-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Generalità
- II. Cpv. 1: Compiti speciali dell'FDPIC
- III. Cpv. 2: mandato esteso di consulenza
- IV. Cpv. 3: Assistenza internazionale reciproca
- Bibliografia
- I Materiali
In breve
L'elenco dei compiti di cui all'art. 58 LPD completa i compiti dell'IFPD già previsti dall'art. 57 LPD. Ad esempio, questa disposizione prevede che l'IFPDT sensibilizzi l'opinione pubblica sulla protezione dei dati, commenti i progetti di decreti federali o pubblichi raccomandazioni di buone prassi. Tuttavia, l'elenco dei compiti di cui all'art. 58 LPD non è esaustivo. L'IFPD può quindi assumere altri compiti, non specificamente definiti, a condizione che siano coerenti con gli obiettivi fondamentali della LPD.
I. Generalità
A. Scopo della norma e contesto
1 Secondo la formulazione dell'ingresso ("Inoltre, la DFP svolge in particolare i seguenti compiti"), l'art. 58 LPD deve essere inteso come una disposizione complementare o generale all'art. 57 LPD. L'art. 58 LPD specifica l'ambito delle attività di consulenza e informazione della DFP ai sensi dell'art. 57 LPD, che la DFP stessa determina in larga misura sulla base della propria indipendenza sancita dalla legge.
2 Anche l'elenco dei compiti della DFP non è esaustivo ai sensi della legge riveduta ("in particolare"). La nuova legge lascia quindi un certo margine di manovra per ulteriori compiti, a condizione che non siano in contrasto con lo scopo della LPD. In questo contesto, va notato che ulteriori compiti dell'IFPD sono stabiliti in altre parti della LPD, ad esempio nell'art. 11 LPD (pareri sui codici di condotta), nell'art. 12 cpv. 4 LPD (notifica degli elenchi delle attività di trattamento), nell'art. 16 cpv. 2 LPD (divulgazione dei dati all'estero), nell'art. 23 LPD (consultazione dell'IFPD nel contesto delle valutazioni d'impatto sulla protezione dei dati) o nell'art. 24 LPD (notifica delle violazioni della sicurezza dei dati). Altri compiti dell'IFPDT sono stabiliti in varie leggi speciali, come l'art. 84b LAMal (garanzia della protezione dei dati da parte degli assicuratori) o l'art. 63 cpv. 3 in combinato disposto con l'art. 64 NDG (esame da parte degli assicuratori). Art. 64 NDG (verifica da parte dell'IFPDT della liceità del trattamento dei dati personali della persona che ne fa richiesta).
3 Per ulteriori informazioni sullo scopo della norma e sul suo contesto, si rimanda alle informazioni generali sull'art. 57 LPD.
B. Storia delle origini
4 Nell'ambito della revisione, l'art. 31 aDSG è stato adattato al diritto dell'UE e ai requisiti del Consiglio d'Europa. Per questo motivo, l'elenco dei compiti dell'IFPDT è stato leggermente adattato o integrato.
5 L'art. 31 cpv. 1 lett. d LPD (protezione adeguata della legislazione sulla protezione dei dati all'estero), l'art. 31 cpv. 1 lett. e LPD (esame delle garanzie per il trasferimento di dati verso Stati non equivalenti) e l'art. 31 cpv. 1 lett. f LPD (procedura di certificazione) non sono stati inclusi nell'art. 58 LPD rivisto. Ora non è più l'IFPDT ma il Consiglio federale o l'UFG a stabilire se la legislazione dello Stato in questione garantisce una protezione adeguata (art. 16 cpv. 1 LPD). L'elenco degli Stati, dei territori, dei settori specifici di uno Stato e delle organizzazioni internazionali che, secondo il Consiglio federale, garantiscono un'adeguata protezione dei dati è ora riportato nell'Appendice 1 della LPD. L'esame delle garanzie per il trasferimento dei dati a uno Stato non equivalente è ora disciplinato in dettaglio all'art. 16 cpv. 2 LPD ed è adottato in linea di principio anche dall'IFPDT ai sensi della nuova legge. La certificazione è ora disciplinata dall'art. 13 LPD. In base al diritto vigente, l'IFPDT non può più esaminare direttamente le procedure di certificazione (art. 31 cpv. 1 lett. f aDSG). In questo contesto è riservata una procedura di vigilanza ai sensi degli artt. 49 e segg. LPD è riservata in questo contesto.
6 Per ulteriori informazioni sulla storia dello sviluppo delle attività di consulenza e informazione delle autorità di controllo della protezione dei dati, si rimanda ai commenti sull'art. 57 LPD.
C. Diritto comparato
7 Nel diritto europeo, i compiti delle rispettive autorità di protezione dei dati sono stabiliti dall'art. 57 DSGVO, fatti salvi gli altri compiti stabiliti nei singoli passaggi della DSGVO.
8 L'art. 58 DSGVO stabilisce i poteri specifici con cui le autorità di controllo possono raggiungere gli obiettivi di cui all'art. 57 DSGVO.
9 Gli artt. 57 e 58 DPA vanno chiaramente oltre i "regolamenti fratelli" degli artt. 57 e 58 DPA in termini di livello di dettaglio. Questa attenzione ai dettagli nella legislazione europea sulla protezione dei dati mira a migliorare la certezza del diritto e la protezione dei diritti fondamentali, dopo che la disposizione precedente (art. 28 della direttiva 95/46/CE) forniva solo un quadro di massima, che nella vecchia legge era stato completato in modo molto diverso dalle disposizioni nazionali. A parte le differenze formali (livello di dettaglio e struttura), non si notano differenze fondamentali nel contenuto tra le disposizioni europee e quelle svizzere. Questa constatazione non sorprende: il vecchio elenco di compiti dell'art. 31 aDSG è stato integrato con l'obiettivo esplicito di attuare i requisiti del diritto europeo ai sensi dell'art. 46 cpv. 1 lett. d ed e della Direttiva (UE) 2016/680 e i requisiti dell'art. 12bis n. 2 lett. e E-SEV.
II. Cpv. 1: Compiti speciali dell'FDPIC
A. Lit. a: Mandato di informazione
10 Nell'ambito della revisione è stato aggiunto alla LPD l'art. 58 cpv. 1 lett. a. Questa nuova disposizione mira a specificare il mandato d'informazione della DFP di cui all'art. 57 LPD.
11 Questa nuova disposizione stabilisce esplicitamente che la DFP svolge il suo mandato di consulenza e informazione non solo nei confronti degli enti pubblici, ma anche dei privati. Questa precisazione linguistica, che corrisponde alla prassi dell'IFPDT sotto la vecchia legge, va accolta con favore.
12 Alla luce della formulazione della legge e del messaggio, l'IFPDT dispone di un ampio margine di discrezionalità per quanto riguarda l'attuazione pratica del mandato d'informazione. In linea di principio, è libero di scegliere quali decisori dell'amministrazione, della politica, della scienza e dell'economia informare, formare o consigliare. Tuttavia, la discrezionalità dell'IFPDT non è priva di limiti: L'indipendenza dell'IFPD deve essere sempre preservata, anche nell'attuazione del mandato di informazione di cui all'art. 58 cpv. 1 lett. a LPD. In pratica, si possono creare costellazioni problematiche se l'IFPDT stesso o i membri della sua direzione mantengono contatti personali troppo stretti con determinati responsabili delle decisioni e questo contatto o scambio crea l'apparenza di parzialità da parte dell'IFPDT nei confronti di terzi o influenza l'IFPDT in un'eventuale procedura di vigilanza a valle.
13 Nell'ambito del suo mandato di informazione, l'IFPDT partecipa, ad esempio, alla conferenza annuale sulla legge in materia di protezione dei dati presso l'Università di Friburgo, pubblica linee guida, esempi di lettere e domande frequenti sul trattamento dei dati da parte di organi federali o di privati, fornisce consulenza telefonica e scritta a privati o scambia regolarmente informazioni con l'Associazione per la protezione dei dati aziendali (VUD). Può anche organizzare eventi informativi o di formazione per i responsabili del settore pubblico. Sotto la voce "formazione" sarebbe ipotizzabile anche una collaborazione con le varie facoltà di giurisprudenza. Attualmente, il diritto della protezione dei dati non è un corso obbligatorio in nessuna università svizzera. Allo stato attuale, i futuri avvocati non sono affatto, o non sono sufficientemente, preparati ad affrontare le sfide della pratica legale per quanto riguarda il tema trasversale della "protezione dei dati".
14 L'IFPD può ora riscuotere onorari per la consulenza a privati in materia di protezione dei dati ai sensi dell'art. 58 cpv. 1 LPD sulla base dell'art. 59 cpv. 1 lett. e LPD in combinato disposto con l'art. 44 LPD. Art. 44 LADP. Gli onorari sono calcolati in base al tempo impiegato, con una tariffa oraria compresa tra 150,00 e 250,00 franchi.
15 Ai fini di un'attuazione efficiente in tutta la Svizzera di questo mandato d'informazione giuridicamente standardizzato, la nuova legge prevede anche che l'IFPDT e il suo sostituto non provengano dalla stessa regione linguistica. In linea di principio, l'IFPDT e il suo sostituto dovrebbero quindi continuare a essere responsabili dell'attuazione del mandato d'informazione nelle rispettive regioni d'origine (ad esempio, la gestione delle richieste di colloquio).
16 Quanto più spesso l'IFPDT adempie al suo mandato di informazione attraverso vari canali, tanto più è probabile che un ampio pubblico venga informato sulle attuali sfide in materia di protezione dei dati. Tuttavia, l'effettiva attuazione del mandato informativo dipende dalle risorse umane disponibili, che rimangono modeste.
B. Lit. b: Supporto alle autorità cantonali e internazionali
17 L'art. 58 cpv. 1 LADP lett. b deriva dall'art. 31 cpv. 1 lett. a e lett. c LPD. Secondo la formulazione esplicita della legge, il sostegno alle autorità cantonali e internazionali non è un caso speciale delle attività di consulenza dell'IFPDT. L'IFPDT può "solo" sostenere le autorità cantonali e non "consigliarle". A causa della ripartizione delle competenze tra la Confederazione e i Cantoni, l'IFPDT non è autorizzato a fornire consulenza agli organi cantonali nella misura in cui le autorità cantonali per la protezione dei dati sono competenti a farlo. In base alla vecchia legge, la formulazione del testo ("organi cantonali") escludeva che l'IFPDT potesse fornire assistenza anche ai Comuni. Ora, grazie alla formulazione leggermente modificata della legge ("autorità svizzere"), è ipotizzabile che l'IFPDT possa sostenere anche gli enti comunali. Tuttavia, a causa della suddivisione delle competenze in materia di protezione dei dati, nella pratica gli enti comunali devono rivolgersi all'autorità cantonale competente per la protezione dei dati in caso di domande o incertezze.
18 Nella vecchia legge, inoltre, non era chiaro se la disposizione in questione si applicasse solo agli enti pubblici o coprisse anche gli enti di protezione dei dati delle aziende private. Alla luce dell'attuale formulazione dell'art. 58 cpv. 1 lett. b LPD, è chiaro che il campo di applicazione di questa disposizione è limitato agli enti pubblici.
19 Ne consegue che le consultazioni della LPD devono essere limitate agli ambiti per i quali i Cantoni non sono competenti (consultazioni di persone private e di organi federali, cfr. art. 58 cpv. 1 lett. a LPD) e ai chiarimenti relativi alle delimitazioni di competenza tra Confederazione e Cantoni. La cooperazione effettiva in singoli casi specifici non ha luogo a causa della divisione delle competenze tra Confederazione e Cantoni. In questo senso, la formulazione scelta ("collabora con le autorità svizzere") è fuorviante.
20 L'assistenza fornita dall'IFPD ai sensi dell'art. 58 cpv. 1 lett. b LPD non è ancora vincolata ad alcuna forma e rimane gratuita con la nuova legge.
21 Alla luce dei problemi sempre più transnazionali, il supporto delle autorità straniere diventa sempre più importante. Ai sensi dell'art. 58 cpv. 1 lett. b LADP, la LPD non solo scambia informazioni con i rappresentanti delle autorità cantonali, ma ha anche un seggio in diverse organizzazioni internazionali e in questo contesto sostiene le autorità straniere o internazionali nell'attuazione di una protezione dei dati efficace a livello globale.
22 In virtù della sua indipendenza statutaria, l'IFPDT deve sempre essere in grado di decidere autonomamente se e in quale misura desidera sostenere un'altra autorità. Un mandato vincolante di assistenza non sarebbe compatibile con l'indipendenza dell'IFPDT.
23 Per quanto riguarda i limiti di questo sostegno offerto dall'IFPD, occorre anche notare che l'art. 58 cpv. 1 lett. b LPD non costituisce né una base per la competenza federale in materia di protezione dei dati, né una base per lo scambio di informazioni con altre autorità (a livello nazionale o internazionale). Questa disposizione dovrebbe solo consentire uno scambio professionale tra le autorità e quindi permettere agli altri enti pubblici di beneficiare delle conoscenze giuridiche e tecniche dell'IFPDT.
24 Sin dalla sua fondazione, lo scambio con le autorità cantonali è stato organizzato da rappresentanti di "privatim" o da alcuni gruppi di lavoro. Nella pratica, è stato più volte dimostrato che gli scambi tra rappresentanti federali e cantonali sono arricchenti nelle aree in cui le rispettive competenze si sovrappongono, in particolare durante la pandemia di Covid 19, che ha sollevato diverse questioni di protezione dei dati nel settore sanitario non solo a livello cantonale ma anche a livello nazionale (e internazionale). Recentemente, l'IFPDT e "privatim" hanno rivisto insieme la guida "Elezioni e votazioni" in vista delle elezioni federali del 2023: Le elezioni e le votazioni si svolgono a tutti i livelli federali e sono soggette a sfide simili a tutti i livelli federali.
C. Lit. c: Mandato di sensibilizzazione
25 L'art. 58 cpv. 1 lett. c LPD specifica il dovere di sensibilizzazione della DFP, come previsto dall'art. 57 LPD.
26 La sensibilizzazione delle persone bisognose di protezione è stata recentemente inclusa nella FADP in conformità con il diritto europeo (art. 57 cpv. 1 lett. b FADP). Tuttavia, il termine "persone vulnerabili" non è definito né nell'art. 58 LPD né nell'art. 5 LPD (termini). Il messaggio elenca i minori e gli anziani come persone bisognose di protezione. A causa della scelta dei termini ("in particolare"), questo elenco non è esaustivo. Anche i malati e i rifugiati, ad esempio, possono essere considerati persone bisognose di particolare protezione ai sensi dell'art. 58 cpv. 1 lett. c LPD, soprattutto se si considera che in queste costellazioni vengono spesso trattati dati personali che richiedono una protezione particolare ai sensi dell'art. 5 lett. c nn. 1, 2 e 5 LPD. Ad esempio, l'IFPDT interviene anno dopo anno sul trattamento dei dati personali nel settore sanitario.
27 L'IFPDT si è già adoperato per sensibilizzare i giovani alla protezione dei dati secondo la vecchia legge. Ad esempio, ha ideato sette lezioni per gli alunni del livello secondario I e II, ognuna delle quali è dedicata a un argomento specifico che interessa i giovani nella loro vita quotidiana. Ha anche pubblicato sul suo sito web consigli per i neo-genitori. Anche il servizio interattivo sostenuto dall'FDPIC per sensibilizzare alla protezione dei dati e alla trasparenza nelle organizzazioni, "Think Data", è esplicitamente rivolto, tra gli altri, agli studenti. Tuttavia, il compito di sensibilizzare i bambini e i giovani ha anche dei limiti. In base all'art. 62 cpv. 1 della Cost. l'istruzione è di competenza dei Cantoni. Spetta quindi in primo luogo ai direttori didattici cantonali occuparsi della sensibilizzazione alla protezione dei dati durante la scuola dell'obbligo.
28 Per quanto riguarda il mandato di sensibilizzazione per le persone anziane, al momento non è nota una collaborazione specifica con un'organizzazione attiva in questo settore o un progetto rivolto specificamente a questo gruppo sociale. La collaborazione con "pro senectute" o altre associazioni o gruppi di interesse sarebbe ipotizzabile o auspicabile sulla base dell'art. 58 cpv. 1 lett. c LPD.
29 L'assegnazione di premi e riconoscimenti sul modello, ad esempio, del Premio Rodotà del Consiglio d'Europa o del Premio Grande Fratello del Chaos Computer Club Switzerland sarebbe un modo per sensibilizzare la popolazione civile in maniera un po' diversa.
30 Nell'attuazione del mandato di sensibilizzazione dell'IFPDT, tuttavia, occorre sempre tenere presente che - come, ad esempio, nel contesto della lotta al cambiamento climatico - si tratta di sensibilizzare la popolazione a un pericolo le cui conseguenze diventeranno evidenti o tangibili solo in un momento successivo. Questo rende molto più difficile il lavoro di sensibilizzazione.
D. Lit. d: mandato di consulenza
31 Il mandato consultivo della LPD è stato espressamente inserito nella revisione. Ciò riflette anche un cambiamento nella legge che è stato osservato nella pratica: a differenza di quanto previsto dal legislatore del 1988, le attività della DFP non si concentrano sulla supervisione, ma sulla consulenza ai privati:
32 L'applicazione individuale dei diritti attraverso i tribunali civili (art. 32 cpv. 2 LPD) prevista dal legislatore ha un ruolo subordinato o (quasi) nullo nella pratica. A fronte di procedimenti lunghi e costosi dall'esito incerto, gli interessati avviano solo molto raramente un procedimento davanti al tribunale competente. Ciò è tanto più vero in quanto sempre più trattamenti di dati vengono effettuati da privati con sede all'estero e comportano una violazione della privacy in Svizzera. Ciò rende (quasi) impossibile o difficile intentare una causa promettente davanti a un tribunale civile svizzero. Di conseguenza, le questioni fondamentali della protezione dei dati non sono quasi mai oggetto di discussione nella giurisprudenza e le poche decisioni dei tribunali hanno un significato limitato al di là del singolo caso. Con il suo mandato consultivo, l'IFPDT ha quindi un ruolo importante da svolgere nell'applicazione della legge.
33 L'FDPIC è libero in termini di forma. Svolge il suo mandato consultivo sia oralmente (hotline) che per iscritto (modulo di contatto, lettere o reclami campione, guide, FAQ, comunicati stampa, Twitter).
34 A differenza delle consultazioni con "persone private su questioni relative alla protezione dei dati" ai sensi dell'art. 58 cpv. 1 lett. a LPD, le "informazioni su come una persona privata può esercitare i propri diritti" ai sensi dell'art. 58 cpv. 1 lett. d LPD in combinato disposto con l'art. 59 cpv. 1 lett. d LPD non sono coperte dalla LPD. Art. 59 cpv. 1 lett. e al contrario LPD a titolo gratuito. Va da sé che la demarcazione tra il campo di applicazione della lett. a e quello della lett. d LPD è probabilmente difficile nella pratica. Nell'interesse dell'uguaglianza giuridica, è auspicabile che la LPD faccia un uso generoso dell'eccezione prevista dall'art. 59 cpv. 3 LPD (rinuncia all'addebito di tasse) in questo contesto.
35 Nel corso delle sue consultazioni, l'IFPDT apprende in prima persona in quali settori o in quali aziende possono sorgere problemi con la legge sulla protezione dei dati. L'attuazione più ampia possibile del mandato di consulenza contribuisce quindi, tra l'altro, alla capacità dell'IFPDT di svolgere in modo efficiente il suo mandato di vigilanza ai sensi degli articoli 49 e seguenti. La LPD può essere attuata in modo efficiente.
E. Lit. e: consultazione della DFP nel processo legislativo federale
36 La consultazione dell'IFPDT nella procedura legislativa federale è un caso particolare del mandato consultivo dell'IFPDT.
37 Secondo la nuova formulazione della legge, l'Incaricato deve essere consultato su tutti i progetti di legge relativi a decreti e misure federali che riguardano l'elaborazione dei dati (e non solo sui progetti di legge che riguardano la protezione dei dati in misura considerevole). Questa precisazione linguistica rispecchia la prassi della vecchia legge e va accolta con favore nell'ottica della certezza del diritto.
38 Nell'art. 38 cpv. 2 LDP, questo obbligo di tutti gli organi federali è stato ulteriormente specificato: Gli organi federali sottopongono all'IFPDT tutti i progetti di legge riguardanti il trattamento dei dati personali, la protezione dei dati e l'accesso ai documenti ufficiali.
39 Il termine interno (non ufficiale) per le osservazioni nell'ambito delle consultazioni d'ufficio è di tre settimane. In pratica, però, non tutti gli uffici federali si attengono a questa disposizione ufficiosa. In alcuni casi, la scadenza molto breve per i commenti può portare a una riduzione della qualità del parere dell'IFPDT. È auspicabile che, dopo la fine della pandemia di Corona, questo termine venga nuovamente rispettato in misura maggiore. Un ritorno al "courant normal" consentirebbe all'IFPDT di preparare con cura i suoi pareri e, laddove lo ritenga necessario, di cercare un dialogo con l'ufficio federale competente e trovare una soluzione praticabile per tutte le agenzie coinvolte.
40 Se l'IFPD è stato ignorato nella procedura legislativa e ritiene che vi sia un interesse pubblico in questa informazione, può rivolgersi direttamente al pubblico sulla base dell'art. 57 cpv. 2 LPD (in combinato disposto con l'art. 39 lett. i LPD).
41 Il termine "misure" è un concetto confuso. Questa vaghezza linguistica consente all'IFPDT di far parte di diversi organi o gruppi di lavoro. L'IFPD può quindi essere coinvolto nella prima fase di un nuovo progetto di protezione dei dati sulla base dell'art. 58 cpv. 1 lett. e LPD. Ad esempio, l'IFPDT è stato consultato in una fase iniziale nell'ambito della strategia cloud dell'Amministrazione federale. Oppure, ad esempio, la SECO si è avvalsa della consulenza dell'IFPDT in occasione della revisione delle linee guida dell'art. 26 dell'ORSAE 3, pubblicate nel febbraio 2023. In questo contesto va tuttavia sottolineato che la consultazione della DFP all'inizio di un nuovo progetto non esclude la possibilità che la DFP riveda successivamente il progetto in questione nell'ambito della sua attività di vigilanza ai sensi degli artt. 49 e segg. della LDP. LPD, la DFP può riesaminare successivamente il progetto in questione. In altre parole, la consultazione della DFP non deve essere confusa con una sorta di "procedura di certificazione".
F. Lit. f: Compiti di LTras
42 La menzione dei compiti dell'IFPDT ai sensi di LTras è puramente dichiarativa. I compiti dell'IFPDT in relazione al principio dell'accesso del pubblico derivano direttamente dall'art. 18 LTras (gestione della procedura di conciliazione, accesso del pubblico, consultazione nella procedura legislativa) e dall'art. 19 LTras (valutazione).
43 Il coordinamento tra la LPD e l'UFC è disciplinato rispettivamente dall'art. 7 cpv. 2 e dall'art. 9 dell'UFC e dall'art. 36 cpv. 3 della LPD.
44 È discutibile se la protezione dei dati o il principio dell'accesso del pubblico siano serviti se la stessa autorità deve sostenere un'efficace protezione dei dati da un lato e garantire il massimo accesso possibile ai documenti ufficiali dall'altro. La soluzione svizzera si applica anche in altri Paesi, come la Germania (a livello federale) o il Regno Unito. La Francia, invece, ha affidato questi due compiti a due autorità diverse. A livello europeo, il compromesso in materia è disciplinato dall'art. 86 del DSGVO.
G. Lit. g: Raccomandazioni di buone prassi
45 L'art. 58 cpv. 1 lett. g LPD è stato introdotto di recente nella LPD nell'ambito della revisione. Tuttavia, l'IFPDT svolgeva già intensamente questo compito nell'ambito delle sue attività di consulenza sotto la vecchia legge, pubblicando numerose guide, lettere di esempio e FAQ sul suo sito web.
46 La pubblicazione delle raccomandazioni di buona prassi è, come la consultazione della LPD nel quadro della procedura legislativa a livello federale (art. 58 cpv. 1 lett. e LPD), un caso particolare dell'attività consultiva della LPD. Anche per quanto riguarda le raccomandazioni di buona prassi, va sottolineato che l'attuazione delle raccomandazioni non preclude alcuna procedura di vigilanza. In altre parole, le raccomandazioni non sono giuridicamente vincolanti. La LPD non può intraprendere un'azione legislativa sulla base dell'art. 58 cpv. 1 lett. g LPD. Il tribunale chiamato a decidere se si è verificata o meno una violazione della LADP in un caso individuale è indipendente da qualsiasi raccomandazione formulata dalla LPD. Tuttavia, il fatto che un privato abbia seguito le raccomandazioni della DFP può svolgere un ruolo importante nell'esame della colpa nel contesto delle azioni riparatorie.
47 Per quanto riguarda il concetto di persona vulnerabile, si rimanda alle osservazioni precedenti sull'art. 58 cpv. 1 lett. c LPD.
III. Cpv. 2: mandato esteso di consulenza
48 Dal punto di vista del contenuto, l'art. 58 cpv. 2 LADP corrisponde all'art. 31 cpv. 2 aDSG.
49 Alcune operazioni di trattamento dei dati sono escluse dal campo di applicazione della LPD ai sensi dell'art. 2 cpv. 2, 3 e 4 LPD e dell'art. 4 cpv. 2 LPD. L'art. 58 cpv. 2 LPD consente all'IFPD, se lo desidera, di esprimersi su questioni escluse dal campo di applicazione della LPD in base al testo della legge. La precisazione linguistica della seconda frase chiarisce che gli organi federali eventualmente interessati possono concedere alla DFP l'accesso ai dossier. In altre parole, in questi casi viene meno il segreto d'ufficio.
50 L'art. 58 cpv. 2 LPD è una cosiddetta "disposizione facoltativa". A differenza dei compiti di cui al cpv. 1, per i compiti di consulenza di cui al cpv. 2 non è previsto alcun diritto.
51 L'elenco di cui all'art. 58 cpv. 1 LPD non è esaustivo. È quindi possibile che l'IFPDT fornisca consulenza su trattamenti di dati che non rientrano nel campo di applicazione della LPD (cfr. art. 2 cpv. 2 lett. a LPD). Questa possibilità è espressione del fatto che l'art. 13 Cost. ha una validità globale e non si applica solo agli ambiti in cui la LPD è applicabile.
52 A causa della continua scarsità di risorse della DFP, l'art. 58 cpv. 2 LPD, come la disposizione precedente, sarà probabilmente applicato raramente.
53 Per completezza, in questo contesto va anche sottolineato che nei settori in cui la LPD non è applicabile, è esclusa qualsiasi attività di vigilanza da parte dell'IFPD, ad esempio nei procedimenti civili in corso.
IV. Cpv. 3: Assistenza internazionale reciproca
54 L'art. 58 cpv. 3 LPD è stato inserito di recente nella LDP nell'ambito della revisione. Lo scopo di questa disposizione è quello di semplificare la trasmissione di documenti ufficiali agli incaricati privati della protezione dei dati domiciliati all'estero, che devono designare una rappresentanza in Svizzera ai sensi dell'art. 14 LADP.
Bibliografia
Baeriswyl Bruno, Datenschutzgesetzgebung in der Schweiz – Standortbestimmung und Ausblick, in: Kieser Ueli/Pärli Kurt (Hrsg.), Datenschutz im Arbeits-, Versicherungs- und Sozialbereich: Aktuelle Herausforderungen, St. Gallen 2012, S. 10 ff. (zit. Baeriswyl, Standortbestimmung).
Baeriswyl Bruno, Kommentierung zu Art. 31 aDSG, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 1. Aufl., Bern 2015 (zit. SHK-Baeriswyl, Art. 31 aDSG).
Belser Eva Maria, § 5 Die Kompetenzverteilung zwischen Bund und Kantonen, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard (Hrsg.), Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011, S. 4 ff. (zit. Belser).
Cottier Bertil, Transparence et protection des données, Une relation amour-haine?, in: Waldmann Bernhard/Bergamin Florian (Hrsg.), 10 Jahre InfoG Freiburg, Bern 2021, S. 159 ff. (zit. Cottier).
Huber René, Kommentierung zu Art. 31 aDSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl., Basel 2014 (zit. BSK-Huber, Art. 31 aDSG).
Jöhri Yvonne, §8 Aufgabe und Bedeutung der öffentlichen Datenschutzbeauftragten, in: Passadelis Nicolas/Rosenthal David/Thür Hanspeter (Hrsg.), Datenschutzrecht: Beraten in Privatwirtschaft und öffentlicher Verwaltung, Handbücher für die Anwaltspraxis, Basel 2015, S. 245 ff. (zit. Jöhri).
Meier Philippe, Protection des données: fondements, principes généraux et droit privé, Berne 2011 (zit. Meier).
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).
Specht Louisa/Bienemann Linda, Kommentierung zu Art. 86 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Specht/Bienemann, Art. 86 DSGVO).
Waldmann Bernhard/Oeschger Marcus, §15 Aufsicht, in: Belser Eva Maria/Epiney Astrid/Waldmann Bernhard, Datenschutzrecht, Grundlagen und öffentliches Recht, Bern 2011 (zit. Waldmann/Oeschger).
Ziebarth Wolfgang, Kommentierung zu Art. 57 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Ziebarth, Art. 57 DSGVO).
Ziebarth Wolfgang, Kommentierung zu Art. 58 DSGVO, in: Sydow Gernot (Hrsg.), Nomos Handkommentar, Europäische Datenschutzgrundverordnung, 2. Aufl., Baden-Baden 2018 (zit. NHK-Ziebarth, Art. 58 DSGVO).
I Materiali
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988 (zit. BBl 1988 II S. 413 ff.).
Zusammenstellung der Ergebnisse des Vernehmlassungsverfahrens zum Bundesgesetz über die Öffentlichkeit der Verwaltung (Öffentlichkeitsgesetz, BGÖ) vom März 2001 (zit. Zusammenstellung Vernehmlassungsverfahren).
Gutachten 051124 des Bundesamtes für Justiz, VPB 70.54, vom 24.11.2005 (zit. Gutachten des BJ, VPB 70.54).
Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011 (zit. BBl 2012 S. 335 ff.).
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017 (zit. BBl 2017 S. 6941 ff.).
28. Tätigkeitsbericht des EDÖB 2020/2021 vom 31.3.2021 (zit. EDÖB, 28. Tätigkeitsbericht 2020/2021).
29. Tätigkeitsbericht des EDÖB 2021/2022 vom 31.3.2022 (zit. EDÖB, 29. Tätigkeitsbericht 2021/2022).