Mentre l’Europa festeggia il quinto anniversario dalla piena attuazione del GDPR, in Svizzera è iniziato il countdown per l’adeguamento alle nuove regole in materia di protezione dati, varate nel 2020. Imprese private e Autorità Federali avranno tempo fino al 31 agosto 2023 per uniformarsi.
L’iter della legge sulla protezione dei dati personali
Dopo oltre un decennio di discussioni e dibattiti, il Consiglio federale svizzero in occasione della seduta del 31 agosto 2022, ha ultimato la revisione totale della legge sulla protezione dei dati personali – LPD. Le relative disposizioni esecutive sono contenute in un paio di ordinanze: quella sulla protezione dei dati (OPDa), e quella sulle certificazioni in materia di protezione dei dati (OCPD). Tale assetto normativo ha una ratio ben precisa: garantire la compatibilità della nuova legge con il diritto europeo. Tale revisione era necessaria affinché la UE continuasse a riconoscere la Svizzera come Paese terzo con un adeguato livello di protezione dei dati. Il nuovo impianto si imponeva in considerazione altresì dei trasferimenti transfrontalieri affinché gli stessi rimanessero possibili alle condizioni previste nella nuova LPD, vale a dire “senza condizioni aggiuntive”, come l’Autorità Federale ha avuto modo di dichiarare nel comunicato ufficiale.
Le tappe della nuova LPD
Correva l’anno 2011 quando il Consiglio federale approvava il rapporto di valutazione della LPD finalizzato a migliorare la protezione dei dati.
Soltanto nell’aprile del 2015, la medesima Autorità incaricava il Dipartimento federale di giustizia e polizia (DFGP) di sottoporgli entro la fine di agosto del 2016 un avamprogetto della LPD che tenesse in debito conto delle riforme in atto sulle norme in materia di protezione dati al Consiglio d’Europa e Unione europea.
Nel settembre del 2017, veniva comunicato il messaggio sulla (avvenuta) revisione totale della LPD.
Nella seconda metà di giugno del 2021, veniva avviata la procedura di consultazione e soltanto in data 31 agosto 2022, il Consiglio federale adottava finalmente la LPD.
Il 10 maggio 2023, l’Autorità federale ha decretato l’entrata in vigore al 1° settembre 2023.
La nuova legge LPD nella sua architettura normativa
La LPD nella sua struttura normativa consta di 74 articoli, 10 Capitoli e diverse Sezioni le quali, nel complesso, possiamo già dire che ripercorrano sostanzialmente l’impianto del GDPR. Ma andiamo con ordine.
Primo capitolo: scopo e campo di applicazione
Il capitolo 1 è dedicato allo scopo e al campo di applicazione. Lo scopo è quello di “proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento”, come letteralmente recita l’art. 1.
Circa il campo di applicazione, la LPD si applica per tutti i dati personali trattati da privati e organi federali.
Esattamente come il GDPR non trova applicazione al trattamento di dati personali di persone fisiche per uso esclusivamente personale, rievocando quell’uso domestico.
Per contro, la nuova LPD non vale per le procedure amministrative di primo grado, e con riferimento all’ambito applicativo territoriale, tale legge è valevole tanto per la Svizzera quanto per l’estero.
L’incaricato federale della protezione dei dati e della trasparenza – IFPDT è un istituto che ha il compito di vigliare sull’applicazione della LPD; in pratica, l’equivalente dell’Autorità Garante.
Secondo capitolo: disposizioni generali
In questo capitolo 2 composto da più Sezioni, ecco che troviamo: le definizioni e i principi (artt.5-13), il trattamento da parte di titolari privati con sede o domicilio all’estero (artt. 14 e 15), la comunicazione di dati personali all’estero (artt. 16 – 18)
È interessante notare come, tra le definizioni, spicchi per come è formulata, i dati personali “degni di particolare protezione” assimilabili alla nostra categoria di dati particolari (ovvero gli ex sensibili) tra cui rientrano, come noto, le opinioni politiche, quelle religiose, le informazioni inerenti alla salute, la sfera intima, gli aspetti genetici, biometrici e i dati giudiziari.
Ancora, alla lettera g) viene definita la “profilazione a rischio elevato” con riferimento alla profilazione. In pratica tutto ciò che comporta un “rischio elevato” per la personalità o diritti fondamentali della persona interessata è la cartina di tornasole di tutti quei dati che profilano le attitudini essenziali di un individuo/interessato.
In questo raccontare il testo di legge, notiamo come esista il responsabile del trattamento, ma non anche la figura del contitolare.
Quanto ai principi (art. 6), l’intero impianto ricalca complessivamente il GDPR evocando criteri come liceità, buona fede, proporzionalità, esattezza, purché i dati siano trattati per determinati fini e scopi raggiunti i quali gli stessi devono essere distrutti o anonimizzati.
In generale, tutti i dati personali vanno trattati con “misure adeguate” e necessitano di un consenso purché libero ed espresso.
La protezione dei dati deve poi sussistere fin dalla progettazione e per impostazione predefinita (art.7), ricalcando i principi di privacy by design e by default del GDPR.
I dati devono essere sicuri anche quando vengono trattati da un responsabile (art. 9).
Esiste poi una figura di “consulente per la protezione dei dati” il quale funge da “interlocutore tra le persone interessante e l’Autorità federale”, in pratica il nostro DPO (art. 10).
Sono previsti dei codici di condotta, la compilazione di un registro delle attività di trattamento (art. 12) con indicate l’identità del titolare, lo scopo, le categorie di interessati/destinatari, la data retention ove possibile, il trasferimento dati all’estero.
Infine, per questa sezione, esiste un meccanismo di certificazione (art. 13)
Nella seconda sezione viene previsto il Rappresentante con annessi obblighi (artt. 14 e 15), mentre nella terza sezione la LPD si occupa di disciplinare la comunicazione dei dati all’estero, con il principio di fondo secondo il quale i dati personali possono essere comunicati al di fuori della Svizzera in base al consenso espresso, in caso di conclusione/esecuzione di un contratto, quando occorre tutelare un interesse pubblico ovvero accertare o far valere un diritto dinanzi a un giudice.
La comunicazione è altresì necessaria per proteggere la vita o la integrità fisica della persona interessata.
Terzo capitolo: obblighi del titolare e del responsabile del trattamento
Il capitolo 3 si preoccupa di stabilire gli obblighi del titolare che, come nel GDPR, passano attraverso l’informativa che deve essere adeguata circa le modalità di raccolta dei dati.
La LDP stabilisce poi la necessità di una valutazione di impatto preventiva in caso di rischio elevato sempre in ordine alla personalità o ai diritti fondamentali della persona interessata (art. 22). Il “rischio elevato” si verifica proprio in caso di uso di nuove tecnologie.
Se il rischio, nonostante la valutazione di impatto, permane elevato come nel GDPR, impone di consultare l’IFPDT (art. 23).
Viene poi previsto analogo schema/meccanismo di notifica della violazione di dati (art. 24), in due parole il data breach di cui al GDPR.
Quarto capitolo: diritti della persona interessata
Il capitolo 4 tratta dei diritti della persona interessata che, a ben guardare, sono pressoché identici a quelli previsti dal GDPR, chiamati talora in maniera differente. Nella fattispecie, l’interessato ha (la facoltà di esercitare) il diritto di accesso (art. 25), così come di restrizione dello stesso (art. 26) opponendosi anche ai mezzi di comunicazione di massa (art. 27) ivi compreso il mondo giornalistico.
Da ultimi, l’interessato può esercitare il diritto “di farsi consegnare dati o esigerne la trasmissione a terzi” rievocando la portabilità di cui al GDPR (artt. 28 e 29).
Quinto e sesto capitolo: disposizioni speciali
Al capitolo 5, gli artt. 30, 31 e 32 prevedono le “lesioni della personalità, i motivi giustificativi e le pretese”, indicando rispettivamente quando sussiste una lesione come da ipotesi a. b. c., quali siano i “motivi giustificativi” come il consenso in assenza dei quali una lesione della personalità dovrà essere considerata illecita.
Circa le pretese, in caso di dati personali non esatti, l’interessato può pretendere che siano rettificati cioè corretti salvo che in gioco ci sia l’interesse pubblico, o la finalità di archiviazione.
Dagli artt. 33 – 42, la LDP prevede una serie di altre disposizioni speciali, tra cui è interessante citare l’art. 34 relativo alle “basi legali” ovvero giuridiche.
Settimo capitolo: l’incaricato federale della protezione dei dati e della trasparenza
Il capitolo 7°, decisamente corposo, va dall’art. 43 all’art. 59 regolando tutto ciò che concerne l’Incaricato federale della protezione dei dati e della trasparenza cd IFPDT il quale, in estrema sintesi, svolge attività in ambito di protezione dati vigilando sull’applicazione delle disposizioni federali in materia di protezione dati, e sulla trasparenza quale organo di mediazione per l’accesso ai documenti ufficiali. Tra i vari compiti l’Incaricato è tenuto al registro (art. 56), all’informazione (art. 57) nonché ad altri compiti (informare, assistere, sensibilizzare, ecc) ai sensi e per gli effetti di cui all’art. 58.
Ottavo capitolo: disposizioni penali
Il capitolo 8 volgendo quasi al termine detta le regole in caso di violazione di alcuni obblighi tra cui informare, l’accesso e la collaborazione, tutti puniti a querela di parte con una multa fino a 250.000 franchi (art. 60).
Le pene appaiono decisamente più severe rispetto al GDPR, per quanto anche in questo caso difettino i minimi edittali.
In generale, si può essere puniti per violazione:
- degli obblighi di diligenza (art. 61)
- dell’obbligo del segreto (art. 62)
- inosservanza delle decisioni (art. 63)
- infrazioni aziendali (art. 64)
Nono capitolo: conclusioni di trattati internazionali
Il capitolo 9, all’art. 67 recita testualmente:
“Il Consiglio federale può concludere trattati internazionali concernenti:
a. la cooperazione internazionale tra le autorità incaricate della protezione dei dati;
b. il riconoscimento reciproco della protezione adeguata nel caso di comunicazione di dati personali all’estero.”
In altri termini, il sistema prevede che il Consiglio federale abbia la facoltà di raggiungere accordi di carattere internazionale sulla cooperazione internazionale da un lato e il reciproco riconoscimento di un’adeguata protezione, in caso di trattamento dati all’estero.
Decimo capitolo: disposizioni finali
Il capitolo 10, l’ultimo, prevede dall’art. 68 all’art. 74 una serie di disposizioni conclusive che contemplino abrogazioni di norme anche transitorie, il coordinamento e l’entrata in vigore (al 1° settembre 2023).
La nuova LPD: elementi di novità rispetto al GDPR
Dall’excursus appena fatto, possiamo trarre che la nuova LDP elvetica è una legge molto in linea o per meglio dire decisamente armonizzata con il GDPR.
Alcuni tratti, tuttavia, sono caratteristici; pensiamo uno per tutti all’art. 10 della LDP, e nello specifico al punto 3, laddove i titolari privati del trattamento possono avvalersi dell’eccezione di cui all’art. 23 capoverso 4 qualora:
- il consulente esercita la sua funzione in modo indipendente dal titolare del trattamento e senza ricevere da questi, istruzioni;
- il consulente non esercita attività inconciliabili con i suoi compiti di consulente;
- il consulente dispone delle conoscenze tecniche necessarie;
- il titolare del trattamento pubblica i dati di contatto del consulente e li comunica all’IFPDT.
Altri punti sono invece differenti ed alcuni peculiari come l’ipotesi prevista dall’art. 64 inerente alle “infrazioni commesse nell’azienda” a mente del quale possono essere sanzionati anche i dirigenti di un’azienda in caso di “infrazione” alla normativa, con una multa fino a 50.000 franchi. Chissà se ci fosse (stata) anche nel GDPR come lo avrebbero preso le nostre aziende italiane ed europee.
