La nuova legge sulla protezione dei dati (nLPD) oltre ad avere introdotto tutta una serie di obblighi nei confronti del titolare del trattamento volti a migliorare la trasparenza dei trattamenti e ad aumentare il senso di responsabilizzazione ha, allo stesso tempo, rinforzato l’autodeterminazione delle persone interessate e più precisamente l’autodeterminazione informativa permettendo al singolo di controllare maggiormente i dati che lo riguardano e se necessario chiedere l’adozione di provvedimenti in caso di violazione. In altre parole, le persone interessate hanno il diritto di essere informate su ogni attività di raccolta dei loro dati personali ma soprattutto il diritto di accedere a questi dati. Il diritto di accesso ai dati personali che le riguardano è l’elemento chiave per la protezione dei dati in quanto permette di esercitare efficacemente gli altri diritti sanciti dalla legge sulla protezione dei dati, sia nella versione attuale che in quella rivista, ed in particolare:
Tutti questi diritti non sono assoluti, il legislatore per ogni diritto concesso ha previsto, sia nell’attuale versione della legge sulla protezione dei dati che in quella nuova, casi di restrizioni.
Il diritto di accesso è in primis un diritto che legittima la persona interessata a sapere se i suoi dati sono oggetto di trattamento (art. 8 cpv. 1 aLPD - art. 25 cpv. 1 nLPD), come viene eseguito il trattamento, e in un secondo tempo, farsi consegnare una copia delle informazioni che il titolare ha su di lei.
Questo diritto è un diritto strettamente personale al quale non si può rinunciare in anticipo (art. 8 cpv. 6 aLPD - art. 25 cpv. 5 nLPD). Pertanto, qualsiasi persona capace di discernimento può e deve esercitare lei stessa questo diritto senza necessità di richiedere il consenso del rappresentante legale (ad esempio i minori).
In entrambe le versioni, aLPD e nLPD, le informazioni dovranno essere fornite per iscritto ed in linea di principio gratuitamente. È previsto un termine di 30 giorni per la trasmissione delle informazioni, che può essere prorogato se la raccolta delle informazioni e i relativi dati richiedono più tempo o possono eventualmente essere forniti in modo scaglionato.
L’elenco delle informazioni da fornire in caso di richiesta di accesso delle persone interessate è previsto dalle due normative, sia quella attuale (art. 8 cpv. 2 lett. a) e b) aLPD) che quella rivista (art. 25 cpv 2 lett. a) a g) nLPD). Con il nuovo il testo, l’elenco delle informazioni minime da comunicare è stato esteso in modo considerevole e corrisponde in grandi linee a quello previsto dal diritto europeo (art. 15 cpv. del GDPR).
Il diritto di accesso, pur rappresentando l’elemento chiave per la protezione dei dati, così come per gli altri diritti, non è assoluto. Delle restrizioni sono state previste dal legislatore sia nell’aLPD che nella nLPD (rispettivamente art. 9 aLPD e art. 26 nLPD), e sono state estese in particolar modo nel testo della nLPD per limitarne l’utilizzo abusivo riscontrato negli anni1.
In effetti, nella sua giurisprudenza, il Tribunale federale (TF) ha sottolineato che una richiesta di accesso (art. 8 aLPD) dovrebbe essere considerata abusiva quando è intesa esclusivamente a raccogliere prove in vista di un’azione civile (cf. due decisioni del TF: ATF 138 III 425 e ATF 141 III 119)2. In queste due sentenze il TF aveva negato il carattere abusivo della richiesta di accesso. È solo con la sentenza 4A_277/2020 del 18.11.20203 che per la prima volta il TF ha ritenuto il carattere abusivo di una particolare richiesta legata ad un contenzioso commerciale facendo riferimento anche al testo della nLPD, ed in particolare al fatto che alla persona interessata debbano essere fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la LPD e sia garantito un trattamento trasparente dei dati (art. 25 cpv. 2 nLPD).
Anche a livello europeo l’esercizio del diritto di accesso è stato oggetto di discussione. A tale riguardo viene citata la recente sentenza della Corte di giustizia dell’Unione Europea (CGUE) del 12 gennaio 20234, la quale ha ritenuto che il diritto di accesso permette alle persone interessate di richiedere al titolare del trattamento le informazioni riguardanti l’identità dei destinatari ai quali i dati sono o sono stati comunicati. Con questa sentenza la CGUE ricorda che il diritto di accesso è un diritto necessario per permettere alle persone interessate di far valere gli altri suoi diritti di cui alla LPD in quanto permette di verificare non solo che i dati personali che la riguardano sono corretti ma anche che sono trattati in modo lecito.
Anche se questa sentenza non è vincolante per la Svizzera, ad eccezione dell’applicazione extraterritoriale del GDPR (teoria degli effetti), l’Incaricato federale della protezione dei dati e della trasparenza potrebbe adottare la stessa interpretazione in quanto l’obiettivo della nLPD è volto a migliorare la trasparenza del trattamento dei dati personali e l’autodeterminazione delle persone interessate. A tale riguardo sarà interessante capire se la sanzione penale prevista all’art. 60 cpv. 1 lett. a) nLPD verrà applicata al titolare del trattamento che non fornisce, su richiesta della persona interessata, l’identità dei destinatari dei dati in quanto potrà essere considerata come fornitura intenzionale d’informazione incompleta.
Per quanto riguarda i diritti delle persone interessate, le disposizioni previste, sia dalla normativa attuale che da quella rivista, sono equiparabili. L’elemento determinante del testo della nLPD è l’autodeterminazione delle persone interessate ed in particolare l’autodeterminazione informativa.
Ogni attività di trattamento deve essere preceduta da un’informativa che deve contenere un minimo di informazioni predefinite dalla legge e alla quale non si può derogare. Chi tratta i dati personali lo deve fare in modo trasparente e deve essere in grado, su richiesta delle persone interessate, di fornirle tutte le informazioni necessarie a controllare che il trattamento venga eseguito in conformità ai principi di trattamento sanciti dalla legge sulla protezione dei dati. In caso di violazione la persona interessata potrà richiedere l’adozione dei provvedimenti previsti dalla legge sulla protezione dei dati che prevedono sia sanzioni penali (art. 34 cpv. 1 lett. a) e b) aLPD – art. 60 cpv. 1 lett. a) e b) nLPD) e amministrative (art. 51 nLPD) sia la possibilità di ricorrere alle azioni civili previste dagli art. 28 ss CC (art. 15 aLPD – art. 32 cpv. 2 nLPD).
1 Il titolare del trattamento può rifiutare, limitare o differire l’informazione se la domanda d’accesso è manifestamente infondata, segnatamente se persegue uno scopo contrario alla protezione dei dati, o se è querelosa” (art. 26 cpv.1 lett.c) nLPD).
2 Il testo della sentenze ATF 138 III 425 può essere consultato al seguenti link: https://www.bger.ch/ext/eurospider/live/fr/php/aza/http/index.php?lang=fr&type=show_document&page=1&from_date=&to_date=&sort=relevance&insertion_date=&top_subcollection_aza=all&query_words=&rank=0&highlight_docid=atf%3A%2F%2F138-III-425%3Afr&number_of_ranks=0&azaclir=clir
3 Il testo della sentenza può essere consultato al seguente link: https://www.bger.ch/ext/eurospider/live/it/php/aza/http/index.php?highlight_docid=aza%3A%2F%2F18-11-2020-4A_277-2020&lang=it&type=show_document&zoom=YES&
4 Il testo della sentenze della CGUE può essere consultato al seguenti link: https://curia.europa.eu/juris/document/document.jsf?text=&docid=269146&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1986127