Art. 1 Scopo
Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.
235.1
del 25 settembre 2020 (Stato 1° aprile 2025)
Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.
1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
2 Non si applica al trattamento di dati personali da parte:
3 Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
4 I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.
1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
2 Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.
1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
2 Non sono sottoposti alla vigilanza dell'IFPDT:
Nella presente legge s'intende per:
1 I dati personali devono essere trattati in modo lecito.
2 Il trattamento deve essere conforme ai principi della buona fede e della proporzionalità.
3 I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata; possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo.
4 I dati personali sono distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento.
5 Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati. L'adeguatezza delle misure dipende segnatamente dal tipo e dall'entità del trattamento dei dati come pure dai rischi derivanti dal trattamento per la personalità o i diritti fondamentali della persona interessata.
6 Laddove sia una condizione necessaria per il trattamento, il consenso della persona interessata è valido soltanto se, dopo debita informazione, è dato in modo libero in riferimento a uno o più trattamenti specifici.
7 È necessario l'espresso consenso per:
1 Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
2 I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all'entità del trattamento dei dati personali come pure ai rischi derivanti dal trattamento per la personalità o i diritti fondamentali delle persone interessate.
3 Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.
1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
2 I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
3 Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.
1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
2 Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
3 Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
4 Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.
1 I titolari privati del trattamento possono nominare un consulente per la protezione dei dati.
2 Il consulente funge da interlocutore per le persone interessate come pure per le autorità competenti in Svizzera per la protezione dei dati. Ha segnatamente i compiti seguenti:
3 I titolari privati del trattamento possono avvalersi dell'eccezione di cui all'articolo 23 capoverso 4 se:
4 Il Consiglio federale disciplina la nomina dei consulenti da parte degli organi federali.
1 Le associazioni professionali, di settore ed economiche autorizzate dai loro statuti a difendere gli interessi economici dei loro membri come pure gli organi federali possono sottoporre all'IFPDT codici di condotta.
2 L'IFPDT esprime un parere riguardo a ogni codice di condotta; pubblica tali pareri.
1 I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento.
2 Il registro del titolare del trattamento contiene almeno:
3 Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.
4 Gli organi federali notificano i loro registri all'IFPDT.
5 Il Consiglio federale prevede eccezioni per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.
1 I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione indipendenti riconosciuti.
2 Il Consiglio federale emana disposizioni sul riconoscimento delle procedure di certificazione e sull'introduzione di un marchio di qualità inerente alla protezione dei dati. Tiene conto del diritto internazionale e delle norme tecniche riconosciute a livello internazionale.
1 I titolari privati del trattamento con sede o domicilio all'estero designano un rappresentante in Svizzera se trattano dati personali concernenti persone in Svizzera e il trattamento:
2 Il rappresentante funge da interlocutore per le persone interessate e l'IFPDT.
3 Il titolare del trattamento pubblica il nome e l'indirizzo del rappresentante.
1 Il rappresentante tiene un registro delle attività di trattamento del titolare del trattamento; il registro contiene le indicazioni di cui all'articolo 12 capoverso 2.
2 Su richiesta, il rappresentante trasmette all'IFPDT le indicazioni contenute nel registro.
3 Su richiesta, il rappresentante fornisce alle persone interessate informazioni su come esercitare i loro diritti.
1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
2 In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da:
3 Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2.
1 In deroga all'articolo 16 capoversi 1 e 2, dati personali possono essere comunicati all'estero se:
2 Il titolare o il responsabile del trattamento che comunica dati personali conformemente al capoverso 1 lettere b numero 2, c e d ne informa, su richiesta, l'IFPDT.
La pubblicazione di dati personali per mezzo di servizi d'informazione e di comunicazione automatizzati allo scopo di informare il pubblico non è considerata una comunicazione all'estero, anche se i dati possono essere consultati all'estero.
1 Il titolare del trattamento informa in modo adeguato la persona interessata sulla raccolta di dati personali; tale obbligo sussiste anche se i dati non sono raccolti presso la persona interessata.
2 Al momento della raccolta, il titolare del trattamento fornisce alla persona interessata le informazioni necessarie affinché questa possa far valere i propri diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati; fornisce almeno le informazioni seguenti:
3 Se i dati personali non sono raccolti presso la persona interessata, il titolare del trattamento la informa inoltre sulle categorie di dati personali trattati.
4 Se i dati personali sono comunicati all'estero, il titolare del trattamento informa la persona interessata sullo Stato o sull'organismo internazionale destinatario e, se del caso, sulle garanzie di cui all'articolo 16 capoverso 2, oppure sull'applicazione di un'eccezione secondo l'articolo 17.
5 Se i dati personali non sono raccolti presso la persona interessata, il titolare del trattamento le fornisce le informazioni di cui ai capoversi 2-4 entro un mese dalla ricezione dei dati. Se comunica questi dati personali prima della scadenza di detto termine, il titolare del trattamento fornisce alla persona interessata tali informazioni al più tardi al momento della comunicazione dei dati.
1 L'obbligo di informare secondo l'articolo 19 non sussiste se:
2 Se i dati personali non sono raccolti presso la persona interessata, l'obbligo di informare non sussiste inoltre qualora l'informazione:
3 Il titolare del trattamento può limitare o differire l'informazione oppure rinunciarvi se:
4 Le imprese appartenenti al medesimo gruppo non sono considerate terzi ai sensi del capoverso 3 lettera c numero 2.
1 Il titolare del trattamento informa la persona interessata di ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per lei effetti giuridici o conseguenze significative (decisione individuale automatizzata).
2 Il titolare del trattamento dà su richiesta alla persona interessata la possibilità di esprimere un parere. Se la persona interessata lo esige, la decisione individuale automatizzata va riesaminata da una persona fisica.
3 I capoversi 1 e 2 non si applicano se:
4 Se la decisione individuale automatizzata è presa da un organo federale, questi la designa come tale. Il capoverso 2 non si applica nei casi in cui in virtù dell'articolo 30 capoverso 2 della legge federale del 20 dicembre 19686 sulla procedura amministrativa (PA) o di un'altra legge federale l'organo federale non è tenuto a sentire la persona interessata prima di prendere la decisione.
1 Il titolare del trattamento effettua previamente una valutazione d'impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Se prevede più operazioni di trattamento simili può procedere a una valutazione d'impatto comune.
2 Il rischio elevato, in particolare in caso di utilizzazione di nuove tecnologie, risulta dal tipo, dall'entità, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di:
3 La valutazione d'impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per la personalità o per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela.
4 Il titolare privato tenuto a effettuare il trattamento in virtù di un obbligo legale è esentato dall'obbligo di procedere a una valutazione d'impatto.
5 Il titolare privato del trattamento può rinunciare a una valutazione d'impatto se si avvale di un sistema, un prodotto o un servizio che dispone di una certificazione secondo l'articolo 13 per l'impiego previsto o se rispetta un codice di condotta secondo l'articolo 11 che:
1 Il titolare del trattamento chiede previamente il parere dell'IFPDT se dalla valutazione d'impatto sulla protezione dei dati emerge che, nonostante i provvedimenti previsti dal titolare, il trattamento previsto comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
2 L'IFPDT comunica entro due mesi al titolare del trattamento le sue obiezioni contro il trattamento previsto. Il termine può essere prorogato di un mese se si tratta di un trattamento di dati complesso.
3 Se ha obiezioni contro il trattamento previsto, l'IFPDT propone al titolare del trattamento provvedimenti appropriati.
4 Il titolare privato del trattamento può rinunciare a consultare l'IFPDT se ha consultato il consulente per la protezione dei dati ai sensi dell'articolo 10.
1 Il titolare del trattamento notifica quanto prima all'IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
2 Nella notifica il titolare del trattamento menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e le misure disposte o previste.
3 Il responsabile del trattamento informa quanto prima il titolare del trattamento su ogni violazione della sicurezza dei dati.
4 Il titolare del trattamento informa la persona interessata sulla violazione della sicurezza dei dati, se ciò è necessario per proteggere la persona interessata o se lo esige l'IFPDT.
5 Il titolare del trattamento può limitare o differire l'informazione della persona interessata o rinunciarvi se:
5bis Con il consenso del titolare del trattamento, l'IFPDT può inoltrare la notifica all'Ufficio federale della cibersicurezza ai fini dell'analisi dell'incidente. La comunicazione può contenere dati personali, compresi dati personali degni di particolare protezione su perseguimenti o sanzioni amministrativi e penali concernenti il titolare del trattamento.7
6 Una notifica effettuata in forza del presente articolo può essere usata nel quadro di un procedimento penale contro la persona soggetta all'obbligo di notifica soltanto con il suo consenso.
7 Introdotto dalla cifra II n. 2 della LF del 29 set. 2023 sulla sicurezza (Introduzione dell'obbligo di segnalare ciberattacchi a infrastrutture critiche, in vigore dal 1° apr. 2025 (FF 2023 84; RU 2024 257; 2025 168, 173).
1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
2 Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
3 I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
4 Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
5 Nessuno può rinunciare preventivamente al diritto d'accesso.
6 Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
7 Di norma l'informazione è fornita entro 30 giorni.
1 Il titolare del trattamento può rifiutare, limitare o differire l'informazione se:
2 Il titolare del trattamento può inoltre rifiutare, limitare o differire l'informazione se:
3 Le imprese appartenenti al medesimo gruppo non sono considerate terzi ai sensi del capoverso 2 lettera a numero 2.
4 Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce l'informazione.
1 Se i dati personali sono trattati esclusivamente in vista della pubblicazione nella parte redazionale di un mezzo di comunicazione di massa con carattere periodico, il titolare del trattamento può rifiutare, limitare o differire l'informazione se:
2 I giornalisti possono inoltre rifiutare, limitare o differire l'informazione qualora i dati personali servano loro esclusivamente a titolo di strumento personale di lavoro.
1 Chiunque può esigere che i dati personali che lo concernono e che ha comunicato al titolare del trattamento gli siano consegnati in un formato elettronico usuale, se:
2 La persona interessata può inoltre esigere che il titolare del trattamento trasmetta a un altro titolare del trattamento i dati personali che la concernono se sono soddisfatte le condizioni di cui al capoverso 1 e la trasmissione non richiede un onere sproporzionato.
3 Il titolare del trattamento consegna o trasmette gratuitamente i dati personali. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se la consegna o la trasmissione dei dati personali richiede un onere sproporzionato.
1 Il titolare del trattamento può rifiutare, limitare o differire la consegna o la trasmissione dei dati personali per i motivi di cui all'articolo 26 capoversi 1 e 2.
2 Il titolare del trattamento indica il motivo per cui rifiuta, limita o differisce la consegna o la trasmissione.
1 Chi tratta dati personali non può ledere illecitamente la personalità delle persone interessate.
2 Vi è lesione della personalità in particolare se:
3 Di regola non vi è lesione della personalità se la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento.
1 Una lesione della personalità è illecita se non è giustificata dal consenso della persona interessata, da un interesse preponderante privato o pubblico oppure dalla legge.
2 Un interesse preponderante del titolare del trattamento può in particolare sussistere se questi:
1 La persona interessata può esigere che i dati personali inesatti siano rettificati, salvo che:
2 Le azioni concernenti la protezione della personalità sono rette dagli articoli 28, 28a e 28g-28l del Codice civile8. L'attore può in particolare chiedere che:
3 Se non possono essere accertate né l'esattezza né l'inesattezza dei dati personali, l'attore può chiedere che si aggiunga agli stessi una menzione che ne indichi il carattere contestato.
4 L'attore può inoltre chiedere che siano comunicati a terzi o pubblicati la rettifica, la cancellazione o la distruzione, il divieto di trattamento o di comunicazione a terzi, la menzione del carattere contestato o la sentenza.
Il Consiglio federale disciplina le procedure di controllo e la responsabilità in materia di protezione dei dati nei casi in cui un organo federale tratta dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati.
1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
2 La base legale deve figurare in una legge in senso formale nei casi seguenti:
3 Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
4 In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
1 Il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o altri trattamenti ai sensi dell'articolo 34 capoverso 2 lettere b e c prima dell'entrata in vigore di una legge in senso formale se:
2 Il Consiglio federale chiede previamente il parere dell'IFPDT.
3 L'organo federale competente presenta un rapporto di valutazione al Consiglio federale al più tardi due anni dopo la messa in opera del sistema pilota. Nel rapporto propone la continuazione o l'interruzione del trattamento.
4 Il trattamento automatizzato di dati personali deve in ogni caso essere interrotto se entro cinque anni dalla messa in opera del sistema pilota non è entrata in vigore una legge in senso formale che prevede la pertinente base legale.
1 Gli organi federali hanno il diritto di comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 34 capoversi 1-3.
2 In deroga al capoverso 1, gli organi federali possono, nel caso specifico, comunicare dati personali se:
3 Nell'ambito dell'informazione ufficiale del pubblico, gli organi federali possono inoltre comunicare dati personali d'ufficio o in virtù della legge del 17 dicembre 20049 sulla trasparenza se:
4 Gli organi federali possono comunicare, su richiesta, cognome, nome, indirizzo e data di nascita di una persona anche se le condizioni del capoverso 1 o 2 non sono adempiute.
5 Gli organi federali possono rendere accessibili a chiunque dati personali mediante servizi di informazione e comunicazione automatizzati se una base legale prevede la pubblicazione di questi dati oppure se comunicano dati in virtù del capoverso 3. Se cessa l'interesse pubblico a renderli accessibili a chiunque, i dati contenuti nel servizio di informazione e comunicazione automatizzato sono cancellati.
6 Gli organi federali rifiutano o limitano la comunicazione, oppure la vincolano a oneri, se lo esige:
1 La persona interessata che rende verosimile un interesse degno di protezione può opporsi alla comunicazione di determinati dati personali da parte dell'organo federale competente.
2 L'organo federale respinge l'opposizione se:
3 È fatto salvo l'articolo 36 capoverso 3.
1 Conformemente alla legge federale del 26 giugno 199810 sull'archiviazione, gli organi federali offrono all'Archivio federale i dati personali di cui non necessitano più in modo permanente.
2 L'organo federale distrugge i dati personali che l'Archivio federale ha designato come non aventi valore archivistico, salvo che tali dati:
1 Gli organi federali hanno il diritto di trattare dati personali per scopi impersonali, in particolare nei settori della ricerca, della pianificazione o della statistica, se:
2 Gli articoli 6 capoverso 3, 34 capoverso 2 e 36 capoverso 1 non sono applicabili.
Se un organo federale compie un'attività soggetta al diritto privato, il trattamento dei dati personali è retto dalle disposizioni applicabili ai privati.
1 Chi ha un interesse degno di protezione può esigere che l'organo federale responsabile:
2 Il richiedente può in particolare esigere che l'organo federale:
3 Invece di cancellare o distruggere i dati personali, l'organo federale ne limita il trattamento se:
4 Se non possono essere accertate né l'esattezza né l'inesattezza dei dati personali, l'organo federale aggiunge agli stessi una menzione che ne indica il carattere contestato.
5 La rettifica, cancellazione o distruzione di dati personali non può essere chiesta in riferimento a fondi di biblioteche, istituti d'insegnamento, musei, archivi accessibili al pubblico e altre istituzioni pubbliche della memoria collettiva. Il richiedente che rende verosimile un interesse preponderante può chiedere che l'istituzione limiti l'accesso ai dati contestati. I capoversi 3 e 4 non sono applicabili.
6 La procedura è retta dalla PA11. Le eccezioni previste dagli articoli 2 e 3 PA non sono applicabili.
Se è in corso una procedura ai sensi della legge del 17 dicembre 200412 sulla trasparenza concernente l'accesso a documenti ufficiali che contengono dati personali, la persona interessata può, in tale procedura, far valere i diritti che le spettano in virtù dell'articolo 41 della presente legge in riferimento ai documenti oggetto della procedura di accesso.
1 Il capo dell'IFPDT (Incaricato) è eletto dall'Assemblea federale plenaria.
2 È eleggibile chiunque abbia diritto di voto in materia federale.
3 Il rapporto di lavoro dell'Incaricato è retto dalla legge del 24 marzo 200013 sul personale federale (LPers), sempreché la presente legge non disponga altrimenti. Sino al compimento dei 65 anni l'Incaricato è assicurato presso la Cassa pensioni della Confederazione PUBLICA contro le conseguenze economiche di vecchiaia, invalidità e morte. Su richiesta dell'Incaricato, la previdenza per la vecchiaia è mantenuta oltre il 65° anno di età e sino alla fine del rapporto di lavoro, ma al massimo sino alla fine dell'anno civile in cui egli compie 68 anni. In tal caso, l'IFPDT finanzia i contributi di risparmio del datore di lavoro.14
3bis L'Assemblea federale emana mediante ordinanza le disposizioni d'esecuzione concernenti il rapporto di lavoro dell'Incaricato.15
4 L'Incaricato esercita la sua funzione in modo indipendente, senza ricevere né sollecitare istruzioni da alcuna autorità o da terzi. È aggregato amministrativamente alla Cancelleria federale.
5 Dispone di una segreteria permanente e di un proprio preventivo. Assume il proprio personale.
6 All'Incaricato non si applica il sistema di valutazione di cui all'articolo 4 capoverso 3 LPers.
14 Secondo, terzo e quarto per. introdotti dalla cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
15 Introdotto dalla cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
1 Il mandato dell'Incaricato dura quattro anni e può essere rinnovato due volte. Inizia il 1° gennaio seguente l'inizio della legislatura del Consiglio nazionale.
2 L'Incaricato può disdire il rapporto di lavoro per la fine di un mese con preavviso di sei mesi. In singoli casi, la Commissione giudiziaria può accordare all'Incaricato un termine di preavviso più breve se nessun interesse essenziale vi si oppone.16
3 L'Assemblea federale plenaria può destituire l'Incaricato prima della scadenza del mandato se questi:
16 Nuovo testo giusta la cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
La Commissione giudiziaria può pronunciare un ammonimento qualora accerti che l'Incaricato ha violato i suoi doveri d'ufficio.
17 Introdotto dalla cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
L'IFPDT presenta ogni anno, per il tramite della Cancelleria federale, un progetto di preventivo al Consiglio federale. Quest'ultimo lo inoltra senza modifiche all'Assemblea federale.
L'Incaricato non può essere membro dell'Assemblea federale o del Consiglio federale, né esercitare alcun'altra funzione al servizio della Confederazione.
1 L'Incaricato non può esercitare alcuna attività accessoria.
2 La Commissione giudiziaria può autorizzare l'Incaricato a esercitare un'attività accessoria sempreché non siano pregiudicati il pieno adempimento della funzione, nonché l'indipendenza e la reputazione dell'IFPDT.18 La decisione è pubblicata.
18 Nuovo testo giusta la cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
Se la ricusazione dell'Incaricato è contestata, decide il presidente della corte del Tribunale amministrativo federale competente in materia di protezione dei dati.
19 Introdotto dalla cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
Per mezzo di misure di controllo adeguate, in particolare in riferimento alla sicurezza dei dati, l'IFPDT assicura che al suo interno sia garantita l'esecuzione conforme delle norme federali sulla protezione dei dati.
1 L'IFPDT apre, d'ufficio o su denuncia, un'inchiesta nei confronti di un organo federale o di un privato se indizi sufficienti lasciano presumere che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati.
2 Può rinunciare ad aprire un'inchiesta se la violazione delle disposizioni sulla protezione dei dati è di poca importanza.
3 L'organo federale o il privato fornisce all'IFPDT tutte le informazioni e i documenti necessari per l'inchiesta. Il diritto di rifiutare di fornire informazioni è retto dagli articoli 16 e 17 PA20; è fatto salvo l'articolo 50 capoverso 2 della presente legge.
4 Se la persona interessata ha sporto denuncia, l'IFPDT la informa sul seguito dato alla denuncia e sull'esito di un'eventuale inchiesta.
1 Se l'organo federale o il privato non ottempera all'obbligo di collaborare, l'IFPDT può, nell'ambito dell'inchiesta, ordinare in particolare:
2 È fatto salvo il segreto professionale.
3 Per eseguire i provvedimenti di cui al capoverso 1, l'IFPDT può far capo ad altre autorità federali o a organi di polizia cantonali o comunali.
1 Se sono state violate le disposizioni sulla protezione dei dati, l'IFPDT può ordinare di adeguare, sospendere o cessare del tutto o in parte il trattamento nonché di cancellare o distruggere del tutto o in parte i dati personali.
2 L'IFPDT può sospendere o vietare la comunicazione di dati personali all'estero se questa è contraria alle condizioni di cui agli articoli 16 o 17 oppure alle disposizioni di altre leggi federali riguardanti la comunicazione di dati personali all'estero.
3 L'IFPDT può segnatamente disporre che l'organo federale o il privato:
4 Può inoltre disporre che il titolare privato del trattamento con sede o domicilio all'estero designi un rappresentante secondo l'articolo 14.
5 Se durante l'inchiesta l'organo federale o il privato ha adottato i provvedimenti necessari per ristabilire il rispetto delle disposizioni sulla protezione dei dati, lo IFPDT può limitarsi a pronunciare un ammonimento.
1 La procedura d'inchiesta e le decisioni di cui agli articoli 50 e 51 sono rette dalla PA21.
2 È parte soltanto l'organo federale o il privato oggetto dell'inchiesta.
3 L'IFPDT può impugnare le decisioni su ricorso pronunciate dal Tribunale amministrativo federale.
1 Prima di pronunciare una decisione riguardante questioni inerenti alla protezione dei dati, le autorità amministrative federali che in virtù di un'altra legge federale esercitano la vigilanza su un privato o un'organizzazione esterna all'Amministrazione federale invitano l'IFPDT a esprimere un parere.
2 Se l'IFPDT svolge una propria inchiesta contro la stessa parte, le due autorità coordinano le procedure.
1 Le autorità federali e cantonali comunicano all'IFPDT le informazioni e i dati personali necessari per l'adempimento dei suoi compiti legali.
2 L'IFPDT comunica alle autorità seguenti le informazioni e i dati personali necessari per l'adempimento dei loro compiti legali:
1 L'IFPDT può scambiare informazioni o dati personali con autorità estere incaricate della protezione dei dati ai fini dell'adempimento dei rispettivi compiti legali in materia di protezione dei dati se:
2 Per motivare la propria domanda di assistenza amministrativa o per dare seguito alla domanda di un'autorità, l'IFPDT può trasmettere in particolare le seguenti informazioni:
3 Prima di trasmettere a un'autorità estera informazioni che potrebbero contenere segreti professionali, d'affari o di fabbricazione, l'IFPDT informa le persone fisiche o giuridiche titolari di tali segreti e le invita a esprimere un parere, salvo che ciò sia impossibile o richieda un onere sproporzionato.
L'IFPDT tiene un registro delle attività di trattamento degli organi federali. Il registro è pubblicato.
1 L'IFPDT presenta annualmente all'Assemblea federale un rapporto d'attività. Lo trasmette contemporaneamente al Consiglio federale. Il rapporto è pubblicato.
2 Nei casi d'interesse generale, l'IFPDT informa il pubblico sui suoi accertamenti e sulle sue raccomandazioni.
1 L'IFPDT ha in particolare gli altri compiti seguenti:
2 L'IFPDT può fornire consulenza anche agli organi federali che secondo gli articoli 2 e 4 non sono sottoposti alla sua vigilanza. Gli organi federali possono concedergli accesso ai loro atti.
3 L'IFPDT è autorizzato a dichiarare alle autorità estere incaricate della protezione dei dati che, in materia di protezione dei dati, in Svizzera è ammessa la notificazione diretta, sempreché alla Svizzera sia concessa la reciprocità.
1 L'IFPDT riscuote dai privati emolumenti per:
2 Il Consiglio federale determina l'importo degli emolumenti.
3 Il Consiglio federale può definire i casi in cui si può prescindere dalla riscossione di un emolumento o ridurne l'importo.
1 Sono puniti, a querela di parte, con la multa fino a 250 000 franchi i privati che:
2 Sono puniti con la multa fino a 250 000 franchi i privati che in violazione dell'articolo 49 capoverso 3 forniscono intenzionalmente all'IFPDT, nel quadro di un'inchiesta, informazioni false o rifiutano intenzionalmente di collaborare.
A querela di parte sono puniti con la multa fino a 250 000 franchi i privati che intenzionalmente:
1 Chiunque rivela intenzionalmente dati personali segreti dei quali è venuto a conoscenza nell'esercizio di una professione che richiede la conoscenza di tali dati, è punito, a querela di parte, con la multa fino a 250 000 franchi.
2 È passibile della stessa pena chiunque intenzionalmente rivela dati personali segreti dei quali è venuto a conoscenza nell'ambito dell'attività svolta per conto della persona sottostante all'obbligo del segreto o in occasione della sua formazione presso tale persona.
3 La rivelazione di dati personali segreti è punibile anche dopo la cessazione dei rapporti di lavoro o della formazione.
È punito con la multa fino a 250 000 franchi il privato che intenzionalmente non ottempera a una decisione dell'IFPDT, o a una decisione delle autorità di ricorso, notificatagli sotto comminatoria della pena prevista nel presente articolo.
1 Alle infrazioni commesse nell'azienda sono applicabili gli articoli 6 e 7 della legge federale del 22 marzo 197423 sul diritto penale amministrativo (DPA).
2 Se la multa applicabile non supera i 50 000 franchi e se la determinazione delle persone punibili secondo l'articolo 6 DPA esige provvedimenti d'inchiesta sproporzionati all'entità della pena, l'autorità può prescindere da un procedimento contro dette persone e, in loro vece, condannare al pagamento della multa l'azienda (art. 7 DPA).
1 Il perseguimento e il giudizio dei reati competono ai Cantoni.
2 L'IFPDT può sporgere denuncia presso l'autorità di perseguimento penale competente e avvalersi nel procedimento dei diritti dell'accusatore privato.
L'azione penale si prescrive in cinque anni.
Il Consiglio federale può concludere trattati internazionali concernenti:
L'abrogazione e la modifica di altri atti normativi sono disciplinate nell'allegato 1.
Gli articoli 7, 22 e 23 non si applicano ai trattamenti di dati avviati prima dell'entrata in vigore della presente legge, sempreché lo scopo del trattamento resti immutato e non siano raccolti nuovi dati.
La presente legge non si applica alle inchieste dell'IFPDT in corso alla sua entrata in vigore; non si applica neppure ai ricorsi pendenti contro decisioni di prima istanza emanate prima della sua entrata in vigore. A questi casi si applica il diritto anteriore.
Per gli organi federali, le disposizioni di altri atti normativi federali che si riferiscono a dati personali continuano ad applicarsi ai dati concernenti persone giuridiche durante cinque anni dall'entrata in vigore della presente legge. Durante tale periodo gli organi federali possono in particolare comunicare dati concernenti persone giuridiche conformemente all'articolo 57s capoversi 1 e 2 della legge del 21 marzo 199724 sull'organizzazione del Governo e dell'Amministrazione, sempreché vi siano autorizzati in virtù di una base legale.
1 Sino al termine della legislatura in corso all'entrata in vigore della presente legge, l'elezione dell'Incaricato e la cessazione del suo mandato sono rette dal diritto anteriore.
2 Se in occasione della prima elezione da parte dell'Assemblea federale plenaria è eletto l'Incaricato uscente, il nuovo mandato dello stesso inizia il giorno successivo all'elezione.25
25 Introdotto dalla cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
Il rapporto di lavoro dell'Incaricato costituito secondo il diritto anteriore è retto dal diritto anteriore.
26 Introdotto dalla cifra I della LF del 17 giu. 2022 (Rapporto di lavoro del capo dell'Incaricato federale della protezione dei dati e della trasparenza), in vigore dal 1° set. 2023 (RU 2023 231; FF 2022 345, 432).
Il coordinamento con altri atti normativi è disciplinato nell'allegato 2.
(art. 68)
(art. 73)
31 Le disp.di coordinazione sono consultabili alla RU 2022 491.