In Svizzera sono mesi che si parla dell’entrata in vigore della nuova Legge sulla Protezione dei Dati (nLPD), l’Incaricato Federale IFPDT ha anticipato che dovrebbe entrare in applicazione entro il primo gennaio 2023.
Un tema sempre vivo e molto discusso è il trasferimento dati extra Confederazione, soprattutto nel momento in cui entrano in gioco le nazioni non considerate adeguate come legislazione privacy. È intervenuto sull’argomento l’IFPDT con una serie di delucidazioni.
Per approfondire l’argomento Privacy Desk Suisse ha invitato l’Avvocato Gianfranco Valsecchi che si occupa come Legal Compliance Officer di data protection e assiste numerose aziende nell’applicazione della norma.
Il trasferimento dati quando è considerato sicuro? Quando un paese si può definire adeguato? E soprattutto esiste una lista di paesi adeguati rispetto alla protezione dei dati?
È fondamentale verificare se il paese verso cui si intendono trasferire i dati personali abbia un sistema giuridico privacy tale per cui lo possiamo considerare un paese che garantisca tante e quante garanzie richieste dalla Svizzera, in tal caso il paese è considerato adeguato e il trasferimento dati è sicuro.
Nel corso della diretta sono state affrontate anche le azioni concrete che un’azienda deve svolgere per trasferire i dati in modo conforme alla LPD. Le strade presentate sono due:
- Regolare il trasferimento di dati delle persone private svizzere ai sensi della LPD e disciplinare il trasferimento dei dati degli interessati europei ai sensi del GDPR.
- Utilizzare un unico modello contrattuale, ad esempio le SCCs europee, e di integrarle con alcuni accorgimenti che le rendono applicabili al diritto svizzero.
Un altro punto chiave analizzato da Matteo Colombo, socio fondatore di Privacy Desk Suisse, è stato il trattamento del dato, sottolineando che “qualsiasi operazione relativa al dato” è un trattamento di esso, anche la semplice visualizzazione.
Infine, è stato chiesto all’Avv. Gianfranco Valsecchi di chiarire una questione calda: l’obbligo di notifica all’IFPDT.
Secondo l’attuale LPD, il trasferimento di dati personali all’esterno della confederazione in stati non adeguati deve essere notificato all’IFPDT, prima del suo inizio. Ciò in quanto l’Incaricato Federale è tenuto a verificare se le garanzie contrattuali previste per il trasferimento siano conformi alla LPD e, in tal caso, a concedere la relativa approvazione.
Al contrario, la nLPD, che entrerà in vigore dal 1° gennaio 2023, non prevederà più l’obbligo di informare l’IFPDT qualora vengano utilizzati modelli contrattuali e clausole contrattuali standard. Pertanto, per permettere ai titolari del trattamento di trasferire in modo più agevole dati all’estero, diventa importante ricorrere a questo tipo di soluzioni.
Per approfondire l’argomento e avere maggiori dettagli sul trasferimento dati extra confederazione guarda il video della nostra diretta e scarica il materiale.
