LA NUOVA LEGGE FEDERALE SULLA PROTEZIONE DEI DATI (nLPD) A CONFRONTO CON IL REGOLAMENTO (UE) 2016/679 (GDPR)
Sono mesi ormai che si sente parlare di nuova LPD, di revisione totale della LPD; ma che cos’è la LPD e perché una revisione totale?
LPD è l’acronimo ufficiale della Legge (federale) sulla Protezione dei Dati. Il testo finale della nuova LPD (nLPD) è stato adottato il 25 settembre 2020, la sua entrata in vigore è prevista per il primo settembre 2023, anche se mancano tutt’ora le norme attuative.
L’obiettivo della LPD è di proteggere la personalità ed i diritti fondamentali delle persone i cui dati sono oggetto di trattamento (art. 1 della LPD).
Perché una revisione totale:
La prima legge federale sulla protezione dei dati del 1
9 giugno 1992 è entrata in vigore (1° luglio 1993) quando Internet non era ancora usato a scopi commerciali e non era possibile prevedere una realtà digitale caratterizzata da un’iper-connettività alla rete, il tutto accelerato dalle nuove tecnologie dell’informazione e dei mezzi di comunicazione (diffusione dei telefoni cellulari, dei social media) spesso estremamente connessi.
Inoltre il progresso tecnologico spinge il mondo giuridico ad una continua e attenta revisione. La tematica Protection & Privacy ha avuto il suo apice con il Regolamento (UE) 2016/679 (GDPR) direttamente applicabile per tutti gli stati UE dal 25 maggio 2018, con un impatto considerevole anche sulle aziende stabilite al di fuori dello Spazio Economico Europeo (SEE) ed in particolare in tema di trasferimento di dati personali verso paesi terzi (non SEE). Il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è lecito se il titolare (Data Controller) o il responsabile del trattamento (Data Processor) possono fare valere certe garanzie (Art. 45 a 49 GDPR), tra cui la decisione di adeguatezza (art. 45 GDPR). La decisione di adeguatezza è un atto di esecuzione rilasciato dalla Commissione Europea a paesi terzi, riconosciuto “safe”, ossia che garantisce un livello di protezione adeguato. In tale caso il trasferimento di dati personali non necessita di autorizzazioni specifiche previste dagli Art. 46 a 49 GDPR.
La revisione totale della LPD è volta, con la ratifica della Convenzione STE 108+ del Consiglio d’Europa sulla protezione e il suo adeguamento ai requisiti del regolamento (UE) 2016/679, ad assicurare alla Svizzera il rinnovo della decisione di adeguatezza da parte della Commissione Europea e permettere le comunicazioni transfrontaliere di dati senza ulteriori ostacoli.
Quali sono le principali novità della nLPD
Cosi come il GDPR, la nLPD si prefigge di tutelare i dati personali delle persone fisiche attraverso una maggiore trasparenza nei confronti delle persone interessate e la responsabilizzazione (principio di accountability) delle aziende (Data Controller o Data Processor del trattamento) con conseguenti obblighi di legge nei loro confronti e risvolti sanzionatori in caso di violazione o di inadempienze.L’elemento fondamentale della revisione è il cosiddetto approccio basato sul rischio. La nLPD stabilisce degli obblighi ai quali le aziende devono conformarsi e che le consentano di rilevare per tempo i rischi per la personalità e i diritti fondamentali delle persone al fine di eleminarli o eventualmente di mitigarli.
Gli obblighi di legge:
- Obbligo di protezione dei dati fino dalla progettazione (privacy by design) e per impostazione predefinita Art. 7 nLPD;
- Standard minimi di sicurezza Art. 8 nLPD;
- Registro dei trattamenti Art. 12 nLPD;
- Obbligo di informazione generalizzato a tutti i trattamenti di dati Art. 19 nLPD;
- Obbligo di valutazione d’impatto (DPIA) per i trattamenti che presentino un rischio elevato Art. 22 nLPD;
- Obbligo di notifica e comunicazione in caso di Data Breach Art. 24 nLPD.
Specificità della nLPD rispetto al GDPR
- Principio di liceità: il motivo giustificativo in Svizzera viene richiesto in presenza di un trattamento illecito, ossia un trattamento che rappresenta una violazione della personalità. L’Art. 30 cpv 2 nLPD fornisce esempi di illiceità del trattamento dei dati che possono comunque essere trattati in presenza di un motivo giustificativo (legge, consenso o interesse preponderante pubblico o privato).
- l’Incaricato federale (IFPD) non potrà pronunciare sanzioni amministrative (pecuniarie), potrà prendere delle misure tra cui la modifica o la sospensione del trattamento dei dati o addirittura la cancellazione dei dati.
- Non è obbligatoria la figura del Data Protection Officer (DPO) nel settore privato. La nomina di un DPO comporta (a determinate condizioni) l’esclusione dell’obbligo di consultazione preventiva dell’IFPD in presenza di trattamenti a rischio elevato dopo una valutazione sulla protezione dei dati (DPIA).
- L’obbligo di informare l’interessato decade se il trattamento è obbligatorio per legge: “nul n’est censé ignorer la loi”.
- In caso di violazioni intenzionali di determinati obblighi quali:
- obbligo di informare, di concedere l’accesso e di collaborare;
- obbligo di diligenza;
- obbligo del segreto;
- inosservanza di una decisione.
Sono previste delle sanzioni penali (multe) a carico degli amministratori e/o dei managers fino ad CHF 250.000,-. In caso di violazioni commesse nelle aziende (Art. 64 nLPD), se la multa non supera i CHF 50.000,- e se la determinazione degli autori della violazione richiede provvedimenti d’inchiesta sproporzionati, sarà l’azienda ad essere punita. Questa è una differenza sostanziale rispetto al GDPR, il quale istituisce pesanti sanzioni amministrative pecuniarie a carico delle aziende mentre la LPD ha optato per la responsabilizzazione dei dirigenti, detentori del potere decisionale.
VI. Esistono standard minimi di sicurezza: approccio classico basato sui rischi quale elemento fondamentale della revisione della legge sulla protezione dei dati (Art. 8 nLPD). Il Data Controller e il Data Processor del trattamento devono determinare i provvedimenti adeguati in base al rischio che di volta in volta si presenta. Compete al Consiglio Federale di emanare i requisiti minimi di sicurezza (Art.8 cpv 3 nLPD). Gli Art. 1 a 3 dell’Ordinanza relativa alla LPD (P-OLPD) non prescrivono requisiti minimi rigidi validi per tutti, ma intendono illustrare criteri di base di valutazione (i principi) e forniscono direttive volte a definire dei provvedimenti stilando un elenco di obiettivi di protezione (art. 1 e 2 P-OLPD). È inoltre stato consolidato e concretizzato l’obbligo di verbalizzazione (art. 3 P-OLPD). Quindi il Data controller e il Data Processor del trattamento dovranno verbalizzare tutti i trattamenti per i quali sussiste un rischio elevato per la personalità o i diritti fondamentali delle persone interessate.
Anche se l’approccio della nLPD è assimilabile al GDPR, la normativa svizzera intende mantenere la sua specificità come ad esempio in caso di notifica di Data Breach presso l’autorità garante, il GDPR prevede una notifica entro 72 ore (Art. 33 GDPR) mentre la nLPD richiede una notifica quanto prima (Art. 24 nLPD).
Conclusioni
La nLPD e il GDPR sono due normative equiparabili ma che per molti aspetti presentano delle differenze sostanziali.
Occorre anche evidenziare che in relazione al campo di applicazione territoriale delle due normative e in riferimento al cosiddetto principio degli effetti, la nLPD si applica anche alle aziende estere che operano nel mercato svizzero o il cui trattamento dei dati ha effetti in Svizzera cosi come il GDPR si applica ad aziende svizzere che offrono beni o prestazioni di servizi nell’UE e esercitano un monitoraggio del comportamento dell’utente all’interno del territorio UE (Art. 3.2 GDPR).
Sicuramente una delle difficoltà per le aziende nel processo di messa in conformità alla nLPD, sarà l’identificazione del quadro normativo per la tutela della privacy e la protezione dei dati ed in particolare verificare se essa rientra nel campo di applicazione del GDPR o di qualsiasi altra normative estere.
Considerando la complessità degli adempimenti e l’assenza di un termine generale di adeguamento dopo l’entrata in vigore della nLPD, è auspicabile che il processo di messa in conformità venga avviato il prima possibile con il supporto adeguato. In questo modo, l’azienda oltre a dimostrare la sua compliance alla norma, potrà dimostrare che tratta i dati personali dei suoi clienti, utenti, dipendenti nel rispetto dei loro diritti fondamentali della personalità.
Fidinam & Partners
Questo articolo è a cura di Isabel Costa, Manager Privacy di Fidinam & Partners. E' possibile scaricare la versione cartacea dell'articolo in italiano ed in inglese qui.
Per rivolgerci domande specifiche sulla tematica in oggetto, cliccare qui.