Legge sulla privacy Svizzera

La Legge sulla privacy svizzera sta evolvendo indirizzandosi sempre più verso una struttura più simile a quella del GDPR – Regolamento Europeo privacy.

Mentre l’Unione Europea monitora gli Stati Uniti sul fronte Privacy Shield, invalidato dalla sentenza Schrems II del 16 luglio 2020, la Svizzera si muove per rendere ancora più salda la decisione di adeguatezza che la lega all’Europa per il trasferimento dei dati personali e lo ha fatto il 25 settembre 2020 in Parlamento che ha approvato la revisione totale della legge svizzera sulla protezione dei dati (LPD), strizzando l’occhio al Regolamento Europeo Privacy.

Al centro dell’attenzione c’erano soprattutto aspetti in linea con quanto previsto anche dal Regolamento Europeo:

− Aumento della trasparenza e rafforzamento dei diritti delle persone interessate

− Promozione della prevenzione e della responsabilità dei soggetti coinvolti nel trattamento dei dati

− Rafforzamento del controllo sulla protezione dei dati

Le novità

Il Garante elvetico IFPDT (Incaricato Federale della Protezione dei Dati e della Trasparenza) ha cominciato a introdurre termini come “registro dei trattamenti” per aziende con più di 250 lavoratori, “valutazione d’impatto” quando il trattamento dei dati può comportare un rischio elevato per la personalità o per i diritti fondamentali della persona interessata , “privacy by design e by dafault” in modo che vengano rispettate le norme sulla protezione dei dati fin dalla progettazione, insomma a ragionare in ottica GDPR in modo da allinearsi alla normativa di tutti gli Stati membri.

Anche la sicurezza informatica assume un ruolo decisivo che diventa di fondamentale importanza per la compliance aziendale, sono previsti degli standard minimi obbligatori stabiliti dal Consiglio Federale e le raccomandazioni del framework NIST.

Nella legge privacy svizzera viene resa più esaustiva l’informativa da rilasciare agli interessati, comprendendo delle informazioni aggiuntive tra cui un consenso specifico in caso di profilazione a rischio elevato, ovvero quando siano trattati dei dati degni di particolare protezione (c. d. dati particolari).

I titolari esteri che operano sul territorio svizzero o comunque generano effetti legati al trattamento di dati personali di cittadini svizzeri, sono obbligati ad avere un Rappresentante che risponda ad eventuali richieste da parte degli interessati. Tema legato ad esempio alla comunicazione in merito alla violazione di dati che prevede di informare sia l’IFPTD che le persone coinvolte nel più breve tempo possibile.

Le nuove figure della privacy svizzera

Non poteva mancare una figura ufficiale in affiancamento al Titolare, ed ecco allora l’introduzione del Consulente Protezione Dati, versione d’oltralpe del DPO, sempre facoltativo ma che lascia intendere l’importanza di avere un soggetto che faccia da collante verso l’Autorità, dia il suo parere in merito alle decisioni da prendere e supervisioni l’operato del Titolare.

A chiudere le novità previste dalla nuova legge privacy svizzera, le sanzioni con ammende amministrative che in questo caso si discostano dal GDPR nei massimali, fino a 250.000 franchi a fronte dei 20 milioni di euro o 4% del fatturato, e nel fatto che a risponderne sia la singola persona fisica e, solo se non supera i 50.000 franchi, può essere condannata l’azienda in particolari condizioni, mentre il Regolamento prevede che sia in capo all’Ente. Ad occuparsene non sarà direttamente l’Incaricato Federale, che avrà un ruolo di controllo applicato con dei provvedimenti, ma l’autorità penale.

Come era prevedibile essendo una sorta di “enclave” sul territorio dell’Unione, la soluzione più ovvia è stata quella di prendere come riferimento il GDPR e adottarne una versione light che entrerà in vigore secondo le previsioni all’inizio del 2022, rinforzando di fatto i rapporti di buon vicinato.