Capitolo 1: Scopo e campo d'applicazione nonché autorità federale di vigilanza

Art. 1 Scopo

Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.

Art. 2 Campo d'applicazione personale e materiale

¹ La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:

a.: privati;
b.: organi federali.

² Non si applica al trattamento di dati personali da parte:

a.: di persone fisiche per uso esclusivamente personale;
b.: delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
c.: dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 2007³ sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.

³ Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.

⁴ I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.

³ RS 192.12

Art. 3 Campo d'applicazione territoriale

¹ La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.

² Alle pretese di diritto civile si applica la legge federale del 18 dicembre 1987⁴ sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale⁵.

⁴ RS 291

⁵ RS 311.0

Art. 4 Incaricato federale della protezione dei dati e della trasparenza

¹ L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.

² Non sono sottoposti alla vigilanza dell'IFPDT:

a.: l'Assemblea federale;
b.: il Consiglio federale;
c.: i tribunali della Confederazione;
d.: il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
e.: le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.

Capitolo 2: Disposizioni generali

Sezione 1: Definizioni e principi

Art. 5 Definizioni

Nella presente legge s'intende per:

a.

dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;

b.

persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;

c.

dati personali degni di particolare protezione:

1.: i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
2.: i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
3.: i dati genetici,
4.: i dati biometrici che identificano in modo univoco una persona fisica,
5.: i dati concernenti perseguimenti e sanzioni amministrativi e penali,
6.: i dati concernenti le misure d'assistenza sociale;

d.

trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;

e.

comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;

f.

profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;

g.

profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;

h.

violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;

i.

organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;

j.

titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;

k.

responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.

Art. 6 Principi

¹ I dati personali devono essere trattati in modo lecito.

² Il trattamento deve essere conforme ai principi della buona fede e della proporzionalità.

³ I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata; possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo.

⁴ I dati personali sono distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento.

⁵ Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati. L'adeguatezza delle misure dipende segnatamente dal tipo e dall'entità del trattamento dei dati come pure dai rischi derivanti dal trattamento per la personalità o i diritti fondamentali della persona interessata.

⁶ Laddove sia una condizione necessaria per il trattamento, il consenso della persona interessata è valido soltanto se, dopo debita informazione, è dato in modo libero in riferimento a uno o più trattamenti specifici.

⁷ È necessario l'espresso consenso per:

a.: il trattamento di dati personali degni di particolare protezione;
b.: la profilazione a rischio elevato da parte di privati;
c.: la profilazione da parte di un organo federale.

Art. 7 Protezione dei dati personali sin dalla progettazione e per impostazione predefinita

¹ Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.

² I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all'entità del trattamento dei dati personali come pure ai rischi derivanti dal trattamento per la personalità o i diritti fondamentali delle persone interessate.

³ Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.

Art. 8 Sicurezza dei dati

¹ Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.

² I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.

³ Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

Art. 9 Trattamento di dati personali da parte di un responsabile

¹ Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:

a.: questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
b.: nessun obbligo legale o contrattuale di serbare il segreto lo vieta.

² Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.

³ Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.

⁴ Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.

Art. 10 Consulente per la protezione dei dati

¹ I titolari privati del trattamento possono nominare un consulente per la protezione dei dati.

² Il consulente funge da interlocutore per le persone interessate come pure per le autorità competenti in Svizzera per la protezione dei dati. Ha segnatamente i compiti seguenti:

a.: fornire formazione e consulenza al titolare privato del trattamento in questioni concernenti la protezione dei dati;
b.: partecipare all'applicazione delle disposizioni sulla protezione dei dati.

³ I titolari privati del trattamento possono avvalersi dell'eccezione di cui all'articolo 23 capoverso 4 se:

a.: il consulente esercita la sua funzione in modo indipendente dal titolare del trattamento e senza ricevere da questi istruzioni;
b.: il consulente non esercita attività inconciliabili con i suoi compiti di consulente;
c.: il consulente dispone delle conoscenze tecniche necessarie; e
d.: il titolare del trattamento pubblica i dati di contatto del consulente e li comunica all'IFPDT.

⁴ Il Consiglio federale disciplina la nomina dei consulenti da parte degli organi federali.

Art. 11 Codice di condotta

¹ Le associazioni professionali, di settore ed economiche autorizzate dai loro statuti a difendere gli interessi economici dei loro membri come pure gli organi federali possono sottoporre all'IFPDT codici di condotta.

² L'IFPDT esprime un parere riguardo a ogni codice di condotta; pubblica tali pareri.

Art. 12 Registro delle attività di trattamento

¹ I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.

² Il registro del titolare del trattamento contiene almeno:

a.: l'identità del titolare del trattamento;
b.: lo scopo del trattamento;
c.: una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
d.: le categorie di destinatari;
e.: se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
f.: se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l'articolo 8;
g.: se i dati personali sono comunicati all'estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all'articolo 16 capoverso 2.

³ Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.

⁴ Gli organi federali notificano i loro registri all'IFPDT.

⁵ Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.

Art. 13 Certificazione

¹ I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.

² Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.

Sezione 2: Trattamento da parte di titolari privati con sede o domicilio all'estero

Art. 14 Rappresentante

¹ I titolari privati del trattamento con sede o domicilio all'estero designano un rappresentante in Svizzera se trattano dati personali concernenti persone in Svizzera e il trattamento:

a.: è legato a un'offerta di merci o prestazioni o finalizzato a porre sotto osservazione il comportamento di dette persone;
b.: è un trattamento su grande scala;
c.: è un trattamento periodico; e
d.: comporta un rischio elevato per la personalità delle persone interessate.

² Il rappresentante funge da interlocutore per le persone interessate e l'IFPDT.

³ Il titolare del trattamento pubblica il nome e l'indirizzo del rappresentante.

Art. 15 Obblighi del rappresentante

¹ Il rappresentante tiene un registro delle attività di trattamento del titolare del trattamento; il registro contiene le indicazioni di cui all'articolo 12 capoverso 2.

² Su richiesta, il rappresentante trasmette all'IFPDT le indicazioni contenute nel registro.

³ Su richiesta, il rappresentante fornisce alle persone interessate informazioni su come esercitare i loro diritti.

Sezione 3: Comunicazione di dati personali all'estero

Art. 16 Principi

¹ Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.

² In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da:

a.: un trattato internazionale;
b.: clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT;
c.: garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT;
d.: clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o
e.: norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata.

³ Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2.

Art. 17 Eccezioni

¹ In deroga all'articolo 16 capoversi 1 e 2, dati personali possono essere comunicati all'estero se:

a.

la persona interessata ha dato il suo espresso consenso alla comunicazione;

b.

la comunicazione è in relazione diretta con la conclusione o l'esecuzione di un contratto:

1.: tra il titolare del trattamento e la persona interessata, o
2.: tra il titolare del trattamento e un altro contraente, nell'interesse della persona interessata;

c.

la comunicazione è necessaria per:

1.: tutelare un interesse pubblico preponderante, o
2.: accertare, esercitare o far valere un diritto dinanzi a un giudice o a un'altra autorità estera competente;

d.

la comunicazione è necessaria per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole;

e.

la persona interessata ha reso i dati personali accessibili a chiunque e non si è opposta espressamente al loro trattamento; o

f.

i dati provengono da un registro previsto dalla legge accessibile al pubblico o alle persone con un interesse degno di protezione, sempreché nel caso specifico siano adempiute le condizioni legali per la consultazione.

² Il titolare o il responsabile del trattamento che comunica dati personali conformemente al capoverso 1 lettere b numero 2, c e d ne informa, su richiesta, l'IFPDT.

Art. 18 Pubblicazione di dati personali in forma elettronica

La pubblicazione di dati personali per mezzo di servizi d'informazione e di comunicazione automatizzati allo scopo di informare il pubblico non è considerata una comunicazione all'estero, anche se i dati possono essere consultati all'estero.

Capitolo 3: Obblighi del titolare e del responsabile del trattamento

Art. 19 Obbligo di informare sulla raccolta di dati personali

¹ Il titolare del trattamento informa in modo adeguato la persona interessata sulla raccolta di dati personali; tale obbligo sussiste anche se i dati non sono raccolti presso la persona interessata.

² Al momento della raccolta, il titolare del trattamento fornisce alla persona interessata le informazioni necessarie affinché questa possa far valere i propri diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati; fornisce almeno le informazioni seguenti:

a.: l'identità e i dati di contatto del titolare del trattamento;
b.: lo scopo del trattamento;
c.: se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali.

³ Se i dati personali non sono raccolti presso la persona interessata, il titolare del trattamento la informa inoltre sulle categorie di dati personali trattati.

⁴ Se i dati personali sono comunicati all'estero, il titolare del trattamento informa la persona interessata sullo Stato o sull'organismo internazionale destinatario e, se del caso, sulle garanzie di cui all'articolo 16 capoverso 2, oppure sull'applicazione di un'eccezione secondo l'articolo 17.

⁵ Se i dati personali non sono raccolti presso la persona interessata, il titolare del trattamento le fornisce le informazioni di cui ai capoversi 2-4 entro un mese dalla ricezione dei dati. Se comunica questi dati personali prima della scadenza di detto termine, il titolare del trattamento fornisce alla persona interessata tali informazioni al più tardi al momento della comunicazione dei dati.

Art. 20 Eccezioni all'obbligo di informare e limitazioni

¹ L'obbligo di informare secondo l'articolo 19 non sussiste se:

a.: la persona interessata dispone già delle pertinenti informazioni;
b.: il trattamento dei dati personali è previsto dalla legge;
c.: il titolare del trattamento è un privato tenuto per legge a serbare il segreto; o
d.: sono adempiute le condizioni di cui all'articolo 27.

² Se i dati personali non sono raccolti presso la persona interessata, l'obbligo di informare non sussiste inoltre qualora l'informazione:

a.: non sia possibile; o
b.: richieda un onere sproporzionato.

³ Il titolare del trattamento può limitare o differire l'informazione oppure rinunciarvi se:

a.

interessi preponderanti di un terzo lo esigono;

b.

l'informazione pregiudica lo scopo del trattamento;

c.

è un privato e:

1.: lo esigono i suoi interessi preponderanti, e
2.: non comunica i dati personali a terzi; o

d.

è un organo federale e:

1.: lo esige un interesse pubblico preponderante, in particolare la salvaguardia della sicurezza interna o esterna della Svizzera, o
2.: l'informazione rischia di compromettere un'indagine, un'istruzione o un procedimento amministrativo o giudiziario.

⁴ Le imprese appartenenti al medesimo gruppo non sono considerate terzi ai sensi del capoverso 3 lettera c numero 2.

Art. 21 Obbligo di informare sulle decisioni individuali automatizzate

¹ Il titolare del trattamento informa la persona interessata di ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per lei effetti giuridici o conseguenze significative (decisione individuale automatizzata).

² Il titolare del trattamento dà su richiesta alla persona interessata la possibilità di esprimere un parere. Se la persona interessata lo esige, la decisione individuale automatizzata va riesaminata da una persona fisica.

³ I capoversi 1 e 2 non si applicano se:

a.: la decisione individuale automatizzata è in relazione diretta con la conclusione o l'esecuzione di un contratto tra il titolare del trattamento e la persona interessata e la richiesta di quest'ultima è soddisfatta; o
b.: la persona interessata ha dato il suo espresso consenso a che la decisione sia presa in maniera automatizzata.

⁴ Se la decisione individuale automatizzata è presa da un organo federale, questi la designa come tale. Il capoverso 2 non si applica nei casi in cui in virtù dell'articolo 30 capoverso 2 della legge federale del 20 dicembre 1968⁶ sulla procedura amministrativa (PA) o di un'altra legge federale l'organo federale non è tenuto a sentire la persona interessata prima di prendere la decisione.

⁶ RS 172.021

Art. 22 Valutazione d'impatto sulla protezione dei dati

¹ Il titolare del trattamento effettua previamente una valutazione d'impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Se prevede più operazioni di trattamento simili può procedere a una valutazione d'impatto comune.

² Il rischio elevato, in particolare in caso di utilizzazione di nuove tecnologie, risulta dal tipo, dall'entità, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di:

a.: trattamento su grande scala di dati personali degni di particolare protezione;
b.: sorveglianza sistematica di ampi spazi pubblici.

³ La valutazione d'impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per la personalità o per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela.

⁴ Il titolare privato tenuto a effettuare il trattamento in virtù di un obbligo legale è esentato dall'obbligo di procedere a una valutazione d'impatto.

⁵ Il titolare privato del trattamento può rinunciare a una valutazione d'impatto se si avvale di un sistema, un prodotto o un servizio che dispone di una certificazione secondo l'articolo 13 per l'impiego previsto o se rispetta un codice di condotta secondo l'articolo 11 che:

a.: si basa su una valutazione d'impatto sulla protezione dei dati;
b.: prevede misure a tutela della personalità e dei diritti fondamentali della persona interessata; e
c.: è stato sottoposto all'IFPDT.

Art. 23 Consultazione dell'IFPDT

¹ Il titolare del trattamento chiede previamente il parere dell'IFPDT se dalla valutazione d'impatto sulla protezione dei dati emerge che, nonostante i provvedimenti previsti dal titolare, il trattamento previsto comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

² L'IFPDT comunica entro due mesi al titolare del trattamento le sue obiezioni contro il trattamento previsto. Il termine può essere prorogato di un mese se si tratta di un trattamento di dati complesso.

³ Se ha obiezioni contro il trattamento previsto, l'IFPDT propone al titolare del trattamento provvedimenti appropriati.

⁴ Il titolare privato del trattamento può rinunciare a consultare l'IFPDT se ha consultato il consulente per la protezione dei dati ai sensi dell'articolo 10.

Art. 24 Notifica di violazioni della sicurezza dei dati

¹ Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

² Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.

³ Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.

⁴ Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l'IFPDT.

⁵ Il titolare del trattamento può limitare o differire l'informazione della persona interessata o rinunciarvi se:

a.: sussiste uno dei motivi di cui all'articolo 26 capoversi 1 lettera b o 2 lettera b oppure un obbligo legale di serbare il segreto;
b.: l'informazione è impossibile o richiede un onere sproporzionato; o
c.: l'informazione è garantita in modo equivalente con una comunicazione pubblica.

⁶ Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all'obbligo di notifica soltanto con il suo consenso.

Capitolo 4: Diritti della persona interessata

Art. 25 Diritto d'accesso

¹ Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.

² Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:

a.: l'identità e i dati di contatto del titolare del trattamento;
b.: i dati personali trattati in quanto tali;
c.: lo scopo del trattamento;
d.: la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
e.: le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
f.: se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
g.: se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.

³ I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.

⁴ Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.

⁵ Nessuno può rinunciare preventivamente al diritto d'accesso.

⁶ Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.

⁷ Di norma l'informazione è fornita entro 30 giorni.

Art. 26 Restrizione del diritto d'accesso

¹ Il titolare del trattamento può rifiutare, limitare o differire l'informazione se:

a.: lo prevede una legge in senso formale, segnatamente per tutelare un segreto professionale;
b.: lo esigono interessi preponderanti di terzi; o
c.: la domanda d'accesso è manifestamente infondata, segnatamente se persegue uno scopo contrario alla protezione dei dati, o se è querulosa.

² Il titolare del trattamento può inoltre rifiutare, limitare o differire l'informazione se:

a.

è un privato e:

1.: lo esigono i suoi interessi preponderanti, e
2.: non comunica i dati personali a terzi; o

b.

è un organo federale e:

1.: lo esige un interesse pubblico preponderante, in particolare la sicurezza interna o esterna della Svizzera, o
2.: la fornitura delle informazioni rischia di compromettere un'indagine, un'istruzione o un procedimento giudiziario o amministrativo.

³ Le imprese appartenenti al medesimo gruppo non sono considerate terzi ai sensi del capoverso 2 lettera a numero 2.

⁴ Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce l'informazione.

Art. 27 Restrizioni del diritto d'accesso nei confronti dei mezzi di comunicazione di massa

¹ Se i dati personali sono trattati esclusivamente in vista della pubblicazione nella parte redazionale di un mezzo di comunicazione di massa con carattere periodico, il titolare del trattamento può rifiutare, limitare o differire l'informazione se:

a.: i dati forniscono indicazioni sulle fonti;
b.: l'informazione permette di accedere a progetti di pubblicazioni; o
c.: la libera formazione dell'opinione del pubblico rischia di essere compromessa.

² I giornalisti possono inoltre rifiutare, limitare o differire l'informazione qualora i dati personali servano loro esclusivamente a titolo di strumento personale di lavoro.

Art. 28 Diritto di farsi consegnare dati o di esigerne la trasmissione a terzi

¹ Chiunque può esigere che i dati personali che lo concernono e che ha comunicato al titolare del trattamento gli siano consegnati in un formato elettronico usuale, se:

a.: il titolare tratta i dati personali in modo automatizzato; e
b.: il trattamento è effettuato con il consenso della persona interessata oppure in relazione diretta con la conclusione o l'esecuzione di un contratto tra il titolare e la persona interessata.

² La persona interessata può inoltre esigere che il titolare del trattamento trasmetta a un altro titolare del trattamento i dati personali che la concernono se sono soddisfatte le condizioni di cui al capoverso 1 e la trasmissione non richiede un onere sproporzionato.

³ Il titolare del trattamento consegna o trasmette gratuitamente i dati personali. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se la consegna o la trasmissione dei dati personali richiede un onere sproporzionato.

Art. 29 Restrizioni del diritto di farsi consegnare dati o di esigerne la trasmissione a terzi

¹ Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.

² Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.

Capitolo 5: Disposizioni speciali per il trattamento di dati personali da parte
di privati

Art. 30 Lesioni della personalità

¹ Chi tratta dati personali non può ledere illecitamente la personalità delle persone interessate.

² Vi è lesione della personalità in particolare se:

a.: sono trattati dati personali in violazione dei principi di cui agli articoli 6 e 8;
b.: sono trattati dati personali contro l'espressa volontà della persona interessata;
c.: sono comunicati a terzi dati personali degni di particolare protezione.

³ Di regola non vi è lesione della personalità se la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento.

Art. 31 Motivi giustificativi

¹ Una lesione della personalità è illecita se non è giustificata dal consenso della persona interessata, da un interesse preponderante privato o pubblico oppure dalla legge.

² Un interesse preponderante del titolare del trattamento può in particolare sussistere se questi:

a.

tratta dati personali riguardanti l'altra parte contraente in relazione diretta con la conclusione o l'esecuzione di un contratto;

b.

si trova o si troverà in un rapporto di concorrenza economica con un'altra persona e a tal fine tratta dati personali che non comunica a terzi; le imprese appartenenti al medesimo gruppo del titolare non sono considerate terzi ai sensi della presente disposizione;

c.

tratta dati personali allo scopo di valutare la solvibilità della persona interessata e:

1.: i dati non sono degni di particolare protezione e non è effettuata una profilazione a rischio elevato,
2.: i dati sono comunicati soltanto a terzi che ne necessitano per la conclusione o l'esecuzione di un contratto con la persona interessata,
3.: i dati non risalgono a oltre dieci anni, e
4.: la persona interessata è maggiorenne;

d.

tratta dati personali a titolo professionale esclusivamente in vista della pubblicazione nella parte redazionale di un mezzo di comunicazione di massa con carattere periodico oppure, se non vi è pubblicazione, tratta dati personali esclusivamente a titolo di strumento di lavoro personale;

e.

tratta dati personali per scopi impersonali, in particolare nei settori della ricerca, della pianificazione o della statistica, e:

1.: rende anonimi i dati non appena lo scopo del trattamento lo permette; se ciò non è possibile o richiede un onere sproporzionato, prende misure adeguate per impedire che le persone interessate possano essere identificate,
2.: comunica a terzi i dati personali degni di particolare protezione soltanto in una forma che non permetta d'identificare le persone interessate; se ciò non è possibile, prende misure per garantire che i terzi possano trattare i dati soltanto per scopi impersonali, e
3.: i risultati sono pubblicati soltanto in una forma che non permetta d'identificare le persone interessate; o

f.

raccoglie dati personali di una personalità pubblica che si riferiscono alla sua attività pubblica.

Art. 32 Pretese

¹ La persona interessata può esigere che i dati personali inesatti siano rettificati, salvo che:

a.: una disposizione legale ne vieti la modifica;
b.: i dati personali siano trattati a scopo di archiviazione nell'interesse pubblico.

² Le azioni concernenti la protezione della personalità sono rette dagli articoli 28, 28a e 28g-28l del Codice civile⁷. L'attore può in particolare chiedere che:

a.: sia proibito un determinato trattamento di dati personali;
b.: sia proibita una determinata comunicazione di dati personali a terzi;
c.: siano cancellati o distrutti dati personali.

³ Se non possono essere accertate né l'esattezza né l'inesattezza dei dati personali, l'attore può chiedere che si aggiunga agli stessi una menzione che ne indichi il carattere contestato.

⁴ L'attore può inoltre chiedere che siano comunicati a terzi o pubblicati la rettifica, la cancellazione o la distruzione, il divieto di trattamento o di comunicazione a terzi, la menzione del carattere contestato o la sentenza.

⁷ RS 210

Capitolo 6: Disposizioni speciali per il trattamento di dati personali da parte di organi federali

Art. 33 Controllo e responsabilità in caso di trattamento congiunto di dati personali

Il Consiglio federale disciplina le procedure di controllo e la responsabilità in materia di protezione dei dati nei casi in cui un organo federale tratta dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati.

Art. 34 Basi legali

¹ Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.

² La base legale deve figurare in una legge in senso formale nei casi seguenti:

a.: sono trattati dati personali degni di particolare protezione;
b.: è effettuata una profilazione;
c.: lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.

³ Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:

a.: il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
b.: lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.

⁴ In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:

a.: il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
b.: la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
c.: il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.

Art. 35 Trattamento automatizzato di dati personali nell'ambito di sistemi pilota

¹ Il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o altri trattamenti ai sensi dell'articolo 34 capoverso 2 lettere b e c prima dell'entrata in vigore di una legge in senso formale se:

a.: i compiti che richiedono tale trattamento sono disciplinati in una legge in senso formale già in vigore;
b.: sono prese misure sufficienti per ridurre al minimo l'ingerenza nei diritti fondamentali della persona interessata; e
c.: per l'attuazione pratica del trattamento è imprescindibile una fase sperimentale prima dell'entrata in vigore della legge formale, in particolare per ragioni tecniche.

² Il Consiglio federale chiede previamente il parere dell'IFPDT.

³ L'organo federale competente presenta un rapporto di valutazione al Consiglio federale al più tardi due anni dopo la messa in opera del sistema pilota. Nel rapporto propone la continuazione o l'interruzione del trattamento.

⁴ Il trattamento automatizzato di dati personali deve in ogni caso essere interrotto se entro cinque anni dalla messa in opera del sistema pilota non è entrata in vigore una legge in senso formale che prevede la pertinente base legale.

Art. 36 Comunicazione di dati personali

¹ Gli organi federali hanno il diritto di comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 34 capoversi 1-3.

² In deroga al capoverso 1, gli organi federali possono, nel caso specifico, comunicare dati personali se:

a.: la comunicazione è indispensabile all'adempimento dei compiti legali del titolare del trattamento o del destinatario;
b.: la persona interessata ha dato il suo consenso alla comunicazione;
c.: la comunicazione è necessaria per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole;
d.: la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente alla comunicazione; o
e.: il destinatario rende verosimile che la persona interessata rifiuta di dare il proprio consenso, oppure si oppone alla comunicazione, al solo scopo di impedirgli l'attuazione di pretese giuridiche o la difesa di altri interessi degni di protezione; la persona interessata deve previamente essere invitata a pronunciarsi, salvo che ciò sia impossibile o richieda un onere sproporzionato.

³ Nell'ambito dell'informazione ufficiale del pubblico, gli organi federali possono inoltre comunicare dati personali d'ufficio o in virtù della legge del 17 dicembre 2004⁸ sulla trasparenza se:

a.: i dati sono in rapporto con l'adempimento di compiti pubblici; e
b.: sussiste un interesse pubblico preponderante alla comunicazione dei dati.

⁴ Gli organi federali possono comunicare, su richiesta, cognome, nome, indirizzo e data di nascita di una persona anche se le condizioni del capoverso 1 o 2 non sono adempiute.

⁵ Gli organi federali possono rendere accessibili a chiunque dati personali mediante servizi di informazione e comunicazione automatizzati se una base legale prevede la pubblicazione di questi dati oppure se comunicano dati in virtù del capoverso 3. Se cessa l'interesse pubblico a renderli accessibili a chiunque, i dati contenuti nel servizio di informazione e comunicazione automatizzato sono cancellati.

⁶ Gli organi federali rifiutano o limitano la comunicazione, oppure la vincolano a oneri, se lo esige:

a.: un importante interesse pubblico o un interesse manifestamente degno di protezione della persona interessata; o
b.: un obbligo legale di serbare il segreto o una disposizione speciale concernente la protezione dei dati.

⁸ RS 152.3

Art. 37 Opposizione alla comunicazione di dati personali

¹ La persona interessata che rende verosimile un interesse degno di protezione può opporsi alla comunicazione di determinati dati personali da parte dell'organo federale competente.

² L'organo federale respinge l'opposizione se:

a.: sussiste un obbligo legale alla comunicazione; o
b.: l'adempimento del suo compito ne risulterebbe altrimenti pregiudicato.

³ È fatto salvo l'articolo 36 capoverso 3.

Art. 38 Offerta di documenti all'Archivio federale

¹ Conformemente alla legge federale del 26 giugno 1998⁹ sull'archiviazione, gli organi federali offrono all'Archivio federale i dati personali di cui non necessitano più in modo permanente.

² L'organo federale distrugge i dati personali che l'Archivio federale ha designato come non aventi valore archivistico, salvo che tali dati:

a.: siano resi anonimi;
b.: debbano essere conservati a titolo di prova, per misura di sicurezza o per salvaguardare un interesse degno di protezione della persona interessata.

⁹ RS 152.1

Art. 39 Trattamento di dati personali per scopi impersonali

¹ Gli organi federali hanno il diritto di trattare dati personali per scopi impersonali, in particolare nei settori della ricerca, della pianificazione o della statistica, se:

a.: rendono anonimi i dati non appena lo scopo del trattamento lo permette;
b.: comunicano a privati i dati personali degni di particolare protezione soltanto in una forma che non permetta d'identificare le persone interessate;
c.: il destinatario trasmette a terzi i dati soltanto con l'autorizzazione dell'organo federale che glieli ha comunicati; e
d.: i risultati sono pubblicati soltanto in una forma che non permetta d'identificare le persone interessate.

² Gli articoli 6 capoverso 3, 34 capoverso 2 e 36 capoverso 1 non sono applicabili.

Art. 40 Attività di diritto privato di organi federali

Se un organo federale compie un'attività soggetta al diritto privato, il trattamento dei dati personali è retto dalle disposizioni applicabili ai privati.

Art. 41 Pretese e procedura

¹ Chi ha un interesse degno di protezione può esigere che l'organo federale responsabile:

a.: si astenga dal trattamento illecito dei pertinenti dati personali;
b.: elimini le conseguenze di un trattamento illecito;
c.: accerti il carattere illecito del trattamento.

² Il richiedente può in particolare esigere che l'organo federale:

a.: rettifichi, cancelli o distrugga i pertinenti dati personali;
b.: comunichi a terzi o pubblichi la sua decisione, in particolare la rettifica, la cancellazione o la distruzione dei dati, l'opposizione alla comunicazione ai sensi dell'articolo 37 o la menzione del carattere contestato dei dati secondo il capoverso 4.

³ Invece di cancellare o distruggere i dati personali, l'organo federale ne limita il trattamento se:

a.: la persona interessata contesta l'esattezza dei dati personali ma né la loro esattezza né la loro inesattezza possono essere accertate;
b.: lo esigono interessi preponderanti di terzi;
c.: lo esige un interesse pubblico preponderante, in particolare la salvaguardia della sicurezza interna o esterna della Svizzera; o
d.: la cancellazione o la distruzione dei dati rischia di compromettere un'indagine, un'istruzione o un procedimento amministrativo o giudiziario.

⁴ Se non possono essere accertate né l'esattezza né l'inesattezza dei dati personali, l'organo federale aggiunge agli stessi una menzione che ne indica il carattere contestato.

⁵ La rettifica, cancellazione o distruzione di dati personali non può essere chiesta in riferimento a fondi di biblioteche, istituti d'insegnamento, musei, archivi accessibili al pubblico e altre istituzioni pubbliche della memoria collettiva. Il richiedente che rende verosimile un interesse preponderante può chiedere che l'istituzione limiti l'accesso ai dati contestati. I capoversi 3 e 4 non sono applicabili.

⁶ La procedura è retta dalla PA¹⁰. Le eccezioni previste dagli articoli 2 e 3 PA non sono applicabili.

¹⁰ RS 172.021

Art. 42 Procedura in caso di comunicazione di documenti ufficiali che contengono dati personali

Se è in corso una procedura ai sensi della legge del 17 dicembre 2004¹¹ sulla trasparenza concernente l'accesso a documenti ufficiali che contengono dati personali, la persona interessata può, in tale procedura, far valere i diritti che le spettano in virtù dell'articolo 41 della presente legge in riferimento ai documenti oggetto della procedura di accesso.

¹¹ RS 152.3

Capitolo 7: Incaricato federale della protezione dei dati e della trasparenza

Sezione 1: Organizzazione

Art. 43 Elezione e statuto

¹ Il capo dell'IFPDT (Incaricato) è eletto dall'Assemblea federale plenaria.

² È eleggibile chiunque abbia diritto di voto in materia federale.

³ Il rapporto di lavoro dell'Incaricato è retto dalla legge del 24 marzo 2000¹² sul personale federale (LPers), sempreché la presente legge non disponga altrimenti. Sino al compimento dei 65 anni l'Incaricato è assicurato presso la Cassa pensioni della Confederazione PUBLICA contro le conseguenze economiche di vecchiaia, invalidità e morte. Su richiesta dell'Incaricato, la previdenza per la vecchiaia è mantenuta oltre il 65° anno di età e sino alla fine del rapporto di lavoro, ma al massimo sino alla fine dell'anno civile in cui egli compie 68 anni. In tal caso, l'IFPDT finanzia i contributi di risparmio del datore di lavoro.¹³

^3bis L'Assemblea federale emana mediante ordinanza le disposizioni d'esecuzione concernenti il rapporto di lavoro dell'Incaricato.¹⁴

⁴ L'Incaricato esercita la sua funzione in modo indipendente, senza ricevere né sollecitare istruzioni da alcuna autorità o da terzi. È aggregato amministrativamente alla Cancelleria federale.

⁵ Dispone di una segreteria permanente e di un proprio preventivo. Assume il proprio personale.

⁶ All'Incaricato non si applica il sistema di valutazione di cui all'articolo 4 capoverso 3 LPers.

¹² RS 172.220.1

¹³ Secondo-quarto per. introdotti dal n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

¹⁴ Introdotto dal n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

Art. 44 Durata, rielezione e cessazione del mandato

¹ Il mandato dell'Incaricato dura quattro anni e può essere rinnovato due volte. Inizia il 1° gennaio seguente l'inizio della legislatura del Consiglio nazionale.

² L'Incaricato può disdire il rapporto di lavoro per la fine di un mese con preavviso di sei mesi. In singoli casi, la Commissione giudiziaria può accordare all'Incaricato un termine di preavviso più breve se nessun interesse essenziale vi si oppone.¹⁵

³ L'Assemblea federale plenaria può destituire l'Incaricato prima della scadenza del mandato se questi:

a.: intenzionalmente o per negligenza grave, ha violato gravemente i suoi doveri d'ufficio; o
b.: ha durevolmente perso la capacità di esercitare il suo ufficio.

¹⁵ Nuovo testo giusta il n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

Art. 44a¹⁶ Ammonimento

La Commissione giudiziaria può pronunciare un ammonimento qualora accerti che l'Incaricato ha violato i suoi doveri d'ufficio.

¹⁶ Introdotto dal n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

Art. 45 Preventivo

L'IFPDT presenta ogni anno, per il tramite della Cancelleria federale, un progetto di preventivo al Consiglio federale. Quest'ultimo lo inoltra senza modifiche all'Assemblea federale.

Art. 46 Incompatibilità

L'Incaricato non può essere membro dell'Assemblea federale o del Consiglio federale, né esercitare alcun'altra funzione al servizio della Confederazione.

Art. 47 Attività accessorie

¹ L'Incaricato non può esercitare alcuna attività accessoria.

² La Commissione giudiziaria può autorizzare l'Incaricato a esercitare un'attività accessoria sempreché non siano pregiudicati il pieno adempimento della funzione, nonché l'indipendenza e la reputazione dell'IFPDT.¹⁷ La decisione è pubblicata.

¹⁷ Nuovo testo giusta il n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

Art. 47a¹⁸ Ricusazione

Se la ricusazione dell'Incaricato è contestata, decide il presidente della corte del Tribunale amministrativo federale competente in materia di protezione dei dati.

¹⁸ Introdotto dal n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

Art. 48 Autocontrollo dell'IFPDT

Per mezzo di misure di controllo adeguate, in particolare in riferimento alla sicurezza dei dati, l'IFPDT assicura che al suo interno sia garantita l'esecuzione conforme delle norme federali sulla protezione dei dati.

Sezione 2: Inchiesta per violazione delle disposizioni sulla protezione dei dati

Art. 49 Inchiesta

¹ L'IFPDT apre, d'ufficio o su denuncia, un'inchiesta nei confronti di un organo federale o di un privato se indizi sufficienti lasciano presumere che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati.

² Può rinunciare ad aprire un'inchiesta se la violazione delle disposizioni sulla protezione dei dati è di poca importanza.

³ L'organo federale o il privato fornisce all'IFPDT tutte le informazioni e i documenti necessari per l'inchiesta. Il diritto di rifiutare di fornire informazioni è retto dagli articoli 16 e 17 PA¹⁹; è fatto salvo l'articolo 50 capoverso 2 della presente legge.

⁴ Se la persona interessata ha sporto denuncia, l'IFPDT la informa sul seguito dato alla denuncia e sull'esito di un'eventuale inchiesta.

¹⁹ RS 172.021

Art. 50 Attribuzioni

¹ Se l'organo federale o il privato non ottempera all'obbligo di collaborare, l'IFPDT può, nell'ambito dell'inchiesta, ordinare in particolare:

a.: l'accesso alle informazioni, ai documenti, ai registri delle attività di trattamento e ai dati personali necessari per l'inchiesta;
b.: l'accesso ai locali e agli impianti;
c.: l'interrogatorio di testimoni;
d.: perizie di esperti.

² È fatto salvo il segreto professionale.

³ Per eseguire i provvedimenti di cui al capoverso 1, l'IFPDT può far capo ad altre autorità federali o a organi di polizia cantonali o comunali.

Art. 51 Provvedimenti amministrativi

¹ Se sono state violate le disposizioni sulla protezione dei dati, l'IFPDT può ordinare di adeguare, sospendere o cessare del tutto o in parte il trattamento nonché di cancellare o distruggere del tutto o in parte i dati personali.

² L'IFPDT può sospendere o vietare la comunicazione di dati personali all'estero se questa è contraria alle condizioni di cui agli articoli 16 o 17 oppure alle disposizioni di altre leggi federali riguardanti la comunicazione di dati personali all'estero.

³ L'IFPDT può segnatamente disporre che l'organo federale o il privato:

a.: lo informi conformemente agli articoli 16 capoverso 2 lettere b e c nonché 17 capoverso 2;
b.: adotti i provvedimenti di cui agli articoli 7 e 8;
c.: informi le persone interessate conformemente agli articoli 19 e 21;
d.: proceda a una valutazione d'impatto sulla protezione dei dati conformemente all'articolo 22;
e.: lo consulti conformemente all'articolo 23;
f.: lo informi o, se del caso, informi la persona interessata, conformemente all'articolo 24;
g.: fornisca alla persona interessata le informazioni di cui all'articolo 25.

⁴ Può inoltre disporre che il titolare privato del trattamento con sede o domicilio all'estero designi un rappresentante secondo l'articolo 14.

⁵ Se durante l'inchiesta l'organo federale o il privato ha adottato i provvedimenti necessari per ristabilire il rispetto delle disposizioni sulla protezione dei dati, lo IFPDT può limitarsi a pronunciare un ammonimento.

Art. 52 Procedura

¹ La procedura d'inchiesta e le decisioni di cui agli articoli 50 e 51 sono rette dalla PA²⁰.

² È parte soltanto l'organo federale o il privato oggetto dell'inchiesta.

³ L'IFPDT può impugnare le decisioni su ricorso pronunciate dal Tribunale amministrativo federale.

²⁰ RS 172.021

Art. 53 Coordinamento

¹ Prima di pronunciare una decisione riguardante questioni inerenti alla protezione dei dati, le autorità amministrative federali che in virtù di un'altra legge federale esercitano la vigilanza su un privato o un'organizzazione esterna all'Amministrazione federale invitano l'IFPDT a esprimere un parere.

² Se l'IFPDT svolge una propria inchiesta contro la stessa parte, le due autorità coordinano le procedure.

Sezione 3: Assistenza amministrativa

Art. 54 Assistenza amministrativa tra autorità svizzere

¹ Le autorità federali e cantonali comunicano all'IFPDT le informazioni e i dati personali necessari per l'adempimento dei suoi compiti legali.

² L'IFPDT comunica alle autorità seguenti le informazioni e i dati personali necessari per l'adempimento dei loro compiti legali:

a.: autorità incaricate della protezione dei dati in Svizzera;
b.: autorità di perseguimento penale competenti, in caso di denuncia di un reato conformemente all'articolo 65 capoverso 2;
c.: autorità federali nonché organi di polizia cantonali e comunali, per l'esecuzione dei provvedimenti di cui agli articoli 50 capoverso 3 e 51.

Art. 55 Assistenza amministrativa alle autorità estere

¹ L'IFPDT può scambiare informazioni o dati personali con autorità estere incaricate della protezione dei dati ai fini dell'adempimento dei rispettivi compiti legali in materia di protezione dei dati se:

a.: la reciprocità dell'assistenza amministrativa è garantita;
b.: le informazioni e i dati personali sono utilizzati soltanto nell'ambito della procedura concernente la protezione dei dati su cui si fonda la domanda di assistenza amministrativa;
c.: l'autorità destinataria s'impegna a salvaguardare i segreti professionali, d'affari e di fabbricazione;
d.: le informazioni e i dati personali sono comunicati a terzi soltanto previo consenso dell'autorità mittente; e
e.: l'autorità destinataria s'impegna a rispettare gli oneri e le limitazioni d'uso richiesti dall'autorità mittente.

² Per motivare la propria domanda di assistenza amministrativa o per dare seguito alla domanda di un'autorità, l'IFPDT può trasmettere in particolare le seguenti informazioni:

a.

l'identità del titolare del trattamento, del responsabile del trattamento o di qualsiasi altra persona che partecipa al trattamento;

b.

le categorie di persone interessate;

c.

l'identità delle persone interessate sempreché:

1.: le persone interessate abbiano dato il loro consenso, o
2.: la comunicazione dell'identità delle persone interessate sia indispensabile per l'adempimento dei compiti legali dell'IFPDT o dell'autorità estera;

d.

i dati personali o le categorie di dati personali trattati;

e.

lo scopo del trattamento;

f.

i destinatari o le categorie di destinatari;

g.

le misure tecniche e organizzative.

³ Prima di trasmettere a un'autorità estera informazioni che potrebbero contenere segreti professionali, d'affari o di fabbricazione, l'IFPDT informa le persone fisiche o giuridiche titolari di tali segreti e le invita a esprimere un parere, salvo che ciò sia impossibile o richieda un onere sproporzionato.

Sezione 4: Altri compiti dell'IFPDT

Art. 56 Registro

L'IFPDT tiene un registro delle attività di trattamento degli organi federali. Il registro è pubblicato.

Art. 57 Informazione

¹ L'IFPDT presenta annualmente all'Assemblea federale un rapporto d'attività. Lo trasmette contemporaneamente al Consiglio federale. Il rapporto è pubblicato.

² Nei casi d'interesse generale, l'IFPDT informa il pubblico sui suoi accertamenti e sulle sue raccomandazioni.

Art. 58 Altri compiti

¹ L'IFPDT ha in particolare gli altri compiti seguenti:

a.: informare, formare e consigliare gli organi federali e i privati in questioni concernenti la protezione dei dati;
b.: assistere gli organi cantonali e collaborare con le autorità svizzere ed estere competenti in materia di protezione dei dati;
c.: sensibilizzare il pubblico, soprattutto le persone vulnerabili, alla protezione dei dati;
d.: informare, su richiesta, le persone interessate in merito all'esercizio dei loro diritti;
e.: pronunciarsi sui progetti di atti normativi e sui provvedimenti della Confederazione implicanti il trattamento di dati;
f.: assumere i compiti conferitigli dalla legge del 17 dicembre 2004²¹ sulla trasparenza o da altre leggi federali;
g.: elaborare strumenti di lavoro sotto forma di raccomandazioni di buona prassi per i titolari del trattamento, i responsabili del trattamento e le persone interessate; a tal fine tiene conto delle specificità di ciascun settore e della tutela delle persone vulnerabili.

² L'IFPDT può fornire consulenza anche agli organi federali che secondo gli articoli 2 e 4 non sono sottoposti alla sua vigilanza. Gli organi federali possono concedergli accesso ai loro atti.

³ L'IFPDT è autorizzato a dichiarare alle autorità estere incaricate della protezione dei dati che, in materia di protezione dei dati, in Svizzera è ammessa la notificazione diretta, sempreché alla Svizzera sia concessa la reciprocità.

²¹ RS 152.3

Sezione 5: Emolumenti

Art. 59

¹ L'IFPDT riscuote dai privati emolumenti per:

a.: il parere in merito a un codice di condotta secondo l'articolo 11 capoverso 2;
b.: l'approvazione di clausole tipo di protezione dei dati e di norme interne d'impresa vincolanti secondo l'articolo 16 capoverso 2 lettere d ed e;
c.: la consultazione nell'ambito di una valutazione d'impatto sulla protezione dei dati secondo l'articolo 23 capoverso 2;
d.: provvedimenti cautelari e provvedimenti secondo l'articolo 51;
e.: la consulenza su questioni inerenti alla protezione dei dati secondo l'articolo 58 capoverso 1 lettera a.

² Il Consiglio federale determina l'importo degli emolumenti.

³ Il Consiglio federale può definire i casi in cui si può prescindere dalla riscossione di un emolumento o ridurne l'importo.

Capitolo 8: Disposizioni penali

Art. 60 Violazione degli obblighi di informare, di concedere l'accesso e di collaborare

¹ Sono puniti, a querela di parte, con la multa fino a 250 000 franchi i privati che:

a.

violano gli obblighi di cui agli articoli 19, 21 e 25-27, fornendo intenzionalmente informazioni inesatte o incomplete;

b.

omettono intenzionalmente:

1.: di informare la persona interessata conformemente agli articoli 19 capoverso 1 e 21 capoverso 1, o
2.: di fornire alla persona interessata le informazioni di cui all'articolo 19 capoverso 2.

² Sono puniti con la multa fino a 250 000 franchi i privati che in violazione dell'articolo 49 capoverso 3 forniscono intenzionalmente all'IFPDT, nel quadro di un'inchiesta, informazioni false o rifiutano intenzionalmente di collaborare.

Art. 61 Violazione degli obblighi di diligenza

A querela di parte sono puniti con la multa fino a 250 000 franchi i privati che intenzionalmente:

a.: comunicano dati personali all'estero in violazione dell'articolo 16 capoversi 1 e 2 e senza che sussistano le condizioni di cui all'articolo 17;
b.: affidano il trattamento di dati personali a un responsabile senza che sussistano le condizioni di cui all'articolo 9 capoversi 1 e 2;
c.: non rispettano i requisiti minimi in materia di sicurezza dei dati emanati dal Consiglio federale in virtù dell'articolo 8 capoverso 3.

Art. 62 Violazione dell'obbligo del segreto

¹ Chiunque rivela intenzionalmente dati personali segreti dei quali è venuto a conoscenza nell'esercizio di una professione che richiede la conoscenza di tali dati, è punito, a querela di parte, con la multa fino a 250 000 franchi.

² È passibile della stessa pena chiunque intenzionalmente rivela dati personali segreti dei quali è venuto a conoscenza nell'ambito dell'attività svolta per conto della persona sottostante all'obbligo del segreto o in occasione della sua formazione presso tale persona.

³ La rivelazione di dati personali segreti è punibile anche dopo la cessazione dei rapporti di lavoro o della formazione.

Art. 63 Inosservanza di decisioni

È punito con la multa fino a 250 000 franchi il privato che intenzionalmente non ottempera a una decisione dell'IFPDT, o a una decisione delle autorità di ricorso, notificatagli sotto comminatoria della pena prevista nel presente articolo.

Art. 64 Infrazioni commesse nell'azienda

¹ Alle infrazioni commesse nell'azienda sono applicabili gli articoli 6 e 7 della legge federale del 22 marzo 1974²² sul diritto penale amministrativo (DPA).

² Se la multa applicabile non supera i 50 000 franchi e se la determinazione delle persone punibili secondo l'articolo 6 DPA esige provvedimenti d'inchiesta sproporzionati all'entità della pena, l'autorità può prescindere da un procedimento contro dette persone e, in loro vece, condannare al pagamento della multa l'azienda (art. 7 DPA).

²² RS 313.0

Art. 65 Competenza

¹ Il perseguimento e il giudizio dei reati competono ai Cantoni.

² L'IFPDT può sporgere denuncia presso l'autorità di perseguimento penale competente e avvalersi nel procedimento dei diritti dell'accusatore privato.

Art. 66 Prescrizione dell'azione penale

L'azione penale si prescrive in cinque anni.

Capitolo 9: Conclusione di trattati internazionali

Art. 67

Il Consiglio federale può concludere trattati internazionali concernenti:

a.: la cooperazione internazionale tra le autorità incaricate della protezione dei dati;
b.: il riconoscimento reciproco della protezione adeguata nel caso di comunicazione di dati personali all'estero.

Capitolo 10: Disposizioni finali

Art. 68 Abrogazione e modifica di altri atti normativi

L'abrogazione e la modifica di altri atti normativi sono disciplinate nell'allegato 1.

Art. 69 Disposizione transitoria relativa ai trattamenti in corso

Gli articoli 7, 22 e 23 non si applicano ai trattamenti di dati avviati prima dell'entrata in vigore della presente legge, sempreché lo scopo del trattamento resti immutato e non siano raccolti nuovi dati.

Art. 70 Disposizione transitoria relativa alle procedure pendenti

La presente legge non si applica alle inchieste dell'IFPDT in corso alla sua entrata in vigore; non si applica neppure ai ricorsi pendenti contro decisioni di prima istanza emanate prima della sua entrata in vigore. A questi casi si applica il diritto anteriore.

Art. 71 Disposizione transitoria relativa ai dati concernenti persone giuridiche

Per gli organi federali, le disposizioni di altri atti normativi federali che si riferiscono a dati personali continuano ad applicarsi ai dati concernenti persone giuridiche durante cinque anni dall'entrata in vigore della presente legge. Durante tale periodo gli organi federali possono in particolare comunicare dati concernenti persone giuridiche conformemente all'articolo 57s capoversi 1 e 2 della legge del 21 marzo 1997²³ sull'organizzazione del Governo e dell'Amministrazione, sempreché vi siano autorizzati in virtù di una base legale.

²³ RS 172.010

Art. 72 Disposizione transitoria relativa all'elezione dell'Incaricato e alla cessazione del suo mandato

¹ Sino al termine della legislatura in corso all'entrata in vigore della presente legge, l'elezione dell'Incaricato e la cessazione del suo mandato sono rette dal diritto anteriore.

² Se in occasione della prima elezione da parte dell'Assemblea federale plenaria è eletto l'Incaricato uscente, il nuovo mandato dello stesso inizia il giorno successivo all'elezione.²⁴

²⁴ Introdotto dal n. I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).

Data dell'entrata in vigore:²⁶ 1° settembre 2023

²⁶ DCF del 31 ago. 2022

²⁷ [RU 1993 1945, 2022; 1997 2372 n. II; 1998 1546 art. 31; 1999 2243 art. 25; 2006 2197 all. n. 26, 2319 all. n. 4; 2007 4983; 2010 1739 all. 1 n. II 14, 3387 n. 3; 2013 3215 all. n. 1; 2019 625 n. II 1]

²⁸ [RU 2019 639]

²⁹ Le mod. possono essere consultate alla RU 2022 491.

³⁰ Le diposizioni di coordinamento. possono essere consultate alla RU 2022 491.

Legge federale sulla protezione dei dati

(LPD)

Legge federale
sulla protezione dei dati