-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Cpv. 1: Pubblicazione annuale del rapporto di attività
- III. Cpv. 2: Pubblicazione di risultati e decisioni di interesse generale
- Bibliografia
- I Materiali
In breve
La disposizione sulle relazioni pubbliche dell'IFPDT è una delle più importanti ma meno conosciute della legge sulla protezione dei dati. Già negli anni Ottanta, l'esperienza internazionale ha dimostrato che il successo dell'attuazione della legislazione sulla protezione dei dati richiede un dialogo tra l'autorità di controllo e le altre autorità federali o la popolazione civile (ad esempio, quando si tratta di evidenziare la necessità di un intervento legislativo o di esercitare pressioni su determinati responsabili del trattamento dei dati che non rispettano i requisiti di legge).
L'art. 57 cpv. 1 LPD obbliga l'IFPD a informare una volta all'anno l'Assemblea federale - organo elettivo dell'IFPD ai sensi dell'art. 43 cpv. 1 LPD - sulle sue attività. Il Consiglio federale viene informato per iscritto delle attività della DFP. Il secondo paragrafo mira a consentire al DFP di svolgere il suo mandato di informazione in modo indipendente dalle autorità federali controllate. La disposizione è formulata in modo molto aperto. L'IFPDT ha quindi numerose possibilità di esercitare il suo mandato legale di informazione.
I. Aspetti generali
A. Scopo della disposizione e contesto
1 L'art. 57 LPD non è una delle disposizioni più conosciute della LPD. Tuttavia, questa disposizione giuridica relativa alle relazioni pubbliche dell'IFPDT contribuisce in modo decisivo all'attuazione pratica dei requisiti della legge sulla protezione dei dati. In effetti, la sensibilizzazione alla legge sulla protezione dei dati sia nel settore privato che in quello pubblico avviene principalmente grazie all'attività di pubbliche relazioni dell'IFPDT (e dei commissari cantonali e comunali per la protezione dei dati). Per riuscire a sensibilizzare l'opinione pubblica sulla protezione dei dati è necessario un dialogo tra l'autorità di controllo e il pubblico. Le considerazioni o le misure in materia di protezione dei dati non dovrebbero quindi rimanere puramente interne alle agenzie di trattamento dei dati, sia nel settore privato che in quello pubblico, ma dovrebbero essere portate all'attenzione del pubblico in modo consapevole e proattivo.
2 La campagna di sensibilizzazione condotta dall'IFPDT persegue diversi obiettivi specifici. Da un lato, contribuisce a rafforzare l'efficacia delle attività di vigilanza della LPD (artt. 49-53 LPD): nell'ambito delle sue attività di vigilanza, la LPD può sanzionare il trattamento illecito dei dati. In base all'art. 57 LDP, può pubblicare le sue conclusioni e quindi esercitare pressione sul responsabile del trattamento dei dati che ha commesso l'errore, nonché incoraggiare altri responsabili del trattamento dei dati non direttamente interessati dall'indagine ad adeguare le loro pratiche. D'altro canto, l'attività di pubbliche relazioni dell'IFPD può sollevare in modo decisivo l'IFPD dal suo ruolo consultivo (art. 58 LPD). La pubblicazione di ausili facilmente comprensibili, come linee guida, lettere esemplificative o FAQ, contribuisce in modo decisivo a ridurre lo sforzo necessario per la consultazione personale e a prevenire potenziali violazioni della protezione dei dati.
3 Inoltre, sulla base della sua attività di pubbliche relazioni, l'IFPDT può rendere conto delle sue attività all'organo elettorale (Assemblea federale ai sensi dell'art. 43 cpv. 1 LPD) e quindi fornire all'Assemblea federale una panoramica sull'adempimento dei suoi compiti.
4 L'attività di pubbliche relazioni ai sensi dell'art. 57 LPD offre poi alla DFP la possibilità di pubblicare informazioni sugli sviluppi problematici e di segnalare ciò che ritiene necessario per un intervento legislativo.
5 In questo caso, va notato che l'applicazione individuale dei diritti attraverso i tribunali civili prevista dal legislatore (art. 32 cpv. 2 LPD) ha un ruolo subordinato o (quasi) nullo nella pratica. A fronte di procedimenti lunghi e costosi dall'esito incerto, le persone interessate avviano solo molto raramente un procedimento presso il tribunale competente. Ciò è tanto più vero in quanto sempre più trattamenti di dati vengono effettuati da privati all'estero. Ciò rende (quasi) impossibile intentare una causa promettente davanti a un tribunale civile svizzero. Di conseguenza, le questioni fondamentali della protezione dei dati sono raramente affrontate nella giurisprudenza e le poche decisioni dei tribunali hanno un significato limitato al di là del singolo caso. Grazie al suo lavoro di pubbliche relazioni, l'IFPDT svolge quindi un ruolo importante nell'applicazione della legge.
B. Storia delle origini
Cpv. 1:
6 Una disposizione molto simile all'attuale cpv. 1 era già contenuta nell'art. 30 aDSG. Sulla base dell'esperienza internazionale, che già negli anni '80 aveva dimostrato che la consapevolezza della legge sulla protezione dei dati è rafforzata, tra l'altro, dal lavoro di pubbliche relazioni delle autorità di protezione dei dati, questa disposizione è stata incorporata nella legge svizzera nel 1988 ed è entrata in vigore nel 1992.
7 L'art. 30a LPD non ha dato luogo a dibattiti in Parlamento - l'articolo corrispondeva al progetto del Consiglio federale del 1988. Ciò vale anche per l'art. 57 LPD. Nell'ambito della revisione, la disposizione è stata chiarita solo nella misura in cui la DFP deve ora presentare un rapporto annuale (e non più periodico). Questa precisazione corrisponde alla prassi della vecchia legge.
8 L'IFPDT riferisce all'Assemblea federale, fornendo così all'organo elettorale una panoramica sull'esercizio delle sue funzioni. Come nella vecchia legge, il Consiglio federale riceve solo il rapporto di attività scritto.
9 Inoltre, l'espressione "nonché quando necessario" è stata eliminata. D'ora in poi, l'IFPDT riferirà una volta all'anno. Né la valutazione della consultazione né il messaggio tengono conto di questa soppressione. In pratica, la possibilità di informare il pubblico anche quando necessario (cioè in qualsiasi momento e non solo una volta all'anno) non ha avuto un ruolo importante. Inoltre, va sottolineato in questo contesto che l'IFPD può informare il pubblico sulle sue attività sulla base dell'art. 57 cpv. 2 LPD, se necessario.
Cpv. 2:
10 L'art. 57 cpv. 2 LPD è stato abbreviato nella revisione rispetto al cpv. 2 della vecchia LPD. Nello spirito della maggiore indipendenza dell'IFPDT, auspicata già nel dicembre 2011, l'IFPDT può ora decidere autonomamente su cosa informare il pubblico. La pubblicazione di dati personali soggetti a segreto d'ufficio non dipende più dal consenso dell'autorità interessata e non è più prevista una distinzione esplicita tra dati personali e dati fattuali nell'ambito del mandato informativo della DFP.
11 Il secondo paragrafo stabilisce inoltre che l'IFPDT "informa" e non semplicemente "può informare" su risultati di interesse generale. Questo chiarimento linguistico è apprezzabile, ma cambia poco nella pratica. La disposizione "può" prevista dalla vecchia legge stabiliva già un mandato di informazione vincolante.
C. Diritto comparato
Ad cpv. 1:
12 La preparazione periodica di un rapporto di attività era già prevista dall'art. 28, paragrafo 5, della direttiva 95/46/CE ed è disciplinata dall'art. 59 del DSGVO dal 25 maggio 2018. In termini di contenuto, questa disposizione si differenzia dall'art. 57 cpv. 1 DPA in quanto la corrispondente norma di diritto europeo specifica un possibile contenuto del rapporto di attività (elenco dei tipi di violazione segnalati e dei tipi di misure adottate ai sensi dell'art. 58 cpv. 2 DPA).
13 L'art. 15 cpv. 7 dell'ETS 108 stabilisce che ogni autorità di vigilanza europea elabora e pubblica regolarmente un rapporto di attività. Secondo la relazione esplicativa, il rapporto di attività deve essere pubblicato una volta all'anno. Tale relazione deve contenere, in particolare, informazioni sulle misure adottate per applicare la legislazione nazionale in materia di protezione dei dati. Ad eccezione del fatto che la LPD rivista non contiene requisiti in termini di contenuto, il legislatore svizzero ha adottato sia i requisiti del Consiglio d'Europa che quelli dell'UE. Va da sé, tuttavia, che le misure adottate per far rispettare le disposizioni in materia di protezione dei dati sono menzionate nel rapporto di attività dell'IFPDT anche in assenza di un corrispondente requisito legale.
Cpv. 2:
14 L'art. 15 cpv. 2 lett. e ETS 108 definisce il quadro dei compiti di sensibilizzazione delle autorità di vigilanza. Secondo la relazione esplicativa, le autorità di vigilanza devono rendere visibili in modo proattivo le misure che adottano, i loro compiti e le loro competenze. A tal fine, possono pubblicare relazioni periodiche sulle attività (cfr. art. 15 cpv. 7 ETS 108), dichiarazioni o raccomandazioni generali. Possono anche sensibilizzare il pubblico attraverso altri canali di comunicazione liberamente selezionabili. Secondo la relazione esplicativa, l'attività di pubbliche relazioni comprende anche l'informazione delle persone e dei responsabili del trattamento dei dati sui rispettivi diritti e obblighi in un linguaggio appropriato e facilmente comprensibile (soprattutto se il trattamento dei dati riguarda bambini o altre persone particolarmente vulnerabili).
II. Cpv. 1: Pubblicazione annuale del rapporto di attività
A. Pubblicazione annuale
15 Nel contesto della revisione, l'art. 30 aDSG è stato leggermente chiarito: la pubblicazione deve avvenire "annualmente". Questa precisazione è stata richiesta nella consultazione, ma cambia poco nella pratica. La legge non contiene ancora alcuna indicazione sul momento della pubblicazione. Secondo la vecchia legge, era consuetudine che il rapporto coprisse il periodo tra il 1° aprile e il 31 marzo dell'anno successivo e venisse pubblicato alla fine di giugno. In occasione di ogni pubblicazione si tiene una conferenza stampa. L'FDPIC presenta il rapporto di persona, spesso accompagnato da un altro membro della direzione, e risponde alle domande dei media. Non ci sono indicazioni che questa pratica non continuerà con la nuova legge.
16 Il rapporto non viene sottoposto al Consiglio federale o all'Assemblea federale per eventuali adeguamenti, né prima né dopo la pubblicazione. In altre parole, il rapporto viene pubblicato nello stesso modo in cui viene presentato all'Assemblea federale e al Consiglio federale (cfr. le specifiche dell'art. 37 LDP a questo proposito). Tra l'altro, l'IFPDT esercita anche la vigilanza sul trattamento dei dati effettuato dagli organi federali. È quindi ipotizzabile che, a seconda dei risultati dell'indagine, gli organi federali controllati in base al diritto di vigilanza possano richiedere determinati adeguamenti del rapporto di attività. In questo contesto, la pubblicazione del rapporto di attività invariato è da accogliere con favore e contribuisce a rafforzare l'indipendenza dell'IFPDT.
17 Non è prevista la presentazione del rapporto di attività davanti alla commissione incaricata di preparare l'elezione dell'IFPDT o nei consigli, anche se ciò è occasionalmente richiesto dalla dottrina.
B. Rapporto di attività
18 Il rapporto di attività è il fulcro del lavoro di pubbliche relazioni dell'IFPD (cfr. art. 57 cpv. 2 e art. 58 LPD per ulteriori modalità di sensibilizzazione dell'opinione pubblica).
19 A differenza del diritto europeo - ossia l'art. 59 DSGVO e l'art. 15 cpv. 7 STEP 108 - in Svizzera né la LPD né la LDP impongono requisiti di contenuto. L'IFPDT è quindi in linea di principio libero di decidere il contenuto del rapporto di attività. Ai sensi dell'art. 58 cpv. 1 lett. f LPD, l'Incaricato della protezione dei dati svolge anche i compiti assegnatigli dalla Legge sull'informazione del pubblico del 17 dicembre 2004 (LTras, RS 152.3). Ai sensi dell'art. 19 LTras, l'Incaricato della protezione dei dati deve presentare regolarmente un rapporto al Consiglio federale e pubblicarlo. Dall'entrata in vigore della LTras, il 1° luglio 2006, l'IFPDT pubblica un rapporto di attività che ripercorre sia le sue attività di incaricato della protezione dei dati sia i suoi compiti di incaricato della pubblica informazione.
20 Il rapporto di attività segue una struttura simile di anno in anno, anche se la ponderazione delle singole aree tematiche può variare: Sfide attuali, Protezione dei dati (Digitalizzazione e diritti fondamentali; Giustizia, polizia, sicurezza; Fisco e finanze; Commercio ed economia; Salute; Lavoro; Assicurazioni; Trasporti; Internazionale), Principio pubblico (Generale; Richieste di accesso; Procedure di conciliazione; Procedure legislative), l'IFPDT (Compiti e risorse; Comunicazione; Statistiche; Organizzazione dell'IFPDT). L'FDPIC stabilisce anche diverse priorità tematiche per ogni rapporto di attività. Ad esempio, nel rapporto di attività 2020/2021 ha dedicato la prima attenzione alla revisione della LPD e la seconda al Privacy Shield e alle sfide ad esso associate.
21 Come tutte le autorità federali, l'IFPDT deve rispettare le disposizioni di legge applicabili nell'adempimento dei suoi compiti statutari, in particolare quelli relativi alla protezione dei segreti industriali e commerciali. Inoltre, è soggetto al segreto d'ufficio ai sensi dell'art. 22 della Legge sul personale federale (LFPr, RS 172.220.1). Di conseguenza, deve garantire il trattamento riservato dei dati personali a cui ha accesso nell'esercizio delle sue funzioni di vigilanza, in particolare quando pubblica il suo rapporto di attività.
22 Data la natura molto breve degli articoli del rapporto di attività (secondo la vecchia legge, circa una colonna per ogni indagine di vigilanza), è difficile immaginare - a differenza della pubblicazione delle sentenze - che nel rapporto di attività vengano rivelati segreti di fabbricazione o commerciali.
23 In pratica, l'IFPDT rende anonimi i nomi dei privati contro i quali è stato avviato un procedimento di vigilanza, ma non ancora concluso. Non appena il procedimento è concluso, la persona giuridica interessata viene nominata nel successivo rapporto di attività. L'indicazione delle aziende colpevoli può non essere sempre piacevole per le persone interessate, ma non rientra nei segreti di fabbricazione o commerciali. Inoltre, l'indicazione del colpevole rientra nello scopo dell'art. 57 cpv. 1 LPD, poiché uno degli scopi dell'attività di pubbliche relazioni dell'IFPD è quello di esercitare pressione sul colpevole e di incoraggiare gli altri responsabili della protezione dei dati non direttamente interessati dall'indagine ad adeguare le loro pratiche.
24 La situazione è diversa nel caso dei segreti ufficiali, che possono essere divulgati anche su una sola riga. In questi casi, tuttavia, è probabile che prevalga l'interesse pubblico a informare l'opinione pubblica sul trattamento illecito dei dati da parte delle autorità federali, anche in considerazione della responsabilità storica dell'IFPDT dopo lo scandalo della Fiche (cfr. le osservazioni seguenti sull'art. 57 cpv. 2 LPD).
25 La legge non prevede inoltre alcuna disposizione in merito alla forma del rapporto di attività. La concezione e la diffusione sono quindi stabilite autonomamente dalla DFP. Il rapporto di attività non viene espressamente pubblicato nella veste grafica interna all'Amministrazione federale. L'indipendenza dell'IFPDT è quindi espressa anche formalmente.
26 A causa dell'obiettivo del rapporto, il rapporto di attività deve essere un documento accessibile al pubblico. L'IFPDT pubblica il rapporto come e-paper gratuito sul suo sito web; il rapporto stampato può essere ordinato per CHF 17.00 presso l'Ufficio federale delle costruzioni e della logistica.
27 Dal 2017/2018, il rapporto è stato pubblicato anche in italiano e in inglese. Tra il 1993 e il 2017, il rapporto è stato pubblicato solo in tedesco e francese. La mancanza di una traduzione in italiano era una chiara violazione dell'art. 10 della Legge federale sulle lingue nazionali e la comunicazione tra le comunità linguistiche (RS 441.1). Anche se questa legge federale non richiede la pubblicazione in inglese, è positivo che da alcuni anni il rapporto di attività venga pubblicato anche in inglese. Questa nuova traduzione semplifica la consultazione personale dell'IFPDT, dato che le persone di lingua inglese chiedono sempre più spesso all'IFPDT la sua consulenza legale. Il riferimento alla versione in inglese del rapporto di attività contribuisce a rendere più efficienti queste consultazioni in lingua straniera.
28 I destinatari del rapporto di attività sono l'Assemblea federale in quanto organo elettivo dell'IFPDT, i Consiglieri federali in quanto responsabili dei singoli dipartimenti, che svolgono innumerevoli operazioni di trattamento dei dati, e il pubblico in generale (professionisti dei media, consulenti legali, tecnici e popolazione civile in generale). In altre parole, l'art. 57 cpv. 1 LPD si applica a tutte le attività dell'IFPDT. Questa eterogeneità di destinatari rappresenta una sfida da non sottovalutare nella stesura del rapporto di attività.
29 In questo contesto, per completezza, va notato che le sfide in materia di protezione dei dati che si presentano nel settore privato e in quello pubblico sono spesso di natura simile. Per questo motivo, può essere istruttivo leggere i rapporti di attività dei commissari cantonali per la protezione dei dati, che sono obbligati dalla legge cantonale a pubblicare i rapporti di attività.
III. Cpv. 2: Pubblicazione di risultati e decisioni di interesse generale
A. Determinazione
30 "Determinazione" non è un termine giuridico chiaramente definito, ma descrive in modo esaustivo il mandato informativo giuridicamente vincolante dell'IFPDT.
31 Fatti di interesse generale rilevanti per la legge sulla protezione dei dati possono essere portati all'attenzione dell'IFPDT attraverso i media, la hotline o il modulo di contatto, o negli scambi con altre autorità federali o cantonali. La misura in cui l'IFPDT desidera reagire a un'informazione identificata è a sua discrezione, in particolare in termini di tempistica e canale di informazione.
32 Il termine "determinazione", giuridicamente confuso, offre il vantaggio di poter reagire a una (possibile) violazione della LPD in modo più flessibile e rapido rispetto all'emissione di un ordine. Inoltre, questo termine confuso offre la possibilità di informare il pubblico su una questione rilevante per la legge sulla protezione dei dati anche se non sono soddisfatte le condizioni per avviare un'indagine ai sensi dell'art. 49 LPD.
33 Resta da vedere se e con quale frequenza verranno pubblicati i risultati in futuro. Come per tutti i termini giuridicamente confusi, l'interpretazione di questo termine dipende dal rispettivo IFPDT.
B. Decreto
34 L'IFPDT può ora emanare ordinanze (cfr. artt. 49-51 LPD). Durante il processo di consultazione, alcuni partecipanti della comunità imprenditoriale hanno chiesto che l'IFPDT non pubblichi le sue sentenze, ma solo i fatti per i quali è stata aperta un'indagine. Questi partecipanti ritenevano che questo fosse l'unico modo per garantire i diritti personali delle persone interessate. Singoli partecipanti, invece, ritenevano che tutte le sentenze dell'IFPDT dovessero essere pubblicate. La regola stabilita dalla legge rappresenta quindi un compromesso e consente all'IFPDT di soppesare eventuali segreti d'ufficio o d'affari nei singoli casi con l'interesse generale a chiarire fatti illeciti. In linea di principio, l'interesse generale deve essere interpretato in senso ampio, in considerazione degli obiettivi dell'attività di pubbliche relazioni dell'IFPDT.
C. Interesse generale
35 Il concetto di "interesse generale" non è definito né nella LPD riveduta, né nella LPD riveduta, né nel messaggio del 2017. Nemmeno il precedente messaggio sulla vecchia LPD definiva il termine. All'epoca il Consiglio federale forniva solo un esempio: la pubblicazione di una raccomandazione su un sistema d'informazione di importanza nazionale era di interesse generale. La dottrina cita altri esempi più attuali: il trattamento dei dati in questione rappresenta una situazione di rischio particolare per i diritti fondamentali e i diritti personali delle persone interessate, riguarda l'attuazione generale della LPD, ha carattere di precedente o è ampiamente discusso in pubblico. Inoltre, secondo Rosenthal/Jöhri, la pubblicazione di reclami accertati (senza ulteriori specificazioni) può essere di interesse pubblico. A causa dell'attuale mercato digitale, anche la pubblicazione di una violazione della LPD da parte di un leader di mercato può essere di interesse pubblico. In ogni caso, il termine deve essere interpretato in modo ampio anche in base alla legge rivista. In caso contrario, l'IFPDT potrebbe svolgere la sua attività di pubbliche relazioni solo in modo inadeguato.
36 Di norma, le informazioni di interesse generale hanno una certa urgenza e si discostano dalla normale attività di informazione. Se non c'è urgenza, queste informazioni possono essere pubblicate nel prossimo rapporto di attività.
37 Le informazioni di interesse generale che devono essere pubblicate dipendono, tra l'altro, dalla priorità delle attività in corso in base alle risorse umane disponibili. Anche se è vero che l'Assemblea federale ha creato ulteriori posti con l'entrata in vigore della nuova LPD, l'IFPDT rimane cronicamente sotto organico. Pertanto, è possibile che i risultati che sarebbero di interesse generale continuino a essere pubblicati in ritardo o non vengano pubblicati affatto.
D. Pubblicazione
38 Come nella vecchia legge, il momento della pubblicazione può essere scelto liberamente. La questione del momento della pubblicazione non è sempre ugualmente importante. Tuttavia, se la pubblicazione di un accertamento viene utilizzata come mezzo di pressione, la pubblicazione strategica in termini di tempo è decisiva.
39 La LPD non prevede requisiti formali per l'attività di pubbliche relazioni dell'FDPIC. Il canale di comunicazione è quindi liberamente selezionabile anche in base alla nuova legge. In passato, l'IFPDT ha pubblicato sul proprio sito web lettere esemplificative, contratti esemplificativi, linee guida, schede informative e FAQ. Inoltre, redige pareri amministrativi interni. Inoltre, l'IFPDT tiene discorsi su argomenti di attualità, pubblica articoli scritti su riviste specializzate e rilascia interviste ai media. Il dipartimento di comunicazione gestisce un account Twitter (@derBeauftragte) e redige regolarmente comunicati stampa. Diversi membri del personale hanno collaborato alla produzione di un supporto didattico per i giovani. Sono possibili anche campagne più ampie. Indipendentemente dal canale di comunicazione scelto, l'FDPIC deve sempre seguire i principi di una politica di comunicazione professionale per sensibilizzare efficacemente l'opinione pubblica.
40 I risultati pubblicati non hanno la portata giuridica di decreti o leggi. Non sono giuridicamente vincolanti. In caso di controversia, il tribunale adito decide autonomamente, anche se l'interessato ha contattato preventivamente l'IFPDT in qualità di consulente o si è basato su un risultato pubblicato. Il fatto che il privato abbia seguito il consiglio dell'IFPDT può tuttavia svolgere un ruolo importante nell'esame della colpa nelle azioni di riparazione.
41 Tuttavia, la pubblicazione delle conclusioni conosce anche dei limiti, stabiliti dall'art. 36 cpv. 6 LPD (interessi pubblici essenziali, interessi della persona interessata manifestamente degni di protezione, obblighi di riservatezza previsti dalla legge o disposizioni speciali in materia di protezione dei dati). Come tutte le autorità federali, l'IFPDT deve rispettare le disposizioni legali applicabili, in particolare quelle relative alla protezione dei segreti industriali e commerciali e quelle che tutelano la sfera confidenziale e privata (diffamazione [art. 173 CP], calunnia [art. 174 CP], ingiuria [art. 177 CP]) nonché il divieto di coercizione (art. 181 CP). Inoltre, è soggetto al segreto d'ufficio ai sensi dell'art. 22 CPC. Di conseguenza, l'IFPDT deve garantire il trattamento riservato dei dati personali a cui ha accesso nell'esercizio delle sue funzioni di controllo. Nulla fa pensare che l'IFPDT modificherà la sua prassi di contattare le persone responsabili interessate prima di una pubblicazione prevista e chiedere se i segreti aziendali o ufficiali debbano essere oscurati prima della pubblicazione. Tuttavia, questo contatto non deve essere confuso con l'ottenimento del consenso.
42 Inoltre, si applica il principio dell'anonimizzazione dei dati personali. Per questo motivo, i dati personali che devono essere pubblicati vengono sempre resi anonimi prima della pubblicazione prevista. I nomi del personale amministrativo di alto livello che agisce nell'esercizio del proprio mandato amministrativo o i nomi di persone private incaricate non godono di alcuna protezione speciale in questo contesto.
43 Esiste un'importante eccezione al principio dell'anonimizzazione. Se l'IFPDT ritiene che la pubblicazione della constatazione o della decisione non oscurata sia nell'interesse pubblico, può ora rinunciare all'anonimizzazione (secondo la vecchia legge, l'IFPDT poteva pubblicare dati personali soggetti al segreto d'ufficio solo con il consenso dell'autorità interessata). Questo sviluppo va accolto con favore, poiché rafforza chiaramente l'indipendenza dell'IFPDT. Con la crescente consapevolezza dell'opinione pubblica sui temi della protezione dei dati, questa revisione della legge non è una sorpresa. In sintesi, si può quindi presumere che il principio dell'anonimizzazione sarà interpretato in modo piuttosto restrittivo e che non tutte le pubblicazioni saranno anonimizzate per principio.
44 Per quanto riguarda l'anonimizzazione, va notato che l'anonimizzazione effettiva dei dati personali sta diventando sempre più difficile a causa dei progressi tecnologici. Inoltre, l'anonimizzazione può non essere efficace, soprattutto se la pubblicazione dei risultati viene utilizzata come mezzo di pressione.
45 Sono ovviamente riservate le disposizioni di diritto penale, come la diffamazione, la calunnia, l'ingiuria, la coercizione o l'abuso di autorità. L'FDPIC non gode di alcuna immunità penale e deve rispettare queste disposizioni penali nell'ambito della sua attività di pubbliche relazioni.
46 In questo contesto, va infine ricordato che la LPD si applica solo alla divulgazione o alla pubblicazione di dati personali (cfr. art. 1 LPD o art. 36 LPD). È tuttavia ipotizzabile che l'IFPDT, nell'ambito della sua attività di vigilanza, possa imbattersi in dati di fatto ai sensi dell'art. 5 lett. a). La divulgazione di dati fattuali non è soggetta alla LPD, ma questi dati possono essere protetti dal segreto d'ufficio e la loro divulgazione può quindi essere soggetta alle disposizioni della LPD (ad esempio strategie, piani o misure nel settore della sicurezza informatica). In questi casi, le spiegazioni relative alla divulgazione dei dati personali (art. 36 e segg. LPD) si applicano probabilmente per analogia. La LPD non contiene una disposizione relativa alla liberazione dal segreto d'ufficio dei dati di fatto. Si deve quindi presumere che anche l'IFPDT possa svincolarsi dal segreto d'ufficio in tali costellazioni. È discutibile se ciò corrisponda effettivamente alla volontà legislativa, soprattutto alla luce della situazione politicamente tesa in Europa.
Bibliografia
Baeriswyl Bruno, Datenschutzgesetzgebung in der Schweiz – Standortbestimmung und Ausblick, in: Kieser Ueli/Pärli Kurt (Hrsg.), Datenschutz im Arbeits-, Versicherungs- und Sozialbereich: Aktuelle Herausforderungen, St. Gallen 2012, S. 10 ff. (zit. Baeriswyl, Standortbestimmung).
Baeriswyl Bruno, Kommentierung zu Art. 30 aDSG, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 1. Aufl., Bern 2015 (zit. SHK-Baeriswyl, Art. 30 aDSG).
Baeriswyl Bruno, Kommentierung zu Art. 57 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK-Baeriswyl, Art. 57 DSG).
Huber René, Kommentierung zu Art. 30 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014 (zit. BSK-Huber, Art. 30 aDSG).
Jöhri Yvonne, §8 Aufgabe und Bedeutung der öffentlichen Datenschutzbeauftragten, in: Passadelis Nicolas/Rosenthal David/Thür Hanspeter (Hrsg.), Datenschutzrecht: Beraten in Privatwirtschaft und öffentlicher Verwaltung, Handbücher für die Anwaltspraxis, Basel 2015, S. 245 ff. (zit. Jöhri).
Meier Philippe, Protection des données: fondements, principes généraux et droit privé, Berne 2011 (zit. Meier, Protection).
Meier Philippe, Le défi de Big Data dans les relations entre privés: avec quelques réflexions de lege ferenda, in: Epiney Astrid (Hrsg.), Big Data und Datenschutzrecht, Zürich 2016, S. 47 ff. (zit. Meier, Big Data).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).
Waldmann Bernhard/Oeschger Marcus, §15 Aufsicht, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011 (zit. Waldmann/Oeschger).
Walter Jean-Philippe, L’indépendance des autorités de protection des données, in: Epiney Astrid/Hänni Julia/Brülisauer Flavia (Hrsg.), Die Unabhängigkeit der Aufsichtsbehörden und weitere aktuelle Fragen des Datenschutzrechts/L’indépendance des autorités de surveillance et autres questions actuelles en droit de la protection des données, Zurich/Bâle/Genève 2012, S. 71 ff. (zit. Walter).
Ziebarth Wolfgang, Kommentierung zu Art. 59 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Ziebarth, Art. 59 DSGVO).
I Materiali
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988 (zit. BBl 1988 II S. 413 ff.).
14. Tätigkeitsbericht des EDÖB 2006/2007 vom 31.3.2007 (zit. EDÖB, 14. Tätigkeitsbericht 2006/2007).
Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011 (zit. BBl 2012 S. 335 ff.).
Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz, Zusammenfassung der Ergebnisse des Vernehmlassungsverfahrens vom 10.8.2017 (zit. Zusammenfassung Vernehmlassungsverfahren).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.72017 (zit. BBl 2017 S. 6941 ff.).
Rapport explicatif relatif à la Convention modernisée pour la protection des personnes à l’égard du traitement des données à caractère personnel du 18.5.2018 (zit. Rapport explicatif Convention 108+).
28. Tätigkeitsbericht des EDÖB 2020/2021 vom 31.3.2021 (zit. EDÖB, 28. Tätigkeitsbericht 2020/2021).
29. Tätigkeitsbericht des EDÖB 2021/2022 vom 31.3.2022 (zit. EDÖB, 29. Tätigkeitsbericht 2021/2022).