¹ La presente legge disciplina il trattamento di dati personali da parte degli organi federali ai fini della prevenzione, del chiarimento o del perseguimento di reati o dell'esecuzione di sanzioni penali, comprese la protezione contro le minacce alla sicurezza pubblica e la prevenzione delle stesse:

a.

nell'ambito dell'applicazione dell'acquis di Schengen;

b.

nell'ambito dell'applicazione degli accordi internazionali conclusi con l'Unione europea o con Stati vincolati da un accordo di associazione alla normativa di Schengen (Stati Schengen) e che in materia di protezione dei dati rimandano alla direttiva (UE) 2016/680.

² Gli accordi di associazione alla normativa di Schengen sono elencati nell'allegato.

¹ La presente legge non si applica ai diritti delle persone interessate nei procedimenti pendenti davanti ai tribunali della Confederazione e nei procedimenti pendenti secondo il Codice di procedura penale⁴ o secondo la legge federale del 20 marzo 1981⁵ sull'assistenza internazionale in materia penale; tali diritti sono disciplinati dal diritto processuale applicabile.

² In quanto la presente legge non preveda disposizioni particolari, si applica la legge federale del 19 giugno 1992⁶ sulla protezione dei dati (LPD); è fatta salva l'applicazione di altre leggi federali.

¹ Nella presente legge s'intende per:

a.

dati personali degni di particolare protezione:

1.

i dati concernenti le opinioni o attività religiose, filosofiche o politiche,

2.

i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,

3.

i dati genetici,

4.

i dati biometrici che identificano in modo univoco una persona fisica,

5.

i dati concernenti le misure d'assistenza sociale,

6.

i dati concernenti procedimenti e sanzioni amministrativi e penali;

b.

profilazione: ogni trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti della personalità di una persona fisica, in particolare per analizzare o prevedere elementi concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, il luogo di soggiorno e gli spostamenti di tale persona;

c.

violazione della sicurezza dei dati: ogni violazione della sicurezza, a prescindere dal fatto che sia intenzionale o illecita, in seguito alla quale dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;

d.

decisione individuale automatizzata: ogni decisione basata esclusivamente su un trattamento automatizzato di dati personali, compresa la profilazione, che abbia per la persona interessata effetti giuridici o ripercussioni significative;

e.

responsabile del trattamento: la persona privata o l'organo federale che tratta dati personali per conto dell'organo federale responsabile.

² Peraltro si applicano le definizioni di cui all'articolo 3 LPD⁷.

¹ I dati personali vanno trattati in modo lecito.

² Il trattamento deve essere conforme al principio della buona fede e della proporzionalità.

³ I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile da parte della persona interessata; possono essere trattati soltanto in modo compatibile con tale scopo.

⁴ I dati personali sono distrutti o resi anonimi non appena non sono più necessari per lo scopo del trattamento.

⁵ Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutti i provvedimenti adeguati e necessari per rettificare, cancellare o distruggere i dati inesatti o incompleti in considerazione dello scopo per cui sono stati raccolti o trattati.

¹ Gli organi federali sono tenuti ad adottare, sin dalla progettazione, i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 4.

² I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, alla natura e all'estensione del trattamento dei dati come pure al rischio che il trattamento comporta per i diritti fondamentali delle persone interessate.

³ Gli organi federali sono tenuti a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito.

¹ Gli organi federali possono trattare dati personali soltanto se esiste una pertinente base legale.

² La base legale deve essere prevista in una legge in senso formale nei casi seguenti:

a.

sono trattati dati personali degni di particolare protezione;

b.

sono trattati profili della personalità;

c.

è effettuata una profilazione;

d.

il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.

³ In deroga ai capoversi 1 e 2, gli organi federali possono trattare dati personali se:

a.

il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo; o

b.

la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento.

¹ Gli organi federali possono comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 6 capoversi 1 e 2.

² In deroga al capoverso 1, gli organi federali possono comunicare dati personali se nel caso specifico:

a.

la comunicazione è indispensabile affinché l'organo federale o il destinatario possa adempiere un compito definito dalla legge;

b.

la comunicazione è necessaria per proteggere la vita o l'integrità fisica della persona interessata o di un terzo; o

c.

la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente alla comunicazione.

³ Peraltro è applicabile l'articolo 19 capoversi 1^bis-4 LDP⁸.

¹ La comunicazione di dati personali alle autorità competenti degli Stati Schengen non può essere soggetta a regole di protezione dei dati personali più severe di quelle applicabili alla comunicazione alle autorità penali svizzere.

² La comunicazione di dati personali a uno Stato terzo o a un organo internazionale è retta dalle disposizioni speciali del diritto federale applicabile.

¹ L'organo federale che nell'adempimento dei suoi compiti tratta o fa trattare dati personali è responsabile della protezione dei dati.

² Se un organo federale tratta dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati, il Consiglio federale disciplina le procedure di controllo e la responsabilità in materia di protezione dei dati.

¹ Il trattamento di dati personali può essere affidato a un responsabile del trattamento se sono adempiute le condizioni previste dall'articolo 10a LPD⁹.

² Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione scritta dell'organo federale.

¹ L'organo federale informa la persona interessata in merito a ogni decisione individuale automatizzata (art. 3 cpv. 1 lett. d) che la concerne; queste decisioni sono designate come tali.

² L'organo federale dà la possibilità alla persona interessata che lo richiede di esprimere il suo parere. La persona interessata può esigere che le sia comunicata la procedura applicata e che la decisione sia riesaminata da una persona fisica.

³ Il capoverso 2 non si applica se la persona interessata dispone di un rimedio giuridico contro la decisione.

¹ Gli organi federali e i responsabili del trattamento tengono un registro delle loro attività di trattamento.

² I registri degli organi federali contengono almeno le indicazioni seguenti:

a.

la denominazione dell'organo federale;

b.

lo scopo del trattamento;

c.

una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;

d.

le categorie di destinatari;

e.

la durata di conservazione dei dati o, se ciò non è possibile, i criteri per stabilire tale durata;

f.

se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati secondo l'articolo 7 LPD¹⁰;

g.

lo Stato terzo o l'organo internazionale cui sono comunicati dati personali, come pure le garanzie previste per la protezione degli stessi.

³ Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella dell'organo federale, alle categorie dei trattamenti eseguiti su incarico dell'organo federale, come pure le indicazioni di cui al capoverso 2 lettera f.

¹ Quando il trattamento può comportare un rischio elevato per i diritti fondamentali della persona interessata, l'organo federale effettua previamente una valutazione d'impatto sulla protezione dei dati. Se prevede più operazioni di trattamento simili può procedere a una valutazione d'impatto comune.

² Il rischio elevato, in particolare in caso di applicazione di nuove tecnologie, risulta dal tipo, dall'estensione, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di:

a.

un trattamento su grande scala di dati personali degni di particolare protezione o di profili della personalità;

b.

una profilazione.

³ La valutazione d'impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela.

¹ L'organo federale sente previamente il parere dell'Incaricato federale della protezione dei dati e della trasparenza (Incaricato), se dalla valutazione d'impatto sulla protezione dei dati emerge che senza alcun provvedimento dell'organo federale il trattamento previsto presenterebbe un rischio elevato per i diritti fondamentali della persona interessata.

² L'Incaricato comunica entro due mesi all'organo federale le sue obiezioni contro il trattamento previsto. Il termine può essere prorogato di un mese se si tratta di un trattamento di dati complesso.

³ Se ha obiezioni contro il trattamento previsto, l'Incaricato propone all'organo federale provvedimenti appropriati.

¹ L'organo federale comunica quanto prima all'Incaricato ogni violazione della sicurezza dei dati che comporta verosimilmente un grave rischio per i diritti fondamentali della persona interessata.

² Nella comunicazione l'organo federale menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e i provvedimenti disposti o previsti per rimediarvi.

³ Il responsabile del trattamento comunica quanto prima all'organo federale ogni violazione della sicurezza dei dati.

⁴ L'organo federale informa la persona interessata se ciò è necessario per proteggerla o se lo esige l'Incaricato.

⁵ Può limitare o differire l'informazione della persona interessata o rinunciarvi se:

a.

lo esigono interessi preponderanti di terzi;

b.

lo esige un interesse pubblico preponderante, in particolare la salvaguardia della sicurezza interna o esterna della Svizzera;

c.

l'informazione della persona interessata rischia di compromettere un'indagine, un'istruzione o un procedimento giudiziario o amministrativo;

d.

l'informazione della persona interessata è impossibile o esige mezzi sproporzionati; o

e.

l'informazione della persona interessata è garantita in modo equivalente con una comunicazione pubblica.

¹ Ogni organo federale designa un responsabile della protezione dei dati. Più organi federali possono designarne uno comune.

² Il responsabile della protezione dei dati:

a.

dispone delle conoscenze tecniche necessarie; e

b.

non esercita attività inconciliabili con i suoi compiti di responsabile della protezione dei dati.

³ Il responsabile della protezione dei dati ha in particolare i compiti seguenti:

a.

sostiene gli organi federali;

b.

promuove l'informazione e la formazione dei collaboratori;

c.

collabora all'esecuzione delle disposizioni sulla protezione dei dati e propone provvedimenti se risulta che sono state violate prescrizioni sulla protezione dei dati.

¹ Il diritto d'accesso è retto dall'articolo 8 LPD¹¹. L'organo federale comunica inoltre alla persona interessata:

a.

le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge;

b.

la durata di conservazione dei dati o, se ciò non è possibile, i criteri per stabilire la durata.

² Sono fatte salve le norme speciali di altre leggi federali.

¹ La restrizione del diritto d'accesso è retta dall'articolo 9 capoversi 1-3 e 5 LPD¹². L'organo federale può inoltre rifiutare, limitare o differire la comunicazione delle informazioni se la domanda d'accesso è manifestamente infondata o querulosa.

² Sono fatte salve le norme speciali di altre leggi federali.

¹ Chi ha un interesse degno di protezione può esigere che l'organo federale responsabile:

a.

si astenga dal trattamento illecito;

b.

elimini le conseguenze di un trattamento illecito;

c.

accerti il carattere illecito del trattamento.

² Il richiedente può in particolare esigere che l'organo federale:

a.

rettifichi, cancelli o distrugga i dati personali corrispondenti;

b.

pubblichi o comunichi a terzi la sua decisione, in particolare in merito alla rettifica, alla cancellazione o alla distruzione dei dati, l'opposizione alla comunicazione ai sensi dell'articolo 20 LPD¹³ o la menzione che rileva il carattere contestato dei dati secondo il capoverso 4.

³ Invece di cancellare o distruggere i dati personali, l'organo federale ne limita il trattamento se:

a.

la persona interessata contesta l'esattezza dei dati personali ma né la loro esattezza né la loro inesattezza possono essere dimostrate;

b.

lo esigono interessi preponderanti di terzi;

c.

lo esige un interesse pubblico preponderante, segnatamente la salvaguardia della sicurezza interna o esterna della Svizzera;

d.

la cancellazione o la distruzione dei dati rischia di compromettere un'indagine, un'istruzione o un procedimento giudiziario o amministrativo.

⁴ Se non possono essere dimostrate né l'esattezza né l'inesattezza dei dati personali, l'organo federale aggiunge agli stessi una menzione che ne rileva il carattere contestato.

⁵ La procedura è retta dalla legge federale del 20 dicembre 1968¹⁴ sulla procedura amministrativa (PA). Le eccezioni previste dagli articoli 2 e 3 PA non sono applicabili.

⁶ Sono fatte salve le norme speciali di altre leggi federali.

Se è in corso una procedura concernente l'accesso a documenti ufficiali ai sensi della legge del 17 dicembre 2004¹⁵ sulla trasparenza che contengono dati personali, la persona interessata può, in tale procedura, far valere i diritti che le spettano in virtù dell'articolo 19 della presente legge in riferimento ai documenti oggetto della procedura di accesso.

¹ L'Incaricato sorveglia l'applicazione delle disposizioni federali sulla protezione dei dati.

² Non sono soggetti alla sorveglianza dell'Incaricato:

a.

i tribunali della Confederazione;

b.

il Ministero pubblico della Confederazione per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;

c.

le autorità federali per quanto riguarda il trattamento di dati personali nell'ambito di procedure di assistenza giudiziaria internazionale in materia penale.

¹ L'Incaricato apre, d'ufficio o su denuncia, un'inchiesta nei confronti di un organo federale o di un responsabile del trattamento se indizi lasciano presumere che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati.

² Può rinunciare ad aprire un'inchiesta se la violazione delle disposizioni sulla protezione dei dati è di poca importanza.

³ L'organo federale o il responsabile del trattamento fornisce all'Incaricato tutte le informazioni e i documenti necessari per l'inchiesta. Il diritto di rifiutare di fornire informazioni è retto dagli articoli 16 e 17 PA¹⁶.

⁴ Se la persona interessata ha sporto denuncia, l'Incaricato la informa sul seguito dato alla denuncia e sull'esito di un'eventuale inchiesta.

¹ Se l'organo federale o il responsabile del trattamento non ottempera all'obbligo di collaborare, l'Incaricato può, nell'ambito dell'inchiesta, ordinare in particolare:

a.

l'accesso alle informazioni, ai documenti, ai registri delle attività di trattamento e ai dati personali necessari per l'inchiesta;

b.

l'accesso ai locali e agli impianti;

c.

l'interrogatorio di testimoni;

d.

perizie di esperti.

² L'Incaricato può inoltre ordinare provvedimenti cautelari per la durata dell'inchiesta.

¹ Se sono state violate le disposizioni sulla protezione dei dati, l'Incaricato può ordinare di adeguare, sospendere o cessare del tutto o in parte il trattamento nonché di cancellare o distruggere del tutto o in parte i dati personali.

² L'Incaricato può sospendere o vietare la comunicazione dei dati all'estero se questa è contraria alle disposizioni legali riguardanti la comunicazione di dati personali a uno Stato terzo o a un organo internazionale.

³ Se durante l'inchiesta l'organo federale o il responsabile del trattamento ha adottato i provvedimenti necessari per ristabilire il rispetto delle disposizioni sulla protezione dei dati, l'Incaricato può limitarsi a pronunciare un ammonimento.

¹ La procedura d'inchiesta e le decisioni concernenti i provvedimenti di cui agli articoli 23 e 24 sono retti dalla PA¹⁷.

² Fatto salvo l'articolo 349h del Codice penale¹⁸, è parte soltanto l'organo federale o il responsabile del trattamento oggetto dell'inchiesta.

³ L'Incaricato può impugnare le decisioni su ricorso pronunciate dal Tribunale amministrativo federale.

¹ Ai fini dell'adempimento dei rispettivi compiti legali in materia di protezione dei dati l'Incaricato può scambiare informazioni o dati personali con le autorità di uno Stato Schengen incaricate della protezione dei dati se:

a.

la reciprocità dell'assistenza amministrativa è garantita;

b.

le informazioni e i dati personali sono utilizzati soltanto nell'ambito della procedura concernente la protezione dei dati personali su cui si fonda la domanda di assistenza amministrativa;

c.

l'autorità destinataria s'impegna a salvaguardare i segreti professionali, d'affari e di fabbricazione;

d.

le informazioni e i dati personali sono comunicati a terzi soltanto previo consenso dell'autorità che li ha trasmessi; e

e.

l'autorità destinataria s'impegna a rispettare gli oneri e le limitazioni d'uso richiesti dall'autorità che ha trasmesso le informazioni e i dati personali.

² Per motivare la propria domanda di assistenza amministrativa o per dare seguito a una siffatta domanda di un'autorità, l'Incaricato può fornire in particolare le seguenti informazioni:

a.

la denominazione dell'organo federale responsabile e il nome del responsabile del trattamento o di qualsiasi altra persona che partecipa al trattamento;

b.

le categorie di persone interessate;

c.

l'identità delle persone interessate, se la comunicazione di tale identità è indispensabile per l'adempimento dei compiti legali dell'Incaricato o dell'autorità dello Stato Schengen incaricata della protezione dei dati;

d.

i dati personali o le categorie di dati personali trattati;

e.

lo scopo del trattamento;

f.

i destinatari o le categorie di destinatari;

g.

i provvedimenti tecnici e organizzativi.

³ Prima di trasmettere all'autorità dello Stato Schengen incaricata della protezione dei dati informazioni che potrebbero contenere segreti professionali, d'affari o di fabbricazione, l'Incaricato informa le persone titolari di tali segreti e le invita a esprimere un parere, salvo che ciò sia impossibile o esiga mezzi sproporzionati.

La presente legge non si applica alle inchieste dell'Incaricato pendenti al momento della sua entrata in vigore; non si applica neppure ai ricorsi pendenti contro decisioni di prima istanza emanate prima della sua entrata in vigore. A questi casi si applica il diritto anteriore.

Data dell'entrata in vigore: 1° marzo 2019¹⁹