La Svizzera prende posizione sulla tutela dei dati

02/10/2023
di Yuri Monti

È datato 1° settembre 2023 il profondo cambiamento che ha interessato la disciplina del trattamento dei dati personali in terra svizzera: dopo trent’anni, la normativa svizzera cambia con l’entrata in vigore della nuova Legge federale sulla Protezione dei Dati (LPD), andando nella direzione di un sempre più sostanziale allineamento con quanto previsto a livello europeo dal GDPR.

E, aggiungiamo, non potrebbe essere altrimenti, anche alla luce di una decisione di adeguatezza nei confronti proprio della Svizzera in vigore da più di due decenni.

Cosa dice la nuova legge

Esaminando il testo della Legge, risulta immediatamente evidente come molti dei principi ed istituti ora applicabili al trattamento di dati personali in Svizzera siano mutuati – in maniera più o meno pedissequa – dal Regolamento Europeo: questo rappresenta senza dubbio un vantaggio per quelle imprese (svizzere ma non solo) che si siano già conformate agli adempimenti del GDPR; tuttavia, occorre anche notare che la LPD ha delle peculiarità in termini applicativi di non poco conto, ad es. in tema di esenzioni da specifici obblighi, che possono differire da quanto definito dal Regolamento Europeo.

Data protection SvizzeraL’analisi delle affinità tra le due normative rimane comunque l’elemento di maggiore interesse: non dimentichiamoci infatti che il nuovo ambito di applicazione definito dalla LPD (art. 3) prevede che tale legge si applichi “alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero”; in altre parola e secondo un’interpretazione ancora tutta da confermare, ogni qualvolta un titolare del trattamento si trovi a trattare dati personali di cittadini svizzeri, deve fare i conti con la conformità a tale normativa. Deve essere posta particolare attenzione anche ad un altro tema, quello relativo alla possibile necessità di nominare un rappresentante in Svizzera (art. 14). Anche in questo caso si potrebbe pensare ad una mera riproduzione di quanto previsto all’art. 27 del GDPR, ma guardando bene le indicazioni sono differenti: il dettato della norma elvetica prevede infatti che qualsiasi titolare che, pur avendo sede all’estero, tratti dati personali di cittadini svizzeri debba nominare un rappresentate in Svizzera nel caso in cui (i) il trattamento sia connesso “a un’offerta di merci o prestazioni o finalizzato a porre sotto osservazione il comportamento di dette persone”, (ii) sia un trattamento su larga scala, (iii) sia un trattamento periodico e (iv) comporti un rischio elevato per la personalità delle persone interessate.

Soffermiamoci anche sul dato delle definizioni: la Legge Federale parla di “dati personali” e “interessato” con significati praticamente sovrapponibili a quelli del GDPR; e per di più, l’attuale normativa si applica solo ai dati personali di persone fisiche, e non più anche a quelle di persone giuridiche come nel precedente regime. Si parla poi di “dati personali degni di particolare protezione” ricalcando il concetto di “categorie particolari di dati personali”. Peculiare è, invece, il concetto di “profilazione”, che prevede una specifica con la definizione di “profilazione a rischio elevato”, ovvero quel tipo di profilazione “che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata”.

In termini di valutazioni sulla sicurezza dei dati, la Legge Federale fa propri i principi della Privacy by Design e Privacy by default (art. 7), gli adempimenti legati alla valutazione d’impatto (art. 22) e dispone all’art. 8 che titolari e responsabili garantiscano “appropriati provvedimenti tecnici e organizzativi” per assicurare la sicurezza dei dati, con una formulazione che riecheggia le “misure tecniche e organizzative adeguate” di cui all’art. 32 GDPR.

Ancora, viene introdotto, a determinate condizioni, l’obbligo di dotarsi di un registro dei trattamenti (art. 12) e la facoltà di nominare un “consulente per la protezione dei dati” (art. 10), ovvero il corrispondente del nostro DPO.

Laddove vi sia una violazione di dati personali – tra cui la perdita o la distruzione accidentale di dati personali, oppure l’accesso non autorizzato agli stessi – il titolare è tenuto alla notifica della stessa all’Incaricato federale della protezione dei dati (il Garante svizzero), a meno che non possa applicarsi una delle esimenti previste (art. 24).

Nei confronti degli interessati, nella nuova Legge si riconoscono obblighi informativi (artt. 19 e segg.) e diritti (artt. 25-29, più quanto previsto in tema di rettifica e cancellazione tra le pretese dell’art. 32) in tutto e per tutto assimilabili a quelli previsti dal Capo III del GDPR; stesso livello di somiglianza lo si ritrova anche in tema di trasferimento di dati personali all’estero (artt. 16-18), con la previsione di garanzie e deroghe sulla falsariga del Capo V del GDPR.

Le differenze

Un elemento di difformità abbastanza considerevole è quello previsto in tema di responsabili del trattamento: sebbene anche l’art. 9 della Legge Federale impone al titolare di affidare il trattamento ad un responsabile che consenta di garantire la sicurezza dei dati personali – al pari di quanto fa in maniera però più strutturata l’art. 28 GDPR – la previsione è molto contenuta. Nulla si dice, infatti, rispetto alle modalità con cui debba essere disciplinato il rapporto con il responsabile, di cui invece è prodigo il già citato art. 28 del GDPR.

Infine, un aspetto su cui porre attenzione è quello del regime sanzionatorio: la violazione volontaria di alcune delle previsioni di cui alla LPD può comportare, per la persona fisica, una multa fino ad un massimo di 250.000 franchi. Nel caso in cui le persone fisiche responsabili delle violazioni non siano ragionevolmente individuabili e la multa non superi i 50.000 franchi, allora ad essere multate possono essere direttamente le aziende.

Molte somiglianze con il Regolamento Europeo, dunque, ma anche differenze di non poco conto. I titolari del trattamento che abbiano rapporti con la Svizzera devono quindi iniziare da subito a prendere confidenza con la Legge federale sulla protezione dei dati, partendo comunque da un indubbio vantaggio dato (auspicabilmente) dalla conformità a quanto già richiesto dal GDPR fin dal 2018.

Riproduzione riservata ©

ALTRE NEWS

L’opposizione degli Stati membri agli emendamenti: una clamorosa marcia indietro?

A quanto pare le pesanti pressioni delle grandi imprese statunitensi e del governo americano potrebbero portare ai risultati (da loro) sperati. Se veramente Parlamento e… Leggi Tutto

Dalla privacy alla sicurezza, gli aspetti legali e tecnologici dello Smart Working

Cosa dovranno fare aziende e pubbliche amministrazioni per impostare correttamente il rapporto tra diritto e tecnologia che caratterizzano lo Smart Working? A marzo abbiamo affrontato… Leggi Tutto

Giovanni Buttarelli al Privacy Day: svolta normativa alle porte

Regolamento Europeo alle porte A distanza di ormai venti anni dall’emanazione della direttiva 95/46 che ha dato vita al nostro attuale Codice della Privacy, il… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Informativa Privacy