Mercato del lavoro / Assicurazione contro ladisoccupazione ( TC)Servizio giuridico( TCJD) Guida al trattamento dei dati personali negli ambiti della LADI e della LC (GPD LADI & LC) 2ª edizione 1° gennaio 2022
Mercato del lavoro / Assicurazione contro la disoccupazione ( TC) Servizio giuridico ( TCJD) | Guida al trattamento dei dati personali negli ambiti della LADI e della LC (GPD LADI & LC) 2ª edizione 1° gennaio 2022 |
L’ufficio di compensazione dell’assicurazione contro la disoccupazione (di seguito: SECO-TC), in quanto autorità di vigilanza, deve garantire un’applicazione uniforme del diritto e fornire istruzioni in questo senso agli organi d’esecuzione (art. 110 LADI).
La presente Guida alla protezione dei dati personali è intesa come un’opera di riferimento e mira a coadiuvare gli organi d’esecuzione nella risoluzione di questioni legate alla protezione dei dati in ambito dell’applicazione della LADI e della LC.
La Guida viene pubblicata su xxx.xxxxxx.xxxxx e in TCNet. Eventuali domande o suggerimenti possono essere rivolti a xxxx@xxxx.xxxxx.xx.
Citazione: GPD LADI & LC 1.
Teniamo inoltre a precisare che il 25 maggio 2018 è entrato in vigore il nuovo regolamento europeo sulla protezione dei dati (GDPR), che si applica direttamente a tutte le aziende svizzere attive nell’UE. Il testo del regolamento e ulteriori informazioni sui suoi effetti in Svizzera sono disponibili sul sito dell’Incaricato federale alla protezione dei dati (Nuova regolamentazione dell’UE sulla protezione dei dati (xxxxx.xx)).
SECO – TC
0
0
0
PRINCIPI GENERALI E DEFINIZIONI
0
Scopo della protezione dei dati 0
Incaricato cantonale della protezione dei dati 0
Trattamento dei dati personali 1
3
6
Accesso ai sistemi d’informazione gestiti dall’ufficio di compensazione 6
Raccolta e trattamento dei dati personali 7
Diritto d’accesso ai propri dati 9
Diritto d’accesso nell’ambito dell’assicurazione contro la disoccupazione 9
Organo competente per l’informazione alla persona interessata 10
Organo competente per il trattamento delle richieste d’accesso 10
Oggetto del diritto d’accesso 10
Assistenza giudiziaria e amministrativa 11
Comunicazione alle autorità su richiesta scritta e motivata 12
(art. 97a cpv. 1 lett. f LADI; 34a cpv. 1 LC) 12
Pubblicazione (art. 97a cpv. 3 LADI; art. 34a cpv. 3 LC) 13
Comunicazione di dati all’estero (art. 6 LPD) 14
Comunicazione di dati tra Svizzera e Stati UE / AELS 14
TRATTAMENTO DEI DATI PER SCOPI DI RICERCA, PIANIFICAZIONE E STATISTICA (PRIVILEGIO DI RICERCA) 15
Ufficio di compensazione dell’AD e casse di disoccupazione private 15
Organi cantonali d’esecuzione 15
MODALITÀ DI COMUNICAZIONE E SPESE
16
Diagramma di flusso per la comunicazione di dati 17
Panoramica: comunicazione di dati giusta la LADI e la LC 18
COLLABORAZIONE INTERISTITUZIONALE (CII)
19
Consenso alla comunicazione dei dati 20
Mancata reciprocità: regolamentazione dei casi specifici 20
Comunicazione dei dati all’AI 21
Consultazione dei dati COLSTA 21
SISTEMI D’INFORMAZIONE DELL’UFFICIO DI COMPENSAZIONE
22
Principio generale e basi legali 22
SECO-TC quale detentore della collezione di dati 22
Inserimento dei dati nei sistemi d’informazione 22
23
TRATTAMENTO DI DATI DA PARTE DI TERZI
24
Condizioni di esternalizzazione 24
Garanzia di un’adeguata tutela dei dati 24
Contratto di esternalizzazione 24
Dati rilevati dagli organi d’esecuzione per i propri sistemi 25
26
Provvedimenti organizzativi 26
CONSERVAZIONE, ARCHIVIAZIONE E DISTRUZIONE DEI DATI (ANCHE IN FORMA CARTACEA)
28
Trasparenza e verificabilità 29
30
Richiesta d’accesso ai dossier ai sensi dell’articolo 126 capoverso 2 OADI 30
Richiesta di esportazione di dati ai sensi dell’articolo 5 OSI-AD 30
Domanda di comunicazione di dati ai sensi dell’articolo 15 OSI-AD 31
DOCUMENTI, APPLICAZIONE E LINK UTILI
0
AD Assicurazione contro la disoccupazione
AI Assicurazione per l’invalidità
art. Articolo
CII Collaborazione interistituzionale
COLSTA Sistema d’informazione in materia di servizio di collocamento e di statistica del mercato del lavoro
CP Codice penale
cpv. Capoverso
CSC Cassa svizzera di compensazione
DMS Sistema di gestione dei documenti
DTF Decisione del Tribunale federale
ID Indennità di disoccupazione
IFPDT Incaricato federale della protezione dei dati e della trasparenza
XXXX Xxxxx federale del 25 giugno 1982 sull’assicurazione obbligatoria contro la disoccupazione e l’indennità per insolvenza (RS 837.0)
XXXXX Xxxxx federale del 20 marzo 1982 sull’assicurazione contro gli infortuni (RS 832.20)
XXXxx Xxxxx federale del 18 marzo 1994 sull’assicurazione malattie (RS 832.10)
XXXX Xxxxx federale del 20 dicembre 1946 sull’assicurazione per la vecchiaia e per i superstiti (RS 831.10)
LC Legge federale del 6 ottobre 1989 sul collocamento e il personale a prestito (RS 823.11)
LPD Legge federale del 19 giugno 1992 sulla protezione dei dati (RS 235.1)
LPGA Legge federale del 6 ottobre 2000 sulla parte generale del diritto delle assicurazioni sociali (RS 830.1)
LPML Logistica per l’approntamento di provvedimenti inerenti al mercato del lavoro OADI Ordinanza del 31 agosto 1983 sull’assicurazione obbligatoria contro la
disoccupazione e l’indennità per insolvenza (RS 837.02)
OC Ordinanza del 16 gennaio 1991 sul collocamento e il personale a prestito (RS 823.111)
OLPD Ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (RS 235.11)
OPGA Ordinanza dell’11 settembre 2002 sulla parte generale del diritto delle assicurazioni sociali (RS 830.11)
OSI-AD Ordinanza del 26 maggio 2021 sui sistemi d’informazione gestiti dall’ufficio di compensazione dell’assicurazione contro la disoccupazione (RS 837.063.1)
RGPD Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)
RS Raccolta sistematica del diritto federale
SECO-TC Ufficio di compensazione dell’assicurazione contro la disoccupazione UCC Ufficio centrale di compensazione (xxx.xxx.xxxxx.xx)
URC Ufficio regionale di collocamento
PRINCIPI GENERALI E DEFINIZIONI
Scopo della protezione dei dati
1 La protezione dei dati è volta alla tutela dei diritti della persona e della sfera privata. Essa impone ai responsabili del trattamento dei dati di agire conformemente alla legislazione e al principio di proporzionalità, conferendo alle persone interessate diritti opponibili. Gli organi pubblici possono trattare i dati soltanto se sancito dalla legge, unicamente per il fine dichiarato e nella misura in cui ciò sia necessario. Gli interessati possono far valere i propri diritti di fronte agli organi pubblici e hanno il diritto di venire informati sui dati trattati che li riguardano. A certe condizioni, possono chiedere la rettifica, il blocco o la cancellazione dei dati.
La Guida alla protezione dei dati in ambito LADI e LC è pensata per garantire che il trattamento dei dati da parte degli organi federali e degli organi d’esecuzione di cui agli articoli 96c LADI et 35 LC avvenga in conformità con il diritto sulla protezione dei dati.
2 In generale le disposizioni in materia di protezione dei dati si applicano ogni qualvolta vengano trattati dati personali, quale che sia la loro forma. Non si applicano invece quando i dati non sono legati alla persona, ad esempio in caso di dati raccolti anonimamente o a fini statistici (art. 2 LPD).
3 La LPD si applica quando vengono trattati dati di persone fisiche o giuridiche (come privati o organizzatori PML) da parte di privati o di organi federali (art. 2 cpv. 1 LPD).
4 Il trattamento dei dati da parte delle autorità cantonali (ad es. gli URC, le LPML e i servizi cantonali) non è oggetto della LPD. In virtù dell’autonomia organizzativa dei Cantoni tutelata dalla Costituzione federale, all’esecuzione del diritto federale o di compiti federali da parte dei Cantoni o di enti cantonali di diritto pubblico si applica il diritto cantonale in materia di protezione dei dati.
L’articolo 37 capoverso 1 LPD prevede che le norme cantonali sulla protezione dei dati debbano garantire sempre una tutela adeguata. Se così non dovesse essere, il trattamento di dati personali da parte di organi cantonali che agiscono in esecuzione del diritto federale è disciplinato dagli articoli 1–11a, 16, 17, 18–22 e 25 capoversi 1–3 LPD.
5 Se il diritto federale prevede disposizioni specifiche in materia di protezione dei dati (ad es. nella LADI, LC o LPGA), queste hanno la precedenza.
Incaricato cantonale della protezione dei dati
6 Secondo l’articolo 37 capoverso 2 LPD, i Cantoni designano un organo di controllo che vigili sulla protezione dei dati (incaricato della protezione dei dati). In questo ambito si applicano per analogia gli articoli 27, 30 e 31 LPD (rispettivamente Sorveglianza sugli organi federali, Informazione e Altri compiti).
7 Gli incaricati cantonali della protezione dei dati, assieme all’ufficio di compensazione dell’AD (che svolge mansioni di sorveglianza), sono responsabili di vigilare in prima istanza sull’applicazione del diritto cantonale per fattispecie riguardanti l’AD o gli uffici di collocamento pubblici.
Trattamento dei dati personali
8 Il trattamento dei dati comprende una grande varietà di operazioni riguardanti dati personali, compiute con o senza l’ausilio di processi automatizzati. Esso include il rilevamento, la raccolta, l’organizzazione, la ripartizione, il salvataggio, la modifica, la consultazione e il richiamo, l’utilizzo, la comunicazione, il conferimento della possibilità di accedere ai propri dati, la pubblicazione tramite trasmissione, diramazione o altre forme di esposizione dei dati, il confronto o il collegamento, la restrizione, la cancellazione o la distruzione di dati personali.
9 Perché sia lecito trattare dati personali, devono essere soddisfatte tutte le seguenti condizioni. Tra parentesi sono riportati i relativi passaggi della LPD.
• Liceità, principio di legalità (art. 4 cpv. 1 LPD)
I dati personali possono essere utilizzati solo in conformità con la legge. Mentre nel diritto pubblico, in osservanza del principio di legalità dell’azione amministrativa, è necessaria una base legale per il trattamento dei dati personali (l’art. 17 LPD richiede una legge in senso formale), nel privato il trattamento è consentito nella misura in cui non contravviene alla legge.
Se non esiste una base legale esplicita, come previsto dall’articolo 17 capoverso 1 LPD, gli uffici federali possono trattare dati sensibili e profili della personalità solamente per i motivi previsti dal capoverso 2:
- se è indispensabile per l’adempimento di un compito;
- se il Consiglio federale lo autorizza nel caso specifico; oppure
- se la persona interessata, nel caso specifico, ha dato il suo consenso o ha reso i suoi dati accessibili a chiunque e non si è esplicitamente opposta al trattamento.
Anche la comunicazione di dati personali degni di particolare protezione deve essere permessa da una base legale formale. Lo stesso vale per i dati sensibili raccolti e comunicati nell’ambito di una procedura di richiamo.
Le basi per il trattamento dei dati personali nell’ambito della LADI e della LC sono gli articoli 96b LADI e 33a LC.
• Buona fede (art. 4 cpv. 2 LPD)
Il rispetto del principio della buona fede esige un trattamento equo e affidabile dei dati personali. Tale principio riveste notevole importanza, trattandosi in particolare di un’informazione attiva. Da ciò si può dedurre un obbligo generale secondo cui gli interessati vanno informati sul trattamento dei loro dati, qualora si renda necessario, che deve avvenire in modo equo e affidabile. I dati personali non possono essere raccolti senza averne prima informato la persona interessata o in assenza di suo consenso.
• Proporzionalità (art. 4 cpv. 2 LPD)
Il trattamento dei dati deve essere conforme al principio di proporzionalità. Tale principio sancisce che possono essere trattati solo i dati necessari e pertinenti al raggiungimento dello scopo prefissato. Bisogna sempre ponderare gli interessi tra lo scopo del trattamento e l’ingerenza nella personalità della persona interessata. Tale ingerenza deve essere sempre ragionevole e proporzionata allo scopo perseguito.
• Scopo vincolato (art. 4 cpv. 3 LPD)
I dati personali possono essere trattati solamente per il raggiungimento di uno scopo dichiarato al momento della raccolta, previsto dalla legge o evidente dalle circostanze.
• Se il trattamento dei dati esula dallo scopo indicato inizialmente o dalle circostanze, occorre informarne le persone interessate. Trasparenza e riconoscibilità (art. 4 cpv. 4 LPD)
La raccolta di dati personali e in particolare lo scopo del trattamento devono essere comprensibili o prevedibili da parte delle persone interessate in circostanze normali. Il requisito della comprensibilità concretizza il principio della buona fede e aumenta la trasparenza del trattamento dei dati. Per quanto riguarda la raccolta di dati da parte degli organi federali, si rimanda all’obbligo di informare la persona interessata sancito dall’articolo 18a LPD, che va ben oltre il principio della semplice riconoscibilità.
• Esattezza e sicurezza dei dati (art. 5 e 7 LPD)
Chi si occupa del trattamento dei dati deve accertarsi della loro esattezza. Ciò include assicurarsi che siano completi e aggiornati, nel limite del possibile.
Secondo il principio della sicurezza sancito nell’articolo 7 LPD, i dati personali devono essere protetti dal trattamento non autorizzato attraverso misure di tipo tecnico e organizzativo (cfr. n. marg. 67 segg). La persona interessata può richiedere la rettifica o la cancellazione dei dati inesatti.
10 Di seguito vengono definiti i concetti che ricorrono più spesso nelle normative per la protezione dei dati anche a livello cantonale. Tra parentesi sono riportati i relativi passaggi della LPD.
• Dati personali (art. 3 lett. a LPD)
Sono tutte le informazioni relative a una persona identificata o identificabile, indipendentemente dal fatto che si tratti di informazioni oggettive (nome, professione ecc.) o soggettive (giudizio sulle prestazioni lavorative nel certificato di lavoro, giudizi di valore ecc.).
Sono dati personali anche le informazioni non direttamente riconducibili a una persona, ma che la rendono identificabile. Una persona non è considerata identificabile quando lo sforzo per risalirvi sarebbe talmente esagerato da rendere la cosa impraticabile.
• Persone interessate (art. 3 lett. b LPD)
Sono le persone fisiche (individui) o giuridiche (aziende) i cui dati sono oggetto di trattamento.
• Dati personali degni di particolare protezione (art. 3 lett. c LPD)
Si tratta di dati riguardanti opinioni o attività religiose, filosofiche, politiche o sindacali, la salute, la sfera intima o l’appartenenza a una razza, le misure di assistenza sociale o i procedimenti e le sanzioni amministrativi e penali.
Il fatto che una persona sia iscritta all’assicurazione contro la disoccupazione non costituisce un’informazione degna di particolare protezione (è deducibile, ad esempio, dal mittente indicato sulla busta).
• Profilo della personalità (art. 3 lett. d LPD)
Una compilazione di dati e informazioni che permette di valutare caratteristiche essenziali della personalità di una persona fisica.
• Trattamento (art. 3 lett. e LPD)
Qualsiasi operazione relativa a dati, indipendentemente dai mezzi e dalle procedure impiegati, in particolare la raccolta, la conservazione, l’utilizzo, l’elaborazione, la comunicazione, l’archiviazione o la distruzione di dati.
• Comunicazione (art. 3 lett. f LPD)
Il fatto di rendere accessibili i dati, ad esempio autorizzandone la consultazione, la trasmissione o la pubblicazione.
• Collezione di dati (art. 3 lett. g LPD)
Ogni complesso di dati personali la cui struttura permette di ricercare e trovare i dati secondo le persone interessate. L’espressione «permette di ricercare» implica che i dati personali possono essere trovati.
• Organi federali (art. 3 lett. h LPD)
Le autorità e i servizi della Confederazione, come pure le persone alle quali sono affidati compiti federali.
• Detentore di una collezione di dati (art. 3 lett. i LPD)
La persona privata o l’organo federale che decide in merito allo scopo e al contenuto della collezione di dati.
• Dati personali pseudonimizzati o anonimizzati
I dati si dicono anonimizzati quando lo sforzo per risalire alla persona a cui appartengono sarebbe talmente esagerato da rendere la cosa impossibile; ogni riferimento alla persona interessata è stato dunque definitivamente eliminato.
I dati sono invece pseudonimizzati quando è possibile stabilire a chi appartengono attraverso l’uso di una chiave (come una tavola di concordanza).
Per le persone che hanno accesso alla chiave, i dati pseudonimizzati restano dati personali. Per tutti coloro che invece non hanno accesso alla chiave, i dati non sono più personali, bensì anonimizzati.
• Proporzionalità (art. 4 cpv. 2 LPD)
Il trattamento dei dati è conforme al principio di proporzionalità se i dati in oggetto sono pertinenti per il raggiungimento dello scopo perseguito, ovvero solo i dati necessari possono essere oggetto di trattamento. Lo scopo in questione deve essere proporzionato alla violazione dei diritti fondamentali della persona interessata.
• Caso specifico (art. 19 cpv. 1 LPD)
Nell’ambito della protezione dei dati, il «caso specifico» è la comunicazione dei dati una tantum per un dato scopo e in una determinata situazione. Possono essere coinvolte più persone allo stesso tempo, il numero è irrilevante. Non è permesso effettuare più comunicazioni successive o trasferire un numero illimitato di dati nell’ambito di un caso specifico. Gli organi d’esecuzione non sono inoltre autorizzati a chiedere un consenso di validità generale in base al quale dati non ancora definiti potrebbero essere comunicati a terzi non ancora identificati. Nemmeno permettere la consultazione incontrollata online di un numero arbitrario di dati richiamabili a piacere rappresenta un esempio di caso specifico.
Eccezione (art. 85f LADI – cfr. n. marg. 45 segg): nell’ambito della collaborazione interistituzionale (CII) l’assicurato acconsente alla comunicazione dei dati, ad esempio a un servizio sociale (cpv. 1 lett. b) che ne ha fatto richiesta, per l’intera durata della CII (p. es. per sei mesi).
• Consenso valido (art. 4 cpv. 5 LPD)
Quando il trattamento di dati personali è subordinato al consenso della persona interessata, il consenso è valido soltanto se espresso liberamente e dopo debita informazione. Per il trattamento di dati personali degni di particolare protezione o di profili della personalità, il consenso deve essere anche esplicito.
La persona interessata è debitamente informata se è messa a parte in maniera esaustiva e trasparente di che cosa accade ai suoi dati. Deve anche essere in grado di comprendere le conseguenze della propria decisione, soprattutto nel caso in cui negasse il consenso. Non possono essere esercitate pressioni sulla persona per ottenerne il consenso, che deve essere espressione di una libera volontà. Il consenso può essere revocato o negato in ogni momento, può essere espresso per iscritto o oralmente e non è legato a una forma particolare. Per motivi di trasparenza e documentabilità, è preferibile comunque una dichiarazione scritta e firmata.
I consensi con validità generale non sono conformi alle norme di legge perché non abbastanza trasparenti.
• Legge in senso formale (art. 3 lett. j LPD)
A meno che non si applichi una delle eccezioni previste dalla legge (art. 17 cpv. 2 LPD), per trattare dati personali particolarmente sensibili le autorità federali (ma anche quelle cantonali o comunali) devono poter far leva su una legge in senso formale.
● Archiviazione
L’archiviazione è l’operazione per cui i dati vengono tenuti a disposizione una volta sciolti dal contesto del trattamento (per la durata di conservazione prescritta; art. 21 LPD).
● Distruzione
La distruzione è l’operazione tramite la quale i dati vengono irrevocabilmente annientati o resi illeggibili (p. es. tramite la distruzione fisica dei supporti dati, dei documenti ecc.; art. 21 LPD). L’articolo 21 capoverso 2 LPD stabilisce il principio per cui i dati personali che non hanno valore archivistico devono essere distrutti.
Sono esclusi dalla distruzione:
• i dati resi anonimi;
• i dati che devono essere conservati a titolo di prova o per misura di sicurezza; oppure
• i dati che devono essere conservati per salvaguardare un interesse degno di protezione della persona interessata.
● Privilegio di ricerca
Il privilegio di ricerca è una forma particolare di trattamento; vanno perciò osservate le stesse norme che si applicano al normale trattamento di dati.
L’articolo 20 LPD è una disposizione speciale in merito al trattamento di dati personali da parte degli organi federali per scopi impersonali. Nel corso di questo trattamento
«privilegiato» scompaiono i riferimenti alla persona.
IL TRATTAMENTO DEI DATI NEL QUADRO DELL’ASSICURAZIONE CONTRO LA DISOCCUPAZIONE E DEL COLLOCAMENTO PUBBLICO
11 Le basi concernenti la protezione dei dati nell’ambito dell’assicurazione contro la disoccupazione e del collocamento pubblico sono le eseguenti:
- Legge federale del 25 giugno 1982 sull’assicurazione obbligatoria contro la disoccupazione e l’indennità per insolvenza (LADI; RS 837.0)
- Ordinanza del 31 agosto 1983 sull’assicurazione obbligatoria contro la disoccupazione e l’indennità per insolvenza (OADI; RS 837.02)
- Legge federale del 6 ottobre 1989 sul collocamento e il personale a prestito (LC; RS 823.11)
- Ordinanza del 16 gennaio 1991 sul collocamento e il personale a prestito (OC; RS 823.111)
- Ordinanza del 26 maggio 2021 sui sistemi d’informazione gestiti dall’ufficio di compensazione dell’assicurazione contro la disoccupazione (OSI-AD; RS 837.063.1)
- Legge federale del 6 ottobre 2000 sulla parte generale del diritto delle assicurazioni sociali (LPGA; RS 830.1)
- Ordinanza dell’11 settembre 2002 sulla parte generale del diritto delle assicurazioni sociali (OPGA; RS 830.11)
I punti concernenti la protezione dei dati, che non vengono trattati specificatamente nei testi normativi di cui sopra, sottostanno alla LPD e all’ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD; RS 235.11).
Accesso ai sistemi d’informazione gestiti dall’ufficio di compensazione
12 Gli organi citati all’articolo 96c LADI e all’articolo 35 capoverso 3 LC possono accedere direttamente ai sistemi d’informazione gestiti dell’ufficio di compensazione, senza intervento di quest’ultimo. Poiché l’accesso è per definizione ripetuto, regolare e automatizzato, esso non è vincolato a casi particolari (accesso online).
SECO-TC gestisce i seguenti sistemi d’informazione:
• sistema d’informazione per il pagamento di prestazioni dell’assicurazione contro la disoccupazione [SIPAD] (art. 8 OSI-AD) che serve al pagamento, al conteggio e alla contabilizzazione delle prestazioni dell’assicurazione contro la disoccupazione;
• sistema d’informazione in materia di servizio di collocamento e di statistica del mercato del lavoro [COLSTA] (art. 10 OSI-AD) che raccoglie tutte le informazioni concernenti le persone assicurate ai sensi della LADI e in cerca d’impiego ai sensi della LC;
• sistema d’informazione per l’analisi dei dati del mercato del lavoro [LAMDA] (art. 12 OSI-AD) ossia una banca dati centrale (Datawarehouse) che riprende i dati degli altri
sistemi d’informazione dell’AD a fini di reporting e analisi, in cui i dati sono raccolti, formattati e messi a disposizione di terzi per ulteriore trattamento;
• piattaforma di accesso ai servizi online [e-AC] (art. 17 OSI-AD) che funge da punto di contatto fra i beneficiari di prestazioni dell’assicurazione contro la disoccupazione o del servizio pubblico di collocamento e gli organi d’esecuzione. La piattaforma permette agli utenti di trasmettere i dati necessari per la riscossione delle prestazioni.
• piattaforma del servizio pubblico di collocamento [Job-Room] (art. 21 OSI-AD) che funge da borsa online dei posti vacanti.
La OSI-AC disciplina i diritti di accesso.
Raccolta e trattamento dei dati personali
(art. 96b LADI; 33a LC)
Dati raccolti
13 Nel quadro della AD possono essere trattati i seguenti dati sensibili (cfr. art. 3 lett. c LPD):
• la comprovata limitazione della capacità di lavorare per motivi religiosi (p. es. per motivi legati all’abbigliamento, al contatto con generi alimentari, agli orari di lavoro);
• la comprovata limitazione della capacità di lavorare per motivi di salute (p. es. per questioni legate al sollevamento di oggetti pesanti, al contatto con determinati materiali, alla sedentarietà, allo stato di gravidanza);
• un comprovato stato di gravidanza che non comporti limitazioni della capacità di lavorare (disposizioni in materia di legge sul lavoro);
• comprovate misure di assistenza sociale o altri tipi di assicurazione (p. es. LAMal, LAINF, LAI, misure di curatela o assistenza sociale per il coordinamento delle prestazioni);
• comprovate sanzioni amministrative o penali nella misura in cui sono rilevanti per l’impiego cercato (p. es. il ritiro della licenza di condurre per un autista);
• sentenze rilevanti per far valere diritti assicurativi (p. es. una sentenza di divorzio se viene percepita un’indennità giornaliera).
Ogni trattamento deve essere sottoposto a controlli. In casi specifici bisogna inoltre verificare se la raccolta o il trattamento dei dati rispettano il principio della proporzionalità.
Informazione
14 L’articolo 4 capoverso 5 LPD sancisce le esigenze particolari relative al consenso. Secondo tale disposizione, se necessario a fini di trattamento dei dati personali, un consenso è valido soltanto se espresso liberamente e dopo debita informazione (cfr. n. marg. 10).
L’obbligo generale di informare fissato all’articolo 27 capoverso 1 LPGA è concretizzato per quanto attiene ai dati personali nell’ambito dell’AD agli articoli 126 OACI e 58 OC. Ai sensi di queste disposizioni, le persone interessate sono informate su:
- lo scopo del sistema d’informazione;
- i dati trattati e i destinatari regolari;
- i loro diritti.
Consenso alla raccolta dei dati
15 Il consenso deve essere espressione di una libera volontà. Affinché venga accordato in maniera volontaria, non possono essere esercitate pressioni sulla persona. Si può presumere che sia stata esercitata pressione solo se lo svantaggio legato al rifiuto del consenso al trattamento dei dati non è collegato al trattamento dei dati o allo scopo perseguito oppure se lo svantaggio è sproporzionato.
La validità del consenso dipende anche dall’esigenza legale generale della capacità di discernimento della persona che conferisce il consenso. I minori possono dichiarare validamente il loro consenso qualora siano capaci di discernimento sull’oggetto del loro consenso. A dipendenza della quantità e della tipologia di dati, tuttavia, anche il rappresentante legale deve dare il suo consenso. Le persone sotto tutela possono acconsentire validamente al trattamento dei loro dati se sono capaci di discernimento in tal senso. In ogni caso vale la pena analizzare caso per caso. Se non si ha la capacità di acconsentire al trattamento dei dati, si deve ottenere il consenso del tutore.
Il consenso può essere implicito, esplicito oppure ottenuto per procura. Nel caso di dati sensibili o di profili della personalità, il consenso deve essere esplicito (art. 4 cpv. 5 LPD).
In linea di principio, il consenso va ottenuto prima del trattamento dei dati, eccezion fatta per i casi in cui il trattamento dei dati sia chiaramente nell’interesse della persona interessata. Infine, un consenso può essere ritirato in qualsiasi momento.
Nell’ambito dell’assicurazione contro la disoccupazione, i diritti alle prestazioni sono strettamente legati al consenso dell’assicurato al trattamento dei suoi dati. Se quest’ultimo ritira il suo consenso, mette di fatto fine al trattamento del suo dossier e pertanto rinuncia al percepimento delle prestazioni dell’assicurazione contro la disoccupazione.
Raccolta dei dati personali
16 Nel quadro dell’assicurazione contro la disoccupazione, l’articolo 96b LADI, in relazione all’articolo 76 capoverso 1 LADI, disciplina chi è autorizzato alla raccolta e al trattamento dei dati personali. Al fine di garantire un trattamento conforme alla legge, nell’ambito dell’AD vanno altresì rispettati i principi generali applicabili al trattamento dei dati personali (cfr. n. marg. 9).
I dati raccolti in modo illecito non possono essere né consultati né riutilizzati da parte degli organi d’esecuzione, in particolare, in presenza dei seguenti elementi:
- dati la cui raccolta non era percepibile dalla persona interessata o che essa non poteva aspettarsi;
- dati la cui raccolta non rispetta il principio di proporzionalità; oppure
- dati che sono stati raccolti senza tener conto del principio della buona fede.
Attualmente, gli utenti di Internet registrano molti dati (personali) in particolare sui social media (Facebook, Xing, LinkedIn o anche piattaforme multimediali e blog). Gli organi d’esecuzione possono raccogliere tali dati solo se sono accessibili pubblicamente, cioè senza un login.
In tal senso, è perciò proibito ricercare la persona interessata tramite profili dell’organo d’esecuzione oppure profili privati dei collaboratori sulle reti sociali e raccogliere dati (cfr. art. 17 cpv. 2 lett. c LPD).
Inoltre, è vietato raccogliere dati «di riserva» senza una ragione d’uso concreta (fishing expedition) o allo scopo di farne una copia, combinarli con altre banche dati (p. es. nei sistemi d’informazione cantonali relativi alle assicurazioni sociali o al collocamento pubblico).
Garanzia dell’integrità dei dati
17 L’integrità dei dati è parte integrante della sicurezza dei dati e designa l’affidabilità e la credibilità degli stessi; implica l’accuratezza e la completezza dei dati. Allo stesso tempo, è consigliabile assicurarsi che non sia stata apportata alcuna modifica non autorizzata oppure che la modifica dei dati sia constatabile.
Per garantire l’integrità dei dati occorre intraprendere provvedimenti tecnici e organizzativi. Per ulteriori informazioni a tal riguardo si rimanda alla «Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati» dell’IFPDT (cfr. n. marg. 65 segg.).
18 Il numero dell’AVS a 13 cifre è un numero anonimo, generato in maniera casuale e non esplicito collegato a delle caratteristiche personali. In combinazione con altre informazioni, tuttavia, tale numero potrebbe permettere di determinare l’identità di una persona, ragione per cui il numero AVS riveste particolare importanza nella protezione dei dati.
L’impiego del numero AVS in qualità di identificativo amministrativo della persona è disciplinato dall’AD ai sensi dell’articolo 96 LADI. Conformemente a tale disposizione, i servizi incaricati dell’esecuzione della LADI sono autorizzati a utilizzare sistematicamente il numero AVS per l’adempimento dei loro compiti legali.
Diritto d’accesso ai propri dati
(art. 126 OADI; art. 28, 31 e 47 LPGA; art. 58 OC)
19 Il diritto d’accesso ai propri dati è uno degli elementi centrali della protezione dei dati nonché la condizione di base per il godimento di altri diritti. Da esso derivano il diritto alla rettificazione di dati personali inesatti (art. 5, 15 e 25 LPD), all’astensione dal trattamento illecito dei dati e all’eliminazione delle conseguenze di un trattamento illecito (art. 15 e 25 LPD).
Il diritto d’accesso non è soggetto a prescrizione e non vi si può rinunciare.
Diritto d’accesso nell’ambito dell’assicurazione contro la disoccupazione
20 L’articolo 126 OADI sancisce il diritto di essere informati sull’utilizzo dei propri dati e il diritto d’accesso a tali dati.
L’articolo 126 capoverso 2 OADI disciplina un concetto ibrido circa il diritto d’accesso corrispondente sia a quanto sancito all’articolo 47 LPGA sia all’articolo 8 LPD. Una disposizione analoga in relazione al collocamento pubblico si trova nell’articolo 58 OC.
21 L’articolo 126 capoverso 2 lettera a OADI conferisce alla persona interessata il diritto di sapere quali informazioni su di sé vengono trattate dall’AD.
Anche le persone giuridiche possono avvalersi del diritto d’accesso.
Se la persona interessata, fisica o giuridica, è rappresentata da un legale, è richiesta una procura.
Organo competente per l’informazione alla persona interessata
22 Ai sensi dell’articolo 126 capoverso 1 OADI e dell’articolo 58 capoverso 1 OC, spetta all’URC di informare le persone interessate, al momento del loro annuncio, su quanto segue:
a. lo scopo dei sistemi d’informazione;
b. i dati trattati e i destinatari regolari;
c. i loro diritti in relazione alla protezione dei dati.
L’informazione è di regola scritta.
Organo competente per il trattamento delle richieste d’accesso
23 cfr. n. marg. 75.
Oggetto del diritto d’accesso
24 Avvalendosi del diritto d’accesso, una persona può chiedere informazioni su tutti i dati contenuti in una collezione che la riguardano. Questo senza dover apportare alcuna giustificazione o motivo specifico.
Le informazioni devono essere complete, ossia riguardare tutti i dati disponibili sul richiedente a prescindere dalla forma in cui sono stati registrati (testo, immagine, audio o altra forma) e dal formato con cui sono stati raccolti (p. es. appunti presi a mano in dossier cartacei).
Vanno in particolare fornite informazioni sui dati personali che:
• sono stati raccolti presso terzi (incluse le informazioni sulla provenienza dei dati);
• dovrebbero essere già stati cancellati; oppure
• sono registrati in documenti redatti dagli organi d’esecuzione (indipendentemente dal fatto che siano qualificati come interni o meno).
Il diritto alla distruzione dei dati è accordato:
• in caso di trattamento dei dati senza fondamenti giuridici in virtù dell’articolo 17 LPD;
• qualora venga meno l’oggetto del trattamento dei dati;
• qualora il trattamento dei dati non sia affatto necessario all’adempimento del compito;
• in caso di trattamento di dati errati che violano la personalità e la cui cancellazione non è sufficiente a rettificare; oppure
• in caso di trattamento di dati ottenuti in maniera illecita.
Nel campo dell’assicurazione contro la disoccupazione, il diritto d’accesso permette essenzialmente l’aggiornamento e la correzione dei dati nel quadro della procedura in corso (dossier attivo). Qualsiasi correzione, aggiunta o cancellazione di dati deve essere notificata ai servizi ai quali i dati sono normalmente comunicati e ad altri servizi se la persona interessata lo desidera. Qualora né l’esattezza né l’inesattezza di un dato possono essere provate, il servizio che elabora i dati deve aggiungere una nota al dato indicando che è contestato.
Una volta che il dossier o i dossier vengono chiusi, il diritto d’accesso rimane garantito, ma non è più possibile alcuna modifica.
25 L’articolo 126 OADI non prevede alcuna forma particolare di richiesta d’accesso a un dossier. Per maggiori dettagli si veda il numero marginale 74.
(art. 97a LADI; 32 e 33 LPGA; 34a e 34b LC)
26 La legge, con gli articoli 97a LADI e 34a LC, distingue tra due forme di comunicazione di dati:
• comunicazioni di dati per cui gli uffici devono presentare una richiesta scritta motivata e che possono essere autorizzate solo in casi specifici; oppure
• comunicazioni di dati non limitate a casi specifici che possono avvenire automaticamente e ripetutamente (anche con regolarità) anche senza che ne sia fatta richiesta.
In ogni caso, soltanto i dati necessari allo scopo indicato possono essere comunicati.
Se gli organi d’esecuzione hanno inserito i dati nei propri sistemi o documenti devono informarne in conformità con la legislazione sulla protezione dei dati ad essi applicabile.
27 Secondo gli articoli 33 LPGA e 34 LC, le persone che partecipano all’esecuzione e al controllo o alla sorveglianza dell’esecuzione dell’AD devono mantenere il segreto. Le informazioni raccolte devono essere trattate con discrezione e riservatezza. L’obbligo del segreto vale sia nei confronti di terzi (altre assicurazioni sociali, uffici o datori di lavoro) sia internamente.
Anche a persone esterne coinvolte nel trattamento dei dati può essere applicato l’obbligo del segreto. Eventuali deroghe devono essere suffragate da una base legale (p. es. le norme sulla consultazione degli atti all’art. 47 LPGA o sull’assistenza giudiziaria e amministrativa all’art. 32 LPGA). La comunicazione di dati personali in violazione dell’obbligo del segreto può configurare la fattispecie di cui agli articoli 35 LPD, 105 LADI, 39 LC o 320 CP (violazione del segreto d’ufficio).
Assistenza giudiziaria e amministrativa
28 L’articolo 32 LPGA disciplina l’assistenza giudiziaria e amministrativa: le autorità amministrative e giudiziarie della Confederazione, dei Cantoni, dei distretti, dei circoli e dei Comuni comunicano gratuitamente agli organi delle singole assicurazioni sociali, su richiesta scritta e motivata nei singoli casi, i dati necessari per: determinare, modificare o restituire prestazioni; prevenire versamenti indebiti; fissare e riscuotere i contributi; intraprendere azioni di regresso contro terzi responsabili (cpv. 1). Il capoverso 2 stabilisce che alle stesse condizioni gli organi delle singole assicurazioni sociali si prestano reciprocamente assistenza.
Per tutte le attività amministrative legate all’assicurazione sociale è importante ricordare che l’assistenza giudiziaria rappresenta l’aiuto da parte delle autorità (come il Servizio
sociale) all’assicurato mentre l’assistenza amministrativa consiste nell’aiuto di un assicuratore a favore di un altro assicuratore.
29 Gli articoli 97a LADI e 34a LC consentono agli organi d’esecuzione di comunicare i dati a determinate istituzioni, in deroga all’articolo 33 LPGA, purché nessun interesse privato preponderante vi si opponga.
La comunicazione può avvenire con le autorità seguenti (art. 97a cpv. 1 lett. a–ebis e cpv. 2 LADI; art. 34a cpv. 2 LC):
a) tra gli organi incaricati di applicare la LADI/LC, qualora ne necessitino per adempiere i compiti conferiti loro dalle rispettive leggi;
b) organi di altre assicurazioni sociali, qualora, in deroga all’articolo 32 capoverso 2 LPGA, l’obbligo di comunicazione sia sancito da una legge federale o per assegnare o verificare il numero AVS;
c) * alle autorità competenti in materia di stranieri, conformemente agli articoli 97 capoverso 3 della legge federale del 16 dicembre 2005 sugli stranieri e la loro integrazione (LStrI);
d) * alle autorità competenti per la riscossione dell’imposta alla fonte, conformemente agli articoli 88 e 100 della legge federale del 14 dicembre 1990 sull’imposta federale diretta, nonché alle rispettive disposizioni cantonali;
e) agli organi della statistica federale, conformemente alla legge federale del 9 ottobre 1992 sulla statistica federale;
f) alle autorità istruttorie penali, qualora ne necessitino per denunciare o impedire un crimine;
g) * al Servizio delle attività informative della Confederazione (SIC) o agli organi di sicurezza dei Cantoni, a destinazione del SIC, qualora sussista una minaccia concreta alla sicurezza interna o esterna ai sensi dell’articolo 19 capoverso 2 della legge federale del 25 settembre 2015 sulle attività informative;
h) I dati necessari alla lotta contro il lavoro nero possono essere comunicati conformemente agli articoli 11 e 12 della legge federale del 17 giugno 2005 concernente i provvedimenti in materia di lotta contro il lavoro nero.
i) * Le casse di disoccupazione pubbliche e private possono fornire agli organi di cui all’articolo 7 della legge dell’8 ottobre 1999 sui lavoratori distaccati i dati necessari per controllare il rispetto delle condizioni di lavoro e dei salari minimi.
Comunicazione alle autorità su richiesta scritta e motivata
(art. 97a cpv. 1 lett. f LADI; 34a cpv. 1 LC)
30 La comunicazione può avvenire con le autorità seguenti:
a) agli organi dell’assicurazione invalidità qualora sussista un obbligo di comunicazione in virtù della legge federale del 19 giugno 1959 sull’assicurazione invalidità (art. 34a cpv. 1 lett. a LC)
b) alle autorità d’assistenza sociale, qualora ne necessitino per determinare o modificare prestazioni, chiederne la restituzione o prevenire pagamenti indebiti;
c) ai tribunali civili, qualora ne necessitino per giudicare una controversia relativa al diritto di famiglia o successorio;
d) ai tribunali penali e alle autorità istruttorie penali, qualora ne necessitino per accertare un crimine o un delitto;
d) * agli uffici d’esecuzione, conformemente agli articoli 91, 163 e 222 della LEF;
e) * alle autorità fiscali, qualora ne necessitino per l’applicazione delle leggi in materia fiscale;
f) alle autorità di protezione dei minori e degli adulti, conformemente all’articolo 448 capoverso 4 del Codice civile xxxxxxxx0 (art. 34a cpv. 1 lett. e LC);
g) * alle autorità incaricate dell’applicazione della LStrI e dell’accordo del 21 giugno 1999 tra la Confederazione Svizzera, da una parte, e la Comunità europea ed i suoi Stati membri, dall’altra, sulla libera circolazione delle persone, con allegati, protocolli e atto finale, nonché la relativa legislazione svizzera d’esecuzione.
* riguarda soltanto i dati SIPAD
Comunicazione a terzi (art. 97a cpv. 4 LADI; art. 34a cpv. 4 LC)
31 Negli altri casi, in deroga all’articolo 33 LPGA, i dati possono essere comunicati a terzi alle condizioni seguenti:
a. per i dati non personali: se la comunicazione è giustificata da un interesse preponderante;
b. per i dati personali: se, nel caso specifico, la persona interessata ha dato il suo consenso scritto o, qualora non sia possibile ottenerlo, le circostanze permettono di presumere che la comunicazione dei dati sia nell’interesse dell’assicurato.
Questo aspetto viene concretizzato nel quadro dei privilegi riservati ai progetti di ricerca (cfr. n. marg. 36 segg).
Pubblicazione (art. 97a cpv. 3 LADI; art. 00x xxx. 0 XX)x
00 Xx xxxxxx all’articolo 33 LPGA, i dati d’interesse generale in relazione all’applicazione della presente legge possono essere pubblicati. L’anonimato degli assicurati dev’essere garantito, nel senso che gli individui non possono più essere re-identificati ricombinando i dati.
33 In determinate circostanze, il diritto d’accesso può essere limitato, negato o differito secondo le disposizioni vigenti sulla protezione dei dati (art. 9 cpv. 4 LPD). La decisione deve essere comunicata e giustificata per iscritto al richiedente.
La limitazione deve rispettare il principio di proporzionalità, secondo quanto indicato qui di seguito:
• una legge in senso formale prevede la limitazione (art. 9 cpv. 1 lett. a LPD);
• interessi preponderanti di un terzo esigono che il diritto sia limitato o negato (art. 9 cpv. 1 lett. b LPD);
• un interesse pubblico preponderante, in particolare la sicurezza interna o esterna della Confederazione, esigono che il diritto sia limitato o negato (art. 9 cpv. 2 lett. a LPD);
• la comunicazione delle informazioni compromette lo scopo di un’istruzione penale o di un’altra procedura d’inchiesta (art. 9 cpv. 2 lett. b LPD).
Comunicazione di dati all’estero (art. 6 LPD)
34 In linea di principio, i dati personali non possono essere comunicati all’estero se ciò mette seriamente a rischio la personalità dell’interessato; quest’ultimo può tuttavia acconsentire alla comunicazione.
Le informazioni riguardo alla comunicazione di dati all’estero sono disponibili sulla pagina dell’IFPDT. Si richiama l’attenzione soprattutto sull’elenco degli Stati la cui legislazione garantisce un adeguato livello di protezione dei dati rispetto a quelli in cui invece ciò non avviene.
Per maggiori informazioni sui dati registrati nei sistemi PLASTA o SIPAD, la richiesta va presentata per valutazione all’ufficio di compensazione (xxxx@xxxx.xxxxx.xx).
Comunicazione di dati tra Svizzera e Stati UE / AELS
(art. 00x xxx. 0 xxxx. x x. 0 LADI; art.17e OPGA)
35 Per quanto riguarda la trasmissione di dati sull’AD con gli Stati dell’ UE/AELS, si rimanda alla Circ. ID 883 B55 segg.
TRATTAMENTO DEI DATI PER SCOPI DI RICERCA, PIANIFICAZIONE E STATISTICA (PRIVILEGIO DI RICERCA)
(art. 97a cpv. 4 LADI; art. 34a cpv. 4 LC; art. 15 OSI-AD)
Ufficio di compensazione dell’AD e casse di disoccupazione private
37 Finché esiste una base legale (LADI, LC), l’Ufficio di compensazione dell’AD e le casse di disoccupazione private possono trattare o incaricare di trattare dati personali per scopi impersonali alle condizioni particolari previste all’articolo 22 LPD (ad esempio per scopi di ricerca, di pianificazione, statistici, di consultazione o di indagine). In questo caso possono derogare ad alcune norme di legge:
• i dati personali possono essere trattati anche per scopi che non sono stati comunicati in fase di rilevazione o non noti alla persona interessata (art. 4 cpv. 3 LPD);
• per trattare dati personali è sufficiente una base legale come previsto dall’articolo 17 capoverso 1 LPD. È possibile derogare ai severi requisiti stabiliti dal capoverso 2 per i dati personali sensibili;
• la comunicazione di dati personali (in quanto forma particolare di trattamento di dati) è consentita anche in assenza della base legale richiesta dall’articolo 17 LPD. In questo caso è però necessario il consenso dei partecipanti ai progetti di ricerca e agli studi previsti. Se viene revocato il consenso, i dati della persona interessata devono essere distrutti.
38 Ai sensi dell’articolo 22 capoverso 1 lettere a–c LPD, per ricorrere al privilegio di ricerca è necessario soddisfare tutte le seguenti condizioni:
• i dati devono essere anonimizzati non appena lo scopo del trattamento lo consente;
• il destinatario dei dati (un’università, un istituto di ricerca privato ecc.) può trasmetterli a terzi solo con l’autorizzazione dell’ufficio di compensazione o della cassa di disoccupazione privata; e
• i risultati possono essere pubblicati solo in una forma che non permetta di identificare le persone interessate.
cfr. n. marg. 77 segg.
Organi cantonali d’esecuzione
39 L’eccezione concessa per i progetti di ricerca menzionata nelle leggi cantonali sulla protezione dei dati non si applica qualora i dati trasmessi provengano dal sistema d’informazione gestito da SECO-TC.
MODALITÀ DI COMUNICAZIONE E SPESE
I dati sono di norma comunicati per scritto e gratuitamente.
40 Oltre alla comunicazione cartacea, sono possibili ulteriori modalità.
a) Scambio di dati tra sistemi
Lo scambio di dati tra sistemi deve essere sancito dalla legge.
Attualmente ciò è previsto formalmente solo tra i sistemi d’informazione dell’assicurazione contro la disoccupazione (SIPAD e PLASTA, xxx. xxx. 00 xxx. 0xxx XX; 96c cpv. 2bis LADI), i sistemi principalmente utilizzati nell’ambito dell’assicurazione contro la disoccupazione.
Lo scambio di dati con altri sistemi (LAMDA, Job-Room ed e-AC) è implicito nelle loro funzioni.
b) Comunicazione elettronica (art. 96c cpv. 2bis LADI)
La LADI prevede lo scambio elettronico di dati per la comunicazione di informazioni. Ciò include l’impiego delle attuali interfacce (Sunet UVAL, portale LPP, ELM ecc.), o la comunicazione via e-mail. Questa disposizione si applica soltanto ai dati SIPAD ed e-AC (cfr. n. marg. 30).
Infatti, ad oggi non esiste alcuna regolamentazione specifica applicabile alla trasmissione elettronica dei dati nel quadro dei sistemi LC rilevanti. I dati provenienti da PLASTA e Job-Room non possono perciò venir trasmessi a terzi per via elettronica.
Spese (art. 126a OADI; 18a OPGA; 57a OC)
41 È riscosso un emolumento per le comunicazioni ai sensi dell’articolo 97a cpv. 3 LADI e 34a cpv. 3 LC.
Conformemente agli articoli 97a cpv. 4 LADI e 34a cpv. 4 LC, è riscosso un emolumento se la comunicazione dei dati richiede numerose copie o altre riproduzioni o ricerche particolari. Si applicano le disposizioni dell’ordinanza generale sugli emolumenti dell’8 settembre 2004 (RS 172.041.1).
SECO-TC non ha ancora emesso alcuna direttiva circa l’ammontare dell’emolumento che può essere riscosso.
Diagramma di flusso per la comunicazione di dati
42 Se un organo federale o d’esecuzione si trova a dover stabilire se un particolare trattamento di dati, e in particolare una comunicazione, sia lecito o meno, dovrà rifarsi alla seguente panoramica (fonte: «Guida per il trattamento dei dati personali in seno all’Amministrazione federale» dell’IFPDT, agosto 2009):
Esiste una base legale per la comunicazione dei dati?
no
sì
Ha un motivo giustificativo speciale secondo l’articolo 19 LPD?
Si intendono rendere accessibili dati personali mediante una procedura di richiamo?
no
sì
Sono contenuti dati personali degni di particolare protezione o profili della personalità?
sì no
Esiste una base legale?
Esiste una legge in senso formale?
sì
sì
no no no
Non è autorizzato a trasmettere i
dati
sì
È autorizzato a trasmettere i dati
Non è autorizzato a trasmettere i dati
Panoramica: comunicazione di dati giusta la LADI e la LC
C
43
Comunicazione tra autorità su richiesta scritta e motivata (art. 97a cpv. 1 lett. f LADI; 34a cpv. 1 LC)
Privilegio destinato ai progetti di ricerca (art. 15 OSI-AD)
Comunicazione a terzi
(art. 97a cpv. 4 LADI; 34a cpv. 4 LC)
Comunicazione (art. 97a LADI; art. 34a e 34b LC)
Comunicazione regolare tra autorità
(art. 97a cpv. 1 lett. a–ebis e cpv. 2 LADI; art. 34a cpv. 2 LC)
Comunicazione transfrontaliera dei dati
(art. 6 LPD; art. 17e OPGA)
Pubblicazione
(art. 97a cpv. 3 LADI; art. 00x xxx. 0 XX)
XXX
(xxx. 85f LADI; 35a cpv.
1 LC)
Leggi applicabili ai sistemi LADI: SIPAD, e-A
LC: PLASTA, Job-Room
COLLABORAZIONE INTERISTITUZIONALE (CII)
44 In base all’articolo 85f LADI, la CII disciplina e promuove la collaborazione delle istituzioni coinvolte, nell’interesse della persona interessata e dell’efficienza del sistema. Queste istituzioni, a determinate condizioni, possono scambiarsi tra loro informazioni considerate degne di particolare protezione secondo i principi generali del diritto sulla protezione dei dati.
I contenuti dell’articolo 85f LADI costituiscono dunque un’eccezione all’obbligo di rispettare il segreto professionale e semplificano l’assistenza amministrativa.
La collaborazione nel quadro della CII è limitata nel tempo ed è volta unicamente all’obiettivo definito del (re)inserimento di un caso particolare. La persona interessata deve essere informata di tutte le forme di collaborazione previste e possibili. Deve sapere che si terranno una comunicazione e uno scambio di dati.
45 Per facilitare il raggiungimento degli obiettivi delle singole istituzioni, in particolare l’integrazione a livello formativo e professionale, la responsabilità di un caso può essere trasferita per un certo periodo di tempo agli organi riportati all’articolo 85f cpv. 1 LADI nel quadro della CII.
A questo proposito, nel caso di mansioni affidate a un’altra autorità, istituzione o ufficio di reintegrazione comune è importante sapere se esistono delle particolarità e, in questi casi, vanno specificati i requisiti della protezione dei dati. Questa domanda serve quindi come punto di partenza per valutare in che misura è consentita l’esecuzione di compiti da parte di tali organi, autorità e istituti.
46 Nella LADI e nella LC, accanto alle norme generali sulla protezione dei dati, sono contenute altre norme che mirano ad agevolare lo scambio di dati promuovendo dunque la CII (art. 85f LADI e art. 35a LC).
Qualora l’AD (uffici cantonali, URC, LPML e le casse di disoccupazione) desideri collaborare con gli uffici indicati nell’articolo 85f capoverso 1 LADI nell’ambito della CII, i detti uffici dovranno poter consultare i dati, a condizione però che ciò avvenga su richiesta e solo nel caso specifico, ovvero per la durata della CII (art. 85f cpv. 2 LADI). Devono inoltre essere soddisfatte tutte le seguenti condizioni (cpv. 2 lett. a e b):
a. la persona interessata riscuote prestazioni da uno degli organi elencati dall’articolo 85f capoverso 1 lettere a–h LADI e acconsente alla comunicazione dei dati;
b. gli organi citati concedono lo stesso diritto agli organi d’esecuzione dell’AD.
Per quanto riguarda tali condizioni, occorre sottolineare che la persona interessata può beneficiare contemporaneamente delle prestazioni di diversi organi citati nell’articolo 85f capoverso 1 LADI. Ciò non include soltanto prestazioni monetarie, ma anche la consulenza e altri servizi.
Consenso alla comunicazione dei dati
47 Nell’ambito della CII, il consenso si basa sulle condizioni generali di consenso applicabili al trattamento dei dati personali (cfr. n. marg. 15). Il dovere di informare la persona che dà il consenso va osservato anche nel contesto della CII (cfr. n. marg. 14). Tuttavia, l'informazione alla persona interessata può essere data anche dopo che questa ha dato il suo consenso.
L’obbligo di informare le persone interessate in merito alla comunicazione dei dati nell’ambito della CII comprende informazioni riguardanti:
• l’oggetto e lo scopo della CII nel caso concreto;
• le persone e gli uffici coinvolti;
• la forma e la portata prevista della comunicazione;
• la durata della conservazione;
• i provvedimenti per la sicurezza dei dati;
• il diritto di accesso ai propri dati e di consultare gli atti; e
• il diritto di revocare il consenso in ogni momento e le conseguenze della revoca.
Inoltre, in ottemperanza all’obbligo di informare, alla persona interessata va comunicato in modo chiaro che essa acconsente al trattamento dei suoi dati. La stessa non è obbligata a farlo per legge, la CII non impone perciò nessun obbligo specifico alla persona assicurata. In altre parole, il consenso alla CII non può essere imposto e un eventuale consenso negato non ha alcuna conseguenza per l’assicurato.
48 Non è necessario il consenso:
• per scambi di dati con l’ufficio AI in base all’articolo 85f capoversi 3 e 4 LADI;
• per comunicazioni alle autorità d’assistenza sociale in base all’articolo 97a capoverso 1 lettera f numero 1 LADI;
• per la comunicazione di dati a terzi in base all’articolo 97a capoverso 4 lettera b LADI (se non è stato ottenuto il consenso, ma è possibile darlo per scontato); e
• in caso di consenso negato se sono soddisfatte determinate condizioni in base all’articolo 19 capoverso 1 lettera d LPD.
Mancata reciprocità: regolamentazione dei casi specifici
49 La comunicazione di dati da parte dell’AD agli uffici della CII in linea di principio è lecita soltanto se sono soddisfatte tutte le condizioni relative al consenso della persona interessata e alla reciprocità dell’ufficio ricevente i dati.
Se manca una base legale per la reciprocità di uno scambio di dati tra l’AD e uno dei servizi elencati nell’articolo 85f capoverso 1 lettere a‒h LADI, in base all’articolo 97a capoverso 4 lettera b LADI in casi specifici l’AD può comunicare dati personali ad altri
uffici della CII soltanto se la persona interessata ha dato il consenso scritto o, qualora non sia possibile ottenerlo, se le circostanze permettono di presumere che la comunicazione sia nell’interesse dell’assicurato. La comunicazione di dati qui regolamentata si intende nei confronti di terzi.
E’ riservato l’articolo 97a capoverso 1 lettera f numero 1 LADI, secondo il quale i dati possono essere comunicati alle autorità d’assistenza sociale in determinati casi.
Comunicazione dei dati all’AI
50 L’articolo 85f capoverso 3 LADI e l’articolo 35a capoverso 1bis LC regolano separatamente la comunicazione di dati dell’AI. In base alle disposizioni dei due articoli, nel quadro della CII agli uffici dell’AI possono essere comunicati ripetutamente, regolarmente e automaticamente (non solo in casi specifici e su richiesta scritta) i dati delle persone interessate. Non è necessario che gli interessati diano il consenso alla comunicazione, devono però essere informati dello scambio e del suo contenuto. Devono inoltre essere soddisfatte tutte le seguenti condizioni:
• non si deve frapporre nessun interesse privato preponderante;
• non è ancora stabilito se i costi siano a carico dell’AD o dell’AI; e
• le informazioni servono a determinare se sono più adatti i provvedimenti di integrazione dell’AD o quelli dell’AI o se sussistono pretese nei confronti di un’altra assicurazione.
Inoltre, ai sensi dell’articolo 35 capoverso 3 lettera g LC, gli organi dell’AI hanno accesso al sistema PLASTA e possono trattare i dati ai fini del reinserimento professionale delle persone.
Consultazione dei dati COLSTA
51 La consultazione dei dati COLSTA da parte dei servizi elencati nell’articolo 85f capoverso 1 lettere a–h LADI è permessa alle condizioni di cui sopra (cfr. n. marg. 47 segg.). È pertanto ammesso visionare i dati ma non modificarli (cfr. art. 96c LADI, che si riferisce a organismi e servizi che attuano direttamente la LADI, e l’allegato II dell’OSI- AD).
52 La segretezza delle informazioni della CII è tutelata in primis dal Codice penale (art. 320 e 321 CP, ma anche art. 35 LPD). L’articolo 33 LPGA vincola l’AI e l’AD alla segretezza e l’articolo 34 LC impone l’obbligo del segreto alle persone attivamente coinvolte nell’attività del servizio pubblico di collocamento. Norme in materia sono presenti anche nelle legislazioni cantonali sull’aiuto sociale.
SISTEMI D’INFORMAZIONE DELL’UFFICIO DI COMPENSAZIONE
Principio generale e basi legali
53 SECO-TC gestisce diversi sistemi d’informazione per adempiere ai compiti stabiliti dalla legge nonché a fini statistici (art. 83 cpv. 1bis LADI). SECO-TC, in quanto detentore dei dati salvati nel proprio sistema d’informazione, è il solo responsabile del loro contenuto e del loro scopo.
SECO-TC quale detentore della collezione di dati
54 SECO-TC, in quanto detentore della collezione di dati, è obbligato ad attenersi alle norme in materia di protezione dei dati, a garantire la legalità del trattamento e a proteggere i dati (art. 7 LPD). SECO-TC deve assicurarsi che il trattamento dei dati non leda in nessun caso la personalità degli interessati. Devono essere osservate e rispettate tutte le direttive in materia di protezione dei dati.
Inserimento dei dati nei sistemi d’informazione
55 Tutti i dati raccolti sulla persona interessata vanno archiviati nei sistemi di informazione dell’ufficio di compensazione (p. es. moduli, disposizioni, verbali, certificati medici, documenti riguardo all’idoneità a lavorare, pareri medici). I sistemi possiedono campi di inserimento solamente per i dati personali di cui necessitano gli organi d’esecuzione per adempiere ai propri compiti (art. 96b LADI, art. 33a LC).
Non possono essere raccolti né registrati dati per cui non sono previsti campi di inserimento.
1 Parere del 16 aprile 2013 del Servizio giuridico dell’Amministrazione federale delle finanze.
(Art. 5 OSI-AD)
56 La migrazione, l’esportazione e l’importazione di dati sono una forma particolare di trattamento; vanno perciò osservate le stesse norme che si applicano al normale trattamento di dati.
Per migrazione di dati si intende il processo in cui vengono trasferiti dati personali da un sistema a un altro. Questo processo si divide in tre fasi:
1. esportazione e rettificazione dei vecchi dati;
2. mappatura delle vecchie e nuove strutture dati; e
3. importazione dei dati nel nuovo sistema.
Gli organi d’esecuzione non possono rilevare o registrare dati per i quali non è previsto un campo d’inserimento nel sistema d’informazione dell’ufficio di compensazione. A determinate condizioni possono però importare nei propri sistemi dati dei sistemi d’informazione.
57 Gli organi d’esecuzione possono utilizzare i dati dei sistemi d’informazione dell’ufficio di compensazione e importarli nei propri sistemi solamente se sono soddisfatte tutte le seguenti condizioni:
a. l’esportazione e l’utilizzo dei dati sono necessari per l’esecuzione della LADI o della LC;
b. gli organi esecutivi garantiscono l’osservanza delle disposizioni in materia di protezione dei dati per i dati esportati;
c. nel caso degli organi esecutivi cantonali, questi ultimi dispongono, per il proprio sistema d’informazione e per il trattamento di dati provenienti da altri sistemi, di una base legale in una legge cantonale in senso formale.
Gli organi d’esecuzione devono sempre assicurarsi della correttezza dei dati.
Procedura
cfr. n. marg. 76
TRATTAMENTO DI DATI DA PARTE DI TERZI
(art. 96b LADI; 33a LC)
58 La LADI e la LC consentono il trattamento dei dati da parte di terzi, in particolare nell’ambito del controllo dell’attuazione della LC (art. 33a cpv. 1 lett. e LC), come pure nel caso della comunicazione di dati per scopi di ricerca (art. 15 OSI-AD).
Il trattamento è affidato a terzi mediante contratto di esternalizzazione (art. 10a LPD, cfr.
n. marg. 61 segg.).
Condizioni di esternalizzazione
59 Il trattamento di dati da parte di terzi non include la comunicazione di tali dati, poiché il dominio sui dati resta del mandante e la responsabilità del trattamento non può essere trasferita.
Il detentore dei dati provvede affinché siano rispettate la protezione e la sicurezza dei dati e si assicura che siano trattati in conformità con il loro scopo, in particolare in merito al loro utilizzo e comunicazione. Deve essere garantita anche la sicurezza dei dati e la loro sorveglianza. Per i terzi valgono gli stessi principi del diritto sulla protezione dei dati validi per il detentore (art. 10a LPD e art. 22 cpv. 2 OLPD).
Garanzia di un’adeguata tutela dei dati
60 Esempi di misure per garantire un’adeguata tutela dei dati sono:
• scegliere accuratamente l’incaricato (a cui è affidato il trattamento);
• fornire all’incaricato una formazione approfondita e sufficienti informazioni sulla sensibilità dei dati;
• interrompere il rapporto di collaborazione in caso l’incaricato, nonostante le raccomandazioni, non garantisca la sicurezza necessaria;
• assicurare contrattualmente che l’incaricato disponga di provvedimenti tecnici ed organizzativi adatti a proteggere i dati contro ogni trattamento non autorizzato;
• obbligare l’incaricato a fare rapporto con regolarità o su richiesta in merito ai provvedimenti messi in atto per garantire la sicurezza dei dati (tipo di provvedimenti, efficacia, miglioramenti, eventuali situazioni di rilievo per la sicurezza); e
• svolgere audit periodici presso l’incaricato attraverso controlli a campione (xxxxxx di evitare che la colpa ricada sull’ufficio di compensazione nel caso in cui evidenti falle nella sicurezza dei dati imputabili all’incaricato causino lesioni della personalità).
Contratto di esternalizzazione
61 Qualsiasi trattamento di dati da parte di terzi richiede la stipulazione di un contratto dettagliato sulla protezione dei dati. Ciò si applica in particolare alla comunicazione di dati per scopi di ricerca (cfr. n. marg. 36 segg).
62 Le prescrizioni in materia di protezione dei dati e le convenzioni (ovvero i diritti e i doveri) vanno stabiliti per contratto, il quale stabilirà ad esempio:
• la situazione iniziale;
• l’oggetto e la portata del trattamento dei dati;
• le responsabilità;
• la sicurezza delle informazioni;
• i controlli (obbligo di fare rapporto e di informare);
• lo scopo del trattamento;
• l’accesso ai dati, il loro scopo e la loro comunicazione;
• l’obbligo di segretezza e riservatezza;
• i diritti delle persone interessate;
• le misure di sicurezza dei dati;
• la comunicazione e la trasmissione dei dati;
• l’obbligo di presentare rapporti periodici;
• i collegamenti di dati;
• la possibilità di svolgere controlli o un accordo su verifiche esterne;
• i rapporti con subcontraenti;
• il luogo del trattamento dei dati;
• le misure specifiche;
• la responsabilità civile (pene convenzionali);
• i rapporti con altre condizioni generali di utilizzo;
• la durata e la cessazione del contratto;
• l’anonimizzazione, la pseudonimizzazione e la cancellazione dei dati;
• il diritto applicabile e il foro competente.
Non è attualmente disponibile un modello di contratto per l’esternalizzazione a terzi del trattamento di dati.
Il contratto modello per la trasmissione di dati all’estero, disponibile solo in inglese, può tuttavia essere utile. (xxxxx://xxx.xxxxx.xxxxx.xx/xxxxx/xx/xxxx/xxxxxxxxxx-xxx- dati/handel-und-wirtschaft/imprese/notifica-delle-collezioni-di-dati/contratto-modello-per- l-esternalizzazione--outsourcing--di-tratt.html)
Dati rilevati dagli organi d’esecuzione per i propri sistemi
55 Agli organi d’esecuzione non è permesso trasmettere a terzi dati provenienti dai sistemi d’informazione dell’ufficio di compensazione dell’AD per richiederne il trattamento. Ciò significa che i dati importati da COLSTA o SIPAD nei propri sistemi (cantonali), in accordo con la SECO-TC, non possono essere trasmessi a terzi per il trattamento.
64 Gli organi d’esecuzione devono garantire la riservatezza, la disponibilità e l’integrità dei dati personali trattati e sono tenuti a proteggerli da trattamenti non autorizzati tramite provvedimenti tecnici e organizzativi appropriati (art. 7 LPD).
Per ulteriori informazioni si rimanda alla «Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati» dell’IFPDT (xxxxx://xxx.xxxxx.xxxxx.xx/ edoeb/it/home/protezione-dei-dati/dokumentation/guide/provvedimenti-tecnici-e- organizzativi-concernenti-la-protezione-.html).
65 Per provvedimenti tecnici si intendono gli strumenti tecnici o fisici che permettono di garantire la sicurezza dei dati, ovvero:
• l’accesso ai dati personali è protetto, ad esempio richiedendo l’inserimento di password o impronte digitali. Nel caso sia utilizzata una password, questa dovrà avere una complessità minima, ovvero dovrà contenere maiuscole e minuscole, numeri e simboli;
• il sistema impedisce ai collaboratori di visualizzare i dati senza autorizzazione;
• è garantita la gestione dei dati;
• i sistemi sono ideati in modo che la persona interessata possa essere informata in tempi ragionevoli sul trattamento di dati che lo riguardano (diritto d’accesso);
• i programmi per il trattamento di dati e quelli per la protezione da attacchi informatici (come i firewall) sono aggiornati e corrispondono allo stato attuale della tecnica;
• le e-mail che contengono dati personali vanno inviate criptate con chiave pubblica o altre procedure di crittografia riconosciute (allo stato dell’arte); e
• nella comunicazione elettronica i dati personali devono essere protetti con provvedimenti tecnici appropriati per tutelarne la confidenzialità e la correttezza. Durante la trasmissione non devono cioè verificarsi perdite di dati, falsificazioni o accessi non autorizzati. La SECO mette a disposizione degli organi d’esecuzione adeguate procedure tecniche.
66 I provvedimenti organizzativi sono strutture o processi che stabiliscono compiti e responsabilità per migliorare la sicurezza dei dati, ad esempio:
• possono essere consultati solo i dati personali di cui si ha bisogno per svolgere le proprie mansioni. Nella maggior parte degli uffici cantonali preposti o delle casse di disoccupazione private il personale autorizzato, da un punto di vista puramente tecnico, ha accesso a tutti i dati degli assicurati, ovvero non esiste una gerarchia dinamica dei permessi di accesso. Per questo motivo i collaboratori devono essere istruiti a richiamare solo i dati di cui hanno strettamente bisogno per svolgere le proprie mansioni (cfr. COLSTA o DMS-COLSTA);
• la procedura grazie alla quale il personale può ottenere o perdere l’autorizzazione ad accedere al sistema (procedura di autorizzazione degli utenti) è stabilita chiaramente e deve essere documentata;
• a intervalli regolari viene svolto un controllo per verificare che tutti i permessi e gli utenti autorizzati siano aggiornati;
• tutti i controlli effettuati, le attività critiche, gli errori o le procedure non riuscite vengono documentati;
• le responsabilità in merito ai dati sono assegnate chiaramente; eventuali abusi e conseguenti lesioni dei diritti della personalità devono essere riconducibili a chi li commette;
• le strutture operative sono stabilite in modo da evitare trasporti o spostamenti di dati non necessari; e
• i collaboratori vengono formati nella gestione dei dati, che devono trattare con riservatezza.
CONSERVAZIONE, ARCHIVIAZIONE E DISTRUZIONE DEI DATI (ANCHE IN FORMA CARTACEA)
67 L’articolo 21 LPD stabilisce che i dati personali non più necessari vadano archiviati, distrutti o resi anonimi. Lo scopo è, trascorso un dato periodo di tempo, di recuperare i dati personali dall’organo federale responsabile del trattamento e consegnarli agli archivi storici o distruggerli.
68 I dati personali possono essere conservati solo fintanto che il motivo per cui sono stati rilevati lo richiede (vincolo a uno scopo). Il periodo di conservazione va determinato nei singoli casi. La giurisprudenza specifica, tuttavia, che non è ammesso conservare o archiviare dati per un periodo indefinito (DTF 113 Ia 257). In assenza di una base legale esplicita, secondo la prassi corrente i dati personali devono essere distrutti o resi anonimi entro dieci anni.
69 Conformemente all’articolo 21 capoverso 2 lettera a LPD i dati resi anonimi possono essere conservati illimitatamente dato che l’anonimizzazione permette di eliminare ogni riferimento alla persona e, per quanto riguarda la tutela della sfera personale e della personalità, ha lo stesso effetto della distruzione dei dati.
70 L’articolo 125 OADI è dedicato alla conservazione degli atti da parte delle casse di disoccupazione:
● I dati dei libri di commercio e dei documenti contabili sono conservati per dieci anni.
● I dati sui casi assicurativi sono conservati per cinque anni dopo il loro ultimo trattamento.
71 Ai sensi della legge federale sull’archiviazione (LAr; RS 152.1), hanno un valore archivistico i documenti con un’importanza giuridica o amministrativa o un grande valore informativo (art. 3 LAr). I documenti della Confederazione che hanno valore archivistico sono conservati presso gli archivi della Confederazione. I dati personali contenuti nei sistemi d’informazione dell’AD non sono considerati di valore archivistico. Non vengono quindi trasferiti agli archivi della Confederazione per l’archiviazione e devono essere distrutti alla scadenza del termine di conservazione (cfr. art. 9a OPGA).
72 I dati privi di valore archivistico, come quelli dell’AD, vanno distrutti alla scadenza del termine di conservazione (cfr. n. marg. 70).
La distruzione dei dati dei sistemi d’informazione dell’ufficio di compensazione spetta a SECO-TC. Tale distruzione va comunicata ai servizi a cui sono stati trasmessi tali dati affinché procedano a loro volta alla distruzione nei propri sistemi. Infine, gli organi d’esecuzione sono responsabili della distruzione di ogni altro dossier e dato in loro possesso.
73 L’anonimizzazione o la distruzione di dati (art. 21 cpv. 2 LPD) deve essere trasparente e verificabile. Gli organi d’esecuzione sono responsabili dell’anonimizzazione e della distruzione, secondo i criteri stabiliti, dei dati raccolti nei propri sistemi o atti. Devono garantire che i propri procedimenti operativi non permettano il persistere di dati cancellati. Idealmente la cancellazione dovrebbe essere effettuata centralmente e non per mano dei singoli collaboratori.
Richiesta d’accesso ai dossier ai sensi dell’articolo 126 capoverso 2 OADI
Modalità di richiesta
74 Preferibilmente per iscritto, allegando copia di un documento d’identità ufficiale (carta d’identità o passaporto). L’autorità responsabile può rinunciare alla presentazione di un documento d’identità se la persona richiedente le è nota o può essere identificata con altri mezzi.
Un eventuale rappresentante deve essere in possesso di procura.
La procedura può anche avvenire per via elettronica a condizione che la persona utilizzi una piattaforma sicura.
Autorità responsabili
75 Dossier attivi: URC competente e/o cassa di disoccupazione, ognuno relativamente ai dossier a cui hanno accesso.
Dossier chiusi: ufficio di compensazione dell’AD
Segreteria di Stato dell’economia SECO Direzione del lavoro
Mercato del lavoro / Assicurazione contro la disoccupazione Xxxxxxxxxxxxx 00, 0000 Xxxxx
Richiesta di esportazione di dati ai sensi dell’articolo 5 OSI-AD
76 L’esportazione di dati dai sistemi d’informazione menzionati all’articolo 83 capoverso 1bis LADI ai sistemi d’informazione degli organi d’esecuzione richiede, nel caso si tratti della prima esportazione, un’autorizzazione dell’ufficio di compensazione dell’AD.
Gli organi d’esecuzione sottopongo la richiesta all’ufficio di compensazione, specificando quali dati sono interessati e giustificando la necessità di esportarli nei loro sistemi d’informazione per eseguire i loro compiti. Devono anche essere in grado di assicurare un’adeguata protezione dei dati.
I Cantoni devono anche dimostrare l’esistenza di una base legale, sia per il sistema in cui i dati saranno importati sia per il principio del trasferimento dei dati dai sistemi d’informazione dell’assicurazione contro la disoccupazione al sistema cantonale interessato.
L’utilizzo dei dati è strettamente limitato a quanto necessario per l’esecuzione della LADI e della LC (cfr. Rapporto esplicativo sulla modifica dell’ordinanza sull’assicurazione contro la disoccupazione e ordinanza sui sistemi d'informazione AD, maggio 2021, p. 19).
Domanda di comunicazione di dati ai sensi dell’articolo 15 OSI-AD
Modalità di richiesta
77 La richiesta deve essere presentata per iscritto ed essere accompagnata da giustificativi. Sono considerati tali quei documenti che permettono di determinare quali dati necessitano di essere trasmessi (p. es. contratto di mandato, documentazione di un progetto di ricerca approvato). In particolare, la sola decisione di esternalizzazione non è sufficiente.
Il documento deve descrivere almeno le finalità del trattamento, la natura delle operazioni effettuate sui dati, le tipologie di dati personali trattati, le categorie e il numero di persone interessate nonché la durata del trattamento.
Autorità responsabile
78 Ufficio di compensazione dell’assicurazione contro la disoccupazione
Segreteria di Stato dell’economia SECO Direzione del lavoro
Mercato del lavoro / Assicurazione contro la disoccupazione Xxxxxxxxxxxxx 00, 0000 Xxxxx
DOCUMENTI, APPLICAZIONE E LINK UTILI
• UFAS, Circolare sull’obbligo del segreto e sulla comunicazione dei dati nell’AVS/AI/IPG/PC/AF/AFam, 1° gennaio 2014.
• xxx.xxxxx.xxxxx.xx (Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
• IFPDT, Diritti delle persone interessate dal trattamento dei dati personali, maggio 2014.
• IFPDT, Che cosa deve contenere un regolamento sul trattamento di un organo federale?, maggio 2014. (xxxxx://xxx.xxxxx.xxxxx.xx/xxxxx/xx/xxxx/xxxxxxxxxx-xxx- dati/dokumentation/guide/provvedimenti-tecnici-e-organizzativi-concernenti-la- protezione-.html)
• IFPDT, Spiegazioni concernenti la comunicazione di dati a carattere personale all’estero secondo la LPD riveduta, gennaio 2017.
(xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/00/xxxxxxxxxxxxxx_xxxxxx ermittlungvonpersonendateninsausland.pdf.download.pdf/spiegazioni_concernentilacom unicazionedidatiacaratterepersonalea.pdf)
• IFPDT, La Trasmissione dei dati all’estero in breve. All’attenzione delle autorità federali e dell’economia privata, gennaio 2017.
(xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%X0%XXxxxxxxxxxxx
%20kurz%20erkl%C3%A4rt.pdf.download.pdf/%C3%9Cbermittlung%20ins%20Ausland
%20kurz%20erkl%C3%A4rt%20i.pdf)
• xxxx://xxx.xxxxxxxx.xx/xx/ (Conferenza degli incaricati svizzeri per la protezione dei dati)
• Applicazione «Xxxxxxxxxxx.xx» dell’incaricato della protezione dei dati del Canton Zurigo: contiene strumenti completi su temi relativi alla legislazione sulla protezione dei dati, tra cui il Passwortcheck (controllo della sicurezza delle password) e i dizionari sulla protezione dei dati.
• xxxxx://xxxx.xxxxxx.xx/_xx (Garante europeo della protezione dei dati)