La futura nLPD svizzera: elementi essenziali di compliance - Riskmanagement

Normative internazionali

La futura nLPD svizzera: elementi essenziali di compliance

La nuova Legge Federale sulla protezione dei dati è stata approvata in votazione finale dalle Camere Federali lo scorso 25 settembre 2020 ed entrerà presumibilmente in vigore nel secondo semestre del 2022; tuttavia non vi è ancora alcuna data certa a riguardo. Esaminiamola da vicino

11 Nov 2021

Raffaele Riccio

In Svizzera è presente una normativa in materia di protezione dei dati personali, Legge Federale sulla Protezione dei Dati (di seguito anche solo “LPD”) risalente al 19 giugno 1992 e in vigore dal 1° luglio 1993. Dopo una serie di modifiche e adeguamenti del predetto testo normativo rispetto all’avanzare tecnologico, il 15 settembre 2017 il Consiglio Federale ha accolto il messaggio relativo alla revisione totale della legge sulla protezione dei dati. In attesa di informazioni certe circa l’entrata in vigore della nuova legge, è opportuno che le organizzazioni coinvolte intraprendano i primi passi per garantire la compliance alla suddetta normativa. La nuova Legge Federale sulla protezione dei dati (di seguito anche solo “nLPD”) è stata approvata in votazione finale dalle Camere Federali lo scorso 25 settembre 2020 ed entrerà presumibilmente in vigore nel secondo semestre del 2022; tuttavia non vi è ancora alcuna data certa a riguardo.

Tra vecchio e nuovo regime normativo

Lo scorso 23 giugno 2021, il Consiglio federale ha avviato la procedura di consultazione sulla revisione totale della “Ordinanza sulla legge federale sulla protezione dei dati”, contenente le disposizioni esecutive della LPD. Tale procedura è stata aperta sino allo scorso 14 ottobre 2021. Il Consiglio Federale stabilirà la data di entrata in vigore solo quando sarà stata revisionata definitivamente anche la suddetta ordinanza. Quindi la nLPD non potrà entrare in vigore senza la relativa ordinanza revisionata.

WHITEPAPER
Rete, sicurezza e digital workplace: un nuovo modello per il lavoro agile
Networking
Network Security

Pertanto, almeno fino a quando non entrerà ufficialmente in vigore la nuova normativa svizzera (o fino a quando non vi sarà una data certa di effettiva applicazione della medesima), la LPD del 1992 continua ad essere ancora pienamente in vigore sul territorio svizzero.

È opportuno considerare altresì che la normativa attualmente vigente in Svizzera è stata ritenuta “affidabile” dalla Commissione europea attraverso la decisione di adeguatezza emanata il 26 luglio del 2000.

nLPD: princìpi generali

L’approccio adottato dalla nLPD è molto assimilabile a quello del GDPR: entrambi i sistemi normativi, infatti, sono volti ad esaltare il rispetto dei princìpi di carattere generale prima ancora delle prescrizioni di dettaglio.

Anche per la normativa svizzera, dunque, la proattività e la responsabilizzazione delle organizzazioni diventano i principali motori di alimentazioni della compliance: i titolari del trattamento sono infatti tenuti al rispetto di numerosi princìpi tra i quali spiccano la liceità, la buona fede, la proporzionalità, la limitazione delle finalità e la minimizzazione.

Si riportano di seguito soltanto alcune dei principali aspetti della normativa, considerata la vastità delle previsioni e degli adempimenti previsti dalla legge svizzera; pertanto, per ogni ulteriore dettaglio si suggerisce di fare direttamente rinvio al nuovo testo normativo.

Governance

  • Responsabile trattamento: tra le figure privacy, oltre al titolare del trattamento è presente il responsabile del trattamento. In particolare, il trattamento di dati personali effettuato dal titolare può essere affidato ad un responsabile (altra organizzazione) mediante convenzione o per legge e quest’ultimo, a sua volta, potrà affidare il trattamento a un terzo, soltanto previa autorizzazione del titolare del trattamento. Il responsabile del trattamento non può effettuare trattamenti diversi dall’incarico e deve garantire la sicurezza dei dati personali.
  • Rappresentante in Svizzera: tutte le aziende europee e quelle che non hanno sedi o domicilio in Svizzera e che effettuano un trattamento di dati di cittadini svizzeri oppure trattamenti legati a offerte di merci/prestazioni o finalizzato a osservare i comportamenti dei suddetti (oppure effettuano trattamenti su grande scala o periodici o rischiosi per i diritti e le libertà degli interessati), dovranno designare un rappresentante in Svizzera (figura analoga a quella prevista dall’art. 27 GDPR); tale soggetto funge da interlocutore per le persone interessate e l’IFPDT;
  • Consulente per la protezione dei dati: figura analoga al Data Protection Officer europeo e che le organizzazioni svizzere hanno facoltà di nominare (e non un obbligo, come accade in determinati casi regolati dal GDPR; tale figura, che funge da interlocutore per le persone interessate e per le autorità competenti in Svizzera per la protezione dei dati, è responsabile di una serie di compiti tassativamente previsti nell’art. 10 nLPD e che richiamano quasi pedissequamente quelli del DPO (art. 39 GDPR);
  • IFPDT: Autorità di controllo a livello federale, definita “Incaricato Federale per la protezione dei dati e della trasparenza” che – analogamente alle Authority nazionali europee – vigila sull’applicazione delle disposizioni federali sulla protezione dei dati.

Trasparenza

  • Informazioni all’interessato: Gravano sulle organizzazioni obblighi di informazione nei confronto degli interessati, anche nei casi in cui i dati non siano direttamente raccolti presso quest’ultimo. La nLDP richiede in particolare che siano rese note le seguenti informazioni:
    • l’identità/contatti del titolare
    • lo scopo/finalità di trattamento
    • i destinatari/categorie di destinatari dei dati raccolti
    • eventuali trasferimenti di dati fuori dalla Svizzera, eventuali decisioni individuali automatizzate, informazioni sull’esercizio dei diritti da parte dell’interessato

Per esclusione, quindi, pare potersi desumere che non è obbligatorio indicare nelle informative privacy i seguenti elementi: il contatto del consulente per la protezione dei dati e del rappresentante in Svizzera del titolare (ove nominati), i termini di conservazione dei dati e le basi giuridiche del trattamento. L’informativa va consegnata all’interessato in fase di raccolta dei dati personali; nel caso in cui essi non siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un mese dalla ricezione dei dati oppure al momento della comunicazione dei dati all’interessato se quest’ultima avviene prima della scadenza del predetto termine.

  • Consenso: quando il trattamento è subordinato al consenso della persona interessata (trattamenti di dati personali degni di particolare protezione, profilazione a rischio elevato da parte di privati e profilazione da parte di un organo federale), il consenso è valido soltanto se informato e prestato liberamente;

Misure di accountability

  • Registro dei trattamenti: I titolari e i responsabili hanno l’obbligo di mappare i trattamenti di dati personali effettuati, inserendo in un apposito registro i seguenti elementi: scopi del trattamento, categorie di interessati, di dati trattati e di destinatari, tempi di conservazione, misure di sicurezza a tutela del trattamento ed eventuali trasferimenti di dati all’estero. Analogamente a quanto previsto dal GDPR, sono esenti dalla tenuta del registro dei trattamenti per le imprese con meno di 250 collaboratori i cui trattamenti di dati personali comportano soltanto un rischio esiguo di violazione della personalità delle persone interessate.
  • Valutazione d’impatto: la nLPD prevede che titolare del trattamento debba effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) quando il trattamento possa comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

La valutazione d’impatto, analogamente a quanto previsto dall’art. 35 GDPR, è un processo volto a descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la gestione dei rischi elevati per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali.

Secondo il legislatore svizzero il rischio elevato, soprattutto nelle ipotesi di utilizzazione di nuove tecnologie, può risultare dal tipo, dall’entità, dalle circostanze e dallo scopo del trattamento; inoltre il testo normativo individua già tassativamente alcune ipotesi in cui determinati trattamenti possono presentare rischi elevati, in particolare: trattamenti su grande scala di dati personali degni di particolare protezione e trattamenti di dati personali nel contesto della sorveglianza sistematica di ampi spazi pubblici.

  • Sicurezza dei dati e data breach: in via preliminare la legge svizzera prevede che il titolare e il responsabile del trattamento debbano garantire, mediante provvedimenti tecnici e amministrativi, che la sicurezza dei dati personali sia adeguata al rischio: l’adozione di tali provvedimenti, secondo il testo normativo, dovrà avvenire soprattutto al fine di evitare violazioni della sicurezza dei dati (“data breach” secondo il GDPR). a tal riguardo, la normativa svizzera prevede espressamente che il Consiglio Federale emanerà disposizioni su “misure minime” di sicurezza.

Per quanto riguarda più specificamente le violazioni di dati personali, la nLDP prevede che il titolare del trattamento dovrà notificare quanto prima all’IFPDT (Incaricato federale della protezione dei dati e della trasparenza) ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità e i diritti fondamentali della persona interessata. L’evento, inoltre, andrà comunicato anche agli interessati nel caso in cui ciò sia necessario al fine di proteggere i medesimi oppure se tale comunicazione è imposta dall’Autorità. La legge svizzera prevede inoltre che il responsabile informi “quanto prima” il titolare su ogni violazione della sicurezza dei dati.

Ulteriori previsioni di dettaglio sono previste in relazione a:

  • princìpi generali del trattamento (liceità, buona fede, proporzionalità, esattezza, limitazione della finalità, minimizzazione, privacy by design e by default);
  • basi giuridiche del trattamento (si accenna solo alla possibilità che, consenso a parte, un trattamento non risulta illegittimo per la legge svizzera se è fondato su un interesse preponderante pubblico o privato oppure se è retto da un obbligo di legge);
  • diritti degli interessati (diritto di accesso, diritto di farsi consegnare dati o di esigerne la trasmissione a terzi);
  • comunicazioni di dati all’estero, secondo meccanismi di tutela parzialmente analoghi a quelli previsti dal GDPR;
  • trattamento di dati personali da parte di organi federali;
  • disposizioni penali connesse a specifiche violazioni della legge.

nLPD

nLPD: impatti e scenari futuri

La nLPD, in conclusione, introdurrà una serie di importanti novità al passo non solo con i tempi ma soprattutto in linea con il Regolamento europeo 2016/679 e, inoltre, potrà con ogni probabilità consentire alla Svizzera di richiedere il riconoscimento dell’adeguatezza della nuova legge alla Commissione Europea al fine di consentire la continuazione dello scambio di dati tra le imprese svizzere e quelle dell’Unione Europea senza particolari difficoltà.

@RIPRODUZIONE RISERVATA
R
Raffaele Riccio

Articolo 1 di 5