Chi ha le chiavi per il trattamento dei dati personali in ambito privacy secondo la nuova LPD svizzera?


Secondo la nuova legge federale sulla protezione dei dati svizzera il Responsabile del Trattamento ha il compito di trattare i dati per conto del Titolare del Trattamento. Ma come viene nominato il Responsabile del Trattamento?


La nuova legge federale sulla protezione dei dati (LPD) impone una serie di adempimenti innovativi rispetto al passato.

Si è infatti registrato un approccio mirato a responsabilizzare maggiormente le aziende elvetiche nel monitoraggio dell’intera filiera privacy, avendo cura in particolar modo di supervisionare le operazioni di dati personali effettuate da provider esterni in virtù di contratti di outsourcing.

In tale ottica, l’articolo di oggi di Privacy Desk Suisse analizza la figura del Responsabile del Trattamento disciplinata dalla LPD (ultima versione pubblicata sul foglio federale) con lo scopo di perimetrare il ruolo e le responsabilità che lo stesso ha nei confronti del Titolare del Trattamento.

Chi è il Responsabile del Trattamento?

La LPD definisce il Responsabile del Trattamento come il “privato od organo federale che tratta dati per conto del Titolare del Trattamento”.

Trattasi dunque di un soggetto esterno all’organizzazione aziendale che agisce sotto le direttive ed in base alle istruzioni impartite dall’azienda – Titolare del Trattamento. La nozione fornita dalla LPD è molto simile rispetto a quella fornita dal GDPR che parla infatti di “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento”.

Aspetti pratici:

Il primo step fondamentale per una corretta gestione dei ruoli privacy è quella di identificare i fornitori dell’azienda che operano di fatto in qualità di Responsabili. Si rammenta infatti che solo i provider che fisicamente hanno accesso dati personali (o in qualsiasi altra misura li trattano) dovranno essere nominati Responsabili.

A tale scopo si suggerisce di procedere in via preliminare con una mappatura attualizzata di tutti i fornitori aziendali e, successivamente, individuare all’interno dei Responsabili “da nominare” quelli che, in ragione dell’attività prestata in favore del Titolare, hanno un ruolo particolarmente impattante nella gestione di database/archivi contenenti dati personali (es. società informatica esterna deputata alla manutenzione ed assistenza al gestionale usato per elaborare le buste paga del personale dipendente).

Come nominare un Responsabile del Trattamento? 

La LPD non fornisce dettagli sulle modalità con cui procedere alla nomina del Responsabile del Trattamento.

Non vengono stabiliti degli elementi tassativi che la noma stessa deve contenere a differenza di quanto previsto dal GDPR. La norma elvetica fissa infatti sul punto tre regole principali:

  • il Responsabile effettui trattamenti “che il Titolare avrebbe diritto di fare” e che “nessun obbligo legale o contrattuale di serbare il segreto lo vieta”;
  • il Titolare deve preventivamente verificare che il fornitore nominato “sia in grado di garantire la sicurezza dei dati”;
  • il Responsabile può avvalersi di terzi (c.d. sub-responsabili) soltanto in base ad una “preventiva autorizzazione del Titolare del Trattamento”.

Aspetti pratici:

L’approccio “semplificato” adottato dalla LPD non imporrebbe, di per sé, un espresso obbligo per il Titolare del Trattamento di procedere con una nomina dei Responsabili identificati o quantomeno di formalizzarla con apposito atto scritto.

Tuttavia, tale ultima soluzione è quella più tutelante per i Titolari in quanto cristallizza in modo chiaro i ruoli privacy e le responsabilità attribuite ai fornitori che trattano dati personali per conto dell’azienda. In aggiunta a ciò si potrà dimostrare agevolmente l’effettiva conformità alla normativa privacy in ossequio al c.d. principio di accountability.

Ciò premesso, si suggerisce dunque di predisporre apposito atto di nomina per ciascun responsabile del trattamento, nel quale prevedere delle clausole tese a dimostrare il rispetto delle “tre regole principali” fissate dalla LPD. Ciò si traduce nella necessità di:

  • evidenziare il fatto che i trattamenti oggetto della nomina vengono legittimamente svolti dal Titolare (il quale dunque li ha correttamente delegati al Responsabile) e che gli stessi non sono coperti da segreto legale e/o contrattuale;
  • prevedere uno specifico allegato alla nomina (es. checklist) indicante le misure di sicurezza (tecniche ed organizzative) adottate dal Responsabile e dunque l’idoneità delle stesse per proteggere i dati personali trattati. In tale parte si suggerisce inoltre di identificare con precisione la presenza di eventuali trasferimenti fuori dal territorio svizzero e che gli stessi si basino su adeguate garanzie;
  • individuare i sub-responsabili autorizzati dal Titolare del Trattamento (ove presenti) e richiedere agli stessi le medesime garanzie che, in termini di misure di sicurezza, vengono richieste al Responsabile.

Altri elementi non tassativi che si suggerisce di inserire all’interno della nomina a Responsabile sono quelli previsti dal GDPR a cui la LPD chiaramente si ispira. In particolar modo, occorrerà definire con precisione:

  • la natura, finalità e durata del trattamento effettuati dal Responsabile, nonché la tipologia di dati personali che verranno trattati;
  • le istruzioni – specifiche e tarate sul caso concreto – a cui il Responsabile si dovrà attenere per tutta la durata del trattamento;
  • il tipo e la modalità di supporto che dovrà essere fornito dal Responsabile al Titolare in tutti gli adempimenti privacy in cui quest’ultimo in ragione del trattamento svolto possa essere coinvolto (es. nella gestione di richieste da parte degli interessati, nell’ottemperare all’obbligo di informazione degli interessati);
  • le modalità di comunicazione e gestione di eventuali violazioni di dati personali eventualmente subite dal Responsabile nel trattamento di dati personali oggetto della nomina.

Articolo a cura di Valentina Marzorati | Legal Compliance Officer, Privacy Desk Suisse

Condividi:

Articoli recenti

LPD ANNUAL MEETING 2023

Il 30 novembre 2023 all’Hotel Splendide Royal ha avuto luogo la seconda edizione de LPD annual meeting. Argomento chiave dell’evento è stato l’Intelligenza Artificiale insieme

Trova altre notizie