La revisione della Legge svizzera sulla protezione dei dati (LPD): novità e prospettive.

Le nuove tecnologie dell’informazione e della comunicazione giocano un ruolo rilevante verso i sistemi sociali coinvolti, spesso estremamente interconnessi. Imperativo diventa quindi capire la struttura della società in cui viviamo e quanto essa sia dipendente o interdipendente dalla tecnologia.

Il progresso tecnologico spinge il mondo giuridico ad una continua e attenta revisione. Questa tensione in Europa, all’interno della tematica Data Protection & Privacy, ha avuto il suo apice con l’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR) il 24 maggio 2016 e attuato a distanza di due anni, il 25 maggio 2018. In Svizzera invece ha visto nascere il 25 settembre 2020, dopo un processo legislativo di quasi quattro anni, la bozza di revisione della Legge federale sulla protezione dei dati (LPD). La nuova LPD (della cui entrata in vigore si parla però nel 2022, perché mancano per ora le norme attuative) è più in linea con la regolamentazione in materia proveniente dall’UE e ha aperto la strada alla Svizzera per la richiesta alla Commissione Europea del riconoscimento dell’adeguatezza.

Lo scopo primario è rafforzare la protezione dei dati aumentando la trasparenza del trattamento e le possibilità delle persone interessate a controllare i dati che le riguardano.
In un comunicato da Berna per i media nel 2016, si leggeva: «la revisione crea i presupposti per la ratifica della convenzione del Consiglio d’Europa sulla protezione dei dati e il recepimento della direttiva dell’UE sulla protezione dei dati». La revisione quindi mira a modernizzare il panorama svizzero della protezione dei dati e porlo in linea con la legislazione dell’UE più sofisticata.
Guardiamo più in dettaglio gli elementi fondamentali delle modifiche che raccontano lo scopo verso cui si dirige la Confederazione:

  • Il fondamentale approccio basato sui rischi: se un’attività presenta rischi rilevanti per i dati personali sottosterà a obblighi di protezione più severi
  • Tutte le tecnologie, anche quelle future, sono considerate nell’atto normativo
  • La ricerca della compatibilità con il diritto europeo
  • Miglioramento della trasmissione transfrontaliera dei dati, affinché la Svizzera possa porsi come interlocutore idoneo
  • La protezione della persona interessata e il suo controllo costituiscono l’apice dell’allestimento normativo.

Lo scopo primario è rafforzare la protezione dei dati aumentando la trasparenza del trattamento e le possibilità delle persone interessate a controllare i dati che le riguardano.
In un comunicato da Berna per i media nel 2016, si leggeva: «la revisione crea i presupposti per la ratifica della convenzione del Consiglio d’Europa sulla protezione dei dati e il recepimento della direttiva dell’UE sulla protezione dei dati». La revisione quindi mira a modernizzare il panorama svizzero della protezione dei dati e porlo in linea con la legislazione dell’UE più sofisticata.
Guardiamo più in dettaglio gli elementi fondamentali delle modifiche che raccontano lo scopo verso cui si dirige la Confederazione:

  • Il fondamentale approccio basato sui rischi: se un’attività presenta rischi rilevanti per i dati personali sottosterà a obblighi di protezione più severi
  • Tutte le tecnologie, anche quelle future, sono considerate nell’atto normativo
  • La ricerca della compatibilità con il diritto europeo
  • Miglioramento della trasmissione transfrontaliera dei dati, affinché la Svizzera possa porsi come interlocutore idoneo
  • La protezione della persona interessata e il suo controllo costituiscono l’apice dell’allestimento normativo.

Proviamo allora a fare un breve excursus sulle principali novità approvate dalle Camere federali, su cui il dibattito resta aperto e proficuo. Ci soffermeremo su quelle particolarmente rilevanti e di più sensibile impatto:

 

  1. La nuova categorizzazione dei dati personali, soprattutto quelli identificati come sensibili. Sono quei dati che richiedono una protezione speciale, la categoria è stata estesa ai dati su etnia, genetica e dati biometrici che consentono la chiara identificazione di una persona fisica;

  2. L’introduzione del concetto di “profilazione ad alto rischio“. Facciamo un esempio: è profilazione quando ci viene proposta una pubblicità comportamentale, tipo quando visioniamo una locandina pubblicitaria in un sito web relativa ad un servizio che precedentemente avevamo ricercato: quindi è essa trattamento automatizzato di dati personali. La profilazione invece ad alto rischio è quando vi è una analisi mirata verso un soggetto specifico. Tale profilazione viene quindi evidenziata, sottolineata a livello giuridico e così individualizzata: « qualsiasi elaborazione di dati o di dati personali tesa ad analizzare o predire le caratteristiche personali essenziali di una persona, segnatamente il rendimento professionale, la situazione economica, la salute, la sfera intima o gli spostamenti». In questo caso, la nozione adottata è corrispondente alla definizione legale fatta nel GDPR europeo. Inoltre, la prospettiva del consenso degli interessati è stata all’inizio una porta aperta, si è cercato di capire se il consenso potesse essere o meno una discriminante all’uso della profilazione in tal senso: pare di no e la profilazione (per ora) dovrebbe essere consentita senza consenso;

  3. la facoltà da parte delle organizzazioni di nominare un Consulente per la protezione dei dati personali, che si comporterà da interlocutore sia verso gli interessati sia verso le autorità (tra cui l’IFPDT – Incaricato federale della protezione dei dati e della trasparenza);

  4. obbligo di notifica di un eventuale “data breach” all’IFPDT e con più precisione quando la violazione comporti un rischio elevato per i diritti e le libertà fondamentali degli interessati e, per alcuni casi, è stato inserito l’obbligo di comunicazione della violazione anche agli interessati;

  5. L’importanza di effettuare una valutazione d’impatto sulla protezione dei dati, qualora il trattamento comporti un rischio elevato per i diritti e le libertà degli interessati. Questo è un aspetto particolarmente delicato che implica una attenta riflessione da parte delle imprese coinvolte. In particolare, saranno imposti nuovi obblighi in materia di trasparenza e documentazione, nonché specifiche attività di trattamento relative ai rischi.
    Qualche esempio:
    • predisporre un inventario delle attività di trattamento, a meno che non si applichi l’eccezione delle piccole e medie imprese (art. 12);
    • redazione o aggiornamento di informative privacy per gli interessati al fine di adempiere all’ obbligo di informativa in sede di raccolta dati personali (art. 19 e ss.);
    • rivedere i contratti con incaricati del trattamento, contitolari del trattamento e terze parti, (es. artt. 9 e 16 e ss.);
    • effettuare una valutazione dell’impatto sulla protezione dei dati laddove il trattamento rischia di comportare un rischio elevato per i diritti e le libertà dell’interessato, includendo potenzialmente tutte le “profilazioni ad alto rischio” (art. 22) (v. punto 2 del presente elenco);
      Come si nota, le aziende sono incoraggiate a utilizzare il tempo che serve all’entrata in vigore della LPD per aggiornare i propri meccanismi e per valutare l’impatto sulle loro attività, iniziando ad implementare o elaborare processi che si conformeranno agli sviluppi in corso sul tema Data Protection & Privacy.

  6. altro aspetto fondamentale ma non l’ultimo da considerare è l’assegnazione all’IFPDT di poteri ispettivi, di accesso ai luoghi e ai documenti di proprietà dell’impresa per lo svolgimento delle inchieste necessarie. In caso di violazione della legge, si pone l’ accento sull’eventuale uso dello strumento delle multe sino a CHF 250’000.00-. Evidenziamo che la revisione della legge sulla Privacy in Svizzera inasprisce le disposizioni penali sulla protezione dei dati, soprattutto poiché, diversamente dai suoi omologhi europei, l’Incaricato della protezione dei dati e della trasparenza non può infliggere sanzioni amministrative. Inoltre, durante il processo legislativo è stato espresso che le sanzioni penali sono principalmente rivolte ai dirigenti e non ai dipendenti che svolgendo il proprio lavoro, sono a contatto con dati sottoposti a protezione. Allo stesso tempo, però, non è stato del tutto escluso che possano esservi casi in cui la sanzione possa essere disposta anche per i dipendenti privi di funzioni dirigenziali. In caso però di reati per i quali viene considerata una multa pari a CHF 50’000.00- ma lo sforzo per identificare l’autore del reato all’interno dell’azienda sarebbe sproporzionato, la società potrà essere condannata a pagare la multa al posto della persona fisica, autrice del reato. Punto che resta aperto agli sviluppi legislativi.
Fino a quando comunque non sarà annunciata la data di entrata in vigore, resta necessario ed imperativo per le imprese dotarsi di professionisti in grado di accompagnarle nell’implementazione dei progetti di compliance richiesti.

Fonti:

Condividi