Conoscere e far valere i propri diritti

Diritto d’accesso

Ai sensi dell’articolo 25 della legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) la persona interessata può chiedere in qualsiasi momento al titolare del trattamento se e quali dati personali che la riguardano sono oggetto di trattamento.
L’informazione comprende in particolare:

• identità e dettagli di contatto del titolare del trattamento
• tipo di dati trattati e scopo del trattamento
• destinatari o categorie di destinatari
• durata di registrazione dei dati personali ovvero criteri per stabilire tale durata.

Le informazioni sono in linea di principio gratuite e fornite entro 30 giorni.

Il diritto d’accesso consente alla persona interessata di sapere quali informazioni il titolare del trattamento detiene su di lei e in quale contesto ovvero a qual scopo le tratta, compreso a chi esso comunica quei dati.

• Ulteriori informazioni sul diritto d’accesso

  Conformemente alla legge federale sulla protezione dei dati (LPD), chiunque può chiedere al titolare del trattamento se i dati personali che lo concernono sono oggetto di trattamento e, se necessario, può farli cancellare o rettificare. Questo diritto d’accesso consente a chiunque di mantenere il controllo dei dati raccolti che lo riguardano. Mediante lo stesso la persona interessata può fare valere i diritti che gli spettano per legge. Il diritto d’accesso consente infine di garantire la trasparenza del trattamento. Ogni persona deve tuttavia agire di persona per esercitare questo diritto.

  Riguardo al caso in cui la persona interessata esercita il suo diritto d’accesso, la LPD non enumera in modo esaustivo le informazioni che devono esserle sempre comunicate. La persona interessata deve in ogni caso ricevere informazioni sull’identità e le coordinate del titolare del trattamento. Inoltre dev’essere informata sui dati personali trattati, sullo scopo del trattamento, sulla durata di conservazione dei dati o, se ciò non è possibile, sui criteri per stabilire tale durata. Riceve parimenti le informazioni disponibili sulla provenienza dei dati, nella misura in cui non sia stata lei a fornirli, ed è informata dell’esistenza di una decisione individuale automatizzata nonché della logica su cui si fonda la decisione. Alla persona interessata vanno infine indicati i destinatari o le categorie di destinatari cui i dati sono stati eventualmente comunicati. Se i destinatari si trovano all’estero, l’informazione deve specificare lo Stato interessato e, se del caso, le garanzie previste o l’applicazione di una delle eccezioni.

  Le persone che fanno valere il loro diritto d’accesso non devono motivarne la richiesta presso il titolare del trattamento. Di principio l’informazione dev’essere fornita gratuitamente entro un termine di 30 giorni. Le domande che comportano oneri sproporzionati possono occasionare spese (per un importo massimo di 300 franchi).

  In taluni casi il diritto d’accesso può essere rifiutato, limitato o differito, segnatamente se interessi preponderanti privati o pubblici lo esigono. In questi casi il titolare del trattamento deve indicare il motivo per cui egli rifiuta, limita o differisce la comunicazione delle informazioni. Va notato che l’organo federale che rifiuta di comunicare un’informazione o accorda soltanto un accesso limitato, deve comunicare una decisione suscettibile di ricorso. La motivazione deve permettere alla persona interessata di verificare se la limitazione del suo diritto d’accesso è giustificata. La procedura civile volta all’ottenimento dei diritti delle persone interessate viene agevolata dal fatto che la LPD prevede l’esonero delle spese processuali.

  Per informazioni sulla procedura da seguire e su come far valere i propri diritti nei confronti del responsabile del trattamento, consultare la sezione «Come far valere i propri diritti nei confronti del responsabile del trattamento».

  Domande frequenti sulla protezione dei dati

  Ulteriori informazioni utili sulla protezione dei dati

  Maggiori informazioni su «Domande frequenti sulla protezione dei dati»

La richiesta di accesso non è soggetta ad alcuna forma particolare, ma è possibile utilizzare la nostra lettera tipo per assicurarsi che la richiesta sia interpretata correttamente:

Diritto di rettifica

Il trattamento di dati personali errati può comportare gravi inconvenienti per la persona interessata. Ad esempio, se l’esperienza di pagamento negativa con un omonimo le viene erroneamente attribuita e per questo motivo le viene rifiutato un credito (cfr. Credito e incasso). Il trattamento di dati personali inesatti costituisce pertanto una lesione illecita della personalità.

Per questo motivo chiunque tratta dati personali deve adottare misure adeguate per garantire che essi siano davvero corretti. Da tale obbligo del titolare del trattamento (art. 6 cpv. 5 LPD) deriva il diritto di rettifica.

Se i dati personali sono inesatti o incompleti, è possibile richiederne la rettifica fondandosi sull’articolo 32 capoverso 1 LPD. Il diritto di rettifica va di pari passo con il diritto d’accesso in quanto spesso la persona interessata viene a sapere nell’ambito di tale diritto che vengono elaborati dati falsi su di lei. Senza questa conoscenza, non è possibile rettificare i dati.

Se il titolare del trattamento è un organo federale, il diritto alla rettifica può essere invocato ai sensi dell’articolo 41 capoverso 2 lettera a LPD. Tale diritto può essere particolarmente utile quando un’iscrizione non è più attuale e ciò ha conseguenze negative per la persona interessata (p. es. se si riceve una fattura per il pagamento del canone radiotelevisivo, ma non si vive più nell’economia domestica in questione).

Diritto di cancellazione

A determinate condizioni si ha il diritto di chiedere la cancellazione o la distruzione dei propri dati personali:

• Se i dati non sono più necessari per lo scopo originario, è possibile esigere la cancellazione dei propri dati personali sulla base del principio di proporzionalità ovvero di minimizzazione dei dati (art. 6 cpv. 4 LPD). Ad esempio, se dati sulla solvibilità risalgono a oltre dieci anni (cfr. Credito e incasso).
• Se è stato dato il consenso al loro trattamento, ma nel frattempo non si è più d’accordo, vale a dire se si ritira il proprio consenso.
• Se il trattamento dei dati è avvenuto in modo illecito. Ad esempio, se le immagini della persona interessata sono state pubblicate senza il suo permesso (cfr. Scatto e pubblicazione di fotografie).
• O, in generale, se i dati sono stati raccolti o utilizzati in violazione dei principi di trattamento della trasparenza o della buona fede o per scopi diversi da quelli indicati. Ad esempio, un'azienda trasmette i dati relativi al vostro ordine a parti terze per effettuare attività di marketing mirato, senza che ciò sia previsto.

Il titolare del trattamento può tuttavia rifiutare la cancellazione se può fondare il trattamento dei dati su un motivo giustificativo, ad esempio perché deve trattarli in virtù della legge o fa valere propri interessi preponderanti per il trattamento. Eventualmente entra in linea di conto il blocco dei dati (vedi sotto).

Le relative pretese sono definite nell’articolo 32 capoverso 2 lettera c LPD (trattamento di dati da parte di privati o imprese) ovvero nell’articolo 41 capoverso 2 lettera a LPD (trattamento di dati da parte di organi federali).

Diritto alla limitazione del trattamento dei dati (blocco e deindicizzazione dei dati)

Come per la cancellazione, fondandosi sull’articolo 32 capoverso 2 lettera b LPD è possibile richiedere la limitazione del trattamento dei dati qualora si contesti la proporzionalità del trattamento o l’esattezza dei dati.

Può ad esempio succedere che alcune informazioni vengano archiviate o pubblicate a causa di prevalenti interessi privati o pubblici. Si ritiene tuttavia sproporzionato il fatto che chiunque possa accedere senza restrizioni a tali informazioni. Queste informazioni possono riguardare una vecchia fattispecie, come una manifestazione sportiva a cui si è partecipato diversi anni prima (cfr. Manifestazioni sportive di massa). Oppure lo scopo del trattamento sarebbe soddisfatto anche se solitamente determinate persone che sono in grado di dimostrare un particolare interesse potessero accedere a tali informazioni (p. es. informazioni sulla solvibilità). Ciò può riguardare anche la riproduzione di dati provenienti da registri pubblici (come il registro di commercio).

L’esercizio di questo diritto nel contesto di Internet avviene spesso sotto forma di una richiesta di deindicizzazione delle informazioni. Ciò significa che la reperibilità delle informazioni da parte dei motori di ricerca è limitata, cosicché esse non compaiono più nelle ricerche su Internet in base al nome della persona. La deindicizzazione deve essere effettuata dal titolare del trattamento.

Nel caso della reperibilità di informazioni che sono state originariamente pubblicate per un interesse pubblico che dopo un certo periodo di tempo cessa, si parla del diritto all’oblio (cfr. Motori di ricerca).

Inoltre, è possibile esercitare il diritto di restrizione per impedire che vengano trasmessi dati la cui esattezza è contestata ovvero deve ancora essere chiarita. Durante la restrizione i dati possono essere registrati ma non ulteriormente trattai ovvero trasmessi.

Anche se il titolare del trattamento è un organo federale, la persona interessata può far restringere il trattamento. Poiché un organo federale può comunicare i dati personali soltanto a un’altra autorità – in Svizzera o all’estero – se a tal fine esiste una base legale, fondandosi sull’articolo 41 capoverso 1 LPD una persona interessata può impedire la trasmissione di informazioni a un’autorità straniera, ad esempio nell’ambito dell’assistenza amministrativa in materia fiscale, se detta persona ritiene che non siano soddisfatti i requisiti di legge.

Diritto di opposizione

Sussiste in qualsiasi momento il diritto di presentare opposizione al titolare del trattamento contro il trattamento dei propri dati personali (art. 30 cpv. 2 lett. b LPD).

Una volta ricevuta l’opposizione dalla persona interessata, il titolare del trattamento interrompe il trattamento o motiva perché può trattare e tratterà ulteriormente i dati contro la volontà di detta persona.

Diritto di farsi consegnare dati o di esigerne la trasmissione a terzi (diritto alla portabilità dei dati)

Sempreché tecnicamente possibile, la persona interessata può farsi consegnare i dati personali che un fornitore elabora con il consenso di detta persona o in base a un contratto in essere con essa, in un formato comunemente utilizzato e leggibile elettronicamente e/o trasmetterli a un altro titolare.

Questo diritto è definito all’articolo 28 LPD in combinato disposto con l’articolo 20 segg. OPDa e mira afacilitare il cambio di fornitore e l’ulteriore utilizzo dei dati, ma può essere ristretto in conformità con l’articolo 29 LPD.

Diritti in caso di decisioni individuali automatizzate

Con la digitalizzazione e la diffusione di trattamenti dei dati basati sull’IA, sempre più spesso le decisioni vengono prese in modo completamente automatizzato, cioè non da persone ma esclusivamente da algoritmi basati su informazioni disponibili e secondo una logica programmata. Se non ha luogo alcuna verifica umana, si è in presenza di una decisione individuale automatizzata. Se tale decisione comporta un grave svantaggio per la persona interessata, l’articolo 21 LPD prevede, da un lato, il diritto all’informazione e, dall’altro, il diritto a una verifica manuale.

Diritto d’informazione e d’accesso in caso di decisioni automatizzate

Se viene presa una decisione individuale automatizzata la persona interessata deve esserne informata e, su richiesta, può anche ottenere informazioni sulla logica alla base della decisione.

Diritto a una verifica manuale in caso di decisioni automatizzate

La persona interessata ha inoltre il diritto di esprimere la propria opinione in merito a tali decisioni e di richiedere una verifica manuale.

Come far valere i propri diritti presso il titolare del trattamento

Descrivere in modo preciso il diritto che si desidera esercitare. Se si contesta l’esattezza di un’informazione, occorre giustificarlo.

Essendo diritti strettamente personali, la persona interessata deve esercitarli personalmente o tramite il proprio rappresentante legale.

Per assicurarsi che si tratta davvero della persona interessata, il titolare del trattamento deve adottare misure proporzionate per verificarne l’identità ed essa deve parteciparvi. Se il titolare del trattamento conosce soltanto uno pseudonimo o un indirizzo e-mail della suddetta persona, può richiedere che questa acceda al proprio account o invii la richiesta per posta elettronica tramite l’indirizzo e-mail noto al titolare.

Il titolare del trattamento può richiedere una copia di un documento d’identità per verificare l’identità della persona interessata.

Suggerimenti per evitare problemi nell’esercizio dei propri diritti

Rivolgersi all’indirizzo giusto

I titolari del trattamento devono comunicare alla persona in questione le informazioni di contatto nell’ambito del loro obbligo di informare. Di norma si trovano nella «dichiarazione relativa alla protezione dei dati» o nelle «disposizioni relative alla protezione dei dati» di un titolare (cfr. Dichiarazioni relative alla protezione dei dati in Internet).

Concedere un termine appropriato per il trattamento

Invitiamo a non fissare termini irrealistici per evadere la Sua richiesta: secondo l’articolo 25 LPD, la legge accorda ai titolari del trattamento 30 giorni per fornirle informazioni. Se il titolare del trattamento non è in grado di fornirle entro 30 giorni, deve informarla e comunicarle entro quale termine la fornirà. Per altre richieste, come quella di cancellazione o quella di rettifica, in base alla situazione può essere appropriato un termine più breve o più lungo.

Proteggere i propri account online

Spesso riceviamo richieste da persone che non possono più accedere ai propri profili sui social media e non hanno più accesso all’account e-mail o al numero di telefono associato al proprio profilo sui social media. In questo caso l’IFPDT purtroppo non può aiutare. I fornitori sono tenuti a proteggere i dati personali di dette persone da accessi non autorizzati e adottano pertanto misure per verificare la loro identità utente. Alcuni fornitori offrono metodi di identificazione alternativi, ma non è obbligatorio. Per evitare tali problemi, consigliamo vivamente di proteggere i propri account con password sicure e utilizzare solamente indirizzi e-mail e numeri di telefono esistenti e funzionanti. Se non si utilizza più attivamente un account, consigliamo scaricare i propri dati e cancellarli finché si ha ancora accesso

Far valere i propri diritti dinanzi a un tribunale

Se il titolare del trattamento è un privato (un’impresa, un’associazione, un partito ecc.) e, trascorso un periodo di tempo ragionevole, non risponde alla richiesta della persona interessata o se quest’ultima ritiene che la decisione di non soddisfare la richiesta non sia corretta, c’è la possibilità di far valere i propri diritti ai sensi dell’articolo 32 capoverso 2 LPD in combinato disposto con l’articolo 28 segg. CC.

In un primo tempo si deve presentare un’istanza di conciliazione presso l’autorità di conciliazione del tribunale regionale o distrettuale competente al domicilio dell’istante o al domicilio/alla sede del titolare del trattamento. Ciò può essere fatto oralmente sul posto o per scritto.

Raccomandiamo informarsi telefonicamente o sul sito web del tribunale competente sulle formalità. In un’udienza di conciliazione si cerca innanzitutto di giungere a un’intesa tra le parti.

Se non si giunge a un’intesa, si ottiene un’autorizzazione ad agire ed è possibile promuovere una causa dinanzi al tribunale civile. Non è obbligatorio farlo, ma si può consultare un avvocato. Per le procedure per controversie secondo la legge sulla protezione dei dati non viene fornita alcuna cauzione né vengono riscosse spese processuali. Ciò non vale tuttavia per eventuali spese legali.

Si noti che, in caso di controversie relative all’applicazione del diritto d’accesso, il giudice applica una procedura semplificata, più rapida e meno onerosa di quella ordinaria (art. 243 cpv. 2 lett. d CPC).

Far valere i propri diritti nei confronti di un organo federale

Se il titolare del trattamento è un organo federale, questi deve rispondere alla richiesta della persona interessata (diritto d’accesso, cessazione del trattamento, cancellazione dei dati ecc., cfr. art. 41 LPD) mediante una decisione formale che include un’indicazione del rimedio giuridico – ossia come procedere contro la decisione – e il termine entro il quale è necessario farlo.

Se l’organo federale non pronuncia una decisione, è possibile esigerne una.

Se si desidera impugnare la decisione, di norma si deve presentare ricorso all’autorità competente entro 30 giorni. Le modalità di ricorso e l’autorità competente possono tuttavia variare a seconda del settore: ciò figura nell’indicazione del rimedio giuridico. La procedura è disciplinata dalla legge federale sulla procedura amministrativa (PA).

Si noti che la procedura di ricorso di norma è soggetta a un pagamento anticipato, che viene tuttavia rimborsato al ricorrente se questi ottiene ragione.

Fare una denuncia presso l’IFPDT

Se il titolare del trattamento è un privato o un organo federale che non risponde alla richiesta della persona interessata entro un periodo di tempo ragionevole o se si ritiene che la decisione del titolare di non soddisfare la richiesta non sia corretta, c’è inoltre la possibilità di sporgere denuncia all’IFPDT.

In caso di violazione delle norme sulla protezione dei dati rilevanti, l’IFPDT può intervenire nei confronti del titolare.