In breve

Le disposizioni dell'art. 6 cpv. 3 LPD (limitazione delle finalità e trasparenza), dell'art. 6 cpv. 4 LPD (limitazione temporale del trattamento dei dati) e dell'art. 6 cpv. 5 LPD (esattezza) fanno parte dei cosiddetti principi di trattamento, i principi materiali più importanti della legge sulla protezione dei dati. Sono essenziali per la configurazione concreta del trattamento dei dati.

Una violazione dei principi di trattamento costituisce una violazione dei diritti della personalità delle persone interessate. Tuttavia, la violazione della personalità può essere giustificata da un consenso, da un interesse privato o pubblico preponderante o dalla legge nel caso di responsabili del trattamento dei dati privati. Questa differenza sostanziale rispetto al DSGVO dell'UE, in base al quale ogni trattamento dei dati richiede una base giuridica concreta, è stata mantenuta anche nella nuova LPD.

Una violazione dei principi di trattamento qui trattati non è soggetta a sanzioni pecuniarie ai sensi della LPD, a differenza di quanto previsto dal DSGVO dell'UE, ma può avere conseguenze di vasta portata, soprattutto alla luce dei poteri ampliati del Commissario federale per la protezione dei dati (IFPDT) con la nuova LPD. Quest'ultimo può ordinare che il trattamento dei dati sia modificato, interrotto o addirittura interrotto in tutto o in parte e che i dati personali siano distrutti in tutto o in parte. Inoltre, si dovrebbe tener conto delle possibili rivendicazioni legali (di diritto civile) delle persone interessate e, in particolare, delle conseguenze di una perdita di fiducia e di un danno alla reputazione.

I. Considerazioni generali

A. Osservazioni preliminari

1 Le disposizioni dell'art. 6 cpv. 3 LPD (limitazione delle finalità e trasparenza), dell'art. 6 cpv. 4 LPD (limitazione temporale del trattamento dei dati) e dell'art. 6 cpv. 5 LPD (esattezza) fanno parte, insieme all'art. 6 cpv. 1 LPD (liceità), all'art. 6 cpv. 2 (proporzionalità e buona fede) e art. 8 LPD (sicurezza dei dati) sono i cosiddetti principi di trattamento, i principi materiali più importanti della protezione dei dati e le idee guida della legge. Gli articoli 6 cpv. 6 e cpv. 7 LPD (consenso) non sono principi di trattamento, ma spiegano semplicemente i requisiti del consenso.

2 I principi di trattamento della LPD si applicano sia ai responsabili del trattamento dei dati privati che agli organi federali. Una violazione dei principi di trattamento costituisce una violazione della personalità. Tuttavia, nel caso dei responsabili del trattamento dei dati privati, non tutte le violazioni della personalità sono illegali. Piuttosto, possono essere giustificate dal consenso della persona interessata, da un interesse privato o pubblico preponderante o dalla legge (art. 31 cpv. 1 LPD). Questa differenza sostanziale rispetto al DSGVO dell'UE, in base al quale ogni trattamento dei dati richiede una giustificazione (divieto con riserva di autorizzazione), è stata mantenuta nel corso della revisione della LPD. Secondo la legge svizzera sulla protezione dei dati, i responsabili del trattamento dei dati privati continueranno quindi a richiedere una base giuridica solo in caso di violazione della personalità. Per il trattamento dei dati da parte delle autorità federali, a differenza del trattamento da parte di privati, anche secondo la legge svizzera sulla protezione dei dati è necessaria una base giuridica (divieto con riserva di autorizzazione). Anche se e nella misura in cui tale base giuridica esiste, si applicano in linea di principio anche i principi di trattamento. Essi costituiscono norme di comportamento direttamente applicabili, la cui violazione può essere perseguita legalmente dalla persona interessata. Se e in che misura le autorità federali sono esentate in via eccezionale dal rispetto dei principi di trattamento deve essere determinato sulla base della legge.

3 I principi del trattamento dei dati si applicano all'intero ciclo di vita del trattamento dei dati, indipendentemente dai mezzi e dalle procedure utilizzati, e sono quindi neutrali dal punto di vista tecnologico, cioè senza riferimento ad applicazioni tecniche o commerciali concrete.

B. Contesto e scopo della norma

4 Il legislatore svizzero ha sempre sottolineato che la legge svizzera sulla protezione dei dati non ha lo scopo di impedire o limitare le possibilità di sviluppo nel campo delle tecnologie dell'informazione. Piuttosto, in Svizzera si dovrebbe sviluppare una politica dei dati coerente e orientata al futuro. In questo contesto, l'IFPDT ha espressamente affermato che, anche con la nuova legge sulla protezione dei dati, i rischi potenzialmente elevati di trattamento non costituiscono un argomento decisivo contro i progetti di trasformazione digitale. Tuttavia, devono essere rispettate alcune linee guida. Oltre agli altri principi di trattamento, questi includono il principio della limitazione delle finalità (art. 6 cpv. 3 LPD), qui trattato, le disposizioni sulla durata del trattamento dei dati (art. 6 cpv. 4 LPD) e i requisiti di correttezza dei dati (art. 6 cpv. 5 LPD). Proprio alla luce del rapido e dinamico sviluppo della tecnologia dell'informazione, il rispetto di questi principi di elaborazione dovrebbe impedire un trattamento eccessivo, improprio o inesatto dei dati.

C. Destinatario degli obblighi

5 Gli obblighi derivanti dai principi di trattamento riguardano in primo luogo il responsabile del trattamento (art. 5 lett. j LPD). L'incaricato del trattamento tratta i dati personali solo su incarico del responsabile (art. 5 lett. k LPD) e può basarsi sugli stessi motivi di giustificazione del responsabile (art. 9 cpv. 4 LPD).

6 Il responsabile del trattamento non è espressamente indicato come destinatario dei principi di trattamento di cui all'art. 6 LPD, a differenza del principio di trattamento (sanzionabile) della sicurezza dei dati (art. 8 LPD, art. 61 lett. c LPD) e di altri obblighi della LPD, ad esempio l'art. 12 cpv. 1 LPD, art. 17 cpv. 2 LPD e nel capitolo 3 della LPD, che esplicitamente attribuiscono responsabilità al responsabile e/o all'incaricato del trattamento.

D. Conseguenze giuridiche ed economiche di una violazione

7 Le disposizioni dell'art. 6 cpv. 3 LPD (limitazione delle finalità e trasparenza), dell'art. 6 cpv. 4 LPD (limitazione temporale del trattamento dei dati) e dell'art. 6 cpv. 5 LPD (esattezza) non sono elencate nel catalogo esaustivo dei reati (art. 60 segg. LPD). Una violazione di questi principi di trattamento non è di per sé punibile ai sensi della LPD, anche se non è giustificata. Nonostante la revisione completa delle disposizioni penali, nel corso della revisione della LPD non è stato modificato nulla. Tuttavia, sussiste il rischio di punibilità in caso di violazione di altri obblighi correlati a questi principi di trattamento, ad esempio l'obbligo di informazione, art. 19, 21 in combinato disposto con l'art. 60 cpv. 1 lett. b LPD. Possono essere presi in considerazione anche reati al di fuori della LPD.

8 Di notevole importanza sono gli ulteriori poteri dell'IFPDT derivanti dalla nuova legge sulla protezione dei dati, che in caso di violazione delle norme sulla protezione dei dati possono portare, tra l'altro, a un divieto di attività di trattamento o a un'ordinanza di distruzione dei dati. A questo proposito, l'IFPDT ha già annunciato nella sua relazione di attività 2022/2023 che intensificherà la sua attività di vigilanza e aumenterà il numero di indagini.

9 Inoltre, una violazione può far sorgere diritti legali ai sensi della LPD (in particolare ai sensi degli artt. 32 e 41 LPD) e diritti di natura civile per violazione della personalità (art. 32 cpv. 2 LPD).

10 A prescindere dalle potenziali conseguenze giuridiche di una violazione dei principi di trattamento, nella pratica occorre considerare soprattutto la possibile perdita di fiducia e il danno alla reputazione che accompagnano una violazione dei principi di trattamento e che possono avere un impatto negativo a lungo termine sullo sviluppo dell'attività.

E. Storia dell'origine dei singoli principi di trattamento

1. Principio della limitazione delle finalità e della trasparenza, art. 6 cpv. 3 LPD

11 L'art. 6 cpv. 3 LPD combina i principi della finalità e della riconoscibilità, che nella aDSG erano contenuti in due paragrafi separati (art. 4 cpv. 3 aDSG e art. 4 cpv. 4 aDSG). La nuova formulazione dovrebbe avvicinarsi maggiormente alla formulazione dell'art. 5 cpv. 4 lett. b della Convenzione 108 plus, in quanto i dati personali possono essere trattati solo per uno scopo “specifico” e “riconoscibile” per le persone interessate. Un'altra novità è la formulazione secondo cui i dati possono essere trattati solo in modo «compatibile» con tale scopo. La disposizione si avvicina quindi terminologicamente all'art. 5 cpv. 1 lett. b DSGVO. Tuttavia, in termini di contenuto, ciò non comporta modifiche sostanziali rispetto all'aDSG.

2. Limitazione temporale del trattamento dei dati, art. 6 cpv. 4 LPD

12 Con l'art. 6 cpv. 4 LPD è stato introdotto esplicitamente l'obbligo di distruggere o anonimizzare i dati personali non appena non sono più necessari per lo scopo del trattamento. Ciò è conforme ai requisiti della Convenzione 108 plus, nonché all'art. 4 cpv. 1 lett. e della Direttiva (UE) 2016/680 e all'art. 5 cpv. 1 lett. e DSGVO («limitazione della conservazione»). Anche questo obbligo non è nuovo. Derivava già in precedenza dal principio generale di proporzionalità (art. 4 cpv. 2 aDSG, art. 6 cpv. 2 LPD). Con l'inserimento esplicito nella legge, il legislatore ha voluto sottolineare la particolare importanza della limitazione temporale del trattamento dei dati personali, che si impone alla luce dello sviluppo tecnologico e delle possibilità di archiviazione quasi illimitate.

3. Principio di esattezza, art. 6 cpv. 5 LPD

13 Mentre finora il principio di esattezza dei dati era evidenziato in un articolo a sé stante (art. 5 aLPD), ora è stato integrato come cpv. 5 nell'art. 6 LPD, al fine di riunire i principi più importanti della protezione dei dati in un unico articolo. Questo schema si ispira all'art. 5 della Convenzione 108 plus, all'art. 4 della direttiva (UE) 2016/680 e all'art. 5 del DSGVO. Il diritto di rettifica, finora contenuto nell'art. 5 cpv. 2 aDSG, è ora disciplinato dall'art. 32 LPD.

II. Oggetto delle disposizioni

A. Principio della limitazione delle finalità e della trasparenza, art. 6 cpv. 3 LPD

1. Requisiti

14 Secondo il principio della limitazione delle finalità e della trasparenza, i dati personali possono essere raccolti solo per una finalità determinata e riconoscibile per la persona interessata. Possono essere trattati solo in modo compatibile con tale finalità, art. 6 cpv. 3 LPD.

15 Secondo la nuova formulazione della legge, l'identità dello scopo non è più esplicitamente richiesta. Il trattamento deve solo essere (costantemente) compatibile con lo scopo iniziale. L'ulteriore trattamento per altri scopi è consentito solo se non è inaspettato e non può essere considerato inappropriato o discutibile.

16 Il principio della limitazione delle finalità era già stato relativizzato dal Tribunale federale prima dell'entrata in vigore della nuova LPD, con sentenza del 18 marzo 2021, in un caso riguardante la divulgazione di dati personali da parte di un organo federale, e aveva stabilito che non si può richiedere l'identità assoluta delle finalità, poiché altrimenti l'assistenza amministrativa prevista dall'art. 19 cpv. 1 aDSG sarebbe troppo limitata. In ogni caso, lo scopo dell'assistenza amministrativa deve essere almeno compatibile con lo scopo della raccolta iniziale dei dati personali. Il Tribunale federale aveva già ritenuto sufficiente la “compatibilità” del trattamento con lo scopo iniziale ai sensi dell'aDSG.

17 L'ulteriore condizione di riconoscibilità deve essere soddisfatta sia per quanto riguarda la raccolta dei dati personali che per quanto riguarda lo scopo del loro trattamento. Può essere considerata soddisfatta se la raccolta dei dati e lo scopo del loro trattamento sono chiaramente evidenti dalle circostanze o se il trattamento è previsto dalla legge. Questa possibilità esiste ancora, anche se i termini «evidenti dalle circostanze» e «o previsto dalla legge» dell'art. 4 cpv. 3 aDSG non sono stati ripresi nel testo dell'art. 6 cpv. 3 LPD.

18 I requisiti di riconoscibilità devono essere determinati caso per caso, tenendo conto dei principi di proporzionalità e di buona fede, art. 6 cpv. 2 LPD. Finalità di trattamento vaghe, non definite o imprecise non sono in linea di principio sufficienti, sebbene tale caratteristica debba essere valutata nuovamente in base alle circostanze e si debba trovare un equilibrio tra gli interessi delle persone interessate e quelli del responsabile o dell'incaricato del trattamento e della società. Nel caso di «Google Street View», ad esempio, il Tribunale federale ha stabilito che il principio della finalità e della trasparenza non è soddisfatto se i veicoli di Google, sui quali sono installate le telecamere, sono visibili ai passanti e ai residenti. Lo scopo di questi veicoli, che percorrono e fotografano sistematicamente strade (ecc.) e pubblicano le immagini su Internet senza il consenso delle persone interessate, non è immediatamente riconoscibile, anche se Google Street View gode di un alto grado di notorietà tra la popolazione svizzera.

19 Il requisito della riconoscibilità è strettamente legato all'obbligo di informazione ai sensi dell'art. 19 e segg. LPD. Tuttavia, non deve essere confuso con esso. Mentre il requisito della riconoscibilità è un principio di elaborazione, la cui violazione può eventualmente essere giustificata (art. 31 LPD), non è così per la violazione dell'obbligo di informazione. Piuttosto, la violazione dell'obbligo di informazione è punibile ai sensi dell'art. 60 cpv. 1 lett. b LPD.

2. Esempi

20 Il trattamento successivo di indirizzi per l'invio di materiale pubblicitario viola il principio della finalità e della trasparenza se gli indirizzi sono stati originariamente raccolti in un contesto completamente diverso, ad esempio nell'ambito di una campagna politica. È inoltre illegale l'analisi dei dati personali in relazione alle abitudini di consumo (per scopi diversi dalla lotta contro la frode) sulla base di pagamenti effettuati con carta di credito o carta cliente senza il consenso della persona interessata. Anche l'invio di pubblicità via e-mail non richiesta a indirizzi sconosciuti e raccolti in modo indiscriminato su Internet o l'acquisizione da parte di un'azienda privata di indirizzi IP di titolari di connessione che offrono copie pirata da scaricare costituisce una violazione del principio di limitazione delle finalità e di trasparenza.

21 È invece consentito dal punto di vista della protezione dei dati l'utilizzo di un indirizzo a fini pubblicitari se la persona interessata ha fornito il proprio indirizzo per ricevere una carta cliente o per un ordine (online o meno) nell'ambito di una finalità inizialmente riconoscibile.

22 Inoltre, l'invio di newsletter pubblicitarie deve soddisfare i requisiti della legge contro la concorrenza sleale, in particolare l'art. 3 cpv. 1 lett. o LCSl («articolo spam»). La violazione di tali requisiti può comportare sanzioni penali. Inoltre, quando si inviano newsletter all'estero, è necessario rispettare il rispettivo diritto nazionale e le consuetudini locali, che possono comportare requisiti ancora più severi.

23 Il trattamento dei dati «a titolo precauzionale», cioè senza scopo, viola sia il principio di proporzionalità che il principio di finalità e trasparenza ed è quindi illegale. Tuttavia, in Svizzera è ancora consentita la memorizzazione e la conservazione senza motivo di dati marginali delle telecomunicazioni. È consentita, almeno per un certo periodo di tempo, anche la conservazione da parte della polizia delle registrazioni della sorveglianza di luoghi pubblici, in cui i dati vengono raccolti ed elaborati per eventuali indagini penali. Il Tribunale federale ha invece considerato in modo diverso la questione dell'uso (eccessivo) dei contatori dell'acqua radio. In questo caso mancava uno scopo per la memorizzazione di determinati dati e la necessità della loro trasmissione.

24 Nel caso di trasmissione di dati a terzi, occorre considerare in particolare se tale divulgazione rientra ancora nello scopo originario. Ciò vale anche per lo scambio di dati all'interno di società del gruppo. In mancanza di un privilegio di gruppo completo, anche le società dello stesso gruppo sono considerate terze parti, a meno che non elaborino i dati solo come responsabili del trattamento. La distinzione tra responsabile del trattamento e titolare (congiunto) del trattamento è spesso difficile nella pratica. Di conseguenza, è fondamentale impostare la configurazione in modo coerente e renderla trasparente. Ad esempio, nel settore delle risorse umane, si raccomanda di chiarire il contesto del gruppo già nel contratto di lavoro. Quando si trasmettono dati a terzi, è inoltre necessario tenere conto del fatto che il principio della limitazione delle finalità deve essere rispettato anche (ma non solo) durante l'ulteriore trattamento dei dati da parte del destinatario.

25 Le applicazioni di big data come il data warehousing e il data mining presentano sfide particolari in termini di finalità e trasparenza, poiché la natura stessa delle analisi dei big data implica che il loro scopo concreto si manifesti solo quando i dati vengono combinati sulla base delle nuove conoscenze acquisite.

26 I big data sono anche la base più importante per l'intelligenza artificiale (IA), che si trova quindi in una situazione di tensione con il principio di finalità e trasparenza. L'ammissibilità di tali applicazioni deve essere valutata caso per caso. Spesso, quando si sviluppano sistemi di IA e si inseriscono dati di addestramento, lo scopo dell'elaborazione successiva non può ancora essere definito, ad esempio se l'algoritmo può svolgere una varietà di compiti. Inoltre, vengono solitamente utilizzati dati di addestramento che sono stati originariamente raccolti per scopi completamente diversi (ad esempio, se come dati di addestramento vengono utilizzati dati disponibili gratuitamente su Internet). Pertanto, spesso è dubbio se il loro trattamento sia ancora “compatibile” con lo scopo originario. Particolare importanza sarà data a un'analisi differenziata dei diversi trattamenti dei dati nel ciclo di vita dell'IA (sviluppo, inserimento di dati di addestramento, utilizzo del risultato del sistema di IA “output”, ecc.) e ai motivi di giustificazione del consenso, dell'adempimento del contratto e dell'interesse legittimo. Secondo la comunicazione dell'IFPDT, i produttori, i fornitori e gli utenti di sistemi di IA devono inoltre rendere trasparenti le finalità, il funzionamento e le fonti di dati dei trattamenti basati sull'IA. L'autorità di controllo francese CNIL fornisce esempi concreti di finalità secondo il DSGVO da parte degli sviluppatori di sistemi di IA:

Esempi di finalità considerate esplicite e specificate:

• Sviluppo di un modello linguistico di grandi dimensioni (LLM) in grado di rispondere a domande, generare testo in base al contesto (e-mail, lettere, relazioni, compreso il codice informatico), eseguire traduzioni, sintesi e correzioni di testo, eseguire la classificazione del testo, l'analisi dei sentimenti, ecc.;

• Sviluppo di un modello di riconoscimento vocale in grado di identificare un parlante, la sua lingua, età, sesso, ecc.;

• Sviluppo di un modello di visione artificiale in grado di rilevare diversi oggetti come veicoli (auto, camion, scooter, ecc.), pedoni, arredo urbano (cassonetti, panchine pubbliche, pensiline per biciclette, ecc.), segnali stradali, semafori tricolore, segnali stradali, ecc.

• Al contrario, lo scopo non sarebbe considerato sufficientemente specificato se si riferisse solo al tipo di sistema di IA, senza menzionare le funzionalità e le capacità tecnicamente realizzabili.

Esempi di finalità che non sono considerate esplicite e specificate:

• Sviluppo di un modello di IA generativo (le possibili capacità non sono definite);

• Sviluppo e miglioramento di un sistema di IA (non sono definiti né il tipo di modello né le possibili capacità);

• Sviluppo di un modello per identificare l'età di una persona (il tipo non è definito).

Per motivi di trasparenza, la CNIL raccomanda inoltre che in questo caso il responsabile del trattamento sia in grado di determinare in anticipo le capacità prevedibili del sistema di IA che presentano i rischi maggiori, che lo scopo si riferisca alle funzionalità che sono escluse a priori e che lo scopo stabilisca il più possibile le condizioni per l'utilizzo del sistema di IA.

Anche per quanto riguarda i requisiti di trasparenza, occorre inoltre tenere conto della legge europea sull'IA, che può essere applicabile anche alle imprese svizzere.

27 Il potenziale del riutilizzo dei dati per scopi di utilizzo secondario è stato riconosciuto anche dal legislatore svizzero. Il 12 giugno 2023, il Consiglio nazionale ha approvato, in qualità di seconda Camera, una mozione per la creazione di una legge quadro per l'utilizzo secondario dei dati. In questo modo il Consiglio federale è incaricato di elaborare una legge che risolva il conflitto tra protezione dei dati e utilizzo dei dati e crei spazi di dati affidabili.

28 A livello europeo, inoltre, devono essere presi in considerazione in particolare il Data Governance Act, il Data Act, la regolamentazione relativa allo European Health Data Space e, come già accennato, l'AI Act. Questi possono essere applicati anche alle aziende svizzere.

3. Raccomandazioni per l'attuazione

29 Le finalità del trattamento dei dati devono essere definite, rispettate in modo permanente e rese trasparenti. In pratica, quest'ultimo aspetto può essere raggiunto, a seconda dei casi, almeno in parte attraverso le condizioni generali di contratto o attraverso comunicazioni/avvertenze individuali, nell'ambito della dichiarazione sulla protezione dei dati che è comunque necessaria. È importante notare che finalità di trattamento vaghe, non definite o imprecise non sono sufficienti. Il grado di precisione richiesto deve essere determinato caso per caso, tenendo conto dei principi di proporzionalità e di buona fede. In caso di trasmissione a terzi, si raccomanda spesso di stipulare un accordo contrattuale che preveda il trattamento dei dati solo per scopi specifici e legittimi, compreso l'obbligo di indennizzo. Almeno, tuttavia, dovrebbe essere fatto riferimento alla limitazione delle finalità.

B. Limitazione temporale del trattamento dei dati, art. 6 cpv. 4 LPD

1. Requisiti

30 Secondo il principio della limitazione temporale del trattamento dei dati, i dati personali devono essere distrutti o resi anonimi non appena non sono più necessari ai fini del trattamento.

31 Tuttavia, un ulteriore trattamento dei dati può essere giustificato, art. 31 cpv. 1 LPD. Ciò avviene in particolare quando devono essere soddisfatti obblighi di conservazione, ad esempio l'obbligo di conservazione per dieci anni di libri contabili, documenti contabili, relazioni commerciali e di revisione o obblighi di conservazione ai sensi del diritto tributario. Un interesse legittimo alla conservazione può anche derivare da potenziali controversie legali future e da norme sulla prescrizione.

32 Distruggere significa, in senso stretto, distruggere o rimuovere i dati in modo irreversibile. Per i dati cartacei, questi devono essere distrutti o bruciati e bisogna assicurarsi che terzi non abbiano accesso alle “reliquie”. Per i dati elettronici, non è rilevante solo il modo in cui sono memorizzati, ma anche come sono stati ottenuti. Se sono stati trasmessi tramite chiavetta USB, la chiavetta USB deve essere resa inutilizzabile e tutte le copie devono essere trattate in modo tale che i dati non possano più essere resi leggibili. Se sono stati trasmessi via e-mail, anche eventuali copie temporanee di questa e-mail devono essere distrutte. Inoltre, la distruzione è soggetta a requisiti elevati. Secondo il messaggio relativo alla LPD, i normali comandi di cancellazione o la semplice riformattazione non costituiscono una distruzione ai sensi della legge sulla protezione dei dati.

33 La distruzione richiede quindi più della cancellazione. Tuttavia, nella letteratura si ritiene che l'art. 6 cpv. 4 LPD sia un errore editoriale e che il principio della limitazione temporale possa essere soddisfatto anche con la cancellazione. Ciò è giustificato da un'imprudente ripresa del termine “distruzione” dalla precedente disposizione dell'art. 5 aDSG. Inoltre, i termini “distruzione” e “cancellazione” sono usati come sinonimi nella LPD. Secondo il nostro parere, ciò è certamente accettabile se il termine di cancellazione, che peraltro non è definito né nella LPD né nella DSGVO, è inteso nel senso che non è più possibile stabilire un riferimento personale, perché allora la LPD non è (più) applicabile per definizione in mancanza di dati personali, art. 5 lett. a. LPD. Secondo l'approccio basato sul rischio della LPD, ciò si verifica già quando il riferimento alla persona può essere stabilito solo con un dispendio elevato che nessun interessato sarebbe disposto a sostenere. Se ciò possa essere affermato anche nel contesto dell'archiviazione dei dati, ad esempio, deve essere verificato caso per caso. Anche misure organizzative come i blocchi di accesso e il principio del doppio controllo possono essere considerate misure sufficienti.

34 Il principio della limitazione temporale può essere soddisfatto anche attraverso l'anonimizzazione. Per anonimizzazione si intende qualsiasi misura che abbia l'effetto di rendere impossibile o estremamente difficile l'identificazione delle persone interessate. L'anonimizzazione non deve essere confusa con la pseudonimizzazione. La pseudonimizzazione consiste nello scambiare il nome e altri elementi identificativi con un altro segno distintivo, ad esempio un segnaposto, allo scopo di escludere o rendere difficile l'identificazione della persona interessata. In altre parole, la pseudonimizzazione consente di ripristinare il riferimento personale con la chiave corrispondente. Questo vale però solo per chi possiede la chiave. Questo approccio relativo fa sì che anche per chi non possiede la chiave e per chi è praticamente impossibile ottenerla non siano disponibili dati personali. Questo approccio relativo ha un impatto significativo sulla pratica, perché esclude dal campo di applicazione della legge sulla protezione dei dati chi non possiede una chiave.

2. Raccomandazioni per l'attuazione

35 L'obbligo di distruggere o rendere anonimi i dati può rappresentare una grande sfida per i responsabili. In una prima fase, si raccomanda di ottenere una panoramica dei consueti trattamenti dei dati nei rispettivi settori di attività. Successivamente, dovrebbero essere stabiliti i rispettivi periodi di conservazione e cancellazione. In pratica, ciò avviene in elenchi chiari, che fungono anche da linee guida interne (“linee guida sulla conservazione”/“data retention policy”).

36 Per l'implementazione è utile se il software utilizzato per l'elaborazione dei dati offre già le funzionalità appropriate per la cancellazione automatica, prestando attenzione, da un lato, che queste soddisfino i requisiti di legge in materia di protezione dei dati dal punto di vista tecnico e, dall'altro, che l'obbligo di cancellazione sia sufficientemente coperto contrattualmente nell'ambito dei contratti di elaborazione dei dati dell'ordine con il fornitore IT/fornitore di cloud.

C. Principio di correttezza, art. 6 cpv. 5 LPD

1. Correttezza dei dati

a. Requisiti

37 I dati personali sono corretti se riflettono in modo adeguato le circostanze e i fatti relativi alla persona interessata. Devono essere corretti nel loro contesto generale, tenendo conto delle finalità e delle modalità del trattamento. Ne consegue che il concetto di correttezza nel diritto della protezione dei dati non deve essere inteso in senso assoluto, ma che il caso concreto di applicazione assume un'importanza significativa.

38 Anche i dati personali corretti possono essere inesatti nel contesto generale e tenendo conto dello scopo del trattamento ai sensi della legge sulla protezione dei dati, ad esempio se una persona è registrata come «perseguita» in una raccolta di dati sulla solvibilità, anche se ha pagato le sue fatture correttamente e in tempo per anni e c'è stata una sola esecuzione perché la fattura è stata consegnata a un indirizzo sbagliato. D'altro canto, le dichiarazioni false non devono necessariamente essere inesatte ai sensi della legge sulla protezione dei dati. Secondo la sentenza del Tribunale federale, ad esempio, alcune informazioni non possono essere considerate false se l'insieme delle informazioni riflette correttamente la situazione reale. Inoltre, le informazioni possono essere state del tutto corrette in termini di “istantanee”, anche se successivamente diventano inesatte, ad esempio se in una sentenza viene ancora riportato un nome che nel frattempo è stato modificato. In questo caso, è fondamentale lo scopo per cui i dati vengono ancora utilizzati. In questo contesto, il principio di accuratezza deve essere considerato in modo differenziato, in particolare per quanto riguarda le attività di archivi, musei, biblioteche e altre istituzioni della memoria. Poiché il compito di tali istituzioni è quello di raccogliere, catalogare, conservare e trasmettere documenti di ogni tipo, questi non devono essere modificati, perché ciò sarebbe contrario allo scopo dell'archiviazione. Gli archivi consentono, con l'aiuto dei documenti, di ottenere un'istantanea del passato, la cui «correttezza» si riferisce esclusivamente al fatto che i documenti in questione sono riprodotti fedelmente, indipendentemente dal fatto che ciò sia ancora considerato accurato da una prospettiva attuale. Allo stesso modo, la pretesa di correttezza nei controlli di polizia non si riferisce alle informazioni oggettivamente verificabili sulle persone interessate, ma all'autenticità del verbale. Ciò che conta è se i dati disponibili riflettono l'osservazione soggettiva della persona autorizzata al momento della valutazione.

39 La correttezza dei dati può in linea di principio riferirsi solo a fatti concreti che possono essere accertati oggettivamente. I giudizi di valore sono soggettivi e difficilmente classificabili come corretti o errati. È difficile distinguere quando i giudizi di valore e i fatti concreti sono mescolati. Ciò ha acquisito un'importanza attuale soprattutto in relazione alle “fake news”. Ad esempio, può essere corretta o errata l'indicazione che un giudizio di valore è stato espresso da una determinata persona o documentato in un fascicolo. Può essere altrettanto corretta o errata anche l'indicazione di chi è oggetto del giudizio di valore. Anche l'ulteriore utilizzo del fatto del giudizio di valore è soggetto ai principi generali di elaborazione.

40 Il rispetto del principio di correttezza dei dati pone sfide particolari per quanto riguarda i sistemi di IA. Soprattutto nel caso dei sistemi di IA in cui i dati di addestramento provengono da fonti accessibili al pubblico, in particolare da Internet, spesso non è possibile verificare efficacemente la correttezza dei dati. Anche i risultati dell'elaborazione dei dati da parte dei sistemi di IA («output») possono essere inesatti. Da un lato, non si può presumere che la «correttezza statistica» sia sempre sufficiente per l'elaborazione dei dati in relazione ai sistemi di IA. D'altro canto, tuttavia, non si possono imporre requisiti più elevati per il trattamento dei dati in relazione ai sistemi di IA rispetto ad altri trattamenti di dati, poiché la LPD è fondamentalmente neutrale dal punto di vista tecnologico. Ciò significa che la questione dell'esattezza dei dati deve essere valutata anche nel caso di trattamenti di dati nell'ambito di sistemi di IA caso per caso e tenendo conto del contesto generale. Particolarmente rilevanti sono lo scopo del trattamento dei dati e l'importanza dell'output, nonché le aspettative degli utenti. In questo caso, nella pratica, sarà fondamentale informare adeguatamente gli utenti. Il requisito associato alla verifica dell'output dovrebbe riflettersi anche nelle «AI Guidelines» delle aziende.

41 In generale, il trattamento di dati inesatti non costituisce di per sé una violazione della personalità. Solo se le informazioni inesatte danno luogo a una violazione della personalità a causa del loro trattamento, devono essere corrette o distrutte. Anche il principio di correttezza non è assoluto. Una violazione può essere giustificata per i responsabili del trattamento dei dati privati ai sensi dell'art. 31 LPD. Per gli organi federali, il diritto alla cancellazione può essere limitato (cfr. art. 41 cpv. 3-5 LPD).

b. Esempi

42 In caso di trattamento di informazioni sospette relative alla commissione di possibili reati, l'art. 6 cpv. 5 LPD non si oppone a tale trattamento fintanto che la rilevanza dell'informazione corrispondente è nota e il sospetto non appare come una conoscenza certa. Le e-mail archiviate che, in base alle conoscenze attuali, contengono informazioni errate, sono comunque corrette ai sensi della legge sulla protezione dei dati, a meno che non vengano elaborate partendo dal presupposto che siano ancora attuali. Allo stesso modo, la conservazione della corrispondenza commerciale è consentita nell'ambito dell'obbligo di conservazione, anche se contiene informazioni errate. Se in un database di indirizzi di un'associazione viene registrato un numero civico errato, ma il database di indirizzi non serve per la spedizione postale, ma solo per il controllo dell'effettivo dei membri, l'informazione non deve essere corretta. In ogni caso, anche in caso di tale trattamento dei dati, è necessario verificare il rispetto degli altri principi generali di trattamento, in particolare i principi di proporzionalità e di limitazione delle finalità.

2. Obbligo di accertamento, obbligo di rettifica e cancellazione

a. Requisiti

43 Secondo il principio di correttezza, chiunque tratti dati personali deve accertarne la correttezza (art. 6 cpv. 5 LPD). L'art. 6 cpv. 5 LPD stabilisce inoltre esplicitamente che devono essere adottate tutte le misure adeguate per correggere, cancellare o distruggere i dati inesatti. Questo obbligo completa l'obbligo di verifica, che altrimenti non avrebbe senso. La portata dell'obbligo di verifica dipende dal singolo caso. In particolare, occorre considerare lo scopo e la portata del trattamento, nonché il tipo di dati trattati, la misura in cui i dati vengono comunicati e la loro sensibilità. In questo contesto deve essere esercitato anche l'obbligo di verifica da parte del responsabile del trattamento dei dati. Maggiore è il rischio di violazione della personalità, maggiori sono i requisiti da porre all'obbligo di verifica. L'obbligo di verifica può quindi anche portare a un obbligo di aggiornamento. Tuttavia, non comporta un obbligo generale di controllo regolare senza motivo.

44 L'attuazione delle misure di verifica può anche essere delegata a terzi, ad esempio alla fonte dei dati o a un incaricato del trattamento. In caso di violazione dell'obbligo di verifica, sussiste per legge una violazione dei principi di trattamento e quindi una violazione della personalità, art. 30 cpv. 2 lett. a LPD. Secondo il senso e lo scopo della legge, una tale violazione dei doveri può tuttavia dare luogo a richieste di rettifica e di risarcimento danni solo se i dati sono effettivamente inesatti. Le misure da adottare dipendono, tra l'altro, dal tipo, dalla portata e dallo scopo del trattamento dei dati, dalla sensibilità dei dati e dal rischio per i diritti della personalità della persona interessata. Anche questo deve essere determinato caso per caso. Inoltre, gli obblighi di legge possono ostacolare le misure di rettifica, cancellazione o aggiornamento.

b. Esempi

45 Se il trattamento dei dati a fini di marketing si basa su informazioni fornite dalla persona interessata, il responsabile non deve accertarne l'esattezza. Allo stesso modo, non vi è alcun obbligo generale di controllare costantemente gli indirizzi obsoleti in una scheda clienti a fini di marketing. Tuttavia, se un assicurato comunica all'assicuratore un cambiamento di indirizzo, da cui si evince anche il cambiamento dello stato civile, l'assicuratore deve aggiornare lo stato civile, se questo ha un impatto sull'erogazione della prestazione assicurativa. D'altro canto, le informazioni fornite una volta in una polizza assicurativa non devono essere ulteriormente verificate, a meno che non abbiano un impatto sul premio o sulla prestazione assicurativa. Per quanto riguarda le agenzie di informazioni commerciali, l'entità dei dati, la presenza di profili di personalità e consensi e il numero di query effettuate devono essere presi in considerazione in particolare per quanto riguarda la verifica dei set di dati. Se un'assicurazione desidera utilizzare l'intelligenza artificiale (IA) per creare un profilo dei clienti che stipulano un'assicurazione e utilizzare questo profilo come base per le sue decisioni nel calcolo del rischio assicurativo, non solo i dati dei clienti esistenti provenienti da fonti di dati con informazioni corrette e aggiornate dovrebbero essere utilizzati come dati di addestramento, ma anche un pool di clienti rappresentativo della popolazione dovrebbe essere utilizzato per evitare distorsioni.

3. Raccomandazioni per l'attuazione

46 I requisiti per le misure richieste ai sensi dell'art. 6 cpv. 5 LPD dovrebbero essere proporzionati ai rischi e alle conseguenze dell'uso concreto. Esempi di misure da adottare, che rappresentano anche aspetti centrali nell'ambito della progettazione tecnica secondo i principi di Privacy by Design e Privacy by Default, possono essere:

• verifica dell'affidabilità della fonte dei dati

• determinazione del grado di accuratezza in base alle circostanze generali del singolo caso

• eventuali nuove verifiche dei dati in base alle circostanze generali e alle diverse fasi del trattamento dei dati

• riduzione dei falsi positivi / falsi negativi, ad esempio per ridurre gli errori nel processo decisionale automatizzato e nell'uso dell'intelligenza artificiale

• aggiornamento dei dati, se necessario per lo scopo del trattamento

• Implementazione di soluzioni self-service, in cui le persone interessate possono verificare e, se necessario, correggere i propri dati

• Introduzione di controlli di plausibilità e di qualità

• Implementazione di controlli automatici dell'inserimento dei dati, ad esempio per evitare l'inserimento errato dei codici postali

• Menu a tendina invece di inserimento di testo libero

47 Dal punto di vista dei responsabili, si raccomanda inoltre di imporre contrattualmente alle persone interessate l'obbligo di fornire dati corretti e aggiornati e di escludere, per quanto possibile, qualsiasi responsabilità in merito. In linea di principio, per le fonti di dati esterne dovrebbe essere preso in considerazione anche un obbligo di indennizzo. A seconda del caso, ciò può essere preso in considerazione nell'ambito di un concetto globale che comprenda l'assegnazione di dati e responsabilità, nonché altri diritti e doveri correlati.

Bibliografia

Basler Kommentar zum Datenschutzgesetz und Öffentlichkeitsgesetz, 3. Auflage, Basel 2014 (zit. BSK DSG-Bearbeiter:in [3. Auflage]) sowie 4. Auflage, Basel 2024 (zit. BSK DSG-Bearbeiter:in).

Basler Kommentar zum Geldwäschereigesetz, Basel 2021 (zit. BSK GWG-Bearbeiter:in).

Fischer Joel A./Bornhauser Jonas, Elektronische Board Portale: Hosted in Switzerland als neuer rechtlicher Qualitätsstandard, GesKR 2016, S. 425-448.

Gola/Heckmann, Datenschutzgrundverordnung/Bundesdatenschutzgesetz, 3. Auflage 2022 (zit. Gola/Heckmann DS-GVO/BDSG-Bearbeiter:in).

Hartmann Damian, Text and Data Mining and Copyright in Switzerland and the European Union, sic! 2023, S. 157-167.

Lobsiger Adrian, Hohes Risiko – kein Killerargument gegen Vorhaben der digitalen Transformation, SJZ 119 (2023), S. 311-319.

Orell Füssli Kommentar zum Schweizerischen Datenschutzgesetz mit weiteren Erlassen, 2023 (zit. OFK DSG- Bearbeiter:in).

Rosenthal David, Controller oder Processor: Die datenschutzrechtliche Gretchenfrage, Jusletter vom 17.6.2019.

Rosenthal David, Löschen und doch nicht löschen, digma 2019, S. 190-197.

Rosenthal David/Jöhri Yvonne, Handkommentar zum Datenschutzgesetz sowie weiteren, ausgewählten Bestimmungen, Zürich 2008.

Rossnagel Alexander, Pseudonymisierung personenbezogener Daten, ZD 2018, 243 ff.; Stämpflis Handkommentar zum Datenschutzgesetz, 2. Auflage (zit. SHK DSG- Bearbeiter:in).

Specht/Mantz, Handbuch Europäisches und deutsches Datenschutzrecht, 2019 (zit. Specht/Mantz DSGVO/BDSG-Bearbeiter:in).

I Materiali

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff. (zit. Botschaft DSG 1988).

Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) und zum Bundesbeschluss betreffend den Beitritt der Schweiz zum Zusatzprotokoll vom 8.11.2001 zum Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten bezüglich Aufsichtsbehörden und grenzüberschreitende Datenübermittlung vom 19.2.2003 BBl 2002 2101 ff. (zit. Botschaft DSG 2003).

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.12.2017, BBl 2017 6941 ff. (zit. Botschaft DSG 2017).