Reg. UE 2016/679 (GDPR) e Legge federale sulla protezione dei dati (LPD) a confronto.
Nel mese di aprile del 2015 il CF (Consiglio Federale) decide di modificare la Legge federale sulla protezione dei dati (c.d. LPD). L’obiettivo che la Svizzera intende perseguire è duplice:
- modernizzare la LPD la cui nascita risale al 19 giugno 1992
- adeguare la LPD e “armonizzarla” al Diritto Europeo anche al fine di continuare a mantenere lo standard di adeguatezza riconosciuto dall’Unione Europea che ravvisa appunto nella Svizzera uno Stato terzo che garantisce un’adeguata protezione dei dati
A che punto ci troviamo con lo stato di revisione?
A dicembre 2019 il Consiglio degli Stati ha terminato la consultazione sulla Legge svizzera sulla Protezione dei dati (LPD), totalmente riveduta per essere allineata al GDPR e alle leggi privacy internazionali. Il Consiglio degli Stati ha adottato e accettato in ampia misura i miglioramenti proposti dalla sua Commissione rispetto alla versione del Consiglio nazionale.
Restiamo in attesa dell’approvazione definitiva della legge che si applicherà in Svizzera a partire dal 2021.
Lessico a confronto
Leggendo la norma Svizzera balza subito all’occhio il termine utilizzato dalla stessa per identificare quello che, ai sensi del Reg. UE 2016/679, è il Responsabile della protezione dei dati– RPD, Data Protection Officer – DPO, ossia il Consulente per la protezione dei dati personali.
Viene infatti utilizzato un termine che può essere facilmente ricondotto, per il comune sentire, ad un soggetto che svolge il ruolo consulenziale, anche in ambito privacy, per le aziende.
Tuttavia non dobbiamo farci trarre in inganno.
Consulente per la protezione dei dati personali è infatti il RPD, conosciuto con il nome di DPO attraverso il GDPR.
Un soggetto che supporta il titolare e lo affianca nelle valutazioni utili alla compliance privacy, consigliandolo sulle tematiche in ordine alla protezione dei dati.
Ad oggi la norma svizzera non ha previsto specifiche sui limiti e i confini con riferimento al ruolo del CPD, esplicitati invece dall’EDPB (Comitato Europeo per la protezione dei dati) attraverso Linee-guida sui responsabili della protezione dei dati (RPD) – WP243.
La figura del Consulente per la protezione dei dati (art. 9 LPD) e peculiarità
Di seguito l’articolo 9 della LPD che individua la figura del CPD, il nostro europeo DPO.
Notiamo in primis che la norma non prevede l’obbligo per i titolari privati di individuare un CPD ma ne prevede la possibilità. Diversamente, le Pubbliche Amministrazioni sono obbligate ad avere un CPD.
Notiamo poi che in un unico articolo vengono brevemente esplicati la designazione, la posizione e i compiti e che è presente una peculiarità prevista dalla norma Svizzera.
- I titolari privati del trattamento possono nominare un consulente per la protezione dei dati.
- Il consulente funge da interlocutore per gli interessati come pure per le autorità competenti in Svizzera per la protezione dei dati. Ha segnatamente i compiti seguenti:
- fornire formazione e consulenza al titolare privato del trattamento in questioni concernenti la protezione dei dati
- partecipare all’esecuzione delle disposizioni sulla protezione dei dati
- Il consulente funge da interlocutore per gli interessati come pure per le autorità competenti in Svizzera per la protezione dei dati. Ha segnatamente i compiti seguenti:
- I titolari privati del trattamento possono avvalersi della deroga di cui all’articolo 21 capoverso 4, se sono adempiute le seguenti condizioni:
- il consulente esercita la sua funzione in modo indipendente dal titolare del trattamento e senza ricevere da lui istruzioni
- il consulente non esercita attività inconciliabili con i suoi compiti di consulente per la protezione dei dati
- il consulente dispone delle conoscenze tecniche necessarie
- il titolare del trattamento pubblica le coordinate di contatto del consulente per la protezione dei dati personali e le comunica all’Incaricato
- Il Consiglio federale disciplina la nomina dei consulenti per la protezione dei dati da parte degli organi federali.
Il capoverso 2 dell’articolo 9 fa riferimento ad una deroga, prevista dall’articolo 21 della LPD rubricato: “consultazione dell’Incaricato”.
L’articolo 21 prevede infatti, al capoverso 1, che il titolare del trattamento senta/consulti preventivamente l’Incaricato federale (richiedendo un parere) in caso di una valutazione di impatto sulla protezione dei dati che (applicate le misure di sicurezza) rilevi un rischio elevato per la personalità o i diritti fondamentali dell’interessato.
Il capoverso 4 del medesimo articolo prevede tuttavia una deroga a quanto ha previsto dal capoverso 1 ossia che il titolare privato, che abbia consultato il CPD in merito al trattamento con rischio elevato, possa rinunciare alla consultazione dell’Incaricato federale.
Tuttavia, come espressamente precisato dall’articolo 9 capoverso 2 della LPD, tale deroga si applica esclusivamente ai casi in cui siano congiuntamente adempiute determinate condizione che sono legate, nello specifico, alla posizione del CPD. In particolare il Consulente per la protezione dei dati dovrà esercitare la sua funzione in modo indipendente, non dovrà ricevere istruzioni, non dovrà svolgere attività inconciliabili con i suoi compiti di CPD e dovrà avere delle conoscenze tecniche necessaria. Altro adempimento in capo al titolare al fine dell’applicazione della deroga è l’avvenuta pubblicazione delle coordinate di contatto del CPD e la comunicazione delle stesse all’Incaricato federale.
Fonte: EJPD
Articolo a cura di Roberta De Giusti | Data Protection Consultant, Privacy Desk Suisse
