Vai al contenuto principale Vai alla ricerca

Obblighi del titolare dell'elaborazione

Il titolare dell’elaborazione (o organo responsabile) è responsabile della protezione dei dati. Esso assume, in particolare, i seguenti obblighi:

  • L’elaborazione deve essere giustificata (art. 6 LPDP): Se l’elaborazione è sistematica, la giustificazione è costituita dalla base legale. Se l’elaborazione è puntuale, la giustificazione può essere data anche dalla sola necessità dei dati per l’adempimento di un compito legale o dal consenso libero e informato della persona interessata;
  • L’elaborazione deve essere conforme a tutti i principi della LPDP (art. 7 e 17 LPDP): L’elaborazione deve essere:
    • lecita (rispetto dell’insieme del diritto);
    • trasparente, ossia la  persona interessata deve essere adeguatamente informata (principio della buona fede);
    • proporzionata: i dati e il modo della loro elaborazione devono essere idonei e necessari e deve sussistere un rapporto ragionevole tra lo scopo perseguito dall'elaborazione e la violazione della personalità che ne risulta;
    • limitata alle finalità originariamente e trasparentemente indicate;
    • rispettosa del principi dell’esattezza dei dati (questi ultimi devono essere completi, veritieri e aggiornati);
    • rispettosa delle esigenze tecniche e organizzative di sicurezza dei dati a garanzia della loro autenticità, integrità e disponibilità;
  • Garantire la protezione dei dati sin dalla progettazione di un’elaborazione automatizzata di dati (privacy by design; art. 18 LPDP);
  • Coinvolgere tempestivamente l’Incaricato prima della messa in opera di elaborazioni che potenzialmente presentano rischi specifici per i diritti e le libertà fondamentali delle persone (art. 18 cpv. 2 LPDP);
  • Tenuta di un registro degli archivi di dati (ar.t 19 LPDP): Il registro contiene, per ogni archivio di dati, indicazioni concernenti la base legale, lo scopo ed i mezzi dell’elaborazione, la natura e l’origine dei dati personali elaborati come pure gli organi che usano in comune l’archivio e i destinatari regolari dei dati personali;
  • Conservazione, archiviazione e distruzione dei dati (art. 21 LPDP); 
  • Garantire il corretto esercizio dei diritti delle persone interessate (art. 23 segg. LPDP).