Abrogato per 01.09.2023

01.03.2019 - 01.09.2023
  DEFRIT • (html)
  DEFRIT • (pdf)

Fedlex DEFRITRMEN
Confronta le versioni

235.3

Legge federale
sulla protezione dei dati personali nell'ambito dell'applicazione dell'acquis di Schengen in materia penale

(Legge sulla protezione dei dati in ambito Schengen, LPDS)

del 28 settembre 2018 (Stato 1° marzo 2019)

L'Assemblea federale della Confederazione Svizzera,

visti gli articoli 54 capoverso 1, 123 e 173 capoverso 2 della Costituzione federale1;
in esecuzione della direttiva (UE) 2016/6802;
visto il messaggio del Consiglio federale del 15 settembre 20173,

decreta:

1 RS 101

2 Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio; GU L 119 del 4.5.2016, pag. 89.

3 FF 2017 5939

Sezione 1: Disposizioni generali

Art. 1 Oggetto

1 La presente legge disciplina il trattamento di dati personali da parte degli organi federali ai fini della prevenzione, del chiarimento o del perseguimento di reati o dell'esecuzione di sanzioni penali, comprese la protezione contro le minacce alla sicurezza pubblica e la prevenzione delle stesse:

a.
nell'ambito dell'applicazione dell'acquis di Schengen;
b.
nell'ambito dell'applicazione degli accordi internazionali conclusi con l'Unione europea o con Stati vincolati da un accordo di associazione alla normativa di Schengen (Stati Schengen) e che in materia di protezione dei dati rimandano alla direttiva (UE) 2016/680.

2 Gli accordi di associazione alla normativa di Schengen sono elencati nell'allegato.

Art. 2 Rapporto con altre leggi

1 La presente legge non si applica ai diritti delle persone interessate nei procedimenti pendenti davanti ai tribunali della Confederazione e nei procedimenti pendenti secondo il Codice di procedura penale4 o secondo la legge federale del 20 marzo 19815 sull'assistenza internazionale in materia penale; tali diritti sono disciplinati dal diritto processuale applicabile.

2 In quanto la presente legge non preveda disposizioni particolari, si applica la legge federale del 19 giugno 19926 sulla protezione dei dati (LPD); è fatta salva l'applicazione di altre leggi federali.

Art. 3 Definizioni

1 Nella presente legge s'intende per:

a.
dati personali degni di particolare protezione:
1.
i dati concernenti le opinioni o attività religiose, filosofiche o politiche,
2.
i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
3.
i dati genetici,
4.
i dati biometrici che identificano in modo univoco una persona fisica,
5.
i dati concernenti le misure d'assistenza sociale,
6.
i dati concernenti procedimenti e sanzioni amministrativi e penali;
b.
profilazione: ogni trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti della personalità di una persona fisica, in particolare per analizzare o prevedere elementi concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, il luogo di soggiorno e gli spostamenti di tale persona;
c.
violazione della sicurezza dei dati: ogni violazione della sicurezza, a prescindere dal fatto che sia intenzionale o illecita, in seguito alla quale dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
d.
decisione individuale automatizzata: ogni decisione basata esclusivamente su un trattamento automatizzato di dati personali, compresa la profilazione, che abbia per la persona interessata effetti giuridici o ripercussioni significative;
e.
responsabile del trattamento: la persona privata o l'organo federale che tratta dati personali per conto dell'organo federale responsabile.

2 Peraltro si applicano le definizioni di cui all'articolo 3 LPD7.

Art. 4 Principi

1 I dati personali vanno trattati in modo lecito.

2 Il trattamento deve essere conforme al principio della buona fede e della proporzionalità.

3 I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile da parte della persona interessata; possono essere trattati soltanto in modo compatibile con tale scopo.

4 I dati personali sono distrutti o resi anonimi non appena non sono più necessari per lo scopo del trattamento.

5 Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutti i provvedimenti adeguati e necessari per rettificare, cancellare o distruggere i dati inesatti o incompleti in considerazione dello scopo per cui sono stati raccolti o trattati.

Art. 5 Protezione dei dati sin dalla progettazione e per impostazione predefinita

1 Gli organi federali sono tenuti ad adottare, sin dalla progettazione, i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 4.

2 I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, alla natura e all'estensione del trattamento dei dati come pure al rischio che il trattamento comporta per i diritti fondamentali delle persone interessate.

3 Gli organi federali sono tenuti a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito.

Art. 6 Basi legali per il trattamento di dati personali

1 Gli organi federali possono trattare dati personali soltanto se esiste una pertinente base legale.

2 La base legale deve essere prevista in una legge in senso formale nei casi seguenti:

a.
sono trattati dati personali degni di particolare protezione;
b.
sono trattati profili della personalità;
c.
è effettuata una profilazione;
d.
il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.

3 In deroga ai capoversi 1 e 2, gli organi federali possono trattare dati personali se:

a.
il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo; o
b.
la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento.
Art. 7 Basi legali per la comunicazione di dati personali

1 Gli organi federali possono comunicare dati personali soltanto se lo prevede una base legale ai sensi dell'articolo 6 capoversi 1 e 2.

2 In deroga al capoverso 1, gli organi federali possono comunicare dati personali se nel caso specifico:

a.
la comunicazione è indispensabile affinché l'organo federale o il destinatario possa adempiere un compito definito dalla legge;
b.
la comunicazione è necessaria per proteggere la vita o l'integrità fisica della persona interessata o di un terzo; o
c.
la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente alla comunicazione.

3 Peraltro è applicabile l'articolo 19 capoversi 1bis-4 LDP8.

Art. 8 Comunicazione di dati personali all'estero

1 La comunicazione di dati personali alle autorità competenti degli Stati Schengen non può essere soggetta a regole di protezione dei dati personali più severe di quelle applicabili alla comunicazione alle autorità penali svizzere.

2 La comunicazione di dati personali a uno Stato terzo o a un organo internazionale è retta dalle disposizioni speciali del diritto federale applicabile.

Art. 9 Organo federale responsabile e controllo

1 L'organo federale che nell'adempimento dei suoi compiti tratta o fa trattare dati personali è responsabile della protezione dei dati.

2 Se un organo federale tratta dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati, il Consiglio federale disciplina le procedure di controllo e la responsabilità in materia di protezione dei dati.

Sezione 2:
Obblighi degli organi federali e dei responsabili del trattamento

Art. 11 Decisione individuale automatizzata

1 L'organo federale informa la persona interessata in merito a ogni decisione individuale automatizzata (art. 3 cpv. 1 lett. d) che la concerne; queste decisioni sono designate come tali.

2 L'organo federale dà la possibilità alla persona interessata che lo richiede di esprimere il suo parere. La persona interessata può esigere che le sia comunicata la procedura applicata e che la decisione sia riesaminata da una persona fisica.

3 Il capoverso 2 non si applica se la persona interessata dispone di un rimedio giuridico contro la decisione.

Art. 12 Registro delle attività di trattamento

1 Gli organi federali e i responsabili del trattamento tengono un registro delle loro attività di trattamento.

2 I registri degli organi federali contengono almeno le indicazioni seguenti:

a.
la denominazione dell'organo federale;
b.
lo scopo del trattamento;
c.
una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
d.
le categorie di destinatari;
e.
la durata di conservazione dei dati o, se ciò non è possibile, i criteri per stabilire tale durata;
f.
se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati secondo l'articolo 7 LPD10;
g.
lo Stato terzo o l'organo internazionale cui sono comunicati dati personali, come pure le garanzie previste per la protezione degli stessi.

3 Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella dell'organo federale, alle categorie dei trattamenti eseguiti su incarico dell'organo federale, come pure le indicazioni di cui al capoverso 2 lettera f.

Art. 13 Valutazione d'impatto sulla protezione dei dati

1 Quando il trattamento può comportare un rischio elevato per i diritti fondamentali della persona interessata, l'organo federale effettua previamente una valutazione d'impatto sulla protezione dei dati. Se prevede più operazioni di trattamento simili può procedere a una valutazione d'impatto comune.

2 Il rischio elevato, in particolare in caso di applicazione di nuove tecnologie, risulta dal tipo, dall'estensione, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di:

a.
un trattamento su grande scala di dati personali degni di particolare protezione o di profili della personalità;
b.
una profilazione.

3 La valutazione d'impatto sulla protezione dei dati contiene una descrizione del trattamento previsto, una valutazione dei rischi per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela.

Art. 14 Consultazione dell'Incaricato federale della protezione dei dati e della trasparenza

1 L'organo federale sente previamente il parere dell'Incaricato federale della protezione dei dati e della trasparenza (Incaricato), se dalla valutazione d'impatto sulla protezione dei dati emerge che senza alcun provvedimento dell'organo federale il trattamento previsto presenterebbe un rischio elevato per i diritti fondamentali della persona interessata.

2 L'Incaricato comunica entro due mesi all'organo federale le sue obiezioni contro il trattamento previsto. Il termine può essere prorogato di un mese se si tratta di un trattamento di dati complesso.

3 Se ha obiezioni contro il trattamento previsto, l'Incaricato propone all'organo federale provvedimenti appropriati.

Art. 15 Comunicazione di violazioni della sicurezza dei dati

1 L'organo federale comunica quanto prima all'Incaricato ogni violazione della sicurezza dei dati che comporta verosimilmente un grave rischio per i diritti fondamentali della persona interessata.

2 Nella comunicazione l'organo federale menziona almeno il tipo di violazione della sicurezza dei dati, le sue conseguenze e i provvedimenti disposti o previsti per rimediarvi.

3 Il responsabile del trattamento comunica quanto prima all'organo federale ogni violazione della sicurezza dei dati.

4 L'organo federale informa la persona interessata se ciò è necessario per proteggerla o se lo esige l'Incaricato.

5 Può limitare o differire l'informazione della persona interessata o rinunciarvi se:

a.
lo esigono interessi preponderanti di terzi;
b.
lo esige un interesse pubblico preponderante, in particolare la salvaguardia della sicurezza interna o esterna della Svizzera;
c.
l'informazione della persona interessata rischia di compromettere un'indagine, un'istruzione o un procedimento giudiziario o amministrativo;
d.
l'informazione della persona interessata è impossibile o esige mezzi sproporzionati; o
e.
l'informazione della persona interessata è garantita in modo equivalente con una comunicazione pubblica.
Art. 16 Responsabile della protezione dei dati

1 Ogni organo federale designa un responsabile della protezione dei dati. Più organi federali possono designarne uno comune.

2 Il responsabile della protezione dei dati:

a.
dispone delle conoscenze tecniche necessarie; e
b.
non esercita attività inconciliabili con i suoi compiti di responsabile della protezione dei dati.

3 Il responsabile della protezione dei dati ha in particolare i compiti seguenti:

a.
sostiene gli organi federali;
b.
promuove l'informazione e la formazione dei collaboratori;
c.
collabora all'esecuzione delle disposizioni sulla protezione dei dati e propone provvedimenti se risulta che sono state violate prescrizioni sulla protezione dei dati.

Sezione 3: Diritti delle persone interessate

Art. 17 Diritto d'accesso

1 Il diritto d'accesso è retto dall'articolo 8 LPD11. L'organo federale comunica inoltre alla persona interessata:

a.
le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge;
b.
la durata di conservazione dei dati o, se ciò non è possibile, i criteri per stabilire la durata.

2 Sono fatte salve le norme speciali di altre leggi federali.

Art. 18 Restrizione del diritto d'accesso

1 La restrizione del diritto d'accesso è retta dall'articolo 9 capoversi 1-3 e 5 LPD12. L'organo federale può inoltre rifiutare, limitare o differire la comunicazione delle informazioni se la domanda d'accesso è manifestamente infondata o querulosa.

2 Sono fatte salve le norme speciali di altre leggi federali.

Art. 19 Altre pretese e procedura

1 Chi ha un interesse degno di protezione può esigere che l'organo federale responsabile:

a.
si astenga dal trattamento illecito;
b.
elimini le conseguenze di un trattamento illecito;
c.
accerti il carattere illecito del trattamento.

2 Il richiedente può in particolare esigere che l'organo federale:

a.
rettifichi, cancelli o distrugga i dati personali corrispondenti;
b.
pubblichi o comunichi a terzi la sua decisione, in particolare in merito alla rettifica, alla cancellazione o alla distruzione dei dati, l'opposizione alla comunicazione ai sensi dell'articolo 20 LPD13 o la menzione che rileva il carattere contestato dei dati secondo il capoverso 4.

3 Invece di cancellare o distruggere i dati personali, l'organo federale ne limita il trattamento se:

a.
la persona interessata contesta l'esattezza dei dati personali ma né la loro esattezza né la loro inesattezza possono essere dimostrate;
b.
lo esigono interessi preponderanti di terzi;
c.
lo esige un interesse pubblico preponderante, segnatamente la salvaguardia della sicurezza interna o esterna della Svizzera;
d.
la cancellazione o la distruzione dei dati rischia di compromettere un'indagine, un'istruzione o un procedimento giudiziario o amministrativo.

4 Se non possono essere dimostrate né l'esattezza né l'inesattezza dei dati personali, l'organo federale aggiunge agli stessi una menzione che ne rileva il carattere contestato.

5 La procedura è retta dalla legge federale del 20 dicembre 196814 sulla procedura amministrativa (PA). Le eccezioni previste dagli articoli 2 e 3 PA non sono applicabili.

6 Sono fatte salve le norme speciali di altre leggi federali.

Sezione 4: Sorveglianza

Art. 21 Incaricato

1 L'Incaricato sorveglia l'applicazione delle disposizioni federali sulla protezione dei dati.

2 Non sono soggetti alla sorveglianza dell'Incaricato:

a.
i tribunali della Confederazione;
b.
il Ministero pubblico della Confederazione per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
c.
le autorità federali per quanto riguarda il trattamento di dati personali nell'ambito di procedure di assistenza giudiziaria internazionale in materia penale.
Art. 22 Inchiesta

1 L'Incaricato apre, d'ufficio o su denuncia, un'inchiesta nei confronti di un organo federale o di un responsabile del trattamento se indizi lasciano presumere che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati.

2 Può rinunciare ad aprire un'inchiesta se la violazione delle disposizioni sulla protezione dei dati è di poca importanza.

3 L'organo federale o il responsabile del trattamento fornisce all'Incaricato tutte le informazioni e i documenti necessari per l'inchiesta. Il diritto di rifiutare di fornire informazioni è retto dagli articoli 16 e 17 PA16.

4 Se la persona interessata ha sporto denuncia, l'Incaricato la informa sul seguito dato alla denuncia e sull'esito di un'eventuale inchiesta.

Art. 23 Attribuzioni

1 Se l'organo federale o il responsabile del trattamento non ottempera all'obbligo di collaborare, l'Incaricato può, nell'ambito dell'inchiesta, ordinare in particolare:

a.
l'accesso alle informazioni, ai documenti, ai registri delle attività di trattamento e ai dati personali necessari per l'inchiesta;
b.
l'accesso ai locali e agli impianti;
c.
l'interrogatorio di testimoni;
d.
perizie di esperti.

2 L'Incaricato può inoltre ordinare provvedimenti cautelari per la durata dell'inchiesta.

Art. 24 Provvedimenti amministrativi

1 Se sono state violate le disposizioni sulla protezione dei dati, l'Incaricato può ordinare di adeguare, sospendere o cessare del tutto o in parte il trattamento nonché di cancellare o distruggere del tutto o in parte i dati personali.

2 L'Incaricato può sospendere o vietare la comunicazione dei dati all'estero se questa è contraria alle disposizioni legali riguardanti la comunicazione di dati personali a uno Stato terzo o a un organo internazionale.

3 Se durante l'inchiesta l'organo federale o il responsabile del trattamento ha adottato i provvedimenti necessari per ristabilire il rispetto delle disposizioni sulla protezione dei dati, l'Incaricato può limitarsi a pronunciare un ammonimento.

Art. 25 Procedura

1 La procedura d'inchiesta e le decisioni concernenti i provvedimenti di cui agli articoli 23 e 24 sono retti dalla PA17.

2 Fatto salvo l'articolo 349h del Codice penale18, è parte soltanto l'organo federale o il responsabile del trattamento oggetto dell'inchiesta.

3 L'Incaricato può impugnare le decisioni su ricorso pronunciate dal Tribunale amministrativo federale.

Sezione 5:
Assistenza amministrativa tra l'Incaricato e le autorità estere

Art. 26

1 Ai fini dell'adempimento dei rispettivi compiti legali in materia di protezione dei dati l'Incaricato può scambiare informazioni o dati personali con le autorità di uno Stato Schengen incaricate della protezione dei dati se:

a.
la reciprocità dell'assistenza amministrativa è garantita;
b.
le informazioni e i dati personali sono utilizzati soltanto nell'ambito della procedura concernente la protezione dei dati personali su cui si fonda la domanda di assistenza amministrativa;
c.
l'autorità destinataria s'impegna a salvaguardare i segreti professionali, d'affari e di fabbricazione;
d.
le informazioni e i dati personali sono comunicati a terzi soltanto previo consenso dell'autorità che li ha trasmessi; e
e.
l'autorità destinataria s'impegna a rispettare gli oneri e le limitazioni d'uso richiesti dall'autorità che ha trasmesso le informazioni e i dati personali.

2 Per motivare la propria domanda di assistenza amministrativa o per dare seguito a una siffatta domanda di un'autorità, l'Incaricato può fornire in particolare le seguenti informazioni:

a.
la denominazione dell'organo federale responsabile e il nome del responsabile del trattamento o di qualsiasi altra persona che partecipa al trattamento;
b.
le categorie di persone interessate;
c.
l'identità delle persone interessate, se la comunicazione di tale identità è indispensabile per l'adempimento dei compiti legali dell'Incaricato o dell'autorità dello Stato Schengen incaricata della protezione dei dati;
d.
i dati personali o le categorie di dati personali trattati;
e.
lo scopo del trattamento;
f.
i destinatari o le categorie di destinatari;
g.
i provvedimenti tecnici e organizzativi.

3 Prima di trasmettere all'autorità dello Stato Schengen incaricata della protezione dei dati informazioni che potrebbero contenere segreti professionali, d'affari o di fabbricazione, l'Incaricato informa le persone titolari di tali segreti e le invita a esprimere un parere, salvo che ciò sia impossibile o esiga mezzi sproporzionati.

Sezione 6: Disposizione transitoria relativa alle procedure pendenti

Art. 27

La presente legge non si applica alle inchieste dell'Incaricato pendenti al momento della sua entrata in vigore; non si applica neppure ai ricorsi pendenti contro decisioni di prima istanza emanate prima della sua entrata in vigore. A questi casi si applica il diritto anteriore.

Data dell'entrata in vigore: 1° marzo 201919

19 DCF del 30 gennaio 2019 (RU 2019 625, in particolare 638).

Allegato

(art. 1 cpv. 2)

Accordi di associazione alla normativa di Schengen

Gli Accordi di associazione alla normativa di Schengen comprendono:

a.
l'Accordo del 26 ottobre 200420 tra la Confederazione Svizzera, l'Unione europea e la Comunità europea, riguardante l'associazione della Svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen;
b.
l'Accordo del 26 ottobre 200421 sotto forma di scambio di lettere tra la Confederazione Svizzera e il Consiglio dell'Unione europea concernente i comitati che assistono la Commissione europea nell'esercizio dei suoi poteri esecutivi;
c.
la Convenzione del 22 settembre 201122 tra l'Unione europea e la Repubblica d'Islanda, il Principato del Liechtenstein, il Regno di Norvegia e la Confederazione Svizzera sulla partecipazione di tali Stati ai lavori dei comitati che assistono la Commissione europea nell'esercizio dei suoi poteri esecutivi per quanto riguarda l'attuazione, l'applicazione e lo sviluppo dell'acquis di Schengen;
d.
l'Accordo del 17 dicembre 200423 tra la Confederazione Svizzera, la Repubblica d'Islanda e il Regno di Norvegia sull'attuazione, l'applicazione e lo sviluppo dell'acquis di Schengen nonché sui criteri e i meccanismi per determinare lo Stato competente per l'esame di una domanda di asilo presentata in Svizzera, in Islanda o in Norvegia;
e.
l'Accordo del 28 aprile 200524 tra la Confederazione Svizzera e il Regno di Danimarca sull'attuazione, l'applicazione e lo sviluppo delle parti dell'acquis di Schengen basate sulle disposizioni del titolo IV del Trattato che istituisce la Comunità europea;
f.
il Protocollo del 28 febbraio 200825 tra la Confederazione Svizzera, l'Unione europea, la Comunità europea e il Principato del Liechtenstein sull'adesione del Principato del Liechtenstein all'accordo tra la Confederazione Svizzera, l'Unione europea e la Comunità europea, riguardante l'associazione della Confederazione Svizzera all'attuazione, all'applicazione e allo sviluppo dell'acquis di Schengen.