Revisione della legge federale sulla protezione dei dati

In seguito a due interventi parlamentari, il 19 febbraio 2003 il Consiglio federale ha licenziato il messaggio concernente la revisione della legge sulla protezione dei dati (LPD) e il decreto federale concernente l'adesione della Svizzera al Protocollo aggiuntivo alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale. I due progetti sono attualmente in trattazione presso le Camere federali.

Il 19 febbraio 2003 il Consiglio federale ha sottoposto al parlamento il messaggio concernente la revisione della legge federale sulla protezione dei dati (LPD) e il decreto federale concernente l'adesione della Svizzera al Protocollo aggiuntivo dell'8 novembre 2001 alla Convenzione per la protezione delle persone in relazione all'elaborazione automatica dei dati a carattere personale concernente le autorità di controllo e i flussi internazionali di dati (FF 2003 1885) (cfr. 10. Rapporto d'attività 2002/2003, n. 1.1). Sono all'origine di questa revisione la mozione 98.3529 della Commissione della gestione del Consiglio degli Stati "Collegamenti "online". Rafforzare la protezione dei dati personali" e la mozione 00.3000 della Commissione degli affari giuridici del Consiglio degli Stati "Maggiore trasparenza nella raccolta di dati personali". Durante la sessione primaverile 2004, il Consiglio nazionale ha deciso l'entrata in materia sui progetti, rinviandoli tuttavia al Consiglio federale con l'incarico di elaborare un disegno di legge meno ambizioso. La maggioranza del Consiglio riteneva che l'avamprogetto del Consiglio federale andasse oltre gli obiettivi delle due mozioni e voleva limitare le modifiche a quelle richieste dalle mozioni e necessarie per la ratifica del Protocollo aggiuntivo. Il Consiglio degli Stati era invece del parere che l'avamprogetto del Consiglio federale potesse essere trattato dalle commissioni competenti. Per finire, anche il Consiglio nazionale si è allineato su questa conclusione: si potrà quindi fare nuovamente appello alla commissione degli affari giuridici. Non possiamo che rallegrarci di questa decisione, che evita procrastinazioni del progetto. Sostanzialmente siamo favorevoli al disegno di revisione e alla ratifica del Protocollo aggiuntivo. Avremmo tuttavia preferito una revisione di più ampia portata e un più coerente adeguamento al diritto europeo. A nostro avviso, bisognerebbe procedere in più tappe. L'avamprogetto del Consiglio federale risponde alle esigenze delle mozioni summenzionate e costituisce un presupposto indispensabile alla ratifica del Protocollo aggiuntivo. Si limita all'essenziale. Le disposizioni scaturiscono direttamente, per la maggior parte, dall'attuazione delle due mozioni (trasparenza, diritti delle persone interessate, notifica delle collezioni di dati, sorveglianza da parte dell'IFPD, trattamento su mandato ecc.) o dalla ratifica del Protocollo aggiuntivo (flussi di dati transfrontalieri, diritto di ricorso dell'IFPD, sorveglianza da parte dell'IFPD). La revisione tiene largamente conto dei risultati della consultazione. Ci felicitiamo, in particolare, dell'introduzione di una procedura di certificazione e di un marchio di qualità inerente alla protezione di dati, grazie al quale sono rafforzate l'autonomia e la responsabilità del detentore di una collezione di dati ed è incoraggiata l'autoregolamentazione. Continuiamo invece a nutrire qualche riserva circa la norma sui progetti pilota e speriamo che la questione sarà nuovamente affrontata nel corso delle deliberazioni.

Tra i punti criticati figura l'obbligo di informazione. Si teme che tale obbligo comporti un carico amministrativo supplementare eccessivo. L'avamprogetto impone l'informazione dettagliata della persona interessata in caso di trattamento di dati personali degni di particolare protezione e di profili della personalità, come richiesto dalla mozione della Commissione degli affari giuridici del Consiglio degli Stati. Il progetto prevede quindi che il rilevamento di dati personali e le finalità del loro trattamento siano riconoscibili dalla persona interessata. Questa disposizione concretizza il principio della buona fede e riflette l'interesse della persona in questione a un minimo di trasparenza nel rilevamento di dati che non sono considerati degni di particolare protezione. La trasparenza non dovrebbe indurre costi eccessivi. Anche in questo ambito si applica il principio di proporzionalità. Non sono necessarie informazioni dettagliate per ogni singolo rilevamento di dati. La forma e il contenuto delle informazioni dipendono da vari criteri, in particolare dallo scopo, dai metodi e dalle condizioni di trattamento e dall'informazione già in possesso della persona interessata. L'informazione può essere fornita in forma generica (pubblicazione, Internet, condizioni generali di contratto, informazioni standardizzate ecc.) Molte aziende si attengono già al principio della trasparenza, che profitta non solo alla persona interessata, ma anche all'economia. Il Parlamento ha riconosciuto il bisogno di trasparenza in altri ambiti, come per esempio nel caso della revisione della legge federale sul contratto d'assicurazione che sancisce un obbligo d'informazione supplementare per il trattamento di dati personali. Non ci è possibile condividere l'argomento secondo il quale l'obbligo d'informazione sarebbe troppo costoso e le persone interessate non terrebbero ad essere informate circa il trattamento dei loro dati dal momento che solo poche tra loro si avvalgono del diritto all'informazione. Ogni giorno ci pervengono richieste di cittadini che desiderano sapere quali sono i loro diritti e vorrebbero essere informate del trattamento dei dati che le riguardano. Spesso il cittadino non è al corrente di chi tratta i suoi dati né dei suoi diritti. Spesso è troppo timoroso nei confronti dei titolari di collezioni di dati e rinuncia ad avviare un procedura forse complessa. Il principio della trasparenza è riconosciuto anche in altri Stati la cui normativa sulla protezione dei dati è paragonabile alla nostra. In questi Paesi l'obbligo di informazione da parte di chi tratta i dati è accettato come un'evidenza. Anche per l'economia e per le aziende è meglio avere a che fare con clienti bene informati. La trasparenza, infine, favorisce la fiducia tra le imprese e la clientela.

Nel progetto di revisione sono criticate anche le competenze di sorveglianza dell'IFPD nel settore privato. Si teme l'interferenza dell'IFPD in ogni singolo caso. Da un lato questa interpretazione è contraria al senso e alla lettera della disposizione proposta; dall'altro l'IFPD non dispone certo delle risorse necessaria per occuparsi di ogni singolo caso. Se è vero che le proposte di modifica prevedono una semplificazione della procedura di notifica delle collezioni di dati, non dispongono nuove competenze. Già oggi l'IFPD può intervenire nel trattamento di dati degni di particolare protezione o di profili della personalità. Spesso i singoli cittadini non sono in grado, per mancanza di mezzi, di avviare una procedura. Nei casi in cui il rischio di lesione della personalità è elevato, l'IFPD deve poter intervenire. Il trattamento di dati particolarmente degni di protezione o di profili della personalità riguardanti un gran numero di persone rientra in questa categoria.

[luglio 2005]

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/12--rapporto-d-attivita-2004-2005/revisione-della-legge-federale-sulla-protezione-dei-dati.html