BGE-125-II-473 - 1999-09-01 - DTF - Diritto amministrativo e diritto internazionale pubblico - Art. 4 Cost.; art. 8 LPD e art. 9 LPD; diritto di consultare documenti interni. Il diritto d'accesso ai dati giusta l'art.

Urteilskopf

125 II 473

47. Auszug aus dem Urteil der I. öffentlichrechtlichen Abteilung vom 1. September 1999 i.S. A. gegen Schweizerische Unfallversicherungsanstalt und Eidgenössische Datenschutzkommission (Verwaltungsgerichtsbeschwerde)
Regeste (de):

Art. 4 BV; Art. 8 DSG und Art. 9 DSG; Anspruch auf Einsicht in interne Akten.

Das datenschutzrechtliche Auskunftsrecht gemäss Art. 8 DSG deckt sich nicht mit dem verfahrensrechtlichen Akteneinsichtsrecht gemäss Art. 4 BV (E. 4a).

Der Auskunftsanspruch gemäss Art. 8 DSG erstreckt sich auch auf interne Akten in einem Verwaltungsverfahren (E. 4b).

Voraussetzungen der Verweigerung der Akteneinsicht gemäss Art. 9 DSG. Die Einsicht in interne Akten in einem Verwaltungsverfahren darf nicht generell, d.h. ohne nähere Prüfung der fraglichen Dokumente verweigert werden (E. 4c).

Regeste (fr):

Art. 4 Cst.; art. 8 LPD et art. 9 LPD; droit de consulter des documents internes.

Le droit d'accès aux données ménagé par l'art. 8 LPD ne se recoupe pas avec le droit procédural de consulter le dossier déduit de l'art. 4 Cst. (consid. 4a).

Le droit d'accès aux données visé par l'art. 8 LPD s'étend aussi aux documents internes d'une procédure administrative (consid. 4b).

Conditions auxquelles peut être refusée la communication des renseignements demandés selon l'art. 9 LPD. La consultation de documents internes d'une procédure administrative ne peut pas être refusée globalement sans un examen spécifique des documents litigieux (consid. 4c).

Regesto (it):

Art. 4 Cost.; art. 8 LPD e art. 9 LPD; diritto di consultare documenti interni.

Il diritto d'accesso ai dati giusta l'art. 8 LPD non coincide con il diritto procedurale di consultare l'incarto dedotto dall'art. 4 Cost. (consid. 4a).

Il diritto d'accesso ai dati giusta l'art. 8 LPD si estende anche ai documenti interni in un procedimento amministrativo (consid. 4b).

Condizioni alle quali può essere rifiutata, secondo l'art. 9 LPD, l'informazione richiesta. La consultazione di documenti interni in un procedimento amministrativo non può essere rifiutata in modo generale, cioè senza un loro esame specifico (consid. 4c).

Sachverhalt ab Seite 474

BGE 125 II 473 S. 474

A. erlitt am 4. März 1994 als Beifahrer einen Verkehrsunfall, in dessen Folge er bei der Kreisagentur Zürich der Schweizerischen Unfallversicherungsanstalt (SUVA) Versicherungsleistungen beanspruchte. Im Verlaufe der versicherungsrechtlichen Abklärungen ersuchte der Rechtsvertreter von A. um Zustellung der Akten samt eines Röntgenbilderverzeichnisses. Die Kreisagentur entsprach dem Gesuch, wies aber darauf hin, dass kein Verzeichnis der Röntgenbilder geführt werde. Der Rechtsvertreter des Verunfallten hielt die unterbreiteten Akten für unvollständig und verlangte daher am 5. Dezember 1997 die Zustellung der internen Akten. Der Hauptsitz der SUVA in Luzern teilte ihm darauf am 12. Januar 1998 mit, dass interne Akten grundsätzlich nicht ediert würden. Am 19. Januar 1998 erhob A. bei der Eidgenössischen Datenschutzkommission (EDSK) Beschwerde und verlangte Einsicht in sämtliche, insbesondere auch in die internen Akten. Die EDSK ging davon aus, das Schreiben der SUVA vom 12. Januar 1998 enthalte Anordnungen, welche das datenschutzrechtliche Auskunftsrecht beträfen, und stelle somit eine Verfügung im Sinn von Art. 5 Abs. 2 VwVG dar. Sie trat daher auf die Beschwerde ein, wies diese aber mit Entscheid vom 15. Mai 1998 ab. Die von A. gegen den Entscheid der EDSK erhobene Verwaltungsgerichtsbeschwerde heisst das Bundesgericht teilweise gut
Erwägungen

aus folgender Erwägung:

4. a) In der Sache ist streitig, ob dem Beschwerdeführer auch über die verwaltungsinternen Akten des unfallversicherungsrechtlichen Verfahrens Auskunft zu erteilen sei. Nach der Praxis des Bundesgerichts und des Eidgenössischen Versicherungsgerichts besteht weder nach der Akteneinsichtsordnung des Verwaltungsverfahrensgesetzes noch jener des Unfallversicherungsgesetzes noch auf Grund des verfassungsmässigen Mindestschutzes nach Art. 4 BV ein Anspruch auf Einsicht in verwaltungsinterne Akten (BGE 115 V 297 E. 2g S. 303 ff.; BGE 113 Ia 1 E. 4c/cc S. 9 f., 286 E. 2d S. 288 f.). Als verwaltungsinterne Akten gelten dabei Unterlagen, denen für die Behandlung eines Falles kein Beweischarakter zukommt, welche vielmehr ausschliesslich der verwaltungsinternen Meinungsbildung dienen und somit für den verwaltungsinternen Gebrauch bestimmt sind (z.B. Entwürfe, Anträge, Notizen, Mitberichte, Hilfsbelege usw.). Mit dem Ausschluss des Einsichtsrechts in diese Akten soll verhindert werden, dass die
BGE 125 II 473 S. 475

interne Meinungsbildung der Verwaltung über die entscheidenden Aktenstücke und die erlassenen begründeten Verfügungen hinaus vollständig vor der Öffentlichkeit ausgebreitet wird. In der Literatur ist die Unterscheidung zwischen internen und anderen Akten allerdings umstritten (vgl. JÖRG PAUL MÜLLER, Grundrechte in der Schweiz, 3. Aufl., Bern 1999, S. 529 f.; GEORG MÜLLER, Kommentar BV, N. 109 zu Art. 4 BV; ALFRED KÖLZ/ISABELLE HÄNER, Verwaltungsverfahren und Verwaltungsrechtspflege des Bundes, 2. Aufl., Zürich 1998, Rz. 296; RENÉ A. RHINOW/HEINRICH KOLLER/CHRISTINA KISS, Öffentliches Prozessrecht und Justizverfassungsrecht des Bundes, Basel/Frankfurt a.M. 1996, Rz. 345; ALEXANDER DUBACH, Das Recht auf Akteneinsicht, Diss. Bern, Zürich 1990, S. 19 und 27). Nach Ansicht der SUVA ist das Auskunftsrecht gemäss Art. 8 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) der gleichen (generellen) Beschränkung unterworfen wie das Akteneinsichtsrecht gemäss Art. 4 BV. Dem kann nicht ohne weiteres zugestimmt werden. Das datenschutzrechtliche Auskunftsrecht und das verfahrensrechtliche Akteneinsichtsrecht sind selbständige Ansprüche, die hinsichtlich Umfang und Voraussetzungen nicht deckungsgleich sind, d.h. je ihren besonderen Anwendungsbereich haben, der vom anderen Anspruch nicht beschlagen wird (BGE 123 II 534 E. 2e S. 538 f.; DUBACH, a.a.O., S. 208 ff.). Die Ausnahmen vom datenschutzrechtlichen Auskunftsrecht sind in den Art. 9 und 10 DSG abschliessend normiert. Sie stimmen nicht unbedingt mit den Einschränkungen des Akteneinsichtsrechts überein, welche die Rechtsprechung z.B. aus Gründen der Funktionsfähigkeit der Verwaltung zulässt. Im Folgenden ist daher aus datenschutzrechtlicher Sicht zu prüfen, ob und gegebenenfalls inwieweit der Beschwerdeführer einen Anspruch hat, über die umstrittenen internen Akten informiert zu werden. b) Gemäss Art. 8 Abs. 2 lit. a DSG erstreckt sich das Auskunftsrecht auf alle über eine Person in einer Datensammlung vorhandenen Daten, d.h. auf alle Angaben, die sich auf diese Person beziehen (Art. 3 lit. a DSG) und ihr zugeordnet werden können (Art. 3 lit. g DSG; vgl. hierzu das Urteil der Datenschutzkommission vom 21. November 1997, VPB 62/1998 Nr. 57 E. 4 S. 539). Es spielt dabei keine Rolle, ob es sich um Tatsachenfeststellungen oder um Werturteile handelt (URS BELSER in: Kommentar zum Schweize--rischen Datenschutzgesetz, hrsg. URS MAURER/NEDIM PETER VOGT,
BGE 125 II 473 S. 476

Basel/Frankfurt a.M. 1995, N. 5 zu Art. 3). Unerheblich ist auch die Art der Speicherung. Schliesslich kommt es auch nicht auf die Bezeichnung der Datensammlung durch den Inhaber an. Das Auskunftsrecht kann nicht dadurch unterlaufen werden, dass z.B. neben der «offiziellen» Datensammlung auch eine «inoffizielle» geführt wird (ALEXANDER DUBACH in: Kommentar zum Schweizerischen Datenschutzgesetz, N. 34 zu Art. 8; Stellungnahme des Eidgenössischen Datenschutzbeauftragten vom 21. November 1997, VPB 62/1998 Nr. 59 Ziff. 3.2 S. 552). Somit erstreckt sich der Auskunftsanspruch gemäss Art. 8 DSG auch auf Akten, die zwar von der Verwaltung als «intern» bezeichnet werden, die aber Angaben über den Gesuchsteller enthalten und diesem zugeordnet werden können. Dieses Ergebnis findet seine Rechtfertigung darin, dass erst das Auskunftsrecht den Betroffenen in die Lage versetzt, seine übrigen Datenschutzrechte wahrzunehmen. Gemäss Art. 4 DSG muss die Bearbeitung von Personendaten verhältnismässig sein (Abs. 2) und sie darf nur zum Zweck erfolgen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Abs. 3). Das Datenschutzgesetz verbietet daher das Sammeln von Personendaten «auf Vorrat» und verlangt, dass nur diejenigen Daten erhoben und gespeichert werden, die eine Behörde zur Erfüllung ihrer Aufgabe objektiv benötigt. Das Auskunftsrecht ermöglicht dem Betroffenen, die Einhaltung der materiellen Grund- sätze des Datenschutzes zu überprüfen und seine Rechte wahrzunehmen, so z.B. die Berichtigung unrichtiger Daten (Art. 5 Abs. 2 DSG), die Sperrung der Bekanntgabe gewisser Daten (Art. 20 Abs. 1 DSG) oder die Anonymisierung und Vernichtung nicht benötigter Daten zu verlangen (Art. 21 DSG). Diese Rechte muss der Betroffene gerade auch bezüglich interner, ihm im Verwaltungsverfahren nicht ohne weiteres zugänglicher Akten ausüben können, namentlich wenn diese - wie die internen Akten der SUVA - besonders schützenswerte Personendaten enthalten (z.B. über medizinische Befunde). Im vorliegenden Fall stellt die SUVA nicht in Frage, dass die umstrittenen als «intern» bezeichneten Akten sich auf den Beschwerdeführer beziehen. Folglich ist dieser grundsätzlich berechtigt, Auskunft über diese Akten zu erhalten. Davon ging im Übrigen auch die EDSK aus. Es fragt sich damit einzig, ob Gründe vorliegen, die eine Einschränkung des datenschutzrechtlichen Auskunftsrechts rechtfertigen.
BGE 125 II 473 S. 477

c) Nach Art. 9 Abs. 1 DSG kann der Inhaber der Datensammlung die Auskunft verweigern, einschränken oder aufschieben, soweit ein formelles Gesetz dies vorsieht (lit. a) oder dies wegen überwiegender Interessen eines Dritten erforderlich ist (lit. b). Für eidgenössische Datensammlungen kommen gemäss Abs. 2 zusätzliche Einschränkungsgründe in Betracht: Ein Bundesorgan kann die Auskunft insoweit einschränken, als dies überwiegende öffentliche Interessen - insbesondere der inneren oder äusseren Sicherheit der Eidgenossenschaft - gebieten (lit. a); im Weiteren ist eine Begrenzung zulässig, soweit die Auskunft den Zweck einer Strafuntersuchung oder eines anderen Untersuchungsverfahrens in Frage stellen würde (lit. b). aa) Die EDSK ging in ihrem Entscheid davon aus, in einem hängigen erstinstanzlichen Verwaltungsverfahren könne die Bekanntgabe interner Aufzeichnungen und Mitteilungen die Arbeitsabläufe und die unabhängige Meinungsbildung der Verwaltung in empfindlicher Weise stören. Sie hielt es für zulässig, gemäss Art. 9 Abs. 2 lit. b DSG die Auskunft über solche Akten zu verweigern. Dieser Auffassung ist insoweit zuzustimmen, als die Meinungsbildung der Behörden einen ungezwungenen, offenen Meinungsaustausch voraussetzt, der durch ein unbeschränktes Auskunftsrecht auch während des laufenden erstinstanzlichen Verfahrens verunmöglicht werden könnte. Müsste jede Besprechungsnotiz, jeder Aktenvermerk über das weitere Vorgehen oder noch abzuklärende Fragen und jede vorläufige Stellungnahme dem Versicherten auf Anfrage bekannt gegeben werden, könnte dies den Ablauf des Verfahrens erheblich stören und die sachgerechte Aufgabenerfüllung der Verwaltung in Frage stellen. In diesem Sinn lässt sich gestützt auf die erwähnte Bestimmung, die einen Sonderfall der Geheimhaltung aus überwiegendem öffentlichen Interesse regelt, eine gewisse Beschränkung des Auskunftsrechts rechtfertigen. Allerdings muss eine solche Einschränkung - angesichts der grossen Bedeutung des Auskunftsrechts für den Datenschutz (vgl. BBl 1988 II 452) - auf das zeitlich und sachlich unbedingt Notwendige begrenzt werden. bb) In zeitlicher Hinsicht rechtfertigt sich eine Verweigerung der Auskunft nur solange, als das erstinstanzliche Verfahren noch hängig ist. Dies scheint auch die Ansicht der EDSK zu sein. Sobald der Meinungsbildungsprozess der Verwaltung abgeschlossen ist, besteht kein zwingender Grund mehr für die Einschränkung des Auskunftsrechts. In diesem Zeitpunkt muss die Behörde vielmehr entscheiden, ob sie die vorläufigen Stellungnahmen, Entwürfe,
BGE 125 II 473 S. 478

Anträge etc. selber noch benötigt und aufbewahren will oder nicht. Im Fall der Aufbewahrung unterliegen diese Dokumente dem Auskunftsanspruch, sofern sie Personendaten enthalten. cc) In sachlicher Hinsicht ist die Verweigerung der Auskunft auf das zum Schutz der verwaltungsinternen Meinungsbildung Notwendige zu beschränken. Wie bereits dargelegt wurde, kann die im Zusammenhang mit dem verfahrensrechtlichen Akteneinsichtsrecht entwickelte Abgrenzung zwischen externen und internen Akten nicht ohne weiteres als Mass- stab für die Begrenzung des Auskunftsrechts nach Art. 8 DSG dienen. Das Recht auf Einsicht in die Akten eines hängigen Verfahrens soll den Verfahrensbeteiligten die Kenntnisnahme der Entscheidgrundlagen ermöglichen, eine wirksame und sachbezogene Stellungnahme erlauben und die Akzeptanz der Entscheidung fördern (vgl. JÖRG PAUL MÜLLER, a.a.O, S. 525). Die Akteneinsicht erstreckt sich grundsätzlich auf alle Akten, die geeignet sind, Grundlage für die spätere Entscheidung zu bilden, d.h. entscheidrelevant sind oder sein könnten (BGE 121 I 225 E. 2a S. 227 mit Hinweisen). Um den Umfang des Akteneinsichtsrechts zu bestimmen, kommt es auf die Bedeutung eines Aktenstückes für die verfügungswesentliche Sachverhaltsfeststellung an (BGE 115 V 297 E. 2g/bb S. 303). Dagegen erstreckt sich der datenschutzrechtliche Auskunftsanspruch nach den vorstehenden Erwägungen (E. 4b) auf alle personenbezogenen Daten einer Behörde, ohne Rücksicht auf die Entscheidungserheblichkeit für ein konkretes Verfahren. Unter datenschutzrechtlichen Gesichtspunkten ist also ausschliesslich die Art und der Inhalt eines Dokuments von Bedeutung und nicht seine Entscheidrelevanz und Klassifikation als interne Akte durch die SUVA. So unterliegen z.B. Angaben über den Versicherten, welche der SUVA durch Dritte zugetragen wurden, dem uneingeschränkten Auskunftsrecht, auch wenn sie für die bevorstehende Verfügung ohne Beweiswert sind und daher in einer internen Akte geführt werden. Es ist demnach im Einzelnen zu prüfen, ob die Bekanntgabe eines Dokumentes während des hängigen erstinstanzlichen Verfahrens dessen Ablauf gefährdet und ob das öffentliche Geheimhaltungsinteresse das private Interesse auf Information überwiegt (vgl. BGE 125 II 225 E. 4 S. 228). dd) Im vorliegenden Fall vermutet der Beschwerdeführer, dass sich die interne Datensammlung nicht auf Entwürfe, Anträge und dergleichen beschränkt, sondern darin auch andere Dokumente abgelegt sind. Dieser Verdacht ist nicht völlig abwegig. Wie der
BGE 125 II 473 S. 479

Eidgenössische Datenschutzbeauftragte in einer publizierten Stellungnahme vom 21. November 1997 zuhanden des Bundesamtes für Sozialversicherung festgestellt hat, lädt der offene, nicht abschliessende Begriff der internen Akten die Verwaltung geradezu ein, interne Akten anzulegen, welche die datenschutzrechtlichen Grundsätze der Verhältnismässigkeit, der Transparenz und der Zweckbindung verletzen (VPB 62/1998 Nr. 59 Ziff. 3.4 S. 553). Im Lichte der dargelegten Grundsätze durfte sich die EDSK nicht mit der Versicherung begnügen, es handle sich bei sämtlichen Dokumenten um interne Akten, worüber während eines hängigen Verfahrens keine Auskunft gegeben werden müsse. Es hätte vielmehr im Einzelnen überprüft werden müssen, ob die Vorenthaltung der fraglichen Akten für die Dauer des Verfahrens vor der SUVA gerechtfertigt war oder nicht (vgl. BGE 125 II 225 E. 4 S. 228). In diesem Punkt ist die Verwaltungsgerichtsbeschwerde daher gutzuheissen. Es kann nicht Aufgabe des Bundesgerichts sein, im vorliegenden Fall die unterlassene Prüfung nachzuholen. Die Sache ist daher zu neuer Beurteilung dieser Frage an die EDSK zurückzuweisen. Bei ihrem neuen Entscheid wird die EDSK auch dem Umstand Rechnung tragen müssen, dass das unfallversicherungsrechtliche Verfahren inzwischen abgeschlossen worden ist.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
¹	Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
^a	questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
^b	nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
²	Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
³	Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
⁴	Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 8 Sicurezza dei dati - 1 Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
¹	Il titolare e il responsabile del trattamento garantiscono, mediante appropriati provvedimenti tecnici e organizzativi, che la sicurezza dei dati personali sia adeguata al rischio.
²	I provvedimenti devono permettere di evitare violazioni della sicurezza dei dati.
³	Il Consiglio federale emana disposizioni sui requisiti minimi in materia di sicurezza dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 9 Trattamento di dati personali da parte di un responsabile - 1 Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
¹	Il trattamento di dati personali può essere affidato a un responsabile del trattamento per contratto o per legge se:
^a	questi effettua soltanto i trattamenti che il titolare del trattamento avrebbe il diritto di effettuare; e
^b	nessun obbligo legale o contrattuale di serbare il segreto lo vieta.
²	Il titolare del trattamento deve in particolare assicurare che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati.
³	Il responsabile del trattamento può affidare il trattamento a un terzo soltanto previa autorizzazione del titolare del trattamento.
⁴	Il responsabile del trattamento può far valere gli stessi motivi giustificativi del titolare del trattamento.

SR 172.021 Legge federale del 20 dicembre 1968 sulla procedura amministrativa (PA) PA Art. 5 - 1 Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
¹	Sono decisioni i provvedimenti delle autorità nel singolo caso, fondati sul diritto pubblico federale e concernenti:
^a	la costituzione, la modificazione o l'annullamento di diritti o di obblighi;
^b	l'accertamento dell'esistenza, dell'inesistenza o dell'estensione di diritti o di obblighi;
^c	il rigetto o la dichiarazione d'inammissibilità d'istanze dirette alla costituzione, alla modificazione, all'annullamento o all'accertamento di diritti o di obblighi.
²	Sono decisioni anche quelle in materia d'esecuzione (art. 41 cpv. 1 lett. a e b), le decisioni incidentali (art. 45 e 46), le decisioni su opposizione (art. 30 cpv. 2 lett. b e 74), le decisioni su ricorso (art. 61), le decisioni in sede di revisione (art. 68) e l'interpretazione (art. 69).24
³	Le dichiarazioni di un'autorità che rifiuta o solleva pretese da far valere mediante azione non sono considerate decisioni.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 10 Consulente per la protezione dei dati - 1 I titolari privati del trattamento possono nominare un consulente per la protezione dei dati.
¹	I titolari privati del trattamento possono nominare un consulente per la protezione dei dati.
²	Il consulente funge da interlocutore per le persone interessate come pure per le autorità competenti in Svizzera per la protezione dei dati. Ha segnatamente i compiti seguenti:
^a	fornire formazione e consulenza al titolare privato del trattamento in questioni concernenti la protezione dei dati;
^b	partecipare all'applicazione delle disposizioni sulla protezione dei dati.
³	I titolari privati del trattamento possono avvalersi dell'eccezione di cui all'articolo 23 capoverso 4 se:
^a	il consulente esercita la sua funzione in modo indipendente dal titolare del trattamento e senza ricevere da questi istruzioni;
^b	il consulente non esercita attività inconciliabili con i suoi compiti di consulente;
^c	il consulente dispone delle conoscenze tecniche necessarie; e
^d	il titolare del trattamento pubblica i dati di contatto del consulente e li comunica all'IFPDT.
⁴	Il Consiglio federale disciplina la nomina dei consulenti da parte degli organi federali.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
¹	La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
²	Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
¹	L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
²	Non sono sottoposti alla vigilanza dell'IFPDT:
^a	l'Assemblea federale;
^b	il Consiglio federale;
^c	i tribunali della Confederazione;
^d	il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
^e	le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 5 Definizioni - Nella presente legge s'intende per:
^a	dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
^b	persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
^c	dati personali degni di particolare protezione:
^c1	i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
^c2	i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
^c3	i dati genetici,
^c4	i dati biometrici che identificano in modo univoco una persona fisica,
^c5	i dati concernenti perseguimenti e sanzioni amministrativi e penali,
^c6	i dati concernenti le misure d'assistenza sociale;
^d	trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
^e	comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
^f	profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
^g	profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
^h	violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
ⁱ	organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
^j	titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
^k	responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 20 Eccezioni all'obbligo di informare e limitazioni - 1 L'obbligo di informare secondo l'articolo 19 non sussiste se:
¹	L'obbligo di informare secondo l'articolo 19 non sussiste se:
^a	la persona interessata dispone già delle pertinenti informazioni;
^b	il trattamento dei dati personali è previsto dalla legge;
^c	il titolare del trattamento è un privato tenuto per legge a serbare il segreto; o
^d	sono adempiute le condizioni di cui all'articolo 27.
²	Se i dati personali non sono raccolti presso la persona interessata, l'obbligo di informare non sussiste inoltre qualora l'informazione:
^a	non sia possibile; o
^b	richieda un onere sproporzionato.
³	Il titolare del trattamento può limitare o differire l'informazione oppure rinunciarvi se:
^a	interessi preponderanti di un terzo lo esigono;
^b	l'informazione pregiudica lo scopo del trattamento;
^c	è un privato e:
^c1	lo esigono i suoi interessi preponderanti, e
^c2	non comunica i dati personali a terzi; o
^d	è un organo federale e:
^d1	lo esige un interesse pubblico preponderante, in particolare la salvaguardia della sicurezza interna o esterna della Svizzera, o
^d2	l'informazione rischia di compromettere un'indagine, un'istruzione o un procedimento amministrativo o giudiziario.
⁴	Le imprese appartenenti al medesimo gruppo non sono considerate terzi ai sensi del capoverso 3 lettera c numero 2.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 21 Obbligo di informare sulle decisioni individuali automatizzate - 1 Il titolare del trattamento informa la persona interessata di ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per lei effetti giuridici o conseguenze significative (decisione individuale automatizzata).
¹	Il titolare del trattamento informa la persona interessata di ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per lei effetti giuridici o conseguenze significative (decisione individuale automatizzata).
²	Il titolare del trattamento dà su richiesta alla persona interessata la possibilità di esprimere un parere. Se la persona interessata lo esige, la decisione individuale automatizzata va riesaminata da una persona fisica.
³	I capoversi 1 e 2 non si applicano se:
^a	la decisione individuale automatizzata è in relazione diretta con la conclusione o l'esecuzione di un contratto tra il titolare del trattamento e la persona interessata e la richiesta di quest'ultima è soddisfatta; o
^b	la persona interessata ha dato il suo espresso consenso a che la decisione sia presa in maniera automatizzata.
⁴	Se la decisione individuale automatizzata è presa da un organo federale, questi la designa come tale. Il capoverso 2 non si applica nei casi in cui in virtù dell'articolo 30 capoverso 2 della legge federale del 20 dicembre 19686 sulla procedura amministrativa (PA) o di un'altra legge federale l'organo federale non è tenuto a sentire la persona interessata prima di prendere la decisione.