Legge Privacy Svizzera

La nuova Legge Privacy Svizzera

Sebbene la Legge Federale Svizzera sulla Protezione di Dati Personali (LPD) sia in vigore dal 1° settembre 2023, solo il 15 gennaio 2024 la Commissione europea ha dato il via libera all’equivalenza del nuovo quadro normativo, consentendo così di continuare lo scambio di dati personali tra l’Europa e Svizzera.

Nel Report della Commissione Europea, l’autorità ha stabilito che:

il diritto svizzero in materia di protezione dei dati continua a soddisfare gli standard europei”, sottolineando che “la modernizzazione della legge federale sulla protezione dei dati ha aumentato ulteriormente la convergenza con il quadro normativo dell’UE in materia di protezione dei dati, in particolare per quanto riguarda la protezione dei dati sensibili e le norme sui trasferimenti internazionali di dati”.

Inoltre, l’Autorità ribadisce il continuo sforzo e impegno dell’autorità svizzera nel campo della protezione dei dati personali, che si manifesta, a titolo esemplificativo, con la ratifica nel settembre 2023 della Convenzione del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento di dati di carattere personale. Quest’ultima è conosciuta anche come Convenzione 108, che è l’unico strumento sulla protezione dei dati attualmente vincolante a livello internazionale.

La Commissione Europea accetta quindi la compatibilità della nuova LPD con il regolamento europeo. Con questa azione, dovrebbe mantenere la libera circolazione dei dati con l’Unione Europea ed evitare una perdita di competitività per le aziende svizzere.

Di seguito analizziamo le novità della Legge Privacy Svizzera (nLPD) nonché le principali differenze con il quadro normativo europeo.

 

Quale sono le novità della Legge Privacy Svizzera?

La nuova LPD introduce numerosi cambiamenti, soprattutto per le aziende e organismi privati. Di seguito esponiamo le modifiche più rilevanti:

  1. A differenza della legge precedente che copriva dati di persone giuridiche (quali società commerciali, associazioni o fondazioni) e persone fisiche, la nuova LPD protegge solamente i dati delle persone fisiche.
    Tuttavia, come il GDPR, non trova applicazione al trattamento di dati personali per uso personale o domestico.
  2. Il concetto di dati personali sensibili viene esteso anche ai dati genetici e biometrici, in sintonia con il GDPR.
  3. Viene introdotta per prima volta la nozione di profilazione, e si distingue la “profilazione a rischio elevato” che si verifica quando c’è un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
  4. Appaiono per la prima volta i principi di “Privacy by Design” e di “Privacy by Default”.
  5. Le aziende devono svolgere analisi, o valutazione, di impatto in caso di rischio elevato per i diritti fondamentali e le libertà delle persone.
  6. Il registro delle attività di trattamento diventa obbligatorio e le informazioni contenute sono in linea con quelle richieste dalla normativa europea.
    Il registro elvetico deve contenere almeno le informazioni sull’identità del titolare, lo scopo del trattamento; la descrizione delle categorie di persone interessate e di destinatari; le categorie di dati personali trattati; la data retention; i possibili trasferimenti verso paesi terzi e una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali, ove possibile;
  7. Ampliamento dei diritti degli interessati.
    In primis, l’obbligo di informare gli interessati preventivamente di svolgere qualsivoglia trattamento di dati personali, eccetto se incidentale o per caso.
    Inoltre, si estende il diritto di accesso della persona interessata di chiedere se i dati personali che la concernono sono oggetto di trattamento e viene inoltre inserito il diritto alla portabilità dei dati.
  8. In caso di violazione della sicurezza dei dati, è stato introdotto l’obbligo di notificare i fatti quanto prima all’Incaricato federale per la protezione dei dati e per la trasparenza (IFPDT).

 

Quali sono le principali differenze con il quadro europeo?

Come si può dedurre dalle sezioni precedenti, la nuova LPD presenta grandi analogie con la legislazione europea sulla protezione dei dati personali.

Tuttavia, vi sono alcune differenze fondamentali per comprendere questo testo normativo.

Il principale punto di differenziazione riguarda il ruolo del consulente per la protezione dei dati, ruolo analogo al responsabile della protezione dei dati o DPO previsto dal GDPR. Il consulente ha una funzione indipendente dal titolare del trattamento e funge da punto di riferimento sia all’interno dell’organizzazione, che all’esterno, in particolare con l’autorità di protezione dei dati e l’IFPDT. A differenza di quanto stabilito nel GDPR, la normativa svizzera non obbliga le aziende e gli organismi privati a designare un DPO, quindi, la nomina è sempre facoltativa (contrariamente per gli organi federali è obbligatoria).

Altra differenza della LPD è quella riguardante le infrazioni e sanzioni. Mentre il GDPR prevede solo infrazioni e sanzioni per persone giuridiche, la norma elvetica prevede anche sanzioni per le persone fisiche che, nell’interno di una realtà, infrangono la normativa privacy. Queste multe possono alzarsi fino a 50.000 franchi. Per quanto riguarda la quantità massima delle sanzioni amministrative, la LPD stabilisce multe fino a 250.000 franchi, mentre il GDPR prevede multe fino a 10 milioni o 20 milioni di euro oppure fino al 2 o 4 per cento del fatturato annuo di una azienda, a seconda della tipologia di violazione commessa.

Inoltre, l’IFPDT si limita a fornire consulenza, ad effettuare accertamenti e, in caso di violazione delle prescrizioni sulla protezione dei dati, a raccomandare la modifica o la cessazione di determinati trattamenti di dati. Tuttavia non può irrogare sanzioni amministrative di natura pecuniaria. Contrariamente, le autorità europee in materia di protezione di dati possono imporre sanzioni di tale natura.

Infine, come accennato dall’IFPDT nel caso di comunicazione di dati personali all’estero la norma svizzera differisce dal GDPR in quanto:

se si prevede la pubblicazione di dati personali all’estero – anche in caso di memorizzazione su sistemi esteri (cloud) – devono essere indicati alle persone interessate i Paesi in questione, indipendentemente dal fatto che offrano o meno una protezione dei dati adeguata.[…] È inoltre necessario indicare quali garanzie di protezione dei dati potrebbero eventualmente essere applicate (p. es. clausole contrattuali standard dell’UE) oppure a quali eccezioni si riferisce il titolare del trattamento (art.17).”

Questo argomento inferisce anche nelle informazioni da fornire agli interessati.

 

Conclusione

Dall’analisi di cui sopra si evidenzia la gran somiglianza tra le due normative, armonia che giova ai rapporti tra le aziende europee ed elvetiche e che, innanzitutto, permette che le aziende che operano in uno ed altro territorio possano operare seguendo dittami giuridici equiparabili.

 

Fonti

Portale del IFPDT: https://www.bk.admin.ch/

Portale Commissione Europea: JUST_template_comingsoon_Report on the first review of the functioning.pdf (europa.eu)

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!