Il primo settembre 2023 è entrata in vigore la nuova legge federale sulla protezione dei dati personali (LPD) in Svizzera. I contenuti della normativa sono interessanti non solo per i molteplici punti di contatto con il Regolamento UE sulla protezione dei dati (GDPR), ma anche per i risvolti per le aziende italiane in particolare ed europee in generale.
Per capire meglio la LPD, è importante ricordare che la Svizzera è uno dei Paesi aderenti alla Convenzione 108/1981, che, come noto, è stata la prima a disciplinare il trattamento automatizzato dei dati personali. Con il Protocollo CETS:223, nel 2018, la Convenzione è stata adeguata ai principi europei sul trattamento dei dati personali introdotti con il Regolamento (UE) n. 679/2016 (GDPR). In quanto paese aderente alla Convenzione 108 e al Consiglio d’Europa, anche la Svizzera, come ogni paese che ha sottoscritto il Protocollo, si è sostanzialmente impegnata ad adeguare la propria normativa interna alle nuove disposizioni della Convenzione, e ad allinearsi alle best practice internazionali in tema di protezione dei dati personali.
La nuova Legge sulla Protezione Dati ha rinnovato completamente (dopo alcuni aggiornamenti solo parziale nel 2009 e 2019) la prima legge federale del 1992. Le regolamentazioni svizzere si sono perciò adattate alle evoluzioni tecnologiche della nostra epoca, influenzata dall’uso comune e quotidiano di internet e internet-of-things, smartphone, social-network, cloud, ecc. Non solo, la nuova LPD si prefigge di rendere il diritto svizzero compatibile a quello europeo. Con l’obiettivo di preservare la libera circolazione dei dati personali nei rapporti economici e commerciali tra le imprese svizzere e quelle appartenenti all’UE.
Vediamo, quindi i punti salienti della attuale normativa svizzera.
Indice
Campo di applicazione della nuova LPD
Lo scopo della nuova LPD svizzera è “proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento”.
La LPD si applica ai soli trattamenti di dati delle persone fisiche da parte di privati e organi federali, escludendo i dati delle persone giuridiche (inclusi nella precedente disciplina).
Inoltre, la nuova disciplina ha inserito i dati genetici e i dati biometrici tra i “dati personali degni di particolare protezione“. Di fatto, tale categoria è assimilabile alla nostra categoria di dati particolari (ovvero gli ex sensibili).
Ambito territoriale della nuova LPD
La nuova LPD chiaramente trova la principale applicazione ad aziende e organizzazioni che sono stabilite e operano in Svizzera. La norma, tuttavia, specifica che “si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero“. Include pertanto, nel campo d’applicazione territoriale, anche le organizzazioni straniere che trattano dati di cittadini svizzeri.
La legge è di interesse per le aziende che dall’estero offrono servizi in Svizzera, poi, anche per la necessità di nominare una rappresentanza in Svizzera.
Principio di trasparenza e obblighi di informativa
Anche nella legge svizzera è presente l’obbligo per il titolare di informare le persone interessate al trattamento dei propri dati personali. Nella legislazione precedente ciò era previsto per i soli trattamenti di “dati personali degni di particolare protezione”.
Ad oggi, la normativa Svizzera richiede di informare gli interessati, al momento della raccolta dei dati, su almeno i seguenti elementi:
- l’identità e i dati di contatto del titolare del trattamento;
- lo scopo del trattamento;
- se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali.
Qualora, poi, i dati personali non siano raccolti presso l’interessato, l’informativa (da fornire entro 1 mese) deve includere anche una descrizione dei dati trattati.
È infine prevista un’informativa specifica in caso di trasferimento di dati all’estero o di decisione automatizzata.
L’obbligo di informativa è, però, dispensato in una serie di circostanze. Tra queste, i trattamenti di dati obbligatori per legge, o il caso in cui le “esigenze preponderanti” del titolare impediscano di fornire l’informativa.
Liceità del trattamento
La legge Svizzera ricalca il GDPR in particolare nell’espressione di alcuni principi fondamentali. Parliamo dei criteri di liceità, proporzionalità (affiancato al principio di “buona fede”), esattezza, limitazione delle finalità, limitazione della conservazione.
Si ritrova altresì la base giuridica del consenso, come base valida per il trattamento dei dati. Il consenso è poi necessario nei casi di trattamenti di dati degni di particolare protezione e specifiche attività di profilazione (la nozione stessa di profilazione, intesa come trattamento automatizzato dei dati personali, è una novità rispetto alla precedente legge svizzera).
In assenza del consenso, un trattamento può essere lecito se giustificato da un interesse preponderante privato o pubblico o dalla legge. Un interesse preponderante di chi tratta dati personali può in particolare sussistere se:
- il trattamento è in relazione diretta con la conclusione o l’esecuzione di un contratto;
- il trattamento avviene nell’ambito di un rapporto di concorrenza economica, attuale o previsto, con un’altra persona, a condizione che nessun dato personale trattato sia comunicato a terzi;
- i dati personali sono trattati allo scopo di valutare il credito di una persona, a condizione che tali dati non siano degni di particolare protezione, non servano a compilare profili della personalità e siano comunicati soltanto a terzi che ne hanno bisogno per la conclusione o l’esecuzione di un contratto con la persona interessata;
- i dati personali sono trattati a titolo professionale in vista esclusivamente della diffusione nella parte redazionale di un mezzo di comunicazione sociale con carattere periodico;
- i dati personali sono trattati per scopi impersonali, in particolare nei settori della ricerca, della pianificazione o della statistica, a condizione che i risultati siano pubblicati in una forma che non permette d’identificare le persone interessate;
- i dati concernono una persona della vita pubblica, nella misura in cui si riferiscono alla sua attività pubblica.
Il Data Protection Officer – DPO
Anche la legge svizzera prevede una funzione simile a quella del DPO. Si chiama “Consulente per la protezione dei dati”, e la sua nomina non è mai obbligatoria per i privati. Al contrario, le amministrazioni federali sono tenute a designare il proprio Consulente.
Le imprese private che si dotano di un Consulente usufruiscono di facilitazioni in materia di valutazione dell’impatto sulla protezione dei dati, a condizione che notifichino l’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT, l’equivalente della nostra Autorità Garante) mediante il portale di notifica dedicato.
Obbligo di designare un rappresentante
I titolari del trattamento che non hanno sede o domicilio in Svizzera hanno l’obbligo di designare un rappresentante in Svizzera. Tale rappresentante (al pari del rappresentate UE previsto dal GDPR), sarà l’interlocutore per le persone interessate e per l’autorità svizzera per il trattamento dei dati personali (la citata IFPDT). L’obbligo sussiste nel caso di impresa titolare che tratti dati personali relativi a persone in Svizzera e il trattamento integri taluni requisiti previsti dalla normativa, quale, ad esempio, la presenza di rischio elevato.
Registro delle attività di trattamento
Viene previsto l’obbligo per i titolari e i responsabili del trattamento di tenere un registro delle rispettive attività di trattamento, ferma la possibilità di eccezioni per imprese con meno di 250 collaboratori i cui trattamenti comportino rischi ridotti.
Privacy by Design e Privacy by Default
La nuova legge svizzera è allineata al GDPR anche per quanto concerne l’obbligo di protezione dei dati sin dalla progettazione e per impostazione predefinita. Pertanto, è richiesto di adottare e attuare misure tecniche e organizzative che risultino efficaci a garantire i principi di protezione dei dati, a partire dalle fasi iniziali di pianificazione di un trattamento. Tali provvedimenti tecnici e organizzativi devono essere adeguati all’evoluzione tecnologica, al contesto del trattamento e all’impatto sui diritti degli interessati.
Come nell’ambito della norma UE, i principi di privacy by design e by default sono particolarmente rilevanti per sistemi, piattaforme, software e servizi informatici, dov’è richiesta attenzione in fase di sviluppo, al fine di garantire una configurazione base capace di garantire il livello di sicurezza più elevato allo scopo di proteggere i dati e rispettare la vita privata degli utenti.
Valutazioni d’impatto
Si introduce l’obbligo per i titolari del trattamento di effettuare una preventiva valutazione d’impatto sulla protezione dei dati qualora il trattamento possa comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata, salve alcune ipotesi di esenzione (e.g., se il titolare è tenuto a effettuare il trattamento in virtù di un obbligo legale).
Le aziende devono eseguire la valutazione d’impatto sulla protezione dei dati prima di trattare effettivamente i dati e devono inoltre documentare questa analisi.
Se il rischio, nonostante la valutazione di impatto, permane elevato, le aziende sono obbligate a consultare l’IFPDT.
Obblighi di notifica delle violazioni
La legge svizzera ha previsto un meccanismo di notifica delle violazione della sicurezza dei dati simile, anche se non del tutto sovrapponibile, a quello previsto dal GDPR per la segnalazione dei data breach.
[vedi anche DATA BREACH E NOTIFICA DELLE VIOLAZIONI NEL GDPR, Data Breach: come valutare il rischio per gli interessati e l’obbligo di notifica?]
Tra le differenze principali, secondo la normativa elvetica la notifica della violazione all’autorità deve essere “immediata”. Una scelta meno “certa” delle nostre 72 ore, ma (diversamente dal GDPR) imposta ai soli casi di rischio elevato per i diritti fondamentali dell’interessato.
La comunicazione all’interessato viene invece prescritta ogniqualvolta “ciò è necessario per proteggere la persona interessata” (salvo la comunicazione richieda uno sforzo sproporzionato).
Sembra ci sia un parziale rovesciamento degli adempimenti rispetto a quanto prescrive il GDPR. Per la legge svizzera è possibile che ad una violazione di dati consegua una sola comunicazione a tutti gli interessati coinvolti (per proteggerli da conseguenze pregiudizievoli) anche in circostanze di rischio “moderato”, ma senza notifica all’autorità garante.
Diritti delle persone interessate
Il catalogo di diritti riconosciuti ai cittadini svizzeri è stato esteso, tra gli altri, con l’introduzione del diritto di farsi consegnare i dati (accesso) o di esigerne la trasmissione a terzi (portabilità). Si introduce anche il diritto di richiedere il riesame, da parte di una persona fisica, di una decisione risultante da un trattamento interamente automatizzato.
Qualche considerazione per le Imprese
Il mercato svizzero per l’economia italiana si configura come un interessante sbocco, sia per la vicinanza geografica, sia per l’alto potere di acquisto dei consumatori. Sono molte le Aziende che intrattengono rapporti con la Svizzera e per tale ragione è importante tenere in considerazione le novità recentemente entrate in vigore.
Rispetto al trasferimento di dati personali dall’UE alla svizzera, si ricorda che la Commissione Europea ha riconosciuto l’adeguatezza della tutela offerta in tema di dati personali in Svizzera sin dal 26 luglio 2000, con decisione assunta ancora ai sensi della direttiva 95/46/CE. Tale decisione dovrà ora essere confermata alla luce del GDPR, ma anche a seguito dell’introduzione della LPD svizzera.
La nuova Legge sulla Protezione Dati svizzera ha quindi il pregio di avvicinare ulteriormente, potremmo dire anche “armonizzare” la normativa nazionale e quella europea. Si favorisce l’interoperabilità di concetti, principi e documenti. Da una parte, vengono facilitati gli adempimenti burocratici in capo agli operatori svizzeri che vogliono rivolgersi ai consumatori UE e agli operatori UE che vorranno rivolgersi ai consumatori svizzeri. In entrambi i casi, le aziende troveranno un impianto normativo a tutela dei propri consumatori o destinatari, molto simile a quello di appartenenza.
Se, da una parte, la disciplina ha il pregio di dotare la Svizzera di uno strumento regolatorio al passo con l’UE, d’altra parte le imprese che si vogliono proporre sul mercato elvetico dovranno tenere conto di alcuni possibili e necessari adeguamenti dei propri sistemi e procedure. Le – seppur residue – differenze evidenziate, impongono un approccio prudente che tenga conto delle peculiarità dell’ordinamento svizzero.
Oltre che verso i consumatori, è innegabile che questa armonizzazione abbia il vantaggio di rendere più agevole anche il rapporto con i fornitori svizzeri. La supervisione sulla conformità di servizi e operazioni di trattamento di dati esternalizzate in Svizzera, ad esempio, saranno facilitate. Possiamo inoltre ragionevolmente attenderci, per il futuro, una revisione della Commissione Europea che confermi l’adeguatezza dei trasferimenti in Svizzera.