28° Rapporto d’attività dell’IFPDT: novità e cambiamenti


Il 29 giugno 2021, l’Incaricato Federale per la Protezione dei Dati e della Trasparenza (IFPDT) ha pubblicato il rapporto sulla propria attività istituzionale, condotta dal 1 aprile 2020 al 31 marzo 2021. È importante conoscere le azioni svolte dall’IFPDT per essere al passo e in norma con tutte le novità e i cambiamenti della nLPD.


Il rapporto redatto dall’Incaricato Federale per la Protezione dei dati e della Trasparenza racchiude differenti temi caldi e fondamentali, tra cui:

  1. l’attività di vigilanza dell’IFPDT ed in particolare le implicazioni della pandemia di COVID-19 sulla sfera privata dei cittadini;
  2. la gestione delle richieste d’accesso agli atti dell’amministrazione federale, presentate dai privati cittadini e l’attività di mediazione tra cittadini ed amministrazione, gestita dall’IFPDT;
  3. i maggiori poteri attribuiti all’IFPDT dalla nuova Legge Federale sulla Protezione dei Dati Personali (nLPD).

Protezione dei dati personali

Nel periodo 2020-2021, l’attività di vigilanza dell’IFPDT si è concentrata su diversi settori: digitalizzazione della pubblica amministrazione, controlli per scopi di pubblica sicurezza, fiscalità, accesso al credito, videosorveglianza sul luogo di lavoro, e-commerce, salute (incluse le problematiche sollevate dalla gestione e prevenzione del contagio da Covid19), telelavoro, informazioni in ambito assicurativo e trasporti.

Leggendo la relazione, emerge inoltre che l’attività di vigilanza ha portato l’IFPDT ad aprire una procedura di accertamento dei fatti in numerosi casi come, ad esempio:

  • per l’errata registrazione di dati personali sulla solvibilità di un pagatore, all’interno di un database di una società di riscossione
  • per la richiesta di consenso alla verifica della capacità creditizia di un cliente, da parte di una società di leasing
  • per la modalità di gestione dei dati dei propri iscritti, da parte del fornitore di un’app di incontri

In particolare, dato il particolare contesto creato dalla gestione della pandemia, l’attività dell’IFPDT si è concentrata sulle implicazioni per la privacy dei cittadini, derivanti dall’uso di applicazioni e piattaforme, sia pubbliche che private, utilizzate per la prevenzione ed il contenimento del contagio del virus Covid19. L’IFPDT ricorda la propria attività riguardo all’utilizzo di app come SwissCovid e di come il governo federale abbia fatto proprie le raccomandazioni espresse dall’IFPDT, secondo le quali nessuno può far dipendere una prestazione dall’uso di quella specifica applicazione.

Trasparenza ed accesso agli atti federali

Come noto, tra le attività istituzionali dell’IFPDT rientrano anche diverse funzioni previste nell’ambito della legge federale sul principio di trasparenza dell’amministrazione (LTras). Tra questi compiti, rientrano quello di informare i privati che chiedono accesso a documenti ufficiali delle autorità federali e quello di dirigere la procedura di mediazione, di divergenze.

Nell’ambito della relazione annuale, l’IFPDT ha rilevato un incremento importante delle richieste di accesso ai dati dell’amministrazione federale, per lo più dovuto all’interesse dei media e della società di ricevere informazioni precise e trasparenti riguardo la gestione della crisi pandemica.

I maggiori poteri riconosciuti dalla nLPD all’Incaricato Federale

La nLPD prevede che l’IFPDT debba, in linea di principio, aprire un’inchiesta su tutte le violazioni di dati personali di cui venga informato. Potrà pronunciare decisioni contro trattamenti dei dati personali che non siano conformi agli obblighi previsti dalla normativa e, in determinati casi, dovrà essere consultato da parte del titolare del trattamento (ad esempio, in caso di mancata nomina di un Consulente per la Protezione dei Dati).

Nelle proprie decisioni, l’IFPDT potrà:

  • Sanzionare i privati con multe fino a 250.000 franchi (art. 60 nLPD)
  • Ordinare formalmente a organi federali o titolari privati di trattamenti di dati di adeguare, sospendere o cessare del tutto o in parte il trattamento
  • Ordinare anche di cancellare o distruggere del tutto, o in parte, i dati personali trattati in modo non conforme alla nLPD
  • Ordinare al titolare del trattamento di informare la persona interessata della violazione notificata della sicurezza dei dati, ecc.

Ricordiamo che, nell’ambito della vigente LPD, l’IFPDT ha solo la competenza di emanare raccomandazioni e di adire il Tribunale amministrativo federale in caso di mancata ottemperanza alle sue raccomandazioni.

Inoltre, la nuova legge prevede in svariati articoli che i titolari del trattamento debbano consultare l’IFPDT prima della conclusione definitiva di lavori e la realizzazione di progetti basati sul trattamento di dati personali. Devono dunque essergli sottoposti, per il suo preventivo parere, codici di condotta e valutazioni d’impatto sulla protezione dei dati che prevedano elevati rischi residui (a meno che non sia stato nominato un consulente per la protezione dei dati). Nel regime previsto dalla nLPD, l’IFPDT continuerà a non avere la facoltà di pronunciare sanzioni, ma i titolari che si renderanno colpevoli di una violazione della normativa, saranno sanzionate dalle autorità cantonali competenti.

Notifiche all’IFPDT

Come ricorda l’IFPDT, la nLPD stabilisce anche nuovi obblighi di notifica all’Incaricato stesso, da parte dei titolari del trattamento. Per questo motivo, l’IFPDT lancerà a breve due portali per notificare online tutte le violazioni di dati personali subite (data breach) e i nominativi dei consulenti per la protezione dei dati (DPO). L’obbiettivo dell’IFPDT è di agevolare i titolari del trattamento nell’adempimento di queste attività.

Le società devono dunque essere consapevoli delle novità portate dalla nLPD sui trattamenti di dati personali che impongono nuovi e maggiori obblighi in termini di compliance e del correlato rischio di accertamenti e sanzioni da parte dell’IFPDT.

Il percorso della nLPD è ormai giunto al termine e l’IFPDT si attende che, nel secondo semestre 2022, il Consiglio Federale deciderà la sua entrata in vigore ed emanerà le relative ordinanze d’esecuzione. Entro quella data, i soggetti privati e gli enti pubblici dovranno essere già adeguati alle nuove disposizioni sul trattamento dei dati personali.

Articolo a cura di Gianfranco Valsecchi | Legal Compliance Officer, Privacy Desk Suisse

Condividi:

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Articoli recenti

Trova altre notizie