-
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 68 Cost.
- Art. 60 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 166 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 10a LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 54 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
COSTITUZIONE FEDERALE
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE SVIZZERO
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
In breve
La LPD completamente rivista entrerà in vigore il 1° settembre 2023 senza un periodo di transizione generale. Tuttavia, l'art. 69 stabilisce che alcuni articoli selezionati non sono applicabili a determinate operazioni di trattamento dei dati. La norma stabilisce che ciò si applica, tuttavia, solo se queste operazioni di trattamento dei dati sono iniziate prima dell'entrata in vigore della LPD totalmente rivista e non è stato modificato lo scopo del trattamento né sono stati ottenuti nuovi dati dopo la sua entrata in vigore. In questo senso, l'articolo esclude le misure preventive degli articoli 7, 22 e 23 in alcuni casi. In questo modo, il legislatore ha voluto evitare la possibilità che i responsabili possano essere chiamati a rispondere retroattivamente, sostenendo così sforzi e costi aggiuntivi.
I. Aspetti generali
A. Panoramica
1La LPD completamente rivista non contiene periodi transitori che dovrebbero essere presi in considerazione dai responsabili del trattamento dei dati o da altre persone interessate. In linea di principio si applica a partire dal 1° settembre 2023. Tuttavia, il 10° capitolo, le disposizioni finali, contiene alcune disposizioni transitorie rilevanti. Queste sono contenute in particolare negli articoli da 69 a 72. L'articolo 69 prevede specificamente che gli articoli 7, 22 e 23 non si applichino al trattamento dei dati in determinati casi. Ciò si applica ai trattamenti iniziati prima dell'entrata in vigore della LPD rivista, il 1° settembre 2023, e la cui finalità di trattamento non è stata modificata né sono stati aggiunti nuovi dati al processo di trattamento dei dati dopo la sua entrata in vigore.
B. Storia delle origini
2Con l'entrata in vigore della LPD completamente rivista il 1° settembre 2023, le norme si applicano in tutta la Svizzera e sono quindi applicabili, a condizione che siano soddisfatti gli artt. 2 e 3 cpv. 1. Tuttavia, come di consueto in altre leggi, sono previste eccezioni a questo principio o almeno disposizioni transitorie volte a semplificare la transizione tra il vecchio e il nuovo catalogo di norme. Quest'ultimo è stato previsto dall'art. 64 della LPD. Quest'ultimo era previsto dall'art. 64 del RGPD, che prevedeva tre eccezioni, ossia l'effetto retroattivo del diritto all'informazione dell'interessato in caso di trattamento dei dati già completato (cpv. 1), un periodo transitorio per l'adeguamento del trattamento dei dati in corso (cpv. 2) e la non applicabilità di alcune disposizioni in caso di trattamento dei dati in corso immutato (cpv. 3). Nel cpv. 4 è stato stabilito il principio della validità delle disposizioni al momento dell'entrata in vigore. Alla fine, tuttavia, tutti i cpv. sono stati eliminati, ad eccezione del citato cpv. 3, che si trova ora nell'attuale art. 69.
C. Scopo della norma
3L'art. 69 garantisce che l'applicazione retroattiva degli artt. 7, 22 e 23 sia impedita se sono soddisfatte determinate condizioni. In questo modo, il legislatore facilita la transizione tra la LPD esistente e quella totalmente rivista, risparmiando alle parti responsabili sforzi e costi aggiuntivi. Inoltre, l'articolo garantisce che non vengano imposti obblighi successivi ai responsabili del trattamento. Si evita così un problematico effetto retroattivo della legge in singoli casi. Allo stesso tempo, l'importanza di questo articolo è limitata, soprattutto perché la LPD in generale non prevede periodi di transizione rilevanti.
II. Contenuto
A. Requisiti
4In termini di contenuto, l'art. 69 fa riferimento agli artt. 7, 22 e 23. Mentre l'art. 7 sancisce i principi della privacy by design (protezione dei dati attraverso la tecnologia) e della privacy by default (protezione dei dati attraverso le impostazioni predefinite) (cfr. in dettaglio le clausole OC sull'art. 7 LPD), gli artt. 22 e 23 si riferiscono alla valutazione d'impatto sulla protezione dei dati (DIA) (cfr. su questo OK Harasgama/Haux sull'art. 22 LPD). L'art. 22 stabilisce la base per l'esecuzione della DIA e l'art. 23 stabilisce alcuni requisiti per la consultazione dell'IFPDT se nel corso di una DIA viene riconosciuto un rischio elevato per la personalità o i diritti fondamentali della persona interessata nonostante le misure di attenuazione del rischio adottate.
5Questi obblighi devono sempre essere presi in considerazione prima del trattamento dei dati e non devono essere imposti al responsabile del trattamento in modo retroattivo attraverso questa disposizione transitoria. Ai fini del divieto di retroattività, la norma presuppone che il trattamento dei dati sia iniziato prima dell'entrata in vigore. Deve quindi essere iniziato prima del 1° settembre 2023 e non deve essere né pianificato (secondo la definizione dell'articolo 7, paragrafo 1, LPD) né già completato. Mentre la demarcazione tra la mera pianificazione e l'effettiva attuazione del trattamento dei dati può essere determinata nei singoli casi, si pone la questione di come distinguere l'attuazione dalla cessazione del trattamento dei dati. Va tenuto presente che la cessazione può avvenire solo quando lo scopo del trattamento è stato raggiunto. Equivalente è la situazione in cui la finalità non è di fatto più raggiungibile.
6Come secondo prerequisito, la finalità del trattamento precedentemente definita deve rimanere invariata. Ciò significa che la finalità è stata sufficientemente determinata e specificata all'inizio del trattamento dei dati e continua a sussistere immutata al momento dell'entrata in vigore della LPD totalmente rivista (cfr. in dettaglio il commento all'art. 6 cpv. 3 LPD sulla determinazione della finalità del trattamento). In questo contesto, si pone la questione di cosa si applica se solo alcune finalità di trattamento vengono mantenute, mentre altre vengono abbandonate. Questo sarebbe il caso se, ad esempio, una banca dati con dati di pazienti provenienti da sperimentazioni cliniche venisse inizialmente elaborata per ulteriori sperimentazioni cliniche nello stesso settore di ricerca (finalità 1) e per l'addestramento di uno strumento di prognosi basato sull'intelligenza artificiale (IA) (finalità 2), e dopo l'entrata in vigore della LPD completamente rivista, l'elaborazione dei dati avvenisse solo per le sperimentazioni cliniche, cioè per la finalità 1. L'ipotesi che ciò rientri nella formulazione dell'art. 69 è supportata dal fatto che in ogni caso non vi è un ampliamento delle finalità del trattamento. Piuttosto, quelle esistenti vengono perseguite ulteriormente, anche se in forma ridotta.
7In terzo luogo, lo stock di dati del trattamento in questione deve continuare a esistere inalterato. Secondo la formulazione della legge, "non possono essere acquisiti nuovi dati". Il processo di "acquisizione" è "un atto attivo, mirato e deliberato di raccolta dei dati personali in questione". Il fattore decisivo è l'atto attivo e mirato. L'ottenimento passivo dei dati, invece, non è incluso. Altri autori giungono a una conclusione simile concentrandosi sulla natura pianificata del processo.
8 Tuttavia, non è chiaro come debba essere interpretata la frase "nessun nuovo dato". Un'interpretazione restrittiva porterebbe a una situazione in cui la disposizione transitoria non si applicherebbe a un processo di elaborazione costante dei dati con categorie di dati fisse, a condizione che vengano ottenuti dati aggiuntivi (punti) su altre persone con categorie di dati costanti. Ciò sarebbe indipendente dal modo in cui questi dati aggiuntivi (punti) influenzano il processo di trattamento o la finalità. Questa valutazione potrebbe essere giustificata dal fatto che lo stock di dati o la portata dei dati esistenti verrebbero modificati o aumentati. Ad esempio, uno strumento HR basato sull'intelligenza artificiale di un'azienda che elabora dati (punti) aggiuntivi dai nuovi candidati dopo il 1° settembre 2023. Lo stock di dati o l'ambito di questo stock verrebbero quindi modificati o aumentati, cosicché se gli altri requisiti dell'art. 69 sono soddisfatti, una valutazione d'impatto sulla protezione dei dati dovrebbe essere effettuata nuovamente in base a questa interpretazione restrittiva. Sebbene il messaggio suggerisca certamente una simile interpretazione, un'interpretazione così restrittiva non corrisponde al senso e allo scopo della disposizione. Infatti, ciò significherebbe che tutte le operazioni di trattamento dei dati in corso in cui è possibile che vengano ottenuti dati su altre persone dopo il 1° settembre 2023 non sarebbero coperte dalla disposizione. L'ambito di applicazione dell'articolo 69 sarebbe quindi trascurabilmente ridotto. Questa interpretazione restrittiva non viene seguita in questo caso. In questo contesto, sono possibili due interpretazioni: (1) l'art. 69 si applica solo se vengono acquisite nuove categorie di dati, ma non in caso di semplice modifica o ampliamento dell'ambito di applicazione delle stesse categorie o punti di dati. Questo sarebbe il caso, ad esempio, se un modulo online fornito per un concorso dopo il 1° settembre 2023 non raccogliesse più solo il nome, i dati di contatto e la risposta alla domanda del concorso, ma chiedesse ulteriori informazioni su interessi e hobby. Oppure: (2) l'art. 69 non è applicabile a nessun trattamento di dati se - secondo il Messaggio, interpretato in senso restrittivo - la quantità di dati o il volume di dati in sé viene aumentato o modificato, sebbene le categorie di dati acquisite rimangano invariate e non si possa escludere una conseguente modifica della finalità o del processo di trattamento.
9 Si discute anche se i dati già ottenuti in precedenza, ma aggiunti successivamente, escludano l'applicabilità dell'art. 69 LPD. Sulla base della formulazione, alcuni autori sostengono che il trattamento di questi dati rientra nell'eccezione, almeno nella misura in cui sono stati ottenuti per lo stesso scopo. Tuttavia, ciò è contraddetto dal fatto che l'ambiente del trattamento dei dati è così profondamente influenzato dalle innovazioni tecnologiche che l'eccezione dell'art. 69 LPD dovrebbe applicarsi solo in condizioni ristrette e dovrebbe quindi essere interpretata in modo restrittivo. Se nuovi dati vengono aggiunti al patrimonio di dati, difficilmente il patrimonio di dati può essere definito "immutato", cioè rimanere lo stesso, se questi dati sono già stati ottenuti nel contesto di un'altra finalità di trattamento dei dati. Tuttavia, sembra lecito chiedersi se la questione acquisterà importanza e contorni nell'applicazione pratica, soprattutto perché nel complesso si può ritenere che la rilevanza pratica di questo standard sia piuttosto bassa. Ciò è particolarmente vero in quanto il principio dell'art. 7 era già in parte in vigore prima dell'entrata in vigore degli artt. 4 e 7 dell'aDSG, e alcuni responsabili del trattamento erano obbligati a farlo anche a causa del DSGVO. Lo stesso vale per gli articoli 22 e 23 (si veda in dettaglio il commento di Harasgama/Haux sull'articolo 22 LPD).
B. Sfide
10 Con l'entrata in vigore della LPD completamente rivista, i responsabili del trattamento dei dati si trovano ad affrontare numerose sfide. Sebbene la formulazione dell'art. 69 LPD sia solo breve e rischi di cadere nel dimenticatoio, in questo contesto occorre dedicarle la necessaria attenzione. Mentre i trattamenti di dati avvenuti prima dell'entrata in vigore e che soddisfano gli altri requisiti rientreranno senza dubbio nell'esenzione, è sempre necessario richiedere una consulenza legale su questioni dettagliate e sull'applicazione di nuove tecnologie nei processi di trattamento dei dati che erano già stati pianificati e/o testati prima dell'entrata in vigore della LPD completamente rivista. In questo caso, è importante capire esattamente se i dati o lo scopo del trattamento rimangono effettivamente invariati o se sono state apportate o devono essere apportate delle modifiche. In tal caso, in caso di dubbio, si dovrebbe ritenere che la norma non sia applicabile.
Bibliografia
Dauag Apollo, Kommentierung zu Art. 69 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Zürich/Basel, 2023.
Rosenthal David, Das neue Datenschutzgesetz, Jusletter, 16. November 2020.
Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008 (zit. HK-DSG).
I Materiali
Botschaft vom 15. September 2017 zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz, BBl 2017 S. 6941 ff., abrufbar unter: https://fedlex.data.admin.ch/eli/fga/2017/2057, besucht am 5.6.2023.