|
Art. 1 Oggetto
1 La presente legge disciplina il trattamento di dati personali da parte degli organi federali ai fini della prevenzione, del chiarimento o del perseguimento di reati o dell’esecuzione di sanzioni penali, comprese la protezione contro le minacce alla sicurezza pubblica e la prevenzione delle stesse: - a.
- nell’ambito dell’applicazione dell’acquis di Schengen;
- b.
- nell’ambito dell’applicazione degli accordi internazionali conclusi con l’Unione europea o con Stati vincolati da un accordo di associazione alla normativa di Schengen (Stati Schengen) e che in materia di protezione dei dati rimandano alla direttiva (UE) 2016/680.
2 Gli accordi di associazione alla normativa di Schengen sono elencati nell’allegato.
|
Art. 2 Rapporto con altre leggi
1 La presente legge non si applica ai diritti delle persone interessate nei procedimenti pendenti davanti ai tribunali della Confederazione e nei procedimenti pendenti secondo il Codice di procedura penale4 o secondo la legge federale del 20 marzo 19815 sull’assistenza internazionale in materia penale; tali diritti sono disciplinati dal diritto processuale applicabile. 2 In quanto la presente legge non preveda disposizioni particolari, si applica la legge federale del 19 giugno 19926 sulla protezione dei dati (LPD); è fatta salva l’applicazione di altre leggi federali.
|
Art. 3 Definizioni
1 Nella presente legge s’intende per: - a.
- dati personali degni di particolare protezione:
- 1.
- i dati concernenti le opinioni o attività religiose, filosofiche o politiche,
- 2.
- i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia,
- 3.
- i dati genetici,
- 4.
- i dati biometrici che identificano in modo univoco una persona fisica,
- 5.
- i dati concernenti le misure d’assistenza sociale,
- 6.
- i dati concernenti procedimenti e sanzioni amministrativi e penali;
- b.
- profilazione: ogni trattamento automatizzato di dati personali consistente nell’utilizzazione degli stessi per valutare determinati aspetti della personalità di una persona fisica, in particolare per analizzare o prevedere elementi concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l’affidabilità, il comportamento, il luogo di soggiorno e gli spostamenti di tale persona;
- c.
- violazione della sicurezza dei dati: ogni violazione della sicurezza, a prescindere dal fatto che sia intenzionale o illecita, in seguito alla quale dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
- d.
- decisione individuale automatizzata: ogni decisione basata esclusivamente su un trattamento automatizzato di dati personali, compresa la profilazione, che abbia per la persona interessata effetti giuridici o ripercussioni significative;
- e.
- responsabile del trattamento: la persona privata o l’organo federale che tratta dati personali per conto dell’organo federale responsabile.
2 Peraltro si applicano le definizioni di cui all’articolo 3 LPD7.
|
Art. 4 Principi
1 I dati personali vanno trattati in modo lecito. 2 Il trattamento deve essere conforme al principio della buona fede e della proporzionalità. 3 I dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile da parte della persona interessata; possono essere trattati soltanto in modo compatibile con tale scopo. 4 I dati personali sono distrutti o resi anonimi non appena non sono più necessari per lo scopo del trattamento. 5 Chi tratta dati personali deve accertarsi della loro esattezza. Deve prendere tutti i provvedimenti adeguati e necessari per rettificare, cancellare o distruggere i dati inesatti o incompleti in considerazione dello scopo per cui sono stati raccolti o trattati.
|
Art. 5 Protezione dei dati sin dalla progettazione e per impostazione predefinita
1 Gli organi federali sono tenuti ad adottare, sin dalla progettazione, i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all’articolo 4. 2 I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, alla natura e all’estensione del trattamento dei dati come pure al rischio che il trattamento comporta per i diritti fondamentali delle persone interessate. 3 Gli organi federali sono tenuti a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito.
|
Art. 6 Basi legali per il trattamento di dati personali
1 Gli organi federali possono trattare dati personali soltanto se esiste una pertinente base legale. 2 La base legale deve essere prevista in una legge in senso formale nei casi seguenti: - a.
- sono trattati dati personali degni di particolare protezione;
- b.
- sono trattati profili della personalità;
- c.
- è effettuata una profilazione;
- d.
- il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
3 In deroga ai capoversi 1 e 2, gli organi federali possono trattare dati personali se: - a.
- il trattamento è necessario per proteggere la vita o l’integrità fisica della persona interessata o di un terzo; o
- b.
- la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento.
|
Art. 7 Basi legali per la comunicazione di dati personali
1 Gli organi federali possono comunicare dati personali soltanto se lo prevede una base legale ai sensi dell’articolo 6 capoversi 1 e 2. 2 In deroga al capoverso 1, gli organi federali possono comunicare dati personali se nel caso specifico: - a.
- la comunicazione è indispensabile affinché l’organo federale o il destinatario possa adempiere un compito definito dalla legge;
- b.
- la comunicazione è necessaria per proteggere la vita o l’integrità fisica della persona interessata o di un terzo; o
- c.
- la persona interessata ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente alla comunicazione.
3 Peraltro è applicabile l’articolo 19 capoversi 1bis–4 LDP8.
|
Art. 8 Comunicazione di dati personali all’estero
1 La comunicazione di dati personali alle autorità competenti degli Stati Schengen non può essere soggetta a regole di protezione dei dati personali più severe di quelle applicabili alla comunicazione alle autorità penali svizzere. 2 La comunicazione di dati personali a uno Stato terzo o a un organo internazionale è retta dalle disposizioni speciali del diritto federale applicabile.
|
Art. 9 Organo federale responsabile e controllo
1 L’organo federale che nell’adempimento dei suoi compiti tratta o fa trattare dati personali è responsabile della protezione dei dati. 2 Se un organo federale tratta dati personali congiuntamente ad altri organi federali, a organi cantonali o a privati, il Consiglio federale disciplina le procedure di controllo e la responsabilità in materia di protezione dei dati.
|
Art. 10 Trattamento dei dati da parte di un responsabile del trattamento
1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento se sono adempiute le condizioni previste dall’articolo 10a LPD9. 2 Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione scritta dell’organo federale.
|