Termine di referendum: 13 luglio 2006

Legge federale sulla protezione dei dati (LPD) Modifica del 24 marzo 2006 L'Assemblea federale della Confederazione Svizzera, visto il messaggio del Consiglio federale del 19 febbraio 20031, decreta: I La legge federale del 19 giugno 19922 sulla protezione dei dati è modificata come segue: Art. 3 lett. i, j e k I seguenti termini significano: i.

detentore di una collezione di dati: la persona privata o l'organo federale che decide in merito allo scopo e al contenuto della collezione di dati;

j.

legge in senso formale: 1. leggi federali, 2. decisioni vincolanti per la Svizzera di organizzazioni internazionali e accordi internazionali con contenuto normativo approvati dall'Assemblea federale.

k.

abrogata

Art. 4 cpv. 1, 4 e 5 1

I dati personali possono essere trattati soltanto in modo lecito.

La raccolta di dati personali e in particolare le finalità del trattamento devono essere riconoscibili da parte della persona interessata.

4

Quando il trattamento di dati personali è subordinato al consenso della persona interessata, il consenso è valido soltanto se espresso liberamente e dopo debita informazione. Trattandosi di dati personali degni di particolare protezione o di profili della personalità, il consenso deve essere anche esplicito.

5

1 2

FF 2003 1885 RS 235.1

2002-2754

3291

Protezione dei dati. LF

Art. 5 cpv. 1 1

(Primo periodo: concerne soltanto il testo francese)

... Deve prendere tutte le misure adeguate onde assicurare che dati non pertinenti o incompleti in considerazione dello scopo per cui sono stati raccolti o elaborati vengano cancellati o rettificati.

Art. 6

Comunicazione di dati all'estero

I dati personali non possono essere comunicati all'estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all'assenza di una legislazione che assicuri una protezione adeguata.

1

Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all'estero soltanto se:

2

a.

garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all'estero;

b.

la persona interessata ha dato il suo consenso nel caso specifico;

c.

il trattamento è in relazione diretta con la conclusione o l'esecuzione di un contratto e i dati trattati concernono l'altro contraente;

d.

nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia;

e.

nel caso specifico la comunicazione è necessaria per proteggere la vita o l'incolumità fisica della persona interessata;

f.

la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento;

g.

la comunicazione ha luogo all'interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che assicurano una protezione adeguata.

L'Incaricato federale della protezione dei dati e della trasparenza3 (art. 26) deve essere informato sulle garanzie date conformemente al capoverso 2 lettera a e sulle regole di protezione dei dati conformemente al capoverso 2 lettera g. Il Consiglio federale regola i dettagli di questo obbligo di informare.

3

Art. 7a

Obbligo di informare in caso di raccolta di dati personali degni di particolare protezione e di profili della personalità

Se vengono raccolti dati personali degni di particolare protezione o profili della personalità, il detentore della collezione di dati ha l'obbligo di informarne la persona interessata; questo obbligo sussiste anche laddove i dati siano raccolti presso terzi.

1

3

Fino all'entrata in vigore della legge del 17 dic. 2004 sulla trasparenza (RS 152.3, FF 2004 6435): «Incaricato federale della protezione dei dati».

3292

Protezione dei dati. LF

2

Alla persona interessata vanno comunicate almeno le seguenti informazioni: a.

l'identità del detentore della collezione;

b.

le finalità del trattamento dei dati;

c.

le categorie di destinatari dei dati, se è prevista una comunicazione di dati.

Se dati che la concernono non sono raccolti presso di lei, la persona interessata deve essere informata al più tardi all'inizio della registrazione dei dati o, se si rinuncia alla registrazione, al momento della loro prima comunicazione a terzi.

3

L'obbligo d'informazione del detentore della collezione di dati decade se la persona interessata era già stata informata o, nei casi di cui al capoverso 3, se:

4

a.

la registrazione o la comunicazione dei dati è esplicitamente prevista dalla legge; o

b.

l'informazione non sia possibile o esiga mezzi sproporzionati.

Art. 8 cpv. 2, frase introduttiva e lett. a 2

Il detentore della collezione di dati le deve comunicare: a.

tutti i dati che la concernono contenuti nella collezione, comprese le informazioni disponibili sull'origine dei dati;

Art. 9, rubrica e cpv. 1­3 Restrizione dell'obbligo di informare e del diritto d'accesso Il detentore della collezione di dati può rifiutare, limitare o differire l'informazione di cui all'articolo 7a o la comunicazione delle informazioni giusta l'articolo 8, nella misura in cui:

1

a.

una legge in senso formale lo preveda;

b.

interessi preponderanti di un terzo lo esigano.

Un organo federale può inoltre rifiutare, limitare o differire l'informazione o la comunicazione delle informazioni, nella misura in cui:

2

a.

un interesse pubblico preponderante, in particolare la sicurezza interna o esterna della Confederazione, lo esiga;

b.

l'informazione o la comunicazione delle informazioni comprometta lo scopo di un'istruzione penale o di un'altra procedura d'inchiesta.

Il detentore privato di una collezione di dati può inoltre rifiutare, limitare o differire l'informazione o la comunicazione delle informazioni, nella misura in cui lo esigano suoi interessi preponderanti e a condizione che non comunichi i dati personali a terzi.

3

3293

Protezione dei dati. LF

Art. 10a

Trattamento dei dati da parte di terzi

Il trattamento di dati personali può essere affidato a terzi mediante convenzione o per legge se: 1

a.

non è diverso da quello che il mandante stesso avrebbe il diritto di fare; e

b.

nessun obbligo legale o contrattuale di mantenere il segreto lo vieta.

Il mandante deve in particolare assicurarsi che il terzo garantisca la sicurezza dei dati.

2

3

Il terzo può far valere gli stessi motivi giustificativi del mandante.

Art. 11

Procedura di certificazione

Per migliorare la protezione e la sicurezza dei dati, i fornitori di sistemi e di programmi di trattamento dei dati, nonché le persone private o gli organi federali che trattano dati personali possono sottoporre i loro sistemi, le loro procedure e la loro organizzazione a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti.

1

Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Esso tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

2

Art. 11a

Registro delle collezioni di dati

L'Incaricato federale della protezione dei dati e della trasparenza tiene un registro delle collezioni di dati accessibile via Internet. Ognuno può consultare questo registro.

1

Gli organi federali devono notificare all'Incaricato federale della protezione dei dati e della trasparenza tutte le collezioni di dati, per la registrazione.

2

3

4

Le persone private devono notificare le collezioni se: a.

trattano regolarmente dati personali degni di particolare protezione o profili della personalità; o

b.

comunicano regolarmente dati personali a terzi.

Le collezioni di dati devono essere notificate prima di divenire operative.

In deroga ai capoversi 2 e 3, il detentore della collezione di dati non deve notificare la collezione se:

5

a.

i dati sono trattati da una persona privata in virtù di un obbligo legale;

b.

il Consiglio federale ha esentato il trattamento dall'obbligo di notifica perché non arreca pregiudizio ai diritti delle persone interessate;

c.

utilizza i dati esclusivamente per la pubblicazione nella parte redazionale di un mezzo di comunicazione sociale a carattere periodico e non li comunica a terzi senza che le persone interessate ne siano a conoscenza;

3294

Protezione dei dati. LF

d.

i dati sono trattati da un giornalista che si serve della collezione esclusivamente come strumento di lavoro personale;

e.

ha designato un responsabile della protezione dei dati che controlli autonomamente se le disposizioni interne in materia di protezione dei dati siano rispettate e tiene un inventario delle collezioni;

f.

ha ottenuto il marchio di qualità inerente alla protezione dei dati in virtù di una procedura di certificazione ai sensi dell'articolo 11 e il risultato della valutazione è stato comunicato all'Incaricato federale della protezione dei dati e della trasparenza.

Il Consiglio federale disciplina le modalità di notifica delle collezioni di dati e di tenuta e pubblicazione del registro, nonché la funzione e i compiti dei responsabili della protezione dei dati conformemente al capoverso 5 lettera e, come pure la pubblicazione di un elenco dei titolari delle collezioni di dati esentati dall'obbligo di notifica conformemente al capoverso 5 lettere e ed f.

6

Art. 12 cpv. 2 2

Egli non ha in particolare il diritto di: a.

trattare dati personali in violazione dei principi degli articoli 4, 5 capoverso 1 e 7 capoverso 1;

b.

senza giustificazione, trattare dati di una persona contro la sua esplicita volontà;

c.

senza giustificazione, comunicare a terzi dati personali degni di particolare protezione o profili della personalità.

Art. 14 Abrogato Art. 15 cpv. 1 e 3 Le azioni e i provvedimenti cautelari concernenti la protezione della personalità sono retti dagli articoli 28­28l del Codice civile4. L'attore può in particolare chiedere che il trattamento dei dati, segnatamente la loro comunicazione a terzi, sia bloccato oppure che i dati personali siano rettificati o distrutti.

1

L'attore può chiedere che la rettifica, la distruzione, il blocco, in particolare quello della comunicazione a terzi, la menzione del carattere contestato o la sentenza siano comunicati a terzi o pubblicati.

3

Art. 16

Organo responsabile e controlli

L'organo federale che nell'adempimento dei suoi compiti tratta o fa trattare dati personali è responsabile della protezione dei dati.

1

4

RS 210

3295

Protezione dei dati. LF

Se organi federali trattano dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati, il Consiglio federale può regolare in modo specifico i controlli e la responsabilità in materia di protezione dei dati.

2

Art. 17 cpv. 2 I dati personali degni di particolare protezione e i profili della personalità possono essere trattati soltanto se lo prevede esplicitamente una legge in senso formale, o se eccezionalmente:

2

a.

Concerne soltanto il testo tedesco.

b.

il Consiglio federale lo autorizza nel caso specifico poiché non sono pregiudicati i diritti della persona interessata; o

c.

la persona interessata, nel caso specifico, ha dato il suo consenso o ha reso i suoi dati accessibili a chiunque e non si è opposta formalmente al trattamento.

Art. 17a

Trattamento automatizzato dei dati nell'ambito di sistemi pilota

Su preavviso favorevole dell'Incaricato federale della protezione dei dati e della trasparenza, il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o di profili della personalità prima dell'entrata in vigore di una legge in senso formale se:

1

a.

i compiti che richiedono tale trattamento sono disciplinati in una legge in senso formale;

b.

sono presi provvedimenti sufficienti per impedire lesioni della personalità; e

c.

la messa in opera del trattamento dei dati esige imperativamente una fase sperimentale prima dell'entrata in vigore di una legge in senso formale.

La messa in opera del trattamento dei dati può esigere imperativamente una fase sperimentale se:

2

a.

l'adempimento di un compito richiede innovazioni tecniche i cui effetti devono essere previamente valutati;

b.

l'adempimento di un compito richiede misure organizzative o tecniche importanti la cui efficacia deve essere previamente esaminata, segnatamente nell'ambito di una collaborazione tra organi federali e cantonali; o

c.

essa richiede la comunicazione di dati degni di particolare protezione o di profili della personalità alle autorità cantonali mediante una procedura di richiamo.

Il Consiglio federale definisce mediante ordinanza le modalità del trattamento automatizzato.

3

L'organo federale competente presenta un rapporto di valutazione al Consiglio federale al più tardi due anni dopo la messa in opera del sistema pilota. Nel rapporto propone la continuazione o l'interruzione del trattamento.

4

3296

Protezione dei dati. LF

Il trattamento automatizzato dei dati deve in ogni caso essere interrotto se la relativa base giuridica non è entrata in vigore mediante una legge in senso formale entro cinque anni dalla messa in opera del sistema pilota.

5

Art. 18 cpv. 2 Abrogato Art. 19 cpv. 1 lett. b e c, nonché cpv. 3, secondo periodo Gli organi federali hanno il diritto di comunicare dati personali se ne esistono i fondamenti giuridici giusta l'articolo 17, oppure se:

1

3

b.

la persona interessata, nel caso specifico, ha dato il suo consenso;

c.

la persona interessata ha reso i suoi dati accessibili a chiunque e non si è formalmente opposta alla loro comunicazione; o

Concerne soltanto i testi tedesco e francese.

Art. 21

Offerta di documenti all'Archivio federale

Conformemente alla legge federale del 26 giugno 19985 sull'archiviazione, gli organi federali offrono all'Archivio federale di riprendere tutti i dati personali di cui non hanno più bisogno in modo permanente.

1

Gli organi federali distruggono i dati personali che l'Archivio federale ha designato come non aventi valore archivistico, tranne quando tali dati:

2

a.

sono resi anonimi;

b.

devono essere conservati a titolo di prova o per misura di sicurezza.

Art. 26 cpv. 2 e 3 Adempie i suoi compiti in maniera autonoma ed è aggregato amministrativamente alla Cancelleria federale.

2

3

Dispone di una segreteria permanente e di un proprio preventivo.

Art. 27 cpv. 5, secondo periodo, e 6 ... La decisione del dipartimento o della Cancelleria è comunicata con atto formale alla persona interessata.

5

L'Incaricato è legittimato a ricorrere contro la decisione di cui al capoverso 5 e contro la decisione dell'autorità di ricorso.

6

5

RS 152.1

3297

Protezione dei dati. LF

Art. 29 cpv. 1 lett. b e c, nonché cpv. 4 1

L'Incaricato accerta i fatti di sua iniziativa o su domanda di terzi quando: b.

devono essere registrate collezioni di dati (art. 11a);

c.

vi è obbligo d'informare secondo l'articolo 6 capoverso 3.

Se una raccomandazione dell'Incaricato è respinta o non le è dato seguito, questi può deferire la pratica alla Commissione federale della protezione dei dati6 per decisione. Contro questa decisione l'Incaricato è legittimato a ricorrere.

4

Art. 31 cpv. 1 lett. d­-g 1

L'Incaricato ha in particolare gli altri compiti seguenti: d.

valutare in che misura la legislazione in materia di protezione dei dati all'estero assicura una protezione adeguata;

e.

esaminare le garanzie e le regole della protezione dei dati che gli sono state comunicate secondo l'articolo 6 capoverso 3;

f.

esaminare le procedure di certificazione ai sensi dell'articolo 11 e, a sua discrezione, emanare raccomandazioni ai sensi dell'articolo 27 capoverso 4 e dell'articolo 29 capoverso 3;

g.

assumere i compiti conferitigli dalla legge del 17 dicembre 20047 sulla trasparenza.

Art. 34 cpv. 1 e 2 lett. a 1

2

Sono punite, a querela di parte, con l'arresto o con la multa le persone private che: a.

contravvengono agli obblighi previsti dagli articoli 7a e 8­10 fornendo intenzionalmente informazioni inesatte o incomplete;

b.

omettono intenzionalmente di: 1. informare la persona interessata conformemente all'articolo 7a capoverso 1, oppure 2. fornire alla persona interessata le informazioni previste dall'articolo 7a capoverso 2 lettere a­c.

Sono punite con l'arresto o con la multa le persone private che intenzionalmente: a.

6 7

omettono di informare l'Incaricato conformemente all'articolo 6 capoverso 3 o di notificare le loro collezioni di dati secondo l'articolo 11a o, in tal ambito, forniscono informazioni inesatte;

Con l'entrata in vigore della legge del 17 giugno 2005 sul Tribunale amministrativo federale (RU ...; FF 2005 3689): «al Tribunale amministrativo federale».

RS ...; RU ... (FF 2004 6435)

3298

Protezione dei dati. LF

Art. 37 cpv. 1 Nella misura in cui non esistono prescrizioni cantonali sulla protezione dei dati che garantiscano una protezione adeguata, il trattamento di dati personali da parte di organi cantonali che agiscono in applicazione del diritto federale è disciplinato dagli articoli 1­11a, 16, 17, 18­22 e 25 capoversi 1­3 della presente legge.

1

II Disposizione transitoria Entro un anno dall'entrata in vigore della presente legge, i detentori di collezioni di dati devono essere in grado di assicurare l'informazione delle persone interessate ai sensi degli articoli 4 capoverso 4 e 7a.

III 1

La presente legge sottostà a referendum facoltativo.

2

Il Consiglio federale ne determina l'entrata in vigore.

Consiglio nazionale, 24 marzo 2006

Consiglio degli Stati, 24 marzo 2006

Il presidente: Claude Janiak Il segretario: Ueli Anliker

Il presidente: Rolf Büttiker Il segretario: Christoph Lanz

Data di pubblicazione: 4 aprile 20068 Termine di referendum: 13 luglio 2006

8

FF 2006 3291

3299

Protezione dei dati. LF

3300