esso obbliga l'IFPDT ad assicurare misure di controllo adeguate per garantire la sicurezza dei dati in particolare e l'applicazione legalmente conforme delle norme federali sulla protezione dei dati in generale, anche all'interno della sua istituzione. Poiché non è previsto alcun controllo esterno sulla protezione dei dati per l'IFPDT in quanto autorità di vigilanza, con questa disposizione il legislatore obbliga l'IFPDT ad autocontrollare il trattamento dei dati personali.
2 L'IFPDT tratta i dati personali, compresi quelli particolarmente sensibili, per le seguenti finalità (art. 39 LDP):
svolgere la propria attività di vigilanza (lett. a),
per svolgere la propria attività di consulenza (lett. b),
per la cooperazione con altre autorità (lett. c),
per l'adempimento dei propri compiti nell'ambito delle disposizioni penali della LPD (lett. d),
per l'adempimento dei suoi doveri ai sensi della Legge sull'informazione pubblica (lett. e-g),
per informare la vigilanza parlamentare (lett. h), per informare il pubblico (lett. i) e per svolgere le proprie attività di formazione (lett. j).
L'IFPDT tratta dati personali sia nella sua funzione di commissario per la protezione dei dati che in quella di commissario per le informazioni pubbliche. In particolare, gestisce un sistema di amministrazione aziendale (art. 57h LOGA), un sistema di amministrazione del personale, un elenco di consulenti in materia di protezione dei dati (art. 10 cpv. 3 lett. d LPD; art. 10 cpv. 4 LPD in combinato disposto con l'art. 27 cpv. 2 LPD), l'elenco delle attività di trattamento degli organi federali (art. 12 cpv. 4 LPD) nonché un portale di segnalazione delle violazioni della sicurezza dei dati (art. 24 LPD). In particolare, nell'ambito dei suoi compiti legali, l'IFPDT può trattare dati personali dei suoi collaboratori, dati personali di altri collaboratori della Confederazione, nonché dati di terzi, compresi quelli di persone giuridiche (art. 57r LOGA).
3 L'IFPDT non è soggetto ad alcun controllo esterno sulla protezione dei dati, per cui è obbligato ad autocontrollarsi. La disposizione dell'art. 48 LPD chiarisce che anche l'IFPDT, in quanto autorità di controllo nel settore della protezione dei dati, non è al di sopra della legge sulla protezione dei dati e deve garantirne il rispetto anche all'interno della propria autorità. Il controllo esterno dell'IFPDT limiterebbe in modo sproporzionato la sua indipendenza rispetto al rischio piuttosto basso di abuso dei dati.
4 In quanto organo federale, l'IFPDT è vincolato non solo dalle disposizioni generali di cui agli articoli 5-13 e 16-29, ma anche dalle disposizioni speciali sul trattamento dei dati da parte degli organi federali di cui agli articoli 33 e seguenti. LPD. L'art. 48 LPD stabilisce che l'IFPDT deve prevedere misure di controllo adeguate per garantire il rispetto di questi obblighi. Questo obbligo di autocontrollo è dovuto al fatto che non esiste un corrispondente controllo esterno sulla protezione dei dati per l'IFPDT. Gli obblighi primari non sono quindi diversi da quelli degli altri organi federali; l'art. 48 LPD riguarda solo l'obbligo dell'IFPDT di controllare il rispetto di questi obblighi primari. In particolare, l'IFPDT deve adottare tutte le misure di controllo che normalmente esegue nell'ambito della sua attività di vigilanza nei confronti di altri organi federali, nella misura in cui queste si rivelano idonee anche nel caso dell'autocontrollo. Ciò rafforza la credibilità dell'IFPDT nella sua attività di vigilanza nei confronti degli organi federali e dei privati.
5 La disposizione dell'art. 48 LPD sull'autocontrollo da parte dell'IFPDT è stata integrata nella Legge federale sulla protezione dei dati con la revisione totale del 25 settembre 2020 (entrata in vigore il 1° settembre 2023).
II. Misure di controllo
A. Sicurezza dei dati in particolare
6 L'art. 48 LPD obbliga l'IFPDT a stabilire misure di controllo adeguate per garantire la sicurezza dei dati all'interno della propria istituzione. Ai sensi dell'art. 5 lett. h LPD, per violazione della sicurezza dei dati si intende "una violazione della sicurezza che comporta la perdita, la cancellazione, la distruzione o l'alterazione involontaria o illecita di dati personali, oppure la loro divulgazione o accessibilità a persone non autorizzate".
7 L'obbligo di garantire la sicurezza dei dati per l'IFPDT deriva già in modo generale dall'art. 8 LPD. Ai sensi di questa disposizione, i responsabili e gli incaricati del trattamento devono garantire una sicurezza dei dati adeguata al rischio mediante misure tecniche e organizzative adeguate. Le misure messe in atto devono consentire non solo di individuare a posteriori le violazioni della sicurezza dei dati, ma anche di prevenirle. La sicurezza dei dati è specificata nel DPO. In particolare, l'art. 3 del RGPD elenca una serie di misure tecniche e organizzative per raggiungere gli obiettivi di sicurezza dei dati ai sensi dell'art. 2 del RGPD, come ad esempio i controlli sull'accesso, sull'utente, sull'immissione e sulla divulgazione. Anche le disposizioni sul trattamento dei dati per gli organi federali ai sensi dell'art. 6 LADP servono a garantire la sicurezza dei dati.
8 In questo contesto, il Consiglio federale ha specificato l'obbligo di autocontrollo dell'IFPDT all'art. 40 della LDP. L'IFPDT deve redigere un regolamento di trattamento per tutti i trattamenti automatizzati, indipendentemente dal fatto che si tratti, ad esempio, di dati personali sensibili, di profilazione o che lo scopo del trattamento o il modo in cui i dati sono trattati possa comportare una grave interferenza con i diritti fondamentali della persona interessata. In effetti, l'art. 40 della legge sul trattamento dei dati personali dichiara inapplicabile l'art. 6 cpv. 1 della legge sul trattamento dei dati personali e le condizioni ivi contenute per la creazione di un regolamento sul trattamento dei dati nel caso dell'IFPDT.
9 Oltre all'obbligo di redigere un regolamento sul trattamento, l'art. 40 LADP non menziona altre misure nell'ambito dell'autoregolamentazione dell'IFPDT. Nelle note esplicative all'art. 40 LDT, l'Ufficio federale di giustizia afferma che anche l'IFPDT, come gli altri organi federali, deve prevedere processi interni corrispondenti che attuino le norme sul trattamento e ne verifichino la conformità. Tuttavia, la disposizione legale dell'art. 48 LPD parla in termini più generali di "misure di controllo adeguate, in particolare per quanto riguarda la sicurezza dei dati". Di conseguenza, la creazione, l'attuazione, la revisione e l'adeguamento regolare delle norme sul trattamento ai sensi dell'art. 40 LPD non esonera l'IFPDT dall'obbligo più generale di cui all'art. 48 LPD di prevedere misure di controllo più ampie, a condizione che queste siano giudicate adeguate e appropriate.
B. Applicazione legalmente conforme delle norme sulla protezione dei dati in generale
10 L'art. 48 LPD obbliga l'IFPDT a stabilire misure di controllo per garantire l'applicazione conforme alla legge delle disposizioni federali in materia di protezione dei dati. Questo obbligo va oltre la creazione e l'attuazione delle norme sul trattamento ai sensi dell'art. 40 LDP. In particolare, richiede che le operazioni di trattamento dei dati pianificate siano regolarmente controllate per verificarne la conformità con le disposizioni federali in materia di protezione dei dati. È proprio nell'ambito del sistema di controllo interno (SCI) che l'IFPDT deve prevedere ulteriori misure per garantire la conformità ai requisiti della LPD.
11 A differenza dell'obbligo di redigere un regolamento sul trattamento, tuttavia, le misure di controllo che vanno oltre sono necessarie solo se, da un lato, sono idonee a garantire il rispetto delle disposizioni sulla protezione dei dati e, dall'altro, sono proporzionate al rischio di abuso dei dati e alla minaccia per i diritti fondamentali della persona interessata. In particolare, l'obbligo dell'IFPDT non deve rendere impossibili o sproporzionatamente difficili i suoi compiti statutari di controllo e consulenza. Detto questo, l'IFPDT può tenere conto delle risorse umane necessarie nel contesto dell'autoregolamentazione nella sua richiesta di bilancio.
Il parere espresso riflette l'opinione personale degli autori e non è vincolante per l'Ufficio federale di giustizia.
Bibliografia
Baeriswyl Bruno, Kommentierung zu Art. 48 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Petermann Büttler Judith, Kommentierung zu Art. 48 DSG, in: Bieri Adrian/Powell Julian (Hrsg.), Datenschutzgesetz, Orell Füssli Kommentar, Zürich 2023.
I Materiali
Botschaft des Bundesrates vom 15.9.2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz (BBl 2017 S. 6941).
Erläuternder Bericht des BJ zur Datenschutzverordnung DSV vom 31. 8.2022.