-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
- In breve
- I. Aspetti generali
- II. Fatti oggettivi
- III. Reato soggettivo
- IV. Illegalità e colpevolezza
- Bibliografia
- I Materiali
In breve
La disposizione dell'art. 61 punisce (i) la violazione intenzionale dei requisiti durante l'esportazione dei dati, (ii) la violazione intenzionale dei requisiti durante il trasferimento del trattamento dei dati a un incaricato del trattamento e (iii) la mancata osservanza intenzionale dei requisiti minimi di sicurezza dei dati. Se viene commesso uno di questi reati, può essere comminata una multa fino a 250.000 franchi svizzeri. Nel caso del reato di inosservanza intenzionale dei requisiti minimi di sicurezza dei dati (art. 61 lett. c), sussistono fondati dubbi sulla sua giustiziabilità.
I. Aspetti generali
1 La disposizione dell'art. 61 è nuova. Il Consiglio federale ha giustificato l'introduzione di questa disposizione nel messaggio affermando che la legge sulla protezione dei dati, completamente rivista, prevedeva "nuovi obblighi elementari" che "non erano coperti dalle disposizioni penali esistenti". Si tratta di un reato di messa in pericolo astratto; il reato si perfeziona nel momento in cui viene commesso, pertanto la responsabilità penale non richiede che terzi non autorizzati siano a conoscenza dei dati personali in questione.
2 La disposizione penale dell'art. 61 è un reato di applicazione.
3 Lo scopo dell'art. 61 è quello di far rispettare gli obblighi dei responsabili del trattamento e degli incaricati del trattamento stabiliti dalla legge (art. 16 cpv. 1 e 2, in combinato disposto con l'art. 17; art. 9 cpv. 1 e 2; art. 8 cpv. 3) rendendone punibile la violazione. Secondo il messaggio, la punizione ha lo scopo ultimo di contribuire all'effettiva protezione della personalità delle persone interessate. L'art. 61 lett. a va letto anche nel contesto dell'obiettivo della revisione della LPD, come indicato dal Consiglio federale nel suo rapporto sulla valutazione della LPD del 9 dicembre 2011: la revisione dovrebbe affrontare l'aumento del trattamento dei dati, la dimensione sempre più internazionale del trattamento dei dati e la crescente difficoltà di continuare a poter controllare i dati una volta divulgati.
4 Il reato di cui all'art. 61 è un reato speciale: solo coloro che hanno la responsabilità di garantire l'osservanza degli obblighi di cui all'art. 61 possono essere considerati autori del reato, mentre nel caso delle persone giuridiche si tratta della loro direzione ai sensi dell'art. 29 CP. Per sua natura, la disposizione dell'art. 61 si rivolge quindi in primo luogo alle persone autorizzate a dare istruzioni, in quanto responsabili dell'osservanza dei doveri in questione. Chi non impedisce le violazioni da parte dei dipendenti subordinati o non ne annulla gli effetti può essere considerato un autore di reato (art. 6 cpv. 2 e 3 del Codice Penale in combinato disposto con l'art. 64 cpv. 1 della LPD).
5 Per quanto riguarda il reato di cui all'art. 61 lett. c, nel corso del processo legislativo è stato ripetutamente criticato in quanto troppo vago. Tuttavia, la richiesta di cancellazione non è stata accolta. Meyle/Morand/Vasella mettono giustamente in discussione la giustiziabilità dei "requisiti minimi di sicurezza dei dati" disciplinati nella LPD (cfr. infra, n. 17 e segg.).
II. Fatti oggettivi
6 L'art. 61 LPD elenca tre reati, il cui compimento è considerato una violazione della diligenza. La conseguenza di una violazione da parte di privati è una multa fino a 250.000 franchi svizzeri. In particolare, la violazione dei seguenti tre reati è perseguibile penalmente su richiesta: Violazione dei requisiti per l'esportazione dei dati (Art. 61 lett. a, di seguito n. 7 e segg.), violazione dei requisiti per il trasferimento del trattamento dei dati a un incaricato del trattamento (Art. 61 lett. b, di seguito n. 12 e segg.) e mancato rispetto dei requisiti minimi di sicurezza dei dati (Art. 61 lett. c, di seguito n. 15 e segg.).
A. Violazione dei requisiti per l'esportazione dei dati (Art. 61 lett. a)
1. Generale
7 In base al diritto previgente, chi non rispettava i requisiti di legge nell'ambito della divulgazione di dati a Stati che non disponevano di un'adeguata protezione giuridica dei dati rimaneva impunito. Ai sensi dell'art. 34 cpv. 2 lett. aDSG, era perseguibile solo chi si occupava della protezione sotto forma di contratto, ma ometteva deliberatamente di segnalarlo all'IFPDT ai sensi dell'art. 6 cpv. 3 aDSG o forniva deliberatamente informazioni false.
8 Ai sensi dell'art. 61 lett. a, è perseguibile chiunque esporti intenzionalmente dati in uno Stato che non dispone di un'adeguata protezione dei dati e non può né dimostrare un'adeguata garanzia di protezione dei dati né avvalersi di un'esenzione ai sensi dell'art. 17. Se il Consiglio federale non ha emesso una "decisione di adeguatezza" ai sensi dell'art. 16 cpv. 1, i dati personali possono essere comunicati allo Stato in questione solo alle condizioni di cui all'art. 16 cpv. 2, la cui maggiore rilevanza pratica è la stipula di clausole contrattuali standard ("clausole standard di protezione dei dati", lett. d).
9 Nell'ambito del DSGVO, con la Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021, la Commissione europea ha abrogato le precedenti clausole contrattuali standard con effetto dal 27 settembre 2021 e le ha sostituite con nuove clausole contrattuali standard. L'IFPDT ha riconosciuto queste nuove clausole contrattuali standard il 27 agosto 2021, con la riserva di adattarle e/o integrarle se necessario in casi specifici di applicazione. Tuttavia, chi comunica dati a uno Stato che non dispone di un'adeguata protezione giuridica dei dati non può accontentarsi di stipulare clausole contrattuali standard riconosciute. La formulazione dell'art. 16 cpv. 2 lett. d richiede piuttosto che queste clausole contrattuali standard garantiscano effettivamente una protezione dei dati "adeguata". Le nuove clausole contrattuali standard richiedono che le parti (i) garantiscano inoltre di poter rispettare le clausole contrattuali standard indipendentemente dal diritto nazionale dell'importatore e (ii) documentino la loro valutazione al riguardo. Deve quindi essere effettuata una cosiddetta valutazione d'impatto del trasferimento (TIA) e i dati possono essere trasferiti solo se la TIA è soddisfacente.
10 L'art. 10 cpv. 1 DPA specifica o relativizza che l'esportatore di dati deve adottare "misure ragionevoli" nel caso di divulgazione di dati mediante clausole contrattuali standard per garantire che l'importatore di dati si conformi alle clausole in questione. Ne consegue che (nel senso dell'approccio basato sul rischio) può essere accettato il rischio residuo che la legislazione locale dell'importatore comprometta il rispetto delle clausole contrattuali standard da parte dell'importatore, purché siano state adottate misure per ridurre adeguatamente tale rischio. Si veda il commento agli articoli 16 e 17.
2. Nessuna responsabilità penale dell'importatore
11 Chiunque (in qualità di esportatore) divulghi dati personali all'estero pur sapendo che il destinatario (importatore) dei dati non garantisce un'adeguata protezione dei dati nonostante il contratto, si espone al rischio di responsabilità penale ai sensi dell'art. 61 lett. a. Il rischio di responsabilità penale non si applica all'importatore. Al contrario, l'importatore che accetta i dati personali o li utilizza in violazione del contratto o della protezione dei dati non è soggetto al rischio di responsabilità penale - l'unico reato previsto dall'art. 61 lett. a è la divulgazione dei dati personali.
B. Violazione dei requisiti quando si trasferisce il trattamento dei dati a un incaricato del trattamento (art. 61 lett. b)
1. Generale
12 Ai sensi dell'art. 61 lett. b, chiunque ceda intenzionalmente il trattamento dei dati a un incaricato del trattamento senza che siano soddisfatti i requisiti di cui all'art. 9 cpv. 1 e 2 è perseguibile penalmente. Ai sensi dell'art. 9 cpv. 1, il trattamento dei dati personali può essere trasferito a un incaricato del trattamento per contratto o per legge se (a) i dati sono trattati nello stesso modo in cui il responsabile del trattamento sarebbe autorizzato a farlo lui stesso e (b) nessun obbligo legale o contrattuale di segretezza vieta il trasferimento. Ai sensi dell'art. 9, cpv. 2, il responsabile del trattamento deve in particolare assicurarsi "che l'incaricato del trattamento sia in grado di garantire la sicurezza dei dati". I fatti oggettivi di cui all'art. 61 lett. b sarebbero soddisfatti, ad esempio, se un'azienda, in qualità di responsabile del trattamento dei dati, utilizzasse un incaricato del trattamento dei dati (ad esempio un fornitore di servizi cloud) senza aver stipulato con quest'ultimo un contratto di trattamento dei dati giuridicamente sufficiente.
13 L'art. 7 DPA specifica questi requisiti per i trattamenti commissionati: il responsabile del trattamento deve approvare preventivamente l'incarico a elaboratori subappaltati in modo generale o specifico (art. 7 cpv. 1 DPA). Nel caso di un'autorizzazione generale, il responsabile del trattamento deve essere informato di qualsiasi cambiamento previsto per quanto riguarda il coinvolgimento o la sostituzione di altri terzi e il responsabile del trattamento può opporsi (art. 7 cpv. 2 DPA). Si veda il commento all'art. 9 per tutto ciò.
2. Nessuna responsabilità penale per l'incaricato del trattamento (o per le persone che agiscono per suo conto).
14 La violazione dell'art. 9 cpv. 3, ossia l'obbligo dell'incaricato di ottenere l'autorizzazione preventiva del responsabile del trattamento per i nuovi subincaricati, non è punibile. Anche in caso di violazione dell'art. 9 cpv. 1 o 2, secondo la formulazione dell'art. 61 lett. b, l'incaricato del trattamento (o le persone che agiscono per suo conto) non è perseguibile: solo il responsabile (o le persone che agiscono per suo conto) può essere punito. Lo stesso deve valere anche nel caso in cui l'incaricato del trattamento deleghi a sua volta il trattamento dei dati a un subincaricato: le norme che giustificano la punibilità devono essere interpretate in modo restrittivo.
C. Violazione dei requisiti minimi di sicurezza dei dati (art. 61 lett. c)
1. Generale
15 Ai sensi dell'art. 61 lett. c, è perseguibile chiunque non rispetti intenzionalmente le prescrizioni minime di sicurezza dei dati emanate dal Consiglio federale ai sensi dell'art. 8 cpv. 3. Si fa riferimento alla prima sezione ("Sicurezza dei dati", art. 1 e segg.) del primo capitolo della LPD.
16 La disposizione dell'art. 61 lett. c è un reato di messa in pericolo astratto concepito come norma generale (cfr. già sopra, n. 1); non è necessario che si sia verificata una "violazione dei dati". E viceversa, non tutte le "violazioni dei dati" comportano una responsabilità penale: se c'è una "violazione dei dati" ma i "requisiti minimi di sicurezza dei dati" sono stati rispettati, non c'è responsabilità penale.
2. Violazione dei principi dell'art. 1 LPD
17 La disposizione dell'art. 1 LPD contiene i principi che il responsabile del trattamento e l'incaricato del trattamento devono osservare nel determinare il livello di protezione adeguato e le misure idonee. Si tratta di linee guida generali e non di requisiti concreti (minimi) di sicurezza dei dati. Secondo la corretta opinione di Meyle/Morand/Vasella, questa disposizione molto generale riguardante la procedura del responsabile del trattamento nel determinare le misure di sicurezza non è giustiziabile - non è evidente quali "requisiti minimi" per la sicurezza dei dati ai sensi dell'art. 8(3) dovrebbero risultare dall'art. 1 DPA.
18 Se il responsabile del trattamento non si attiene ai principi dell'art. 1 LPD, ad esempio se non determina la necessità di protezione dei dati personali secondo i criteri previsti dal cpv. 1 o se non tiene conto dei criteri pertinenti nella valutazione del rischio come previsto dal cpv. 2 o se non rivede le sue misure "per l'intero periodo di trattamento" come previsto dal cpv. 5, ciò non indica che i dati non sono sicuri. 5, ciò non indica una violazione dei "requisiti minimi" per la sicurezza dei dati: da un lato, l'art. 1 LPD non definisce tali requisiti, ma contiene solo linee guida su come possono essere raggiunti, e dall'altro, un responsabile del trattamento può anche implementare misure efficaci per garantire un'adeguata sicurezza dei dati senza seguire rigorosamente l'art. 1 LPD.
3. Violazione degli obiettivi dell'art. 2 DPA
19 La disposizione dell'art. 2 LPD definisce gli obiettivi di protezione della sicurezza dei dati che il responsabile del trattamento e l'incaricato del trattamento devono raggiungere mediante misure tecniche e organizzative: Riservatezza (lett. a), Disponibilità (lett. b), Integrità (lett. c) e Tracciabilità (lett. d).
20 Questi obiettivi di protezione sono identici a quelli previsti dall'art. 6 cpv. 2 della Legge federale del 18 dicembre 2020 sulla sicurezza delle informazioni nella Confederazione (Legge sulla sicurezza delle informazioni). Come i principi di cui all'art. 1 LPD, anche gli obiettivi di cui all'art. 2 LPD sono molto generali (come si evince dal solo titolo "Obiettivi") e da essi non si possono ricavare "requisiti minimi" per la sicurezza dei dati ai sensi dell'art. 8 cpv. 3. Non è chiaro quali misure tecniche e organizzative concrete debbano essere attuate. Meyle/Morand/Vasella mettono giustamente in dubbio la giustiziabilità anche di questa disposizione.
4. Violazione della disposizione sulle misure tecniche e organizzative (art. 3 DPA)
21 La disposizione dell'art. 3 LPD contiene specifiche per le misure tecniche e organizzative e concretizza quindi la sicurezza dei dati. Tuttavia, essa non contiene alcun "requisito minimo" per la sicurezza dei dati ai sensi dell'art. 8 cpv. 3 (nemmeno); invece, l'art. 3 RPD si limita a concretizzare gli obiettivi di protezione contenuti nell'art. 2 RPD.
22 In un'interpretazione ampia, l'art. DPO potrebbe essere letto come "requisiti minimi", in quanto secondo questa disposizione gli obiettivi di protezione ai sensi dell'art. 2 DPO devono essere "garantiti". Tuttavia, una simile interpretazione significherebbe che ogni violazione di un obiettivo di protezione sarebbe la prova della mancanza di una misura adeguata. Ciò a sua volta non sarebbe compatibile con l'approccio basato sul rischio riconosciuto nel settore della sicurezza dei dati. A questo proposito, il termine "garantire" deve essere interpretato come "adoperarsi".
23 L'art. 3 LPD, insieme agli artt. 1 e 2 LPD, deve essere letto come una concretizzazione del concetto di sicurezza dei dati, senza che da esso si possano ricavare "requisiti minimi" per la sicurezza dei dati. Inoltre, il responsabile del trattamento e l'incaricato del trattamento non devono necessariamente tenere conto di tutti gli obiettivi di protezione ai sensi dell'art. 3 LPD per le loro misure tecniche e organizzative. Anche la giustiziabilità di questa disposizione è giustamente messa in discussione da Meyle/Morand/Vasella.
5. Omissione della registrazione ai sensi dell'art. 4 DPA
24 La disposizione dell'art. 4 LPD riprende il precedente art. 10 LPD. Lo scopo della registrazione è quello di garantire la limitazione degli scopi.
25 Di norma, la registrazione non è un "requisito minimo per la sicurezza dei dati" come indicato nell'art. 61 lett. c (anche se l'art. 4 LPD è elencato nella prima sezione della LPD, "Sicurezza dei dati") e l'omissione della registrazione non può essere punita a tale riguardo. La responsabilità penale sarebbe ipotizzabile in via eccezionale se l'autorità giudiziaria potesse dimostrare, in un caso specifico, che la registrazione come misura di tracciabilità era indirettamente finalizzata anche alla sicurezza dei dati e che l'imputato ne era consapevole, almeno a grandi linee.
6. Mancata elaborazione di un regolamento sul trattamento dei dati ai sensi dell'art. 5 f. LPD. LPD
26 Le disposizioni dell'art. 5 f. DPA riprendono i precedenti art. 11 LDP e art. 21 LDP. Nella relazione esplicativa sulla LPD, lo stesso Consiglio federale afferma che la creazione di norme sul trattamento dei dati riguarda la responsabilità, ossia non la sicurezza dei dati. Ciò non cambia il fatto che l'obbligo di redigere tali regolamenti sussiste solo in caso di aumento del rischio.
27 Un "requisito minimo per la sicurezza dei dati", come indicato nell'art. 61 lett. c, è la creazione di "norme sul trattamento" (anche se l'art. 5 f. FADP non lo menziona nella prima sezione "sicurezza dei dati"). Le norme sul trattamento dei dati sono elencate nella prima sezione "sicurezza dei dati" della LPD) e l'omissione di redigerle non può essere punita a questo riguardo.
7. Considerazione dei costi nella determinazione di un'adeguata sicurezza dei dati e di misure appropriate
28 Ai sensi dell'art. 1 cpv. 1 RGPD, per garantire un'adeguata sicurezza dei dati, il responsabile del trattamento e l'incaricato del trattamento devono determinare la necessità di protezione dei dati personali e stabilire "le misure tecniche e organizzative adeguate in considerazione del rischio". L'art. 1 cpv. 2 della FADP descrive i criteri per valutare la necessità di protezione dei dati personali e l'art. 1 cpv. 3 della FADP descrive i criteri per valutare il rischio per la personalità o i diritti fondamentali dell'interessato. Più alta è la necessità di protezione dei dati personali e/o più alto è il rischio menzionato, più severi sono i requisiti per le misure. Ai sensi dell'art. 1 cpv. 4 LADP, nel determinare le misure tecniche e organizzative si deve tenere conto anche dei "costi di attuazione".
29 Secondo il Consiglio federale, i costi di attuazione devono essere intesi in senso lato e comprendono non solo le risorse finanziarie necessarie, ma anche le risorse di personale e di tempo. I costi devono essere presi in considerazione già al momento di determinare quali misure sono "appropriate" e quali no. Meyle/Morand/Vasella sottolineano giustamente che l'opinione del Consiglio federale secondo cui i responsabili e gli incaricati del trattamento dei dati "non possono esimersi dall'obbligo di garantire un'adeguata sicurezza dei dati a causa dei costi eccessivi" renderebbe priva di senso la disposizione dell'art. 1, cpv. 4, della LPD: è richiesta "solo" una sicurezza "adeguata" e i costi devono essere inclusi come criterio per determinare l'adeguatezza.
30 I "requisiti minimi per la sicurezza dei dati" non vengono quindi violati (e non sono punibili) se il responsabile del trattamento o l'incaricato del trattamento tengono conto anche dei costi nel determinare l'adeguata sicurezza dei dati e le misure appropriate.
III. Reato soggettivo
31 Dal punto di vista soggettivo, il reato di cui all'art. 61 richiede il dolo, mentre è sufficiente il dolo eventuale. L'autore del reato agisce con dolo eventuale se, pur non sapendo con certezza che il suo comportamento violerà le disposizioni sull'esportazione dei dati (art. 16 cpv. 1 e 2; art. 17) o sul trasferimento del trattamento dei dati a un incaricato del trattamento (art. 9 cpv. 1 e 2) o se non rispetta i requisiti minimi per la sicurezza dei dati (art. 8 cpv. 3 in combinato disposto con gli artt. 1 e segg. della FADP), accetta o ammette di poter commettere una violazione.
32 Nel caso del reato di cui all'art. 61 lett. b, sussiste il dolo eventuale se l'autore del reato, nel trasferire il trattamento dei dati a un incaricato del trattamento, accetta almeno che l'incaricato del trattamento (i) tratti i dati in violazione della legge o (ii) non garantisca la sicurezza dei dati. Decisive per rispondere alla domanda se tale accettazione esista sono le circostanze in cui l'incaricato del trattamento dei dati in questione è stato "esaminato" e infine scelto. Le disposizioni dell'art. 9 sono molto aperte e formulate in modo vago (soprattutto rispetto alla disposizione parallela dell'art. 28 del DSGVO), il che in pratica dovrebbe rendere difficile per le autorità penali provare la condotta criminale nei singoli casi (a parte il fatto che per quanto riguarda la giustiziabilità della variante del reato di inosservanza intenzionale dei requisiti minimi di sicurezza dei dati, esistono comunque dubbi fondati, cfr. supra n. 17 e seguenti). D'altro canto, si ipotizzerebbe una mera negligenza (non punibile) se l'autore del reato, sulla base di una consulenza legale esterna (sulla quale non dovevano sorgere dubbi), ritenesse che un determinato contratto per il trattamento dei dati fosse giuridicamente sufficiente, ma questo si rivelasse insufficiente.
IV. Illegalità e colpevolezza
Cfr. OK-Gassmann sull'art. 60, n. 26 e segg.
Bibliografia
EDÖB, Die Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau gestützt auf anerkannte Standardvertragsklauseln und Musterverträge vom 27. August 2021, https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/datenschutz/Paper%20SCC_DE.pdf.download.pdf/Paper%20SCC_DE.pdf, besucht am 8.8.2023.
Meyle Hannes/Morand Anne-Sophie/Vasella David, DSV: keine Mindestanforderungen an die Datensicherheit, keine entsprechende Strafbarkeit, weitere Anmerkungen, https://datenrecht.ch/dsv-keine-mindestanforderungen-an-die-datensicherheit-keine-entsprechende-strafbarkeit-weitere-anmerkungen/, besucht am 8.8.2023.
Popp Peter/Berkemeier Anne, Kommentierung zu Art. 1 StGB, in: Niggli Marcel Alexander/Wiprächtiger Hans (Hrsg.), Basler Kommentar, Strafrecht (StGB/JStGB), 4. Aufl., Basel 2018.
Rosenthal David, Neue EU Standardvertragsklauseln für Datentransfers in unsichere Drittländer, https://www.rosenthal.ch/downloads/VISCHER-faq-scc.pdf, besucht am 8.8.2023.
Rosenthal David/Gubler Seraina, Die Strafbestimmungen des neuen DSG, SZW 1/2021, S. 52 ff.; Wohlers Wolfgang, Kommentierung zu Art. 61 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski, Dominika (Hrsg.), Stämpflis Handkommentar, Datenschutzgesetz, 2. Aufl., Bern 2023.
I Materiali
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.9.2017, BBl 2017 S. 6941 ff. (zit. Botschaft 2017), abrufbar unter https://www.admin.ch/opc/de/federal-gazette/2017/6941.pdf, besucht am 8.8.2023.
Erläuternder Bericht des Bundesamts für Justiz BJ zur Verordnung über den Datenschutz vom 31.8.2022, abrufbar unter https://www.bj.admin.ch/dam/bj/de/data/staat/gesetzgebung/datenschutzstaerkung/vdsg/erlaeuterungen-vo.pdf.download.pdf/erlaeuterungen-vo-d.pdf (zit. Erläuternder Bericht DSV), besucht am 8.8.2023.
Kommentar des Bundesamts für Justiz BJ zur Vollzugsverordnung zum Bundesgesetz über den Datenschutz vom 1.1.2008 (zit. Kommentar BJ zur VDSG), abrufbar unter https://www.edoeb.admin.ch/dam/edoeb/de/Dokumente/deredoeb/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf.download.pdf/kommentar_des_bundesamtsfuerjustizzurvollzugsverordnungvom14juni.pdf, besucht am 8.8.2023.