I principi cardine sanzionatori con l’approvazione della nuova legge federale sulla protezione dei dati

La nuova LPD ha un quadro normativo molto forte in tema di protezione della personalità, proprio per questo un rinforzo è stato svolto in termini di adempimenti e risposte sanzionatorie, nonostante i punti cardine sanzionatori non si discostano molto dalla norma precedente.

L’articolo 13 della Costituzione federale sancisce che ogni persona ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni, e ognuno ha diritto d’essere protetto da un impiego abusivo dei suoi dati personali.

Per realizzare questa protezione costituzionale, è stata poi approvata la legge federale sulla protezione dei dati (LPD) – in vigore dal 1° luglio 1993 e la corrispondente ordinanza (OLPD) che ne disciplina i dettagli. Non solo, anche in altre normative, non strettamente dedicate al tema data protection, si possono ritrovare disposizioni che hanno come scopo la protezione della personalità e delle informazioni relative: ad esempio, negli articoli 28-28/ del Codice civile (CC) è descritta la procedura legale da seguire in caso di lesioni della personalità.

La nuova LPD si inserisce dunque in un quadro normativo già forte in tema di protezione della personalità, rinforzandolo ulteriormente in termini di adempimenti e risposte sanzionatorie dell’ordinamento nel caso di mancato rispetto delle sue disposizioni.

Il panorama sanzionatorio introdotto dalla LPD: i principi cardine

I principi cardine che gestiscono poi il sistema sanzionatorio non si discostano molto dalla originaria versione della norma:

  • innanzi tutto, diversamente dal diritto europeo (il GDPR ha introdotto pesanti sanzioni amministrative pecuniarie a carico delle persone giuridiche / titolari del trattamento), il diritto svizzero ha optato per la responsabilizzazione delle persone fisiche all’interno delle organizzazioni aziendali, in quanto detentori del potere decisionale: le multe sono infatti previste per i privati e non per le persone giuridiche;
  • vengono inoltre sanzionate le violazioni (che siano commissive od omissive) intenzionali e non colpose;
  • resta inoltre saldo l’impianto che prevede la competenza delle autorità cantonali per il perseguimento e il giudizio sui reati: l’Incaricato Federale per la protezione dei dati (IFPDT) continuerà a non avere la facoltà di pronunciare sanzioni e potrà sporgere denuncia presso l’autorità competente e avvalersi nel procedimento dei diritti dell’accusatore privato (art. 65 cpv. 2 LPD rivista); gli restano riconosciuti poteri di apertura di inchiesta (d’ufficio o su denuncia) se sussistono indizi sufficienti in merito ad una possibile violazione della norma; – sussiste anche, in via residuale, la possibilità di imputare l’infrazione direttamente all’azienda / persona giuridica, se la ricerca della persona fisica all’interno dell’impresa o dell’organizzazione esige un onere sproporzionato.
  • sussiste anche, in via residuale, la possibilità di imputare l’infrazione direttamente all’azienda / persona giuridica, se la ricerca della persona fisica all’interno dell’impresa o dell’organizzazione esige un onere sproporzionato.

Il panorama sanzionatorio introdotto dalla LPD: le tipologie e l’economics delle sanzioni introdotte

La norma definisce un range sanzionatorio fino a 250 000 franchi per qualsiasi tipo di violazione prevista.

Il mancato rispetto degli obblighi di informare, di concedere l’accesso alle informazioni oggetto di trattamento e di collaborare nonché la violazione degli obblighi di diligenza e del segreto professionale sono punibili a querela di parte.

Ciò significa che tutte le violazioni indicate nel capitolo 8 della revisione della LPD e, in generale dunque, la mancanza di adeguamento alla normativa privacy, sono punibili quando c’è querela della persona offesa. In “linguaggio data protection” quindi, qualora anche solo un interessato del trattamento lamenti una lesione dei suoi diritti effettuata dal titolare del trattamento.

Il mancato rispetto di provvedimenti amministrativi dell’IFPDT è perseguito d’ufficio: è sufficiente, quindi, che la notizia del mancato adempimento pervenga alle competenti autorità perché si attivi il procedimento per l’accertamento dell’inadempimento e la relativa sanzione.

Articolo a cura di Federica Achilli | Legal Compliance OfficerPrivacy Desk Suisse

Condividi:

Articoli recenti

Trova altre notizie

Tutte le notizie

Richiedi consulenza

Per ricevere informazioni sui nostri servizi compila il modulo di contatto qui a fianco e un nostro incaricato ti contatterà al più presto.

+41 91 921.00.38

info@privacydesk.ch

Cliccando su INVIA Lei dichiara di aver preso visione dell'informativa privacy per finalità a) e b) — informativa ai sensi della LPD.

© 2024 Privacy Desk Suisse SA. Tutti i diritti riservati.    |   Privacy Desk Suisse SA    |   6900 Lugano, Corso Elvezia n. 16  |   Privacy Notice    |   Cookie Policy