DATA ULTIMO BU CON MODIFICHE
19.04.2024
(Bollettino ufficiale 13/2024)
>

51

163.110

< >
 : R di applicazione alla L cantonale sulla protezione dei dati personali del 9 marzo 1987 (RLPDP) - 6 dicembre 2000

 

Regolamento

di applicazione alla legge cantonale sulla protezione dei dati personali

(RLPDP)

(del 6 dicembre 2000)

 

IL CONSIGLIO DI STATO

DELLA REPUBBLICA E CANTONE TICINO

decreta:

Titolo I

Norme generali

 

Art. 1[1]

 

Definizioni

Banca dati

Art. 2[2]1La banca dati o banca di dati personali è un archivio o un insieme di archivi di dati personali elaborati in forma elettronica o informatizzata da uno o più organi.

2Alla banca dati  si applicano per analogia le norme sugli archivi di dati personali, riservate specifiche esigenze di sicurezza.

 

Copie di archivi

Art. 3Sono considerate copie o strumenti di lavoro ai sensi dell’art. 19 cpv. 3 lett. c) della legge, le raccolte di dati personali che contengono la totalità o una parte di un archivio di dati personali già notificato nel Registro centrale o che servono esclusivamente alla semplificazione del lavoro.

 

Titolo II

Principi per l’elaborazione dei dati personali

 

Liceità

Art. 41L’organo responsabile:

a)verifica d’ufficio la liceità di ogni elaborazione di dati personali;

b)controlla che la raccolta sia organizzata in modo da rispettare i diritti della persona interessata, in particolare il diritto d’informazione e il diritto di rettifica.

2Al fine di garantire il rispetto delle disposizioni in materia di protezione dati, l’organo responsabile comunica all’Incaricato cantonale della protezione dei dati (in seguito: Incaricato), nella sua qualità di autorità cantonale di vigilanza e controllo, l’intenzione di procedere ad un’elaborazione sistematica di dati personali.[3]

 

Elaborazione da parte di più organi

Art. 5[4]L’utilizzazione da parte di più organi responsabili di una banca di dati personali oppure l’elaborazione da parte di un organo dei dati personali contenuti nell’archivio di dati di un altro organo responsabile, è sottoposta al preavviso dell’Incaricato.

 

Raccolta dei dati

(art. 9 LPDP) Eccezioni

Art. 6Le eccezioni all’art. 9 cpv. 1 della legge sono ammesse se la raccolta è necessaria per l’adempimento di un mandato conferito ad un’Autorità giudiziaria o amministrativa.

 

 

 

Obbligo di informazione

Art. 7L’organo responsabile deve informare la persona interessata se i dati personali che la concernono sono utilizzati per uno scopo diverso da quello originario.

 

Trasmissione di dati personali

(art. 10 e segg. LPDP)

Art. 81L’organo responsabile verifica d’ufficio la compatibilità degli scopi della propria elaborazione con quelli del destinatario della trasmissione.

2In caso d’incompatibilità l’organo responsabile ne dà immediata comunicazione all’Incaricato.[5]

 

Trasmissione a persone od organizzazioni private

Istanza e procedura

Art. 91L’organo responsabile decide su istanza la trasmissione di dati personali a persone od organizzazioni private.

2In caso di richiesta di trasmissione sistematica o periodica di dati personali, l’istanza deve contenere:

a)le indicazioni concernenti il richiedente;

b)il tipo di dati oggetto della trasmissione;

c)lo scopo per il quale i dati verranno utilizzati.

 

Convenzione

Art. 101La trasmissione di dati personali deve essere preceduta dalla stipulazione di una convenzione tra l’organo responsabile, proprietario dei dati, e il richiedente.

2La convenzione deve indicare:

a)la base legale;

b)l’elenco dei dati personali soggetti alla trasmissione;

c)l’origine dei dati personali;

d)l’obbligo per il richiedente di garantire alla persona interessata il diritto d’accesso e le informazioni relative all’origine dei dati;

e)le misure di sicurezza incombenti al richiedente;

f)la riserva, a favore dell’Incaricato, di poter controllare in ogni momento l’utilizzazione dei dati trasmessi;[6]

g)l’obbligo per il richiedente di ossequiare i principi della legislazione in materia di protezione dei dati;

h)le spese a carico del richiedente;

i)l’importo della pena convenzionale che verrà applicata in caso di violazione degli obblighi da parte del richiedente.

3Se la trasmissione di dati personali è periodica, la convenzione deve pure contenere la frequenza della trasmissione e il riferimento all’ultimo aggiornamento dei dati.

 

Trasmissione di dati per indirizzari

e pubblicazioni similari

(art. 11 cpv. 4 LPDP)

Art. 111Le trasmissioni di dati personali in vista dell’allestimento d’indirizzari e pubblicazioni similari devono fare oggetto di una convenzione.

2Possono essere trasmessi il nome, il cognome e l’indirizzo.

 

Tramite l’ufficio controllo abitanti

(art. 12 LPDP)

Art. 121La trasmissione di dati personali, ai sensi dell’art. 12 della legge, è sottoposta all’obbligo della convenzione se, cumulativamente:

a)è periodica;

b)i dati sono elaborati in ordine sistematico.

2Tutte le richieste e le relative decisioni dell’Autorità comunale dovranno essere conservate a disposizione dell’Incaricato per una durata di cinque anni.[7]

 

Trasmissione all’estero (art. 14a LPDP)

Obbligo di informare

Art. 12a[8]1L’organo responsabile che intende trasmettere dati personali all’estero deve rispettare i principi generali della LPDP e accertarsi preventivamente dell’adeguatezza della protezione dei dati nello Stato di destinazione.

2Prima della trasmissione all’estero, esso informa l’Incaricato sulle garanzie e sulle regole di protezione dei dati ai sensi dell’art. 14a cpv. 2 lett. a LPDP.

3L’obbligo di informare è considerato adempito se i dati sono trasmessi mediante contratto modello o clausole standard allestiti o riconosciuti dall’Incaricato e se l’organo responsabile informa in modo generale l’Incaricato dell’impiego di tali contratti modello o clausole standard.

4L’Incaricato pubblica un elenco di tali contratti modello o clausole standard.

5L’organo responsabile può applicare anche altre garanzie, quali una convezione specifica di protezione dei dati o clausole contenute in altri contratti; queste garanzie speciali devono assicurare un livello di protezione adeguato.

6L’organo responsabile prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati.

7L’Incaricato esamina le garanzie e le regole sulla protezione dei dati che gli sono state comunicate (art. 14 cpv. 2 LPDP) e comunica il risultato del suo esame all’organo responsabile entro 30 giorni dalla ricezione dell’informazione.

 

Stati che adempiono il requisito di adeguatezza

Art. 12b[9]1Per valutare l’adeguatezza della protezione dei dati in vista di una trasmissione all’estero, l’organo responsabile può fondarsi sull’elenco, pubblicato e aggiornato dalle autorità federali, degli Stati che dispongono di una legislazione che assicura una protezione dei dati adeguata.

2L’Incaricato cura e coordina la necessaria informazione.

 

Trasmissione dei dati a fini statistici

(art. 15 LPDP)

Art. 131La trasmissione di dati personali a persone o servizi che elaborano statistiche o a istituti di ricerca deve essere sottoposta alla stipulazione di una convenzione.

2L’organo responsabile accerta che:

a)nessuna norma ne escluda la trasmissione;

b)i dati personali siano elaborati in modo da rendere quanto più difficile l’identificazione di una determinata persona.

 

Sicurezza (art. 17 LPDP)

Art. 141L’organo responsabile prende tutte le misure idonee a garantire la sicurezza dei dati in funzione del tipo di dati elaborati (neutri o sensibili).

2L’Incaricato può controllare in ogni momento l’efficacia delle misure di sicurezza ed emanare le istruzioni per il loro potenziamento.[10]

 

Titolo III

Norme per gli archivi di dati

 

Registro dell’organo responsabile (art. 19 LPDP)

Art. 15[11]L’organo responsabile comunica all’Incaricato ogni costituzione, distruzione o modifica di archivi di dati personali.

 

Registro centrale (art. 20 LPDP)

Art. 161Il Registro centrale contiene le indicazioni sulla denominazione dell’archivio, sull’organo responsabile, sul tipo d’elaborazione, sulla base legale e sulla natura dei dati.

2Esso è pubblico e può essere consultato in ogni momento presso l’Incaricato.

3L’Incaricato pubblica sul Foglio Ufficiale la costituzione e gli aggiornamenti del Registro centrale.[12]

 

Titolo IV

Diritti della persona interessata

 

Consultazione dei registri (art. 22 LPDP)

Art. 17Il Registro centrale e il Registro dell’organo responsabile possono essere consultati liberamente.

 

Informazione (art. 23 LPDP)

Art. 181Chi intende ottenere delle informazioni dall’organo responsabile deve provare la propria identità.

2L’organo responsabile informa, immediatamente o entro breve termine, la persona interessata su:

a)i dati che la concernono disponibili nell’archivio;

b)la base legale, lo scopo dell’elaborazione, gli organi partecipanti e i destinatari regolari.

3L’informazione è data in forma scritta e, se richiesta, verbalmente, oppure, se i mezzi tecnici lo permettono, con la consultazione diretta.

 

Limitazioni (art. 24 LPDP)

Art. 191La limitazione della consultazione degli archivi è motivata nella forma scritta.[13]

2Sono riservate le disposizioni speciali in materia di dati sanitari.

 

Rettifica (art. 25 LPDP)

Art. 20La rettifica è notificata a tutti i destinatari regolari dei dati personali.

 

Titolo V

Vigilanza, rimedi giuridici e sanzioni[14]

 

Incaricato cantonale della protezione dei dati

(art. 30 segg. LPDP)

Organizzazione[15]

Art. 21[16]Nell’esercizio delle sue mansioni, l’Incaricato procede per il tramite del Servizio per la protezione dei dati, di cui egli è il responsabile.

 

Commissione cantonale per la protezione dei dati

(art. 31 segg. LPDP)[17]

Art. 22[18]1La Commissione cantonale per la protezione dei dati adotta un proprio regolamento concernente l’organizzazione, il funzionamento e la procedura.

2Il regolamento è pubblicato nel Bollettino Ufficiale delle leggi e degli atti esecutivi.

 

Art. 23[19]

 

Autorità di vigilanza comunali (art. 31b LPDP)

Regolamento comunale e nomina[20]

Art. 24[21]1I comuni possono prevedere nel proprio regolamento l’istituzione di un Servizio comunale per la protezione dei dati nominando ogni quadriennio un Incaricato comunale della protezione dei dati (in seguito: Incaricato comunale).

2All’Incaricato comunale sono attribuite, per il territorio comunale, le competenze di cui all’art. 30 lett. a), b), c), d), e), f) della legge.

3L’Incaricato comunale adempie la missione in modo autonomo e indipendente. Dal comune gli sono attribuite risorse adeguate.

4L’Incaricato comunale collabora, nella misura necessaria allo svolgimento dei propri compiti, con l’Incaricato cantonale, in particolare scambiando con lui ogni informazione utile.

 

Approvazione della regolamentazione comunale

Art. 25[22]L’Incaricato cantonale preavvisa al Consiglio di Stato l’approvazione della normativa comunale in materia di protezione dei dati personali.

 

Comunicazione delle nomine

Art. 26[23]Il Municipio comunica all’Incaricato cantonale il nominativo della persona nominata quale Incaricato comunale.

 

Registro comunale

Art. 27[24]L’Incaricato comunale trasmette all’Incaricato cantonale copia del Registro comunale degli archivi dei dati personali e i relativi aggiornamenti.

 

TITOLO VI

Norme finali e transitorie

 

Norma transitoria

Art. 28I comuni sono tenuti a modificare, se necessario, i regolamenti comunali entro due anni dall’entrata in vigore del presente regolamento.

 

Norma abrogativa

Art. 29È abrogato il Regolamento di applicazione della legge sulla protezione dei dati del 5 luglio 1990.

 

Entrata in vigore

Art. 30Il presente regolamento è pubblicato nel Bollettino ufficiale delle leggi e degli atti esecutivi ed entra in vigore il 1. gennaio 2001.

 

 

 

 

Pubblicato nel BU 2000, 386.

 

 

[1]  Art. abrogato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[2]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[3]  Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[4]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[5]  Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[6]  Lett. modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[7]  Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[8]  Art. introdotto dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[9]  Art. introdotto dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[10]  Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[11]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[12]  Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[13]  Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[14]  Sottotitolo modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[15]  Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[16]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[17]  Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[18]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[19]  Art. abrogato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[20]  Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[21]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[22]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[23]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

[24]  Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.