Regolamento di applicazione alla legge cantonale sulla protezione dei dati personali (163.110)
CH - TI

Regolamento di applicazione alla legge cantonale sulla protezione dei dati personali

1 Regolamento di applicazione alla legge cantonale sulla protezione dei dati personali (RLPDP) (del 6 dicembre 2000) IL CONSIGLIO DI STATO DELLA REPUBBLICA E CANTONE TICINO d e c r e t a : TITOLO I Norme generali Art. 1 ...
1

Definizioni

Banca dati

Art. 2

2 1 La banca dati o banca di dati personali è un archivio o un insieme di archivi di dati personali elaborati in forma elettronica o informatizzata da uno o più organi.
2 Alla banca dati si applicano per analogia le norme sugli archivi di dati personali, riservate specifiche esigenze di sicurezza.

Copie di archivi

Art. 3

Sono considerate copie o strumenti di lavoro ai sensi dell’art. 19 cpv. 3 lett. c) della legge, le raccolte di dati personali che contengono la totalità o una parte di un archivio di dati personali già notificato nel Registro centrale o che servono esclusivamente alla semplificazione del lavoro. TITOLO II Principi per l’elaborazione dei dati personali

Liceità

Art. 4

1 L’organo responsabile: a) b)
2 Al fine di garantire il rispetto delle disposizioni in materia di protezione dati, l’organo responsabile comunica all’Incaricato cantonale della protezione dei dati (in seguito: Incaricato), nella sua qualità di autorità cantonale di vigilanza e controllo, l’intenzione di procedere ad un’elaborazione sistematica di dati personali. 3

Elaborazione da parte di più organi

Art. 5

4 L’utilizzazione da parte di più organi responsabili di una banca di dati personali oppure l’elaborazione da parte di un organo dei dati personali contenuti nell’archivio di dati di un altro organo responsabile, è sottoposta al preavviso dell’Incaricato.

Raccolta dei dati

(art. 9 LPDP) Eccezioni Art. 6 Le eccezioni all’art. 9 cpv. 1 della legge sono ammesse se la raccolta è necessaria per l’adempimento di un mandato conferito ad un’Autorità giudiziaria o amministrativa.

1

Art. abrogato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

2

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

3

Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

4

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

2

Obbligo di informazione

Art. 7

L’organo responsabile deve informare la persona interessata se i dati personali che la concernono sono utilizzati per uno scopo diverso da quello originario.

Trasmissione di dati personali

(art. 10 e segg. LPDP)

Art. 8

1 L’organo responsabile verifica d’ufficio la compatibilità degli scopi della propria elaborazione con quelli del destinatario della trasmissione.
2 In caso d’incompatibilità l’organo responsabile ne dà immediata comunicazione all’Incaricato.
5

Trasmissione a persone od organizzazioni private

Istanza e procedura

Art. 9

1 L’organo responsabile decide su istanza la trasmissione di dati personali a persone od organizzazioni private.
2 In caso di richiesta di trasmissione sistematica o periodica di dati personali, l’istanza deve contenere: a) b) c)

Convenzione

Art. 10

1 La trasmissione di dati personali deve essere preceduta dalla stipulazione di una convenzione tra l’organo responsabile, proprietario dei dati, e il richiedente.
2 La convenzione deve indicare: a) b) c) d) e) f)
6 g) h) i)
3 Se la trasmissione di dati personali è periodica, la convenzione deve pure contenere la frequenza della trasmissione e il riferimento all’ultimo aggiornamento dei dati.

Trasmissione di dati per indirizzari

e pubblicazioni similari

(art. 11 cpv. 4 LPDP)

Art. 11

1 Le trasmissioni di dati personali in vista dell’allestimento d’indirizzari e pubblicazioni similari devono fare oggetto di una convenzione.
2 Possono essere trasmessi il nome, il cognome e l’indirizzo.

Tramite l’ufficio controllo abitanti

(art. 12 LPDP)

Art. 12

1 La trasmissione di dati personali, ai sensi dell’art. 12 della legge, è sottoposta all’obbligo della convenzione se, cumulativamente: a) b)
2 Tutte le richieste e le relative decisioni dell’Autorità comunale dovranno essere conservate a disposizione dell’Incaricato per una durata di cinque anni. 7

5

Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

6

Lett. modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

7

Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.
3
Trasmissione all’estero (art. 14a LPDP)

Obbligo di informare

Art. 12a 8 1 L’organo responsabile che intende trasmettere dati personali all’estero deve rispettare i principi generali della LPDP e accertarsi preventivamente dell’adeguatezza della protezione dei dati nello Stato di destinazione.
2 Prima della trasmissione all’estero, esso informa l’Incaricato sulle garanzie e sulle regole di protezione dei dati ai sensi dell’art. 14a cpv. 2 lett. a LPDP.
3 L’obbligo di informare è considerato adempito se i dati sono trasmessi mediante contratto modello o clausole standard allestiti o riconosciuti dall’Incaricato e se l’organo responsabile informa in modo generale l’Incaricato dell’impiego di tali contratti modello o clausole standard.
4 L’Incaricato pubblica un elenco di tali contratti modello o clausole standard.
5 L’organo responsabile può applicare anche altre garanzie, quali una convezione specifica di protezione dei dati o clausole contenute in altri contratti; queste garanzie speciali devono assicurare un livello di protezione adeguato.
6 L’organo responsabile prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati.
7 L’Incaricato esamina le garanzie e le regole sulla protezione dei dati che gli sono state comunicate (art. 14 cpv. 2 LPDP) e comunica il risultato del suo esame all’organo responsabile entro 30 giorni dalla ricezione dell’informazione.

Stati che adempiono il requisito di adeguatezza

Art. 12b 9
1 Per valutare l’adeguatezza della protezione dei dati in vista di una trasmissione all’estero, l’organo responsabile può fondarsi sull’elenco, pubblicato e aggiornato dalle autorità federali, degli Stati che dispongono di una legislazione che assicura una protezione dei dati adeguata.
2 L’Incaricato cura e coordina la necessaria informazione.

Trasmissione dei dati a fini statistici

(art. 15 LPDP)

Art. 13

1 La trasmissione di dati personali a persone o servizi che elaborano statistiche o a istituti di ricerca deve essere sottoposta alla stipulazione di una convenzione.
2 L’organo responsabile accerta che: a) b)
Sicurezza (art. 17 LPDP) Art. 14
1 L’organo responsabile prende tutte le misure idonee a garantire la sicurezza dei dati in funzione del tipo di dati elaborati (neutri o sensibili).
2 L’Incaricato può controllare in ogni momento l’efficacia delle misure di sicurezza ed emanare le istruzioni per il loro potenziamento. 10 TITOLO III Norme per gli archivi di dati
Registro dell’organo responsabile (art. 19 LPDP) Art. 15
11 L’organo responsabile comunica all’Incaricato ogni costituzione, distruzione o modifica
Registro centrale (art. 20 LPDP) Art. 16 1 Il Registro centrale contiene le indicazioni sulla denominazione dell’archivio, sull’organo responsabile, sul tipo d’elaborazione, sulla base legale e sulla natura dei dati.
2 Esso è pubblico e può essere consultato in ogni momento presso l’Incaricato.
3 L’Incaricato pubblica sul Foglio Ufficiale la costituzione e gli aggiornamenti del Registro centrale. 12

8

Art. introdotto dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

9

Art. introdotto dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

10

Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

11

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

12

Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

4

TITOLO IV Diritti della persona interessata
Consultazione dei registri (art. 22 LPDP) Art. 17 Il Registro centrale e il Registro dell’organo responsabile possono essere consultati liberamente.
Informazione (art. 23 LPDP) Art. 18
1 Chi intende ottenere delle informazioni dall’organo responsabile deve provare la propria identità.
2 L’organo responsabile informa, immediatamente o entro breve termine, la persona interessata su: a) b)
3 L’informazione è data in forma scritta e, se richiesta, verbalmente, oppure, se i mezzi tecnici lo permettono, con la consultazione diretta.
Limitazioni (art. 24 LPDP) Art. 19 1 La limitazione della consultazione degli archivi è motivata nella forma scritta. 13
2 Sono riservate le disposizioni speciali in materia di dati sanitari.
Rettifica (art. 25 LPDP) Art. 20 La rettifica è notificata a tutti i destinatari regolari dei dati personali. TITOLO V Vigilanza, rimedi giuridici e sanzioni 14

Incaricato cantonale della protezione dei dati

(art. 30 segg. LPDP)

Organizzazione

15 Art. 21 16 Nell’esercizio delle sue mansioni, l’Incaricato procede per il tramite del Servizio per la protezione dei dati, di cui egli è il responsabile.

Commissione cantonale per la protezione dei dati

(art. 31 segg. LPDP) 17 Art. 22 18
1 La Commissione cantonale per la protezione dei dati adotta un proprio regolamento concernente l’organizzazione, il funzionamento e la procedura.
2 Il regolamento è pubblicato nel Bollettino Ufficiale delle leggi e degli atti esecutivi. Art. 23 ... 19
Autorità di vigilanza comunali (art. 31b LPDP)

Regolamento comunale e nomina

20 Art. 24 21 1 I comuni possono prevedere nel proprio regolamento l’istituzione di un Servizio comunale per la protezione dei dati nominando ogni quadriennio un Incaricato comunale della protezione dei dati (in seguito: Incaricato comunale).
2 All’Incaricato comunale sono attribuite, per il territorio comunale, le competenze di cui all’art. 30 lett. a), b), c), d), e), f) della legge.
3 L’Incaricato comunale adempie la missione in modo autonomo e indipendente. Dal comune gli sono attribuite risorse adeguate.

13

Cpv. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

14

Sottotitolo modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

15

Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

16

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

17

Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

18

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

19

Art. abrogato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

20

Nota marginale modificata dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

21

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.
5
4 L’Incaricato comunale collabora, nella misura necessaria allo svolgimento dei propri compiti, con l’Incaricato cantonale, in particolare scambiando con lui ogni informazione utile.

Approvazione della regolamentazione comunale

Art. 25

22 L’Incaricato cantonale preavvisa al Consiglio di Stato l’approvazione della normativa comunale in materia di protezione dei dati personali.

Comunicazione delle nomine

Art. 26

23 Il Municipio comunica all’Incaricato cantonale il nominativo della persona nominata quale Incaricato comunale.

Registro comunale

Art. 27

24 L’Incaricato comunale trasmette all’Incaricato cantonale copia del Registro comunale degli archivi dei dati personali e i relativi aggiornamenti. TITOLO VI Norme finali e transitorie

Norma transitoria

Art. 28

I comuni sono tenuti a modificare, se necessario, i regolamenti comunali entro due anni dall’entrata in vigore del presente regolamento.

Norma abrogativa

Art. 29

È abrogato il Regolamento di applicazione della legge sulla protezione dei dati del 5 luglio 1990.

Entrata in vigore

Art. 30

Il presente regolamento è pubblicato nel Bollettino ufficiale delle leggi e degli atti esecutivi ed entra in vigore il 1. gennaio 2001. Pubblicato nel BU 2000 , 386.

22

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

23

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.

24

Art. modificato dal R 17.9.2008; in vigore dal 1.10.2008 - BU 2008, 554.
Markierungen
Leseansicht