CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

PARERE 5/1999

Adottato il 7 giugno 1999

Il Gruppo ¹ è stato informato dell'elaborazione da parte della Commissione europea di un progetto di decisione basata sull'art. 25, paragrafo 6, della direttiva 95/46/CE, che constata che la Svizzera, a motivo della sua legislazione interna, garantisce un livello di tutela adeguato ai sensi dell'art. 25, paragrafo 2, della direttiva suddetta.

Per fornire un parere alla Commissione europea, assistita dal Comitato istituito con l'art. 31 della direttiva 95/46/CE, il Gruppo ha effettuato un'analisi delle disposizioni di protezione dei dati applicabili in Svizzera ².

Al riguardo, occorre operare una distinzione tra la situazione legislativa vigente a livello federale - disciplinata dalla legge sulla tutela dei dati del 19 giugno 1992, successivamente modificata ed integrata dall'ordinanza del Consiglio federale del 14 giugno 1993- e la situazione esistente a livello cantonale.

Avuto riguardo alla ripartizione delle competenze tra la Confederazione e i Cantoni, la legge federale si applica ai trattamenti di dati personali effettuati nell'insieme del settore privato svizzero nonché ai trattamenti effettuati dalle autorità pubbliche federali; dal canto loro, le disposizioni cantonali disciplinano i trattamenti di dati personali operati dal settore pubblico cantonale o comunale. Per esempio, rientrano nelle competenze dei Cantoni i trattamenti operati nel settore della polizia, della scuola, della sanità e, più particolarmente, degli ospedali pubblici. In uno scrupolo di precisione va rilevato che anche i Cantoni sono indotti ad effettuare taluni trattamenti di dati personali in attuazione del diritto federale, per esempio per la riscossione delle imposte federali. Prima di prevedere norme legislative federali e cantonali occorre rilevare in via preliminare che le norme federali e cantonali dovrebbero essere in armonia con le normative risultanti:

- da una parte,dalla Convenzione del Consiglio d'Europa per la tutela delle persone fisiche con riguardo al trattamento automatizzato dei dati personali (Convenzione n° 108), Convenzione ratificata dalla Svizzera il 2 ottobre 1997, e che, senza essere direttamente applicabile, stabilisce impegni internazionali a carico sia della federazione che dei Cantoni;

- d'altra parte, dalla Costituzione federale (modificata con voto popolare in data 18 aprile scorso), nell'interpretazione data dalla giurisprudenza del Tribunale federale. Va rilevato che il nuovo testo costituzionale dà a chiunque il diritto al rispetto della sua vita privata e, in particolare, il diritto di essere tutelato contro l'utilizzazione abusiva dei dati che lo riguardano (art. 13 relativo alla tutela della sfera privata).

1. Secondo il parere del Gruppo, la legge federale sulla tutela dei dati garantisce un livello di tutela adeguato.

Nel documento di lavoro adottato il 24 luglio 1998 relativo ai trasferimenti di dati personali verso paesi terzi ³, il Gruppo ha fornito delucidazioni sulle esigenze della direttiva ed enumerato gli elementi concreti che dovrebbero essere presi in considerazione ai fini della valutazione del livello di protezione consono. Alla luce di una tabella di corrispondenza tra le esigenze della direttiva e le disposizioni della legge federale ⁴, emerge che la legge federale, che si applica ai trattamenti automatizzati di dati ed ai trattamenti manuali, prevede il complesso dei principi elencati nel documento di lavoro succitato, a prescindere dal fatto che si tratti dei principi della protezione delle persone o dei meccanismi volti a garantire un'effettiva applicazione dei principi di base.

È peraltro necessario formulare delle precisazioni inerenti al principio di trasparenza ed alla tutela dei dati sensibili. Si rileverà che il principio di trasparenza è previsto espressamente per il caso particolare di raccolta sistematica di dati da parte di un organo federale. In generale, tuttavia, tale principio si evince dalla prassi di buona fede di cui all'art. 4, comma 2, della legge ⁵.

La legge non contempla certamente il divieto del trattamento dei dati sensibili, ma pone disposizioni specifiche quanto al loro trattamento come d'altronde per i profili di personalità assoggettati alle stesse regole di tutela: l'art. 17 dispone che tali dati possano essere trattati da organi federali soltanto qualora la legge lo preveda espressamente o se eccezionalmente un compito definito in una legge lo esiga assolutamente, il Consiglio federale l'abbia autorizzato, la persona vi abbia acconsentito o abbia reso i dati accessibili a ciascuno. Per quanto riguarda il settore privato, l'art. 13, paragrafo 1, subordina il trattamento di qualsiasi dato al consenso da parte della persona, a un interesse pubblico o privato preponderante o a un'autorizzazione legale; l'art. 12 fa divieto di comunicare a terzi dati sensibili, salvo motivi giustificati. Infine, la protezione dei dati sensibili è corroborata dall'art. 35 della legge che prevede sanzioni penali nei riguardi di chiunque violi il dovere di discrezione rivelando tali dati illecitamente.

2. La situazione a livello cantonale è di difficile comprensione ⁶.

Alla luce dello studio condotto su richiesta dei servizi della Commissione ⁷ che verte più particolarmente sulla legislazione di vari Cantoni e delle indicazioni fornite dall'incaricato federale emergono i seguenti elementi di valutazione:

• le legislazioni adottate dai Cantoni si ispirano ampiamente alla convenzione 108, osservazione evidentemente coerente con gli impegni assunti dalla Svizzera in esito alla ratifica della convenzione;

• i trattamenti di dati personali devono rispondere ai principi generali derivanti dalla giurisprudenza del tribunale federale relativa in particolare all'art. 4 della Costituzione federale (parità di trattamento) ed alla libertà personale che determina una norma minima in materia di tutela dei dati (segnatamente per quanto attiene i principi di qualità dei dati stessi in particolare legalità, buona fede, finalità, proporzionalità o esattezza dei dati), il diritto d'accesso, il diritto di rettifica o di distruzione dei dati. E' probabile che tale giurisprudenza venga confermata, se non addirittura rafforzata sulla scorta del succitato testo costituzionale;

• quando non è assoggettato a disposizioni cantonali in materia di protezione dei dati, il trattamento di dati personali da parte di organi cantonali effettuato in esecuzione del diritto federale è disciplinato dalla legge federale. Inoltre, per detti trattamenti, i Cantoni devono dotarsi di un organo incaricato di vigilare sul rispetto della tutela dei dati e che fruisce delle stesse competenze dell'incaricato federale. È il caso in particolare dell'elaborazione dei dati a fini di sicurezza sociale, dei trattamenti di dati nei settori del diritto degli stranieri o dell'asilo, dell'imposta federale o della statistica;

• taluni trattamenti di dati sono soggetti a norme specifiche di riservatezza, come per esempio l'elaborazione di dati medici negli ospedali pubblici sottoposto a segreto medico.

Conclusione

Il Gruppo raccomanda alla Commissione e al comitato Istituito in virtù dell'art. 31 della direttiva 95/46/CE di constatare che la Svizzera garantisce un livello di tutela adeguato ai sensi dell'art. 25, paragrafo 6 di detta direttiva.

Per il Gruppo
Il presidente
Peter J. HUSTINX

1 Istituito dall'art. 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, GU L 281 del 23 novembre 1995, pag. 31, disponibile al seguente indirizzo: http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm .

2 Nell'intento di disporre di informazioni maggiormente precise su taluni punti, il Presidente del Gruppo ha inviato una lettera al preposto federale per la tutela dei dati in data 15 marzo 1999. Quest'ultimo ha risposto in data 24 marzo 1999. Inoltre, il segretariato del Gruppo ha stabilito contatti informali con il preposto federale.

3 Disponibile sul sito indicato in nota a pié di pagina n° 1.

4 Documento 5007/99, disponibile presso i servizi della Commissione europea, Direzione generale XV " Mercato interno e servizi finanziari ", Unità E1 "Libera circolazione dell'informazione, protezione dei dati ", Rue de la Loi 200, B — 1049 Bruxelles.

5 Siffatta interpretazione è stata confermata dal Preposto federale nei contatti informali con il segretariato del gruppo.

6 Si rileva che, sui 26 Cantoni che conta la Confederazione:

• 17 dispongono di una legislazione in materia di protezione dei dati (...), tre dei quali hanno inoltre introdotto una disposizione di tutela dei dati nella rispettiva costituzione cantonale;

• 4 hanno adottato direttive governative, due dei quali hanno altresì introdotto una disposizione nella relativa costituzione cantonale; uno ha elaborato un progetto di legge;

• gli altri Cantoni non presentano normative cantonali specifiche (tre di loro stanno mettendo a punto un progetto di legge).

7 Disponibile presso i servizi della Commissione europea (cfr. indirizzo supra nota a piè pagina 4).