I. Considerazioni generali

1 Il concetto di trattamento deve essere inteso in senso molto ampio e comprende qualsiasi trattamento di dati personali - “in parole povere: tutto ciò che si fa con i dati personali”. A titolo esemplificativo, l'art. 5 lett. d cita le forme di trattamento “raccolta, conservazione, utilizzo, modifica, comunicazione, archiviazione, cancellazione o distruzione”. I termini “salvare” e “cancellare” sono stati aggiunti per avvicinare la formulazione dell'art. 5 lett. d LPD a quella dell'art. 4 n. 2 DSGVO. Tuttavia, in termini di contenuto, il concetto di elaborazione rimane invariato a seguito della revisione della legge. Il termine di raccolta dei dati secondo la legge precedente è stato incorporato nel termine di elaborazione.

2 Per «motivi di praticabilità» non è stato effettuato un completo allineamento terminologico al DSGVO. Così, mentre la LPD parla di trattamento o di trattamento, il DSGVO parla invece di elaborazione / elaborazione. Inoltre, gli esempi dell'art. 5 lett. d LPD differiscono chiaramente da quelli di cui all'art. 4 n. 2 DSGVO. Tuttavia, nonostante le differenze redazionali, i termini “trattamento” ai sensi della LPD e “trattamento” ai sensi del DSGVO devono essere intesi come identici. Nell'interpretazione del termine “trattamento” ai sensi dell'art. 5 lett. d LPD, la giurisprudenza relativa all'art. 4 n. 2 DSGVO può quindi essere utilizzata come riferimento in ogni caso.

3 Un principio fondamentale della LPD è il suo carattere tecnologicamente neutro. Per questo motivo, per stabilire se si è in presenza di un trattamento, è irrilevante quali mezzi e procedure vengano utilizzati. I trattamenti ai sensi della LPD possono quindi essere sia manuali che automatizzati. Dal carattere tecnologicamente neutro deriva inoltre che la LPD copre o coprirà anche forme di trattamento future, non ancora note.

II. Trattamento come presupposto per l'applicazione della LPD

4 Il concetto di trattamento è di fondamentale importanza, poiché la LPD è applicabile solo se i dati personali vengono trattati da un'entità coinvolta nella gestione dei dati personali. Gli obblighi che ne derivano dipendono dal fatto che l'entità in questione sia (congiuntamente) responsabile o incaricata del trattamento. Il trattamento presuppone un'azione che ha lo scopo e la conseguenza di fare qualcosa con i dati, o un'azione che oggettivamente si riferisce ai dati. Le azioni che riguardano solo indirettamente i dati, invece, non sono trattamenti, come il trasporto di passeggeri in autobus o in treno se questi passeggeri portano con sé dati personali memorizzati su supporti dati, ad esempio. È irrilevante se i dati personali in questione siano effettivamente noti a una persona o meno, motivo per cui è incluso anche il trattamento mediante programmi informatici. Il trattamento di dati personali in termini puramente mentali non è un trattamento ai sensi dell'art. 5 lett. d. Di conseguenza, le informazioni che sono presenti solo nella memoria di una persona non sono coperte dal diritto di accesso ai sensi della legge sulla protezione dei dati.

5 A volte, la delimitazione del concetto di trattamento o l'assegnazione di trattamenti di dati a determinate persone crea difficoltà, come dimostra il caso relativo alla conservazione di documenti deciso da un tribunale tedesco: a seguito di una procedura di insolvenza, una società immobiliare è diventata proprietaria di un immobile ospedaliero dismesso, in cui si trovavano cartelle cliniche. La proprietaria si oppose all'ordine delle autorità di conservare i documenti in un luogo particolarmente protetto. Il tribunale ha infine stabilito che non vi era alcun trattamento da parte della proprietaria, in quanto non aveva conservato lei stessa i documenti e non li aveva trattati in altro modo. Naturalmente, ciò non ha stabilito se un altro ente non abbia trattato o fatto trattare i dati in qualità di responsabile o incaricato del trattamento.

6 Recentemente, si pongono anche domande sulla portata del concetto di trattamento in relazione ai sistemi di IA. Il fatto che il trattamento delle informazioni - nella misura in cui sono personali - mediante sistemi di IA costituisca un trattamento è una conseguenza dell'ampio concetto di trattamento e della struttura tecnologicamente neutra della LPD. Al contrario, la delimitazione delle diverse operazioni di trattamento, come quelle che si verificano quando i sistemi di IA sono utilizzati in modo collaborativo, può essere meno chiara nei singoli casi. Questa delimitazione è rilevante perché ha un impatto su chi è responsabile del rispetto della legge sulla protezione dei dati (in particolare la salvaguardia dei diritti delle persone interessate) e di eventuali violazioni durante il trattamento. Il regolamento UE sull'intelligenza artificiale distingue tra i diversi ruoli degli attori, tra cui i fornitori e gli operatori di sistemi di IA, per definire i loro obblighi. Tali distinzioni non sono ancora state stabilite nella legislazione sulla protezione dei dati. Tuttavia, sarebbe ovvio distinguere anche in questo caso tra la creazione di un sistema di IA (cioè l'addestramento che ne deriva, nella misura in cui sono coinvolti dati personali) e il suo utilizzo.

III. Forme di trattamento nominate

7 L'elenco delle forme di trattamento nominate è a titolo esemplificativo e i termini si sovrappongono in parte. Solo ad alcune delle forme di trattamento nominate sono associate istruzioni specifiche, come ad esempio l'acquisizione, la divulgazione e la distruzione dei dati. Per il resto, i principi di trattamento previsti dalla legge sulla protezione dei dati devono essere rispettati per qualsiasi trattamento. Se un'attività non può essere attribuita a una forma di trattamento designata, è comunque possibile che si tratti di una forma di trattamento non designata (cfr. capitolo I). Le forme di trattamento designate sono quindi meno centrali per l'applicazione della LPD.

A. Acquisizione

8 Si ha acquisizione di dati quando l'ente che li acquisisce ne viene volontariamente a conoscenza o ne giustifica il possesso. Non si è in presenza di una raccolta se i dati vengono forniti dalla persona interessata stessa o da terzi senza richiesta e il destinatario dei dati non intende elaborarli (ad esempio, quando si riceve un'e-mail errata, si ascolta una conversazione, ecc. Al contrario, si è in presenza di una raccolta di dati personali quando l'ufficio in questione intende raccogliere dati in generale e accetta che ciò comporti anche dati personali. Ai sensi dell'art. 6 cpv. 3 LPD, la raccolta di dati può avvenire solo per uno scopo specifico e riconoscibile per la persona interessata e comporta l'obbligo di informazione ai sensi dell'art. 19 LPD. Esempi tipici di atti di acquisizione sono la raccolta di dati da altre fonti, la registrazione o la verbalizzazione di informazioni. È irrilevante se i dati siano protetti o liberamente disponibili. Pertanto, anche una ricerca mirata su Internet può rappresentare un'acquisizione di dati personali e portare all'applicabilità della LPD. Non è necessaria un'effettiva conoscenza del contenuto dei dati, ma è sufficiente che i dati entrino per la prima volta nella sfera di disponibilità di un responsabile. Pertanto, anche le forme automatizzate di raccolta dei dati, come il cosiddetto data scraping, sono considerate acquisizione ai sensi della LPD. I principi di cui sopra si applicano anche in relazione ai sistemi di IA generativa: Se i dati personali vengono raccolti involontariamente, di norma non si è in presenza di una raccolta, e lo stesso vale se i dati personali esistenti vengono semplicemente modificati (ad esempio generando o elaborando un testo). Se, invece, i sistemi di IA generativa vengono utilizzati per ottenere informazioni aggiuntive su una persona o per inventarne di nuove, dal punto di vista della protezione dei dati si è regolarmente in presenza di una raccolta di dati.

B. Memorizzazione

9 Il termine “memorizzazione” è stato introdotto per avvicinarsi alla formulazione delle pertinenti fonti giuridiche europee, in particolare l'art. 4 n. 2 DSGVO. Secondo l'art. 4 n. 2 DSGVO, per archiviazione si intende la conservazione di dati in forma fisica su un supporto dati (disco rigido, server, chiavetta USB, ecc.) allo scopo di poterli elaborare ulteriormente in un secondo momento. A seconda dello scopo, anche la conservazione di informazioni in sistemi di IA può essere considerata archiviazione (vedi sopra n. 6).

10 L'OPDa fa riferimento al concetto di archiviazione in relazione ai requisiti di sicurezza dei dati (art. 3 cpv. 2 lett. b ed e OPDa) e all'obbligo di registrazione (art. 4 cpv. 2 e 3 OPDa).

C. Conservazione

11 La conservazione può essere descritta come l'attività attraverso la quale i dati sono mantenuti disponibili nel contesto di elaborazione. A differenza dell'archiviazione (vedi sotto n. 15), i dati conservati possono quindi essere ancora utilizzati. La conservazione è espressamente soggetta alla LPD come forma di trattamento, poiché anche in questa fase di elaborazione sono ancora possibili violazioni della personalità, ad esempio a causa di carenze nella protezione dei dati. La conservazione è trattata nell'art. 12 cpv. 2 lett. e LPD, secondo il quale il periodo di conservazione deve essere indicato nel registro delle elaborazioni, nonché nell'ambito del diritto di accesso ai sensi dell'art. 25 cpv. 2 lett. d LPD.

D. Utilizzo

12 Per utilizzo dei dati si intende qualsiasi attività volta a sfruttare il contenuto informativo dei dati (compresa la presa di conoscenza dei dati). L'utilizzo dei dati è menzionato nell'art. 5 lett. f LPD (profilazione), nell'art. 21 OPD (requisiti tecnici per l'attuazione della consegna dei dati) e nell'art. 4 cpv. 5 OPD (registrazione). Tuttavia, la LPD o l'OPDa non prevedono istruzioni specifiche per l'utilizzo dei dati.

E. Modifica

13 La modifica dei dati può essere descritta come un'“attività che modifica (ristruttura nel contenuto) il contenuto informativo dei dati personali”. La LPD non prevede istruzioni particolari per l'azione, a parte il rispetto dei principi di elaborazione, o conseguenze giuridiche; la modifica dei dati è menzionata nell'art. 3 cpv. 3 lett. a OPDa (controllo dell'inserimento) e nell'art. 4 cpv. 2 e 3 OPDa (registrazione).

F. Divulgazione

14 La comunicazione dei dati, trattandosi di una forma di trattamento particolarmente delicata, è oggetto di una regolamentazione separata nell'OK-CN, art. 5 lett. e LPD. [Commento in corso di pubblicazione]

G. Archiviazione

15 L'archiviazione consiste nel mantenere disponibili i dati indipendentemente dal contesto di trattamento. A differenza della conservazione (vedi sopra n. 11), l'archiviazione comporta il prelievo dei dati dal contesto di trattamento precedente. Ne consegue che l'intensità dell'impatto sulla personalità delle persone interessate è tipicamente ridotta. Ciò si riflette nell'art. 32 cpv. 1 lett. b e nell'art. 41 cpv. 5 LPD, che limitano i diritti degli interessati in caso di trattamento a fini di archiviazione. Inoltre, l'art. 38 LPD (regolamentazione speciale per gli organi federali relativa alla messa a disposizione di determinati dati personali per l'Archivio federale) fa riferimento a scopi di archiviazione o all'archiviazione.

H. Cancellazione o distruzione

16 Il termine “distruzione” implica che i dati vengono distrutti in modo irreversibile. In caso di archiviazione fisica dei dati su carta, la carta dovrebbe essere bruciata o triturata. Nel caso di dati archiviati elettronicamente, il supporto dati corrispondente dovrebbe essere reso inutilizzabile e tutte le copie dovrebbero essere trattate in modo tale che i dati non siano più leggibili.

17 Il termine «cancellazione» è tipicamente utilizzato per il trattamento elettronico dei dati e, di conseguenza, ha un'applicazione meno ampia: per la cancellazione è generalmente sufficiente utilizzare i comandi di cancellazione del rispettivo programma, in modo che i dati non siano più riconoscibili nell'ambito delle normali procedure del programma e possano essere recuperati solo con mezzi sproporzionati. In altre parole, i dati personali sono cancellati quando non è più possibile stabilire un riferimento personale. Un'anonimizzazione efficace è quindi equivalente alla cancellazione o rappresenta un metodo di cancellazione dei dati personali. Parallelamente al concetto di dati personali, deve essere applicato il cosiddetto approccio relativo, il che significa che il punto di vista delle persone o delle entità che hanno accesso ai dati è determinante. Ne consegue però anche che, in singoli casi, può essere difficile valutare se i dati personali siano stati effettivamente cancellati, poiché dopo l'esecuzione degli ordini di cancellazione i dati rimangono nei sistemi e possono essere ripristinati in determinate circostanze. In questi casi, ci si chiede se il ripristino dei dati o l'accesso agli stessi richieda uno sforzo sproporzionato. Ciò può essere valutato solo caso per caso, a seconda delle circostanze tecniche, ma anche dell'interesse che terzi potrebbero avere nel ripristinare il riferimento personale.

18 La distinzione chiaramente stabilita nei materiali legislativi tra i termini cancellazione e distruzione non è applicata in modo coerente nella LPD. Ad esempio, l'art. 6 cpv. 4 LPD richiede che i dati siano «distrutti o resi anonimi non appena non sono più necessari per lo scopo del trattamento» – sarebbe corretto menzionare anche la cancellazione. Anche se la legge non utilizza i termini in modo coerente, per chiarezza è necessario assicurarsi che i termini cancellazione e distruzione non vengano scambiati accidentalmente nella redazione dei contratti, ad esempio nell'ambito dei contratti di elaborazione degli ordini. In particolare, occorre evitare che, invece di un obbligo di cancellazione, venga concordata per errore la distruzione dei dati, poiché in caso di trattamento elettronico dei dati la distruzione potrebbe essere difficile da attuare o indesiderata (vedi sopra n. 16).

Bibliografia

Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023 (zit. SHK DSG, Bearbeiter/-in).

Blechta Gabor/Vasella David, Basler Kommentar Datenschutzgesetz Öffentlichkeitsgesetz, 4. Aufl, Basel 2024 (zit. BSK DSG, Bearbeiter-in).

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988, abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/en, besucht am 30.6.2023 (zit. Botschaft 1988).

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 694, abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 30.6.2023 (zit. Botschaft 2017).

Freund Bernhard, Anmerkung zu OVG Hamburg: Datenlagerung ist keine Datenverarbeitung, Zeitschrift für Datenschutz 2021, S. 283-284 (zit. Freund, ZD 2021).

Griesinger Marcel, Schweizerisches Datenschutzgesetz: Datenschutz-Compliance für Unternehmen beim Einsatz von KI-Anwendungen, CB 2024, S. 485 f. (zit. Griesinger, CB 2004, S. 485).

Kühling Jürgen/Buchner Benedikt, Kommentar Datenschutz-Grundverordnung/BDSG, 4. Aufl, München 2024 (zit. Kühling/Buchner, Bearbeiter-in).

Rosenthal David, Löschen und doch nicht löschen, Zeitschrift für Datenrecht und Informationssicherheit 2019, S. 190-197 (zit. Rosenthal, digma 2019).

Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter vom 16.11.2020 (zit. Rosenthal, Jusletter 2020).

Rosenthal David, Datenschutz beim Einsatz generativer künstlicher Intelligenz, in: Jusletter vom 6.11.2023 (zit. Rosenthal, Jusletter 6.11.2023).

Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. Rosenthal/Jöhri).

Taeger Jürgen/Gabel Detlev, DSGVO – BDSG – TTDSG, 4. Aufl., Bremen 2022 (zit. Taeger/Gabel, Bearbeiter-in).

Wolff Heinrich Amadeus/Brink Stefan/v. Ungern-Sternberg Antje, BeckOK Datenschutzrecht, 44. Edition, Stand: 1.11.2024 (zit. BeckOK Datenschutzrecht, Bearbeiter-in).