Quali sono i campi di applicazione della nuova LPD? La legge limita la sua applicazione a tutti i trattamenti di dati personali delle persone fisiche. Invece per le persone giuridiche?
La nuova Legge Federale per la Protezione dei Dati (Federal Data Protection Law – LPD) nasce con lo scopo di aggiornare ed adeguare la normativa già in vigore sul territorio nazionale per la tutela dei dati personali:
- aggiornarla rispetto alle nuove condizioni sociali e tecnologiche, più moderne ed avanzate, che offrono nuove possibilità (soprattutto in campo digitale) a tutti i mercati ma contemporaneamente generano maggiori rischi e maggiori responsabilità in capo ai diversi attori coinvolti;
- adeguarla innanzi tutto rispetto alla normativa sulla protezione dei dati a lei più vicina: quella europea, armonizzata su tutto il territorio dal Regolamento Generale per la Protezione dei dati (General Data Protection Regulation – GDPR).
Si prefigge, dunque, gli stessi obiettivi, primo fra tutti quello di rinforzare la tutela dei singoli individui attraverso un aumento degli standard di trasparenza che devono essere garantiti a tutti gli interessati coinvolti in un trattamento di dati personali e (inevitabilmente) anche attraverso un aumento della responsabilità di tutti gli attori principali (con un conseguente aumento degli obblighi di legge in capo a questi ultimi e dei risvolti sanzionatori per i casi di violazioni e inadempimenti).
All’articolo 2 del disegno di legge viene delineato il campo di applicazione della legge che prevede sia un profilo di applicazione soggettivo / personale, sia un profilo di applicazione materiale / territoriale, offrendo dei primi criteri applicativi per orientarsi al fine di elaborare una corretta valutazione in merito all’applicazione della normativa.
Campo di applicazione personale della nuova LPD: nessuna protezione prevista per le persone giuridiche.
La LPD ha da sempre previsto l’applicazione di una tutela per i dati delle persone giuridiche oltre che per quelli delle persone fisiche.
La nuova revisione della LPD limita la sua applicazione a tutti i trattamenti di dati personali delle persone fisiche come per la normativa europea (GDPR).
La Legge federale sulla protezione dei dati rivista ha infatti esclusivamente lo scopo di proteggere la personalità delle persone fisiche di cui vengono trattati i dati.
Le imprese potranno continuare ad appellarsi alla protezione della personalità, alla protezione del segreto di fabbrica o commerciale e alle disposizioni pertinenti delle leggi federali contro la concorrenza sleale e sui cartelli, come ha specificato lo stesso Incaricato della Protezione dei dati nel recente documento “La nuova legge sulla protezione dei dati dal punto di vista dell’IFPDT”, emesso in data 9 febbraio 2021.
In merito alle persone fisiche, quale categoria di interessati tutelati dalla legge, la revisione della LPD amplia anche l’elenco dei dati personali che ritiene degni di particolare tutela, comprendendo anche i dati genetici e biometrici, ad esempio, che riconducono (in modo univoco) ad una persona fisica, identificata o identificabile. Con la conseguenza che i Titolari del trattamento che trattano queste tipologie di dati saranno chiamati necessariamente a compiere tutti gli adempimenti previsti dalla norma (in termini di valutazione di impatto, accortezze nelle misure di sicurezza adeguate alla loro protezione, obbligo di informativa e trasparenza nei confronti degli interessati coinvolti, necessità di ottenere un consenso espresso dell’interessato per alcuni specifici trattamenti di dati).
Il campo di applicazione materiale della nuova Legge federale sulla Protezione dei dati
L’articolo 3 della nuova LPD prevede che le sue disposizioni si applichino a tutte le fattispecie che generano effetti in Svizzera, anche se si verificano all’estero.
Si può parlare, sempre operando un parallelo con la disciplina europea, dell’istituzione di un principio di “attrattività” della normativa per tutti quei soggetti / Titolari del trattamento che operano / hanno sede al di fuori del territorio svizzero, ma le cui operazioni di trattamento generano effetti in territorio elvetico e trattano dati personali di cittadini svizzeri.
Certamente, occorrerà elaborare alcuni criteri, guide più specifiche che possano supportare i Titolari del trattamento innanzi tutto nella valutazione circa l’applicabilità della normativa svizzera alla loro realtà (primo fra tutti, l’obbligo per queste aziende di designare un Rappresentante nella Confederazione).
Tale valutazione andrà effettuata per tempo, per garantire un adeguato livello di protezione dei dati in tutti i mercati di riferimento.
Articolo a cura di Federica Achilli | Legal Compliance Officer, Privacy Desk Suisse
