Con la revisione della Legge federale sulla protezione dei dati personali (nLPD), dal 2023 cambiano alcune importanti disposizioni sul trattamento dei dati personali. Le aziende dovranno osservare regole più severe e dovranno modificare le loro attuali direttive e dichiarazioni sulla protezione dei dati entro l’entrata in vigore, che avverrà il primo settembre 2023.
Cosa cambia con la nuova LPD?
La Legge sulla protezione dei dati è stata adeguata al mutato contesto tecnologico e sociale (Big Data, social network, cloud computing, IoT) allo scopo di rafforzare l’autodeterminazione sui propri dati personali da parte degli interessati.
Ancora, la revisione dell’attuale legge del 1992 armonizza la LPD alle regole europee in materia di protezione dei dati per garantire che l’UE continui a riconoscere la Svizzera come stato terzo che abbia un adeguato livello di protezione dei dati.
È importante considerare che la nuova LPD non prevede termini di transizione e, quindi, le aziende dovranno essere pronte per il 1° settembre 2023.
Conseguenze del mancato adeguamento entro il termine previsto
Le competenze dell’Incaricato federale della protezione dei dati (IFPDT) per far valere la nuova LPD sono state ampliare. Egli può, d’ufficio o su segnalazione, avviare un’indagine contro un’azienda e, qualora riscontri violazioni di prescrizioni in materia di protezione dei dati, ordinare estese misure tra cui la modifica o la sospensione del trattamento dei dati o, addirittura, la cancellazione degli stessi.
La nuova Legge, ancora, introduce alcuni strumenti giuridici di diritto civile per permettere agli interessati di far valere i loro diritti. Al contempo è stato modificato anche il Codice di procedura civile svizzero che dichiara gratuiti i relativi procedimenti giudiziari.
Sanzioni
In caso di violazioni intenzionali della nLPD, come la violazione degli obblighi di informare, di concedere l’accesso, di collaborare nonché degli obblighi di diligenza, le persone private possono essere punite con multe fino a CHF 250.000. In caso di violazioni nelle aziende, queste possono essere punite con una multa fino a CHF 50.000 se l’identificazione delle persone punibili dovesse comportare un onere sproporzionato e se per le persone punibili fosse prevista una multa di massimo CHF 50.000.
Si tratta, questa, di una differenza sostanziale rispetto al GDPR, che invece punisce le aziende e non le persone fisiche con multe molto più elevate.
Principali modifiche normative
- Campo di applicazione: la nuova LPD, in linea con il GDPR, si limita a proteggere i dati delle persone fisiche e non anche delle persone giuridiche (come la precedente versione del 1992);
- Estensione maggiore: anche i dati genetici e biometrici sono considerati ora degni di protezione particolare;
- Trasparenza: le aziende avranno obblighi di trasparenza più ingerenti rispetto ad oggi. Dovranno informare le persone interessate in maniera adeguata su ogni raccolta di dati e non più solo in presenza di dati degni di particolare protezione; ciò anche nel caso in cui i dati non vengano raccolti presso la persona interessata. Dovranno essere comunicati: l’identità e i dati di contatto del titolare del trattamento, lo scopo del trattamento, i destinatari o le categorie di destinatari e il Paese destinatario in caso di trasferimento dei dati all’estero.
- Privacy by design e privacy by default: le aziende saranno obbligate a tenere conto dei principi generali del trattamento dei dati fin dalla progettazione e pianificazione delle applicazioni e a non ottenere, attraverso impostazioni predefinite, i consensi delle persone interessate per i trattamenti di dati che vanno oltre a quanto strettamente necessario.
- Registro delle attività del trattamento: le aziende hanno l’obbligo di tenere un registro aggiornato delle attività di trattamento effettuate contenente precise informazioni. Viene meno l’obbligo di tenere un registro delle collezioni di dati. Il Consiglio federale può prevedere eccezioni per aziende fino a 250 collaboratori.
- Valutazioni d’impatto sulla protezione dei dati: le aziende dovranno eseguire una valutazione d’impatto documentata se un determinato trattamento comporta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate.
- Profilazione: la nuova Legge disciplina anche la profilazione, ovvero il trattamento automatizzato di dati finalizzato a valutare determinati aspetti personali di un soggetto, come situazione economica, stato di salute, comportamento, interessi, localizzazione, ecc. Diversamente del GDPR, è previsto un consenso obbligatorio solo laddove la profilazione abbia un rischio elevato per l’interessato.
- Notifica all’IFPDT: le violazioni della sicurezza dei dati, la perdita accidentale, illecita, la cancellazione, la distruzione la modifica di dati personali o concessione dell’accesso persone non autorizzate dovranno essere tempestivamente notificate all’IFPDT qualora ne risulti, presumibilmente, un elevato rischio per gli interessati. Di regola il titolare dovrà anche informare direttamente l’interessato se è necessario per la sua protezione o se lo richiede l’IFPDT.
Cosa resta invariato?
A differenza del GDPR, la nLPD non richiede una base giuridica per ogni trattamento dei dati. Per il trattamento dei dati personali da parte di aziende private non è necessario alcun consenso o altra giustificazione, a condizione che:
- siano rispettati i principi di trattamento della trasparenza (in particolare attraverso l’informazione), del vincolo allo scopo, dell’adeguatezza e della sicurezza dei dati;
- la persona interessata non si sia opposta al trattamento;
- non vengano comunicati a terzi dati personali degni di particolare protezione.
Un consenso esplicito è prescritto solo per il trattamento di dati personali degni di particolare protezione e per la profilazione a rischio elevato.
Quanto alle aziende estere?
In relazione al campo di applicazione territoriale, la nuova LPD fa riferimento al cosiddetto principio degli effetti e si applica anche ad aziende estere che operano nel mercato svizzero il cui trattamento ha effetto in Svizzera. Proprio come il GDPR si applica ad aziende svizzere che operano in UE o che trattano dati di persone che si trovano nell’Unione.
Le aziende con sede all’estero devono definire una rappresentanza in Svizzera se trattano regolarmente su larga scala dati di persone che si trovano fin Svizzera in relazione a offerte di merci o servizi o allo scopo di monitorare il comportamento e se il. trattamento comporta un elevato rischio per le persone interessate.
Viceversa, le aziende svizzere devono sempre nominare un responsabile della protezione dei dati (DPO) se trattano dati di abitanti dell’UE e non solo quando c’è un rischio elevato.
Quali sono le aziende esposte ad un elevato rischio di violazione della nuova LPD?
Le aziende che trattano grandi quantità di dati personali o di dati personali degni di. particolare protezione, le aziende che effettuano profanazioni, che gestiscono e-commerce, o che generano decisioni individuali automatizzate o trasmettono dati personali all’estero (extra-UE).