Blog del Gruppo Fidinam

La nuova legge sulla protezione dei dati

Scritto da Fidinam News | 21/04/23

La revisione totale della LPD, oltre ad una sua modernizzazione, mira a adeguare la normativa svizzera ai requisiti europei in ambito di trattamento dati.

Premessa

La più grande parte della revisione della nuova Legge federale sulla protezione dei dati (nLPD), si fonda sull’implementazione delle disposizioni della Convenzione 108+, le quali hanno per obiettivo una maggiore tutela delle libertà e dei diritti fondamentali delle persone fisiche in relazione all’elaborazione automatizzata dei loro dati a carattere personale aumentando il senso di responsabilizzazione (cd. principio di accountability) di coloro che trattano i dati personali. A tale fine, la nLPD ha introdotto una seria di obblighi nei confronti delle aziende (titolari del trattamento) volti a migliorare la trasparenza del trattamento dei dati personali delle persone fisiche e aumentando il senso di responsabilità del titolare del trattamento, nonché allo stesso tempo permettendo alle persone interessate di controllare i dati che le riguardano. Il tutto con un inasprimento delle disposizioni penali in caso di violazione o di inadempienze nei confronti del titolare del trattamento e, in particolare, a carico dei dirigenti, amministratori e detentori del potere decisionale in seno alle aziende (titolari del trattamento).

 

I.  Introduzione

Dinanzi agli sviluppi europei in materia di protezione dei dati ed alla rapida evoluzione tecnologica, la revisione totale della Legge federale sulla protezione dei dati (LPD; RS 235.1) mira a:

  • modernizzare l’attuale legge sulla protezione dei dati personali (di seguito descritta con l’acronimo aLPD, diversamente da quella nuova descritta con l’acronimo nLPD) e rafforzarla per fare fronte alla rapida evoluzione tecnologica;
  • attuare gli impegni assunti al livello internazionale e, in particolare, ratificare il protocollo di modifica (protocollo di emendamento 223 detto anche Convenzione 108+) del testo della Convenzione 108, Convenzione per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale .. La Convenzione 108 o Convenzione di Strasbourg del 1981 (RS 0.235.1) è uno dei più importanti strumenti legali per la protezione delle persone rispetto al trattamento automatizzato dei dati personali ;
  • adeguarsi al diritto europeo onde consentire anche in futuro la comunicazione transfrontaliera di dati senza necessità di fare valere le garanzie previste dagli artt. 46 a 49 Regolamento UE n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (General Data Protection Regulation [GDPR]) e che permetterebbe alla Svizzera di assicurarsi il rinnovo della decisione di adeguatezza  (art. 45 GDPR) di cui beneficia già dal 2000  e di cui il riesame è stato prorogato , in attesa della sentenza della Corte di Giustizia dell’Unione europea (CGUE) interpellata in seguito al reclamo pendente di Maximilian Schrems contro i trasferimenti di dati verso gli Stati Uniti d’America (USA).

Dopo una descrizione dell’iter legislativo, il presente contributo illustrerà dapprima le principali novità della nLPD rispetto all’aLPD pertinente per il settore privato, alle quale seguirà una presentazione di alcuni obblighi delle aziende (di seguito “titolari del trattamento”) volti a migliorare la trasparenza dei trattamenti dei dati personali nei confronti delle persone interessate e di alcune misure tecniche-organizzative che, oltre a prevenire/mitigare i rischi per la personalità e i diritti fondamentali delle persone interessate, sono destinate a comprovare, documentare, illustrare in maniera circostanziata e regolare l’implementazione di un processo necessario a proteggere la personalità e i diritti fondamentali delle persone interessate (cd. principio di accountability). Infine, verranno esposte le sanzioni penali applicabili ai sensi della nLPD nei confronti del titolare del trattamento e, in particolare, nei confronti delle persone fisiche detentrici del potere decisionale in seno al titolare del trattamento in caso di violazione di alcuni obblighi o di inadempienze.

II. L’iter legislativo

La nLPD è un progetto iniziato nel lontano dicembre 2011. Di fronte sia alla rapida evoluzione delle tecnologie che all’intensificazione dei trattamenti e diffusione dei dati con i conseguenti rischi di lesione per la personalità, l’Ufficio federale di giustizia (UFG) ha provveduto tra il 2010 e il 2011 ad una valutazione della LPD, il cui rapporto è stato approvato dal Consiglio federale in data 9 dicembre 2011 .

Oltre ad avere approvato la valutazione dell’UFG, il Consiglio federale ha incaricato il Dipartimento federale di giustizia e polizia (DFGP) di esaminare eventuali misure legislative volte a migliorare il livello di protezione dei dati , tenendo conto dei risultati della valutazione e delle riforme in corso presso l’UE  e il Consiglio d’Europa .

Il 29 ottobre 2014, il DFGP ha pubblicato il rapporto esplicativo nel quale ha presentato le sue conclusioni e ha stabilito le linee generali di una nuova legislazione sulla protezione dei dati.

Il 1° aprile 2015, il Consiglio federale, avendo preso atto del rapporto del gruppo di accompagnamento, ha incaricato il DFGP di sottoporgli entro la fine di agosto 2016 un avamprogetto di legge per la revisione della LPD orientato alle riforme delle norme sulla protezione dei dati a livello di Consiglio d’Europa e dell’UE, in particolare delle disposizioni del GDPR, della Direttiva UE n. 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nel settore del diritto penale e delle norme sancite dalla Convenzione 108+.

Il 21 dicembre 2016, il Consiglio federale ha posto in consultazione l’avamprogetto di revisione totale della LPD e di modifica di altri atti normativi sulla protezione dei dati accompagnato dal suo rapporto esplicativo. La sintesi dei risultati della consultazione è stata pubblicata in data 10 agosto 2017.

Il 15 settembre 2017, il Consiglio federale ha licenziato il messaggio relativo alla revisione totale della LPD , aprendo in questo modo la via alle delibere parlamentari.

Il processo democratico è stato lungo ed intenso. Il Parlamento ha suddiviso il progetto del Consiglio federale in due tappe distinte: da una parte la trasposizione della Direttiva UE n. 2016/680 sopra menzionata che costituisce uno sviluppo dell’acquis di Schengen  e, da un’altra, la discussione relativa alla revisione totale della LPD .

Le divergenze delle Camere federali riguardanti, in particolare, la nozione di profilazione si sono finalmente concluse in data 24 settembre 2020 ed il testo finale della revisione totale della LPD è stato accettato dall’Assemblea federale il 25 settembre 2020.

Nel frattempo, la Svizzera ha sottoscritto, in data 21 novembre 2019 , la Convenzione 108+ e dovrebbe ratificarla con l’entrata in vigore della nLPD.

Il 23 giugno 2021, il Consiglio federale ha avviato la procedura di consultazione sulla revisione totale dell’Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD; RS 235.11) e il 31 agosto 2022 ha fissato al 1° settembre 2023 l’entrata in vigore della nLPD e delle sue disposizioni attuative, nonché la nuova OLPD e la nuova Ordinanza sulle certificazioni in materia di protezione dei dati (OCPD; RS 235.13).

Il presente contributo si soffermerà soltanto su alcuni dei principali nuovi aspetti della normativa. Pertanto, per ogni ulteriore dettaglio, si suggerisce di consultate direttamente il testo della nLPD.

 

Fidinam & Partners


Questo articolo, pubblicato anche sulle Novità fiscali 02/2023 del Centro Competenze Tributarie della SUPSI, è stato redatto da Isabel Costa, Manager Privacy di Fidinam & Partners.

Clicca qui per contattarci e rivolgerci domande specifiche sulla tematica in oggetto.