La Trasmissione dei dati all`estero in breve

Incaricato federale della protezione dei dati e della trasparenza
IFPDT
La Trasmissione dei dati all’estero in breve
All’attenzione delle autorità federali e dell’economia privata
(Ultime modificazioni: settembre 2014)
1) Qual è lo scopo della revisione della LPD per quel che concerne la trasmissione dei dati
all’estero?
Con la revisione della LPD, il diritto svizzero in materia di protezione dei dati è stato adeguato al
Protocollo aggiuntivo alla Convenzione del Consiglio d’Europa per la protezione delle persone in
relazione all’elaborazione automatica dei dati a carattere personale (Convenzione STE 108).
È in tal modo possibile garantire:
•
il massimo livello di protezione dei dati (analogo a quello garantito dalla Convenzione) e il
libero flusso internazionale di dati tra Stati parte;
•
che il trasferimento di dati a carattere personale a un destinatario che non ha aderito alla
Convenzione può avvenire unicamente se lo Stato o l’organizzazione destinatari possono
assicurare un adeguato livello di protezione dei dati.
2) Dove e come la LPD disciplina la trasmissione di dati all’estero?
La disposizione cardine relativa alla trasmissione di dati all’estero è l’articolo 6 LPD, completato ed
esplicitato da altre disposizioni della LPD e dell’ordinanza sulla protezione dei dati (OLPD). Il tenore
dell’articolo 6 LPD è il seguente:
1
I dati personali non possono essere comunicati all’estero qualora la personalità della persona interessata possa subirne grave
pregiudizio, dovuto in particolare all’assenza di una legislazione che assicuri una protezione adeguata.
2
Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all’estero soltanto
se:
a. garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all’estero;
b. la persona interessata ha dato il suo consenso nel caso specifico;
c. il trattamento è in relazione diretta con la conclusione o l’esecuzione di un contratto e i dati trattati concernono l’altro
contraente;
d. nel caso specifico la comunicazione è indispensabile per tutelare un interesse pubblico preponderante oppure per
accertare, esercitare o far valere un diritto in giustizia;
e. nel caso specifico la comunicazione è necessaria per proteggere la vita o l’incolumità fisica della persona interessata;
f.
la persona interessata ha reso i dati accessibili a chiunque e non si è opposta formalmente al loro trattamento;
g. la comunicazione ha luogo all’interno della stessa persona giuridica o società oppure tra persone giuridiche o società
sottostanti a una direzione unica, sempreché emittente e destinatario sottostiano a regole sulla protezione dei dati che
assicurano una protezione adeguata.
3
L’Incaricato federale della protezione dei dati e della trasparenza (art. 26) deve essere informato sulle garanzie date
conformemente al capoverso 2 lettera a e sulle regole di protezione dei dati conformemente al capoverso 2 lettera g. Il
Consiglio federale regola i dettagli di questo obbligo di informare.
3) Quali novità terminologiche comporta la nuova normativa?
La terminologia della LPD è stata adeguata a quella del Protocollo aggiuntivo e l’esigenza di
equivalenza è stata sostituita da quella di protezione adeguata. Rispetto al diritto previgente, tuttavia,
Feldeggweg 1, 3003 Bern
Tel. 058 462 43 95, Fax 058 465 99 96
www.edoeb.admin.ch
ciò non significa che le condizioni materiali per la comunicazione di dati all’estero siano state inasprite
o attenuate.
4) La pubblicazione di dati personali in Internet va considerata una comunicazione di dati
all’estero?
La pubblicazione di dati personali mediante servizi automatizzati di informazione e comunicazione
(come Internet) al fine di informare il pubblico non è assimilata a una comunicazione di dati all’estero
(art. 5 OLPD). Sono fatte salve le altre esigenze legali in materia di protezione dei dati. Gli organi
federali hanno il diritto di comunicare dati personali soltanto se esiste un fondamento giuridico (art. 19
LPD).
5) Motivi alla base di una comunicazione di dati all’estero:
La comunicazione di dati personali all’estero può essere dovuta:
•
alla centralizzazione di un determinato trattamento di dati;
•
all’outsourcing di un trattamento di dati; o
•
al rilevamento di una ditta da parte di una ditta estera.
6) Cosa si intende per dovere di diligenza del titolare della collezione di dati in occasione della
trasmissione di dati all’estero e di che tipo di obbligo si tratta?
Il dovere di diligenza implica:
•
il rispetto dei principi generali in materia di protezione dei dati sanciti dalla LPD (dovere
generale di diligenza);
•
la garanzia di una protezione adeguata dei dati nel Paese destinatario per ogni singola
comunicazione (dovere speciale di diligenza);
•
l’informazione all’IFPDT secondo l’articolo 6 capoverso 3 LPD (dovere speciale di diligenza).
7) Quali principi in materia di protezione dei dati vanno rispettati nell’ambito del dovere
generale di diligenza?
Le persone private che comunicano dati personali all’estero devono:
1. giustificare la comunicazione di dati (art. 13 cpv. 1 LPD). Sono considerati motivi giustificativi:
a. il consenso delle persone interessate,
b. un interesse preponderante privato o pubblico, ad esempio la centralizzazione dei dati
dei clienti o la gestione dei salari dei dipendenti, oppure
c.
una base legale;
2. verificare la legittimità della comunicazione dei dati (art. 4 cpv. 1 LPD). Una comunicazione di
dati è illecita in particolare se viola il diritto svizzero;
3. far sì che le persone interessate siano in grado di riconoscere la comunicazione di dati
prevista (principio della buona fede, art. 4 cpv. 2 e 4 LPD);
4. garantire che la comunicazione di dati sia proporzionale e conforme allo scopo previsto (art. 4
cpv. 2 e 3 LPD).
Esempio: La ditta che intende centralizzare all’estero l’amministrazione degli stipendi può
comunicare soltanto i dati relativi alle retribuzioni, dati che devono essere trattati
conformemente allo scopo dichiarato;
5. garantire l’esattezza dei dati (art. 5 LPD);
2/8
6. prendere i provvedimenti tecnici e organizzativi appropriati, al fine di garantire l’integrità, la
riservatezza e la disponibilità dei dati al momento della loro comunicazione (art. 7 LPD).
8) Quali principi in materia di protezione dei dati vanno rispettati nell’ambito del dovere
speciale di diligenza?
Il detentore di una collezione di dati deve:
•
verificare l’adeguatezza della protezione dei dati nel Paese destinatario (art. 6 cpv. 1 LPD);
•
assicurarsi che siano rispettate le condizioni alternative, qualora nel Paese destinatario non
fosse garantita un’adeguata protezione dei dati (art. 6 cpv. 2 LPD);
•
informare l’IFPDT secondo l’articolo 6 capoverso 3 LPD.
9) Cosa va preso in considerazione nel valutare l’adeguatezza della protezione dei dati nel
Paese destinatario secondo l’articolo 6 capoverso 1 LPD?
Il detentore di una collezione di dati deve verificare se i principi sanciti nella Convenzione STE 108 e
nel Protocollo aggiuntivo vengono rispettati nelle disposizioni di legge di carattere generale e settoriale
e nella prassi giuridica del Paese destinatario.
Occorre in particolare considerare se:
•
i principi della LPD vengono rispettati,
•
la persona interessata può tutelare i propri interessi in caso di mancato rispetto di tali principi,
•
il diritto d’accesso viene garantito, e se
•
esiste un organo di vigilanza indipendente.
Dalla firma dello «U.S.-Swiss Safe Harbor Framework» (http://www.export.gov/safeharbor/) gli Stati
Uniti d’America fanno parte dei Paesi la cui legislazione garantisce, a determinate condizioni, una
protezione dei dati adeguata ai sensi dell’articolo 6 capoverso 1 LPD. Le ditte statunitensi possono
impegnarsi presso il Ministero del commercio degli Stati Uniti a rispettare i principi in materia di
protezione dei dati sanciti dallo «U.S.-Swiss Safe Harbor Framework» e ottenere la certificazione.
Prima di trasmettere dati personali a una ditta statunitense è opportuno consultare l'elenco delle ditte
certificate (https://safeharbor.export.gov/swisslist.aspx) tenuto dall'«International Trade
Administration» (ITA) e stipulare, se necessario, clausole supplementari di protezione dei dati.
10) Che ruolo svolge l’ «elenco degli Stati che dispongono di una legislazione che assicura una
protezione adeguata dei dati» allestito dall’IFPDT?
Per valutare l’adeguatezza della protezione dei dati, il detentore di una collezione può fondarsi anche
sull’elenco di Stati pubblicato dall’IFPDT (art. 31 cpv. 1 lett. d LPD e art. 7 OLPD).
L’elenco designa:
•
gli Stati parte alla Convenzione STE 108 e al Protocollo aggiuntivo, o
•
gli Stati che l’IFPDT ritiene garantiscano una protezione dei dati adeguata.
L’elenco viene costantemente aggiornato e non è esaustivo. Se uno Stato non vi figura, ciò non
significa necessariamente che la sua legislazione non garantisca una protezione adeguata.
Possono invocare la loro buona fede le persone private o gli organi federali che comunicano dati in
uno Stato che, secondo l’elenco, garantisce un’adeguata protezione dei dati. Non possono invece
invocarla se sono venuti a conoscenza di violazioni di disposizioni generali o settoriali in materia di
protezione dei dati in tale Stato. In un simile caso la comunicazione può avvenire soltanto alle
condizioni previste dall’articolo 6 capoverso 2 LPD.
3/8
11) Qual è lo scopo dell’articolo 6 capoverso 2 LPD?
Se la legislazione dello Stato destinatario non garantisce un’adeguata protezione, la comunicazione
dei dati può avvenire soltanto alle condizioni definite dall’articolo 6 capoverso 2 LPD.
Esempio: se la legislazione dello Stato destinatario garantisce una protezione adeguata soltanto dei
dati relativi a persone fisiche, i dati relativi a persone giuridiche possono essere comunicati soltanto se
esistono garanzie di una protezione adeguata ai sensi dell’articolo 6 capoverso 2 lettere a e g LPD. In
mancanza di tali garanzie, i dati possono comunque essere comunicati in tale Stato se sono
adempiute le condizioni previste all’articolo 6 capoverso 2 lettere b-f (motivi giustificativi).
12) Quali sono le garanzie contrattuali che assicurano una protezione adeguata secondo
l’articolo 6 capoverso 2 lettera a LPD?
I contratti modello o le clausole standard allestiti o riconosciuti dall’IFPDT (art. 6 cpv. 3 OLPD) sono:
•
le clausole contrattuali standard dell’Unione europea: http://ec.europa.eu/justice/dataprotection/document/international-transfers/transfer/index_en.htm
•
Il contratto modello del Consiglio d’Europa per la garanzia di un’adeguata protezione
nell’ambito del flusso di dati transfrontaliero:
http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/ContratType_1992.pdf
•
Il contratto modello dell’IFPDT per l’esternalizzazione (outsourcing) di trattamenti di dati
all’estero:
http://www.edoeb.admin.ch/datenschutz/00626/00743/00858/00859/index.html?lang=it Nota:
In caso di esternalizzazione, il mandatario tratta i dati secondo lo scopo definito dal mandante.
Il mandante resta inoltre sempre l’unico detentore della collezione di dati, poiché è colui che
decide esclusivamente in merito allo scopo e al contenuto di quest’ultima (cfr. art. 3 lett. i
LPD).
Esempio: La gestione degli stipendi viene affidata a un mandatario all’estero.
Se non si tratta di outsourcing, tuttavia, spesso il destinatario di una comunicazione di dati
cambia lo scopo del loro trattamento, diventando quindi detentore della collezione ai sensi
della LPD.
Esempio: Dati che originariamente venivano trattati esclusivamente per la gestione delle
relazioni con i clienti, sono comunicati e trattati anche a scopo di marketing.
Le persone o gli organi federali che desiderano trasmettere dati possono applicare anche altre
garanzie, quali un contratto specifico di protezione dei dati o clausole contenute in altri contratti. Tali
clausole devono garantire un livello di protezione dei dati adeguato, ossia conforme alla LPD. Esse
devono essere applicabili a tutti gli elementi rilevanti ai fini della trasmissione dei dati; devono definire
in particolare:
•
l’identità di chi trasmette i dati e quella di chi li riceve,
•
le categorie dei dati da trasmettere,
•
gli scopi della trasmissione,
•
le categorie delle persone interessate,
•
il destinatario finale e la durata di conservazione.
Le clausole di protezione dei dati devono inoltre:
•
permettere il rispetto dei principi applicabili alla protezione dei dati;
•
garantire i diritti delle persone interessate, ossia il diritto di informazione, di rettifica e di
intentare azione;
4/8
•
prevedere un meccanismo di controllo;
•
prevedere misure atte a garantire la sicurezza e la riservatezza nell’ambito della trasmissione
di dati personali particolarmente degni di protezione o di profili della personalità.
13) Condizioni e caratteristiche del consenso alla comunicazione di dati all’estero ai sensi
dell’articolo 6 capoverso 2 lettera b LPD:
Il consenso deve:
•
limitarsi a un singolo caso, ossia a una situazione concreta. Non è ammesso un consenso
globale in favore di comunicazioni regolari e sistematiche di dati all’estero, con scopi diversi e
in situazioni diverse. Eccezionalmente, la nozione di «singolo caso» può comprendere non
soltanto una singola comunicazione di dati all’estero, ma una serie di comunicazioni, se le
condizioni (in particolare lo scopo e il destinatario) rimangono le stesse. Esempio: In caso di
comunicazione di svariati verbali di un gruppo di lavoro composto da persone provenienti da
Stati diversi, non occorre chiedere il loro consenso per la comunicazione di ogni documento;
•
essere espresso liberamente;
•
essere espresso dopo debita informazione (art. 4 cpv. 5 LPD);
•
essere esplicito, se la comunicazione concerne dati particolarmente degni di protezione;
•
poter essere revocato in ogni momento, per eventuale trattamento o comunicazione dei dati.
Il consenso non esonera il detentore della collezione di dati dal suo dovere di diligenza, ad esempio
per quel che concerne l’obbligo di prendere i provvedimenti atti a garantire la sicurezza dei dati o di
accertarsi che il destinatario tratti i dati conformemente allo scopo.
14) Cosa si intende per comunicazione di dati in relazione diretta con la conclusione o
l’esecuzione di un contratto ai sensi dell’articolo 6 capoverso 2 lettera c LPD?
Si tratta del caso in cui una parte contrattuale comunica a terzi all’estero dati personali concernenti
l’altra parte contrattuale, in vista della conclusione o dell’esecuzione di un contratto.
Esempi:
•
comunicazione a un hotel all’estero, da parte di un’agenzia di viaggi, di dati riguardanti clienti;
•
comunicazione di dati a un’agenzia di informazioni di credito per verificare la solvibilità
nell’ambito di contratti di compravendita;
•
comunicazione di dati da parte di spedizionieri a ditte di trasporto nell’ambito di contratti di
consegna;
•
comunicazione di dati da parte di comitive di viaggio a imprese di trasporto nell’ambito di
prestazioni di trasporto internazionali (ferroviarie, di navigazione o aeree);
•
comunicazione di dati nell’ambito di transazioni bancarie od ordini nell’ambito del traffico
internazionale dei pagamenti.
15) Quando e a che condizioni possono essere comunicati dati secondo l’articolo 6 capoverso
2 lettera d LPD?
La comunicazione dei dati deve:
•
essere giustificata da un interesse pubblico preponderante o deve rivelarsi indispensabile
nell’ambito di un procedimento giudiziario;
•
essere indispensabile per adempiere tale interesse;
•
avvenire soltanto nel caso concreto, ossia in una situazione determinata.
5/8
Esempio: Una società calcistica comunica per ragioni di sicurezza dati personali concernenti tifosi
violenti alle autorità dello Stato in cui si svolgerà la partita.
Si rileva tra l’altro che non è necessariamente riconosciuto un interesse preponderante allo Stato che
richiede la comunicazione per motivi legati alla lotta al terrorismo, in particolare se tali dati potrebbero
essere utilizzati a fini illegittimi (ad esempio in violazione dei diritti umani).
16) A quali condizioni è ammessa la comunicazione di dati secondo l’articolo 6 capoverso 2
lettera e LPD?
Secondo questa disposizione, è ammessa la comunicazione di dati se:
•
è in gioco la vita o l’incolumità fisica della persona interessata;
•
la persona interessata non è in grado di far valere i propri interessi (ad esempio in seguito a
un incidente all’estero);
•
è possibile presupporre che la persona interessata acconsenta alla comunicazione dei dati.
È ammessa la comunicazione di dati riguardanti persone vicine all’interessato, se queste ultime non
possono dare il loro consenso e senza la comunicazione la vita dell’interessato sarebbe in pericolo.
17) Come limitare la comunicazione di dati resi accessibili a chiunque secondo l’articolo 6
capoverso 2 lettera f LPD?
Chi ha reso accessibili i propri dati ma non vuole che vengano trattati senza restrizioni, deve
comunicare espressamente per quali scopi i suoi dati possono essere trattati. L’interessato può anche
comunicare a una persona determinata incaricata di trattare i dati di non desiderare che i suoi dati resi
pubblici vengano trattati (cfr. art. 12 cpv. 2 lett. b LPD).
18) Quali condizioni devono rispettare le regole sulla protezione dei dati adottate all’interno di
un gruppo di persone giuridiche o società secondo l’articolo 6 capoverso 2 lettera g LPD?
Per poter compensare la mancanza di un adeguato livello di protezione nello Stato destinatario, le
regole sulla protezione dei dati adottate all’interno di un gruppo di società devono soddisfare le
seguenti esigenze:
•
dal profilo materiale devono rispettare almeno le condizioni della Convenzione STE 108 e del
Protocollo aggiuntivo relative alle persone private che trattano dati (cfr. in merito le
considerazioni relative all’art. 6 cpv. 2 lett. a LPD);
•
il carattere vincolante delle regole applicabili ai singoli gruppi di società deve essere sancito
formalmente e garantito in caso di applicazione nella prassi. Il carattere vincolante può ad
esempio essere formalizzato attraverso un decreto del consiglio di amministrazione.
L’applicazione nella prassi può essere garantita ad esempio per mezzo di pertinenti verifiche
(audit).
Dall’articolo 6 capoverso 2 lettera g LPD derivano altre regole:
•
il detentore della collezione di dati che tratta i dati in Svizzera non viene esonerato dall’obbligo
di rispettare le altre disposizioni della LPD;
•
le regole devono essere riprese e attuate dalle singole società.
19) Quando l’IFPDT deve essere informato di una comunicazione di dati?
L’IFPDT va informato (art. 6 cpv. 3 LPD e art. 6 cpv. 1 OLPD):
•
in caso di comunicazioni di dati secondo l’articolo 6 capoverso 2 lettera a LPD (garanzia
contrattuale di una protezione dei dati adeguata);
6/8
•
in caso di comunicazioni di dati secondo l’articolo 6 capoverso 2 lettera g LPD (garanzia di
un’adeguata protezione dei dati grazie a pertinenti regole adottate all’interno di un gruppo di
società).
20) Come va informato l’IFPDT?
•
L’informazione consiste in una copia delle garanzie o delle regole sulla protezione dei dati
convenute con il destinatario.
•
Se vengono utilizzati contratti modello o clausole standard, il detentore della collezione di dati
deve informare l’IFPDT soltanto in termini generali dell’impiego fatto di tali modelli o clausole.
Se in singoli casi o per determinate parti della comunicazione di dati applica altre garanzie, il
detentore deve trasmettere all’IFPDT una copia di tali garanzie.
•
Se le garanzie e le regole di protezione dei dati sono state comunicate una prima volta
all’Incaricato, l’obbligo di informare del detentore della collezione di dati è pure considerato
adempito per tutte le ulteriori comunicazioni che si fondano sulle stesse garanzie, sempreché
le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano
essenzialmente analoghi.
•
L’IFPDT non deve essere informato in merito a ogni singola e-mail o lettera spedita all’estero.
Non vi è in particolare obbligo di informare in merito a invii personali o privati.
•
Il detentore della collezione di dati informa l’IFPDT prima della comunicazione all’estero. Se
ciò non fosse fattibile, il detentore deve provvedere appena possibile.
•
È possibile informare via Internet.
•
I moduli di annuncio previsti dalla vecchia LPD non sono più validi.
•
La violazione dell’obbligo d’informazione è penalmente punibile (art. 34 cpv. 2 lett. a LPD).
21) In cosa consiste l’esame dell’IFPDT?
•
Se per la comunicazione di dati all’estero vengono utilizzati contratti modello, l’IFPDT si limita
a prenderne atto, senza procedere a un esame.
•
Se non vengono utilizzati contratti modello, o se questi sono stati modificati in punti essenziali,
l’IFPDT può procedere a un esame della regolamentazione. L’IFPDT deve procedere al suo
esame entro 30 giorni (art. 6 cpv. 5 OLPD).
•
Se le garanzie e le regole in materia di protezione dei dati non assicurano una protezione
adeguata, l’IFPDT può contattare il detentore della collezione e, se necessario, emanare una
raccomandazione secondo l’articolo 29 LPD.
•
Se entro il termine impartito non vi è alcuna reazione da parte dell’IFPDT, il detentore della
collezione di dati può partire dal presupposto che l’IFPDT non ha alcuna obiezione in merito
alle garanzie e alle regole sulla protezione dei dati presentate.
22) Quali sono le conseguenze di una violazione del dovere di diligenza?
Il detentore di collezioni di dati risponde degli inconvenienti originati da una violazione del suo dovere
di diligenza. Deve in particolare dimostrare di aver preso tutte le misure necessarie al fine di garantire
un adeguato livello di protezione. Questo aspetto del dovere di diligenza è concretizzato
nell’ordinanza, in cui è previsto che il detentore prende misure adeguate per garantire che il
destinatario rispetti le garanzie e le regole sulla protezione dei dati (art. 6 cpv. 4 OLPD).
7/8
23) L’interessato può contestare la violazione del dovere di diligenza?
Se in occasione della comunicazione dei dati all’estero è stato violato il dovere di diligenza, la persona
interessata può intentare un’azione ai sensi dell’articolo 15 capoverso 1 LPD.
24) Se dati personali vengono regolarmente comunicati a terzi all’estero, occorre notificare la
collezione di dati secondo l’articolo 11a LPD?
Sì, in tal caso le collezioni di dati vanno notificate all’IFPDT secondo l’articolo 11a capoverso 3 lettera
b LPD. La notifica mira a creare trasparenza attorno alle collezioni i cui dati vengono regolarmente
comunicati a terzi all’estero.
In caso di trasmissione di dati all’estero, all’occorrenza l’IFPDT va informato anche ai sensi
dell’articolo 6 capoverso 3 LPD.
8/8