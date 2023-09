La nuova legge federale sulla protezione dei dati (nLPD) è divenuta applicabile lo scorso primo settembre, dopo un periodo di tre anni dall’approvazione (risalente al 25 settembre 2020), periodo in cui le imprese e le amministrazioni elvetiche hanno avuto il tempo di prepararsi alla nuova normativa e il governo aggiornato le disposizioni esecutive dell’ordinanza relativa alla legge federale sulla protezione dei dati (OLPD).

La nuova legge non è una vera e propria rivoluzione copernicana per gli operatori e i cittadini svizzeri, quanto piuttosto una evoluzione in continuità con la disciplina svizzera precedente ed un avvicinamento della stessa al GDPR.

La necessità di un aggiornamento della normativa svizzera in tema di protezione dei dati personali è comunque evidente se si pensa che la disciplina che la nLPD va a sostituire risale addirittura al 1992, e che nonostante gli aggiornamenti intervenuti nel tempo (l’ultimo dei quali nel 2019) la remota legge privacy soffriva un impianto creato prima dell’avvento di tecnologie (pensiamo ad esempio ad internet) che hanno radicalmente cambiato il modo in cui la privacy può essere aggredita e in cui i nostri dati possono circolare.

Una nuova legge in tema di protezione dei dati personali, quindi, era necessaria nel paese, anche perché in Svizzera nel frattempo moltissime imprese si erano adeguate al GDPR per potersi rivolgere ai consumatori comunitari, facilitando così la transizione verso il nuovo regime che, inevitabilmente, ha molto in comune con il Regolamento 679/2016.

Le novità

Le novità per i titolari del trattamento elvetici non sono quindi moltissime, ma alcune sono di notevole impatto, basti pensare che la normativa precedente tutelava i dati personali senza distinzione fra persone fisiche ed imprese, mentre la normativa attuale si limita (come l’omologa comunitaria) alla tutela delle persone fisiche.

Anche le ulteriori novità di rilievo della normativa comportano un avvicinamento agli standard promossi dal GDPR e quindi familiari all’operatore comunitario.

La nLPD infatti:

allarga il novero dei dati sensibili introducendo dati genetici e biometrici;

definisce i concetti di profilazione e decisione automatizzata;

introduce i principi di “Privacy by Design” e di “Privacy by Default”;

introduce l’analisi di impatto in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate dal trattamento che si intende attuare;

introduce l’obbligo di informativa per tutte le tipologie di dati (non solo quelli sensibili);

introduce l’obbligo di implementare un registro delle attività di trattamento;

introduce una procedura di “annuncio rapido” nel caso di data breach, da inoltrare all’omologo svizzero del Garante Privacy italiano, ovvero l’Incaricato federale per la protezione dei dati e per la trasparenza (IDT).

Differenze fra GDPR e nLPD

Le differenze rispetto al GDPR di fatto non sono così significative, ed infatti è lo stesso governo svizzero ad affermare che “le imprese che si erano già adeguate al regolamento generale dell’UE sulla protezione dei dati (RGPD) avranno pochi cambiamenti da intraprendere.”

Fin dalle prime definizioni contenute nella disciplina si nota infatti come sia possibile sovrapporre (a volte più nella sostanza che nella forma) i concetti propri della normativa elvetica con quelli comunitari.

Ad esempio, l’ambito di applicazione del Regolamento riguarda il trattamento di dati personali da parte di privati e amministrazioni federali salvo il caso di trattamento effettuato “per uso esclusivamente personale” (la normativa comunitaria contiene ulteriori limitate eccezioni figlie della necessità di rispettare il principio di sussidiarietà dell’Unione).

Di fatto molte delle differenze che si rinvengono nella lettura della normativa si risolvono in sfumature, ad esempio l’omologo del DPO nella legge svizzera è chiamato “Consulente per la protezione dei dati”, mentre al di là del nome le sue funzioni sono in buona parte sovrapponibili con quelle del Responsabile per la Protezione dei Dati nella normativa UE.

L’obbligo di informativa

Ci sono però alcune differenze che impattano sugli adempimenti che il titolare deve porre in essere, come ad esempio un alleggerimento dell’informativa da fornire agli interessati nella disciplina svizzera, con l’art. 19 della nLPD che prescrive unicamente di informare circa:

l’identità e i dati di contatto del titolare del trattamento; lo scopo del trattamento; se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali.

La normativa prescrive poi, nel caso in cui i dati personali non siano stati raccolti presso la persona interessata, un’informativa sulle categorie di dati personali trattati.

È infine prevista un’informativa specifica in caso di trasferimento di dati all’estero o di decisione automatizzata.

L’obbligo di informativa è poi dispensato in una serie di ipotesi, tra cui le più “distanti” dal GDPR riguardano il caso del trattamento dati obbligatorio per legge o il caso in cui le “esigenze preponderanti” del titolare impediscano di fornire l’informativa.

Di fatto se però si leggono le informative aggiornate di numerosi siti amministrativi svizzeri si può notare come queste contengano anche informazioni ulteriori necessarie invece nel caso di informativa predisposta ai sensi del GDPR (come i tempi di conservazione dei dati).

Altro elemento di rilevante impatto riguarda i poteri dell’Incaricato federale per la protezione dei dati e per la trasparenza (IDT), che secondo la disciplina svizzera non ha poteri sanzionatori, bensì può solamente imporre ai titolari misure come la modifica o sospensione del trattamento (l’IDT deve infatti far riferimento alle autorità federali per la comminazione di sanzioni).

L’omologo svizzero del DPO

Quanto invece all’omologo svizzero del DPO, ovvero il “Consulente per la protezione dei dati”, la sua nomina non è mai obbligatoria per i privati (mentre con apposito provvedimento sono state individuate le amministrazioni federali tenute alla sua nomina).

Se un privato decide di nominare il Consulente può “rinunciare” alla consultazione preventiva dell’IDT (a determinate condizioni, anche riguardanti l’effettiva indipendenza del Consulente e che includono la notifica dei suoi dati di contatto all’IDT con procedura online simile a quella prevista dal Garante nostrano per la comunicazione di nomina dei DPO), consultazione che è obbligatoria ogniqualvolta dalla valutazione d’impatto sulla protezione dei dati emerge che, nonostante i provvedimenti previsti dal titolare, il trattamento previsto comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

La norma appare di difficile interpretazione se si pensa che all’apparenza legittima un trattamento ad alto rischio sulla base di un semplice parere del DPO (mentre nel diritto comunitario il parere del DPO è uno degli strumenti che aiuta ad individuare il rischio residuo elevato in sede di valutazione di impatto).

Al netto di questa distinzione la procedura di consultazione si svolge in modo non dissimile rispetto a quello previsto dalla normativa comunitaria, così come non variano in misura significativa i casi in cui si deve dar corso alla valutazione d’impatto, con la normativa svizzera che la prescrive in particolare in caso di trattamento su grande scala di dati personali degni di particolare protezione (i nostri dati appartenenti a categorie particolari) o di sorveglianza sistematica di ampi spazi pubblici.

Dati personali degni di particolare protezione

Quanto al novero dei dati personali degni di particolare protezione la normativa svizzera va ad includere una serie di tipologie di dati sostanzialmente sovrapponibile con quella prevista dagli artt. 9 e 10 del GDPR (viene quindi meno la distinzione fra i livelli di protezione previsti dalla normativa comunitaria per i dati appartenenti a categorie particolari, da un lato, e per i dati relativi a condanne penali e reati, dall’altro).

I dati particolari degni di particolare protezione in particolare comprendono:

i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali;

i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia;

i dati genetici;

i dati biometrici che identificano in modo univoco una persona fisica;

i dati concernenti perseguimenti e sanzioni amministrativi e penali;

i dati concernenti le misure d’assistenza sociale.

Le uniche differenze di rilievo riguardano l’inclusione dei perseguimenti amministrativi nel novero dei dati particolari e l’inclusione delle misure d’assistenza sociale (che pur in molte ipotesi includono dati che sarebbero comunque appartenenti a categorie particolari secondo la normativa comunitaria, perché fondate su motivi di salute, tutela di categorie deboli etc.).

Gli standard minimi di sicurezza

Interessante è invece la distinzione fra la disciplina europea e quella svizzera per quanto riguarda gli standard minimi di sicurezza: mentre la disciplina UE (e se ci si pensa ciò è fisiologico data le necessità di normare una variegata serie di nazioni e situazioni) è molto generica sul punto, la disciplina svizzera scende più nel dettaglio (sebbene rimandi comunque ad un approccio basato sul rischio e all’adozione di misure adeguate al trattamento ed alle disponibilità tecnologiche del momento in cui si effettua) in una apposita ordinanza emanata dal Consiglio Federale, che prescrive ad esempio un obbligo di verbalizzazione in una serie di casi specifici.

Interessante è poi la distinzione, presente nella normativa svizzera, in tema di profilazione; se da un lato la disciplina in tema di decisioni automatizzate è assimilabile a quella comunitaria, la disciplina svizzera introduce un doppio livello di profilazione, uno che potremmo definire ordinario ed uno invece “a rischio elevato”. É definita a rischio elevato la profilazione che “comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica”.

La definizione di profilazione a rischio elevato, introdotta in sede parlamentare, comporta diverse conseguenze, innanzitutto nel caso di profilazione a rischio elevato è necessario acquisire il consenso espresso dell’interessato per dar corso al trattamento.

L’art. 31 della nLPD di fatto esclude poi la possibilità di dar corso a una valutazione di solvibilità dell’interessato sulla base del legittimo interesse (ovvero, nella normativa svizzera: “interesse preponderante del titolare del trattamento”) ricorrendo ad una profilazione a rischio elevato e dato il tenore letterale della no

La normativa svizzera impedisce poi agli organi amministrativi federali di ricorrere alla profilazione (anche a quella “ordinaria”) salvo sia a ciò facoltizzata dalla legge.

La notifica in caso di data breach

Piccole differenze si rinvengono anche nella notifica in caso di data breach, che secondo la normativa elvetica deve essere “immediata” (scelta terminologica che inevitabilmente lascia margini di incertezza rispetto alla decisione comunitaria di imporre un termine di 72 ore per la notifica) ma è limitata ai soli casi di rischio elevato per la personalità o i diritti fondamentali della persona interessata.

La comunicazione all’interessato viene invece prescritta ogniqualvolta “ciò è necessario per proteggere la persona interessata” (salvo la comunicazione richieda uno sforzo sproporzionato).

Sembra quindi vi sia un parziale rovesciamento degli adempimenti rispetto a quanto prescrive il GDPR, che richiede la notifica all’autorità garante in caso di rischio per i diritti e le libertà degli interessati e la comunicazione solo in caso di rischio elevato. Ne consegue che è astrattamente possibile che in Svizzera ad una violazione di dati consegua una comunicazione a tutti gli interessati coinvolti (in quanto è necessario proteggerli da conseguenze pregiudizievoli anche se il rischio è “moderato) senza che l’autorità garante ne venga messa a parte.

La normativa infine include (come fisiologico che sia in una legge che non sconta il riparto di funzioni caratteristico del peculiare assetto delle istituzioni europee) le sanzioni penali per la violazione della normativa.

È interessante notare che la natura penale delle sanzioni comporta che queste siano comminate non alle aziende bensì agli amministratori, con multe fino a CHF 250.000.

È però prevista la possibilità di sanzionare l’azienda nel caso in cui sia estremamente complesso o non possibile determinare la persona fisica colpevole e la sanzione non si superiore ai CHF 50.000.

Le decisioni di adeguatezza UE

Va anche ricordato che la Commissione Europea ha riconosciuto l’adeguatezza della tutela offerta in tema di dati personali in Svizzera sin dal 26 luglio 2000, con decisione assunta ancora ai sensi della direttiva 95/46/CE.

Tale decisione dovrà ora essere confermata alla luce del GDPR (procedura che è stata di fatto congelata dalla Commissione alla luce della sentenza Schrems II e che ora, complice anche l’introduzione della nLPD svizzera, risulterà agevole portare a termine).

Allo stesso modo è la Svizzera ad aver riconosciuto una protezione dei dati personali adeguata agli stati che fanno parte dell’Unione Europea (anche se questo riconoscimento andrà ora confermato ai sensi della nuova legge privacy).

Conclusioni

La nLPD ha quindi il pregio di avvicinare ulteriormente, potremmo dire anche “armonizzare” la normativa svizzera e quella europea, favorendo l’interoperabilità di concetti, principi e documenti e facilitando gli adempimenti burocratici in capo agli operatori svizzeri che vogliono rivolgersi ai consumatori UE (che si troveranno già sostanzialmente adeguati al GDPR) e agli operatori UE che vogliono rivolgersi ai consumatori svizzeri (che si troveranno già sostanzialmente adeguati alla nLPD).

Proprio queste caratteristiche della nLPD portano però anche a considerarla in piccola parte una occasione mancata, i quattro anni trascorsi fra l’emanazione del GDP e l’adozione della normativa elvetica avrebbero consentito di affrontare con maggior consapevolezza e diffusione concetti chiave che si sono nel frattempo evoluti, innovando ad esempio in tema di decisioni automatizzate e proponendo soluzioni che mettessero più al riparo i cittadini svizzeri rispetto ai loro vicini dalla progressiva automazione di sistemi informatici specie proposti da aziende USA.

Ciononostante, la disciplina ha il pregio di dotare la Svizzera di uno strumento regolatorio al passo con l’UE, ma non bisogna pensare che questo consenta alle imprese che si vogliono proporre sul mercato elvetico di non effettuare adeguamenti. Le residue differenze evidenziate impongono un approccio prudente senza “automatismi” che tenga conto delle peculiarità dell’ordinamento svizzero e prepari quindi le imprese comunitarie all’ingresso su quel mercato anche dal punto di vista privacy.

La nLPD ha anche il pregio di rendere più agevole per le aziende europee rivolgersi a fornitori svizzeri per operazioni che comportano il trattamento di dati, anche se sul punto la revisione della decisione di adeguatezza della Svizzera, con la Commissione UE che dopo l’approvazione del Data Privacy Framework USA-UE (atto che rende evidente come la Commissione abbia ormai superato le “incertezze” derivanti da Schrems II, anche se non è dato capire con quanta sicurezza ed efficacia) non può ulteriormente sospendere l’aggiornamento della decisione assunta ancora nel 2000 sull’adeguatezza della normativa svizzera al GDPR.