Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy e cyber sicurezza

GDPR cross-border, la Svizzera e come interpretare la nuova prospettiva territoriale

Il punto sulle norme di data protection e cyber sicurezza in Svizzera alla luce della convergenza tra il GDPR, la revisione in corso della legge confederale sulla protezione dei dati e le nuove linee guida Edpb sull’ambito territoriale del Regolamento europeo

18 Dic 2018

Alessandro Trivilini

Head of SUPSI Digital Forensics Lab


La Svizzera non sarà un porto franco per ottenere presunte agevolazioni finanziarie in caso di multe dovute a negligenza nella trattazione dei dati sulla base del GPDR.

Smontiamo questa e altre bufale e facciamo il punto sul regime di data protection e cyber security in Svizzera, anche in vista della revisione interna della nuova legge sulla protezione dei dati (LPD) e alla luce delle linee guida Edpb sull’ambito territoriale del GDPR, onde evitare il proliferare di false credenze che possano trarre in inganno.

La Svizzera non sarà l’Eldorado dei “dati sporchi”

Come molti altri Paesi cross-border, anche la Svizzera ha avuto modo di osservare in modo attento e puntiglioso l’impatto e le (potenziali) conseguenze dell’entrata in gioco del nuovo regolamento europeo per la protezione dei dati personali, a sei mesi dalla sua applicazione ufficiale in Europa. Il Paese è un hub importante posizionato al centro dell’Europa, che ospita numerose aziende, industrie e multinazionali che trattano dati sensibili soggetti alle nuove normative europee e non intende in alcun modo diventare la nuova Eldorado dei “dati sporchi”, ed essere percepita come il luogo in cui con i dati tutto è permesso.

Ecco quindi che lo scenario attuale pone al centro dell’attenzione tre elementi fondamentali, che in un qualche modo dovranno convergere e coesistere:

  • il GDPR europeo;
  • la revisione in corso delle legge sulla protezione dei dati (LDP);
  • le nuove linee guida Edpb sull’ambito territoriale del GDPR.

Un buon punto di partenza per formulare alcune riflessioni, in considerazione del fatto che l’interpretazione del concetto di territorialità, in rapporto al trattamento dei dati, assume un valore sempre più vincolante ai fini della sua applicazione a livello europeo, cross-border ed internazionale.

L’impatto di Gdpr e direttiva Nis sulla cyber sicurezza 

Dall’applicazione del GDPR del 25 maggio scorso, i mesi scorrono molto velocemente e i tempi in cui le informazioni sensibili potevano essere raccolte e scambiate senza particolari accorgimenti, sono il ricordo di un tempo lontano. In un batter d’occhio a livello europeo si è materializzato il GDPR e pochi mesi dopo, in sordina tra un ombrellone e una sdraio, è arrivata la nuova direttiva NIS per la sicurezza cibernetica (Network and Information Security), la cui attuazione è passata con decreto al consiglio dei ministri il 16 maggio, in gazzetta ufficiale a partire dal 9 giugno ed entrata ufficialmente in vigore dal 26 giugno 2018. Una certezza che per molte aziende dislocate in Paesi cross-border come la Svizzera è tutt’oggi sconosciuta.

Anche questo decreto è dirompente e impatta in modo considerevole la gestione dei dati sensibili e la loro trattazione in termini di sicurezza. Per molti, il fatto che a settembre scorso Facebook abbia annunciato a tutti i suoi “clienti”, in modo trasparente e con un comunicato stampa ufficiale, l’avvenuto attacco a oltre cinquanta milioni di account, è un semplice atto dovuto. Invece, ignorano totalmente le modalità con cui esso è avvenuto, le tempistiche e le regole che ha dovuto seguire.

Per la prima volta, in meno di ventiquattro ore l’azienda ha dovuto dimostrare la corretta gestione delle attività di “detection & response”, per dare seguito in tempi rapidi ai principi del NIS, informando in modo chiaro, dettagliato e trasparente tutti i diretti interessati. Cosa mai avvenuta prima.

Non c’è dubbio, il NIS contribuisce a porre le basi per un nuovo paradigma che possa servire ad accelerare il tanto acclamato cambio culturale nei confronti della sicurezza cibernetica, nella trattazione dei dati sensibili e nella gestione delle infrastrutture critiche. La percezione che sia solo una questione di tools è ormai obsoleta. GDPR, NIS e LPD dovranno formare in futuro nuove alleanze strategiche.

E la Svizzera che fa?

Tutto ciò vale anche e soprattutto per la Svizzera, quale Paese non comunitario, che dal suo osservatorio privilegiato può avvalersi di un anno di vantaggio per capire davvero quali siano le vere conseguenze di un adeguamento alla gestione dei dati sensibili corposo e strutturale, che impone un cambio di marcia nella gestione dei processi aziendali.

Anche per la Svizzera i dati hanno un nuovo valore da regolamentare in modo proporzionato e adeguato alla cultura aziendale nazionale, che da sempre vede nella Svizzera un pensiero liberale fondato sullo scambio e la condivisione. Proprio in questi mesi il Consiglio federale dibatte sulla creazione di un nuovo centro di cyber difesa nazionale, proattivo nelle intenzioni, con potrebbe a sua volta dare il via alla creazione di centri regionali dedicati alla sicurezza cibernetica, in perfetto stile public-private-partnership. Centri di ricerca, aziende e istituzioni sono al lavoro per trovare la giusta alchimia.

I tempi sembrano davvero maturi, e l’aumentare della minaccia cyber a livello internazionale non può più essere trascurata dai Paesi cross-border come la Svizzera, posizionati al centro dell’Europa. Il monitoraggio passivo lascerà quindi presto il posto a una difesa cibernetica del dati sensibili e delle infrastrutture critiche sempre più attiva.

L’interpretazione svizzera del GDPR

Di principio, il GDPR si applica alle aziende che hanno sede sul territorio svizzero, e in particolare nei Cantoni cross-border come il Canton Ticino, quando l’azienda ha una relazione in essere di scambio dati e informazioni con aziende appartenenti all’Unione Europea. Questo avviene con una valutazione caso per caso da parte degli organi competenti. In particolare, come indicato dall’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), si possono menzionare due criteri fondamentali:

Il criterio dello Stabilimento (art. 3 § 1; cons. 22)”

“(…) Un responsabile del trattamento sul territorio dell’Unione (ad es. un fornitore di servizi informatici) che tratta dati personali per un’impresa svizzera è soggetto al GDPR indipendentemente dal fatto che tratti dati di interessati che si trovano in Svizzera o nell’Unione (art. 3 § 1). È tenuto a rispettare gli obblighi specifici dei responsabili del trattamento stabiliti dal GDPR (cfr. articoli 28, 30 § 2 e 37 GDPR) e i requisiti derivanti dal diritto svizzero (cfr. articolo 10a LPD). In caso di non conformità è probabile che se ne assuma la responsabilità. Ciò non significa tuttavia che il titolare del trattamento in Svizzera sia soggetto al regolamento.”

Il criterio dell’Individuazione (art. 3 § 2; cons. 23 e 24)

“(..) il titolare del trattamento è stabilito al di fuori dell’Unione europea ma le sue attività di trattamento riguardano sia l’offerta di beni o servizi a interessati che si trovano sul territorio dell’Unione, sia il monitoraggio del comportamento di tali interessati se tale comportamento ha luogo all’interno dell’Unione. In quest’ultimo caso di monitoraggio, il legislatore europeo si riferisce in primo luogo al monitoraggio degli internauti. In pratica il GDPR dovrebbe applicarsi qualora un residente europeo, indipendentemente dalla sua nazionalità o dal suo domicilio, sia direttamente oggetto di un trattamento dei dati.”

In realtà le sfumature espresse dall’Incaricato federale sono molteplici, ma questi due criteri sono quelli principali da cui partire per comprendere l’analisi svizzera sull’applicazione del GDPR. I principi di trasparenza, proporzionalità, finalità e diritti degli interessati sono le leve su cui si basa l’interpretazione oggettiva dell’applicabilità o meno del GDPR. Il testo completo con tutte le indicazioni ufficiali si può scaricare dal sito ufficiale della Confederazione svizzera, con il nome “Il GDPR e le conseguenze per la Svizzera”.

Aziende europee e aziende svizzere, a cosa prestare attenzione

Se per qualunque ragione un’azienda appartenente all’Unione Europea decidesse di trasferire la propria sede sul territorio svizzero, oppure di aprire una filiale all’interno di un suo Cantone (magari cross-border come in Canton Ticino), deve prendere in considerazione l’ipotesi che sia soggetta all’applicazione del GDPR. In particolare, nei casi in cui:

  • continuasse ad avere una relazione di scambio con un’azienda o una succursale appartenente all’UE;
  • offrisse beni o servizi a cittadini appartenente a Paesi comunitari (ecommerce);
  • svolgesse attività di profilazione dei clienti appartenenti a Paesi comunitari al fine di presentar loro dei prodotti e servizi personalizzati.

In questi casi, l’implementazione del GDPR alle aziende svizzere, impone loro di tenere traccia di tutte le attività svolte, di verificare che le condizioni contrattuali siano conformi alla protezione dei dati, di appurare che la gestione del consenso sia conforme ai crismi forniti dal regolamento, in ottica di trasparenza e informazione, di definire una procedura completa per l’identificazione e la segnalazione di eventuali violazioni dei dati, e di garantire un livello adeguato e proporzionato di protezione per la sicurezza dei dati e delle rispettive infrastrutture critiche dove essi transitano.

Appare quindi chiaro che la condivisione delle nuove pratiche superi la barriera territoriale, affinché un decreto dirompente come il NIS, non venga ingenuamente percepito come qualcosa di lontano e inutile dai Paesi cross-border, e viceversa.

I cardini della territorialità del GDPR

Il 23 novembre 2018 il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato le nuove linee guida (3/2018) sul campo di applicazione territoriale del GDPR, dal nome “Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)”. Al centro dell’attenzione l’Articolo 3, che riguarda l’ambito di applicazione territoriale del GDPR, il quale sancisce le due macro categorie interessate dall’applicazione del nuovo regolamento:

  • le aziende con sede nell’UE che raccolgono o trattano dati personali dei residenti nella Comunità Europea;
  • le aziende non appartenenti all’UE che monitorano e tracciano (attraverso strumenti tecnici per la profilazione) il comportamento di utenti comunitari per offrire loro prodotti e servizi mirati.

Le nuove linee guida, per ora disponibili in lingua inglese, offrono alla aziende una serie di esempi semplici e pragmatici utili per agevolare la loro interpretazione, soprattutto in funzione delle loro specificità operative.

I due criteri fondamentali su cui poggiano le nuove linee guida, in forma originale, sono i seguenti:

  • Establishment (Articolo 3.1);
  • Targeting (Articolo 3.2).

La Svizzera, dal canto suo, ha reso tali criteri oggetto di una consultazione pubblica, con scadenza prevista per il 18 gennaio 2019, data oltre la quale potranno emergere proposte di cambiamento.

Prima di tutto, è opportuno comprendere il significato ufficiale che le nuove linee guida associano ai termini “Controller” e “Processor”. Il Controller (Responsabile del trattamento) è una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo incaricato, che, da solo o in collaborazione con altri organi preposti, determina le finalità e gli strumenti del trattamento dei dati personali. Il Processor invece (Incaricato del trattamento), ai sensi dell’articolo 4, paragrafo 8, del GDPR, è una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo incaricato che tratta i dati personali per conto del Responsabile del trattamento (Controller).

I due criteri fondamentali della territorialità

Fatto questo, consideriamo i due criteri fondamentali che caratterizzano la territorialità delle nuove linee guida.

Il primo introduce il concetto di ““An establishment in the Union”, il cui significato indica un’entità (da intendere come azienda o stabilimento) con effettivo e reale esercizio delle attività attraverso accordi commerciali stabili. La forma giuridica di tali accordi, che si tratti di una succursale o di una filiale con personalità giuridica, non è un fattore determinante. Questo criterio apre a diverse casistiche e interpretazioni, partendo dal presupposto che la normativa si applica indipendentemente dal fatto che il trattamento dei dati personali avvenga nell’Unione Europea o meno. Facciamo un esempio. Una software house con sede in Svizzera ha una filiale e un ufficio di proprietà a Parigi, incaricato di gestire tutte le attività svolte nell’Unione Europea, compreso quelle di marketing e pubblicità. In questo caso, la filiale con sede a Parigi può essere considerata come “stable arrangement”, in quanto esercita reali, concrete e trasparenti attività economiche per conto e secondo natura di quelle svolte dalla software house svizzera. Per questo motivo, la filiale di Parigi potrebbe essere considerata “An establishment in the Union” e quindi soggetta al GDPR.

Il secondo criterio invece, introduce il concetto di ““Targeting”, ossia il posizionamento. Questo criterio è di interesse a tutti coloro che si trovano nell’Unione Europea e può essere innescato da due tipi distinti di attività svolte da un Responsabile del trattamento (Controller) o da un Incaricato del trattamento dei dati personali (Processor), i quali non si trovano a loro volta nell’Unione Europea. Le interpretazioni dei criteri di targeting si focalizzano su ciò con cui le attività del trattamento dei dati personali sono relazionate (il business aziendale), che dovranno essere analizzate caso per caso. Facciamo un esempio. Una banca con sede a Bangkok ha clienti che risiedono in Asia ma hanno una passaporto italiano. La banca opera soltanto sul mercato asiatico, senza alcuna attività nella Comunità Europa. In questo caso, il trattamento da parte della banca dei dati personali dei clienti italiani non è soggetto al GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4