CONTROLLO E TUTELA DATI PERSONALI
Quadro normativo
La tutela dei dati personali rientra nell’ambito della protezione della personalità, pertanto i dati personali non sono tutelati solo in quanto tali ma anche in quanto parte della personalità di un individuo. Sia le persone fisiche sia - in misura minore - le persone giuridiche usufruiscono di tale protezione.
La Costituzione federale svizzera del 18 aprile 1999 stabilisce che “ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni”. Altresì, “ognuno ha diritto d’essere protetto da un impiego abusivo dei suoi dati personali”. Già nel 1987 il Tribunale Federale aveva riconosciuto il diritto fondamentale del cittadino, diritto allora non scritto, di gestire i propri dati in modo autonomo (cosiddetto “diritto all’autodeterminazione informativa”). Il cittadino, quindi, in linea di massima, decide autonomamente se rendere accessibili a terzi dati personali, quali dati, e l’utilizzo che ne consente ai terzi. I principi stabiliti dalla Costituzione federale svizzera sono stati riflessi ed attuati in varie leggi ed ordinanze a livello federale, cantonale e comunale, che costituiscono l’impianto normativo volto alla protezione dei dati personali.
In particolare, l’art. 43a del Codice Civile svizzero prevede che il Consiglio federale svizzero provvede, nell’ambito della documentazione dello stato civile, alla tutela della personalità e dei diritti fondamentali delle persone i cui dati personali sono oggetto di elaborazione, disciplina la divulgazione di tali dati a privati che possono dimostrare un interesse diretto degno di protezione, designa le autorità estranee allo stato civile cui sono divulgati, regolarmente o su richiesta, i dati necessari ai fini dell’adempimento dei loro doveri d’ufficio. Le seguenti autorità hanno accesso ai dati necessari alla verifica dell’identità di una persona: (i) le autorità a cui spetta il rilascio dei documenti d’identità dei cittadini svizzeri, (ii) il servizio federale competente per la gestione del sistema di ricerca informatizzato di polizia e i servizi di filtraggio dei corpi di polizia cantonali e comunali collegati a tale sistema, (iii) il servizio federale competente per la gestione del casellario giudiziale informatizzato, e (iv) il servizio federale competente per la ricerca di persone scomparse.
Essenzialmente, il trattamento di dati di privati (persone fisiche e persone giuridiche) da parte di altri privati e da parte delle autorità federali è disciplinato dalla Legge federale sulla protezione dei dati del 19 giugno 1992 (LPD), mentre il rapporto fra i privati e le autorità cantonali e comunali è regolato dalle leggi cantonali e dalle ordinanze comunali.
Definizione dei dati personali
La LPD differenzia i dati meramente personali dai dati personali degni di particolare protezione e dai cosiddetti “profili della personalità”. I dati personali comprendono tutte le informazioni relative ad una persona identificata o identificabile, come ad esempio il suo nome, la data di nascita o l’indirizzo e-mail. I dati personali degni di particolare protezione sono così definiti perché contengono informazioni particolarmente delicate quali la religione, le opinioni politiche, la salute, i procedimenti e le sanzioni penali di un soggetto. Il profilo della personalità è definito come la compilazione di dati che permette di valutare le caratteristiche essenziali della personalità di una persona fisica.
Principi fondamentali
I principi fondamentali della protezione dei dati sono i seguenti:
• la raccolta e l’elaborazione dei dati devono essere lecite, ovvero devono fondarsi su norme giuridiche specifiche (il principio di legalità);
• lo scopo stesso della raccolta e della elaborazione deve essere lecito (il principio della buona fede);
• i dati raccolti e la loro elaborazione devono essere idonei e necessari al conseguimento di uno scopo lecito (il principio di proporzionalità);
• la raccolta e l’elaborazione dei dati devono essere trasparenti, ovvero l’interessato deve poter capire per quale scopo i dati vengono raccolti ed elaborati (il principio della trasparenza e della conformità allo scopo);
• i dati raccolti ed elaborati devono essere esatti – chi li raccoglie ed elabora deve, quindi, accertarsi della loro esattezza (l’esattezza dei dati);
• chi raccoglie ed elabora dati deve assicurarne la sicurezza, ovvero che persone o autorità non autorizzate non possano avervi accesso (la sicurezza dei dati);
• l’interessato deve avere accesso all’informazione, ovvero deve poter appurare se e quali dati che lo riguardano vengono raccolti ed elaborati (il diritto d’informazione o d’accesso).
Trattamento dei dati personali
Il soggetto che procede al trattamento di qualsiasi dato personale deve consentire al titolare dei dati di scegliere se limitare (i) l’elaborazione dei dati (ad esempio, opponendosi all’elaborazione del suo profilo di consumatore), e (ii) la trasmissione dei dati (ad esempio, a fini pubblicitari). Per quanto riguarda, poi, i dati personali degni di particolare protezione e i profili della personalità, in aggiunta a ciò la LPD prevede un (i) obbligo attivo d’informazione da parte del soggetto che procede al trattamento dei dati, e (ii) la necessità del consenso espresso alla trattazione da parte del titolare dei dati. In particolare, il soggetto che procede al trattamento di queste particolari tipologie di dati personali deve indicare almeno: (i) l’identità del soggetto responsabile del trattamento dei dati (il “detentore della collezione di dati”) e dell’eventuale terzo soggetto che effettua materialmente il trattamento, (ii) le finalità del trattamento dei dati, e (iii) le categorie dei destinatari dei dati, se è prevista una comunicazione dei medesimi. Il trattamento di questi dati sarà tuttavia lecito solo qualora il titolare dei dati abbia dato l’espresso consenso al loro trattamento.
Trattamento dei dati nell’ambito dei rapporti di lavoro
Con riferimento al trattamento dei dati nell’ambito dei rapporti di lavoro, il Codice delle Obbligazioni svizzero precisa e concretizza i principi generali sanciti dalla LPD. Difatti il datore di lavoro può trattare i dati relativi ai dipendenti unicamente in due casi, cioè (i) prima della conclusione del contratto e durante la sua esecuzione al fine di accertare l’idoneità dei canditati al posto di lavoro in questione, e (ii) durante il periodo d’assunzione ai fini dell’esecuzione del contratto di lavoro. Il trattamento dei dati dei dipendenti presuppone quindi uno stretto collegamento con il rapporto di lavoro. Tali disposizioni non possono essere derogate a svantaggio del lavoratore. Al termine del rapporto di lavoro possono essere conservati solo i dati che saranno utilizzati in seguito.
Consenso
Generalmente il trattamento di dati personali non richiede il consenso espresso della persona interessata, purché avvenga nel rispetto dei principi elencati in precedenza. Nei casi, invece, in cui la legge prevede il consenso espresso della persona in questione, tale persona deve essere debitamente informata sul trattamento dei dati e deve avere la libertà di scegliere se acconsentire o meno al trattamento. Ad esempio, l’acquisto di un bene non implica automaticamente che il soggetto coinvolto acconsenta al trattamento dei propri dati, per cui in caso contrario la libertà di scelta non è rispettata. Come detto, il trattamento dei dati personali degni di particolare protezione e dei profili della personalità richiede sempre il preventivo consenso espresso del soggetto interessato. È comunque consigliabile, sebbene non richiesto dalla legge, anche nel caso del trattamento di dati non “sensibili”, ottenere il consenso scritto dei diretti interessati ai fini della correttezza del trattamento, nonché per poter eventualmente dimostrare in futuro che il trattamento dei dati è avvenuto correttamente.
Infrazioni ed esimenti
È considerato illecito qualsiasi trattamento che non rispetta i principi summenzionati o che viola l’espressa volontà della persona o che consente la trasmissione ingiustificata a terzi dei dati personali e degni di particolare protezione o dei profili della personalità. Le uniche esimenti, che rendono legittima tale condotta, sono il consenso della persona lesa, un interesse preponderante privato o pubblico oppure una previsione di legge. Generalmente, l’esimente applicata è il consenso della persona lesa. Inoltre, non vi è lesione della personalità nel caso in cui la stessa persona interessata abbia reso i propri dati accessibili a tutti e non si sia opposta esplicitamente al loro trattamento.
Protezione legale
Vi sono diverse autorità garanti a differenti livelli - ossia federale, cantonale e comunale - a cui l’interessato può rivolgersi a titolo informativo. Tali autorità aiutano i diretti interessati nella tutela dei propri diritti, rendendo così la protezione garantita dalla legge più effettiva.
Tutte le azioni concernenti la protezione della personalità, laddove il trattamento dei dati personali da parte di un privato leda la personalità del soggetto interessato, sono rette dalle norme sulla protezione della personalità del Codice Civile svizzero. La persona interessata ha il diritto di rettifica, di blocco o di distruzione dei dati. La persona lesa può proporre azioni per impedire una lesione imminente, per ottenere la cessazione di una lesione attuale e per accertare l’illiceità di una lesione. Resta salva la possibilità di proporre un’azione di risarcimento del danno, di riparazione morale, e di consegna dell’utile conformemente alle disposizioni sulla gestione d’affari senza mandato. Infine, si può richiedere l’intervento del giudice per esercitare diritto alla risposta in seguito all’esposizione di fatti tramite mezzi di comunicazione sociale di carattere periodico, quali la stampa, la radio e la televisione.
L'Incaricato federale della protezione dei dati e della trasparenza esercita un’attività di supervisione sugli organi federali per verificare che questi rispettino la legge sulla protezione dei dati. Egli può di sua iniziativa accertare i fatti ed emettere una raccomandazione. Se la raccomandazione è respinta o non è seguita, egli può deferire la pratica al Tribunale amministrativo federale, che emetterà una decisione, impugnabile dall’incaricato federale. Infine l’incaricato federale può, in casi specifici, chiedere provvedimenti cautelari al presidente della corte del Tribunale amministrativo federale competente in materia di protezione dei dati. A livello penale un’infrazione della LPD comporta il pagamento di una multa. Tale procedimento segue le nome procedurali penali processuali svizzere.