-
- Art. 3 Cost.
- Art. 5a Cost.
- Art. 6 Cost.
- Art. 10 Cost.
- Art. 13 Cost.
- Art. 16 Cost.
- Art. 17 Cost.
- Art. 20 Cost.
- Art. 22 Cost.
- Art. 26 Cost.
- Art. 29a Cost.
- Art. 30 Cost.
- Art. 31 Cost.
- Art. 32 Cost.
- Art. 42 Cost.
- Art. 43 Cost.
- Art. 43a Cost.
- Art. 45 Cost.
- Art. 55 Cost.
- Art. 56 Cost.
- Art. 60 Cost.
- Art. 68 Cost.
- Art. 74 Cost.
- Art. 75b Cost.
- Art. 77 Cost.
- Art. 81 Cost.
- Art. 96 cpv. 1 Cost.
- Art. 96 cpv. 2 lett. a Cost.
- Art. 110 Cost.
- Art. 117a Cost.
- Art. 118 Cost.
- Art. 123a Cost.
- Art. 123b Cost.
- Art. 136 Cost.
- Art. 130 Cost.
- Art. 164 Cost.
- Art. 166 Cost.
- Art. 170 Cost.
- Art. 178 Cost.
- Art. 189 Cost.
- Art. 191 Cost.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 633 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Disposizioni transitorie per la revisione del diritto azionario del 19 giugno 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 PRA
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b LDP
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Art. 1 AIMP
- Art. 1a AIMP
- Art. 3 par. 1 e 2 AIMP
- Art. 8 AIMP
- Art. 8a AIMP
- Art. 11b AIMP
- Art. 16 AIMP
- Art. 17 AIMP
- Art. 17a AIMP
- Art. 32 AIMP
- Art. 35 AIMP
- Art. 47 AIMP
- Art. 54 AIMP
- Art. 55a AIMP
- Art. 67 AIMP
- Art. 67a AIMP
- Art. 74 AIMP
- Art. 74a AIMP
- Art. 80 AIMP
- Art. 80a AIMP
- Art. 80b AIMP
- Art. 80h AIMP
- Art. 63 AIMP
- Art. 80c AIMP
- Art. 80d AIMP
- Art. 80k AIMP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 lett. d LPD
- Art. 5 lett. c LPD
- Art. 5 lit. f und g LPD
- Art. 6 cpv. 3-5 LPD
- Art. 6 cpv. 6 e 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 18 LPD
- Art. 19 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 cpv. 2 lit. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 57 LPD
- Art. 58 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 3 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 4 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 5 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 6 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 7 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 8 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 9 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 11 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 12 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 16 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 18 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 25 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 27 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 28 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 29 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 32 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 33 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
- Art. 34 CCC (Convenzione sulla cibercriminalità [Cybercrime Convention])
-
- Art. 2 cpv. 1 LRD
- Art. 2 cpv. 2 LRD
- Art. 2 cpv. 3 LRD
- Art. 2a cpv. 1-2 and 4-5 LRD
- Art. 3 LRD
- Art. 7 LRD
- Art. 7a LRD
- Art. 8 LRD
- Art. 8a LRD
- Art. 14 LRD
- Art. 11 LRD
- Art. 15 LRD
- Art. 20 LRD
- Art. 23 LRD
- Art. 24 LRD
- Art. 24a LRD
- Art. 25 LRD
- Art. 26 LRD
- Art. 26a LRD
- Art. 27 LRD
- Art. 28 LRD
- Art. 29 LRD
- Art. 29a LRD
- Art. 29b LRD
- Art. 30 LRD
- Art. 31 LRD
- Art. 31a LRD
- Art. 32 LRD
- Art. 33 LRD
- Art. 34 LRD
- Art. 38 LRD
COSTITUZIONE FEDERALE
ORDINANZA RELATIVA AI DISPOSITIVI MEDICI
CODICE DELLE OBBLIGAZIONI
LEGGE FEDERALE SUL DIRITTO INTERNAZIONALE PRIVATO
CONVENZIONE DI LUGANO
CODICE DI PROCEDURA PENALE
CODICE DI PROCEDURA CIVILE
LEGGE FEDERALE SUI DIRITTI POLITICI
CODICE CIVILE
LEGGE FEDERALE SUI CARTELLI E ALTRE LIMITAZIONI DELLA CONCORRENZA
LEGGE FEDERALE SULL’ASSISTENZA INTERNAZIONALE IN MATERIA PENALE
LEGGE FEDERALE SULLA PROTEZIONE DEI DATI
LEGGE FEDERALE SULLA ESECUZIONE E SUL FALLIMENTO
CODICE PENALE
CYBERCRIME CONVENTION
ORDINANZA SUL REGISTRO DI COMMERCIO
LEGGE SUL RICICLAGGIO DI DENARO
LEGGE SULLA TRASPARENZA
LEGGE FEDERALE SUL TRASFERIMENTO INTERNAZIONALE DEI BENI CULTURALI
LEGGE SUGLI AGENTI TERAPEUTICI
- I. Introduzione
- II. Differenze nell'applicazione
- III. Tipi di dati interessati
- IV. Principi di trattamento ai sensi della LPD
- Bibliografia
- I materiali
I. Introduzione
1 La Legge sulla protezione dei dati (LPD) e la Legge sul riciclaggio di denaro (LRD) si basano su principi guida diversi. Da un lato vi è la LRD, che mira a impedire l’uso improprio della piazza finanziaria per attività criminali (art. 1 LRD). Per raggiungere questo scopo è necessario un trattamento, ovvero la raccolta e la gestione di dati personali, di notevole entità. Il diritto sulla protezione dei dati persegue invece un altro obiettivo: mira alla tutela della personalità e dei diritti fondamentali delle persone i cui dati vengono trattati da soggetti privati o da autorità federali e garantisce loro il controllo sui propri dati personali. Il riferimento generale alla LPD contenuto nell’art. 33 LRD è di natura puramente dichiarativa. Anche in sua assenza, la LPD si applicherebbe senza limitazioni. Di conseguenza, tutte le informazioni raccolte dagli istituti finanziari nell’ambito delle disposizioni di legge dell’LRD rientrano pienamente nel campo di applicazione della LPD. Il riferimento chiarisce inoltre che le disposizioni rilevanti dell'LRD non devono essere intese come una normativa speciale che escluderebbe l'ambito di applicazione della LPD.
II. Differenze nell'applicazione
2 Il trattamento esteso dei dati personali si estende a tutti i livelli delle istituzioni coinvolte. In primo luogo, gli intermediari finanziari sono tenuti a registrare e documentare determinati dati dei clienti (ad es. l’identità del contraente e dell’avente diritto economico, o accertamenti particolari in caso di sospetto di riciclaggio di denaro). Inoltre, le autorità di vigilanza competenti (ad es. gli organismi di autoregolamentazione) assumono addirittura un doppio ruolo: da un lato hanno accesso alle informazioni trattate dagli intermediari finanziari, dall’altro trattano essi stessi dati personali relativi agli intermediari finanziari e ai loro collaboratori. Infine, i dati selezionati, raccolti sia dagli intermediari finanziari che dalle autorità di vigilanza, vengono trasmessi all’Ufficio di comunicazione in materia di riciclaggio di denaro (MROS). Quest'ultimo trasmette poi le informazioni rilevanti alle autorità di perseguimento penale competenti. La legge sul riciclaggio di denaro distingue, nell'attuazione di questo aspetto, tra intermediari finanziari (soggetti privati), ai quali si applica l'art. 34 LRD, e l'MROS (organo federale), al quale si applicano gli art. 35 segg. LRD.
A. Persone private
1. Intermediari finanziari e commercianti
3 Gli intermediari finanziari e i commercianti sono qualificati come persone private ai sensi dell’art. 2 cpv. 1 lett. a LPD. Il trattamento dei dati personali da parte loro è in linea di principio ammesso, purché non violi alcuna norma di diritto vigente. Essi sono quindi soggetti sia alle disposizioni generali degli art. 1–29 LPD sia alle norme speciali sul trattamento dei dati da parte di persone private ai sensi degli art. 30–32 LPD.
2. OAD
4 Oltre agli intermediari finanziari, nel messaggio relativo alla LBCr anche le OAD sono state definite come persone private ai sensi della LPD. Questa qualificazione ai sensi della legislazione sulla protezione dei dati ha creato incertezza nella dottrina: gli OAR sono soggetti – nonostante la loro organizzazione di diritto privato come associazione (art. 60 segg. CC) – alla vigilanza della FINMA (art. 18 LRD), che a sua volta è un organo federale.
5 Lo scopo di un OAD consiste principalmente nel garantire il rispetto degli obblighi di diligenza previsti dalla LRD (diritto pubblico) da parte degli intermediari finanziari affiliati. Oltre ai compiti elencati nell’art. 24 LRD, gli OAD agiscono anche come rappresentanti del settore, il che rientra nell’ambito di applicazione del diritto privato.
6 Se un OAD sanziona un intermediario finanziario ad esso affiliato a causa di una violazione, la sanzione è, secondo la dottrina, la giurisprudenza e il legislatore, di natura di diritto privato (ossia una penale convenzionale ai sensi dell’art. 160 cpv. 1 CO o una misura di diritto associativo). Tuttavia, anche in questa argomentazione occorre tenere conto del fatto che il rapporto tra gli OAR e gli intermediari finanziari ad essi affiliati tende ad essere classificato come di diritto pubblico – non da ultimo a causa dell’introduzione dell’organizzazione di vigilanza ai sensi dell’art. 43a LFINMA. Nonostante l’esplicita qualificazione del meccanismo sanzionatorio dell’OAD PolyReg come di diritto privato nella sentenza 2C_887/2017 del 23 marzo 2021, il Tribunale federale ha al contempo sottolineato il crescente sviluppo dell’autoregolamentazione di puro diritto privato fino a diventare un compito pubblico. Secondo il Tribunale federale, ciò lascia aperta la possibilità di qualificare le ammende previste dalla normativa sul riciclaggio di denaro come di diritto pubblico. Allo stesso tempo, il Tribunale federale ha ritenuto discutibile una qualificazione delle sanzioni come di diritto pubblico, in quanto potrebbe non sussistere una base legale formale sufficiente a tal fine.
7 Dal punto di vista della protezione dei dati, la natura giuridica del rapporto tra l’ente che tratta i dati e la persona interessata riveste un ruolo decisivo: se si tratta di un rapporto di diritto pubblico, il responsabile del trattamento dei dati deve essere classificato come organo pubblico. Il rispetto delle disposizioni della LRD costituisce un compito pubblico della Confederazione, motivo per cui la sua qualificazione come organo federale (art. 5 lett. i LPD) e l’applicazione di disposizioni più severe in materia di protezione dei dati (art. 33 segg. LPD) sarebbero del tutto ipotizzabili. Altre dottrine lasciano aperta questa questione. Altre attività dell’OAD rientrerebbero tuttavia nelle regole del trattamento dei dati da parte di privati. Inoltre, il compito primario di un OAD non consiste nel trattamento dei dati per conto della Confederazione. A nostro avviso è quindi corretto assoggettare il rapporto giuridico tra l’OAD e le persone i cui dati sono trattati dagli intermediari finanziari affiliati alle disposizioni in materia di protezione dei dati relative alle persone private. Se una persona interessata intende far valere un diritto nei confronti di un OAD, deve quindi adire la via civile (art. 32 LPD).
8 L’opinione qui espressa si allinea a quella del messaggio relativo alla LBCr. Sebbene sussistano evidenti sovrapposizioni tra diritto privato e diritto pubblico, resta comunque da constatare che il diritto privato continua a costituire il nucleo della qualificazione giuridica degli OAD. Ciò vale anche alla luce dell’evoluzione sopra descritta e delle relative discussioni su una possibile qualificazione di diritto pubblico di singoli aspetti. Una qualificazione divergente di diritto pubblico sarebbe giustificata se fosse sancita dalla legge. Ciò è confermato dal messaggio relativo alla LRD, il quale stabilisce che gli OAR e gli organismi di vigilanza non sono autorità vere e proprie della Confederazione, dei Cantoni o dei Comuni ai sensi dell’art. 29 cpv. 2 LRD. Gli OAR riconosciuti ai sensi dell'art. 24 LRD sono organizzazioni alle quali il legislatore ha affidato un compito di regolamentazione e vigilanza sugli intermediari finanziari affiliati. Si tratta di organizzazioni incaricate di un compito di pubblica autorità. Un'argomentazione contraria minerebbe inutilmente il sistema svizzero di autoregolamentazione, che soddisfa anche gli standard internazionali.
9 Per chiarire in modo definitivo la loro natura giuridica, il legislatore ha definito gli organismi di autoregolamentazione come associazioni di diritto privato alle quali è stato affidato un compito di diritto pubblico. Di conseguenza, un OAD esercita la vigilanza sulle persone ad esso affiliate e può anche infliggere sanzioni in caso di violazione degli obblighi di diligenza. Il 26 settembre 2025 l’Assemblea federale ha deciso di assoggettare espressamente il rapporto giuridico degli OAR con le persone ad essi affiliate alle disposizioni del diritto privato nell’art. 24b nLPr, in base al quale si disciplina in particolare la responsabilità degli OAR, dei loro organi e del loro personale.
B. Organi federali
10 Gli organi federali ai sensi dell’art. 5 lett. i LPD sono soggetti sia alle disposizioni generali in materia di protezione dei dati degli artt. 1–29 LPD sia alle disposizioni speciali degli artt. 33–42 LPD. La differenziazione tra persone private e organi federali è rilevante in quanto i principi sanciti dall’art. 6 LPD vengono interpretati e applicati in modo diverso. Mentre, ad esempio, una persona fisica rispetta il principio di liceità ai sensi dell’art. 6 cpv. 1 LPD già quando il suo trattamento dei dati non viola alcuna norma giuridica vigente, l’operato di un organo federale presuppone obbligatoriamente una base legale formale (art. 34 cpv. 1 LPD). Il principio di legalità illustra in modo esemplare che l’operato degli organi federali deve sempre basarsi su una base legale.
11 Ai sensi dell’art. 5 lett. i LPD, rientrano nella definizione di organi federali le autorità e i servizi della Confederazione, nonché le persone, nella misura in cui siano incaricate di compiti pubblici della Confederazione; tra questi figurano la FINMA, il Ministero pubblico della Confederazione, la Commissione federale delle case da gioco (CFCG) e l’MROS. Quest'ultima, ai sensi dell'art. 23 cpv. 1 LRD, è annessa all'Ufficio federale di polizia (fedpol), che a sua volta costituisce un servizio centrale amministrativo per la lotta contro la criminalità organizzata e transnazionale ai sensi della legge federale sui servizi centrali di polizia criminale della Confederazione e sui centri comuni per la cooperazione di polizia e doganale con altri Stati (LSC).
12 Le autorità cantonali di perseguimento penale non sono soggette alla LPD, poiché sono organi cantonali e non federali. Dal momento dell’apertura del procedimento penale fino alla sua conclusione si applicano, ai sensi dell’art. 2 cpv. 3 LPD, le disposizioni del Codice di procedura penale svizzero (art. 95 segg. CPP). Ciò riguarda sia il trattamento dei dati da parte del tribunale nell’ambito del procedimento sia quello delle altre parti in causa, in particolare delle parti. Dopo la conclusione del procedimento, il Codice di procedura penale dichiara nuovamente applicabile la LPD (art. 99 CPP). A partire da quel momento, il trattamento dei dati personali si basa quindi nuovamente sulle disposizioni della LPD.
III. Tipi di dati interessati
13 L’adempimento degli obblighi di diligenza da parte degli intermediari finanziari presuppone inevitabilmente un trattamento di dati personali. Si tratta di «tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile» (art. 5 lett. a LPD). Il concetto è volutamente molto ampio e comprende ogni informazione che contenga un contenuto informativo riferito o riconducibile a una o più persone fisiche. Una sottocategoria dei dati personali è costituita dai dati personali particolarmente sensibili. Nel contesto degli obblighi di diligenza degli intermediari finanziari è poi opportuno menzionare la profilazione con e senza alto rischio.
14 Per questi tipi di dati si deve sempre partire da livelli di protezione diversi: essi vanno dai dati resi accessibili al pubblico, passando per diverse categorie di dati personali ordinari, fino ai dati personali particolarmente sensibili. Queste gradazioni caratterizzano la valutazione del rischio e determinano sia il livello richiesto di sicurezza dei dati sia l’entità dell’obbligo di informazione. Mentre il trattamento dei normali dati personali non comporta di norma alcuna difficoltà, per i dati personali particolarmente sensibili valgono requisiti più severi, come illustrato più dettagliatamente di seguito. Regole particolari valgono inoltre per la profilazione, di cui si parlerà in seguito.
A. Dati personali
15 Per essere qualificati come dati personali, la persona interessata deve essere determinata o almeno determinabile. A tal proposito non ha importanza se la persona sia identificata in modo univoco o sia semplicemente identificabile.
16 Tra i doveri di diligenza fondamentali di un intermediario finanziario figurano l’identificazione della parte contraente (art. 3 LRD), l’accertamento dell’avente diritto economico (art. 4 LRD) nonché l’adempimento di ulteriori obblighi di diligenza specifici (art. 6 LRD). I dati raccolti in questo contesto (ad esempio nome, indirizzo e informazioni contrattuali o finanziarie) costituiscono dati personali ai sensi dell'art. 5 lett. a LPD. Essi sono soggetti all'obbligo di documentazione ai sensi dell'art. 7 LRD.
B. Dati personali particolarmente sensibili
17 I dati personali particolarmente sensibili costituiscono una sottocategoria dei dati personali. Questo elenco, che la legge considera esaustivo, comprende tra l’altro i dati relativi alla salute, i dati biometrici o i dati relativi a procedimenti o sanzioni amministrativi e penali (art. 5 lett. c LPD). Sono considerati dati personali particolarmente sensibili quei dati il cui trattamento è soggetto, rispetto ai dati personali ordinari, a prescrizioni giuridiche in parte più severe. La classificazione si basa sul fatto che, secondo la volontà del legislatore, queste categorie di dati «toccano in modo così forte» la personalità delle persone interessate che il loro trattamento è considerato in ogni caso una violazione della personalità.
18 I dati personali raccolti dall’intermediario finanziario in adempimento dell’obbligo o del diritto di comunicazione possono essere considerati particolarmente delicati. Per i dati personali particolarmente sensibili ai sensi dell’art. 5 lett. c LPD sono state emanate disposizioni speciali in materia di protezione dei dati sia per gli intermediari finanziari (art. 34 LRD) sia per l’MROS (art. 35 LRD).
19 A seconda del rischio, una transazione o una relazione d’affari deve essere oggetto di un’accertamento più ampio o più dettagliato (art. 6 LRD). A titolo esemplificativo, eventuali procedimenti penali a carico di un cliente, l’orientamento politico o la funzione di persona politicamente esposta (PEP) rientrano tra i dati particolarmente sensibili raccolti nell’ambito degli accertamenti specifici.
20 In questo contesto occorre valutare soprattutto la proporzionalità del trattamento dei dati ai sensi della normativa sulla protezione dei dati, ad esempio quando le indagini speciali hanno permesso di confutare un sospetto iniziale. I dati personali raccolti avrebbero così adempiuto al loro scopo e dovrebbero essere cancellati ai sensi dell’art. 6 cpv. 4 LPD, mentre il motivo della cancellazione dovrebbe essere registrato in una nota di fascicolo. Tuttavia, il trattamento, compresa la conservazione, di questi dati appare proporzionato e adeguato. Ciò per il seguente motivo: nella pratica quotidiana, gli uffici specializzati in riciclaggio di denaro trattano, sia per le nuove richieste che per i clienti esistenti, i risultati generati sistematicamente dai loro software di monitoraggio (ad es. Compliance Suite). Sebbene questi riscontri siano prevalentemente dei cosiddetti «false positive» (nessuna corrispondenza reale), deve comunque avvenire un confronto tra il riscontro generato e il cliente sulla base dei dati personali già raccolti su di lui (art. 5 lett. a LPD). Anche le indagini sul cliente e sul risultato – che non deve necessariamente essere un cliente esistente dell'intermediario finanziario in questione – comportano la raccolta di dati personali. Questi servono a loro volta come prova che è stata effettuata una verifica e in base a quali caratteristiche il risultato corrisponde o meno al cliente in questione. Lo scopo a cui servono questi dati personali appare in questo caso chiaramente più generico, ovvero l’adempimento degli obblighi di diligenza da parte dell’intermediario finanziario e non (solo) l’eliminazione di un sospetto iniziale o la trasmissione di una segnalazione di sospetto all’MROS. Tra gli obblighi di diligenza dell'intermediario finanziario ai sensi della normativa sul riciclaggio di denaro rientra anche la documentazione delle verifiche effettuate (art. 7 LRD). I dati personali raccolti in questo contesto servono quindi anche a dimostrare in modo comprensibile che gli obblighi di diligenza previsti dalla legge sono stati adempiuti. Secondo l’opinione qui sostenuta, la documentazione delle verifiche effettuate può essere intesa come finalità di trattamento autonoma ai sensi dell’art. 6 LPD. Ciò vale in particolare per quanto riguarda le attività di verifica della revisione interna ed esterna, nonché eventuali procedimenti amministrativi o penali, nei quali l’intermediario finanziario deve poter dimostrare in modo comprensibile perché non si è ipotizzata una fattispecie soggetta a obbligo di comunicazione e perché sono stati rispettati gli obblighi di diligenza. Appare quindi proporzionato e adeguato non cancellare immediatamente questi dati a fini probatori, ma continuare a conservarli.
C. Profiling / Profiling ad alto rischio
21 Il profiling è un tipo particolare di trattamento dei dati personali. Indica il processo automatizzato in cui vengono analizzate e valutate le caratteristiche personali di una persona. Si ha una valutazione non appena i dati disponibili vengono interpretati e ne deriva una valutazione soggettiva. Per contro, la semplice constatazione di fatti, ovvero la registrazione oggettiva di circostanze effettive, non costituisce profiling. Il termine «automatizzato» descrive un processo di trattamento che si avvale di strumenti tecnici. Il processo di valutazione avviene in modo completamente automatico. Il cosiddetto profiling ad alto rischio è una forma qualificata di profiling. Si caratterizza per il fatto che avviene un collegamento di dati e che, di conseguenza, vengono trattati aspetti essenziali della personalità di una persona fisica. Ciò comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
22 L’adempimento degli obblighi di diligenza ai sensi dell’art. 6 LRD può presupporre o comportare, dal punto di vista della protezione dei dati, una cosiddetta «profilazione». La profilazione è definita come la valutazione di determinati aspetti personali di una persona sulla base di dati personali trattati in modo automatizzato. Questi vengono quindi valutati in modo automatizzato per trarne – sempre in modo automatizzato – conclusioni sulle caratteristiche di una persona. Si ha quindi un profiling ad alto rischio quando il collegamento automatizzato dei dati porta alla possibilità di valutare aspetti essenziali della personalità di una persona fisica, in modo da ottenere in ultima analisi un profilo della personalità. La semplice raccolta di dati personali nell’ambito del KYC non costituisce di per sé un profiling.
23 Si ha un profiling, ad esempio, quando a una relazione d’affari viene attribuito un rischio di riciclaggio. In adempimento del secondo obbligo parziale dell'art. 6 LRD, il cosiddetto «filtering», l'intermediario finanziario stabilisce criteri che consentono di distinguere le transazioni che, per la relazione d'affari in questione, sono usuali o eccezionali, in altre parole che richiedono un approfondimento. Per i privati non derivano in linea di principio alcune conseguenze giuridiche aggiuntive specifiche come nel settore delle autorità, fatto salvo il corrispondente obbligo di trasparenza e di informazione (art. 6 cpv. 3 in combinato disposto con l’art. 19 LPD). A tal proposito occorre tenere conto del fatto che l’individuazione di strutture o modelli criminali in relazione al riciclaggio di denaro e al finanziamento del terrorismo costituisce un elemento trasversale del dispositivo globale di difesa contro il riciclaggio di denaro.
24 Una forma più delicata è rappresentata dal «profiling ad alto rischio» (art. 5 lett. g LPD). L’alto rischio non si riferisce al rischio di riciclaggio di denaro di una relazione d’affari, ma al rischio che i dati raccolti vengano utilizzati per analizzare o addirittura prevedere determinati aspetti personali di un cliente (profilo della personalità). Si ha un tale profiling solo se sono soddisfatti due requisiti aggiuntivi: da un lato, devono essere collegati tra loro diversi dati; dall'altro, le informazioni così ottenute devono riferirsi a aspetti essenziali della personalità o almeno essere orientate verso di essi. Se entrambi gli elementi sono presenti, il rischio elevato è considerato concettualmente dato.
25 Nel contesto degli obblighi di diligenza previsti dalla normativa sul riciclaggio di denaro, si ritiene sporadicamente che in particolare il monitoraggio delle transazioni possa soddisfare questo presupposto. Sebbene non si possa escludere che l’analisi dei dati relativi alle transazioni costituisca una profilazione ai sensi dell’art. 5 lett. f LPD, per una profilazione ad alto rischio l’art. 5 lett. g LPD richiede tuttavia anche un collegamento di dati che consenta una valutazione di aspetti essenziali della personalità e che possa sintetizzarsi in un quadro completo del cliente. Gli obblighi di diligenza ai sensi dell’art. 6 LRD perseguono invece uno scopo funzionalmente limitato, vale a dire l’identificazione della natura e dello scopo della relazione d’affari nonché l’accertamento di transazioni insolite o a rischio. Anche se in questo contesto vengono prese in considerazione diverse informazioni sulla relazione d’affari, l’analisi si concentra principalmente sulla plausibilità delle transazioni e sull’identificazione di modelli di transazione atipici nel traffico dei pagamenti. I dati così generati possono essere indeed voluminosi; tuttavia, ciò che conta non è la quantità dei dati trattati, ma se questi si consolidano in un quadro della personalità della persona interessata. Ciò non comporta di norma un collegamento trasversale dei dati tra diversi ambiti della vita con l’obiettivo di creare un quadro completo della personalità della persona interessata. A titolo di confronto, si ha un profiling ad alto rischio, ad esempio, quando vengono collegati tra loro dati provenienti da diversi ambiti della vita, quali dati relativi ai consumi, alla localizzazione, all’attività online o alla salute, e ne risulta un quadro completo della personalità dell’interessato. Se sussista un tale quadro della personalità dovrà essere valutato, in ultima analisi, caso per caso.
26 Infine, va osservato che in caso di profilazione ad alto rischio può sussistere l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (VIPD) (art. 22 LPD). Una VIPD serve all’autovalutazione dei trattamenti che appaiono delicati dal punto di vista della protezione dei dati. In tale contesto, il progetto previsto viene innanzitutto illustrato dal punto di vista del trattamento dei dati. Successivamente vengono descritte le possibili conseguenze negative che tale trattamento potrebbe avere, con una certa probabilità, per le persone interessate. Sulla base di queste constatazioni vengono poi illustrate le misure tecniche e organizzative già attuate e quelle ancora previste, con le quali si intende prevenire o almeno ridurre tali effetti negativi.
27 Per gli intermediari finanziari, una DSFA diventa rilevante in particolare quando utilizzano procedure automatizzate in relazione all’adempimento degli obblighi di diligenza previsti dalla normativa sul riciclaggio di denaro – compresi i sistemi basati sull’intelligenza artificiale – che analizzano o prevedono aspetti personali sulla base dei dati dei clienti. In tali casi può sorgere un rischio accresciuto per la personalità delle persone interessate, il che può rendere necessaria l’esecuzione di una DSFA ai sensi dell’art. 22 LPD. Va tuttavia osservato che la violazione dell’obbligo di eseguire una DSFA non comporta sanzioni immediate e non costituisce una violazione della personalità.
IV. Principi di trattamento ai sensi della LPD
28 I principi del trattamento dei dati ai sensi della LPD sono vincolanti, indipendentemente dal fatto che il trattamento sia effettuato da un responsabile privato o da un organo federale. Tra i principi elencati negli articoli 6–8 LPD figurano:
legittimità
buona fede
proporzionalità
finalità (trasparenza)
Cancellazione e anonimizzazione
Esattezza
Consenso (incluso il consenso esplicito)
Sicurezza dei dati
29 Riveste un’importanza decisiva il diritto di accesso, ovvero il diritto di una persona interessata di ottenere la consultazione dei dati personali che la riguardano (art. 25 LPD). A tal proposito, l’LRD contiene disposizioni particolari in senso di lex specialis: per i dati conservati in raccolte separate ai sensi dell’art. 34 cpv. 3 LRD, il diritto di accesso può essere fatto valere esclusivamente nei confronti dell’MROS. Infine, va sottolineato che il diritto di accesso previsto dalla normativa sulla protezione dei dati non fonda alcun diritto alla consegna dei documenti originali: Ai sensi dell’art. 25 cpv. 2 lett. b LPD, devono essere forniti solo i dati personali in quanto tali in essi contenuti, ma non documenti completi come ad esempio e-mail, contratti o rapporti.
30 Per ulteriori approfondimenti sui principi citati, si rimanda alla letteratura in materia di protezione dei dati. Oltre ai principi di trattamento, esistono ulteriori obblighi di governance, la cui violazione di norma non costituisce una violazione della personalità. Tra questi figurano l’obbligo di tenere un registro delle attività di trattamento (art. 12 LPD), il ricorso a incaricati del trattamento (art. 9 LPD) e, se del caso, una PIA (art. 22 LPD). Si rimanda inoltre ai poteri di indagine dell’IFPDT (art. 49 segg. LPD) e alle sanzioni di cui agli art. 60 segg. LPD.
Bibliografia
Alberini Adrien, Kommentierung zu Art. 33 GwG, in: Ursula Cassani, Christian Bovet, Katia Villard (Hrsg.), Commentaire romand, Loi sur le blanchiment d'argent, Basel, 2022.
Caroline Kindler, Kommentierung zu Art. 25 GwG in: Damian K. Graf/Doris Hutzler (Hrsg.), Onlinekommentar zum Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung – Version: 16.01.2025: https://onlinekommentar.ch/de/kommentare/gwg25 (besucht am 8.10.2025), DOI: 10.17176/20250319-201115-0.
Christen Marquard/Kuert Matthias, Kommentierung zu Art. 25 GwG, in: Peter Ch. Hsu/Daniel Flühmann (Hrsg.), Basler Kommentar, Geldwäschereigesetz, Basel 2021.
De Capitani Werner, Kommentierung zu Art. 33 GwG, in: Schmidt Niklaus (Hrsg.), Kommentar Einziehung – Organisiertes Verbrechen – Geldwäscherei, Bd. I, 2. Aufl., Zürich et al. 2007.
Derungs Corsin/Gmünder Eliane, Kommentierung zu Art. 33 GwG, in: Kunz Peter V./Jutzi Thomas/ Schären Simon (Hrsg.), Stämpflis Handkommentar, Geldwäschereigesetz (GwG), Bern 2017.
Fiechter Eric/Maiko Günther, Sphère privée et diligence bancaire – des droits bafoués et des limites ignorées ? – Relation entre la loi sur le blanchiment d’argent et la loi sur la protection des données, in: SJZ 2010, S. 338-343.
Gaul Caroline/Isler Michael/Vasella David, Kommentierung zu Art. 33 GwG, in: Hsu Peter Ch./Flühmann Daniel (Hrsg.), Basler Kommentar, Geldwäschereigesetz, Basel 2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 5 lit. f und g DSG, in: Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz – Version: 21.08.2023: https://onlinekommentar.ch/de/kommentare/dsg5fundg (besucht am 12.3.2026), DOI: 10.17176/20230819-101936-0.
Graber Christoph K./Oberholzer Dominik, Das neue GwG, 3. Aufl., Zürich 2009.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl., Zürich et al. 2020.
Heierli Christian Marcus, Das Konzept der Selbstregulierung im GwG, in: GesKR 2010, S. 38 ff.
Kilgus Sabine, Datenschutz und Geldwäschereibekämpfung – Wer schützt wen wovon wofür?, in: Persönlichkeitsschutz zwischen Mensch und Maschine, 25 Jahre Datenschutz-Forum Schweiz, 2024, S. 135-153.
Kuster Matthias, Zur Rechtsnatur der Sanktionsentscheide von Selbstregulierungsorganisationen und der Schweizer Börse, in: AJP 2005, S. 1502 ff.
Maurer-Lambrou Urs/ Kunz Simon, Kommentierung zu Art. 2 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Rudin Beat, Kommentierung zu Art. 2 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Derselbe, Kommentierung zu Art. 5 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Taube Tamara, Entstehung, Bedeutung und Umfang der Sorgfaltspflichten der Schweizer Banken bei der Geldwäschereiprävention im Bankenalltag, in: SGFM – St. Galler Schriften zum Finanzmarktrecht Band/Nr. 9, Zürich et al. 2013.
Thelesklaf Daniel, Kommentierung zu Art. 33 GwG, in: Thelesklaf Daniel/Wyss Ralph/van Thiel Mark/Ordolli Stiliano (Hrsg.), Orell Füssli Navigator Kommentar, GwG Kommentar/AMLA Commentary, 3. Aufl., Zürich 2019.
Vasella David, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23.11.2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/, besucht am 12.3.2026 (zit. Vasella, Profiling).
Wyss David, FINMA-Bussenkompetenz – ein wirksames Mittel zur Abschreckung?, in: GesKR 2024, S. 129 ff.
Zysset Pascal, Kommentierung zu Art. 25 GwG, in: Peter V. Kunz/Thomas Jutzi/Simon Schären (Hrsg.), Stämpflis Handkommentar zum Geldwäschereigesetz (GwG), Bern et al. 2017.
I materiali
Beschluss des Parlaments vom 26.9.2025 (Referendumsvorlage), BBl 2025 2899, abrufbar unter https://www.fedlex.admin.ch/eli/fga/2025/2899/de, besucht am 22.1.2026.
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 9.8.2025.
Botschaft zum Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor vom 17.6.1996, BBl 1996 III 1154 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1996/3_1101_1057_993/de, besucht am 21.8.2025.
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 15.9.2017, BBl 2017 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 15.12.2025.
Botschaft zur Änderung des Geldwäschereigesetzes (GwG) vom 26.6.2019, BBl 2019 5451 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2019/1932/de, besucht am 9.10.2025.
Botschaft zum Bundesgesetz über die Transparenz juristischer Personen und die Identifikation der wirtschaftlich berechtigten Personen (TJPG) vom 22.5.2024, BBl 2024 1607 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2024/1607/de, besucht am 22.1.2026.
Geschäftsbericht 2021 des Bundesgerichts vom 17.2.2022, abrufbar unter https://www.eidgenoessischegerichte.ch/de/files/geschaeftsberichte/GB_2021_d.pdf, besucht am 23.8.2024.