Obblighi del titolare dell'elaborazione
Il titolare dell’elaborazione (o organo responsabile) è responsabile della protezione dei dati. Esso assume, in particolare, i seguenti obblighi:
- L’elaborazione deve essere giustificata (art. 6 LPDP): Se l’elaborazione è sistematica, la giustificazione è costituita dalla base legale. Se l’elaborazione è puntuale, la giustificazione può essere data anche dalla sola necessità dei dati per l’adempimento di un compito legale o dal consenso libero e informato della persona interessata;
- L’elaborazione deve essere conforme a tutti i principi della LPDP (art. 7 e 17 LPDP): L’elaborazione deve essere:
- lecita (rispetto dell’insieme del diritto);
- trasparente, ossia la persona interessata deve essere adeguatamente informata (principio della buona fede);
- proporzionata: i dati e il modo della loro elaborazione devono essere idonei e necessari e deve sussistere un rapporto ragionevole tra lo scopo perseguito dall'elaborazione e la violazione della personalità che ne risulta;
- limitata alle finalità originariamente e trasparentemente indicate;
- rispettosa del principi dell’esattezza dei dati (questi ultimi devono essere completi, veritieri e aggiornati);
- rispettosa delle esigenze tecniche e organizzative di sicurezza dei dati a garanzia della loro autenticità, integrità e disponibilità;
- Garantire la protezione dei dati sin dalla progettazione di un’elaborazione automatizzata di dati (privacy by design; art. 18 LPDP);
- Coinvolgere tempestivamente l’Incaricato prima della messa in opera di elaborazioni che potenzialmente presentano rischi specifici per i diritti e le libertà fondamentali delle persone (art. 18 cpv. 2 LPDP);
- Tenuta di un registro degli archivi di dati (ar.t 19 LPDP): Il registro contiene, per ogni archivio di dati, indicazioni concernenti la base legale, lo scopo ed i mezzi dell’elaborazione, la natura e l’origine dei dati personali elaborati come pure gli organi che usano in comune l’archivio e i destinatari regolari dei dati personali;
- Conservazione, archiviazione e distruzione dei dati (art. 21 LPDP);
- Garantire il corretto esercizio dei diritti delle persone interessate (art. 23 segg. LPDP).