Anche la Svizzera è approdata a una revisione totale della legge sulla protezione dei dati con il chiaro intento, in perfetta linea con il GDPR, di proteggere da un lato “la personalità” e dall’altro “i diritti fondamentali” degli individui ogniqualvolta privati e/o istituzioni federali trattino dati personali.
LDP: i principali nuovi obblighi per le aziende
I principali nuovi obblighi per le aziende si possono sostanzialmente individuare nei punti che seguono.
Privacy by design e by default
Se le aziende intendono trattare dati personali, dovranno adottare misure tecniche e organizzative adeguate rispettando, tra gli altri, i principi del trattamento dei dati fin dalla progettazione (privacy by design), progettando al tempo stesso le impostazioni predefinite (privacy by default) con la garanzia che “…il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti”.
In altri termini, non sarà più in alcun modo consentito fare incetta di dati personali, senza indicarne le finalità e quant’altro di pertinente.
Elenco del trattamento dei dati
Anche le aziende elvetiche sono chiamate a predisporre un registro delle attività di trattamento documentando nel dettaglio come avviene il singolo trattamento contenendo almeno:
- identità del titolare del trattamento;
- scopo del trattamento;
- descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
- categorie di destinatari;
- durata ove possibile ovvero i criteri volti a determinare la conservazione dei dati personali;
- descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali, ove possibile;
- se i dati personali sono comunicati all’estero, le indicazioni relative allo Stato destinatario e le garanzie ad hoc.
Obbligo di informazione ampliato
Le aziende pur già abituate a informare circa l’attività di trattamento dei dati personali, da settembre dovranno informare maggiormente le persone interessate.
Una più dettagliata informazione consente peraltro alle persone interessate di poter esercitare all’occorrenza i propri diritti (accesso, opposizione, ecc.) revisionati dalla nuova LPD, a garanzia di un trattamento dati così trasparente.
La nuova LPD fornisce alle aziende un dettaglio circa le informazioni necessarie ed eventualmente da implementare (se non già presenti):
- identità e dati di contatto della/del responsabile per il trattamento dei dati;
- scopo del trattamento
- destinatario, Paese destinatario ed eventuali garanzie in materia di diritto sulla protezione dei dati, in caso di trasferimento di dati all’estero.
Sono previste anche delle eccezioni all’obbligo di informare come nel caso in cui, ad esempio, il trattamento dei dati sia imposto ex lege ovvero in quegli altri casi previsti dall’art. 20 a cui si rinvia.
Valutazione d’impatto sulla protezione dei dati
Le aziende sono altresì chiamate a riconoscere e valutare i rischi per la protezione dei dati grazie all’effettuazione di una valutazione d’impatto ad hoc. specialmente se il trattamento di dati dovesse implicare, presuntivamente, un elevato rischio per i diritti della personalità e quelli fondamentali su menzionati relativi alle persone interessate.
Facciamo qualche esempio per capire meglio. Se l’azienda tratta dati sensibili cd “…degni di particolare protezione” come quelli riguardanti la salute, ecco che la stessa dovrà, prima di trattare il dato, senz’altro effettuare una valutazione di impatto.
Obbligo di notifica in caso di violazione della protezione dei dati
Nel caso in cui si dovesse verificare/accertare una violazione di dati, le aziende saranno tenute a notificare “quanto prima” all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) il quale potrà richiedere alle aziende di (dover) informare anche le persone coinvolte, qualora i dati violati (ovvero rubati, hackerati, divulgati in modo non legittimo o lecito, ecc.) siano giunti a persone non autorizzate.
In caso di esercizio dei diritti
Nel caso in cui la persona interessata dovesse esercitare uno dei diritti alla medesima concessi, le aziende dovranno dare ascolto e seguito alla richiesta.
Si faccia il semplice caso del cliente trasferisca la propria contabilità, ad esempio, ad altro professionista; il primo dovrà trasferire tutti i dati che si riferiscono al suo ex cliente senza chiedergli alcun costo.
La nuova LPD e i principali cambiamenti
La nuova LPD si sofferma essenzialmente su tre aspetti: sul modo in cui i dati sono trattati, sul come le persone interessate vengono informate in ordine al trattamento dei loro dati (personali), e su che influenza queste abbiano in termini di trattamento.
La revisione della trentennale legge è stata massiccia, ottenendo da un lato una maggiore trasparenza dei trattamenti dei dati e, dall’altro un rafforzamento in termini di consapevolezza da parte delle persone interessate al punto tale di costituire ed attribuire loro in definitiva un vero e proprio “diritto all’autodeterminazione”. Con la conseguenza che ciascuno, così facendo, potrà avere un consapevole controllo, per quanto talvolta possa apparire minimo, dei propri dati raccolti e trattati.
Nuovo perimetro di applicazione
La nuova LPD riguarda solo più i dati personali eliminando qualsiasi riferimento alle persone giuridiche.
Nuovi dati personali degni di particolare protezione
La nuova LPD superando quella precedente (ad oggi ancora in vigore e così fino al 31 agosto 2023) include altri dati personali, definiti “degni di particolare protezione”. Tra questi evidentemente rientrano i dati relativi all’etnia/appartenenza ad una razza, quelli genetici e biometrici (impronta digitale, retina, ecc.) quelli relativi a salute, opinioni religiose, ideologiche o politiche, sui procedimenti penali/amministrativi.
Profilazione
La nuova LPD introduce anche la disciplina in ordine alla profilazione (qualsiasi tipo di trattamento automatizzato di dati personali con l’obiettivo di collegare determinati aspetti personali di una persona) distinguendola rispetto a quella “a rischio elevato” che si verifica quando i dati personali vengono trattati automaticamente e, grazie all’elaborazione degli stessi, emergono attitudini e tratti essenziali della personalità di una persona interessata senza che la stessa abbia dato il consenso peraltro nemmeno richiesto, come invece detta il GDPR.
Certificazioni
La nuova LPD mantiene l’istituto delle certificazioni, rinnovando quanto già in essere nel territorio elvetico dalla precedente modifica del lontano 2008. La certificazione consente, in breve, di conseguire alcuni vantaggi come, ad esempio, non (dover) effettuare una valutazione di impatto.
Dati all’estero e criteri di applicazione
La nuova LPD si applica non solo ad aziende/organizzazioni collocate in territorio svizzero, ma anche quando l’attività di trattamento di dati personali all’estero, possa avere delle implicazioni sul territorio elvetico.
Al riguardo, è interessante notare come per le imprese italo-svizzere si dovrà guardare al criterio di applicazione territoriale. Quindi, se per esempio, un’azienda italiana abbia anche una sede in Svizzera, per il solo fatto dello stabilimento questa dovrà adeguarsi alla LPD.
LPD e le motivazioni di un avvenuto adeguamento massiccio, anche a vantaggio dell’economia elvetica
Abbiamo potuto apprezzare, seppure in breve, come la nuova LPD sia stata massicciamente revisionata. Ciò è dovuto in seguito a due fattori: da un lato in quanto le condizioni tecnologiche e sociali profondamente mutate; e dall’altro grazie al GDPR la cui ormai radicata introduzione ha segnato la strada. Ecco perché possiamo giungere alla conclusione che la nuova LPD ricalchi nei suoi massimi sistemi il GDPR.
D’altronde, l’economia svizzera, forte sul fronte bancario, è notoriamente avvinta allo Spazio economico europeo avendo tutto l’interesse di adeguare la legge in materia di protezione dati il più aderente o meglio compatibile con il diritto dell’Unione.
