-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- I. Scopo e storia della norma
- II. Misure amministrative
- III. Diritto procedurale
- Bibliografia
- I materiali
I. Scopo e storia della norma
1 L'art. 51 LPD descrive le misure amministrative che l'IFPD può adottare in caso di violazione delle disposizioni sulla protezione dei dati. Il potere di emanare ordinanze conferito all'IFPDT dall'art. 51 LPD è una novità della nuova legge sulla protezione dei dati. Con questo ampliamento dei poteri dell'IFPD, il legislatore risponde ai suggerimenti dei valutatori di Schengen del 2014, che avevano criticato il fatto che, ai sensi della vecchia legge federale sulla protezione dei dati del 1992 (aLPD), l'IFPD poteva solo formulare raccomandazioni. La valutazione Schengen del 2018 ha inoltre raccomandato di rafforzare i poteri esecutivi dell'IFPDT in modo che possa prendere direttamente decisioni giuridicamente vincolanti. L'articolo 51 LPD attua ampiamente l'articolo 47 cpv. 2, della direttiva (UE) 2016/680, specificato nell'articolo 58 cpv. 2, del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, GDPR). Allo stesso modo, i requisiti dell'articolo 15 cpv. 2, lett. c del Protocollo di modifica del 18 maggio 2018 alla Convenzione ETS 108 del Consiglio d'Europa sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali sono ampiamente soddisfatti.
2 Per contro, la revisione della LPD si è astenuta dall'ampliare i poteri sanzionatori della LPD al di là della facoltà di emettere ordinanze, nonostante una raccomandazione in tal senso dell'Unione europea e nonostante la corrispondente menzione nell'art. 15 cpv. 2 lett. c del Protocollo di modifica del 18 maggio 2018 alla Convenzione ETS 108. A differenza delle autorità di protezione dei dati di diversi altri Paesi - come le autorità di controllo nel campo di applicazione territoriale del GDPR - l'IFPDT non è quindi ancora in grado di imporre sanzioni amministrative agli organi federali. Anche nel caso dei privati, l'IFPD non ha il potere di imporre sanzioni dirette, ma almeno diverse violazioni dei doveri sono punite nel capitolo 8 della LPD. In particolare, l'IFPDT può imporre una minaccia di pena ai sensi dell'art. 63 LPD sulle sue decisioni di misure amministrative contro privati ai sensi dell'art. 51 LPD. Secondo il legislatore, questo sistema a due livelli è più conforme alla tradizione giuridica svizzera rispetto a una competenza sanzionatoria diretta dell'IFPDT ed è sufficientemente efficace.
3 A differenza del nuovo regime, l'IFPD non aveva la competenza di emettere misure giuridicamente vincolanti ai sensi dell'ALPD. Se nel corso di un'indagine nei confronti di un organo federale o di una persona privata l'IFPD aveva scoperto una violazione delle norme sulla protezione dei dati, poteva solo raccomandare alla persona responsabile di modificare o di astenersi dal trattamento dei dati (art. 27 cpv. 4 aLPD [per gli organi federali] o art. 29 cpv. 3 aLPD [per le persone private]). Se il responsabile si opponeva alla raccomandazione dell'IFPDT, rifiutandola formalmente o semplicemente non seguendola nei fatti, l'IFPDT doveva presentare la sua raccomandazione al dipartimento o alla Cancelleria federale (nel settore pubblico) o direttamente al Tribunale amministrativo federale (nel settore privato) per ottenere una valutazione giuridicamente vincolante. La decisione emessa dal Dipartimento o dalla Cancelleria federale poteva essere impugnata davanti al Tribunale amministrativo federale dall'organo federale interessato e - dall'introduzione di un corrispondente diritto di ricorso con la revisione della LFPr del 2006 - anche dalla LPD. In ultima istanza, le decisioni del Tribunale amministrativo federale possono essere impugnate davanti al Tribunale federale in materia pubblica e privata (art. 82 lett. a in combinato disposto con l'art. 86 cpv. 1 lett. a LTF). Oltre a questo percorso formale in più fasi attraverso la raccomandazione e il suo eventuale rinvio, l'IFPD poteva conferire forza de facto alle sue ordinanze non vincolanti informando l'Assemblea federale e il Consiglio federale e pubblicandole con un corrispondente effetto reputazionale (art. 30 aLPD).
4 In pratica, sotto l'ALPD, l'IFPD ha emesso solo poche raccomandazioni, sia nel settore privato che soprattutto in quello pubblico; l'applicazione tramite reclamo è stata ancora più rara. In molti casi, i responsabili avevano già preso le misure necessarie per rimediare alle irregolarità rivelate nel corso della procedura d'indagine, con l'aiuto dei consigli dell'IFPD (art. 28 e art. 31 cpv. 1 lett. aLPD). Se l'IFPDT ha comunque formulato una raccomandazione, questa è stata di solito seguita senza ulteriori indugi.
5 Tuttavia, la mancanza di autorità dell'IFPDT per imporre misure efficaci e, se necessario, sanzioni, è stata e continua a essere criticata nell'insegnamento e nella pratica della protezione dei dati. Anche nel dibattito politico e legislativo sull'ALPD sono state individuate le relative debolezze e si è discusso di un possibile rafforzamento della posizione dell'IFPD. Tuttavia, le opinioni divergono sulla forma concreta che questa posizione più forte dovrebbe assumere e in particolare sulla questione se l'IFPDT debba avere poteri sanzionatori. Ad esempio, nel 2014, un'iniziativa parlamentare che chiedeva l'introduzione di poteri sanzionatori amministrativi per l'FDPIC non ha avuto seguito. L'espansione moderatamente contenuta della posizione della LPD intrapresa con la revisione della FADP riflette l'opinione della politica, della dottrina e della pratica, nonché la pressione dovuta ai requisiti internazionali (cfr. n. 1 f. sopra).
6 La pratica dimostrerà se il nuovo regime, con il potere dell'IFPDT di emettere ordini ma senza poteri sanzionatori diretti, garantisce un'attività di vigilanza efficace. Oltre alla corrispondente ripartizione delle competenze, una vigilanza efficace richiede anche che l'FDPIC sia dotato di risorse adeguate. A questo proposito, in letteratura sono state espresse alcune critiche sulle risorse, considerate troppo scarse e che, nonostante un aumento già avvenuto, probabilmente costringeranno l'FDPIC a procedere secondo il principio di opportunità nelle sue attività di vigilanza anche in futuro. Anche i valutatori Schengen 2018 sono stati critici a questo proposito e hanno raccomandato di assegnare all'FDPIC risorse finanziarie e umane sufficienti per consentirgli di svolgere tutti i suoi compiti nel contesto Schengen.
II. Misure amministrative
7 L'art. 51 LPD lascia all'IFPD un ampio margine di manovra: in caso di violazione delle disposizioni in materia di protezione dei dati, l'IFPD può ordinare misure volte a porre rimedio alla situazione illecita, ma non è obbligato a farlo. L'elenco delle misure non è esaustivo. Nel decidere se emettere un ordine e, in caso affermativo, quale, si applica il principio di proporzionalità: devono essere ordinate le misure necessarie a (ri)garantire la legittimità del trattamento dei dati nel caso specifico. Il principio di proporzionalità è anche esplicitamente ancorato nell'art. 51 cpv. 5 LPD: se l'organo federale o la persona privata ha già adottato le misure necessarie durante l'indagine per ripristinare l'osservanza delle disposizioni in materia di protezione dei dati, l'art. 51 cpv. 5 LPD prevede che l'IFPD possa limitarsi a emanare un ammonimento. Inoltre, dato che l'art. 51 LPD è una disposizione facoltativa, nell'interesse di una prassi mirata e adeguata al singolo caso, secondo l'opinione espressa in questa sede, dovrebbe essere possibile per l'IFPD limitarsi, in caso di carenze minori, a consigliare i responsabili su come rimediare alle carenze nell'ambito della sua attività di consulenza (art. 58 cpv. 1 lett. a LPD), invece di emettere un ordine di misure. È prevedibile che, solo per ragioni di efficienza, l'IFPDT si adoperi affinché i responsabili del trattamento dei dati adottino le misure necessarie per ripristinare la liceità del trattamento dei dati senza essere costretti a emettere un ordine.
8 Il potere dell'IFPD di emettere un'ingiunzione ai sensi dell'art. 51 LPD è molto ampio in termini di contenuto. È limitato solo, ma almeno, dal fatto che dipende dalla violazione delle disposizioni in materia di protezione dei dati: l'IFPDT non può, ovviamente, ordinare nulla di diverso o di più ampio di quanto sarebbe comunque richiesto dalle disposizioni legali in materia di protezione dei dati.
9 Le misure elencate nell'art. 51 LPD possono essere suddivise in due categorie: I cpv. 1, 2 e 4 prevedono misure contro il trattamento dei dati che viola le disposizioni in materia di protezione dei dati. Il cpv. 3 contiene misure di accompagnamento in caso di violazione di disposizioni normative o di obblighi nei confronti della persona interessata. L'IFPDT può, se necessario, imporre una sanzione per le misure amministrative ordinate contro privati ai sensi dell'art. 63 LPD (cfr. n. 2 sopra).
A. Misure contro il trattamento dei dati in violazione delle norme sulla protezione dei dati (art. 51 cpv. 1, 2 e 4 LPD)
10La prima categoria di provvedimenti riguarda il trattamento dei dati in violazione delle norme sulla protezione dei dati e mira a ripristinare la conformità alle norme violate. A seconda della costellazione, l'IFPDT può emanare le necessarie ordinanze ai sensi dell'art. 51 cpv. 1, 2 o 4 LPD.
11A titolo di clausola generale, l'art. 51 cpv. 1 LPD conferisce all'IFPD il potere, in caso di trattamento dei dati che viola le norme sulla protezione dei dati, di ordinare la rettifica, l'interruzione o la cessazione parziale o totale, nonché la cancellazione o la distruzione parziale o totale dei dati personali in questione.
12 L'art. 51 cpv. 2 e cpv. 4 LPD disciplina inoltre separatamente due casi specifici di trattamento dei dati in violazione delle norme sulla protezione dei dati, ossia la divulgazione illecita di dati all'estero e la mancata designazione di una rappresentanza svizzera per gli incaricati del trattamento all'estero ai sensi dell'art. 14 LPD.
13Se i dati vengono divulgati all'estero in violazione delle norme, l'IFPD può ordinarne la sospensione o il divieto (art. 51 cpv. 2 LPD). Ciò comprende, da un lato, le violazioni degli artt. 16 e 17 LPD, che regolano l'esportazione di dati dalla Svizzera, e, dall'altro, le violazioni delle disposizioni relative alla divulgazione di dati personali all'estero contenute in altre leggi federali. L'inclusione delle violazioni di altre leggi federali è stata lasciata invariata nonostante le relative critiche in sede di consultazione. In pratica, tuttavia, non dovrebbe avere un significato indipendente, poiché tali esportazioni di dati violano regolarmente il principio della liceità del trattamento dei dati (art. 6 cpv. 1 LPD) e potrebbero quindi essere incluse anche nella clausola generale dell'art. 51 cpv. 1 LPD.
14In caso di violazione dell'art. 14 LPD, l'IFPD può ordinare la designazione di una rappresentanza svizzera da parte dei titolari del trattamento residenti o domiciliati all'estero (art. 51 cpv. 4 LPD).
B. Misure di accompagnamento in caso di violazione delle disposizioni normative o degli obblighi nei confronti degli interessati (art. 51 cpv. 3 LPD)
15La seconda categoria di misure riguarda i casi di mancato rispetto delle disposizioni normative o degli obblighi nei confronti degli interessati. Non è necessario che si sia verificata una violazione della protezione dei dati. L'art. 51 cpv. 3 LPD contiene un elenco non esaustivo di possibili provvedimenti. Queste vanno lette insieme agli obblighi che la LPD impone agli organi federali e ai privati nel secondo e terzo capitolo.
16La maggior parte delle misure elencate nell'art. 51 cpv. 3 LPD sono ordini di informazione e consultazione che impongono al responsabile del trattamento di informare o consultare l'IFPDT e/o le persone interessate dal trattamento dei dati in relazione a determinati processi (art. 51 cpv. 3 lett. a, c, e, f e g LPD). In particolare, l'IFPDT può chiedere ai responsabili del trattamento di farlo mediante un'ordinanza,
di informarlo preventivamente delle clausole o garanzie pertinenti se è prevista la divulgazione di dati all'estero senza un'adeguata protezione ai sensi dell'art. 16 cpv. 1 LPD e la protezione dei dati deve essere assicurata mediante clausole contrattuali di protezione dei dati ai sensi dell'art. 16 cpv. 2 lett. b LPD o mediante garanzie specifiche elaborate dall'organo federale competente (art. 16 cpv. 2 lett. c LPD) (art. 51 cpv. 3 lett. a LPD);
informarlo, ai sensi dell'art. 17 cpv. 2 LPD, dei casi di divulgazione di dati all'estero che rientrano nelle norme di esenzione di cui all'art. 17 cpv. 1 lett. b n. 2, lett. c e lett. d LPD (art. 51 cpv. 3 lett. a LPD);
rispettare l'obbligo di informare gli interessati quando ottengono dati personali (art. 19 LPD) e quando prendono decisioni individuali automatizzate (art. 21 LPD) (art. 51 cpv. 3 lett. cpv. LPD);
consultarlo ai sensi dell'art. 23 LPD nei casi in cui la valutazione d'impatto sulla protezione dei dati effettuata riveli ancora un rischio elevato per la personalità o i diritti fondamentali degli interessati nonostante le misure di protezione previste (art. 51 cpv. 3 lett. e LPD);
di segnalarle le violazioni della sicurezza dei dati ai sensi dell'art. 24 LPD e, alle condizioni di cui all'art. 24 cpv. 4 e 5 LPD, di informarne gli interessati (art. 51 cpv. 3 lett. f LPD);
adempiere all'obbligo di fornire informazioni agli interessati ai sensi dell'art. 25 LPD (art. 51 cpv. 3 lett. g LPD).
17 Le altre misure elencate nelle lettere b e d dell'art. 51 cpv. 3 LPD sono ordini di agire. Di conseguenza, l'IFPDT può chiedere alla parte responsabile, mediante un ordine, di
di adottare le necessarie misure tecniche e organizzative (TOM) per il trattamento dei dati, nel rispetto delle disposizioni sulla protezione dei dati (art. 7 cpv. 1 e 2 LPD) e garantendo un'adeguata sicurezza dei dati ai sensi dell'art. 8 LPD e degli artt. 1 e segg. LPD. LPD (art. 51 cpv. 3 lett. b LPD);
utilizzare impostazioni predefinite rispettose della protezione dei dati in conformità all'art. 7 cpv. 3 LPD (art. 51 cpv. 3 lett. b LPD);
effettuare una valutazione dell'impatto sulla protezione dei dati ai sensi dell'art. 22 LPD (art. 51 cpv. 3 lett. d LPD).
III. Diritto procedurale
A. Generalità
18I provvedimenti sono emessi dall'IFPDT sotto forma di ordinanza: Dal punto di vista procedurale, alle misure amministrative ai sensi dell'art. 51 LPD si applicano le disposizioni della legge sulla procedura amministrativa (art. 52 cpv. 1 LPD). Ai sensi dell'art. 52 cpv. 2 LPD, solo l'organo federale o la persona privata contro cui è stata aperta un'indagine ha lo status di parte. Le persone interessate da un'operazione di trattamento dei dati non sono quindi parti in causa, anche se l'indagine è stata avviata con la loro notifica ai sensi dell'art. 49 cpv. 1 LDP. In linea di principio, l'IFPDT emette le sue decisioni esclusivamente nei confronti dei destinatari. Solo in casi di interesse generale informa il pubblico (art. 57 cpv. 2 LPD). L'IFPDT deve motivare sufficientemente le sue decisioni in modo che le persone responsabili siano in grado di valutare e attuare le misure ordinate o di presentare ricorso contro di esse. In altre parole, il contenuto dell'ordine deve essere in ogni caso un'istruzione concreta per l'azione che può essere eseguita come tale. Ordini generici in cui si afferma che il destinatario dell'ordine deve adeguare il proprio trattamento dei dati in modo da soddisfare i requisiti di protezione dei dati della LPD non sarebbero quindi sufficientemente precisi. Se a seguito di un'indagine non vengono ordinate misure o se viene emesso solo un avvertimento ai sensi dell'art. 51 cpv. 5 LPD, la procedura di indagine deve comunque essere formalmente conclusa dall'IFPDT.
19Le decisioni dell'IFPD ai sensi dell'art. 51 LPD possono essere impugnate dinanzi al Tribunale amministrativo federale dall'organo federale o dalla persona privata contro cui sono dirette secondo le norme generali dell'amministrazione della giustizia federale (cfr. art. 52 cpv. 1 LPD in combinato disposto con gli artt. 44 e segg. PA). Le decisioni di appello del Tribunale amministrativo federale sono impugnabili in materia di diritto pubblico presso il Tribunale federale (art. 82 lett. a in combinato disposto con l'art. 86 cpv. 1 lett. a LTF). Oltre al destinatario dell'ordinanza, anche l'IFPD ha diritto di ricorso (art. 52 cpv. 3 LPD). In assenza della qualità di parte (cfr. art. 52 cpv. 2 LPD e n. 18 supra), tuttavia, gli interessati non sono legittimati a ricorrere contro le decisioni dell'IFPDT e contro le decisioni di appello.
20Per quanto riguarda l'esecuzione delle misure amministrative ordinate, si applicano inoltre gli articoli 39-43 della legge sulla procedura amministrativa, in virtù del riferimento di cui all'art. 52 cpv. 1 LPD.
21A differenza di quanto previsto dall'aLPD, in base al quale non poteva essere richiesto alcun emolumento alla persona responsabile dell'emanazione di una raccomandazione (cfr. art. 33 aLPD), l'art. 59 cpv. 1 lett. d LPD prevede ora che possa essere richiesto un emolumento a persone private per l'emanazione di provvedimenti ai sensi dell'art. 51 LPD (cfr. anche art. 44 LPD). Per le ordinanze contro gli organi federali, in assenza di una base giuridica corrispondente, non si continua a riscuotere alcuna tassa (art. 59 cpv. 1 lett. d LPD e contrario; cfr. Messaggio 2017, pag. 7098).
B. Misure cautelari
22Nella LPD 2017 era previsto che un paragrafo dell'articolo relativo alla procedura d'indagine autorizzasse esplicitamente l'IFPD a ordinare misure cautelari per la durata dell'indagine e a farle eseguire da un'autorità federale o dagli organi di polizia cantonali o comunali (art. 44 cpv. 2 LPD [2017]). Tuttavia, dopo che il Parlamento ha eliminato questo paragrafo dall'art. 50 LDP, la versione finale dell'art. 44 DST, la LPD non conferisce più direttamente all'IFPDT il potere di emettere ordinanze cautelari per la durata delle sue indagini. Ora la competenza dell'IFPD di emettere misure cautelari deriva solo indirettamente dall'articolo sulle tasse, che all'art. 59 cpv. 1 lett. d LPD dichiara che l'emissione di misure cautelari da parte dell'IFPD nei confronti di persone private è soggetta a una tassa. Tuttavia, come già accadeva sotto l'ALPD, l'emanazione di misure cautelari o addirittura superprovvisorie nell'ambito di indagini sulla protezione dei dati deve essere possibile in ogni caso; la soppressione della disposizione in questione deve essere interpretata come una svista legislativa e non come un silenzio qualificato.
23Mentre nella vecchia legge l'IFPDT doveva ricorrere al Tribunale amministrativo federale (art. 33 cpv. 2 aLPD) per l'emanazione di provvedimenti provvisori a causa dell'assenza di una propria competenza a emettere ordini, ora può emetterli autonomamente.
24 Tuttavia, l'art. 33 cpv. 2 aLPD, che non è più applicabile con la nuova legge, non solo attribuiva al Tribunale amministrativo federale la competenza a emettere misure cautelari nell'ambito di indagini sulla protezione dei dati, ma ne disciplinava anche i requisiti e la procedura. Nel primo contesto, l'art. 33 cpv. 2 aDSG richiedeva che le persone interessate fossero minacciate da un danno non facilmente rimediabile. In termini di procedura, la disposizione dichiarava applicabili, mutatis mutandis, gli artt. 79-84 BZP.
25Dopo l'omissione dell'art. 33 cpv. 2 dell'ALPD, non esistono più regole procedurali e prerequisiti espliciti per la tutela legale provvisoria. Di conseguenza, la valutazione sostanziale delle misure provvisorie nelle indagini sulla protezione dei dati non dovrebbe cambiare di molto. La legge sulla procedura amministrativa (PA), applicabile al procedimento di indagine ai sensi dell'art. 52 cpv. 1 LPD, contiene solo disposizioni sull'emissione di misure cautelari nel procedimento di appello (cfr. in particolare gli artt. 55 e 56 PA), ma non nel procedimento amministrativo a monte. Tuttavia, l'ammissibilità delle misure cautelari nei procedimenti amministrativi è riconosciuta, in quanto deriva direttamente dall'esigenza di applicare il diritto sostanziale. Affinché l'IFPDT possa emettere misure cautelari nei procedimenti d'indagine, si deve innanzitutto presumere che sia previsto uno svantaggio non facilmente rimediabile. Contrariamente a quanto previsto dall'ALPD, questo non deve necessariamente minacciare le persone interessate dal trattamento dei dati, anche se in pratica è probabile che venga regolarmente attribuito loro. Inoltre, l'ordine immediato deve essere urgente e deve apparire adeguato, necessario e proporzionato in base alle circostanze complessive, al fine di tutelare interessi pubblici o privati prevalenti. In quanto ordinanze provvisorie, le misure provvisorie non possono pregiudicare né rendere impossibile la situazione che si intende regolare. Nel momento in cui si discutono le ordinanze provvisorie, l'esito dell'indagine sulla protezione dei dati è solitamente ancora incerto e si può procedere solo a un esame sommario della situazione di fatto e di diritto. Di conseguenza, nel corso dell'esame delle misure cautelari deve essere formulata una prognosi sul caso principale, ma ciò ostacola un'ordinanza provvisoria solo se è chiaramente negativa.
26Per quanto riguarda il contenuto, è probabile che le ordinanze si basino sul catalogo delle misure amministrative di cui all'art. 51 LPD. Spesso si tratterà di utilizzare le ordinanze provvisorie per vietare il trattamento dei dati potenzialmente in violazione della protezione dei dati per la durata del procedimento, al fine di evitare ulteriori danni che potrebbero derivare dalla continuazione immutata del trattamento in questione durante un'indagine talvolta complessa e lunga.
Bibliografia
Baeriswyl Bruno, Kommentierung zu Art. 51 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Baeriswyl Bruno, Der «grosse Bruder» DSGVO und das revDSG: Ein vergleichender Überblick, SZW 2021, S. 8–15 (zit. Baeriswyl DSGVO-Vergleich).
Baeriswyl Bruno, Souveräner Rechtsschutz ist notwendig, digma 2017, S. 38–42 (zit. Baeriswyl Souveräner Datenschutz).
Baeriswyl Bruno, Kommentierung zu Art. 27 aDSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.
Baeriswyl Bruno, Kommentierung zu Art. 29 aDSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, Bern 2015.
Brunner Stephan C., Mit rostiger Flinte unterwegs in virtuellen Welten? Leitgedanken zur künftigen Entwicklung des schweizerischen Datenschutzrechts, Jusletter 4.4.2011.
Huber René, Kommentierung zu Art. 27 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Huber René, Kommentierung zu Art. 29 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz/Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Huber René, Die Teilrevision des Eidg. Datenschutzgesetzes – ungenügende Pinselrenovation, recht 2006, S. 205–221.
Kugelmann Dieter/Buchmann Antonia, Kommentierung zu Art. 58 DSGVO, in: Schwartmann Rolf/Jaspers Andreas/Thüsing Gregor/Kugelmann Dieter (Hrsg.), Heidelberger Kommentar DS-GVO/BDSG, Heidelberg 2018.
Reudt-Demont Janine/Gordon Clara-Ann/Egli Luisa, Das revidierte Datenschutzgesetz: Wichtigste Neuigkeiten mit Fokus auf Gesundheitsdaten, LSR 2021, S. 264–269.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter 16.11.2020 (zit. Rosenthal nDSG).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz: Was uns erwartet und was noch zu korrigieren ist, Jusletter 27.11.2017 (zit. Rosenthal E-DSG).
Rosenthal David, Kommentierung zu Art. 29 aDSG, in: Rosenthal David/Jöhri Yvonne (Hrsg.), Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.
Rudin Beat, Verpasste Chance und Handlungsbedarf: Ein Blick auf die Datenschutzrechts-Reform(en) und die Wirksamkeit der Datenschutzaufsicht, digma 2020, S. 180–187.
Selmayr Martin, Kommentierung zu Art. 58 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, München 2017.
Thür Hanspeter, Rolle der Datenschutzbeauftragten: Aufgabe und Instrumente der Datenschutzbehörde im Wandel, digma 2003, S. 80–82.
Walter Jean-Philippe, «Vingt ans de législation sur la protection des données, rétrospectives et perspectives» – L’évolution du droit de la protection des données: perspectives, Jusletter 25.6.2012.
I materiali
Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011, BBl 2012 S. 335 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2012/86/de/pdf-a/fedlex-data-admin-ch-eli-fga-2012-86-de-pdf-a.pdf, besucht am 28.6.2023.
Botschaft zur Genehmigung des Protokolls vom 10.10.2018 zur Änderung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 6.12.2019, BBl 2020 S. 565 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2020/60/de/pdf-a/fedlex-data-admin-ch-eli-fga-2020-60-de-pdf-a.pdf, besucht am 28.6.2023.
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 641 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2017/2057/de/pdf-a/fedlex-data-admin-ch-eli-fga-2017-2057-de-pdf-a.pdf, besucht am 28.6.2023.
Bundesgesetz über den Datenschutz, Änderung vom 24.3.2006, BBl 2006 S. 3547 ff., abrufbar unter https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/fga/2006/373/de/pdf-a/fedlex-data-admin-ch-eli-fga-2006-373-de-pdf-a.pdf, besucht am 28.6.2023.
Durchführungsbeschluss 7281/19 des Rates der Europäischen Union zur Festlegung einer Empfehlung zur Beseitigung der 2018 bei der Evaluierung der Anwendung des Schengen-Besitzstands im Bereich des Datenschutzes durch die Schweiz festgestellten Mängel vom 8.3.2019, abrufbar unter https://data.consilium.europa.eu/doc/document/ST-7281-2019-INIT/de/pdf, besucht am 28.6.2023.
Normkonzept zur Revision des Datenschutzgesetzes – Bericht der Begleitgruppe Revision DSG vom 29.10.2014, abrufbar unter https://www.newsd.admin.ch/newsd/message/attachments/75506.pdf, besucht am 28.6.2023.