In breve

1 L'art. 52 cpv. 1 LPD stabilisce le regole secondo le quali l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) conduce le procedure formali. La disposizione è una norma di rinvio e stabilisce che le indagini ai sensi dell'art. 49 LPD e le decisioni ai sensi degli art. 50 e 51 LPD sono regolate dalle norme della PA. E contrario, gli altri atti dell'IFPDT non sono soggetti alla PA, in particolare gli accertamenti preliminari informali, gli interventi a bassa soglia o le attività di consulenza e di sorveglianza. È degno di nota il fatto che anche per le procedure contro organi federali si rimanda alla PA e che l'IFPDT può «decidere» contro organi federali secondo le norme della PA.

2 Capovers. 2 stabilisce che solo l'organo federale o la persona privata contro cui è stata avviata un'indagine hanno la qualità di parte. Ciò restringe la cerchia delle parti possibili nelle procedure formali dell'IFPDT rispetto alle disposizioni della PA.

3 Capovers. 3 costituisce la base legale che conferisce all'IFPDT il diritto di ricorso al Tribunale federale contro le decisioni del Tribunale amministrativo federale.

I. Indicazioni generali sulla procedura

4 In base alla aDSG, dal 1993 al 2023 l'IFPDT ha condotto cosiddette accertamenti di fatto, che ha concluso con una relazione finale e raccomandazioni. A causa della mancanza di competenza decisionale dell'IFPDT, la PA non era applicabile a queste procedure. Se una raccomandazione del preposuto non veniva seguita o veniva respinta, l'IFPDT poteva sottoporre la questione al Tribunale amministrativo federale per una decisione.

5 Con la revisione totale della LPD, entrata in vigore il 1° settembre 2023, l'IFPDT ha ottenuto una competenza decisionale, motivo per cui, dall'entrata in vigore della LPD riveduta, conclude una procedura formale con una decisione. In occasione della Giornata internazionale della protezione dei dati, nel gennaio 2025 l'IFPDT ha pubblicato per la prima volta un bilancio intermedio in cifre. Secondo tale bilancio, dal 1° settembre 2024 al 21 gennaio 2025 l'IFPDT ha ricevuto complessivamente 1'406 segnalazioni di violazioni della LPD, di cui 479 erano in corso di trattamento al momento della pubblicazione. Gli atti di vigilanza si sono ripartiti come segue:

• Interventi di base: 116

• Di questi, seguiti volontariamente dai responsabili: circa il 90%

• Indagini preliminari: 16

• Indagini in corso / pendenti dinanzi al TAF: 8 / 2

• Campagne 2

6 I dati pubblicati mostrano che gli atti di vigilanza dell'IFPDT portano solo in casi isolati all'apertura di un'indagine formale e che l'intervento a bassa intensità costituisce lo strumento principale della vigilanza. In pratica, dopo aver ricevuto una denuncia, l'IFPDT interviene quindi di norma senza aprire un'indagine formale.

7 I presupposti per l'apertura di un'indagine sono stabiliti all'art. 49 cpv. 1 LPD. Secondo tale disposizione, l'IFPDT avvia d'ufficio o su denuncia un'indagine se sussistono indizi sufficienti che un trattamento di dati possa violare le disposizioni sulla protezione dei dati. Non appena l'IFPDT avvia un'indagine ai sensi dell'art. 49 LPD, è applicabile la PA. Ciò avviene non appena ha deciso internamente di avviare una procedura. Ciò può avvenire già prima di un intervento informale dell'IFPDT, durante o dopo.

8 Di prassi, l'avvio della procedura viene comunicato alla parte mediante una lettera di apertura. L'avvio della procedura non costituisce una decisione impugnabile. La procedura si conclude infine con una decisione ai sensi dell'articolo 51 LPD o viene archiviata.

9 Dal punto di vista del responsabile del trattamento, è importante sapere se è stata avviata o meno una procedura. Dopo l'avvio della procedura, le parti sono soggette all'obbligo di collaborazione (art. 60 cpv. 2 LPD), punibile con sanzioni penali. E contrario, la collaborazione prima dell'avvio di un'indagine non è obbligatoria. In caso di rifiuto o di collaborazione insufficiente dei responsabili nell'ambito di un'indagine preliminare o di un intervento a bassa soglia, sono tuttavia regolarmente soddisfatti i requisiti di cui all'art. 49 cpv. 1 LPD, cosicché i fatti possono essere accertati in base all'obbligo di collaborazione (art. 49 cpv. 3 LPD) o con l'ausilio di mezzi coercitivi (art. 50 cpv. 1 LPD). Per tali atti l'IFPDT può esigere il pagamento di emolumenti (art. 59 cpv. 1 lett. d LPD), motivo per cui è regolarmente nell'interesse del responsabile cooperare volontariamente con l'IFPDT prima dell'apertura di un'indagine.

10 Il principio del diritto di essere sentiti, sancito dall'art. 29 cpv. 2 Cost. e concretizzato dagli art. 29 segg. PA, garantisce alle parti un diritto di partecipazione alla procedura che riguarda la loro personalità. Esse devono poter esprimere il proprio parere sulla questione prima che sia emanata la decisione, fornire prove rilevanti, collaborare all'assunzione delle prove o almeno esprimersi sul risultato delle prove. In altre parole, la parte interessata deve avere la possibilità di prendere posizione sui punti essenziali prima che sia presa una decisione. Ciò comprende in primo luogo i fatti rilevanti previsti. Di conseguenza, prima dell'emanazione di una decisione, le parti possono pronunciarsi solo sui fatti previsti; non è invece compreso nel diritto di essere sentiti il diritto di conoscere la valutazione giuridica prevista. Solo in casi eccezionali – ad esempio quando l'IFPDT prevede di applicare disposizioni speciali inaspettate – il diritto di essere sentiti può comprendere anche le disposizioni applicabili previste e la motivazione giuridica prevista. La valutazione giuridica dell'IFPDT viene comunicata alle parti nella decisione motivata. Se una parte non è d'accordo con la motivazione giuridica dell'IFPDT, può presentare ricorso.

II. Rinvio alla PA (cpv. 1)

A. Procedimento secondo la PA contro privati

11 La PA si applica, in base all'art. 1 cpv. 1 e cpv. 2 lett. c PA, alle procedure dell'IFPDT in cui quest'ultimo emette una decisione in prima istanza. Non sussiste un'eccezione ai sensi dell'art. 2 segg. PA. L'art. 52 cpv. 1 LPD costituisce quindi una norma di rinvio dichiarativa nei confronti dei privati e serve a fini di chiarimento.

B. Procedura secondo la PA contro organi federali

12 Prima della revisione totale della LPD, la sorveglianza sugli organi federali e sui privati era disciplinata in due disposizioni separate, che differivano in particolare per quanto riguarda i presupposti per l'apertura di un'indagine. Nella LPD riveduta, l'indagine sulle violazioni delle norme sulla protezione dei dati è ora disciplinata in un'unica sezione (art. 49 segg.) per gli organi federali e i privati. È da notare che, salvo piccole eccezioni, non sono state legiferate norme diverse per i procedimenti contro organi federali o privati.

13 Secondo la giurisprudenza e la dottrina costanti, sono considerate decisioni ai sensi dell'articolo 5 PA le disposizioni autorevoli, unilaterali, individuali e concrete di un'autorità, emanate in applicazione del diritto amministrativo, volte a produrre effetti giuridici, vincolanti e esecutive. La procedura per l'adozione di una decisione presuppone un rapporto di sovranità tra un'autorità e un privato. Le disposizioni dell'IFPDT nei confronti di altri organi federali non soddisfano quindi tutte le caratteristiche strutturali del concetto di decisione, data l'assenza di un rapporto tra autorità e privato. Pertanto, quando l'IFPDT conduce una procedura contro un organo federale, la procedura «si basa» sull'art. 49 LPD in combinato disposto con la PA, per cui in questo ambito l'art. 52 cpv. 1 LPD corrisponde a una norma di rinvio costitutiva e le disposizioni della PA si applicano per analogia.

14 La competenza decisionale dell'IFPDT nei confronti degli organi federali deriva, da un lato, dal testo di numerose disposizioni legislative che si riferiscono espressamente agli organi federali e ai privati e operano una distinzione significativa tra organi federali e privati. D'altro canto, il legislatore ha volutamente uniformato le procedure nei confronti dei privati e degli organi federali, che secondo il diritto precedente erano ancora diverse. Infine, il legislatore ha adeguato i poteri d'indagine e le misure amministrative alle disposizioni europee, al fine di garantire che la Commissione europea rinnovi o mantenga la decisione di adeguatezza nei confronti della Svizzera, il che è di fondamentale importanza soprattutto per l'economia svizzera.

15 Oltre all'IFPDT, non è individuabile nessun'altra unità amministrativa che possa disporre nei confronti di altre unità amministrative secondo le norme della PA. Il Controllo federale delle finanze, in quanto autorità di vigilanza comparabile, può sì richiedere e far eseguire misure nei confronti di altre autorità federali che non sono gerarchicamente subordinate ad esso, ma non secondo le norme della PA.

16 Secondo il parere qui espresso, un'ordinanza dell'IFPDT ai sensi dell'articolo 51 LPD nei confronti di organi federali corrisponde a una «finta decisione», poiché da un lato non sono soddisfatti i requisiti materiali di una decisione ai sensi dell'articolo 5 PA, ma dall'altro lato agli organi federali sono imposti per analogia gli stessi diritti e doveri dei destinatari privati di una decisione. Con la norma di rinvio costitutiva, il legislatore ha disciplinato in modo pragmatico le norme procedurali che l'IFPDT, in qualità di autorità di sorveglianza, deve seguire per condurre un'indagine nei confronti degli organi federalie per emanare e far rispettare ordinanze vincolanti.

17 È degno di nota il fatto che nel progetto di revisione della legge sulla protezione dei dati del 2014 si faceva ancora una distinzione tra inchieste nei confronti di privati e organi federali. In esso veniva proposto un modello secondo cui l'IFPDT avrebbe dovuto prima formulare una raccomandazione agli organi federali e solo dopo il suo rifiuto o la sua inosservanza avrebbe potuto emanare una decisione. Questa variante ritarda la procedura con passaggi intermedi inutili. Già nel rapporto esplicativo relativo al progetto preliminare di revisione totale della LPD del 2016 non si fa più distinzione tra procedure contro privati o organi federali.

18 Le procedure dell’IFPDT ai sensi dell’articolo 49 LPD contro organi federali devono essere distinte dall’assistenza amministrativa. Le autorità federali che collaborano nell'ambito dell'assistenza amministrativa sono organicamente equivalenti, motivo per cui non sussiste alcun rapporto di subordinazione tra loro e la collaborazione avviene su base paritaria. Se l'IFPDT avvia una procedura contro un organo federale in base all'articolo 49 LPD e richiede documenti all'organo federale oggetto dell'indagine, ciò non rientra nell'assistenza amministrativa, motivo per cui l'articolo 36a LTF non è applicabile. Nell'ambito di una procedura, le autorità federali oggetto di indagine sono soggette all'obbligo di collaborare, il che in tali casi crea un rapporto di subordinazione, poiché solo in questo modo l'IFPDT può controllare e garantire efficacemente il rispetto delle norme sulla protezione dei dati da parte delle autorità federali.

19 L'applicazione analogica delle disposizioni della PA alle procedure contro organi federali comporta in particolare le seguenti differenze rispetto alle procedure nei confronti dei privati:

20 La violazione dell'obbligo di collaborazione non è punibile per gli organi federali secondo il testo dell'art. 60 cpv. 2 LPD, che si rivolge espressamente solo ai privati. Questa esclusione è sensata, poiché un'applicazione agli organi federali sarebbe del tutto contraria al sistema.

21 L'IFPDT non può esigere tasse dagli organi federali, in particolare per l'ordinanza di misure provvisorie e di misure ai sensi dell'art. 51 LPD. Secondo il testo dell'art. 59 cpv. 1 LPD, l'esazione di tasse è riservata esclusivamente ai privati. Anche questa esclusione è coerente, poiché l'esazione di tasse dagli organi federali sarebbe anch'essa contraria al sistema.

22 Secondo il testo della legge, l'IFPDT può anche ricorrere ad altre autorità federali nonché ad organi di polizia cantonali o comunali per poter eseguire o far eseguire le disposizioni di cui all'art. 50 cpv. 1 LPD. Poiché le autorità federali godono dei diritti previsti dalla LPD e dalla PA e l'IFPDT può informare il pubblico in merito alla constatazione di un'inosservanza da parte di un organo federale ai sensi dell'art. 57 cpv. 2 LPD, questa possibilità troverà probabilmente applicazione solo in situazioni eccezionali. Per quanto riguarda l'uso di mezzi coercitivi ai sensi dell'art. 50 cpv. 3 LPD, non vi è quindi alcuna differenza rispetto ai privati, per cui, secondo il parere qui espresso, l'IFPDT può ricorrere a mezzi coercitivi anche nei confronti degli organi federali.

23 Per quanto riguarda la legittimazione ad agire degli organi federali, si vedano le considerazioni relative al cpv. 2.

C. Delimitazioni

1. Sulla «indagine preliminare informale»

24 Prima di avviare un'indagine ai sensi dell'articolo 49 LPD e di applicare le disposizioni della PA, l'IFPDT interviene spesso in via informale. Il punto di partenza è di norma una denuncia o una segnalazione dei media, che però non contengono sufficienti indizi per l'avvio diretto di un'indagine. Pertanto, l'IFPDT può verificare in una prima fase se sussistono indizi sufficienti per l'apertura di un'indagine. A tal fine può avvalersi di tutte le fonti di informazione possibili e, ad esempio, esaminare fonti pubbliche o interrogare il responsabile, le persone interessate o terzi in merito ai fatti. La fase dell'indagine preliminare è classificata come «atto amministrativo informale», nel quale l'IFPDT deve attenersi ai principi dello Stato di diritto (cfr. art. 5 Cost.) e non può agire in modo arbitrario o in violazione del principio di uguaglianza. Durante l'accertamento preliminare informale, il responsabile non è soggetto ad alcun obbligo di collaborazione e la norma penale di cui all'art. 60 cpv. 2 LPD non trova applicazione – tali disposizioni sono applicabili solo dopo l'apertura di un'indagine formale ai sensi dell'art. 49 LPD.

25 L'inchiesta preliminare informale può portare alla confutazione degli indizi di una presunta violazione della protezione dei dati, rendendo superfluo un ulteriore intervento dell'IFPDT. Ciò accade regolarmente, ad esempio quando i fatti sono stati riportati in modo impreciso nella denuncia. In alternativa, può essere avviato un intervento a bassa soglia o un'indagine.

2. L'«intervento a bassa soglia»

26 L’accertamento preliminare informale va distinto dallo strumento dell’«intervento a bassa soglia». Il termine «intervento a bassa soglia» non figura nella legge, ma è stato coniato dall’IFPDT. Mentre l'accertamento informale mira a stabilire i fatti per valutare se sussistono indizi sufficienti per l'apertura di un'indagine ai sensi dell'articolo 49 LPD, l'intervento a bassa soglia persegue uno scopo diverso. Con l'intervento a bassa soglia si cerca di ripristinare la situazione giuridicamente corretta mediante misure di economia amministrativa, come una semplice lettera, in modo che il responsabile adotti volontariamente le misure necessarie. Tuttavia, come nel caso dell'accertamento informale, non viene avviata un'indagine ai sensi dell'articolo 49 LPD, per cui anche l'intervento a bassa soglia è da qualificarsi come atto amministrativo informale e non si applicano le disposizioni della PA. Secondo l'esperienza dell'IFPDT, in molti casi gli adeguamenti necessari verrebbero così attuati in tempo utile. In linea di principio si mira così a una procedura orientata alla soluzione e che risparmi risorse.

27 Ad esempio, l'IFPDT può essere informato tramite una segnalazione che un responsabile non ha risposto a una richiesta di informazioni presentata dalla persona segnalante. Sulla base di una o più segnalazioni di questo tipo, l'IFPDT può contattare il responsabile del trattamento e invitarlo a trattare la richiesta di informazioni concreta della persona segnalante e a fornire una presa di posizione sul modo in cui vengono trattate in generale le richieste di informazioni. Se dalla risposta del responsabile si può dedurre che in futuro le richieste di informazioni saranno trattate correttamente ed entro i termini previsti dalla legge, non è necessario avviare un'indagine.

28 Se l'intervento a bassa intensità non porta al rispetto della protezione dei dati, di norma sussistono indizi sufficienti per avviare un'indagine formale. Ciò vale ad esempio quando, dopo un intervento a bassa soglia, l'IFPDT riceve nuovamente segnalazioni relative allo stesso caso. Indipendentemente da un eventuale intervento al di fuori di un'indagine, l'IFPDT può avviare un'indagine non appena sussistono indizi sufficienti.

3. La campagna

29 Oltre a svolgere inchieste ai sensi dell'articolo 49 LPD, l'IFPDT esercita anche attività di sorveglianza in base all'articolo 4 cpv. 1 in combinato disposto con l'articolo 57 cpv. 1 lett. a, c e g LPD. L'IFPDT definisce tali attività «campagne». Dal punto di vista dei responsabili, le indagini sono condotte in base a casi specifici, mentre i contatti da parte dell'autorità di protezione dei dati possono avvenire nell'ambito di campagne senza un motivo specifico. Nell'ambito delle campagne, l'IFPDT non interviene sulla base di segnalazioni relative a una violazione concreta della protezione dei dati da parte di un responsabile specifico, ma perché in un settore della protezione dei dati sono stati riscontrati ripetutamente problemi identici o simili. Al fine di garantire un controllo e un'applicazione efficaci delle norme sulla protezione dei dati, l'IFPDT può rivolgersi contemporaneamente a più responsabili, segnalare i problemi generali riscontrati in un determinato settore e ricordare i requisiti applicabili. È anche possibile annunciare future attività di vigilanza in un determinato settore.

30 L'IFPDT non ha ancora avviato alcuna campagna. Uno sguardo alla Germania mostra come potrebbe essere una campagna di questo tipo: nell'ambito della sua attività di vigilanza, l'Ufficio bavarese per la protezione dei dati (BayLDA) effettua diversi controlli mirati sulla protezione dei dati, ovvero controlli senza motivo specifico che hanno un focus particolare. Ad esempio, sono state verificate le norme in materia di protezione dei dati applicabili alle candidature di potenziali inquilini. A tal fine, sono stati selezionati casualmente alcuni responsabili e controllati in modo mirato per quanto riguarda i requisiti di protezione dei dati nella ricerca di inquilini, chiedendo loro di rispondere a un questionario entro un termine legale. L'intervento si basa in particolare sull'art. 58 cpv. 1 lett. a RGPD, secondo cui devono essere fornite tutte le informazioni necessarie per l'adempimento dei compiti legali.

31 L'attività di vigilanza del BayLDA descritta al punto precedente può essere qualificata, a seconda della sua configurazione concreta, come chiarimento preliminare informale o intervento a bassa soglia, che tuttavia si rivolge contemporaneamente a più responsabili in un determinato settore.

32 A differenza delle autorità europee di protezione dei dati, che in base all'art. 58 cpv. 1 lett. a RGPD possono richiedere tutte le informazioni necessarie all'adempimento dei compiti legali, l'IFPDT può, in base all'art. 50 cpv. 1 lett. a LPD, solo l'accesso a tutte le informazioni, ai documenti, agli elenchi delle attività di trattamento e ai dati personali, nella misura in cui sono necessari per l'indagine. Sebbene l'art. 50 LPD debba soddisfare i requisiti europei, la suddetta disposizione della LPD è stata limitata rispetto alle disposizioni europee. Nell'ambito delle attività di sorveglianza dell'IFPDT, i responsabili del trattamento non sono soggetti all'obbligo di collaborazione sancito dall'art. 60 cpv. 2 in combinato disposto con l'art. 49 cpv. 3 LPD e non sono tenuti al pagamento di emolumenti (art. 59 cpv. 1 LPD e contrario).

4. Informazione del pubblico in merito alle constatazioni e alle decisioni

33 Ai sensi dell'art. 57 cpv. 2 LPD, l'IFPDT informa il pubblico delle sue constatazioni e delle sue decisioni nei casi di interesse generale. Poiché la procedura amministrativa si conclude con la notifica della decisione, le disposizioni della PA non sono più applicabili in base all'art. 52 cpv. 1 LPD. La pubblicazione ufficiale di una decisione rientra nell'attività amministrativa effettiva e non è quindi impugnabile in quanto atto reale. Se l'IFPDT e la parte non sono d'accordo sulla forma o sul tipo di pubblicazione e se la parte è lesa nei suoi interessi meritevoli di tutela, deve essere emanata una decisione impugnabile in applicazione dell'art. 25a PA. Questa decisione di pubblicazione costituisce quindi una decisione ai sensi dell'art. 5 cpv. 1 lett. c PA, che obbliga la parte a tollerare la pubblicazione nella misura disposta.

34 Una parte è lesa nei suoi interessi meritevoli di tutela se fa valere segreti d'ufficio o segreti commerciali che, secondo la valutazione dell'IFPDT, non costituiscono tali segreti e non devono quindi essere resi anonimi o pubblicati. A tal proposito occorre fare riferimento alla definizione di cui all'art. 7 cpv. 1 lett. g LTras.

35 Per la divulgazione di dati personali o di dati di persone giuridiche devono essere soddisfatti i presupposti legali corrispondenti.

5. Consulenza

36 Nella pratica, la distinzione tra una consulenza soggetta a tassa ai sensi dell'art. 59 cpv. 1 lett. e LPD e l'accertamento informale o l'intervento a bassa soglia può dare adito a incertezze. Se l'IFPDT, ad esempio in un'indagine preliminare informale o nell'ambito di un intervento a bassa intensità, comunica al responsabile quali misure devono essere adottate affinché si possa escludere una violazione della protezione dei dati o si possa rinunciare all'apertura di un'indagine, tali indicazioni possono essere qualificate come attività di consulenza gratuita. Dal punto di vista politico-giuridico, tale procedura diventa discutibile al più tardi quando i responsabili, dopo che sono state rese note delle violazioni della protezione dei dati, vengono contattati dall'IFPDT e ricevono consigli su come correggere la situazione in modo conforme alla protezione dei dati e quando la situazione conforme alla protezione dei dati viene poi volontariamente attuata in tempo utile, cosicché l'IFPDT rinuncia all'apertura di un'indagine. Invece di una sanzione, ad esempio sotto forma di multa, i responsabili, dopo che è stata resa nota una violazione della protezione dei dati, hanno ricevuto una consulenza giuridica gratuita. D'altra parte, ciò corrisponde esattamente allo scopo di un intervento a bassa soglia, motivo per cui questa procedura deve essere limitata alle violazioni di minore importanza ai sensi dell'art. 49 cpv. 2 LPD.

D. Disposizioni speciali rispetto alla PA

37 Rispetto alla PA, la LPD contiene disposizioni speciali che, in quanto lex specialis, prevalgono sulla PA. Le disposizioni più importanti sono le seguenti:

• Limitazione delle parti (art. 52 cpv. 2 LPD)

• Informazione alla persona che ha presentato la denuncia (art. 49 cpv. 4 LPD)

• Obblighi di collaborazione (art. 49 cpv. 3 LPD)

• Assunzione delle prove (art. 50 cpv. 1 LPD)

• Assunzione coattiva delle prove (art. 50 cpv. 3 LPD)

• Informazione al pubblico (art. 57 cpv. 2 LPD)

Le disposizioni speciali della LPD tengono conto della posizione particolare dell'IFPDT in qualità di autorità di sorveglianza, motivo per cui gli obblighi di collaborazione e le possibilità di prova vanno oltre quelli previsti dalla PA. Da questi vanno distinti i diritti di collaborazione, che sono disciplinati dalle disposizioni generali della PA.

III. Parti della procedura (cpv. 2)

A. Panoramica

38 Ai sensi dell'art. 52 cpv. 2 LPD, è parte solo l'organo federale o la persona privata contro cui è stata avviata un'indagine. La posizione delle parti è quindi disciplinata dall'art. 52 cpv. 2 LPD e non dall'art. 6 PA. Mentre secondo la normativa PA, oltre al destinatario della decisione, possono essere parti anche organizzazioni private, associazioni e autorità o terzi interessati dall'atto amministrativo, la qualità di parte nella procedura d'indagine dell'IFPDT è limitata all'organo federale o alla persona privata contro cui è stata avviata l'indagine.

39 Una procedura può essere condotta contro più parti, in particolare se i fatti oggetto dell'indagine riguardano più parti. Se più parti sono coinvolte in un trattamento, l'informazione di una parte nell'ambito della procedura può influire negativamente sui fatti dell'altra parte. Affinché in tali casi sia garantito il diritto di essere sentiti, è necessario un accorpamento dei procedimenti. Tali casi si verificano ad esempio quando il trattamento è effettuato da un incaricato per conto di un responsabile.

B. Privati come parti

40 È parte solo la persona privata contro la quale è stata avviata un'indagine. La qualità di parte è quindi limitata al destinatario materiale della disposizione. La persona interessata, anche se l'IFPDT ha avviato l'indagine su sua denuncia, non è parte della procedura. Sono considerate persone private sia le persone fisiche che le persone giuridiche di diritto privato.

41 Può essere parte di una procedura qualsiasi persona privata che presenti indizi sufficienti di una violazione delle norme sulla protezione dei dati. Non appena l'IFPDT avvia una procedura, può infatti ordinare misure amministrative in base all'articolo 51 LPD, che incidono sui diritti e sugli obblighi della parte e soddisfano i requisiti di cui all'articolo 49 LPD e all'articolo 6 PA. Per avviare una procedura contro una persona privata, non è necessario alcun trattamento dei dati da parte di quest'ultima. Ciò risulta dalle misure amministrative esemplificative di cui all'art. 51 LPD, secondo cui possono essere disposte anche le misure di cui all'art. 7 LPD o una valutazione dell'impatto sulla protezione dei dati prima che abbia luogo un trattamento dei dati. Ciò è possibile, ad esempio, sulla base di denunce o nell'ambito di progetti legislativi, oppure se l'IFPDT viene a conoscenza di grandi progetti attraverso i media.

42 Oltre al responsabile ai sensi dell'articolo 5 lettera j LPD, possono quindi essere parti in una procedura anche gli incaricati del trattamento ai sensi dell'articolo 5 lettera k LPD, un consulente in materia di protezione dei dati ai sensi dell'articolo 10 LPD e la rappresentanza ai sensi dell'art. 14 LPD possono essere considerati parti di una procedura, nella misura in cui l'oggetto dell'indagine comporti una violazione delle norme sulla protezione dei dati da parte della persona privata oggetto dell'indagine.

43 La questione della legittimazione passiva di una parte si pone in particolare nel caso di gruppi internazionali,poiché come responsabile viene regolarmente indicata una persona giuridica con sede in Irlanda. Ad esempio, nelle direttive sulla protezione dei dati di Instagram, Facebook e Threads, Meta Platforms Ireland Ltd (MPIL) è indicata come responsabile. MPIL ha anche designato una rappresentanza in Svizzera e dispone inoltre di una succursale in Svizzera (Facebook Switzerland GmbH). In linea di principio, tutte e tre le entità menzionate possono essere considerate parti. Secondo il parere qui espresso, tutte e tre le entità menzionate possono essere parti di un procedimento, a condizione che l'oggetto dell'indagine rientri nell'ambito delle rispettive responsabilità.

44 Ad esempio, è possibile avviare un procedimento contro la filiale Meta in Svizzera. Anche se si sostiene che la filiale svizzera non ha nulla a che fare con il trattamento in questione, poiché opera solo come laboratorio di ricerca per l'intero gruppo, che i diritti di proprietà intellettuale sono di proprietà di un altro ente e che le richieste di cancellazione vengono evase da quest'ultimo, è comunque possibile avviare un procedimento contro la filiale in Svizzera. Secondo il parere qui espresso, una sede in Svizzera costituisce sempre un collegamento con il resto del gruppo internazionale ed è responsabile del rispetto delle norme svizzere, quindi anche della LPD. Anche se la sede svizzera non fosse legittimata dal punto di vista organizzativo ad adeguare il trattamento dei dati in questione, l'IFPDT può almeno constatare la violazione e obbligare la succursale, mediante decisione, a far adeguare il trattamento in questione alle norme sulla protezione dei dati per le persone interessate in Svizzera tramite l'organo competente all'interno del gruppo. I gruppi internazionali non devono poter eludere gli obblighi svizzeri in materia di protezione dei dati attraverso la loro organizzazione interna.

C. Organi federali come parti

45 Anche un organo federale può essere parte in una procedura in materia di protezione dei dati. Ai sensi dell'articolo 5 lettera i LPD, un organo federale è un'autorità o un servizio della Confederazione o una persona incaricata di compiti pubblici. Il concetto di organo federale corrisponde alla definizione di cui all'articolo 3 lettera h aDSG. Sono considerati organi federali i dipartimenti e gli uffici federali, nonché i loro servizi e sezioni. Ne fanno parte anche gli istituti e le aziende federali e i comandi militari. Sono considerati organi federali anche tutte le persone fisiche e giuridiche che trattano dati per conto della Confederazione nell'adempimento di compiti di diritto pubblico. Gli organi dei Cantoni e dei Comuni non sono invece considerati organi federali, anche se svolgono compiti federali.

46 Nei procedimenti non disciplinati dall'articolo 49 LPD, le autorità o gli organi federali non hanno la qualità di parte ai sensi dell'articolo 6 PA nei procedimenti contro privati, in virtù del rapporto di sovranità nei confronti dei privati, ma hanno poteri analoghi e sono designati come «autorità precedente» nella procedura di ricorso. Se l'IFPDT avvia una procedura ai sensi dell'articolo 49 LPD contro un organo federale, quest'ultimo ha, in virtù della norma di rinvio costitutiva, lo stesso status e gli stessi poteri dei privati in quanto destinatario materiale della decisione. Di conseguenza, l'organo federale contro cui è stata avviata una procedura è parte nel procedimento di ricorso e l'IFPDT è l'autorità precedente.

IV. Legittimazione ad adire l'IFPDT (cpv. 3)

47 Le decisioni dell'IFPDT sono soggette a ricorso ai sensi dell'art. 44 PA. L'autorità di ricorso è il Tribunale amministrativo federale (art. 47 cpv. 1 lett. b PA in combinato disposto con gli art. 31 e 33 lett. d LTF). In base all'art. 52 cpv. 3 LPD, l'IFPDT dispone di un diritto di ricorso contro le decisioni del Tribunale amministrativo federale. Esiste quindi una base legale speciale ai sensi dell'art. 89 cpv. 2 lett. d LTF. Per ulteriori informazioni si rimanda alle disposizioni pertinenti.

Il parere espresso riflette l'opinione personale dell'autore e non vincola l'IFPDT.

Bibliografia

Auer Christoph/Müller Markus/Schindler Benjamin (a cura di), VwVG Kommentar, 2a ed., Zurigo 2019 (cit.: VwVG-Kommentar, redattore/redattrice).

Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (a cura di), Datenschutzgesetz, Stämpflis Handkommentar, 2a ed., Berna 2022 (cit.: SHK-DSG, redattore/redattrice).

Bieri Adrian/Powell Julian (a cura di), Commentario Orell Füssli alla legge federale sulla protezione dei dati con ulteriori decreti, Zurigo 2023 (cit.: OFK-DSG, collaboratore/collaboratrice).

Blechta Gabor-Paul/Vasella David (a cura di), Datenschutzgesetz/Öffentlichkeitsgesetz, DSG/LTras (Legge sulla protezione dei dati/Legge sulla trasparenza), LPD/LTras. Commento di Basilea, 4a edizione, Basilea 2024 (cit. BSK-LPD, redattore/redattrice).

Da Molin Luca/Wesiak-Schmidt Kirsten (a cura di), Datenschutz im Unternehmen, Praxishandbuch mit Beispielen und Checklisten, Zurigo 2023 (cit.: Datenschutz im Unternehmen, redattore/redattrice).

Lobsiger Adrian, Alto rischio – nessun argomento decisivo contro i progetti di trasformazione digitale, SJZ, 2023, pagg. 311-319 (cit. Lobsiger, alto rischio – nessun argomento decisivo).

Métille Sylvain/Meier Philippe (a cura di), Commentaire Romand Loi sur la protection des données (LPD), Basilea 2023 (cit.: CR-LPD, autore).

Rosenthal David, Das neue Datenschutzgesetz, Jusletter, 16.11.2020 (cit.: Rosenthal, nDSG).

Waldmann Bernhard/Krauskopf Patrick (a cura di), Praxiskommentar Verwaltungsverfahrensgesetz (VwVG), 3a ed., Friburgo e Zurigo 2022 (cit. PK VwVG, redattore/redattrice).

I materiali

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 6941 ff., abrufbar https://www.fedlex.admin.ch/eli/fga/2017/2057/de (zit.: Botschaft DSG 2017).

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, (zit.: Botschaft DSG 1988).

Bundesamt für Justiz BJ, Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderungen weiterer Erlasse zum Datenschutzgesetz, 21.12.2016, abrufbar unter https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/archiv/datenschutzstaerkung.html, (zit.: Erläuternder Bericht Totalrevision DSG).

Bundesamt für Justiz BJ, Normkonzept zur Revision des Datenschutzgesetztes, Bericht der Begleitgruppe Revision DSG, 29.10.2014, abrufbar unter https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/archiv/datenschutzstaerkung/berichte.html, (zit.: Normkonzept DSG).

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), 31. Tätigkeitsbericht 2023/2024, abrufbar unter https://www.edoeb.admin.ch/de/taetigkeitsbericht-des-edob, (zit.: EDÖB, 31. Tätigkeitsbericht 2023/2024).

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Untersuchungen von Verstössen gegen Datenschutzvorschriften durch den EDÖB, Anwendung von Art. 49-53 des revidierten Datenschutzgesetztes, Stand: Oktober 2024, https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/grundlagen/verstoesse.html,
(zit.: EDÖB Untersuchungen).