Il consenso quale base giuridica legittimante un trattamento di dati personali nella legge federale sulla protezione dei dati svizzera


In ambito di consenso, la nuova legge svizzera LPD utilizza una terminologia differente dal GDPR, ma questo non significa che si differenzia anche nel contenuto. Il consenso nella norma svizzera ha un ruolo fondamentale, insieme ad esso anche determinate best practices collegate.


Per parlare di consenso all’interno del sistema delineato dalla nuova LPD, occorre innanzi tutto premettere che la norma svizzera, pur nel suo tendere ad una armonizzazione con il GDPR ed i suoi istituti, si differenzia dalla normativa europea non solo perché è più concisa, ma anche perché usa in parte una terminologia differente.

Il consenso ad esempio, viene catalogato quale “motivo giustificativo”, anziché “base giuridica” – “condizione” come avviene nel GDPR. Ciò non significa però che il suo ruolo all’interno del sistema normativo sia marcatamente differente da quello ricoperto nel sistema europeo.

I principi fondamentali della LPD e il ruolo del consenso nella norma

Il trattamento dei dati personali è lecito

La LPD basa la sua struttura su una serie di principi fondamentali e comuni quando si parla di data protection: innanzi tutto, qualsiasi trattamento di dati personali deve essere lecito, ossia deve fondarsi su una base giuridica o un motivo giuridico valido.

La tutela delle persone private si esplicita innanzi tutto nel fatto che chi tratta i loro dati non deve mai lederne illecitamente la personalità. Affinché non si incorra in una lesione illecita, deve sempre ricorrere un motivo giustificativo: il consenso della persona coinvolta nel trattamento, un interesse preponderante del titolare del trattamento, la legge stessa.

Il consenso nella legge LPD ha un ruolo fondamentale

Tra questi tre motivi giustificativi elencati dalla legge, il consenso riveste certamente il ruolo di maggior rilevanza sia teorica che pratica: è infatti l’espressione con cui la persona interessata (centro focale dell’impianto di tutela delineato dalla norma) approva il trattamento dei suoi dati personali.

Viene richiamato anche per quanto riguarda la disciplina della comunicazione dei dati personali all’estero: la norma elvetica prevede che dati personali possano essere comunicati all’estero solo se vi è riconoscimento di adeguatezza dello stato “ricevente” da parte del Consiglio Federale o se l’adeguatezza viene garantita da un trattato internazionale, o clausole contrattuali ad hoc tra le parti, comunicate precedentemente all’Incaricato Federale per la Protezione dei dati.

Ma prevede anche che, con il consenso espresso della persona interessata, si possa procedere in deroga alle condizioni legittimanti sopra citate e connessi adempimenti.

Per essere valido e dunque, produrre la sua efficacia “giustificatrice”, il consenso deve essere espresso liberamente ed a seguito di una informazione completa e trasparente (cd. Condizioni di validità).

Il ruolo del consenso – i risvolti pratici necessari a garantire le sue condizioni di validità

Queste condizioni di validità del consenso (espressione libera e previa informazione) comportano importanti risvolti pratici per i titolari del trattamento: occorre infatti creare tutti i presupposti legali, tecnici ed organizzativi per consentire alle persone di autodeterminarsi liberamente nella gestione dei propri dati.

L’informativa che va consegnata agli interessati deve essere adeguata

Il ruolo più importante nella determinazione della validità del consenso è giocato dall’adeguata informativa che va resa agli interessati. L ’obbligo di informare si considera adempiuto solo con la comunicazione di una serie di informazioni: identità e dati di contatto del titolare, scopo del trattamento, destinatari cui sono comunicati i dati.

Come il GDPR, anche la LPD non prevede particolari esigenze di forma, ma le best practices vertono sull’elaborazione di un documento informativo scritto, facilmente fruibile dagli interessati quanto a contenuto e reso disponibile mediante un canale immediato.

Parimenti fondamentale per la validità del consenso è la sua documentabilità: i titolari del trattamento sono chiamati ad elaborare forme di raccolta del consenso che garantiscono la sua libera prestazione (si pensi ad esempio ai box di consenso su una app o un sito web che non devono mai essere preflaggati ma consentire un’azione proattiva del soggetto interessato).

Devono inoltre implementare anche una strategia a supporto del tracciamento delle azioni di un soggetto interessato (quando dà il consenso, se prima ha letto l’informativa, quando eventualmente lo ha revocato – c.d. consent history).

Tali accortezze operative garantiscono maggiormente la tutela di entrambi i soggetti coinvolti nel trattamento di dati personali: da un lato, gli interessati che in tal modo possono attingere ad una fonte certa per essere poi in grado di autoregolarsi nelle scelte sulla destinazione dei propri dati; dall’altro lato, i titolari del trattamento stesso, che possono così essere in grado di garantire adeguata informazione e consenso valido agli interessati coinvolti documentando il loro rispetto della legge in termini di obbligo di informare sulla raccolta di dati personali ed effettuare trattamenti leciti ossia basati su motivi giustificativi validi ed efficaci.

Articolo a cura di Federica Achilli | Legal Compliance OfficerPrivacy Desk Suisse

Condividi:

Articoli recenti

LPD ANNUAL MEETING 2023

Il 30 novembre 2023 all’Hotel Splendide Royal ha avuto luogo la seconda edizione de LPD annual meeting. Argomento chiave dell’evento è stato l’Intelligenza Artificiale insieme

Trova altre notizie