VPB-64.68 - 1998-04-30 - Commissione federale della protezione dei dati e della trasparenza (CFPDT) - Art. 2 Abs. 2 Bst. c, Art. 34 und 35 DSG. Behauptete unbefugte Weitergabe von Personendaten. Unzulässigkeit der Beschwerde...

VPB 64.68

(Entscheid des Präsidenten der Eidgenössischen Datenschutzkommission vom 30. April 1998)

Art. 2 Abs. 2 Bst. c, Art. 34 und 35 DSG. Behauptete unbefugte Weitergabe von Personendaten. Unzulässigkeit der Beschwerde an die Eidgenössische Datenschutzkommission.

Die speziellen Bestimmungen des anwendbaren Strafprozessrechts gehen dem Datenschutzrecht auch dann vor, wenn materieller Gegenstand des Strafverfahrens eine behauptete Straftat im Sinne von Art. 34 oder 35 DSG ist.

Art. 2 al. 2 let. c, art. 34 et 35 LPD. Allégation d'une communication non autorisée de données personnelles. Irrecevabilité du recours à la Commission fédérale de la protection des données.

Les dispositions spéciales du droit de procédure pénale applicable priment le droit de la protection des données même si la procédure pénale a pour objet de fond une prétendue infraction au sens des art. 34 ou 35 LPD.

Art. 2 cpv. 2 lett. c, art. 34 e 35 LPD. Allegazione di una comunicazione non autorizzata di dati personali. Irricevibilità di un ricorso alla Commissione federale della protezione dei dati.

Le disposizioni speciali del diritto di procedura penale applicabile hanno la priorità sul diritto della protezione dei dati anche se l'oggetto materiale della procedura penale è un reato ai sensi degli art. 34 e 35 LPD.

A. Frau M. erlitt am 12. April 1988 einen Strassenverkehrsunfall. Für die Folgen des Unfallereignisses war die Versicherungsgesellschaft A. als Versicherer gemäss dem Bundesgesetz vom 20. März 1981 über die Unfallversicherung (UVG, SR 832.20) zuständig. Die Haftpflichtansprüche richteten sich gegen den Halter des Kollisionsfahrzeuges bzw. gegen dessen Haftpflichtversicherer und wurden offenbar schliesslich durch Vergleich erledigt. Der Vertreter der Beschwerdeführerin reichte am 17. Januar 1997 Strafanzeige gegen die Versicherungsgesellschaft A. und gegen einen Mitarbeiter von deren Generalagentur ein. Er machte geltend, nach Erlass der rechtskräftigen Rentenverfügung seien die Geheimhaltungspflichten nach dem UVG und dem Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) verletzt worden. Mit Verfügung vom 16. Mai 1997 ordnete die Bezirksanwaltschaft Zürich die Einstellung des Verfahrens bezüglich des Vorwurfs eines Vergehens gegen das UVG an. Gleichzeitig stellte sie die Akten dem Polizeirichteramt Zürich zu, damit dieses abklärte, ob ein allfälliger Verstoss gegen Art. 34 DSG vorliege. Gegen die Einstellungsverfügung erhob der Vertreter der Beschwerdeführerin Rekurs beim Einzelrichter in Strafsachen
des Bezirkes Zürich. Dieser wies mit Verfügung vom 9. Oktober 1997 den Rekurs ab. Dagegen erhob die Anzeigenerstatterin am 27. November 1997 Nichtigkeitsbeschwerde an das Obergericht des Kantons Zürich. Die III. Strafkammer des Obergerichts wies mit Beschluss vom 6. Februar 1998 die Nichtigkeitsbeschwerde ab.

B. Gegen dieses Urteil der III. Strafkammer des Obergerichts erhob Rechtsanwalt Dr. B. namens von Frau M. «Beschwerde» an die Eidgenössische Datenschutzkommission (EDSK). Beantragt wurde:

1. Es sei der Beschluss des Obergerichts des Kantons Zürich vom 6.2.1998 aufzuheben;

2. es sei die Sache zur Durchführung der strafrechtlichen Untersuchung an die Staatsanwaltschaft des Kantons Zürich bzw. der Bezirksanwaltschaft des Kantons Zürich zurückzuweisen;

3. unter Kosten- und Entschädigungsfolgen zulasten der Beschwerdegegner und Beschwerdegegnerinnen (Versicherungsgesellschaft A., Staatsanwaltschaft sowie Obergericht des Kantons Zürich).

Begründungsweise wird geltend gemacht, dass neben der vom Obergericht im genannten Urteil als Rechtsmittel angegebenen eidgenössischen Nichtigkeitsbeschwerde gemäss Art. 268 ff. des Bundesgesetzes vom 15. Juni 1934 über die Bundesstrafrechtspflege (SR 312.0) auch zusätzlich die (Verwaltungs-) Beschwerde an die EDSK nach Art. 33 Abs. 1 DSG zulässig sei, da es sich beim angefochtenen Beschluss um einen letztinstanzlichen kantonalen Entscheid handle, der sich auf öffentliche Vorschriften des Bundes über den Datenschutz stütze. Die vollständige Weitergabe aller medizinischen Akten durch den UVG-Versicherer an den Haftpflichtversicherer habe die Art. 4 , 5 und 7 DSG verletzt. Das DSG gehe als späteres Gesetz den datenschutzrechtlichen Vorschriften des UVG über die Bekanntgabe vor. Obwohl das Obergericht in seinem zweiten Entscheid die Untersuchung der allfälligen Verletzung des DSG an den Einzelrichter des Bezirksgerichts Zürich zurückgewiesen habe, werde gegen das Urteil des Obergerichts vom selben Tag bei der EDSK Beschwerde geführt, da damit materiell auch über die von den Zürcher Behörden abgespaltene zweite Frage entschieden werden könne.

Aus den Erwägungen:

1. (...)

2.a. Eine Verletzung des Bundesdatenschutzrechts kann auf verschiedenen Wegen verfolgt werden.

aa. Es kann eine Verletzung der Strafbestimmungen von Art. 34 und 35 DSG vorliegen. Eine Verletzung von Art. 34 Abs. 1 DSG wird auf Antrag, eine solche von Art. 34 Abs. 2 DSG officialiter (Gunter Arzt, Kommentar zum Schweizerischen Datenschutzgesetz, Basel / Frankfurt am Main 1995, N. 35 zu Art. 34 ) durch die zuständige kantonale Strafverfolgungsbehörde verfolgt. Eine Verletzung von Art. 35 DSG wird auf Antrag ebenfalls durch die kantonale Behörde untersucht. Die Vorschriften des Verwaltungsstrafrechts finden keine Anwendung (Arzt, a.a.O., N. 54). Der Rechtsmittelweg richtet sich nach kantonalem und eidgenössischem Strafprozessrecht.

Die prozessrechtliche Behandlung einer allfälligen Verletzung weiterer, dem Datenschutz dienender Strafvorschriften des eidgenössischen Rechts, wie besonderen, strafrechtlich bewehrten Geheimhaltungspflichten, ist im vorliegenden Fall nicht zu beurteilen.

bb. Eine Verletzung des Bundesdatenschutzrechts durch eine private bearbeitende Person, welche durch ihre Bearbeitung die Persönlichkeit einer betroffenen Person widerrechtlich verletzt, muss auf dem Zivilrechtswege verfolgt werden. Art. 15 DSG verweist auf die entsprechenden Rechtsmittel.

cc. Als Drittes kann die Anwendung des DSG zu verwaltungsrechtlichen Streitigkeiten führen. Im vorliegenden Fall hat die Versicherungsgesellschaft A. als Unfallversicherer als Bundesorgan Daten bearbeitet (vgl. Art. 2 Abs. 1 Bst. b , die Definition in Art. 3 Bst. h sowie die Art. 16 ff . DSG). Denkbar wäre gewesen, dass die Beschwerdeführerin der Beschwerdegegnerin Versicherungsgesellschaft A. eine nach Art. 19 DSG unbefugte Weitergabe von Personendaten vorgeworfen hätte, worauf sie hätte versuchen können, einen Rechtsschutz nach Art. 25 Abs. 1 DSG zu erreichen. Eine entsprechende Streitigkeit hätte gemäss Art. 25 Abs. 5 DSG vor die EDSK gebracht werden können.

dd. Eine Verletzung kann schliesslich auch durch kantonale öffentliche Organe erfolgen, wenn sie nach Art. 37 DSG ersatzweise Bundesdatenschutzrecht als kantonales Datenschutzrecht anwenden oder wenn sie sonst datenschutzrechtliche Vorschriften des Bundesverwaltungsrechts vollziehen.

b. Die vorliegende Beschwerde betrifft keinen letztinstanzlichen kantonalen Entscheid, der nach Art. 33 Abs. 1 Bst. d DSG an die EDSK weitergezogen werden kann, weil kein Streitgegenstand nach Art. 37 bzw. Art. 25 Abs. 1 -3 DSG oder sonst nach Bundesverwaltungsrecht vorliegt. Zudem ist der Entscheid der III. Strafkammer des Obergerichts im Rahmen eines hängigen Strafverfahrens ergangen; die speziellen Bestimmungen des anwendbaren Strafprozessrechts gehen dem Datenschutzrecht vor (Art. 2 Abs. 2 Bst. c DSG). Hieran ändert auch nichts, wenn materieller Gegenstand des Strafverfahrens eine behauptete Straftat im Sinne von Art. 34 oder 35 DSG ist.

Aus allen diesen Gründen kann auf die Beschwerde nicht eingetreten werden.

Dokumente der EDSK

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 34 Basi legali - 1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
¹	Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
²	La base legale deve figurare in una legge in senso formale nei casi seguenti:
^a	sono trattati dati personali degni di particolare protezione;
^b	è effettuata una profilazione;
^c	lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
³	Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
^a	il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
^b	lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.
⁴	In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
^a	il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
^b	la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
^c	il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 34 Basi legali - 1 Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
¹	Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale.
²	La base legale deve figurare in una legge in senso formale nei casi seguenti:
^a	sono trattati dati personali degni di particolare protezione;
^b	è effettuata una profilazione;
^c	lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.
³	Per il trattamento di dati personali secondo il capoverso 2 lettere a e b è sufficiente una base legale figurante in una legge in senso materiale se:
^a	il trattamento è indispensabile per l'adempimento di un compito stabilito in una legge in senso formale; e
^b	lo scopo del trattamento non comporta rischi particolari per i diritti fondamentali della persona interessata.
⁴	In deroga ai capoversi 1-3, gli organi federali possono trattare dati personali se:
^a	il Consiglio federale ha autorizzato il trattamento poiché non ritiene pregiudicati i diritti delle persone interessate;
^b	la persona interessata ha dato, nel caso specifico, il suo consenso al trattamento oppure ha reso i suoi dati personali accessibili a chiunque e non si è opposta espressamente al trattamento; o
^c	il trattamento è necessario per proteggere la vita o l'integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine ragionevole.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 4 Incaricato federale della protezione dei dati e della trasparenza - 1 L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
¹	L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
²	Non sono sottoposti alla vigilanza dell'IFPDT:
^a	l'Assemblea federale;
^b	il Consiglio federale;
^c	i tribunali della Confederazione;
^d	il Ministero pubblico della Confederazione, per quanto riguarda il trattamento di dati personali nell'ambito di un procedimento penale;
^e	le autorità federali, per quanto riguarda il trattamento di dati personali nell'ambito della loro attività giurisdizionale o di procedure di assistenza giudiziaria internazionale in materia penale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 5 Definizioni - Nella presente legge s'intende per:
^a	dati personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
^b	persona interessata: la persona fisica i cui dati personali sono oggetto di trattamento;
^c	dati personali degni di particolare protezione:
^c1	i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali,
^c2	i dati concernenti la salute, la sfera intima o l'appartenenza a una razza o a un'etnia,
^c3	i dati genetici,
^c4	i dati biometrici che identificano in modo univoco una persona fisica,
^c5	i dati concernenti perseguimenti e sanzioni amministrativi e penali,
^c6	i dati concernenti le misure d'assistenza sociale;
^d	trattamento: qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l'utilizzazione, la modificazione, la comunicazione, l'archiviazione, la cancellazione o la distruzione di dati;
^e	comunicazione: la trasmissione di dati personali o il fatto di renderli accessibili;
^f	profilazione: trattamento automatizzato di dati personali consistente nell'utilizzazione degli stessi per valutare determinati aspetti personali di una persona fisica, in particolare per analizzare o prevedere aspetti concernenti il rendimento professionale, la situazione economica, la salute, le preferenze, gli interessi, l'affidabilità, il comportamento, i luoghi di permanenza e gli spostamenti di tale persona;
^g	profilazione a rischio elevato: profilazione che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica;
^h	violazione della sicurezza dei dati: violazione della sicurezza in seguito alla quale, in modo accidentale o illecito, dati personali vengono persi, cancellati, distrutti, modificati oppure divulgati o resi accessibili a persone non autorizzate;
ⁱ	organo federale: autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali;
^j	titolare del trattamento: il privato o l'organo federale che, singolarmente o insieme ad altri, determina lo scopo e i mezzi del trattamento;
^k	responsabile del trattamento: il privato o l'organo federale che tratta dati personali per conto del titolare del trattamento.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 7 Protezione dei dati personali sin dalla progettazione e per impostazione predefinita - 1 Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
¹	Il titolare del trattamento è tenuto ad adottare i provvedimenti tecnici e organizzativi necessari affinché il trattamento dei dati personali sia conforme alle disposizioni sulla protezione dei dati, in particolare ai principi di cui all'articolo 6. Li adotta sin dalla progettazione.
²	I provvedimenti tecnici e organizzativi devono essere adeguati in particolare allo stato della tecnica, al tipo e all'entità del trattamento dei dati personali come pure ai rischi derivanti dal trattamento per la personalità o i diritti fondamentali delle persone interessate.
³	Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 35 Trattamento automatizzato di dati personali nell'ambito di sistemi pilota - 1 Il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o altri trattamenti ai sensi dell'articolo 34 capoverso 2 lettere b e c prima dell'entrata in vigore di una legge in senso formale se:
¹	Il Consiglio federale può autorizzare il trattamento automatizzato di dati personali degni di particolare protezione o altri trattamenti ai sensi dell'articolo 34 capoverso 2 lettere b e c prima dell'entrata in vigore di una legge in senso formale se:
^a	i compiti che richiedono tale trattamento sono disciplinati in una legge in senso formale già in vigore;
^b	sono prese misure sufficienti per ridurre al minimo l'ingerenza nei diritti fondamentali della persona interessata; e
^c	per l'attuazione pratica del trattamento è imprescindibile una fase sperimentale prima dell'entrata in vigore della legge formale, in particolare per ragioni tecniche.
²	Il Consiglio federale chiede previamente il parere dell'IFPDT.
³	L'organo federale competente presenta un rapporto di valutazione al Consiglio federale al più tardi due anni dopo la messa in opera del sistema pilota. Nel rapporto propone la continuazione o l'interruzione del trattamento.
⁴	Il trattamento automatizzato di dati personali deve in ogni caso essere interrotto se entro cinque anni dalla messa in opera del sistema pilota non è entrata in vigore una legge in senso formale che prevede la pertinente base legale.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 15 Obblighi del rappresentante - 1 Il rappresentante tiene un registro delle attività di trattamento del titolare del trattamento; il registro contiene le indicazioni di cui all'articolo 12 capoverso 2.
¹	Il rappresentante tiene un registro delle attività di trattamento del titolare del trattamento; il registro contiene le indicazioni di cui all'articolo 12 capoverso 2.
²	Su richiesta, il rappresentante trasmette all'IFPDT le indicazioni contenute nel registro.
³	Su richiesta, il rappresentante fornisce alle persone interessate informazioni su come esercitare i loro diritti.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 2 Campo d'applicazione personale e materiale - 1 La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
¹	La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
^a	privati;
^b	organi federali.
²	Non si applica al trattamento di dati personali da parte:
^a	di persone fisiche per uso esclusivamente personale;
^b	delle Camere federali e delle commissioni parlamentari nell'ambito delle loro deliberazioni;
^c	dei beneficiari istituzionali di cui all'articolo 2 capoverso 1 della legge del 22 giugno 20073 sullo Stato ospite che godono dell'immunità di giurisdizione in Svizzera.
³	Il trattamento di dati personali e i diritti delle persone interessate nei procedimenti giudiziari e nei procedimenti secondo gli ordinamenti procedurali federali sono retti dal diritto processuale applicabile. Le disposizioni della presente legge si applicano alle procedure amministrative di primo grado.
⁴	I registri pubblici relativi ai rapporti di diritto privato, in particolare l'accesso a tali registri e i diritti delle persone interessate, sono retti dalle disposizioni speciali del diritto federale applicabile. In assenza di disposizioni speciali si applica la presente legge.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 3 Campo d'applicazione territoriale - 1 La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
¹	La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all'estero.
²	Alle pretese di diritto civile si applica la legge federale del 18 dicembre 19874 sul diritto internazionale privato. Sono fatte salve inoltre le disposizioni concernenti il campo d'applicazione territoriale del Codice penale5.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 16 Principi - 1 Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
¹	Dati personali possono essere comunicati all'estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l'organismo internazionale garantisce una protezione adeguata dei dati.
²	In assenza di una decisione del Consiglio federale ai sensi del capoverso 1, dati personali possono essere comunicati all'estero soltanto se una protezione dei dati appropriata è garantita da:
^a	un trattato internazionale;
^b	clausole contrattuali di protezione dei dati tra il titolare o il responsabile del trattamento e l'altro contraente, previamente comunicate all'IFPDT;
^c	garanzie specifiche stabilite dall'organo federale competente, previamente comunicate all'IFPDT;
^d	clausole tipo di protezione dei dati previamente approvate, stabilite o riconosciute dall'IFPDT; o
^e	norme interne dell'impresa vincolanti sulla protezione dei dati, previamente approvate dall'IFPDT o da un'autorità incaricata della protezione dei dati appartenente a uno Stato che garantisce una protezione adeguata.
³	Il Consiglio federale può prevedere altre garanzie appropriate ai sensi del capoverso 2.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 19 Obbligo di informare sulla raccolta di dati personali - 1 Il titolare del trattamento informa in modo adeguato la persona interessata sulla raccolta di dati personali; tale obbligo sussiste anche se i dati non sono raccolti presso la persona interessata.
¹	Il titolare del trattamento informa in modo adeguato la persona interessata sulla raccolta di dati personali; tale obbligo sussiste anche se i dati non sono raccolti presso la persona interessata.
²	Al momento della raccolta, il titolare del trattamento fornisce alla persona interessata le informazioni necessarie affinché questa possa far valere i propri diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati; fornisce almeno le informazioni seguenti:
^a	l'identità e i dati di contatto del titolare del trattamento;
^b	lo scopo del trattamento;
^c	se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali.
³	Se i dati personali non sono raccolti presso la persona interessata, il titolare del trattamento la informa inoltre sulle categorie di dati personali trattati.
⁴	Se i dati personali sono comunicati all'estero, il titolare del trattamento informa la persona interessata sullo Stato o sull'organismo internazionale destinatario e, se del caso, sulle garanzie di cui all'articolo 16 capoverso 2, oppure sull'applicazione di un'eccezione secondo l'articolo 17.
⁵	Se i dati personali non sono raccolti presso la persona interessata, il titolare del trattamento le fornisce le informazioni di cui ai capoversi 2-4 entro un mese dalla ricezione dei dati. Se comunica questi dati personali prima della scadenza di detto termine, il titolare del trattamento fornisce alla persona interessata tali informazioni al più tardi al momento della comunicazione dei dati.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 25 Diritto d'accesso - 1 Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
¹	Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento.
²	Alla persona interessata sono fornite le informazioni necessarie affinché possa far valere i suoi diritti secondo la presente legge e sia garantito un trattamento trasparente dei dati. In ogni caso le sono fornite le informazioni seguenti:
^a	l'identità e i dati di contatto del titolare del trattamento;
^b	i dati personali trattati in quanto tali;
^c	lo scopo del trattamento;
^d	la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
^e	le informazioni disponibili sulla provenienza dei dati personali che non sono stati raccolti presso la persona interessata;
^f	se del caso, l'esistenza di una decisione individuale automatizzata e la logica su cui si fonda la decisione;
^g	se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali, nonché le informazioni di cui all'articolo 19 capoverso 4.
³	I dati personali concernenti la salute possono essere comunicati alla persona interessata per il tramite di un professionista della salute da lei designato; a tale scopo è necessario il consenso della persona interessata.
⁴	Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se ha affidato il trattamento dei dati personali a un responsabile del trattamento.
⁵	Nessuno può rinunciare preventivamente al diritto d'accesso.
⁶	Il titolare del trattamento fornisce gratuitamente le informazioni. Il Consiglio federale può prevedere eccezioni alla gratuità, segnatamente se l'informazione richiede un onere sproporzionato.
⁷	Di norma l'informazione è fornita entro 30 giorni.

SR 235.1 Legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) LPD Art. 37 Opposizione alla comunicazione di dati personali - 1 La persona interessata che rende verosimile un interesse degno di protezione può opporsi alla comunicazione di determinati dati personali da parte dell'organo federale competente.
¹	La persona interessata che rende verosimile un interesse degno di protezione può opporsi alla comunicazione di determinati dati personali da parte dell'organo federale competente.
²	L'organo federale respinge l'opposizione se:
^a	sussiste un obbligo legale alla comunicazione; o
^b	l'adempimento del suo compito ne risulterebbe altrimenti pregiudicato.
³	È fatto salvo l'articolo 36 capoverso 3.