Domande sulla protezione dei dati

No, non è possibile esigere la compilazione di un simile formulario. In questo caso vige l'obbligo di assicurazione, secondo cui l'assicuratore malattie deve accettare il richiedente a prescindere dall'età o dallo stato di salute. Non possono neppure essere imposte riserve o fatti valere periodi di attesa.

Alla persona che intende concludere un'assicurazione complementare l'assicuratore è invece autorizzato a porre domande sullo stato di salute; esso può inoltre formulare riserve e anche respingere la richiesta.

Il medico di fiducia consiglia l'assicuratore malattie su questioni d’ordine medico come pure su problemi relativi alla rimunerazione e all’applicazione delle tariffe. Esamina in particolare se sono adempite le condizioni d’assunzione d’una prestazione da parte dell’assicuratore (ossia verifica se un trattamento deve essere preso a carico dall'assicurazione malattie). A tal proposito il medico di fiducia comunica all'organo competente dell'assicuratore unicamente le indicazioni necessarie per decidere l’assunzione delle prestazioni, stabilire la rimunerazione o motivare una decisione. Il medico di fiducia svolge pertanto la funzione di filtro e protegge nel contempo i diritti della personalità degli assicurati.

L'istituzione del medico di fiducia è disciplinata a livello di legge soltanto nell'ambito dell'assicurazione malattie obbligatoria, nonostante si parli di medici di fiducia, di medici di circondario, di medici societari o di medici consulenti anche in altri rami assicurativi (assicurazione invalidità, infortuni e militare; assicurazioni private). Ognuno di questi ambiti conosce regole diverse in materia di trasmissione dei dati.

No. Il medico curante è legittimato, se le circostanze lo esigono, oppure obbligato in ogni caso, su richiesta dell’assicurato, a fornire le indicazioni di natura medica soltanto al medico di fiducia.

Vi è pertanto la possibilità di esigere dal vostro medico curante che trasmetta le indicazioni inerenti la vostra salute esclusivamente al medico di fiducia.

Sia l'assicuratore sociale in materia di indennità giornaliera per malattia, sia quello privato, nella procedura di affiliazione può domandare informazioni sullo stato di salute dell'impiegato o del richiedente. L'assicurazione tuttavia è legata al principio di proporzionalità, secondo il quale devono essere forniti soltanto i dati personali adeguati e necessari. Da questo risulta anche che i dati relativi alla salute devono pervenire al medico di fiducia, o al servizio medico del pertinente assicuratore.

L'affiliazione a un'assicurazione sociale in materia di indennità giornaliera per malattia si conforma alle indicazioni della legge sull'assicurazione malattie. Occorre prendere in considerazione che quando un assicuratore sociale dell'indennità giornaliera per malattia si procura i dati può imporre all'assicurato una clausola assicurativa restrittiva di un massimo di cinque anni. Per il resto un assicuratore sociale in materia di indennità giornaliera per malattia - contrariamente a un assicuratore privato - è tenuto ad affiliare qualsiasi richiedente, indipendentemente dallo stato di salute del medesimo.

No. In effetti i dati relativi alla salute possono pervenire soltanto all'assicuratore, rispettivamente al suo medico di fiducia o servizio medico. Spetta soltanto all'assicuratore in materia di indennità giornaliera per malattia chiarire se qualcuno può essere affiliato o no all'assicurazione.

In pratica i formulari di richiesta sono strutturati in modo che il datore di lavoro come stipulante possa prendere conoscenza dei dati relativi alla salute dell'impiegato. Siffatti formulari non sono compatibili con la legge sulla protezione dei dati. Spetta soprattutto all'assicuratore organizzare la procedura di affiliazione in modo che il datore di lavoro non possa prendere conoscenza dei dati relativi alla salute dell'impiegato.

Il bisogno di dati relativi alla salute si verifica soprattutto all'atto dell'affiliazione e al momento di successive prestazioni. Gli assicuratori possono chiedere a terzi dati relativi alla salute di impiegati se vi è un motivo che lo giustifichi in base alla legge sulla protezione dei dati.

Come motivo giustificativo entra di massima in linea di conto il consenso dell'impiegato. Il consenso è particolarmente necessario qualora l'assicuratore domandi informazioni a un medico, poiché i medici secondo il codice penale, sottostanno al segreto professionale relativo ai pazienti. Per il resto, secondo la legge, è necessario il consenso scritto se le informazioni sono richieste da un assicuratore sociale.

La clausola relativa al consenso è tuttavia valida soltanto se l'impiegato conosce l'entità e la portata del consenso (principio di trasparenza). Questo significa che il consenso deve indicare in modo chiaro e univoco da chi e quali informazioni possono essere fornite. Il principio di trasparenza è valido a maggior ragione se si tratta di dati personali particolarmente degni di protezione come i dati relativi alla salute. Le cosiddette "autorizzazioni in bianco" non sono compatibili con la legge sulla protezione dei dati.

Se un impiegato soddisfa i requisiti per l’assicurazione obbligatoria secondo la LPP, l’istituto di previdenza è obbligato ad affiliarlo. I dati relativi alla salute non possono pertanto essere richiesti per l’affiliazione all’assicurazione obbligatoria.

Tuttavia, se sono offerte prestazioni assicurative anche per il settore sovraobbligatorio, le domande sullo stato di salute sono di norma consentite. In questo caso, l’assicuratore di previdenza non opera come assicuratore sociale, bensì come assicuratore privato. Tuttavia, l’assicuratore deve attenersi al principio di proporzionalità, secondo il quale possono essere acquisiti solo i dati personali necessari e appropriati. Dal principio di proporzionalità deriva anche che i dati relativi alla salute devono pervenire al medico di fiducia o al servizio medico del rispettivo istituto pensionistico.

L’affiliazione nel settore della previdenza sovraobbligatoria è disciplinata dalle disposizioni del Codice delle obbligazioni (CO), secondo le quali gli istituti di previdenza possono applicare riserve per motivi di salute per quanto concerne i rischi morte e invalidità. La durata di tali riserve non può superare i cinque anni. Nell’applicazione del principio di proporzionalità, occorre tenere conto delle disposizioni del CO. 

No, perché i dati relativi alla salute possono essere trasmessi solo all’istituto di previdenza, al suo medico di fiducia o al suo servizio medico. Spetta esclusivamente all’istituto di previdenza chiarire se una persona deve essere affiliata o no nel settore sovraobbligatorio.

Nella prassi i moduli di richiesta sono spesso concepiti in modo tale che i datori di lavoro, in quanto assicurati, hanno accesso ai dati relativi alla salute dell’impiegato. Tali moduli non sono compatibili con la legislazione sulla protezione dei dati. Spetta soprattutto all’istituto di previdenza organizzare la procedura di affiliazione in modo che i datori di lavoro non abbiano accesso ai dati relativi alla salute dell’impiegato.

Vi è un’esigenza di disporre di dati relativi alla salute soprattutto nella procedura di affiliazione e, in seguito, nel caso di una prestazione. Gli istituti di previdenza possono acquisire da terzi dati relativi alla salute di un impiegato se sussiste un motivo giustificato ai sensi della legge sulla protezione dei dati. Questo è tuttavia ammesso soltanto nel settore sovraobbligatorio. 

In genere entra in linea di conto come motivo giustificato l’accordo dell’impiegato. Un tale accordo è in particolare necessario se un istituto di previdenza intende acquisire informazioni da un medico, poiché ai sensi del Codice penale i medici sottostanno al segreto professionale. La legge prevede inoltre che l’acquisizione di informazioni da un assicuratore sociale sia possibile soltanto con un accordo scritto.

Tuttavia, la clausola del consenso è valida solo se l’impiegato conosce la portata e l'estensione del consenso (principio di trasparenza). Ciò significa che il consenso deve indicare in modo chiaro e inequivocabile quali informazioni e da chi sono acquisite. Il principio di trasparenza si applica a maggior ragione quando si tratta di dati personali degni di particolare protezione, come quelli relativi alla salute. Le cosiddette «procure in bianco» non sono compatibili con la legge sulla protezione dei dati.

Ciò è consentito a determinate condizioni. Potete trovare maggiori informazioni qui:

Ciò è consentito a determinate condizioni. Potete trovare maggiori informazioni qui:

Per i titolari privati (aziende, associazioni, PMI, ecc.), la nomina di un consulente per la protezione dei dati è volontaria. 

No, la funzione di consulente per la protezione dei dati può essere svolta anche da più persone all'interno dell'azienda o da una persona giuridica. Tuttavia, devono essere soddisfatti i requisiti dell'Art. 10 LPD, in particolare deve essere un interlocutore funzionante.

Potete trovare informazioni al riguardo qui:

Le disposizioni penali riguardano principalmente le azioni (e le omissioni) dei responsabili. Il compito principale di un consulente per la protezione dei dati è quello di controllare e monitorare i processi di trattamento dei dati della sua organizzazione. Tuttavia, non deve avere autorità decisionale su tali processi, né essere responsabile di un sistema informativo. Non è quindi né colui che decide il trattamento dei dati né colui che lo esegue. A queste condizioni - purché siano rigorosamente rispettate - non è esposta a priori al rischio di un'azione penale. Inoltre, va sottolineato che la LPD punisce solo le violazioni intenzionali, a differenza della negligenza.
Tuttavia, l'IFPDT sottolinea che non è un'autorità di perseguimento penale e non sarà quindi suo compito decidere questa questione in un caso pratico.

Ulteriori informazioni sugli aspetti penali della LPD:

La risposta a questa domanda si trova qui:

La risposta a questa domanda si trova qui:

La risposta a questa domanda si trova qui:

La risposta a questa domanda si trova qui:

La risposta a questa domanda si trova qui:

La legge sulla protezione dei dati non protegge i dati in quanto tali, ma piuttosto le persone sulle quali i dati vengono elaborati.

Contiene norme giuridiche che servono a proteggere la personalità e l'autodeterminazione informativa e regola il trattamento dei dati personali da parte delle autorità federali o di persone fisiche o giuridiche (ad esempio associazioni o imprese commerciali). 

La legge federale sulla protezione dei dati è il testo fondamentale della legislazione federale in materia di protezione dei dati, ma anche in molti altri settori esistono disposizioni in materia di protezione dei dati che devono essere rispettate, ad esempio nelle leggi federali sulla sicurezza sociale o sulla polizia.

Informazioni sulla protezione dei dati sono disponibili anche nelle FAQ dell'Ufficio federale di giustizia:

I dati personali sono tutte le informazioni che si riferiscono a una persona fisica identificata o identificabile. 

Le informazioni che si riferiscono a persone giuridiche (ad esempio, a un'azienda nella forma giuridica di società per azioni) non sono più contemplate. Tuttavia, la loro protezione è ancora garantita da altre disposizioni dell'ordinamento giuridico, come il Codice civile e la Costituzione federale.

Informazioni sulla protezione dei dati sono disponibili anche nelle FAQ dell'Ufficio federale di giustizia:

Le copie di passaporti e/o carte d'identità che sono state raccolte, ad esempio per una domanda di alloggio, non devono essere conservate più a lungo del necessario, ossia devono essere distrutte non appena lo scopo per cui sono state richieste (di solito l'identificazione) è stato raggiunto. Ciò deriva dai principi di proporzionalità e di limitazione delle finalità.

No. Ogni persona può chiedere al titolare del trattamento se elabora dati personali che la concernono, senza dover dimostrare o rendere verosimile un interesse.

Il titolare del trattamento, cioè il privato o l’organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento. Se più titolari trattano congiuntamente dati personali, potete esercitare il vostro diritto d’accesso nei confronti di ognuno di loro. 

Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un terzo, il cosiddetto responsabile del trattamento. Quest’ultimo deve assistere il titolare nel fornire le informazioni, sempre che non risponda di persona alla richiesta.

Per quanto riguarda i dati personali concernenti la vostra salute, potete scegliere di farveli comunicare per il tramite di un professionista della salute da voi designato; a tale scopo è necessario il vostro consenso.

Siete legittimati a ricevere le informazioni necessarie per far valere i vostri diritti e per assicurare la trasparenza del trattamento.

In ogni caso vi devono essere fornite le informazioni seguenti: 

a. l’identità e i dati di contatto del titolare del trattamento; 

b. i dati personali trattati in quanto tali; 

c. lo scopo del trattamento; 

d. la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata; 

e. le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata; 

f. se del caso, l’esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione; 

g. se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all’articolo 19 capoverso 4 LPD.

La domanda va fatta per scritto; può essere fatta oralmente con il consenso del titolare del trattamento. Le informazioni vi devono essere comunicate per scritto o nella forma in cui i dati sono disponibili. D’intesa con il titolare potete consultare i vostri dati sul posto. Con il vostro consenso le informazioni possono esservi comunicate oralmente. La domanda di accesso e la comunicazione delle informazioni possono avvenire per via elettronica. Le informazioni vanno comunicate in una forma comprensibile. Il titolare del trattamento prende misure adeguate per identificarvi. Siete tenuti a cooperare.

Il titolare del trattamento deve inoltre garantire che durante la comunicazione i vostri dati siano protetti contro l’accesso di terzi non autorizzati.

Di norma il titolare del trattamento deve fornire le informazioni a titolo gratuito. Sono ammesse eccezioni, in particolare se la comunicazione richiede un onere sproporzionato: in tal caso può essere chiesta una partecipazione alle spese adeguata, ma al massimo pari a 300 franchi.

Se intende chiedere una partecipazione, il titolare del trattamento deve comunicarvi l’importo di quest’ultima prima di fornirvi le informazioni, dopodiché disponete di dieci giorni per decidere se ritirare la vostra domanda

Di norma le informazioni sono fornite entro 30 giorni dalla ricezione della domanda.

Se non può rispettare tale termine, il titolare del trattamento deve comunicarvelo, indicandovi il termine entro cui vi fornirà le informazioni.

Se rifiuta, limita o differisce l’informazione, il titolare deve comunicarvelo entro lo stesso termine.

Per legge avete diritto a un’informazione completa, cioè a conoscere tutti i dati contenuti nei registri che vi concernono. Se rifiuta, limita o differisce la comunicazione delle informazioni, il titolare del trattamento è tenuto a indicarvene i motivi. Se è un organo federale, è inoltre tenuto a emanare una decisione formale.

Se ritenete che il titolare del trattamento non abbia ottemperato al suo obbligo di informare, o vi abbia ottemperato soltanto in modo parziale, potete intraprendere i passi illustrati qui di seguito.

Se il titolare del trattamento è un organo federale, contro la sua decisione potete presentare ricorso presso il Tribunale amministrativo federale entro 30 giorni.Se il titolare del trattamento è un privato, potete avviare un procedimento giudiziario (azione civile) presso il giudice competente. Per statuire sulle azioni e pretese fondate sulla LPD è competente il giudice del domicilio o della sede di una delle due parti. Il giudice decide in procedura semplificata. Per le controversie relative al diritto di accesso secondo la LPD non sono addossate spese processuali. Potete rivolgervi di persona al giudice o incaricare un consulente legale.

Allegate copie della corrispondenza con il titolare del trattamento.

Per legge avete diritto a essere informati in modo completo e corretto sui dati che vi concernono e che sono oggetto di trattamento. Il titolare del trattamento può rifiutare, limitare o differire queste informazioni soltanto se una legge in senso formale lo prevede o se lo esige l’interesse preponderante di un terzo.

Un titolare del trattamento privato può inoltre rifiutare, limitare o differire l’informazione se lo esigono i suoi interessi preponderanti e a condizione che non comunichi i dati a terzi.

Se è invece un organo federale, il titolare può inoltre rifiutare, limitare o differire l’informazione se lo esige un interesse pubblico preponderante, in particolare la salvaguardia della sicurezza interna o esterna della Svizzera, o se l’informazione rischia di compromettere un’indagine, un’istruzione o un procedimento amministrativo o giudiziario. 

Se rifiuta, limita o differisce l’informazione per uno dei motivi menzionati, il titolare del trattamento deve comunicarvelo, indicando i motivi della decisione.

Le aziende e le altre organizzazioni di diritto privato con più di 250 dipendenti e gli organi federali devono tenere un elenco delle attività di trattamento.

Anche le piccole imprese e le organizzazioni di diritto privato, nonché le persone fisiche, devono tenere un registro del trattamento se trattano su larga scala dati personali che richiedono una protezione speciale o se viene effettuata una profilazione ad alto rischio. 

Attenzione: anche se un'azienda è esonerata dall'obbligo di tenere un registro dei trattamenti, si applicano comunque le altre disposizioni della legge sulla protezione dei dati, in particolare l'obbligo di fornire informazioni.

L'elenco dei responsabili deve riportare le seguenti informazioni:

• Operazione di trattamento - ad es. risorse umane, assistenza clienti, finanza, marketing....
• Finalità del trattamento - perché i dati sono necessari?
• Categorie di soggetti interessati - ad esempio clienti, dipendenti...
• Categorie di dati personali trattati - ad esempio, dati di indirizzo, dati di pagamento, immagini...
• Categorie di destinatari - ad es. agenzie pubblicitarie, hosting, recupero crediti...
• Divulgazione all'estero - a quali Paesi e - se necessario - con quali garanzie?
• Periodo di conservazione - per ogni operazione di trattamento
• Misure di sicurezza dei dati
  

Solo gli organi federali devono comunicare all'IFPDT i loro elenchi di elaborazione. A tal fine è disponibile il portale di segnalazione datareg:

Il GDPR non si applica direttamente in Svizzera. Tuttavia, potrebbe essere applicato specificamente alle aziende svizzere, tra l'altro, se trattano i dati di residenti nell'UE per offrire beni o servizi nell'UE, o se i dati sono utilizzati per monitorare il comportamento delle persone, ad esempio l'analisi dei dati dei visitatori di siti web o degli utenti di app dall'UE. Abbiamo pubblicato un documento dettagliato sul GDPR e sul suo impatto sulla Svizzera. Lo trovate a questo link:

Le società svizzere sono principalmente soggette al diritto svizzero e devono quindi rispettare la LPD.

La dichiarazione sulla protezione dei dati attua l'obbligo di informazione ai sensi dell'art. 19 LPD. Ulteriori informazioni sono disponibili qui:

La risposta a questa domanda si trova qui:

La revisione totale mira a rafforzare l'autodeterminazione delle persone interessate sui propri dati personali. Qui potete trovare una panoramica delle modifiche più importanti:

Dato che la fotografia di un collaboratore consente di trarre conclusioni p.es. circa la sua religione, l'appartenenza a una razza o una disabilità fisica, e, in generale, non è affatto necessaria, la sua riproduzione in Intranet o Internet è possibile soltanto con il consenso della persona interessata. Ciò vale anche per fotografie scattate in occasioni particolari (p. es. festeggiamenti natalizi, gite aziendali ecc.). In linea di massima, sarebbe opportuno valutare preventivamente se la pubblicazione di fotografie dei dipendenti è necessaria o meno ai fini dell'adempimento dei compiti.

Le valutazioni del personale sono rilevanti per il posto di lavoro e possono essere conservate nel dossier personale sia durante che dopo la fine del rapporto lavorativo. Il trattamento e la conservazione della valutazione è di grande interesse soprattutto per l'impiegato, poiché ha diritto a un certificato finale entro la scadenza del termine di prescrizione. Secondo la concezione predominante il termine di prescrizione è di 10 anni (art. 127 diritto delle obbligazioni CO). Questo significa che un certificato può essere impugnato per vie legali 10 anni dopo il suo rilascio da parte del datore di lavoro. Di regola nel redigere un attestato di lavoro entrano in questione solo le due ultime valutazioni dei collaboratori. Le valutazioni precedenti sono da rimuovere sistematicamente dal dossier personale e da distruggere.

Normalmente l'Ufficio del personale non ha bisogno della totalità della valutazione (profilo di personalità) per l'adempimento dei suoi affari ordinari. Per motivi di gestione dei salari è però autorizzato ad utilizzare il risultato finale di una valutazione dei collaboratori. Oltre a ciò può servirsi, in casi eccezionali e sulla base di obblighi particolari, di altre informazioni provenienti dal colloquio di qualifica, sempre che questo sia reso necessario da motivi organizzativi.

In linea di massima le valutazioni dei collaboratori devono quindi essere conservate in busta chiusa nel dossier personale.

Per quel che riguarda la gestione informatica delle valutazioni dei collaboratori, si consiglia il criptaggio dei formulari elettronici di qualifica tanto durante la trasmissione quanto nella corrispondente banca dati.

Sì. Il datore di lavoro può, ad esempio, emanare una disposizione che impone ai lavoratori l'impiego esclusivo del telefono e dell'e-mail per motivi professionali. Limitare la navigazione in Internet per scopi privati è possibile bloccando i siti indesiderati (indici di borsa, siti erotici ecc.) o stabilendo un periodo di tempo in cui la navigazione privata sia consentita (p. es. durante le pause o a partire dalle ore 18.00).

In quale modo il datore di lavoro può impedire, compatibilmente con i principi della protezione dei dati, che i suoi collaboratori abusino dei mezzi di comunicazione e d'informazione?

Principalmente mediante misure tecniche di protezione. La sicurezza tecnica assoluta non esiste, ma provvedimenti tecnici di protezione possono ridurre i rischi di abusi nell'impiego di Internet e della posta elettronica.

L'adozione di tali misure di protezione permette al datore di lavoro di neutralizzare precocemente eventuali pericoli per la sicurezza e la funzionalità del sistema elettronico. L'effetto preventivo di queste misure sostituisce ampiamente l'impiego di sistemi repressivi quali la sorveglianza. Tra le misure tecniche di protezione più importanti si annoverano le password e l'accesso protetto, i programmi antivirus e le limitazioni della memoria, i backup e le firewall. Inoltre, i programmi di navigazione e di posta elettronica devono essere installati secondo le tecniche più recenti, configurati in base a standard di sicurezza e aggiornati periodicamente

Il datore di lavoro non può leggere il contenuto di un messaggio di posta elettronica, contrassegnato come privato o riconoscibile come tale, anche se il regolamento che disciplina l'utilizzazione dell'e-mail ne vieta l'uso per scopi privati. Egli può controllare il rispetto di tale divieto, ma solo in base agli indirizzi dei destinatari. Il controllo sistematico dell'e-mail mediante programmi spia (content scanner) non è consentito.

Il datore di lavoro può predisporre un controllo del rendimento e dello svolgimento del lavoro. Tuttavia, l'analisi sistematica di e-mail professionali non contrassegnati espressamente come privati deve essere giustificata e proporzionata, nonché preventivamente comunicata ai dipendenti.

Il carattere privato di una lettera, di un pacchetto e di un e-mail è evidenziato da diversi elementi: la lettera, il pacchetto o l'e-mail può recare espressamente l'indicazione "privato" o essere riconoscibile come tale a partire dall'indirizzo. Non basta tuttavia che, sulla lettera, il nome di una persona preceda quello della ditta perché la stessa sia ritenuta privata. Vi deve essere la scritta esplicita: 'personale', 'privato', c/o ecc.. Comunque, nel caso in cui caratteristiche esterne facciano supporre che la lettera sia di natura privata (colore, formato ecc.), la stessa deve essere inoltrata, non aperta, alla persona interessata. In caso di dubbio, seguire la stessa procedura (eventualmente con un'annotazione).

In generale, riconoscere immediatamente la natura privata di un e-mail è più difficile. Anche in tal caso la regola è la seguente: in caso di dubbio non leggere la posta, poiché lo scambio di corrispondenza privata beneficia di una protezione illimitata (segreto postale), ma coinvolgere il destinatario chiedendogli se la corrispondenza in questione sia privata oppure no.

Quando un collaboratore lascia l'azienda, ha diritto di portare con sé tutti gli elementi privati della sua casella di posta elettronica (come pure tutti gli altri dati personali). I dati legati al lavoro, ancora necessari o in elaborazione, devono essere trasmessi al subentrante e al superiore competente. Alla fine dell'ultimo giorno di lavoro del dipendente, la sua casella viene vuotata e bloccata.

Nel caso di assenza prevedibile, il lavoratore può attivare un messaggio automatico di risposta che segnali la sua assenza a ogni messaggio in arrivo. È inoltre possibile definire una regola di trasmissione automatica che inoltri il messaggio alla persona che lo sostituisce. Questa soluzione è però problematica perché, in primo luogo, non si può escludere in assoluto che non vengano inoltrati anche messaggi privati e, in secondo luogo, il mittente non può impedire la ritrasmissione a terze persone.

Sarebbe più sensato, in tal caso, un avviso di assenza con l'indicazione dell'indirizzo e-mail del sostituto, lasciando così decidere al mittente se e a chi inviare il messaggio. Un altro aspetto da valutare è l'opportunità di completare un indirizzario e-mail riferito alle persone ([email protected]) con un indirizzario impersonale riferito alle funzioni ([email protected]). Quest'ultima soluzione offre diversi vantaggi: da un lato, fa emergere subito il carattere aziendale, non privato, dell'e-mail, mentre, dall'altro, impedisce che le fluttuazioni a livello di personale si ripercuotano negativamente sulla posta elettronica, dal momento che solo una determinata persona, ma non la sua funzione, viene a mancare all'interno dell'azienda.

La segreteria può aprire la posta aziendale. La posta privata, che un dipendente riceve sul posto di lavoro, gode di protezione illimitata. È pertanto necessario che il carattere privato di una lettera o di un pacchetto sia evidenziato.

Il carattere privato di una lettera o di un pacchetto è evidenziato da diversi elementi: la lettera o il pacchetto possono recare espressamente l'indicazione "privato" o essere riconoscibili come tali a partire dall'indirizzo (Mario Rossi c/o Ditta SA) . Non basta tuttavia che, sulla lettera, il nome della persona preceda quello della ditta perché la stessa sia ritenuta privata. Vi deve essere la scritta esplicita : 'personale', 'privato', c/o ecc.. Comunque, nel caso in cui caratteristiche esterne facciano supporre che la lettera sia di natura privata (colore, formato ecc.), la stessa deve essere inoltrata, non aperta, alla persona interessata. In caso di dubbio, seguire la stessa procedura (eventualmente con un'annotazione).

Il contenuto delle conversazioni telefoniche può essere registrato soltanto nel quadro di un controllo delle prestazioni o per motivi di sicurezza; questo provvedimento deve tuttavia rispettare i principi generali della protezione dei dati nonché l’articolo 26 dell’ordinanza 3 concernente la legge sul lavoro. Le persone interessate devono essere informate tempestivamente e in modo chiaro prima della registrazione; inoltre la sorveglianza non deve essere costante o sistematica. Un divieto di conversazioni private deve essere attuato mediante mezzi diversi dalla sorveglianza delle conversazioni telefoniche (p. es. chiamate esterne trasmesse da un centralino o rese possibili soltanto da determinati apparecchi).

I sistemi di sorveglianza e di controllo non possono essere istituiti allo scopo di controllare il comportamento del collaboratore sul posto di lavoro. Se tali sistemi sono necessari per altri motivi (controlli della produzione o controlli di sicurezza), essi devono essere configurati e predisposti in maniera tale da non compromettere la salute e la libertà di movimento dei collaboratori.

Sono diverse le problematiche con cui i datori di lavori si ritrovano confrontati quando si tratta dell’obbligo di conservare e cancellare dati personali non più necessari contenuti in dossier personali. In particolare, per quanto concerne la normativa sulla protezione dei dati, si pone soprattutto la questione riguardante il rispetto del principio di proporzionalità.

L’articolo 328b CO prevede che il datore di lavoro possa trattare dati personali concernenti il lavoratore soltanto in quanto si riferiscano all’idoneità lavorativa o siano necessari all’esecu-zione del contratto di lavoro (nesso con l’attività lavorativa). Tale disposizione ribadisce i principi generali del trattamento dei dati applicati ai rapporti lavorativi, facendo particolare riferimento ai principi di proporzionalità e di adeguatezza (art. 6 cpv. 2 e 3 LPD).

Il criterio della necessità, sancito dal CO e applicato ai rapporti lavorativi, così come i due principi summenzionati relativi alla normativa sulla protezione dei dati perseguono lo stesso obiettivo: il datore di lavoro può trattare soltanto i dati personali necessari, il che implica anche una loro cancellazione non appena questi non sono (più) necessari o quando lo scopo legato al loro trattamento è stato raggiunto.

Termine di conservazione dei dati

Il periodo durante il quale è consentito conservare i dati personali, vale a dire l’arco di tempo in cui tale conservazione rispetta i principi di proporzionalità e di adeguatezza ed è necessaria ai fini del rapporto lavorativo, è da definire anche sulla base degli obblighi civili e commerciali del datore di lavoro. In effetti la LPD non prevede un termine di conservazione dei dati perso¬nali, ma stabilisce soltanto i principi generali di cui tener conto per il loro trattamento. Per ogni categoria di dati occorre definire un determinato periodo di conservazione.

Prima dell’inizio di un rapporto lavorativo, ossia durante il processo di candidatura, il datore di lavoro può elaborare esclusivamente i dati personali dei candidati relativi alle loro qualifiche per la posizione in questione. Se il candidato non viene assunto, il datore di lavoro può conservare i dati relativi alla candidatura fino a un massimo di tre mesi dopo la notifica del rifiuto. Tale termine consente al datore di lavoro di difendersi e giustificare la propria scelta qualora nei suoi confronti sia promossa un’azione per mancata assunzione dovuta a motivi discriminatori ai sensi della legge federale sulla parità dei sessi (art. 8 cpv. 2 in combinato disposto con art. 5 cpv. 2 LPar). Un altro motivo che potrebbe giustificare una proroga di alcune settimana del termine di conservazione dei dati è un ritardo nella notifica della petizione da parte del giudice al datore di lavoro convenuto.

Durante e anche dopo la fine del rapporto lavorativo occorre tener conto dei vari obblighi del datore di lavoro, i quali dipendono altresì dal suo ambito di attività professionale.

In primo luogo il datore di lavoro è tenuto a rispettare determinati termini di conservazione definiti dal diritto del lavoro, come ad esempio:

• un termine di conservazione di 5 anni per i dati personali necessari all’adempimento dell’obbligo di versamento del salario, come le ore lavorative, le assenze per malattia, le vacanze, ecc. (art. 322 in combinato disposto con art. 128 CO); 
• un termine di conservazione di 10 anni per i dati personali necessari al rilascio del certificato di lavoro (art. 330a CO in combinato disposto con art. 127 CO).

Di norma il datore di lavoro è inoltre tenuto a osservare diversi obblighi generali di documen-tazione e conservazione, in particolare:

• un termine di conservazione di 10 anni per i dati personali necessari all’adempimento degli obblighi di tenere la contabilità (art. 958f CO), segnatamente i libri aziendali, i documenti contabili, le relazioni di gestione e di revisione;
• un termine di conservazione di 10 anni per i documenti necessari all’adempimento degli obblighi di diritto fiscale (art. 126 cpv. 3 LIFD). 

Alcuni ambiti di attività soggiacciono altresì a obblighi specifici al settore, come quelli di comunicazione, pubblicità e informazione (ai sensi della legge sul riciclaggio di denaro, della legge sulle banche, ecc.) e da cui possono derivare ulteriori termini di conservazione.

Forma della conservazione dei dati

La legge federale sulla protezione dei dati non impone obblighi particolari nemmeno per quanto riguarda la forma della conservazione (cartacea o digitale); per determinati ambiti la legge può tuttavia prevedere disposizioni speciali. Ad esempio, sulla base del diritto fiscale possono essere richiesti giustificativi in formato originale (cfr. art. 126 cpv. 2 LIFD). 

In merito ai termini di conservazione disciplinati dal diritto speciale, spetta al datore di lavoro decidere la forma di conservazione più adatta all’adempimento degli obblighi civili e commer-ciali (ad es. valutare il valore probatorio che i documenti conservati unicamente in formato digitale possono avere nell’ambito di eventuali controversie in materia di lavoro). Tali decisioni non sono però da prendere sulla base della normativa in materia di protezione dei dati, quanto a fronte di considerazioni di diritto contrattuale e procedurale. 

Il responsabile alla conservazione dei dati personali deve in ogni caso assicurarsi che i principi relativi alla protezione dei dati siano rispettati e che siano garantiti i diritti (d’accesso, di rettifica e di cancellazione) degli interessati. È di particolare importanza attenersi rigorosamente al principio della sicurezza dei dati, soprattutto qualora sia stato deciso di conservare i dati in un dossier personale (esclusivamente) digitale. L’osservanza di determinate misure tecnico-organizzative permette infatti di proteggere i dati personali da accessi non autorizzati (come succede ad es. nel caso di un attacco hacker).

La risposta a questa domanda si trova qui:

Le immagini di altre persone possono essere pubblicate solo con il permesso della persona ritratta. Ulteriori informazioni sono disponibili qui:

Le immagini di altre persone possono essere pubblicate solo con il permesso della persona ritratta. Ulteriori informazioni sono disponibili qui:

È possibile richiedere la rimozione delle immagini o dei video. Ulteriori informazioni sono disponibili qui:

La risposta a questa domanda si trova qui:

La risposta a questa domanda si trova qui:

La risposta a questa domanda si trova qui:

L'utente ha diritto di accesso al titolare del trattamento sulla base dell'art. 25 della FADP. Il responsabile del trattamento deve fornirvi le informazioni disponibili sull'origine dei dati personali. Se il responsabile del trattamento si rifiuta di fornire informazioni, potete far valere il vostro diritto presso il tribunale civile. Ulteriori informazioni sono disponibili qui.

Il regolamento per il trattamento - da non confondere con l'elenco dei trattamenti - deve essere redatto dai responsabili privati del trattamento se effettuano trattamenti automatizzati di dati personali che richiedono una protezione speciale su larga scala o se effettuano profilazioni ad alto rischio.

Il regolamento (sotto forma di manuale o di documentazione) fornisce informazioni sull'organizzazione interna, ad esempio la descrizione dell'architettura del sistema; sulle procedure di trattamento dei dati, in particolare sulla divulgazione dei dati e sull'esercizio del diritto all'informazione; sulle procedure di controllo (autorizzazioni) e sulle misure di sicurezza tecnica e organizzativa dei dati.

Potete trovare la risposta alla vostra domanda qui:

Sì. La legge sulla protezione dei dati vale per tutte le cartelle cliniche redatte da cliniche e medici privati. Gli ospedali considerati organi federali ai sensi della LPD sottostanno parimenti alla legislazione federale sulla protezione dei dati ( p. es. la clinica INSAI a Bellikon). Per le cartelle cliniche tenute da ospedali con mandato di prestazione cantonale (ad esempio cantonali) si applica la relativa legge cantonale.

Sì. Ai sensi della legge sulla protezione dei dati la cartella clinica rappresenta una collezione di dati. Conformemente al diritto d’accesso sancito in tale legge, può richiedere in qualsiasi momento di accedere ai dati che la concernono. A tal fine deve presentare una richiesta scritta e dimostrare la propria identità (copia di un documento d’identità ufficiale). Il suo medico o l’ospedale dovrà quindi inviarle le copie dell’intera cartella clinica o delle parti di essa che ha richiesto. La cartella clinica comprende tutti i documenti relativi al trattamento, tra cui radiografie, ECG, referti, corrispondenza, ecc.

Se entrambe le parti sono d’accordo, è anche possibile organizzare una consultazione in loco. Ciò può essere particolarmente utile se la cartella clinica è molto voluminosa o se sono necessarie ulteriori spiegazioni da parte del medico (p. es. spiegazione di termini tecnici).

Il diritto di accesso può essere fatto valere anche per le cartelle cliniche già archiviate.

Le annotazioni personali del medico non rientrano nell'ambito del diritto alle informazioni. Tuttavia si tratta solo delle osservazioni personali che il medico redige ad uso personale e che non servono per il trattamento, come ad esempio gli espedienti mnemonici. Le informazioni necessarie al trattamento che vengono consultate ed utilizzate, ad esempio, anche dal personale assistente, fanno parte della cartella clinica e rientrano nell'ambito del diritto alle informazioni.

La LPD non prevede il diritto esplicito alla consegna della documentazione originale contenuta nella cartella clinica. Se tale diritto possa essere dedotto da altre disposizioni normative o dal rapporto medico-paziente è una questione controversa.

Occorre inoltre rilevare che alcune disposizioni legislative cantonali vincolano espressamente il medico a conservare gli originali. Durante il periodo, previsto per legge, in cui gli originali devono essere conservati (di solito 20 anni), il paziente può ricevere soltanto delle copie dei documenti che lo concernono. In quest'arco di tempo una cancellazione completa della cartella clinica non è possibile. Il paziente non può neanche liberare il medico dall'obbligo legale di conservare la cartella clinica, anche se si dichiara disposto a rinunciare a eventuali pretese derivanti dal rapporto medico-paziente.

In linea di principio le informazioni sono gratuite. Solo in casi eccezionali è possibile chiedere una partecipazione alle spese, ad esempio quando per fornirle è stato necessario un lavoro eccezionale, non limitato solo alle fotocopie, alla stampa ed alla spedizione. In ogni caso, la partecipazione alle spese non può superare i 300.- franchi e deve essere motivata. Il paziente deve esserne informato anticipatamente, in modo che possa ritirare la propria domanda o modificarla (ad esempio limitarla ad un periodo ben preciso o a determinati documenti).

No. Il diritto alle informazioni può esser fatto valere in ogni momento e senza addurre motivi. Tuttavia, può essere utile precisare nella richiesta, in che contesto Le servono le informazioni.

Ha la possibilità di far valere il proprio diritto per via legale. A tal fine, nei confronti di cliniche private e di medici privati deve intentare una causa presso il tribunale civile. Può farlo presso il tribunale del Suo luogo di domicilio o presso quello del luogo in cui si trova lo studio del medico o la sede dell'ospedale. Nei confronti di organi della Confederazione come la clinica INSAI di Bellikon il diritto di informazione si conforma alla legge sulla procedura amministrativa. Per le domande di informazione agli ospedali cantonali è applicabile la legislazione cantonale.

La legge sulla protezione dei dati non stabilisce un determinato periodo di conservazione. Il principio della proporzionalità vuole che i dati che non servono più vengano distrutti. Nella prassi, la regola prevede un periodo di conservazione di 20 anni. In signoli casi è possibile un periodo più breve o più lungo. In alcuni Cantoni le leggi in materia di sanità stabiliscono periodi ben precisi.

Un medico ha il permesso di trasmettere i dati del paziente quando ha l'approvazione di quest'ultimo, quando l'autorità competente lo dispensa dall'obbligo del segreto professionale o quando la consegna dei dati è prevista per legge.

Sì. Per poter trasmettere le informazioni a colleghi, il dottore deve ricevere il consenso del paziente. Ad esempio, un dottore al quale chiedete un secondo parere non ha il diritto di informare il medico responsabile del trattamento senza il Suo previo accordo. Il fatto che il medico che riceve le informazioni è anch'esso tenuto al segreto professionale relativo ai pazienti non modifica questo principio. Se il paziente è seguito da un'équipe di medici, si presuppone un tacito consenso allo scambio di informazioni all'interno del gruppo.

Sì. In caso di assenza provocata da una malattia o da un incidente, il datore di lavoro può chiedere che il dipendente venga visitato dal medico di fiducia dell'azienda (il medico azienale). Quest'ultimo è vincolato dal segreto professionale, anche nei confronti del datore di lavoro cui non può comunicare altro che la diagnosi fornendo solo le informazioni necessarie per gestire il rapporto di servizio. In genere, si tratta di confermare se il dipendente è o meno in grado di lavorare (ad esempio, se può lavorare a tempo pieno o parziale a causa della malattia o dell'incidente e quanto tempo durerà probabilmente l'assenza, o informazioni simili). Invece, il medico non può fornire dati senza il previo consenso del dipendente, soprattutto per quanto riguarda informazioni sulla diagnosi.

Sì. Anche il medico di fiducia della cassa malati nonché il suo personale ausiliario sono tenuti al segreto professionale. Il medico ha il permesso di comunicare all'ufficio competente dell'amministrazione solo le sue conclusioni, affinché la cassa possa decidere in merito all'obbligo di fornire le prestazioni.

Anche i dipendenti delle casse malati sono tenuti al segreto professionale. Per questa categoria di impiegati vale l'obbligo del segreto ai sensi della legge, come disciplinato nella parte generale del diritto delle assicurazioni sociali. Il dipendente che lavora direttamente per il medico di fiducia è considerato il suo assistente ed è tenuto in conseguenza al segreto professionale.

No. L'obbligo di serbare il segreto comprende l'obbligo dei medici di mantenere segrete le informazioni ricevute nell'ambito della loro attività professionale o di cui sono venuti a conoscenza nell'esercizio della loro professione. I dati dei pazienti possono essere comunicati a terzi solo se il paziente esenta il medico dall'obbligo di serbare il segreto o se una legge lo consente. Questo vale anche per un datore di lavoro nei confronti di un lavoratore malato.

Sì, ma solo se si tratta di premi per l'assicurazione di base e se l'ufficio competente ha rilasciato un attestato di carenza di beni. Alcune disposizioni cantonali possono prevedere che la notifica può avvenire già prima di arrivare a questa situazione.

Sì, ma deve informarne i pazienti e chiedere il loro consenso. Il consenso è necessario perché per compilare la fattura la cassa deve ricevere informazioni su dati medici che sottostanno al segreto professionale.

In molti gabinetti medici e dentistici si ha oggi l'abitudine di sottoporre ai pazienti, più o meno regolarmente (per es. una volta all'anno o in occasione della prima visita), un questionario in cui si richiedono, in parte, informazioni dettagliate (per es. dati personali, datore di lavoro, assicurazione, particolari sulle condizioni di salute).

La raccolta di queste informazioni costituisce trattamento di dati. Si devono quindi osservare, in sostanza, i principi di base della protezione dei dati, fra cui quello della proporzionalità. In virtù di tale principio si possono acquisire esclusivamente dati che non solo sono necessari ma anche commisurati al fine da raggiungere.

Essendo le informazioni contenute nel questionario raccolte sistematicamente presso tutti i pazienti, possono essere richieste solo quelle di cui il medico/dentista deve disporre nell'ambito del trattamento ordinario. Il paziente non è tenuto a rispondere a domande che considera inappropriate. Chiedete al medico di giustificare l'utilità delle singole domande - o dell'intero formulario!

Per i questionari all'intenzione dei pazienti valgono i principi di base qui appresso:

• Vale comunque il principio della proporzionalità; il medico/dentista può chiedere solo le informazioni che, a priori, possono essere rilevanti ai fini del trattamento. Non sono rilevanti, per esempio, dati concernenti il datore di lavoro, il numero AVS, il nome/ la professione del partner, lo stato civile e l'assicurazione, nella misura in cui l'onorario è pagato direttamente dal paziente (com'è spesso il caso per le fatture del dentista);
• non sono ammessi i consensi a carattere generale con i quali il paziente proscioglie, anticipatamente e senza riserve, il medico/dentista dal dovere del segreto professionale
• sono per contro ammesse, in questo ambito, dichiarazioni di consenso formulate concretamente; il consenso del paziente è necessario, per esempio, per il trasferimento della fattura a una cassa medica. Lo stesso dicasi anche per il consenso alla comunicazione dei dati a fini di esecuzione (cfr. FAQ "Fatture del medico e per i premi").

Va notato che, in determinati casi, alcune domande che sarebbero inappropriate nell'ambito questionario, possono essere giustificate. Il medico tuttavia deve motivare la necessità al paziente.

Esempio:
La presenza di un'infezione HIV non figura fra le informazioni generali di cui il dentista deve disporre nell'ambito del trattamento ordinario. Questa domanda non può quindi essere posta sistematicamente a tutti i pazienti.

In certi casi, invece, tale domanda può essere legittimamente posta, o addirittura deve essere posta. Per esempio, allorché nell'ambito di un determinato trattamento insorge un rischio di contagio per il dentista, oppure allorché al paziente deve essere prescritto un farmaco che non può essere assunto insieme ad altri medicinali (farmaci anti-HIV).

Il mio medico/fisioterapista/dentista/altro mi chiede di firmare una dichiarazione di consenso. Perché  mi sta presentando questo documento? 

Per trattare i nostri dati sanitari nell’ambito di una terapia o di un controllo i professionisti della salute hanno il dovere di informare il paziente e possono richiedere determinati consensi. Ai sensi dell articolo 19 LPD, devono informare i pazienti in particolare sulle finalità del trattamento dei dati e sulle comunicazioni di dati previste (p. es. comunicazione a un altro medico, a una società di fatturazione ecc.). 

In questo ambito, le regole della LPD sono spesso affiancatenda quelle del segreto professionale du cui all’articolo 321 del Codice penale (CP) al quale sono soggette numerose professioni sanitarie: tale segreto implica che, di norma, il professionista non può trasmettere a un terzo informazioni su un paziente senza il consenso di quest’ultimo. (Per maggiori informazione si può consultare l'articolo sul nostro sito Comunicazione di dati del paziente.)

Varie organizzazioni (in particolare la FMH e la Cassa dei medici) hanno preparato un modello di dichiarazione di consenso per i propri membri e partner. Questi moduli hanno in genere un duplice scopo: da un lato, informano il paziente sul trattamento dei loro dati, come richiesto dall’articolo 19 LPD; dall’altro, consentono al professionista di ottenere il consenso del paziente, alorché questo richiesto. Va notato che, per legge, né l’informazione né il consenso richiedono la forma scritta, che tuttavia è spesso privilegiata per motivi documentali e di prova. Firmando quel documento, il paziente attesta quindi di essere stato informato e di acconsentire al trattamento dei propri dati nella misura descritta. 

Il modulo deve comportare un certo grado di precisione: il paziente deve potersi immaginare ciò a cui acconsente. Questo vale in particolar modo rispetto al segreto professionale sancito all’articolo 321 CP: se il modulo prevede già situazioni in cui il professionista intende trasmettere i dati a un terzo (p. es.  se il medico contempla di ricorrere a un terzo per la fatturazione), tali situazioni devono essere descritte in modo sufficientemente preciso affinché il paziente possa acconsentire ai trattamenti di dati previsti.

Sempre in relazione al segreto professionale di cui all’articolo 321 CP occorre ancora ricordare che talvolta la legge stessa autorizza od obbliga il professionista a comunicare dati (art. 321 cpv. 3 CP; p. es. avvisare l’autorità di protezione dei minori quando un minore sembra essere in pericolo [art. 314c codice civile, CC]; annuncio di una diagnosi di malattia trasmissibile [art. 12 della legge sulle epidemie, LEp] ecc.). 

Il paziente è libero di firmare o meno il modulo. Non è tenuto ad accettare dei trattamenti di dati che reputa inappropriato e può quindi rifiutarle. Occorre tuttavia essere consapevoli che il professionista può avere un interesse legittimo a richiedere determinati consensi per esercitare la propria attività e che può desiderare un documento scritto che attesti che l’informazione è stata fornita. Inoltre, il rifiuto di firmare o l'eliminazione di talune clausole legittime può portare il professionista a rifiutare - in modo giustificato o meno - il trattamento di dati a causa dell’incertezza giuridica in cui potrebbe trovarsi. Di conseguenza, se elementi del modulo non sono chiari o sembrano eccessivi oppure se rimangono domande, occorre discuterne con la persona che ha consegnato tale modulo. 

Va inoltre ricordato che il consenso è in linea di principio revocabile per il futuro. 

Ai sensi dell'art. 24 della LPD, sussiste l'obbligo di notifica se la violazione dei dati verificatasi può comportare un rischio elevato per la personalità o i diritti fondamentali dell'interessato.  In qualità di responsabile, potete effettuare la notifica qui:

Qui potete trovare consigli utili:

A determinate condizioni, ciò è consentito. Ulteriori informazioni sono disponibili qui:

Qui troverete le istruzioni necessarie per l'installazione di una videocamera:

La partecipazione a progetti di ricerca o a studi è sempre volontaria. Il fatto di non partecipare non può causarle svantaggi. Il Suo consenso ad un progetto di questo tipo dovrebbe essere accordato per iscritto ed è valido solo se ha ricevuto in anticipo informazioni sufficienti sullo scopo del progetto e sull'elaborazione dei dati prevista. In genere le informazioni vengono fornite per mezzo di fogli o durante colloqui. Lei può ritirare il Suo consenso alla partecipazione a progetti di ricerca ed a studi quando vuole. In questo caso, i Suoi dati dovrebbero essere cancellati automaticamente. Per sicurezza, può chiedere una conferma dell'avvenuta cancellazione. Ha il diritto di ricevere informazioni ai sensi della legge anche nell'ambito di progetti di ricerca e di studi.

Se utilizzate clausole contrattuali standard riconosciute dall'IFPDT, ad esempio quelle della Commissione europea (decisione di esecuzione (UE) 2021/914), non siete tenuti a comunicarlo all'IFPDT. Se desiderate utilizzare clausole contrattuali standard proprie o non riconosciute in precedenza, queste devono essere preventivamente approvate dall'IFPDT. La decisione di approvazione viene emessa in una sentenza impugnabile; non è possibile effettuare alcun trasferimento all'estero prima.

Sì, l'FDPIC ha riconosciuto le clausole contrattuali standard della Commissione europea (Decisione di esecuzione (UE) 2021/914 della Commissione, del 4 giugno 2021, relativa alle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio) nella sua comunicazione del 27.08.2021.

L'elenco è riportato nell'Allegato 1 OPDa:

L'art. 22 comma 1 della LPD stabilisce i requisiti in materia. Ulteriori informazioni sono disponibili qui:

L'art. 23 comma 1 della LPD stabilisce i requisiti a questo proposito. Ulteriori informazioni sono disponibili qui:

L'obbligo di verbalizzazione è previsto dall'art. 4 OPDa.