1. Home
  2. temi e approfondimenti
  3. Normative
  4. Assoggettamento dei Comuni alla Legge federale sulla Protezione dei Dati (LPD)

Assoggettamento dei Comuni alla Legge federale sulla Protezione dei Dati (LPD)

Assoggettamento dei Comuni alla Legge federale sulla Protezione dei Dati (LPD)

Assoggettati sì, ma a quale normativa?

Con il primo di settembre 2023 è entrata in vigore la nuova Legge federale sulla Protezione dei Dati (LPD). Su sollecitazione di alcuni Comuni, anche a causa di una certa confusione creata dal Dipartimento delle istituzioni che esattamente un anno prima ha convocato i dirigenti di enti comunali e locali per formarli riguardo all'introduzione di questa nuova legge, la Sezione degli Enti Locali (SEL), ha pubblicato la circolare 9/2023 intitolata: “Revisione della Legge federale sulla protezione dei dati -incidenza sull’elaborazione di dati da parte dei Comuni e dei Consorzi di Comuni”, dove prende posizione comunicando che la LPD è applicabile al trattamento dei dati personali da parte dei privati e degli e organi federali. Per i Comuni e i Consorzi di Comuni, come anche per i loro mandatari, invece è o, meglio, sarà rilevante, la revisione totale della Legge cantonale sulla Protezione dei Dati Personali (NLPDP), il cui messaggio è stato licenziato dal Consiglio di Stato il 17 maggio 2023 (NB: senza che in precedenza i Comuni fossero stati interpellati). La base legale di questa presa di posizione risiede nell’art. 3 della NLPDP, non ancora entrata in vigore.*  In ogni caso, nell'ambito dell'attività istituzionale dei Comuni, dei Consorzi di Comuni e dei loro mandatari, la revisione totale della legge federale sulla protezione dei dati non rivestirebbe pertanto alcuna importanza poiché essa si applicherebbe, eccezionalmente, soltanto in quei casi in cui i Comuni, i Consorzi di Comuni e i loro mandatari, partecipino a un'attività economica che non deriva da un potere sovrano (per esempio in caso di gestione di beni patrimoniali e di attività in concorrenza all'economia privata). Se però si analizzano a fondo le attività del Comune moderno si può constatare che le attività che esulano dal loro potere sovrano sono numerose. Vi sono Comuni che possiedono lidi, spiagge pubbliche, centri sportivi, palestre, immobili e terreni, che vengono regolarmente messi a disposizione o addirittura dati in locazione (in regime di autorizzazione in caso di beni amministrativi usati in concorrenza con l'economia privata), per cui per essi si rende oltremodo necessario essere compliant rispetto alla LPD, come anche al GDPR europeo (in particolare quando queste attività sono fruibili tramite il sito internet comunale). Ciò comporta una mappatura di tutte le attività di trattamento dei dati personali attraverso un apposito registro, ciò che permetta di prevedere e attivare procedure finalizzate alla riduzione dei rischi sia di carattere cyber sia di carattere organizzativo/procedurale per rispettare i principi sanciti dalla legge. I Comuni organizzano o partecipano all’organizzazione anche di molteplici attività di carattere sociale e si mettono a disposizione di associazioni e gruppi privati a loro sostegno. Solitamente, queste attività necessitano di trattamento di dati personali per un gran numero di persone (invio di inviti, liste di partecipazione, ecc. …) e non si tratta di attività legate all’esercizio del potere sovrano dello Stato. Di conseguenza, difficilmente, la LPD si applicherà solo a titolo eccezionale ai Comuni.

*Ci sia permesso di notare che una presa di posizione dove si dice che un’Autorità è soggetta a una legge non ancora votata dal Legislativo cantonale e non ancora entrata in vigore è molto debole, se non addirittura privo di efficacia.

Canobbio, 5 gennaio 2024