Spiegazioni concernenti la comunicazione di dati a carattere personale all estero secondo la LPD riveduta

Transcript

1 Incaricato federale della protezione dei dati e della trasparenza IFPDT Spiegazioni concernenti la comunicazione di dati a carattere personale all estero secondo la LPD riveduta (Ultime modificazioni: Gennaio 2017) 1. Cronistoria 1.1 Convenzione del Consiglio d Europa per la protezione delle persone in relazione all elaborazione automatica dei dati a carattere personale (Convenzione STE 108). La Convenzione STE 108 (RS ) è stata ratificata dalla Svizzera nel 1997 e vi è entrata in vigore il 1 febbraio Da tale data la LPD e le leggi cantonali sulla protezione dei dati devono rispettare le nuove esigenze previste dalla Convenzione. I principi su cui si fonda la Convenzione mirano ad assicurare un alto livello di protezione dei dati e quindi a garantire la loro libera circolazione tra gli Stati parte. Nessuna Parte contraente può proibire il trasferimento di informazioni verso un altra Parte contraente, se quest ultima garantisce il livello minimo di protezione dei dati previsto dalla Convenzione. L Unione europea ha ripreso i principi della Convenzione nella Direttiva 95/46/CE ( La Convenzione disciplina i flussi internazionali di dati al suo articolo 12: Articolo 12 Flussi internazionali di dati a carattere personale e diritto interno 1. Le seguenti disposizioni si applicano ai trasferimenti attraverso i confini nazionali, con qualunque mezzo, di dati a carattere personale oggetto di elaborazione automatica o raccolti allo scopo di sottoporli a tale elaborazione. 2. Una Parte non può, al solo fine della protezione della vita privata, proibire o sottoporre a una autorizzazione speciale i flussi attraverso i confini di dati a carattere personale destinati al territorio di un altra Parte. 3. Tuttavia, ciascuna Parte ha la facoltà di derogare alle disposizioni del comma 2: a. nella misura in cui la sua legislazione prevede una regolamentazione specifica per certe categorie di dati a carattere personale o di collezioni automatizzate di dati a carattere personale, a motivo della natura di tali dati o di tali schedari, salvo che la regolamentazione dell altra Parte fornisca una protezione equivalente; b. allorché il trasferimento è effettuato a partire dal suo territorio verso il territorio di uno Stato non contraente per il tramite del territorio di un altra Parte, al fine di evitare che trasferimenti di questo tipo abbiano come risultato l aggiramento della legislazione della Parte indicata al principio del presente comma. Feldeggweg 1, 3003 Berna Tel , Fax

2 1.2 Protocollo aggiuntivo alla Convenzione per la protezione delle persone in relazione all elaborazione automatica dei dati a carattere personale (STE 108) concernente le autorità di controllo e i flussi internazionali di dati Al fine di migliorare l attuazione della Convenzione STE 108, nel 2001 il Consiglio d Europa ha adottato un Protocollo aggiuntivo (FF segg.) concernente le autorità di controllo e i flussi internazionali di dati. Il miglioramento si è reso necessario in particolare a causa dell aumento dei flussi internazionali di dati. Il Protocollo aggiuntivo prevede condizioni più severe in due ambiti che, come emerso dalla prassi, non erano sufficientemente regolamentati. Per quel che concerne i flussi internazionali di dati, occorre da un lato evitare che dati vengano trasferiti verso Stati terzi od organizzazioni al fine di aggirare la legislazione di uno Stato firmatario della Convenzione STE 108. D altro lato, il Protocollo prevede che il trasferimento di dati a carattere personale verso un destinatario che non è parte alla Convenzione può avvenire unicamente se lo Stato o l organizzazione di destinazione garantiscono un sufficiente livello di protezione dei dati. Le garanzie possono risultare in particolare da clausole contrattuali ad hoc. La Svizzera ha ratificato il Protocollo aggiuntivo alla fine del L articolo 2 del Protocollo aggiuntivo ha il tenore seguente: Articolo 2 Flusso internazionale di dati a carattere personale verso un destinatario non soggetto alla giurisdizione di una Parte alla Convenzione 1. Ogni Parte prevede che il trasferimento di dati a carattere personale verso un destinatario soggetto alla giurisdizione di uno Stato o di un organizzazione che non è Parte alla Convenzione possa essere effettuato unicamente se tale Stato od organizzazione assicura un livello di protezione adeguato per il trasferimento in questione. 2. In deroga al paragrafo 1 dell articolo 2 del presente Protocollo, ogni Parte può autorizzare un trasferimento di dati a carattere personale, se: a. il diritto interno lo prevede: per interessi specifici della persona interessata, o quando prevalgono interessi legittimi, in particolare interessi pubblici rilevanti; o b. la persona responsabile del trasferimento fornisce garanzie che possono segnatamente risultare da clausole contrattuali e tali garanzie sono valutate sufficienti dalle competenti autorità, conformemente al diritto interno. 2. Attuazione del protocollo aggiuntivo del diritto svizzero In materia di flussi internazionali di dati, la revisione della legge sulla protezione dei dati (LPD), entrata in vigore il 1 gennaio 2008, ha tenuto conto delle disposizioni del Protocollo aggiuntivo del Consiglio d Europa. La disposizione chiave in materia di trasmissione di dati all estero è l articolo 6 LPD. Questa disposizione è completata da altri articoli della LPD e dell ordinanza relativa alla legge federale sulla protezione dei dati (OLPD; RS ) rivedute. Tali disposizioni costituiscono l insieme di norme applicabili alla trasmissione di dati all estero. Il presente commento riguarderà anche queste disposizioni. L articolo 6 LPD ha il tenore seguente: Articolo 6 LPD Comunicazione di dati all estero 1 I dati personali non possono essere comunicati all estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all assenza di una legislazione che assicuri una protezione adeguata. 2 Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all estero soltanto se: 2/11

3 a. garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all estero; b. la persona interessata ha dato il suo consenso nel caso specifico; c. il trattamento è in relazione diretta con la conclusione o l esecuzione di un contratto e i dati trattati concernono l altro contraente; d. nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia; e. nel caso specifico la comunicazione è necessaria per proteggere la vita o l incolumità fisica della persona interessata; f. la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento; g. la comunicazione ha luogo all interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che assicurano una protezione adeguata. 3 L Incaricato federale della protezione dei dati e della trasparenza (art. 26) deve essere informato sulle garanzie date conformemente al capoverso 2 lettera a e sulle regole di protezione dei dati conformemente al capoverso 2 lettera g. Il Consiglio federale regola i dettagli di questo obbligo di informare. 2.1 Osservazioni generali concernenti la trasmissione di dati all estero secondo la LPD riveduta Definizione e motivi di una trasmissione di dati all estero Si parla di trasmissione di dati all estero quando dati a carattere personale sono trasferiti a partire dal territorio svizzero in seguito a una comunicazione da parte del detentore dei dati o a un richiamo da parte del destinatario all estero. La pubblicazione di dati personali mediante servizi automatizzati di informazione e comunicazione al fine di informare il pubblico (ad esempio via Internet) non è assimilata a una comunicazione di dati all estero (art. 5 OLPD), malgrado tali informazioni possano essere richiamate anche dall estero. Nell ambito di una comunicazione di questo tipo vanno evidentemente rispettate le altre condizioni previste segnatamente dalla legislazione in materia di protezione dei dati e dal diritto della personalità. Secondo l articolo 19 OLPD, l articolo 5 OLPD si applica anche agli organi federali. Nel trattare dati a carattere personale, gli organi federali devono del resto rispettare le condizioni previste dall articolo 19 LPD. Tra i motivi di una trasmissione di dati all estero vi può essere ad esempio la centralizzazione di un determinato trattamento di dati, un esternalizzazione (outsourcing) o la ripresa di un impresa da parte di una ditta estera Dovere di diligenza e d informazione al posto dell obbligo di notifica L obbligo di notifica previsto dalla vecchia LPD in caso di comunicazioni di dati all estero è stato sostituito da un dovere di diligenza. In generale ciò significa che le persone private e gli organi federali che trasmettono dati all estero sono tenuti a rispettare i principi generali della LPD e ad accertarsi dell adeguatezza della protezione dei dati nello Stato di destinazione. In mancanza di una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all estero soltanto se è data un altra delle garanzie di cui all articolo 6 capoverso 2 LPD. La conformità di una trasmissione dal profilo della protezione dei dati va valutata alla luce dell insieme delle circostanze in cui avviene la 3/11

4 comunicazione. La protezione va valutata di caso in caso, per ogni singola comunicazione o categoria di comunicazione. Il dovere di diligenza è legato anche a un obbligo d informazione che, a differenza dell obbligo di notifica, dipende dalle circostanze ed è più semplice da rispettare (art. 6 cpv. 3 LPD). Occorre distinguere tra dovere di diligenza generale e speciale. Il dovere generale di diligenza implica il rispetto dei principi seguenti (per il dovere speciale di diligenza, cfr. n ). La comunicazione dei dati all estero deve avvenire in modo lecito (art. 4 cpv. 1 LPD) e deve essere giustificata (art. 13 LPD). Sono considerati motivi giustificativi il consenso della persona interessata, un interesse privato o pubblico preponderante oppure una base legale. Un interesse privato preponderante potrebbe ad esempio consistere nella centralizzazione della gestione degli stipendi, dei dati concernenti candidature o dei curricula vitae di collaboratori nella prospettiva di programmi di sviluppo. Una comunicazione di dati è considerata illecita in particolare se viola norme di diritto svizzero. La comunicazione deve inoltre rispettare i principi della buona fede e della proporzionalità e deve avvenire soltanto a uno scopo chiaramente prestabilito (art. 4 cpv. 2 e 3 LPD). La trasmissione dei dati e il suo scopo devono in altre parole essere riconoscibili per la persona interessata. I dati da trasmettere devono essere necessari e atti alla realizzazione dello scopo prefissato. La lesione dei diritti della personalità che risulta dalla comunicazione dei dati deve inoltre essere commisurata allo scopo perseguito (proporzionalità e adeguatezza allo scopo). Se ad esempio si intende centralizzare la gestione degli stipendi all estero, possono essere comunicati a tal fine unicamente dati relativi allo stipendio. Il principio della proporzionalità è applicabile anche alla durata di conservazione dei dati. I dati da trasmettere devono inoltre essere esatti (art. 5 LPD). Infine durante la loro trasmissione i dati devono essere protetti mediante provvedimenti tecnici e organizzativi adeguati (art. 7 LPD), ossia mediante misure atte a garantirne l integrità, l autenticità e la disponibilità. 3. Le modifiche in dettaglio 3.1 Articolo 6 capoverso 1 LPD Protezione dei dati all estero: da equivalente ad adeguata Viene mantenuto il principio secondo cui i dati personali non possono essere comunicati all estero qualora la personalità dell interessato possa subirne grave pregiudizio, segnatamente perché la legislazione estera non garantisce un livello di protezione corrispondente a quello svizzero. Dal profilo terminologico, l articolo 6 capoverso 1 LPD viene adeguato all articolo 2 capoverso 1 del Protocollo aggiuntivo, e l esigenza di adeguatezza subentra a quella di equivalenza della protezione. Materialmente ciò non significa tuttavia che rispetto alla normativa precedente le condizioni di una trasmissione dei dati all estero siano state inasprite o allentate Valutazione dell adeguatezza della protezione dei dati nello Stato di destinazione Oltre al dovere generale di diligenza (cfr. 2.1 b), la trasmissione di dati all estero sottostà anche a condizioni speciali, previste all articolo 6 LPD. I dati possono essere trasmessi all estero soltanto se la legislazione del Paese di destinazione garantisce una protezione adeguata (art. 6 cpv. 1 LPD); in mancanza di simili norme, la protezione dei dati deve essere assicurata da altre garanzie o regole (art. 6 cpv. 2 lett. a e g LPD). Se mancano anche queste garanzie, la trasmissione dei dati all estero può comunque avvenire se giustificata dai motivi previsti dall articolo 6 capoverso 2 lettere b-f LPD. 4/11

5 In base al dovere speciale di diligenza derivante dall articolo 6 capoverso 1 LPD, i dati possono essere comunicati all estero a condizione che lo Stato di destinazione disponga di una legislazione che garantisca un adeguata protezione. L adeguatezza della protezione dei dati va valutata in considerazione delle disposizioni legali generali e settoriali applicabili nello Stato in questione. Occorre in particolare esaminare se i principi sanciti dalla Convenzione STE 108 e dal Protocollo aggiuntivo sono stati ripresi nella legislazione e nella prassi giuridica del Paese destinatario. Va in particolare valutato in che modo la persona interessata può tutelare i propri interessi in caso di inosservanza di tali principi e se le è garantito il diritto d accesso ai dati. Se la legislazione dello Stato di destinazione non garantisce una protezione adeguata, i dati possono essere comunicati unicamente nel rispetto delle condizioni previste dall articolo 6 capoverso 2 LPD. In generale l adeguatezza della protezione dei dati in uno Stato può essere determinata anche dall IFPDT: in tal caso tutte le comunicazioni di dati verso tale Stato sono permesse (art. 31 cpv. 1 lett. d LPD). Si presuppone in particolare che il destinatario dei dati sottostia a una legislazione che garantisce una protezione paragonabile a quella del diritto svizzero: tutela dei diritti della persona interessata (in particolare diritto d accesso, art. 1 cpv. 6 OLPD e diritto d informazione, art. 4 cpv. 4 e 5 LPD), rispetto dei principi fondamentali in materia di protezione dei dati, organo di controllo indipendente. La protezione dei dati garantita dalla legislazione del Paese destinatario è adeguata se corrisponde alle esigenze della Convenzione STE 108. L IFPDT deve anche considerare come la legislazione dello Stato estero viene applicata nella prassi: a tal fine pubblica un elenco di Stati che rispettano le pertinenti condizioni (art. 7 OLPD). Oltre agli Stati parti alla Convenzione STE 108 e al Protocollo aggiuntivo, in tale elenco figurano anche i Paesi che secondo l IFPDT garantiscono una protezione dei dati adeguata. Una persona privata o un organo federale che comunicano dati verso uno Stato che figura nell elenco possono invocare di aver agito in buona fede. Se invece, in base ad esperienze accumulate nella prassi, è risaputo che in un determinato Stato le disposizioni generali o settoriali in materia di protezione dei dati non vengono osservate, la buona fede non è più riconosciuta. In un simile caso la comunicazione dei dati può avvenire unicamente alle condizioni previste all articolo 6 capoverso 2 LPD. L elenco è costantemente aggiornato e non è esaustivo. Se uno Stato non vi figura, ciò non significa necessariamente che la sua legislazione non garantisce una protezione adeguata. Con l applicazione dello «Swiss-US Privacy Shield», gli Stati Uniti d America fanno parte dei Paesi la cui legislazione garantisce, a determinate condizioni, una protezione dei dati adeguata ai sensi dell articolo 6 capoverso 1 LPD. Come già prevedeva l accordo «Safe Harbor», le aziende statunitensi che aderiscono al Privacy Shield e che figurano nell elenco del Ministero del Commercio degli Stati Uniti (Department of Commerce, DOC) devono rispettare un livello di protezione dei dati adeguato per quanto riguarda i dati personali provenienti dalla Svizzera. Rispetto all accordo «Safe Harbor», il Privacy Shield introduce sia un rafforzamento dell applicazione dei principi di protezione dei dati che una migliore sorveglianza da parte delle autorità statunitensi. Fra l altro, alle persone interessate verranno messi a disposizione strumenti concreti per informarsi direttamente presso le aziende statunitensi certificate o le autorità competenti riguardo al trattamento dei loro dati personali, oltre che per esigere eventuali rettifiche o cancellazioni. Attraverso un dispositivo di mediazione, le persone interessate potranno anche influire indirettamente sul trattamento dei dati che le riguardano da parte delle autorità di sicurezza statunitensi. Nel caso in cui dovessero sorgere dei problemi nella trasmissione di dati verso gli Stati Uniti, l IFPDT è a loro disposizione quale interlocutore. Non appena la procedura di certificazione negli USA sarà attivata e le informazioni relative saranno disponibili, in questo sito sarà inserito un link dal quale si potrà accedere all elenco di tutte le aziende statunitensi certificate, oltre che a una documentazione più ampia sull argomento. I dati possono essere trasmessi se le indagini condotte dalla persona o dall organo federale che trasmettono i dati permettono di concludere in un singolo caso concreto che un Paese di destinazione 5/11

6 garantisce una protezione adeguata dei dati e che la sua legislazione rispetta i principi generali in materia di protezione dei dati. Se invece risulta che la legislazione del Paese di destinazione non garantisce una protezione adeguata, la comunicazione dei dati all estero può avvenire soltanto se vengono rispettate le condizioni previste all articolo 6 capoverso 2 LPD. Esempio: se il Paese di destinazione garantisce una protezione adeguata soltanto per i dati concernenti le persone fisiche, la comunicazione di dati riguardanti le persone giuridiche può avvenire soltanto se sono soddisfatte le condizioni dell articolo 6 capoverso 2 LPD. 3.2 Articolo 6 capoverso 2 LPD Osservazioni generali Se chi trasmette i dati giunge alla conclusione che la legislazione del Paese di destinazione non garantisce una protezione adeguata, la trasmissione può avvenire soltanto se sono rispettate le condizioni previste all articolo 6 capoverso 2 LPD. L articolo 6 capoverso 2 lettere a e g consente la trasmissione di dati all estero soltanto se esistono garanzie o regole che assicurano la protezione dei dati. In mancanza di tali garanzie o regole, i dati possono nondimeno essere trasmessi all estero se la comunicazione è giustificata da uno dei motivi previsti all articolo 6 capoverso 2 lettere b-f LPD Le condizioni alternative Articolo 6 capoverso 2 lettera a LPD: protezione dei dati all estero assicurata da garanzie contrattuali In mancanza di una legislazione che assicuri una protezione adeguata, la comunicazione dei dati all estero è possibile se esistono altre garanzie sufficienti. Simili garanzie possono ad esempio risultare da una normativa alla quale si sottopongono le persone o gli organi federali che si scambiano i dati. L IFPDT pubblica un elenco dei contratti modello e delle clausole contrattuali standard che ha allestito o riconosciuto (art. 6 cpv. 3 ultimo periodo OLPD). Sono considerati contratti modello riconosciuti per la trasmissione di dati all estero: le clausole contrattuali standard dell Unione europea: il contratto modello del Consiglio d Europa per la garanzia di un adeguata protezione nell ambito del flusso di dati transfrontaliero: Il contratto modello dell IFPDT per l esternalizzazione (outsourcing) di trattamenti di dati all estero (in inglese): Questo contratto vale esclusivamente per la trasmissione di dati all estero in vista di un esternalizzazione, secondo l articolo 10a LPD. In caso di esternalizzazione, lo scopo del trattamento dei dati resta immutato (il mandante e il mandatario trattano i dati allo stesso scopo; esempio: la gestione degli stipendi è affidata a un mandatario all estero). Il mandante resta inoltre sempre l unico detentore della collezione di dati, poiché è colui che decide esclusivamente in merito allo scopo e al contenuto di quest ultima (art. 3 lett. i LPD). Se non si tratta di outsourcing, tuttavia, spesso il destinatario di una comunicazione di dati cambia lo scopo del loro trattamento, diventando quindi detentore della collezione ai sensi della LPD. 1 Le persone o gli organi federali che trasmettono dati sono liberi di applicare altre forme di garanzia. La LPD non regola esplicitamente né la forma né il contenuto delle clausole contrattuali; può trattarsi di 1 Modificato nel novembre /11

7 un contratto specifico di protezione dei dati o di clausole inserite in un altro contratto. Le clausole devono garantire un livello di protezione dei dati adeguato, ossia conforme alla LPD. Devono comprendere tutti gli elementi rilevanti di una comunicazione di dati: identità dell emittente e del destinatario, categorie dei dati da trasmettere, scopo della trasmissione, categorie delle persone interessate, destinatari definitivi e durata della conservazione dei dati. Le clausole non devono inoltre intralciare il rispetto dei principi in materia di protezione dei dati, devono garantire i diritti delle persone interessate (diritto di informazione e di rettifica, diritto d azione) e prevedere un meccanismo di controllo. Se la comunicazione riguarda dati particolarmente degni di protezione o profili della personalità, occorre prevedere clausole contrattuali supplementari atte a garantire sicurezza e riservatezza. L Incaricato federale della protezione dei dati e della trasparenza deve tra l altro essere informato sulle garanzie date conformemente all articolo 6 capoverso 2 lettera a LPD (art. 6 cpv. 3 LPD e art. 6 cpv. 1 OLPD). L obbligo di informare del detentore della collezione di dati è considerato adempito per tutte le ulteriori comunicazioni che si fondano sulle stesse garanzie, sempreché le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano analoghi (art. 6 cpv. 2 lett. a OLPD). Articolo 6 capoverso 2 lettera b LPD: comunicazione dei dati giustificata dal consenso della persona interessata Questa disposizione precisa che la comunicazione dei dati deve avvenire in un caso specifico e concernere una situazione concreta. La persona interessata non può dare un consenso globale, approvando la comunicazione regolare e sistematica dei suoi dati all estero per scopi e in situazioni diversi. L interessato può invece dare il suo consenso in un caso concreto anche per più comunicazioni, se sono chiaramente definite le circostanze nelle quali tali comunicazioni avvengono. Ciò significa che le comunicazioni che avvengono alle stesse condizioni (destinatario, scopo, eventuale trasmissione) possono essere oggetto di un unica autorizzazione (cfr. Messaggio concernente la modifica della LPD, pag. 1911). A titolo di esempio, i verbali tenuti da membri di un gruppo di lavoro che si trovano in differenti Paesi possono essere comunicati senza che, per ogni singolo documento, occorra chiedere il consenso di tutte le persone interessate. Il consenso è valido soltanto se espresso liberamente e dopo debita informazione (art. 4 cpv. 5 LPD). Se la comunicazione concerne dati personali degni di particolare protezione, il consenso deve inoltre essere esplicito. La persona interessata deve sapere quali dati che la concernono sono comunicati, a quale destinatario sono trasmessi e a che scopo. Essa va inoltre informata anche dell assenza di un adeguata protezione dei dati. La volontà della persona interessata di manifestare il suo consenso deve essere espressa chiaramente e l autorizzazione per eventuali trattamenti e comunicazioni di dati deve poter essere revocata in ogni momento. L autorizzazione non esonera il detentore della collezione di dati dal suo dovere di diligenza, ad esempio in relazione ai provvedimenti atti a garantire la sicurezza dei dati o al dovere di accertarsi che il destinatario tratti i dati conformemente allo scopo previsto. Articolo 6 capoverso 2 lettera c LPD: comunicazione giustificata dalla necessità di trattare dati in relazione diretta con la conclusione o l esecuzione di un contratto Questa disposizione si applica alla comunicazione di dati personali a terzi all estero in vista della conclusione o dell esecuzione di un contratto. Si tratta in particolare di contratti relativi a prestazioni di servizi. I dati comunicati devono concernere l altro contraente. Se ad esempio viene concluso con un agenzia di viaggi un contratto che comprende la prenotazione di un hotel all estero, ai fini dell esecuzione del contratto l agenzia può comunicare all hotel i dati sui clienti. Sempre a titolo esemplificativo, si possono citare i seguenti casi in cui i dati riguardanti l altro contraente vengono comunicati a terzi nell ambito della conclusione o dell esecuzione di un contratto: 7/11

8 comunicazione di dati ad agenzie d informazioni di credito, per la verifica della solvibilità nell ambito di contratti di compravendita; comunicazione di dati da parte di spedizionieri a ditte di trasporto in relazione a contratti di consegna; comunicazione di dati da parte di comitive a imprese di trasporto nell ambito di prestazioni di trasporto internazionali (ferroviarie, di navigazione o aeree); comunicazione di dati nell ambito di transazioni bancarie od ordini nell ambito del traffico internazionale dei pagamenti. Se invece vengono comunicati dati riguardanti un terzo che non è parte contraente, occorre ottenerne il consenso (recapito di un terzo in caso di acquisti in Internet). Il consenso non è invece necessario se il terzo è legato da un contratto con una delle due parti contraenti (ad es. mandatario). Se il terzo beneficia della prestazione contrattuale, si presume spesso il suo tacito consenso. Articolo 6 capoverso 2 lettera d LPD: comunicazione dei dati giustificata da un interesse pubblico preponderante o indispensabile nell ambito di un procedimento giudiziario In base a questa disposizione, la comunicazione di dati è giustificata da un interesse pubblico preponderante oppure si rivela indispensabile nell ambito di un procedimento giudiziario. L interesse pubblico preponderante non deve necessariamente essere un interesse svizzero, ma deve essere ponderato alla luce del diritto elvetico. Vi è ad esempio una giustificazione legata a un interesse pubblico se una società calcistica comunica per ragioni di sicurezza dati personali concernenti tifosi violenti alle autorità dello Stato in cui si svolgerà la partita. L interesse pubblico preponderante non è invece automaticamente riconosciuto se uno Stato chiede la comunicazione di dati per motivi legati alla lotta al terrorismo, in particolare se i dati potrebbero essere utilizzati a fini illegittimi (ad esempio in violazione dei diritti umani). La comunicazione dei dati è possibile soltanto in singoli casi, ossia in una situazione determinata o in casi concreti. Deve essere indispensabile per rispondere all interesse che è stato fatto valere. La disposizione non si applica a comunicazioni di dati sistematiche o regolari. I dati comunicati possono concernere una o più persone. Chi comunica i dati deve dimostrare l esistenza di un interesse preponderante risultante dalla valutazione di tutte le circostanze. Occorre in particolare verificare se esiste la possibilità che lo Stato di destinazione trasmetta i dati a Stati terzi che non garantiscono una protezione adeguata. La comunicazione dei dati può essere impedita da altri interessi privati o pubblici preponderanti. Secondo questa disposizione, la trasmissione di dati all estero è possibile anche per accertare, esercitare o far valere un diritto in giustizia. La disposizione permette di comunicare dati riguardanti un terzo a un autorità giudiziaria o a un tribunale arbitrale riconosciuti di un Paese che non garantisce una protezione dei dati adeguata, se chi comunica i dati vuole fare valere un diritto nei confronti del terzo. Può trattarsi di una procedura civile, penale o amministrativa. La comunicazione dei dati deve tuttavia essere indispensabile per far valere il diritto in giustizia e i dati devono essere strettamente correlati con il procedimento in corso. Ciò significa che prima di comunicare i dati occorre ponderare gli interessi in gioco. Se il diritto può essere fatto valere anche senza la comunicazione dei dati, l interesse del terzo alla protezione delle informazioni che lo riguardano è preponderante. Se ad esempio vi sono dubbi quanto al rispetto del principio della finalità da parte delle autorità giudiziarie estere, occorre rinunciare alla comunicazione dei dati. Chi comunica i dati può farsi attestare che tale principio venga rispettato. La comunicazione dei dati può avvenire anche al di fuori della procedura giudiziaria, segnatamente al fine di far chiarire da un avvocato all estero l opportunità di un procedimento. 8/11

9 La persona che comunica i dati non deve necessariamente essere parte alla procedura, ma può essere anche un autorità, un esperto o un testimone. Un organo federale può comunicare dati al fine di permettere a una persona di far valere pretese giuridiche nei confronti di terzi (art. 19 cpv. 1 lett. d LPD). Articolo 6 capoverso 2 lettera e LPD: comunicazione di dati necessaria per proteggere la vita o l incolumità fisica della persona interessata Questa disposizione permette la comunicazione di dati se è necessario proteggere interessi vitali della persona interessata e se questa non è in grado di farli valere autonomamente (ad esempio in seguito a un incidente all estero). Deve essere possibile dedurre con certezza che la persona avrebbe acconsentito a comunicare tali dati. È ammessa la comunicazione di dati riguardanti persone vicine all interessato, se queste ultime non possono dare il loro consenso e senza la comunicazione la vita dell interessato sarebbe in pericolo. Articolo 6 capoverso 2 lettera f LPD: comunicazione giustificata dall accesso generalizzato ai dati concesso dalla persona interessata Chi ha reso accessibili i propri dati ma non vuole che vengano trattati senza restrizioni, deve comunicare espressamente per quali scopi i suoi dati possono essere trattati. L interessato può anche comunicare a una persona determinata incaricata di trattare i dati di non desiderare che i suoi dati resi pubblici vengano trattati (cfr. art. 12 cpv. 2 lett. b LPD). Articolo 6 capoverso 2 lettera g LPD: comunicazione giustificata da regole sulla protezione dei dati adottate all interno di un gruppo di persone giuridiche o di società Questa disposizione permette la comunicazione transfrontaliera di dati all interno dello stesso gruppo di persone giuridiche o di società (per la definizione di gruppo di società vedasi l art. 663e cpv. 1 CO; RS 220). Se i dati sono trattati in Svizzera, l articolo 6 capoverso 2 lettera g non esonera la società dall obbligo di rispettare le altre disposizioni della LPD, segnatamente per quel che concerne l obbligo di informare le persone interessate o il diritto d accesso. Per poter compensare la mancanza di un adeguato livello di protezione nello Stato destinatario, le regole sulla protezione dei dati adottate all interno di un gruppo di società devono soddisfare le seguenti esigenze: dal profilo materiale devono rispettare almeno le condizioni della Convenzione STE 108 e del Protocollo aggiuntivo relative alle persone private che raccolgono dati (cfr. in merito il commento relativo all art. 6 cpv. 2 lett. a LPD); il carattere vincolante delle regole applicabili ai singoli gruppi di società deve essere sancito formalmente e garantito in caso di applicazione nella prassi; l IFPDT deve essere informato in merito alle regole (art. 6 cpv. 3 LPD). L obbligatorietà formale può ad esempio essere decretata dal consiglio d amministrazione. Le singole società devono riprendere le regole e attuarle. L applicazione nella prassi può ad esempio essere garantita attraverso l effettuazione di pertinenti verifiche (audit). Secondo il diritto svizzero, l IFPDT non deve approvare le regole in materia di protezione dei dati, ma unicamente esserne informato. Entro certi limiti, le regole sulla protezione dei dati possono essere modificate senza che sia necessario informarne nuovamente l IFPDT. L IFPDT deve tra l altro essere informato delle regole che garantiscono un adeguata protezione dei dati (art. 6 cpv. 2 lett. g LPD; cfr. in merito l art. 6 cpv. 3 LPD). Se le regole di protezione dei dati sono state comunicate all IFPDT, l obbligo di informare del detentore della collezione di dati è pure considerato adempito per tutte le comunicazioni che si fondano sulle stesse garanzie, sempreché le 9/11

10 categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano analoghi (art. 6 cpv. 2 lett. a OLPD). 3.3 Articolo 6 capoverso 3 LPD Osservazioni generali L obbligo d informare del detentore di una collezione di dati Il detentore di una collezione di dati è tenuto a informare l IFPDT qualora la protezione dei dati debba essere assicurata da garanzie contrattuali (art. 6 cpv. 2 lett. a LPD) o da regole specifiche sulla protezione dei dati (art. 6 cpv. 2 lett. g LPD; cfr. anche art. 6 cpv. 1 OLPD). L IFPDT viene informato delle garanzie o delle regole sulla protezione dei dati, non della comunicazione in quanto tale. Se possibile, il detentore della collezione di dati informa l IFPDT prima della comunicazione dei dati all estero. L articolo non impartisce un termine preciso, ma concede al detentore una certa flessibilità. Se non è in grado di informare l IFPDT prima della comunicazione dei dati, il detentore deve provvedere appena possibile. Se le regole di protezione dei dati sono state comunicate una prima volta all IFPDT, l obbligo di informare del detentore della collezione di dati è pure considerato adempito per tutte le ulteriori comunicazioni che si fondano sulle stesse garanzie, sempreché le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano analoghi. Nell ambito della comunicazione di dati tra le società di un gruppo basterà un unica informazione sulle regole di protezione dei dati vincolanti per le società interessate. L informazione può avvenire tramite Internet. I moduli di annuncio previsti dalla vecchia LPD non sono più validi. La violazione dell obbligo d informazione è penalmente punibile (art. 34 cpv. 2 lett. a LPD). All IFPDT vanno trasmessi un esemplare o una copia delle garanzie convenute con il destinatario dei dati o delle regole sulla protezione dei dati applicabili nella società interessata. L articolo 6 capoverso 3 OLPD agevola l adempimento dell obbligo d informazione, permettendo al detentore di collezioni di dati di utilizzare contratti modello o clausole contrattuali standard allestiti o riconosciuti dall IFPDT (cfr ). In tal caso il detentore deve informare l IFPDT unicamente in termini generali che, per la comunicazione di dati in Stati che non garantiscono un livello adeguato di protezione dei dati, utilizza i contratti modello o le clausole contrattuali standard riconosciute dall IFPDT. Non è necessario produrre una copia di tali contratti o clausole. Tuttavia, se in singoli casi o per determinati dati applica altre garanzie, il detentore è tenuto a informarne l IFPDT secondo la procedura ordinaria. L obbligo di esame dell IFPDT L informazione deve permettere all IFPDT di esaminare l adeguatezza delle garanzie o delle regole sulla protezione dei dati secondo l articolo 6 capoverso 2 lettere a e g LPD. L obbligo di esame dell IFPDT è previsto dall articolo 31 capoverso 1 lettera e LPD. Se l informazione avviene secondo la procedura ordinaria (cfr a), l IFPDT esamina l intera normativa. Se l obbligo di informazione è agevolato, l Incaricato esamina unicamente lo scopo e l opportunità della comunicazione dei dati. L IFPDT non verifica le singole disposizioni della normativa standard applicata. L articolo 6 capoverso 5 OLPD fissa un termine di 30 giorni entro il quale l Incaricato deve esaminare se le garanzie e le regole che gli sono state comunicate assicurano un adeguato livello di protezione dei dati. Se il livello di protezione non è assicurato, l IFPDT contatta il detentore della collezione di dati e se necessario emana una raccomandazione secondo l articolo 29 LPD. Se entro il termine impartito non vi è alcuna reazione da parte dell IFPDT, il detentore della collezione di dati può partire dal presupposto che l Incaricato non ha nessuna obiezione da sollevare contro le garanzie e le regole sulla protezione dei dati presentate. 10/11

11 4. Responsabilità e pretese 4.1 Responsabilità del detentore della collezione di dati in caso di violazione del dovere di diligenza Il detentore della collezione di dati risponde del danno che potrebbe essere cagionato da una violazione del dovere di diligenza. Deve in particolare dimostrare di aver preso ogni provvedimento necessario per garantire un livello di protezione adeguato. L ordinanza concretizza questo dovere di diligenza, esigendo dal detentore della collezione di dati l adozione di misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati (art. 6 cpv. 4 OLPD). 4.2 Diritti della persona interessata in caso di violazione del dovere di diligenza La persona interessata può contestare la comunicazione di dati all estero davanti a un autorità giudiziaria (art. 15 cpv. 1 LPD). 11/11