Codice di condotta

L’articolo 11 della legge federale sulla protezione dei dati (LPD) offre la possibilità alle associazioni professionali, di settore ed economiche, come pure agli organi federali, di redigere un proprio codice di condotta e di sottoporlo per parere all’IFPDT. I pareri sono pubblicati e possono contenere obiezioni oppure raccomandare l’adozione di modifiche o di precisazioni. Un parere positivo dell’IFPDT crea la presunzione legale che la condotta riportata nel codice sia conforme alle disposizioni in materia di protezione dei dati. A talune condizioni, permette anche al titolare privato del trattamento di rinunciare a una valutazione d’impatto o di avvalersi di esso quale garanzia per assicurare un livello di protezione adeguato e permettere la comunicazione di dati personali all’estero.

Che cos’è un codice di condotta?

Un codice di condotta è uno strumento di autoregolamentazione che consente agli operatori di un determinato settore di conformarsi alla LPD, facilitandone il recepimento e l'attuazione attraverso l'elaborazione di specifiche norme comuni, in modo da pervenire a un’uniformazione delle pratiche. Esso conferisce una dimensione operativa ai principi stabiliti dalla legge e contribuisce alla sua corretta applicazione tenendo conto della specificità dei diversi settori di trattamento e delle loro esigenze. 

Questi codici permetteranno di precisare alcune nozioni, come il rischio elevato (art. 22 LPD), e le modalità di adempimento di taluni obblighi, come l’obbligo d’informare (art. 19 -21 LPD) o l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (art. 22 LPD); consentiranno altresì di prevedere misure che garantiscano la protezione della personalità e i diritti fondamentali della persona interessata. L'idea è anche quella di individuare soluzioni più precise per alcune questioni specifiche che sollevano attualmente numerosi interrogativi, come la videosorveglianza, il cloud computing o i social network. 

Chi può elaborare un codice di condotta? A chi è destinato?

Nel settore privato il codice di condotta emana dalle associazioni professionali, di settore ed economiche quando i loro statuti le autorizzano a difendere gli interessi economici dei loro membri, mentre nel settore pubblico emana dagli organi federali. Un titolare del trattamento o un responsabile del trattamento non ha la facoltà di redigere o di adottare autonomamente un codice di condotta. 

Le cerchie interessate hanno in tal modo l'opportunità di partecipare attivamente alla regolamentazione di un settore, favorendo l'adozione di soluzioni settoriali concertate e ampiamente accettate. Gli operatori del settore interessato sono liberi di aderirvi o meno. Il codice di condotta non diventa automaticamente vincolante per tutti i membri dell'associazione o dell’organismo che lo ha elaborato. 

È obbligatorio?

No. Le associazioni di cui all’articolo 11 LPD possono sottoporre all’IFPDT il loro codice di condotta, ma non sono obbligate a farlo. 

Quali sono gli effetti di un tale codice?

Un codice di condotta permette di rafforzare la fiducia delle persone interessate dal trattamento dei dati e di ridurre al minimo il rischio di future violazioni della LPD. A livello giuridico, il codice di condotta crea una presunzione legale che la condotta riportata nel codice sia conforme alle disposizioni in materia di protezione dei dati. Inoltre, se sottoposti a un codice di condotta, i titolari del trattamento non soltanto possono rinunciare ad elaborare supporti e indicazioni per l’applicazione della nuova LPD, ma a talune condizioni possono anche rinunciare a svolgere una valutazione d’impatto sulla protezione dei dati per il titolare privato del trattamento (art. 22 cpv. 5 LPD).

A determinate condizioni, il codice di condotta viene considerato anche una valida garanzia per il trasferimento di dati dalla Svizzera verso Paesi terzi, quando assicura un livello di protezione adeguato, è previamente sottoposto all’IFPDT per approvazione ed è corredato dall’impegno vincolante ed esecutorio del titolare del trattamento o del responsabile del trattamento nello Stato terzo di applicare le misure in esso contenute (art. 16 cpv. 3 LPD e art. 12 dell’ordinanza sulla protezione dei dati, OPDa). 

Dato che né la legge né l’ordinanza stabiliscono esigenze relative alla forma e al contenuto del codice di condotta, a titolo di paragone e quale ausilio per l’elaborazione dei codici di condotta utilizzati come meccanismo di trasferimento di dati verso Paesi terzi, si rimanda alle linee guida adottate dal Comitato europeo per la protezione dei dati (EDPB) che offrono utili indicazioni riguardo al contenuto di questi codici (EDPB, Linee guida 4/2021 sui codici di condotta come strumento per i trasferimenti). 

Un codice di condotta deve essere approvato dall’IFPDT?

La LPD non prevede che il codice di condotta debba essere approvato. Può però essere sottoposto all’IFPDT: in tal caso questi esprime un parere e riscuote un emolumento se la domanda emana da privati. Il termine entro cui l’IFPDT deve esprimere un parere dipende dalle circostanze del caso specifico.  L’IFPDT verifica che il codice sia compatibile con la LPD. Il suo parere non costituisce una decisione e quindi le cerchie interessate non possono dedurre diritti da un parere positivo o dall’assenza di un parere. Ciononostante, se l’IFPDT fornisce un parere favorevole, le aziende che rispettano il codice di condotta possono presumere che successivamente il loro comportamento non sarà oggetto di provvedimenti amministrativi. L’Incaricato pubblica i suoi pareri a prescindere dal fatto che siano favorevoli o meno al codice di condotta esaminato. Il codice di condotta gli potrà essere sottoposto ogni volta che viene aggiornato. 

Quando un codice di condotta è utilizzato come garanzia per la comunicazione di dati personali all’estero, deve essere previamente sottoposto all’IFPDT per approvazione, allo stesso modo delle clausole tipo di protezione dei dati e delle norme interne dell’impresa vincolanti che garantiscono una protezione adeguata (art. 16 cpv. 3 LPD e 12 OPDa). 

Muss ein Verhaltenskodex vom EDÖB genehmigt werden?

Gemäss DSG muss der Verhaltenskodex nicht genehmigt werden. Er kann jedoch dem EDÖB zur Stellungnahme vorgelegt werden. Privatpersonen müssen hierfür eine Gebühr entrichten. Die Fristen für die Stellungnahme unterscheiden sich je nach Fall. Der EDÖB prüft, ob der Verhaltenskodex mit dem DSG konform ist. Die Stellungnahme des EDÖB stellt keine Verfügung dar. Daher können die Betroffenen weder aus einer positiven Stellungnahme noch aus dem Fehlen einer Stellungnahme Rechte ableiten. Wenn der EDÖB jedoch eine positive Stellungnahme abgibt, können Unternehmen, die den Verhaltenskodex einhalten, davon ausgehen, dass ihr Verhalten später nicht Verwaltungsmassnahmen nach sich zieht. Die Stellungnahmen werden vom EDÖB veröffentlicht, unabhängig davon, ob sie positiv oder negativ ausfallen. Der Verhaltenskodex kann dem EDÖB bei jeder Aktualisierung erneut vorgelegt werden. 

Wird ein Verhaltenskodex als Garantie für die Bekanntgabe von Personendaten ins Ausland verwendet, so muss dieser ebenso wie Standarddatenschutzklauseln und verbindliche unternehmensinterne Datenschutzvorschriften, die einen geeigneten Datenschutz gewährleisten, vorgängig vom EDÖB genehmigt werden (Art. 16 Abs. 3 DSG und Art. 12 DSV).