La nuova legge svizzera sulla protezione dei dati (nLPD)

In base alla recente decisione del Consiglio federale, la revisione totale della legge sulla protezione dei dati (nLPD) e le relative disposizioni esecutive entreranno in vigore il 1° settembre 2023.

La comunità economica e l'Amministrazione federale dispongono, quindi, di un anno per adottare le misure necessarie per l'attuazione della nuova legge.

Vediamo cosa cambia per le aziende e come Lutech può supportarle nel percorso di adeguamento richiesto dalla nuova normativa.

Come chiarito dall’Incaricato federale della protezione dei dati e della trasparenza (IFTP), il corrispondente svizzero dell’italiana Autorità Garante per la Protezione dei dati, la prima legge svizzera sulla protezione dei dati è entrata in vigore nel lontano 1993, «quando Internet non era ancora usato a scopi commerciali e non era possibile prevedere una realtà digitale caratterizzata dall’onnipresenza degli smartphone». Dopo una revisione parziale nel 2008, si è quindi reso necessario apportare ulteriori adeguamenti per stare al passo con il repentino sviluppo tecnologico e garantire una protezione dei dati moderna alla popolazione che usa quotidianamente strumenti digitali quali il cloud computing, i big data e i social network.

La compatibilità del diritto svizzero con quello europeo, e in particolare con il Regolamento europeo sulla protezione dei dati (GDPR), costituisce un altro tema principale della nuova legge. La nLPD, infatti, si pone l’obiettivo di preservare la libera circolazione dei dati con l’Unione europea ed evitare, così, la perdita di competitività delle imprese svizzere.

Nei settori che non riguardano la cooperazione istituita da Schengen, infatti, la Svizzera è considerata uno Stato terzo. Lo scambio di dati tra uno Stato terzo e gli Stati membri dell’Unione europea può essere effettuato soltanto se lo Stato terzo garantisce un livello di protezione adeguato. Tale livello di protezione è verificato periodicamente dalla Commissione europea che, nell’ultima decisione di adeguatezza (26 luglio 2000), ha confermato che la Svizzera dispone di una protezione adeguata dei dati. Tuttavia, l’entrata in vigore del GDPR ha reso necessario per quest’ultima disporre di una legislazione conforme ai requisiti del Regolamento (UE) 2016/679.

La nLPD, rispetto alla precedente versione della legge sulla protezione dei dati, introduce principalmente i seguenti cambiamenti:

• È cambiato il perimetro del concetto di “dato personale” e di “trattamento”: solo i dati delle persone fisiche sono oggetto di tutela e i dati genetici e biometrici entrano nella definizione dei dati sensibili;
• Assume valore il la nozione di profilazione (cioè il trattamento automatizzato dei dati personali);
• Le aziende devono:
  • seguire i principi di "Privacy by Design" e di "Privacy by Default";
  • effettuare delle analisi d’impatto in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate;
  • fornire obbligatoriamente l’informativa alla raccolta di tutti i dati personali – e non più unicamente di quelli “sensibili";
  • mantenere un registro delle attività di trattamento;
  • notificare tempestivamente i casi di violazione della sicurezza dei dati all’IFTP.

La nuova LPD mira a soddisfare l’esigenza di rafforzare e garantire il più a lungo possibile l’autodeterminazione informativa dei cittadini e la loro sfera privata. Per tale motivo, la nLPD – come sopra accennato –  ha esclusivamente lo scopo di proteggere la personalità delle persone fisiche di cui vengono trattati i dati, mentre non tratta più i dati di persone giuridiche quali società commerciali, associazioni o fondazioni, rendendo così il suo ambito di applicazione conforme al GDPR (art.2).

Per quanto riguarda il campo di applicazione territoriale, l’art. 3 specifica che la nuova LPD si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero.

Il Consiglio Federale, in attuazione dell’art. 8, definirà i requisiti minimi in materia di sicurezza. In attesa di ulteriori disposizioni, le aziende svizzere saranno comunque tenute a controllare la conformità dei processi di trattamento dei dati e ad adeguarsi alle previsioni della nLPD. Per quanto riguarda, invece, quelle europee, in alcuni casi si renderà necessario nominare un Rappresentante che funga da interlocutore per le persone interessate e per l’IFPDT.

Le organizzazioni sono chiamate a rispettare nuovi principi e tale richiesta viene corredata da una serie di sanzioni di tipo pecuniario particolarmente importanti comminate direttamente dalle autorità di perseguimento cantonali. L’IFPDT, infatti, continuerà a non avere la facoltà di pronunciare sanzioni, ma potrà comunque interagire nel processo come “accusatore privato” (art. 65 cpv. 2).

Nella nuova LPD, infatti, sono previste multe per privati fino a 250.000 franchi (art. 60). Alcuni obblighi, se non rispettati, possono essere perseguiti a querela di parte, mentre altri d’ufficio.  

Se, per ora, sono punibili con multa solo le persone fisiche operanti all’interno dell’organizzazione, in considerazione della loro attività illecita, potranno esserlo anche le imprese fino a 50.000 franchi, se la ricerca della persona fisica all’interno dell’organizzazione esige un onere sproporzionato.

Il Team Cybersecurity & Data Protection Advisory di Lutech è un team multidisciplinare composto da esperti di processo, avvocati ed ingegneri che supporta da anni le aziende

• nell’assessment sullo stato di adeguamento al GDPR e alle normative privacy di settore applicabili;
• con piani di rimedio strutturati e soppesati in base alla obbligatorietà e alla fattibilità;
• accompagnando il Chief Executive Officer, i Chief Cyber Security Officer e i Privacy Manager nella compliance normativa con consulenza strategica e tattica;
• eseguendo se necessario il day by day implementativo.

In particolare, il Team Cybersecurity & Data Protection Advisory di Lutech offre consulenza specifica nei seguenti ambiti:

• implementazione dei principi di "Privacy by Design" e di "Privacy by Default";
• redazione di analisi d’impatto privacy e cybersecurity in caso di rischio elevato per i diritti fondamentali delle persone interessate;
• redazione di tutti i tipi di informativa, con o senza raccolta di consenso, cartacee o tramite moduli online;
• redazione e mantenimento del registro delle attività di trattamento;
• notifica dei casi di violazione della sicurezza dei dati.