La Trasmissione dei dati all estero in breve

Transcript

1 Incaricato federale della protezione dei dati e della trasparenza IFPDT La Trasmissione dei dati all estero in breve All attenzione delle autorità federali e dell economia privata (Ultime modificazioni: gennaio 2017) 1) Qual è lo scopo della revisione della LPD per quel che concerne la trasmissione dei dati all estero? Con la revisione della LPD, il diritto svizzero in materia di protezione dei dati è stato adeguato al Protocollo aggiuntivo alla Convenzione del Consiglio d Europa per la protezione delle persone in relazione all elaborazione automatica dei dati a carattere personale (Convenzione STE 108). È in tal modo possibile garantire: il massimo livello di protezione dei dati (analogo a quello garantito dalla Convenzione) e il libero flusso internazionale di dati tra Stati parte; che il trasferimento di dati a carattere personale a un destinatario che non ha aderito alla Convenzione può avvenire unicamente se lo Stato o l organizzazione destinatari possono assicurare un adeguato livello di protezione dei dati. 2) Dove e come la LPD disciplina la trasmissione di dati all estero? La disposizione cardine relativa alla trasmissione di dati all estero è l articolo 6 LPD, completato ed esplicitato da altre disposizioni della LPD e dell ordinanza sulla protezione dei dati (OLPD). Il tenore dell articolo 6 LPD è il seguente: 1 I dati personali non possono essere comunicati all estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all assenza di una legislazione che assicuri una protezione adeguata. 2 Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all estero soltanto se: a. garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all estero; b. la persona interessata ha dato il suo consenso nel caso specifico; c. il trattamento è in relazione diretta con la conclusione o l esecuzione di un contratto e i dati trattati concernono l altro contraente; d. nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia; e. nel caso specifico la comunicazione è necessaria per proteggere la vita o l incolumità fisica della persona interessata; f. la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento; g. la comunicazione ha luogo all interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che assicurano una protezione adeguata. 3 L Incaricato federale della protezione dei dati e della trasparenza (art. 26) deve essere informato sulle garanzie date conformemente al capoverso 2 lettera a e sulle regole di protezione dei dati conformemente al capoverso 2 lettera g. Il Consiglio federale regola i dettagli di questo obbligo di informare. 3) Quali novità terminologiche comporta la nuova normativa? La terminologia della LPD è stata adeguata a quella del Protocollo aggiuntivo e l esigenza di equivalenza è stata sostituita da quella di protezione adeguata. Rispetto al diritto previgente, tuttavia, Feldeggweg 1, 3003 Bern Tel , Fax

2 ciò non significa che le condizioni materiali per la comunicazione di dati all estero siano state inasprite o attenuate. 4) La pubblicazione di dati personali in Internet va considerata una comunicazione di dati all estero? La pubblicazione di dati personali mediante servizi automatizzati di informazione e comunicazione (come Internet) al fine di informare il pubblico non è assimilata a una comunicazione di dati all estero (art. 5 OLPD). Sono fatte salve le altre esigenze legali in materia di protezione dei dati. Gli organi federali hanno il diritto di comunicare dati personali soltanto se esiste un fondamento giuridico (art. 19 LPD). 5) Motivi alla base di una comunicazione di dati all estero: La comunicazione di dati personali all estero può essere dovuta: alla centralizzazione di un determinato trattamento di dati; all outsourcing di un trattamento di dati; o al rilevamento di una ditta da parte di una ditta estera. 6) Cosa si intende per dovere di diligenza del titolare della collezione di dati in occasione della trasmissione di dati all estero e di che tipo di obbligo si tratta? Il dovere di diligenza implica: il rispetto dei principi generali in materia di protezione dei dati sanciti dalla LPD (dovere generale di diligenza); la garanzia di una protezione adeguata dei dati nel Paese destinatario per ogni singola comunicazione (dovere speciale di diligenza); l informazione all IFPDT secondo l articolo 6 capoverso 3 LPD (dovere speciale di diligenza). 7) Quali principi in materia di protezione dei dati vanno rispettati nell ambito del dovere generale di diligenza? Le persone private che comunicano dati personali all estero devono: 1. giustificare la comunicazione di dati (art. 13 cpv. 1 LPD). Sono considerati motivi giustificativi: a. il consenso delle persone interessate, b. un interesse preponderante privato o pubblico, ad esempio la centralizzazione dei dati dei clienti o la gestione dei salari dei dipendenti, oppure c. una base legale; 2. verificare la legittimità della comunicazione dei dati (art. 4 cpv. 1 LPD). Una comunicazione di dati è illecita in particolare se viola il diritto svizzero; 3. far sì che le persone interessate siano in grado di riconoscere la comunicazione di dati prevista (principio della buona fede, art. 4 cpv. 2 e 4 LPD); 4. garantire che la comunicazione di dati sia proporzionale e conforme allo scopo previsto (art. 4 cpv. 2 e 3 LPD). Esempio: La ditta che intende centralizzare all estero l amministrazione degli stipendi può comunicare soltanto i dati relativi alle retribuzioni, dati che devono essere trattati conformemente allo scopo dichiarato; 5. garantire l esattezza dei dati (art. 5 LPD); 2/9

3 6. prendere i provvedimenti tecnici e organizzativi appropriati, al fine di garantire l integrità, la riservatezza e la disponibilità dei dati al momento della loro comunicazione (art. 7 LPD). 8) Quali principi in materia di protezione dei dati vanno rispettati nell ambito del dovere speciale di diligenza? Il detentore di una collezione di dati deve: verificare l adeguatezza della protezione dei dati nel Paese destinatario (art. 6 cpv. 1 LPD); assicurarsi che siano rispettate le condizioni alternative, qualora nel Paese destinatario non fosse garantita un adeguata protezione dei dati (art. 6 cpv. 2 LPD); informare l IFPDT secondo l articolo 6 capoverso 3 LPD. 9) Cosa va preso in considerazione nel valutare l adeguatezza della protezione dei dati nel Paese destinatario secondo l articolo 6 capoverso 1 LPD? Il detentore di una collezione di dati deve verificare se i principi sanciti nella Convenzione STE 108 e nel Protocollo aggiuntivo vengono rispettati nelle disposizioni di legge di carattere generale e settoriale e nella prassi giuridica del Paese destinatario. Occorre in particolare considerare se: i principi della LPD vengono rispettati, la persona interessata può tutelare i propri interessi in caso di mancato rispetto di tali principi, il diritto d accesso viene garantito, e se esiste un organo di vigilanza indipendente. Con l applicazione dello «Swiss-US Privacy Shield», gli Stati Uniti d America fanno parte dei Paesi la cui legislazione garantisce, a determinate condizioni, una protezione dei dati adeguata ai sensi dell articolo 6 capoverso 1 LPD. Come già prevedeva l accordo «Safe Harbor», le aziende statunitensi che aderiscono al Privacy Shield e che figurano nell elenco del Ministero del Commercio degli Stati Uniti (Department of Commerce, DOC) devono rispettare un livello di protezione dei dati adeguato per quanto riguarda i dati personali provenienti dalla Svizzera. Rispetto all accordo «Safe Harbor», il Privacy Shield introduce sia un rafforzamento dell applicazione dei principi di protezione dei dati che una migliore sorveglianza da parte delle autorità statunitensi. Fra l altro, alle persone interessate verranno messi a disposizione strumenti concreti per informarsi direttamente presso le aziende statunitensi certificate o le autorità competenti riguardo al trattamento dei loro dati personali, oltre che per esigere eventuali rettifiche o cancellazioni. Attraverso un dispositivo di mediazione, le persone interessate potranno anche influire indirettamente sul trattamento dei dati che le riguardano da parte delle autorità di sicurezza statunitensi. Nel caso in cui dovessero sorgere dei problemi nella trasmissione di dati verso gli Stati Uniti, l IFPDT è a loro disposizione quale interlocutore. Non appena la procedura di certificazione negli USA sarà attivata e le informazioni relative saranno disponibili, in questo sito sarà inserito un link dal quale si potrà accedere all elenco di tutte le aziende statunitensi certificate, oltre che a una documentazione più ampia sull argomento. 10) Che ruolo svolge l «elenco degli Stati che dispongono di una legislazione che assicura una protezione adeguata dei dati» allestito dall IFPDT? Per valutare l adeguatezza della protezione dei dati, il detentore di una collezione può fondarsi anche sull elenco di Stati pubblicato dall IFPDT (art. 31 cpv. 1 lett. d LPD e art. 7 OLPD). L elenco designa: gli Stati parte alla Convenzione STE 108 e al Protocollo aggiuntivo, o gli Stati che l IFPDT ritiene garantiscano una protezione dei dati adeguata. 3/9

4 L elenco viene costantemente aggiornato e non è esaustivo. Se uno Stato non vi figura, ciò non significa necessariamente che la sua legislazione non garantisca una protezione adeguata. Possono invocare la loro buona fede le persone private o gli organi federali che comunicano dati in uno Stato che, secondo l elenco, garantisce un adeguata protezione dei dati. Non possono invece invocarla se sono venuti a conoscenza di violazioni di disposizioni generali o settoriali in materia di protezione dei dati in tale Stato. In un simile caso la comunicazione può avvenire soltanto alle condizioni previste dall articolo 6 capoverso 2 LPD. 11) Qual è lo scopo dell articolo 6 capoverso 2 LPD? Se la legislazione dello Stato destinatario non garantisce un adeguata protezione, la comunicazione dei dati può avvenire soltanto alle condizioni definite dall articolo 6 capoverso 2 LPD. Esempio: se la legislazione dello Stato destinatario garantisce una protezione adeguata soltanto dei dati relativi a persone fisiche, i dati relativi a persone giuridiche possono essere comunicati soltanto se esistono garanzie di una protezione adeguata ai sensi dell articolo 6 capoverso 2 lettere a e g LPD. In mancanza di tali garanzie, i dati possono comunque essere comunicati in tale Stato se sono adempiute le condizioni previste all articolo 6 capoverso 2 lettere b-f (motivi giustificativi). 12) Quali sono le garanzie contrattuali che assicurano una protezione adeguata secondo l articolo 6 capoverso 2 lettera a LPD? I contratti modello o le clausole standard allestiti o riconosciuti dall IFPDT (art. 6 cpv. 3 OLPD) sono: le clausole contrattuali standard dell Unione europea: Il contratto modello del Consiglio d Europa per la garanzia di un adeguata protezione nell ambito del flusso di dati transfrontaliero: Il contratto modello dell IFPDT per l esternalizzazione (outsourcing) di trattamenti di dati all estero: Nota: In caso di esternalizzazione, il mandatario tratta i dati secondo lo scopo definito dal mandante. Il mandante resta inoltre sempre l unico detentore della collezione di dati, poiché è colui che decide esclusivamente in merito allo scopo e al contenuto di quest ultima (cfr. art. 3 lett. i LPD). Esempio: La gestione degli stipendi viene affidata a un mandatario all estero. Se non si tratta di outsourcing, tuttavia, spesso il destinatario di una comunicazione di dati cambia lo scopo del loro trattamento, diventando quindi detentore della collezione ai sensi della LPD. Esempio: Dati che originariamente venivano trattati esclusivamente per la gestione delle relazioni con i clienti, sono comunicati e trattati anche a scopo di marketing. Le persone o gli organi federali che desiderano trasmettere dati possono applicare anche altre garanzie, quali un contratto specifico di protezione dei dati o clausole contenute in altri contratti. Tali clausole devono garantire un livello di protezione dei dati adeguato, ossia conforme alla LPD. Esse devono essere applicabili a tutti gli elementi rilevanti ai fini della trasmissione dei dati; devono definire in particolare: l identità di chi trasmette i dati e quella di chi li riceve, le categorie dei dati da trasmettere, gli scopi della trasmissione, 4/9

5 le categorie delle persone interessate, il destinatario finale e la durata di conservazione. Le clausole di protezione dei dati devono inoltre: permettere il rispetto dei principi applicabili alla protezione dei dati; garantire i diritti delle persone interessate, ossia il diritto di informazione, di rettifica e di intentare azione; prevedere un meccanismo di controllo; prevedere misure atte a garantire la sicurezza e la riservatezza nell ambito della trasmissione di dati personali particolarmente degni di protezione o di profili della personalità. 13) Condizioni e caratteristiche del consenso alla comunicazione di dati all estero ai sensi dell articolo 6 capoverso 2 lettera b LPD: Il consenso deve: limitarsi a un singolo caso, ossia a una situazione concreta. Non è ammesso un consenso globale in favore di comunicazioni regolari e sistematiche di dati all estero, con scopi diversi e in situazioni diverse. Eccezionalmente, la nozione di «singolo caso» può comprendere non soltanto una singola comunicazione di dati all estero, ma una serie di comunicazioni, se le condizioni (in particolare lo scopo e il destinatario) rimangono le stesse. Esempio: In caso di comunicazione di svariati verbali di un gruppo di lavoro composto da persone provenienti da Stati diversi, non occorre chiedere il loro consenso per la comunicazione di ogni documento; essere espresso liberamente; essere espresso dopo debita informazione (art. 4 cpv. 5 LPD); essere esplicito, se la comunicazione concerne dati particolarmente degni di protezione; poter essere revocato in ogni momento, per eventuale trattamento o comunicazione dei dati. Il consenso non esonera il detentore della collezione di dati dal suo dovere di diligenza, ad esempio per quel che concerne l obbligo di prendere i provvedimenti atti a garantire la sicurezza dei dati o di accertarsi che il destinatario tratti i dati conformemente allo scopo. 14) Cosa si intende per comunicazione di dati in relazione diretta con la conclusione o l esecuzione di un contratto ai sensi dell articolo 6 capoverso 2 lettera c LPD? Si tratta del caso in cui una parte contrattuale comunica a terzi all estero dati personali concernenti l altra parte contrattuale, in vista della conclusione o dell esecuzione di un contratto. Esempi: comunicazione a un hotel all estero, da parte di un agenzia di viaggi, di dati riguardanti clienti; comunicazione di dati a un agenzia di informazioni di credito per verificare la solvibilità nell ambito di contratti di compravendita; comunicazione di dati da parte di spedizionieri a ditte di trasporto nell ambito di contratti di consegna; comunicazione di dati da parte di comitive di viaggio a imprese di trasporto nell ambito di prestazioni di trasporto internazionali (ferroviarie, di navigazione o aeree); comunicazione di dati nell ambito di transazioni bancarie od ordini nell ambito del traffico internazionale dei pagamenti. 5/9

6 15) Quando e a che condizioni possono essere comunicati dati secondo l articolo 6 capoverso 2 lettera d LPD? La comunicazione dei dati deve: essere giustificata da un interesse pubblico preponderante o deve rivelarsi indispensabile nell ambito di un procedimento giudiziario; essere indispensabile per adempiere tale interesse; avvenire soltanto nel caso concreto, ossia in una situazione determinata. Esempio: Una società calcistica comunica per ragioni di sicurezza dati personali concernenti tifosi violenti alle autorità dello Stato in cui si svolgerà la partita. Si rileva tra l altro che non è necessariamente riconosciuto un interesse preponderante allo Stato che richiede la comunicazione per motivi legati alla lotta al terrorismo, in particolare se tali dati potrebbero essere utilizzati a fini illegittimi (ad esempio in violazione dei diritti umani). 16) A quali condizioni è ammessa la comunicazione di dati secondo l articolo 6 capoverso 2 lettera e LPD? Secondo questa disposizione, è ammessa la comunicazione di dati se: è in gioco la vita o l incolumità fisica della persona interessata; la persona interessata non è in grado di far valere i propri interessi (ad esempio in seguito a un incidente all estero); è possibile presupporre che la persona interessata acconsenta alla comunicazione dei dati. È ammessa la comunicazione di dati riguardanti persone vicine all interessato, se queste ultime non possono dare il loro consenso e senza la comunicazione la vita dell interessato sarebbe in pericolo. 17) Come limitare la comunicazione di dati resi accessibili a chiunque secondo l articolo 6 capoverso 2 lettera f LPD? Chi ha reso accessibili i propri dati ma non vuole che vengano trattati senza restrizioni, deve comunicare espressamente per quali scopi i suoi dati possono essere trattati. L interessato può anche comunicare a una persona determinata incaricata di trattare i dati di non desiderare che i suoi dati resi pubblici vengano trattati (cfr. art. 12 cpv. 2 lett. b LPD). 18) Quali condizioni devono rispettare le regole sulla protezione dei dati adottate all interno di un gruppo di persone giuridiche o società secondo l articolo 6 capoverso 2 lettera g LPD? Per poter compensare la mancanza di un adeguato livello di protezione nello Stato destinatario, le regole sulla protezione dei dati adottate all interno di un gruppo di società devono soddisfare le seguenti esigenze: dal profilo materiale devono rispettare almeno le condizioni della Convenzione STE 108 e del Protocollo aggiuntivo relative alle persone private che trattano dati (cfr. in merito le considerazioni relative all art. 6 cpv. 2 lett. a LPD); il carattere vincolante delle regole applicabili ai singoli gruppi di società deve essere sancito formalmente e garantito in caso di applicazione nella prassi. Il carattere vincolante può ad esempio essere formalizzato attraverso un decreto del consiglio di amministrazione. L applicazione nella prassi può essere garantita ad esempio per mezzo di pertinenti verifiche (audit). Dall articolo 6 capoverso 2 lettera g LPD derivano altre regole: 6/9

7 il detentore della collezione di dati che tratta i dati in Svizzera non viene esonerato dall obbligo di rispettare le altre disposizioni della LPD; le regole devono essere riprese e attuate dalle singole società. 19) Quando l IFPDT deve essere informato di una comunicazione di dati? L IFPDT va informato (art. 6 cpv. 3 LPD e art. 6 cpv. 1 OLPD): in caso di comunicazioni di dati secondo l articolo 6 capoverso 2 lettera a LPD (garanzia contrattuale di una protezione dei dati adeguata); in caso di comunicazioni di dati secondo l articolo 6 capoverso 2 lettera g LPD (garanzia di un adeguata protezione dei dati grazie a pertinenti regole adottate all interno di un gruppo di società). 20) Come va informato l IFPDT? L informazione consiste in una copia delle garanzie o delle regole sulla protezione dei dati convenute con il destinatario. Se vengono utilizzati contratti modello o clausole standard, il detentore della collezione di dati deve informare l IFPDT soltanto in termini generali dell impiego fatto di tali modelli o clausole. Se in singoli casi o per determinate parti della comunicazione di dati applica altre garanzie, il detentore deve trasmettere all IFPDT una copia di tali garanzie. Se le garanzie e le regole di protezione dei dati sono state comunicate una prima volta all Incaricato, l obbligo di informare del detentore della collezione di dati è pure considerato adempito per tutte le ulteriori comunicazioni che si fondano sulle stesse garanzie, sempreché le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano essenzialmente analoghi. L IFPDT non deve essere informato in merito a ogni singola o lettera spedita all estero. Non vi è in particolare obbligo di informare in merito a invii personali o privati. Il detentore della collezione di dati informa l IFPDT prima della comunicazione all estero. Se ciò non fosse fattibile, il detentore deve provvedere appena possibile. È possibile informare via Internet. I moduli di annuncio previsti dalla vecchia LPD non sono più validi. La violazione dell obbligo d informazione è penalmente punibile (art. 34 cpv. 2 lett. a LPD). 21) In cosa consiste l esame dell IFPDT? Se per la comunicazione di dati all estero vengono utilizzati contratti modello, l IFPDT si limita a prenderne atto, senza procedere a un esame. Se non vengono utilizzati contratti modello, o se questi sono stati modificati in punti essenziali, l IFPDT può procedere a un esame della regolamentazione. L IFPDT deve procedere al suo esame entro 30 giorni (art. 6 cpv. 5 OLPD). Se le garanzie e le regole in materia di protezione dei dati non assicurano una protezione adeguata, l IFPDT può contattare il detentore della collezione e, se necessario, emanare una raccomandazione secondo l articolo 29 LPD. Se entro il termine impartito non vi è alcuna reazione da parte dell IFPDT, il detentore della collezione di dati può partire dal presupposto che l IFPDT non ha alcuna obiezione in merito alle garanzie e alle regole sulla protezione dei dati presentate. 7/9

8 22) Quali sono le conseguenze di una violazione del dovere di diligenza? Il detentore di collezioni di dati risponde degli inconvenienti originati da una violazione del suo dovere di diligenza. Deve in particolare dimostrare di aver preso tutte le misure necessarie al fine di garantire un adeguato livello di protezione. Questo aspetto del dovere di diligenza è concretizzato nell ordinanza, in cui è previsto che il detentore prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati (art. 6 cpv. 4 OLPD). 8/9

9 23) L interessato può contestare la violazione del dovere di diligenza? Se in occasione della comunicazione dei dati all estero è stato violato il dovere di diligenza, la persona interessata può intentare un azione ai sensi dell articolo 15 capoverso 1 LPD. 24) Se dati personali vengono regolarmente comunicati a terzi all estero, occorre notificare la collezione di dati secondo l articolo 11a LPD? Sì, in tal caso le collezioni di dati vanno notificate all IFPDT secondo l articolo 11a capoverso 3 lettera b LPD. La notifica mira a creare trasparenza attorno alle collezioni i cui dati vengono regolarmente comunicati a terzi all estero. In caso di trasmissione di dati all estero, all occorrenza l IFPDT va informato anche ai sensi dell articolo 6 capoverso 3 LPD. 9/9