Nuova legge cantonale sulla protezione dei dati personali – chi risulta assoggettato?

Una lunga lista di realtà assoggettate alla nuova Legge Cantonale sulla Protezione dei Dati Personali (nLPLP)

La nLPDP, frutto della revisione totale dell’attuale LPDP, normativa che deve ancora entrare in vigore al momento in cui scriviamo, all’art. 3 dispone che le sono assoggettati il Cantone, i Comuni e le altre Corporazioni di diritto pubblico e i loro organi. A queste sono parificate anche le persone giuridiche e fisiche di diritto privato cui sono delegati i compiti di diritto pubblico.

Criteri di assoggettamento poco chiari – necessità di un regolamento di applicazione

Il numero di soggetti chiamati a essere compliant a questa normativa è elevato e la lista riportata a pag. 7 del Messaggio del Consiglio di Stato (messaggio 8281 del 17 maggio 2023) rischia di non essere esaustiva. Si rende necessario, per tale ragione, un regolamento d’applicazione della legge che preveda disposizioni per precisare, fra le altre cose, gli enti assoggettati e i criteri, che nel messaggio non si comprendono chiaramente. Per esempio, fra gli assoggettati ritroviamo gli ordini cantonali (medici, farmacisti, avvocati), mentre, vengono escluse le scuole private parificate, le quali già oggi utilizzano gli stessi strumenti informatici del Cantone (GAS GAGI) per il trattamento dei dati di allievi e docenti, come fanno altri “delegatari”, così definiti nel messaggio.

Una parte degli enti che saranno assoggettati alla nLPDP ha già adottato misure per essere compliant alla LPD federale

La SUPSI e l’USI per esempio si sono già dotate di una struttura e un’organizzazione compliant alla LPD federale e hanno informato il loro personale di conseguenza. Questo testimonia come non sia limpido a quale legge un ente debba essere assoggettato e che, probabilmente la revisione della nLPDP avrebbe dovuta essere affrontata diversamente, informando e interpellando tempestivamente gli enti interessati. Nel nostro spirito, questa è un’occasione per imparare e per migliorare in futuro.

L’obiettivo dei nostri contributi – sensibilizzare e portare chiarezza

 

Nel precedente articolo abbiamo spiegato come gli enti pubblici possano trovarsi facilmente coinvolti in attività slegate dal potere sovrano dello Stato, per cui, in tali situazioni l’eventuale trattamento dei dati personali dovrebbe sottostare alla LPD federale e non alla nLPDP. Questa osservazione ha dato origine ad approfondimenti incoraggiati da alcuni uffici cantonali.

È bene chiarire che con questi nostri articoli intendiamo unicamente stimolare le realtà pubbliche e private a essere attente all’esistenza delle due normative, cantonale e federale, per capire quando, nel loro operato, sono toccate da una e quando dall’altra, e trattare, infine, correttamente i dati personali.

Definizione di compito pubblico

La definizione di compito pubblico non è semplice. Il capoverso 2 dell’art. 3 della nLPDP dispone: “La legge non si applica nella misura in cui uno di questi enti partecipa a una attività economica che non deriva da un potere sovrano.” Non disponiamo nella Legge di una definizione di compito pubblico ma solo del principio per cui un ente pubblico non è assoggettato alla nLPDP se intraprende un’attività che non deriva da un potere sovrano. Questo vuol dire che:” Quando un organismo secondo il capoverso 1 [dell’art. 3] non agisce nell’ambito del compito pubblico affidatogli; quindi, quando non agisce come autorità che per legge detiene un potere pubblico, ma è soggetto alla concorrenza economica, le rispettive elaborazioni di dati sono sottoposte alle disposizioni della legge federale sulla protezione dei dati applicabili ai privati.” (messaggio 8282 del 17 maggio 2023).

Per definire il compito pubblico dell’autorità non si può fare riferimento, come è stato anche suggerito, a quanto indicato dal manuale del modello contabile armonizzato MCA2 per la distinzione dei beni amministrativi e patrimoniali dei Comuni. Non è un criterio contabile che ci permette di capire quando un organismo pubblico non agisce nell’ambito del compito pubblico affidato e quindi in un regime di concorrenza economica.

Il nocciolo della questione

 

Il nocciolo della questione sta nel comprendere quando un’attività di trattamento di dati personali è soggetta alla legge cantonale o a quella federale. Se pensiamo, per esempio, a una piscina pubblica, essa si trova chiaramente in concorrenza con le strutture private, con tariffe, sovente, più concorrenziali. Il servizio pubblico erogato, in tale circostanza, da cosa deriva?

Se riflettiamo su questa domanda, ci accorgiamo che lo stesso servizio alla popolazione potrebbe essere assicurato tramite convenzioni e sussidi alle strutture private che già offrono le stesse prestazioni: i contributi pubblici permetterebbero di applicare tariffe più convenienti ai residenti dei Comuni sussidianti. In questo caso, chi non rientra fra i “residenti” pagherebbe una tariffa diversa, maggiore.

Nel caso della piscina pubblica non si intravvede l’esercizio di un potere pubblico sovrano, quanto più la scelta di offrire un servizio conveniente alla popolazione, investendo in strutture, in modo che i residenti in un dato territorio ne possano usufruire. Un discorso simile potrebbe essere esteso a più realtà e servizi “pubblici”. Tornando quindi all’oggetto di questo scritto, in questo caso, quale normativa per il trattamento dei dati personali deve essere usata?

A questo punto, per noi è importante continuare ad approfondire il tema, essendoci diversi aspetti ancora da chiarire.

 

Per informazioni, contattateci direttamente allo 091 840 92 50, oppure scrivete a info@afgpartners.ch