Comunicazione di dati personali all’estero

Comunicazione di dati personali all’estero

La comunicazione di dati personali all’estero da parte di imprese private o di organi federali è possibile soltanto a determinate condizioni. Tali condizioni dipendono dal Paese in cui i dati devono essere comunicati. Inoltre devono essere prese determinate misure a seconda del Paese destinatario.

Guida per l’esame dell’ammissibilità della comunicazione di dati all’estero (secondo art. 16 cpv. 2 lett. b e d LPD)

La presente guida è destinata ad agevolare l’esame dell’ammissibilità della comunicazione di dati personali all’estero da parte di chi tratta i dati.

Sulla base di uno schema la guida illustra la procedura concernente il trasferimento di dati all’estero secondo l’articolo 16 capoverso 2 lettere b e d LPD qualora nel Paese destinatario manchi una legislazione che assicuri una protezione adeguata* e questa lacuna debba essere compensata con clausole di protezione dei dati in un contratto specifico o clausole tipo di protezione dei dati (cfr. anche art. 9 cpv. 3 dell’ordinanza relativa alla legge federale sulla protezionedei dati; OPD; RS 235.11). Questa guida non entra nel merito delle condizioni di cui alle lettere a, c ed e.*

Guida per l’esame dell’ammissibilità della comunicazione di dati all’estero (secondo art. 6 cpv. 2 lett. a LPD) (PDF, 477 kB, 10.05.2023)

La lista dei paesi può essere utilizzata per verificare se il paese verso il quale vengono trasferiti i dati offre un'adeguata protezione dei dati.

Il 15 settembre 2024 è entrata in vigore l'aggiunta all'elenco dei Paesi di cui all'Allegato 1 della OPDa per quanto riguarda gli Stati Uniti. Il quadro giuridico associato (Data Privacy Framework Svizzera-USA) offre agli interessati in Svizzera diverse possibilità per ottenere protezione giuridica. Di seguito sono pubblicati il formulario per le procedure di ricorso contro organizzazioni/imprese statunitensi certificate (questioni commerciali) e il formulario per le procedure di ricorso in materia di trattamento dei dati personali da parte di servizi delle attività informative degli Stati Uniti.

I dati personali possono essere comunicati all’estero unicamente se il Paese destinatario dispone di un adeguato livello di protezione dei dati. 

Protezione adeguata mediante la legislazione nello Stato estero

La comunicazione di dati all’estero è possibile se la legislazione dello Stato destinatario garantisce una protezione adeguata dei dati (art. 16 cpv. 1 LPD). Gli Stati che adempiono a tali condizioni figurano in un elenco adottato dal Consiglio federale e pubblicato nell’allegato dell’ordinanza sulla protezione dei dati (OPD) (Allegato 1 OPD). L’ordinanza precisa inoltre i criteri applicati dal Consiglio federale nella sua valutazione (art. 8 OPD). Se è garantita una protezione adeguata, i dati personali provenienti dalla Svizzera possono essere liberamente comunicati in tale Stato, sia da imprese private sia da organi federali. 

Protezione adeguata mediante garanzie adeguate

In assenza di una tale decisione di adeguatezza, la comunicazione di dati all’estero è tuttavia ammessa se la protezione dei dati può essere garantita altrimenti, in particolare mediante garanzie contrattuali.

  • Clausole di protezione dei dati in un contratto specifico: il titolare del trattamento dei dati e il suo partner contrattuale convengono nel loro contratto clausole specifiche di protezione dei dati che garantiscono una protezione adeguata dei dati comunicati. L’IFPDT dev’essere informato in merito a tali clausole prima della comunicazione di tali dati all’estero. Nonostante la notifica all’IFPDT, il titolare del trattamento dei permane responsabile di provare che sono state adottate tutte le misure necessarie per la protezione dei dati. Diversamente dalle clausole tipo di protezione dei dati (v. infoteca), le clausole di protezione dei dati previste in un contratto si applicano esclusivamente alla comunicazione di dati interessata.
  • Clausole tipo di protezione dei dati: possono essere elaborate da privati, cerchie interessate, od organi federali. Tali clausole devono essere previamente approvate dall’IFPDT. Nessun dato può essere reso noto all’estero fino a quando l’IFPDT non ha preso la decisione relativa alle clausole, eccetto che la comunicazione dei dati possa poggiare su un altro motivo giustificativo. L’IFPDT decide entro 90 giorni (OPD). Le clausole tipo di protezione dei dati possono però anche essere allestite o riconosciute dallo stesso IFPDT. L’utilizzazione di tali clausole, di cui è disponibile un elenco nell'infoteca, non dev’essere annunciata all’IFPDT.  

Anche gli organi federali possono ricorrere a questo tipo di garanzie.

  • Norme interne dell’impresa vincolanti sulla protezione dei dati: la comunicazione di dati a un’impresa estera appartenente allo stesso gruppo di imprese di cui fa parte il titolare del trattamento di dati, può anche aver luogo sulla base di norme interne dell’impresa vincolanti sulla protezione dei dati («binding corporate rules», BCR). Le stesse devono essere previamente approvate dall’IFPDT o da un’autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata. Appena l’IFPDT prende una decisione, i dati possono essere comunicati all’estero sulla base delle norme interne dell’impresa vincolanti sulla protezione dei dati. Se sono già state approvate da un’autorità incaricata della protezione dei dati estera appartenente a uno Stato che garantisce una protezione adeguata (p. es. uno Stato UE), le BCR possono essere direttamente applicate e non è più necessaria un’approvazione separata da parte dell’IFPDT. 

Le garanzie contrattuali sono soggette alle seguenti regole:

  • il titolare del trattamento di dati deve assicurare che il destinatario si attiene alle clausole convenute e che la legislazione del Paese terzo consente al destinatario di adempiere ai suoi obblighi;
  • vale la presunzione che il titolare del trattamento di dati ha preso tutte le misure necessarie per assicurare una protezione dei dati adeguata. Tale presunzione non lo libera tuttavia dalla sua responsabilità per i pregiudizi derivanti da una violazione di tali clausole in particolare da parte del destinatario dei dati;
  • siccome le clausole di protezione dei dati vincolano unicamente le parti contraenti, nel singolo caso può essere necessario completare le stesse con misure tecniche qualora il diritto applicabile al destinatario consenta interventi sproporzionati da parte delle autorità (v. Guida per l’esame dell’ammissibilità della comunicazione di dati all’estero secondo art. 6 cpv. 2 lett. a LPD, a sinistra di questa pagina).

Per gli organi federali vi è inoltre la possibilità di subordinare il consenso a una cooperazione con uno Stato estero a garanzie specifiche da rispettare in materia di protezione dei dati e, sulla base delle stesse, di comunicare i dati personali in tale Paese. Anche in tal caso l’organo federale deve informare previamente l’IFPDT. Il rispetto di quest’obbligo da parte del titolare rende immediatamente possibile la comunicazione di dati personali all’estero.

Una protezione dei dati adeguata può essere inoltre garantita mediante un trattato internazionale, p. es. mediante la convenzione 108+ (v. sezione Internazionale);

Eccezioni

Se una decisione di adeguatezza non è stata presa e non si è ricorso a uno degli strumenti di cui sopra, la comunicazione di dati personali all’estero è eventualmente ammessa in applicazione delle eccezioni elencate nell’articolo 17 LPD.

Obblighi d’informazione 

La persona interessata dev’essere informata in merito a qualsiasi comunicazione dei suoi dati all’estero (art. 19 cpv. 4 LPD). 
Maggiori informazioni

Punibilità

La comunicazione di dati personali all’estero senza l’adempimento delle condizioni di cui agli articoli 16 e 17 LPD può avere conseguenze di diritto penale (art. 61 lett. a LPD).

Registro

Il nome dello Stato destinatario e le garanzie previste devono essere indicati nel registro delle attività di trattamento secondo l’articolo 12 LPD.


Dichiarazioni relative alla protezione dei dati in Internet

Chi necessita di una dichiarazione relativa alla protezione dei dati e che cosa deve contenere questa dichiarazione?

Cooperazione internazionale

Un'efficace protezione dei dati deve superare le frontiere.

Schengen / Dublino

La Svizzera è uno Stato membro di Schengen.

Adeguatezza

Cosa si intende per decisione di adeguatezza e qual è il suo significato?

27.08.2021 - Übermittlung von Personendaten in ein Land ohne angemessenes Datenschutzniveau

Mit Mitteilung vom 27. August 2021 anerkennt der EDÖB die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (gem. Durchführungsbeschluss 2021/914/EU) als Grundlage für Personendatenübermittlungen in ein Land ohne angemessenes Datenschutzniveau, sofern die für eine Verwendung unter Schweizer Datenschutzrecht notwendigen Anpassungen und Ergänzungen vorgenommen werden.

07.10.2022 - European Union-U.S. Data Privacy Framework

Der EDÖB hat das seitens der Vereinigten Staaten publizierte Factsheet betreffend das «Data Privacy Framework (DPF)» zur Kenntnis genommen und ist daran, dieses zu prüfen.


Innovazioni principali

Qui potete trovare le informazioni sulla LPD, entreta in vigore l'1.9.2023.

Domande sulla protezione dei dati

Consultate le nostre FAQ o chiamate la nostra hotline.

Webmaster
Ultima modifica 01.11.2024

Inizio pagina