Articoli a confronto e spunti di riflessione
LPD e rappresentante
La sezione due della LPD norma il trattamento di dati da parte di titolari privati con sede o domicilio all’estero. Nello specifico troviamo la figura del rappresentante ossia quel soggetto che viene designato, ai sensi della norma, da titolari privati che abbiano sede o domicilio all’estero.
Quali sono le condizioni per le quali tali titolari privati devono individuare un soggetto che li rappresenti in Svizzera?
Il presupposto di base è che vi sia un trattamento di dati concernenti persone in Svizzera. Devono ricorrere inoltre le seguenti condizioni con riferimento al trattamento effettuato:
- che sia legato all’offerta di merci o prestazioni o che sia finalizzato a porre sotto osservazione il comportamento di dette persone
- che sia su larga scala
- che sia periodico
- che comporti un rischio elevato per la personalità delle persone interessate
Quali domande porsi? Quali analisi effettuare?
Si tratta di un trattamento regolare e sistematico, che avviene per un periodo di tempo definito a intervalli periodici?
Si tratta dunque di monitoraggio, analisi delle abitudini/del comportamento, dei gusti delle persone?
Si tratta di profilazione?
Quali sono i rischi per i diritti e le libertà fondamenti degli interessati rispetto al trattamento effettuato?
Analisi e valutazione preventiva sono le parole chiave!
Definita dunque l’applicazione dell’articolo e la necessità di nominare un rappresentante bisogna sapere che:
Il rappresentante, il cui nome e indirizzo sono reti noti mediante pubblicazione (su canali istituzionali accessibili agli interessati) da parte del titolare, avrà il compito di fungere da punto di contatto e sarà interlocutore per le persone interessate e l’IFPDT.
Il rappresentante dovrà: – redigere un registro delle attività di trattamento del titolare che contenga tutti gli elementi ai sensi della LPD; – trasmettere le indicazioni di cui al registro all’IFPDT nonché fornire agli interessati, su richiesta degli stessi, indicazioni per l’esercizio dei diritti.
GDPR e rappresentante
Ai fini del GDPR è fondamentale considerare, al fine di verificare la necessità di nominare un rappresentante, l’ambito di applicazione territoriale che prevede espressamente:
“[…] Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. […]”
In tali casi il titolare del trattamento o il responsabile del trattamento designa per iscritto un rappresentante nell’Unione. Come sopra precisato con rifermento alla LPD, anche nel caso dell’applicazione del GDPR andranno verificate determinate condizioni. In particolare il GDPR, esplicita i casi di mancata applicazione di tale obbligo ossia:
- a trattamenti occasionali, che non includano il trattamento, su larga scala, di categorie particolari (degni di particolare protezione/sensibili) o di dati personali relativi a condanne penali e a reati e valutata l’improbabilità che il trattamento stesso presenti un rischio per i diritti e le libertà delle persone fisiche
- alle autorità pubbliche o agli organismi pubblici
Ai sensi del GDPR inoltre il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati e i cui dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui comportamento è monitorato.
Quali sono gli oneri del rappresentante? Gli stessi sopra esplicitati con riferimento alla LPD.
Nota fondamentale: La designazione di un rappresentante a cura del titolare del trattamento o del responsabile del trattamento fa salve le azioni legali che potrebbero essere promosse contro lo stesso titolare del trattamento o responsabile del trattamento.
Articolo a cura di Roberta De Giusti | Data Protection Consultant, Privacy Desk Suisse
