La Trasmissione dei dati all estero in breve

Documenti analoghi
Guida per il trattamento di dati personali nei settore privato

Ordinanza sulle procedure di certificazione della protezione dei dati (OCPD)

Ordinanza sulle certificazioni in materia di protezione dei dati

Tabella delle concordanze: avamprogetto LPD/ riforma del Consiglio d Europa / riforma dell Unione europea

Ordinanza sul sistema di trattamento dei dati concernenti le prestazioni di sicurezza private

Ordinanza sull assistenza amministrativa secondo le convenzioni per evitare le doppie imposizioni (OACDI)

Cittadini più garantiti

CONSIGLIO D EUROPA. Raccomanda ai Governi degli Stati membri :

sulle raccolte del diritto federale e sul Foglio federale

Ordinanza relativa alla legge federale sulla protezione dei dati

Ordinanza 3 sull asilo relativa al trattamento di dati personali

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Ordinanza concernente l autorizzazione a togliere il segreto professionale in materia di ricerca medica

RACCOMANDAZIONE N. R (89) 2 SULL USO DEI DATI PERSONALI PER SCOPI DI LAVORO

Legge sulla protezione dei dati personali elaborati dalla polizia cantonale e dalle polizie comunali (LPDPpol) (del 13 dicembre 1999)

Legge federale sul principio di trasparenza dell amministrazione

VENDITA PER CORRISPONDENZA DI PEZZI PIROTECNICI DELLE CATEGORIE 1 3

EVENTI CON PIANO B LINEE GUIDA. revisione 1.0

Autorizzazione generale a togliere il segreto professionale per scopi di ricerca nei campi della medicina e della sanità pubblica

Legge sulla protezione dei dati personali (LPDP) 1 (del 9 marzo 1987)

Legge federale sul collocamento e il personale a prestito

Art. 4 È considerata confidenziale l informazione comunicata in buona fede alla polizia da chi ha un interesse legittimo all anonimato.

del 19 giugno 1992 (Stato 1 gennaio 2011)

L attuazione del GDPR in Italia: sfide e opportunità

Legge federale sugli agenti terapeutici: nuovo quadro legislativo

Ordinanza dell Autorità federale di vigilanza sui mercati finanziari sulle banche estere in Svizzera

OPENJOBMETIS S.P.A. AGENZIA PER IL LAVORO REGOLAMENTO DELL ELENCO DELLE PERSONE AVENTI ACCESSO A INFORMAZIONI PRIVILEGIATE

Ordinanza sui servizi di elenchi della Confederazione gestiti dall UFIT

Ordinanza sull assistenza amministrativa secondo le convenzioni per evitare le doppie imposizioni

Ordinanza concernente l apprezzamento medico dell idoneità al servizio militare e dell idoneità a prestare servizio militare

Legge federale sull assicurazione contro gli infortuni

CLAUSOLA DI REGOLAMENTO DEL RAPPORTO PRIVACY TRA AUTORITA PORTUALE DI NAPOLI E. IN VIRTU DELLA CONVENZIONE PER IL SERVIZIO DI CASSA E

La normativa sulla privacy è definita in Italia come normativa sulla PROTEZIONE DEI DATI PERSONALI

Legge federale sul trattamento di dati personali da parte del Dipartimento federale degli affari esteri

Informativa e richiesta di consenso al trattamento dei dati personali ai sensi dell art. 13 del D.Lgs. 196/2003

Accordo tra il Consiglio federale svizzero e il Governo della Romania concernente la soppressione reciproca dell obbligo del visto

REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI CONTENUTI IN ARCHIVI E BANCHE DATI COMUNALI

Legge federale sulla protezione dei dati

del 18 giugno 2010 (Stato 1 gennaio 2017)

P O L I T I C A D I P R I V A C Y

Politica sulla Privacy

I. Procedura d iscrizione nel registro di commercio A. Trasferimento della sede a un luogo scelto nella Svizzera (art. 4 cpv. 1 D)

Ordinanza concernente le imprese di costruzione di aeromobili

Sistemi informativi in ambito sanitario e protezione dei dati personali

Ordinanza concernente l impiego delle designazioni «montagna» e «alpe» per i prodotti agricoli e le derrate alimentari da essi ottenute

TRATTAMENTO DEI DATI PERSONALI Informativa ex art. 13 d. lgs. 30 giugno 2003 n. 196

Lettera di vettura elettronica. Prot. add. relativo alla CMR RU 2011

Videosorveglianza Decalogo e regole per la privacy

Ordinanza sul sistema elettronico di gestione delle persone, degli atti e delle pratiche dell Ufficio federale di giustizia

Ordinanza sul controllo del commercio dei vini

Ordinanza sul registro degli incidenti stradali

CONVENZIONE. tra. l Associazione svizzera degli impiegati di banca (ASIB) l Organizzazione padronale delle banche in Svizzera (OP Banche)

Ordinanza sulla procedura d approvazione dei piani di impianti elettrici

Accordo. Traduzione 1

Ordinanza concernente la mediazione matrimoniale o di ricerca di partner a titolo professionale nei confronti di o per persone all estero

Ordinanza commissionale sulle offerte pubbliche di acquisto

sulla valutazione del merito creditizio

Proposta di Cessione del Contratto Mobile

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

SCHEDA DONATORE INFORMATIVA AI SENSI DEL CODICE PRIVACY AI FINI DELLA RACCOLTA DELLE DONAZIONI

Allegato alla Raccomandazione n. R(95)4

Ordinanza concernente la banca dati sul traffico di animali

Ordinanza concernente le designazioni «montagna» e «alpe» per i prodotti agricoli e per i prodotti agricoli trasformati

Ordinanza concernente la sicurezza delle macchine

Legge federale sulle misure per la salvaguardia della sicurezza interna

Legge federale sull assicurazione contro gli infortuni

Art. 1. (Finalità) Art. 2. (Definizioni)

Ordinanza sull'agricoltura biologica e la designazione dei prodotti e delle derrate alimentari ottenuti biologicamente

Legge sul censimento federale della popolazione

Informativa e consenso al trattamento dei dati personali

mercati finanziari Informazioni riguardo alla domanda presentata da imprese di revisione

Accordo tra la Confederazione Svizzera e la Repubblica delle Filippine sulla riammissione di persone senza dimora autorizzata

Circolare della Commissione federale delle banche: Delega di compiti da parte della direzione del fondo e della SICAV

Legge federale sull'ingegneria genetica nel settore non umano

DIRITTO DELL UNIONE EUROPEA. Il diritto derivato

Legge sul principio di trasparenza (legge sulla trasparenza)

Regolamento. Per il trattamento dei dati personali (legge , n. 675)

Revoca della dichiarazione di scomparsa

COMMISSIONE DELLE COMUNITÀ EUROPEE

(Ordinanza sulle agenzie per l accreditamento di scuole universitarie professionali) del

del 3 novembre 2004 (Stato 1 giugno 2012)

ART. 1 Norme generali

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

Ordinanza concernente il rilascio di documenti di viaggio a stranieri

Legge cantonale sulla protezione dei dati (LCPD)

Regolamento del Tribunale penale federale concernente l archiviazione

Legge federale sull assistenza amministrativa internazionale

Ordinanza commissionale sulle offerte pubbliche di acquisto

6(((((((((((((((((((((((((((((( )((((((((((((((((((((((((((((((

Legge federale sull attuazione dell Accordo FATCA tra la Svizzera e gli Stati Uniti

Ordinanza sul registro delle carte per l odocronografo

REGOLAMENTO ALBO FORNITORI

Ordinanza sull adempimento di compiti di polizia giudiziaria in seno all Ufficio federale di polizia

UFFICIO SEGRETERIA all. alla deliberazione C.C. n. 21 del 22/05/2006 COMUNE DI BREMBILLA PROVINCIA DI BERGAMO SISTEMA DI VIDEOSORVEGLIANZA

MODULO ISCRIZIONE VI CORSO PER MEDIATORI / CONCILIATORI PROFESSIONISTI ORDINE DOTTORI COMMERCIALISTI

Ordinanza concernente la produzione e la messa in commercio degli alimenti per animali

Ordinanza sulla statistica del commercio esterno

SCHEMA DI REGOLAMENTO SULL ESERCIZIO DELLE COMPETENZE DI CUI AL DECRETO LEGISLATIVO 15 MARZO 2017, N

Regolamento interno della Commissione federale delle case da gioco

Ordinanza sull organizzazione della Cancelleria federale

Transcript:

Incaricato federale della protezione dei dati e della trasparenza IFPDT La Trasmissione dei dati all estero in breve All attenzione delle autorità federali e dell economia privata (Ultime modificazioni: gennaio 2017) 1) Qual è lo scopo della revisione della LPD per quel che concerne la trasmissione dei dati all estero? Con la revisione della LPD, il diritto svizzero in materia di protezione dei dati è stato adeguato al Protocollo aggiuntivo alla Convenzione del Consiglio d Europa per la protezione delle persone in relazione all elaborazione automatica dei dati a carattere personale (Convenzione STE 108). È in tal modo possibile garantire: il massimo livello di protezione dei dati (analogo a quello garantito dalla Convenzione) e il libero flusso internazionale di dati tra Stati parte; che il trasferimento di dati a carattere personale a un destinatario che non ha aderito alla Convenzione può avvenire unicamente se lo Stato o l organizzazione destinatari possono assicurare un adeguato livello di protezione dei dati. 2) Dove e come la LPD disciplina la trasmissione di dati all estero? La disposizione cardine relativa alla trasmissione di dati all estero è l articolo 6 LPD, completato ed esplicitato da altre disposizioni della LPD e dell ordinanza sulla protezione dei dati (OLPD). Il tenore dell articolo 6 LPD è il seguente: 1 I dati personali non possono essere comunicati all estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all assenza di una legislazione che assicuri una protezione adeguata. 2 Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all estero soltanto se: a. garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all estero; b. la persona interessata ha dato il suo consenso nel caso specifico; c. il trattamento è in relazione diretta con la conclusione o l esecuzione di un contratto e i dati trattati concernono l altro contraente; d. nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per accertare, esercitare o far valere un diritto in giustizia; e. nel caso specifico la comunicazione è necessaria per proteggere la vita o l incolumità fisica della persona interessata; f. la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento; g. la comunicazione ha luogo all interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che assicurano una protezione adeguata. 3 L Incaricato federale della protezione dei dati e della trasparenza (art. 26) deve essere informato sulle garanzie date conformemente al capoverso 2 lettera a e sulle regole di protezione dei dati conformemente al capoverso 2 lettera g. Il Consiglio federale regola i dettagli di questo obbligo di informare. 3) Quali novità terminologiche comporta la nuova normativa? La terminologia della LPD è stata adeguata a quella del Protocollo aggiuntivo e l esigenza di equivalenza è stata sostituita da quella di protezione adeguata. Rispetto al diritto previgente, tuttavia, Feldeggweg 1, 3003 Bern Tel. 058 462 43 95, Fax 058 465 99 96 www.edoeb.admin.ch

ciò non significa che le condizioni materiali per la comunicazione di dati all estero siano state inasprite o attenuate. 4) La pubblicazione di dati personali in Internet va considerata una comunicazione di dati all estero? La pubblicazione di dati personali mediante servizi automatizzati di informazione e comunicazione (come Internet) al fine di informare il pubblico non è assimilata a una comunicazione di dati all estero (art. 5 OLPD). Sono fatte salve le altre esigenze legali in materia di protezione dei dati. Gli organi federali hanno il diritto di comunicare dati personali soltanto se esiste un fondamento giuridico (art. 19 LPD). 5) Motivi alla base di una comunicazione di dati all estero: La comunicazione di dati personali all estero può essere dovuta: alla centralizzazione di un determinato trattamento di dati; all outsourcing di un trattamento di dati; o al rilevamento di una ditta da parte di una ditta estera. 6) Cosa si intende per dovere di diligenza del titolare della collezione di dati in occasione della trasmissione di dati all estero e di che tipo di obbligo si tratta? Il dovere di diligenza implica: il rispetto dei principi generali in materia di protezione dei dati sanciti dalla LPD (dovere generale di diligenza); la garanzia di una protezione adeguata dei dati nel Paese destinatario per ogni singola comunicazione (dovere speciale di diligenza); l informazione all IFPDT secondo l articolo 6 capoverso 3 LPD (dovere speciale di diligenza). 7) Quali principi in materia di protezione dei dati vanno rispettati nell ambito del dovere generale di diligenza? Le persone private che comunicano dati personali all estero devono: 1. giustificare la comunicazione di dati (art. 13 cpv. 1 LPD). Sono considerati motivi giustificativi: a. il consenso delle persone interessate, b. un interesse preponderante privato o pubblico, ad esempio la centralizzazione dei dati dei clienti o la gestione dei salari dei dipendenti, oppure c. una base legale; 2. verificare la legittimità della comunicazione dei dati (art. 4 cpv. 1 LPD). Una comunicazione di dati è illecita in particolare se viola il diritto svizzero; 3. far sì che le persone interessate siano in grado di riconoscere la comunicazione di dati prevista (principio della buona fede, art. 4 cpv. 2 e 4 LPD); 4. garantire che la comunicazione di dati sia proporzionale e conforme allo scopo previsto (art. 4 cpv. 2 e 3 LPD). Esempio: La ditta che intende centralizzare all estero l amministrazione degli stipendi può comunicare soltanto i dati relativi alle retribuzioni, dati che devono essere trattati conformemente allo scopo dichiarato; 5. garantire l esattezza dei dati (art. 5 LPD); 2/9

6. prendere i provvedimenti tecnici e organizzativi appropriati, al fine di garantire l integrità, la riservatezza e la disponibilità dei dati al momento della loro comunicazione (art. 7 LPD). 8) Quali principi in materia di protezione dei dati vanno rispettati nell ambito del dovere speciale di diligenza? Il detentore di una collezione di dati deve: verificare l adeguatezza della protezione dei dati nel Paese destinatario (art. 6 cpv. 1 LPD); assicurarsi che siano rispettate le condizioni alternative, qualora nel Paese destinatario non fosse garantita un adeguata protezione dei dati (art. 6 cpv. 2 LPD); informare l IFPDT secondo l articolo 6 capoverso 3 LPD. 9) Cosa va preso in considerazione nel valutare l adeguatezza della protezione dei dati nel Paese destinatario secondo l articolo 6 capoverso 1 LPD? Il detentore di una collezione di dati deve verificare se i principi sanciti nella Convenzione STE 108 e nel Protocollo aggiuntivo vengono rispettati nelle disposizioni di legge di carattere generale e settoriale e nella prassi giuridica del Paese destinatario. Occorre in particolare considerare se: i principi della LPD vengono rispettati, la persona interessata può tutelare i propri interessi in caso di mancato rispetto di tali principi, il diritto d accesso viene garantito, e se esiste un organo di vigilanza indipendente. Con l applicazione dello «Swiss-US Privacy Shield», gli Stati Uniti d America fanno parte dei Paesi la cui legislazione garantisce, a determinate condizioni, una protezione dei dati adeguata ai sensi dell articolo 6 capoverso 1 LPD. Come già prevedeva l accordo «Safe Harbor», le aziende statunitensi che aderiscono al Privacy Shield e che figurano nell elenco del Ministero del Commercio degli Stati Uniti (Department of Commerce, DOC) devono rispettare un livello di protezione dei dati adeguato per quanto riguarda i dati personali provenienti dalla Svizzera. Rispetto all accordo «Safe Harbor», il Privacy Shield introduce sia un rafforzamento dell applicazione dei principi di protezione dei dati che una migliore sorveglianza da parte delle autorità statunitensi. Fra l altro, alle persone interessate verranno messi a disposizione strumenti concreti per informarsi direttamente presso le aziende statunitensi certificate o le autorità competenti riguardo al trattamento dei loro dati personali, oltre che per esigere eventuali rettifiche o cancellazioni. Attraverso un dispositivo di mediazione, le persone interessate potranno anche influire indirettamente sul trattamento dei dati che le riguardano da parte delle autorità di sicurezza statunitensi. Nel caso in cui dovessero sorgere dei problemi nella trasmissione di dati verso gli Stati Uniti, l IFPDT è a loro disposizione quale interlocutore. Non appena la procedura di certificazione negli USA sarà attivata e le informazioni relative saranno disponibili, in questo sito sarà inserito un link dal quale si potrà accedere all elenco di tutte le aziende statunitensi certificate, oltre che a una documentazione più ampia sull argomento. 10) Che ruolo svolge l «elenco degli Stati che dispongono di una legislazione che assicura una protezione adeguata dei dati» allestito dall IFPDT? Per valutare l adeguatezza della protezione dei dati, il detentore di una collezione può fondarsi anche sull elenco di Stati pubblicato dall IFPDT (art. 31 cpv. 1 lett. d LPD e art. 7 OLPD). L elenco designa: gli Stati parte alla Convenzione STE 108 e al Protocollo aggiuntivo, o gli Stati che l IFPDT ritiene garantiscano una protezione dei dati adeguata. 3/9

L elenco viene costantemente aggiornato e non è esaustivo. Se uno Stato non vi figura, ciò non significa necessariamente che la sua legislazione non garantisca una protezione adeguata. Possono invocare la loro buona fede le persone private o gli organi federali che comunicano dati in uno Stato che, secondo l elenco, garantisce un adeguata protezione dei dati. Non possono invece invocarla se sono venuti a conoscenza di violazioni di disposizioni generali o settoriali in materia di protezione dei dati in tale Stato. In un simile caso la comunicazione può avvenire soltanto alle condizioni previste dall articolo 6 capoverso 2 LPD. 11) Qual è lo scopo dell articolo 6 capoverso 2 LPD? Se la legislazione dello Stato destinatario non garantisce un adeguata protezione, la comunicazione dei dati può avvenire soltanto alle condizioni definite dall articolo 6 capoverso 2 LPD. Esempio: se la legislazione dello Stato destinatario garantisce una protezione adeguata soltanto dei dati relativi a persone fisiche, i dati relativi a persone giuridiche possono essere comunicati soltanto se esistono garanzie di una protezione adeguata ai sensi dell articolo 6 capoverso 2 lettere a e g LPD. In mancanza di tali garanzie, i dati possono comunque essere comunicati in tale Stato se sono adempiute le condizioni previste all articolo 6 capoverso 2 lettere b-f (motivi giustificativi). 12) Quali sono le garanzie contrattuali che assicurano una protezione adeguata secondo l articolo 6 capoverso 2 lettera a LPD? I contratti modello o le clausole standard allestiti o riconosciuti dall IFPDT (art. 6 cpv. 3 OLPD) sono: le clausole contrattuali standard dell Unione europea: http://ec.europa.eu/justice/dataprotection/document/international-transfers/transfer/index_en.htm Il contratto modello del Consiglio d Europa per la garanzia di un adeguata protezione nell ambito del flusso di dati transfrontaliero: http://www.coe.int/t/dghl/standardsetting/dataprotection/reports/contrattype_1992.pdf Il contratto modello dell IFPDT per l esternalizzazione (outsourcing) di trattamenti di dati all estero: http://www.edoeb.admin.ch/datenschutz/00626/00743/00858/00859/index.html?lang=it Nota: In caso di esternalizzazione, il mandatario tratta i dati secondo lo scopo definito dal mandante. Il mandante resta inoltre sempre l unico detentore della collezione di dati, poiché è colui che decide esclusivamente in merito allo scopo e al contenuto di quest ultima (cfr. art. 3 lett. i LPD). Esempio: La gestione degli stipendi viene affidata a un mandatario all estero. Se non si tratta di outsourcing, tuttavia, spesso il destinatario di una comunicazione di dati cambia lo scopo del loro trattamento, diventando quindi detentore della collezione ai sensi della LPD. Esempio: Dati che originariamente venivano trattati esclusivamente per la gestione delle relazioni con i clienti, sono comunicati e trattati anche a scopo di marketing. Le persone o gli organi federali che desiderano trasmettere dati possono applicare anche altre garanzie, quali un contratto specifico di protezione dei dati o clausole contenute in altri contratti. Tali clausole devono garantire un livello di protezione dei dati adeguato, ossia conforme alla LPD. Esse devono essere applicabili a tutti gli elementi rilevanti ai fini della trasmissione dei dati; devono definire in particolare: l identità di chi trasmette i dati e quella di chi li riceve, le categorie dei dati da trasmettere, gli scopi della trasmissione, 4/9

le categorie delle persone interessate, il destinatario finale e la durata di conservazione. Le clausole di protezione dei dati devono inoltre: permettere il rispetto dei principi applicabili alla protezione dei dati; garantire i diritti delle persone interessate, ossia il diritto di informazione, di rettifica e di intentare azione; prevedere un meccanismo di controllo; prevedere misure atte a garantire la sicurezza e la riservatezza nell ambito della trasmissione di dati personali particolarmente degni di protezione o di profili della personalità. 13) Condizioni e caratteristiche del consenso alla comunicazione di dati all estero ai sensi dell articolo 6 capoverso 2 lettera b LPD: Il consenso deve: limitarsi a un singolo caso, ossia a una situazione concreta. Non è ammesso un consenso globale in favore di comunicazioni regolari e sistematiche di dati all estero, con scopi diversi e in situazioni diverse. Eccezionalmente, la nozione di «singolo caso» può comprendere non soltanto una singola comunicazione di dati all estero, ma una serie di comunicazioni, se le condizioni (in particolare lo scopo e il destinatario) rimangono le stesse. Esempio: In caso di comunicazione di svariati verbali di un gruppo di lavoro composto da persone provenienti da Stati diversi, non occorre chiedere il loro consenso per la comunicazione di ogni documento; essere espresso liberamente; essere espresso dopo debita informazione (art. 4 cpv. 5 LPD); essere esplicito, se la comunicazione concerne dati particolarmente degni di protezione; poter essere revocato in ogni momento, per eventuale trattamento o comunicazione dei dati. Il consenso non esonera il detentore della collezione di dati dal suo dovere di diligenza, ad esempio per quel che concerne l obbligo di prendere i provvedimenti atti a garantire la sicurezza dei dati o di accertarsi che il destinatario tratti i dati conformemente allo scopo. 14) Cosa si intende per comunicazione di dati in relazione diretta con la conclusione o l esecuzione di un contratto ai sensi dell articolo 6 capoverso 2 lettera c LPD? Si tratta del caso in cui una parte contrattuale comunica a terzi all estero dati personali concernenti l altra parte contrattuale, in vista della conclusione o dell esecuzione di un contratto. Esempi: comunicazione a un hotel all estero, da parte di un agenzia di viaggi, di dati riguardanti clienti; comunicazione di dati a un agenzia di informazioni di credito per verificare la solvibilità nell ambito di contratti di compravendita; comunicazione di dati da parte di spedizionieri a ditte di trasporto nell ambito di contratti di consegna; comunicazione di dati da parte di comitive di viaggio a imprese di trasporto nell ambito di prestazioni di trasporto internazionali (ferroviarie, di navigazione o aeree); comunicazione di dati nell ambito di transazioni bancarie od ordini nell ambito del traffico internazionale dei pagamenti. 5/9

15) Quando e a che condizioni possono essere comunicati dati secondo l articolo 6 capoverso 2 lettera d LPD? La comunicazione dei dati deve: essere giustificata da un interesse pubblico preponderante o deve rivelarsi indispensabile nell ambito di un procedimento giudiziario; essere indispensabile per adempiere tale interesse; avvenire soltanto nel caso concreto, ossia in una situazione determinata. Esempio: Una società calcistica comunica per ragioni di sicurezza dati personali concernenti tifosi violenti alle autorità dello Stato in cui si svolgerà la partita. Si rileva tra l altro che non è necessariamente riconosciuto un interesse preponderante allo Stato che richiede la comunicazione per motivi legati alla lotta al terrorismo, in particolare se tali dati potrebbero essere utilizzati a fini illegittimi (ad esempio in violazione dei diritti umani). 16) A quali condizioni è ammessa la comunicazione di dati secondo l articolo 6 capoverso 2 lettera e LPD? Secondo questa disposizione, è ammessa la comunicazione di dati se: è in gioco la vita o l incolumità fisica della persona interessata; la persona interessata non è in grado di far valere i propri interessi (ad esempio in seguito a un incidente all estero); è possibile presupporre che la persona interessata acconsenta alla comunicazione dei dati. È ammessa la comunicazione di dati riguardanti persone vicine all interessato, se queste ultime non possono dare il loro consenso e senza la comunicazione la vita dell interessato sarebbe in pericolo. 17) Come limitare la comunicazione di dati resi accessibili a chiunque secondo l articolo 6 capoverso 2 lettera f LPD? Chi ha reso accessibili i propri dati ma non vuole che vengano trattati senza restrizioni, deve comunicare espressamente per quali scopi i suoi dati possono essere trattati. L interessato può anche comunicare a una persona determinata incaricata di trattare i dati di non desiderare che i suoi dati resi pubblici vengano trattati (cfr. art. 12 cpv. 2 lett. b LPD). 18) Quali condizioni devono rispettare le regole sulla protezione dei dati adottate all interno di un gruppo di persone giuridiche o società secondo l articolo 6 capoverso 2 lettera g LPD? Per poter compensare la mancanza di un adeguato livello di protezione nello Stato destinatario, le regole sulla protezione dei dati adottate all interno di un gruppo di società devono soddisfare le seguenti esigenze: dal profilo materiale devono rispettare almeno le condizioni della Convenzione STE 108 e del Protocollo aggiuntivo relative alle persone private che trattano dati (cfr. in merito le considerazioni relative all art. 6 cpv. 2 lett. a LPD); il carattere vincolante delle regole applicabili ai singoli gruppi di società deve essere sancito formalmente e garantito in caso di applicazione nella prassi. Il carattere vincolante può ad esempio essere formalizzato attraverso un decreto del consiglio di amministrazione. L applicazione nella prassi può essere garantita ad esempio per mezzo di pertinenti verifiche (audit). Dall articolo 6 capoverso 2 lettera g LPD derivano altre regole: 6/9

il detentore della collezione di dati che tratta i dati in Svizzera non viene esonerato dall obbligo di rispettare le altre disposizioni della LPD; le regole devono essere riprese e attuate dalle singole società. 19) Quando l IFPDT deve essere informato di una comunicazione di dati? L IFPDT va informato (art. 6 cpv. 3 LPD e art. 6 cpv. 1 OLPD): in caso di comunicazioni di dati secondo l articolo 6 capoverso 2 lettera a LPD (garanzia contrattuale di una protezione dei dati adeguata); in caso di comunicazioni di dati secondo l articolo 6 capoverso 2 lettera g LPD (garanzia di un adeguata protezione dei dati grazie a pertinenti regole adottate all interno di un gruppo di società). 20) Come va informato l IFPDT? L informazione consiste in una copia delle garanzie o delle regole sulla protezione dei dati convenute con il destinatario. Se vengono utilizzati contratti modello o clausole standard, il detentore della collezione di dati deve informare l IFPDT soltanto in termini generali dell impiego fatto di tali modelli o clausole. Se in singoli casi o per determinate parti della comunicazione di dati applica altre garanzie, il detentore deve trasmettere all IFPDT una copia di tali garanzie. Se le garanzie e le regole di protezione dei dati sono state comunicate una prima volta all Incaricato, l obbligo di informare del detentore della collezione di dati è pure considerato adempito per tutte le ulteriori comunicazioni che si fondano sulle stesse garanzie, sempreché le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano essenzialmente analoghi. L IFPDT non deve essere informato in merito a ogni singola e-mail o lettera spedita all estero. Non vi è in particolare obbligo di informare in merito a invii personali o privati. Il detentore della collezione di dati informa l IFPDT prima della comunicazione all estero. Se ciò non fosse fattibile, il detentore deve provvedere appena possibile. È possibile informare via Internet. I moduli di annuncio previsti dalla vecchia LPD non sono più validi. La violazione dell obbligo d informazione è penalmente punibile (art. 34 cpv. 2 lett. a LPD). 21) In cosa consiste l esame dell IFPDT? Se per la comunicazione di dati all estero vengono utilizzati contratti modello, l IFPDT si limita a prenderne atto, senza procedere a un esame. Se non vengono utilizzati contratti modello, o se questi sono stati modificati in punti essenziali, l IFPDT può procedere a un esame della regolamentazione. L IFPDT deve procedere al suo esame entro 30 giorni (art. 6 cpv. 5 OLPD). Se le garanzie e le regole in materia di protezione dei dati non assicurano una protezione adeguata, l IFPDT può contattare il detentore della collezione e, se necessario, emanare una raccomandazione secondo l articolo 29 LPD. Se entro il termine impartito non vi è alcuna reazione da parte dell IFPDT, il detentore della collezione di dati può partire dal presupposto che l IFPDT non ha alcuna obiezione in merito alle garanzie e alle regole sulla protezione dei dati presentate. 7/9

22) Quali sono le conseguenze di una violazione del dovere di diligenza? Il detentore di collezioni di dati risponde degli inconvenienti originati da una violazione del suo dovere di diligenza. Deve in particolare dimostrare di aver preso tutte le misure necessarie al fine di garantire un adeguato livello di protezione. Questo aspetto del dovere di diligenza è concretizzato nell ordinanza, in cui è previsto che il detentore prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati (art. 6 cpv. 4 OLPD). 8/9

23) L interessato può contestare la violazione del dovere di diligenza? Se in occasione della comunicazione dei dati all estero è stato violato il dovere di diligenza, la persona interessata può intentare un azione ai sensi dell articolo 15 capoverso 1 LPD. 24) Se dati personali vengono regolarmente comunicati a terzi all estero, occorre notificare la collezione di dati secondo l articolo 11a LPD? Sì, in tal caso le collezioni di dati vanno notificate all IFPDT secondo l articolo 11a capoverso 3 lettera b LPD. La notifica mira a creare trasparenza attorno alle collezioni i cui dati vengono regolarmente comunicati a terzi all estero. In caso di trasmissione di dati all estero, all occorrenza l IFPDT va informato anche ai sensi dell articolo 6 capoverso 3 LPD. 9/9

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back