La nuova legge sulla protezione dei dati (nLPD) stabilisce che le persone interessate devono essere informate in modo preciso, trasparente, con un linguaggio chiaro e comprensibile, e in una forma facilmente accessibile, in merito all’identità del titolare del trattamento, lo scopo del trattamento ed eventuali destinatari di tali dati. In linea di principio la dichiarazione sulla protezione dei dati deve essere pubblicata nelle lingue del sito web o dell’offerta. Questo cosiddetto obbligo di informazione è parte essenziale del principio di trasparenza. La persona interessata deve ricevere queste informazioni prima che i suoi dati vengano raccolti. Esistono eccezioni a questa regola, ad esempio quando la persona interessata è già a conoscenza dell’utilizzo dei suoi dati o quando il loro trattamento è previsto dalla legge.

Qualora i dati personali vengano comunicati all’estero, il titolare del trattamento deve anche informare la persona interessata in merito allo Stato nel quale vengono inoltrati i suoi dati. La comunicazione all’estero si verifica, ad esempio, quando i dati vengono memorizzati su server ubicati all’estero (cloud). A questo proposito la persona interessata ha anche il diritto di richiedere in qualsiasi momento informazioni sul trattamento dei suoi dati. Ad esempio uno studio medico deve fornire informazioni sui tempi di conservazione dei dati sanitari.

Per uno studio medico, questo nuovo obbligo di informazione può comportare in alcuni casi la necessità di redigere una dichiarazione sulla protezione dei dati o di adeguare la dichiarazione esistente. Per facilitare questo processo, la Federazione dei medici svizzeri mette a disposizione un modello di dichiarazione sulla protezione dei dati. È importante che i modelli non vengano adottati senza una preventiva verifica, ma che vengano adattati al proprio caso. Qualora le competenze necessarie non siano disponibili al proprio interno, si consiglia di richiedere un’assistenza esterna. Occorre inoltre prestare attenzione alle informazioni reperibili su Internet: a parte le informazioni pubblicate dalle autorità ufficiali, le informazioni disponibili su Internet non sono normalmente vincolanti.

Infine la persona titolare del trattamento deve informare la persona interessata anche su ogni decisione basata esclusivamente su un trattamento di dati personali automatizzato che abbia per quest’ultima effetti giuridici o conseguenze significative. Tali decisioni individuali automatizzate si possono ipotizzare ad esempio nell’ambito della diagnosi mediante algoritmi. In questo caso la persona interessata può richiedere che la decisione individuale automatizzata venga riesaminata da una persona fisica.