LPD federale e nLPDP cantonale: definizioni diverse per il 5° articolo
Entrambe le normative al loro rispettivo articolo 5 riportano le definizioni dei concetti principali richiamati al loro interno. Si osserva che concetti identici, nelle due normative sono definiti in maniera diversa.
LPD federale e nLPDP cantonale: definizione diversa dei Dati personali
La LPD (legge federale) definisce come Dati personali “Tutte le informazioni concernenti una persona fisica identificata e/o individuabile” mentre la nLPDP (legge cantonale) definisce i dati personali come “Tutte le indicazioni e informazioni che permettono di identificare una persona sia essa fisica che giuridica”. Quindi, a livello cantonale, i dati personali non sono solo quelli delle persone fisiche ma anche quelli delle persone giuridiche. Il messaggio del 17 maggio 2023 giustifica questa scelta come segue: “Contrariamente al legislatore federale, a livello cantonale si è scelto di mantenere la protezione delle persone giuridiche e ciò per svariati motivi […]. In primis perché la rinuncia alla protezione delle persone giuridiche nel disegno di legge federale (D-LPD) non implica che le persone giuridiche non abbiano più una personalità o che esse siano, ora, prive di meccanismi di difesa.
Di fatto, resta immutata l’ampia protezione garantita dagli articoli 28 e seguenti (lesioni della personalità, ad esempio della reputazione) del Codice civile svizzero, dalla LCSl, dalla legge federale sul diritto d’autore del 9 ottobre 1992 o dalle regole sul segreto professionale, d’affari o di fabbricazione, nonché dall’articolo 13 Cost./CH. Inoltre, l’articolo 5 Cost./CH esige che l’attività dello Stato sia retta dalla legge e ciò implica la necessità di creare delle basi legali per l’elaborazione di dati personali da parte di organi pubblici.” Come bene indicato nel Messaggio del Consiglio di Stato, il non comprendere fra i dati personali quelli delle persone giuridiche non comporta che queste siano prive di meccanismi di difesa o che esse siano prive di personalità.
Allora perché questa differenza rispetto alla legge federale? Così facendo, il Consiglio di Stato non si distanzia dall’attuale norma in vigore (art. 4 LPDP), ma avrebbe potuto seguire tranquillamente la scelta fatta dal legislatore federale.
Altre differenze tra le due LPD: i trattamenti, il titolare, il responsabile, il mandatario
Qui di seguito ne riportiamo alcune.
LPD federale | nLPDP cantonale |
Trattamento [dei dati personali]: “qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione, la cancellazione o la distruzione di dati”. | Elaborazione dei dati: “ogni operazione intesa, segnatamente, a raccogliere, registrare, utilizzare, modificare, trasmettere, bloccare, conservare, cancellare o distruggere questi dati.” |
Titolare del trattamento: “il privato o l’organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento”. | Titolare dell’elaborazione di dati “colui che, singolarmente o insieme ad altri, determina l’elaborazione dei dati, in particolare le finalità, il contenuto, la trasmissione, le modalità e la procedura.” |
Responsabile del trattamento: “il privato o l’organo federale che tratta dati personali per conto del titolare del trattamento.” | Mandatario dell’elaborazione di dati “colui che elabora dati personali su mandato del titolare dell’elaborazione.” |
Persona interessata: “la persona fisica i cui dati personali sono oggetto di trattamento” | Manca questa definizione nella nLPDP. |
Le differenze gergali a livello di definizioni sono foriere di confusione.
Ideale sarebbe stato che la normativa cantonale riprendesse gli stessi termini e le stesse definizioni di quella federale, che, fra le altre cose, usa un linguaggio che si richiama al diritto internazionale.
Ciò semplificherebbe molto il lavoro di coloro che saranno chiamati ad applicare queste normative.
L’articolo 5 della legge cantonale è più ricco di definizioni e ve ne sono alcune che non trovano riscontro nella legge federale, per esempio:
- Procedura di richiamo
- Interfacciamento o associazione di banche dati
- Banca dati o archivio di dati
- Partecipante di una banca dati
- Utente di una banca dati
- Destinatario di dati
- Consenso
La legge cantonale, da questo punto di vista, risulta essere più precisa rispetto a quella federale e per certi versi presenta le medesime caratteristiche di un manuale di procedura, fornendo indicazioni precise rispetto al significato di concetti o elementi che si riferiscono al trattamento dei dati. Questo è sicuramente un aspetto positivo che evidenziamo volentieri.
Registro delle attività di trattamento – registro degli archivi di dati
Un’altra importante differenza fra legge federale e cantonale sta nel fatto che la prima richiede l’elaborazione di un registro delle attività di trattamento, mentre la seconda esige solo la tenuta di un registro degli archivi di dati dell’ente.
Si tratta di due strumenti diversi: il primo, sebbene obbligatorio solo a partire dai 250 collaboratori o in caso di trattamento di dati particolarmente degni di protezione, permette di verificare chi fa, cosa, quando e come, e di implementare le procedure idonee al trattamento dei dati personali secondo i principi fissati dalla legge. Il secondo strumento permette solo di censire gli archivi di dati esistenti all’interno dell’organizzazione. La ragione di questa scelta è di evitare di aggravare eccessivamente gli enti pubblici di attività particolarmente onerose. Noi riteniamo che si tratti di un argomento debole, poiché non è vero che il registro dei trattamenti risulti così complesso; bensì, i benefici conseguenti alla sua realizzazione sono maggiori rispetto a quelli della semplice redazione di un registro degli archivi di dati.
LPD federale e nLPDP cantonale: conseguenze diverse per le infrazioni
Le contravvenzioni e le multe previste dalla LPD sono decisamente più severe rispetto a quelle della nLPDP. La prima prevede un importo massimo di fr. 250’000.- in caso di infrazione (violazione degli obblighi di informare, di concedere l’accesso e di collaborare – art. 60 LPD; violazione degli obblighi di diligenza – art. 61 LPD), mentre la seconda prevede un importo massimo di fr. 10’000.- qualora chiunque elabori dati personali su mandato non si attenga intenzionalmente alle condizioni stipulate.
È una differenza grande e può divenire problematica soprattutto quando teniamo conto che nel lavoro quotidiano nei Comuni, la Legge federale rischia spesso di essere violata involontariamente. Per esempio, quando in una piccola amministrazione, il funzionario che funge anche da responsabile dell’agenzia AVS, viene a conoscenza dell’apertura di un’attività economica attraverso l’affiliazione all’AVS e usa una parte di questi dati per l’assoggettamento tributario della nuova attività. Inoltre, si crea così una grande disparità di trattamento fra settore privato e pubblico nel nostro Cantone.
nLPDP cantonale: un auspicio
Sarebbe utile che al momento della discussione in Parlamento del progetto di Legge si possa fare chiarezza su alcuni aspetti ancora parzialmente nebulosi ricercando una semplificazione, chiedendo, inoltre, al Consiglio di Stato di elaborare un regolamento di applicazione che permetta di arrivare a concretizzare la Legge in maniera semplice per tutti gli enti e le autorità che saranno chiamate ad applicarla.
In ogni caso, a nostro avviso, visto quanto verificato sino a questo momento, i Comuni dovranno rendersi compliant rispetto ad ambo le normative. Pertanto, un registro delle attività di trattamento risulta necessario, come anche una valutazione delle misure necessarie per garantire un trattamento sicuro dei dati personali secondo quanto previsto da LPD federale e dalla relativa Ordinanza.
Per informazioni, contattateci direttamente allo 091 840 92 50, oppure scrivete a info@afgpartners.ch