Protezione dei dati

La protezione dei dati tutela i diritti della personalità e la sfera privata. Chi tratta i dati di una persona è tenuto ad agire nel rispetto del diritto secondo il principio della proporzionalità. La protezione dei dati accorda inoltre al soggetto interessato diritti giuridicamente tutelati, in particolare quello di ricevere informazioni su quali dati che lo riguardano vengono trattati. A determinate condizioni, può esigere anche la rettifica, il blocco o la distruzione di dati. Certi dati personali sono più sensibili dal punto di vista dei diritti della personalità e godono pertanto di maggiore protezione.

In questo capitolo viene spiegato chi è soggetto a quale legge sulla protezione dei dati e a che cosa occorre prestare attenzione nel trattamento di dati personali ordinari e particolarmente sensibili. Viene inoltre illustrato come procedere contro un trattamento di dati illecito e come esercitare il diritto di accedere e consultare gli atti. In conclusione, si segnalano le particolarità del diritto delle assicurazioni sociali.


    Chi è soggetto a quale legge sulla protezione dei dati?

    Oltre alla Legge federale sulla protezione dei dati (LPD), in ogni Cantone vige una legge sulla protezione dei dati cantonale.  

    La Legge federale sulla protezione dei dati si applica agli organi federali e ai privati. In qualità di organi esecutivi dell’assicurazione malattia obbligatoria , risp. dell’assicurazione obbligatoria contro gli infortuni, gli assicuratori malattia e infortuni sono in questo contesto considerati organi federali e, in tale veste, soggetti alla Legge federale sulla protezione dei dati. Nell’ambito delle assicurazioni complementari, gli assicuratori malattia soggiacciono alla Legge federale sulla protezione dei dati come «privati».  

    Le leggi cantonali sulla protezione dei dati si applicano agli organi cantonali e comunali (p.es. uffici AI cantonali) e alle istituzioni private con compiti pubblici (p.es. organizzazioni di aiuto a domicilio, case anziani).

    A che cosa occorre prestare attenzione nel trattamento di dati personali ordinari e particolari?

    La protezione dei dati disciplina il trattamento dei dati, ma che cosa significa esattamente «trattamento»? Questo concetto comprende qualsiasi operazione relativa a dati, segnatamente la raccolta, la conservazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione o la distruzione di dati.

    La protezione dei dati distingue tra dati personali ordinari e dati personali particolari. I dati personali particolari sono dati sensibili, ossia concernenti la salute, la sfera intima, l’appartenenza a una razza, le misure d’assistenza sociale, le opinioni religiose, filosofiche o politiche, i procedimenti o le sanzioni amministrativi e penali. A causa dei maggiori rischi che comportano per i diritti della personalità, questi dati personali sono degni di particolare protezione (p.es. tramite il segreto professionale).

    Gli organi pubblici sono autorizzati a trattare dati personali soltanto in presenza di una base legale. Per il trattamento di dati ordinari è sufficiente un’ordinanza, per i dati personali sensibili è necessaria una legge approvata dal Parlamento. In assenza di una base legale, i dati possono essere trattati e comunicati soltanto con un consenso esplicito del diretto interessato. Il trattamento dei dati deve inoltre essere proporzionato, ossia appropriato e necessario per lo scopo previsto. Non devono altresì essere disponibili altri mezzi meno incisivi e altrettanto adeguati. Gli organi pubblici devono inoltre sincerarsi della correttezza dei dati personali e proteggerli in modo adeguato.  

    privati che trattano dati personali non devono ledere illecitamente la personalità delle persone interessate, il che significa che anche loro devono attenersi al principio dellaproporzionalità, sincerarsi della correttezza dei dati personali e proteggerli in modo adeguato. Il trattamento dei dati non può inoltre avvenire contro l’esplicita volontà della persona. La comunicazione a terzi di dati personali sensibili è giustificata soltanto dal consenso della persona interessata, da un interesse preponderante privato o pubblico o dalla legge.

    Come procedere contro una violazione della protezione dei dati?

    Chi soggiace al segreto professionale (p.es. un medico) o tratta dati sensibili nell’ambito della sua professione e comunica a terzi tali dati in assenza di una base legale o un esplicito consenso si rende passibile di pena. 

    In caso di trattamento illecito di dati, la persona lesa può esigere l’astensione dal trattamento dei dati, l’accertamento del carattere illecito e l’eliminazione delle conseguenze. Essa può anche esigere che i dati vengano distrutti o rettificati, o che ne venga impedita la comunicazione a terzi, e la pubblicazione o la comunicazione a terzi di eventuali decisioni. Secondo le circostanze, sono dovuti un risarcimento e una riparazione. Nei confronti di privati si procede a livello di diritto civile, nei confronti di organi pubblici a livello di diritto amministrativo.

    Esempio

    M. constata che il padrone di casa ha detto agli altri inquilini che lei è al beneficio dell’aiuto sociale. Poiché lei non ha dato il suo esplicito consenso a questa comunicazione, può intentare presso il tribunale preposto un’azione civile contro il padrone di casa per lesione della personalità.

    Esempio

    consultando gli atti dell’AI che lo riguardano, A. scopre che in un documento interno l’AI menziona erroneamente un tumore al cervello e chiede la rettifica. Poiché A. non ha mai avuto un tumore al cervello, l’AI procede alla rettifica. Se l’AI si fosse rifiutata, A. avrebbe potuto esigere una decisione impugnabile mediante ricorso e adire le vie legali.

    Diritto di accesso e di consultazione degli atti

    Ogni persona ha il diritto di accedere ai dati personali che la concernono. Su richiesta scritta, tutti i dati raccolti, la loro origine e lo scopo del loro trattamento devono essere resi noti. 

    I dati concernenti la salute possono essere comunicati per il tramite di una o un medico designata/o dalla persona interessata. La comunicazione delle informazioni può essere rifiutata soltanto nella misura in cui sia previsto da una legge o richiesto da interessi preponderanti di un terzo. Se una persona constata che le informazioni figuranti nei suoi atti non sono corrette, può chiederne la rettifica o la distruzione.

    Esempio

    nell’ambito di una procedura riguardante la costituzione di una curatela, T. desidera consultare gli atti dell’autorità di protezione degli adulti. L’autorità nega la consultazione diretta della perizia psichiatrica contenuta negli atti, ma propone a T. di trasmettere la perizia al suo psichiatra e di permettergliene la consultazione per il suo tramite. Poiché la consultazione diretta della perizia esporrebbe T. al rischio di suicidio, la procedura dell’autorità di protezione degli adulti è corretta. 

    Come per la violazione della protezione dei dati, per far valere il diritto di accesso nei confronti di privati si procede a livello di diritto civile, nei confronti di organi pubblici a livello di diritto amministrativo.

    Esempio

    N. desidera consultare il suo incarto allestito dall’assicurazione responsabilità civile privata. L’assicurazione rifiuta parte della consultazione spiegando che il diritto di accesso è limitato da interessi preponderanti di terzi. N. può tentare di far valere il suo diritto d’accesso intentando un’azione presso il tribunale civile preposto.

    Esempio

    R. vive in una casa per anziani pubblica e desidera consultare i dati che lo concernono. L’istituto gli consente solo un accesso parziale al suo incarto, adducendo un interesse preponderante di terzi. R. può solo esigere una decisione impugnabile mediante ricorso e adire un mezzo d’impugnazione

    Particolarità del diritto delle assicurazioni sociali

    Chi presenta domanda di prestazioni a un’assicurazione sociale (p.es. AI, assicurazione contro gli infortuni, prestazioni complementari) deve esporre la propria situazione fino ai limiti della sfera intima. Firmando il modulo di domanda, autorizza inoltre tutte le persone (in particolare il datore di lavoro, i medici, le assicurazioni, gli uffici pubblici) a fornire le informazioni necessarie per accertare il diritto alla prestazione. Tali persone sono quindi tenute a fornire informazioni. Con il modulo, il richiedente firma una sorta di procura generale, perché non può sapere in anticipo quali persone e quali uffici verranno effettivamente contattati dall’assicurazione sociale.

    Il richiedente detiene tuttavia un interesse degno di protezione al fatto che i dati raccolti non vengano comunicati indistintamente a terzi. La Legge federale sulla parte generale del diritto delle assicurazioni sociali (LPGA) prevede quindi un obbligo del segreto per le persone che partecipano all’esecuzione delle assicurazioni sociali. Ciò significa che le assicurazioni sociali sono tenute a mantenere il segreto nei confronti di terzi (p.es. datore di lavoro).

    Esempio

    dato che, da quando ha avuto un incidente, è incapace di svolgere il suo lavoro abituale, S. ha presentato all’AI domanda per una rendita. Con la firma del modulo di domanda, S. autorizza il suo datore di lavoro, i suoi medici e l’assicurazione contro gli infortuni a fornire le informazioni richieste dall’AI. L’obbligo del segreto vieta tuttavia all’AI di fornire maggiori informazioni al datore di lavoro.

    Un'eccezione all'obbligo generale di segretezza è costituita dall'assistenza amministrativa. Esso consente alle imprese di assicurazione sociale di rivolgersi alle autorità amministrative e giudiziarie o ad altre imprese di assicurazione sociale, mediante richiesta scritta e motivata, per ottenere i dati necessari a far valere i propri diritti.

    Per le registrazioni audio appartenenti all’incarto assicurativo dall’1.1.2022 nel quadro di una perizia medica, è prevista una regolamentazione speciale: la registrazione può essere ascoltata soltanto dalla persona assicurata, dall’ente assicurativo che ha assegnato il mandato (p.es. l’ufficio AI che ha ordinato la perizia), dalle autorità decisionali (p.es. il tribunale cantonale delle assicurazioni nell’ambito di una procedura) e dalla Commissione federale per la garanzia della qualità delle perizie mediche. Altre assicurazioni sociali non concretamente coinvolte nella procedura non godono di alcun diritto al riguardo.

    Basi giuridiche

    • Campo d’applicazione della Legge federale sulla protezione dei dati:
      art. 2 e 3 LPD
    • Campo d’applicazione delle leggi cantonali sulla protezione dei dati: leggi cantonali sulla protezione dei dati
    • Dati personali particolarmente degni di protezione: art. 5 lett. c LPD, leggi cantonali sulla protezione dei dati
    • Trattamento di dati: artt. 5 lett. d e 6-13 LPD, art. 7 OPDa, leggi cantonali sulla protezione dei dati
    • Trattamento di dati da parte di organi federali:
      artt. 33-42 LPD, artt. 25-28 OPDa
    • Trattamento di dati da parte di persone private:
      artt. 30-32 LPD, artt. 23 e 24 OPDa
    • Trattamento di dati da parte di organi cantonali e comunali, e di istituzioni private con compiti pubblici: leggi cantonali sulla protezione dei dati
    • Disposizioni penali: artt. 60-66 LPD, leggi cantonali sulla protezione dei dati

    Piè di pagina

    Ritorno a inizio pagina