Novità in Svizzera sul trasferimento dati all’estero


Il Garante Privacy Svizzero (IFPDT) ha pubblicato a giugno 2021 una guida completa rivolta alle aziende svizzere per l’esame dell’ammissibilità della comunicazione di dati all’estero che potrà essere utilizzata dai DPO|CPD contestualmente al contratto modello per garantire una corretta gestione dei dati trasmessi per la collezione dei dati in Paesi extra Confederazione


La legge svizzera sulla protezione dei dati assicura la protezione della sfera privata per i trattamenti di dati effettuati da persone giuridiche in Svizzera. Se si devono trasmettere dati all’estero dev’essere altresì garantito che questi dati siano protetti in modo adeguato.

A tal proposito il sito del Garante fornisce un contratto modello del 2013 da stipulare fra l’azienda esportatrice di dati e quella importatrice elaborato dall’IFPDT | Garante Privacy Svizzero | in collaborazione con David Rosenthal dello studio legale Homburger di Zurigo.

Questo contratto serve a garantire una protezione adeguata dei dati personali esportati dai Titolari del trattamento secondo l’articolo 6 capoverso 2 lettera a LPD (Legge sulla Protezione dei dati) in caso di trasmissione di dati all’estero per un trattamento (a scopo di esternalizzazione).

RS 235.1 Legge federale del 19 giugno 1992 sulla protezione dei dati (LPD)

Art. 6 Comunicazione di dati all’estero

1 I dati personali non possono essere comunicati all’estero qualora la personalità della persona interessata possa subirne grave pregiudizio, dovuto in particolare all’assenza di una legislazione che assicuri una protezione adeguata.

2 Se manca una legislazione che assicuri una protezione adeguata, dati personali possono essere comunicati all’estero soltanto se: a. garanzie sufficienti, segnatamente contrattuali, assicurano una protezione adeguata all’estero;

Se una azienda svizzera intende far trattare la sua collezione di dati in un paese che non conosce una protezione di dati adeguata (es. Stati Uniti d’America, Cina, India (…)); è consultabile l’elenco completo, si consiglia assolutamente la stipulazione di un simile contratto per la regolamentazione della comunicazione di dati oltre i confini nazionali.

Il contratto è elaborato appositamente per le aziende elvetiche e si basa sul diritto svizzero, ma rispecchia ampliamente i contratti modello già esistenti nell’ambito dell’UE e dei Safe Harbour & Privacy Shield Agreements (i contratti modello della Commissione dell’UE possono tuttavia essere utilizzati per i rapporti con la Svizzera con i necessari adeguamenti concernenti la protezione dei dati personali di persone giuridiche e dei profili personali).

Il Garante Svizzero ha reso disponibile a giugno 2021 una guida completa pubblicata dall’IFPDT per l’esame dell’ammissibilità della comunicazione di dati all’estero (secondo art. 6 cpv. 2 lett. a LPD).

Fra le principali attività che il DPO|CPD dell’azienda dovrà porre in essere al fine della compilazione del contratto di trasferimento dati estero ricordiamo:

  • analizzare e registrare i dati esportati attraverso un’analisi dei trattamenti effettuati – in questo caso si anticipa il requisito previsto nella nLPD dell’istituzione di un Registro del trattamento;
  • verificare la sussistenza di 4 garanzie della legislazione dell’importatore ed in particolare:
    1. Principio di legalità;
    2. Proporzionalità di poteri e misure rispetto agli obiettivi normativi perseguiti;
    3. Mezzi di ricorso efficaci per gli interessati (es. informazione – rettifica ecc);
    4. Accesso ad un Tribunale indipendente e imparziale.

A tutto ciò può essere aggiunto:

  • Analisi del rischio del caso specifico;
  • Predisposizione, qualora possibile, di misure tecniche supplementari o ispezioni all’importatore.

Nel caso non sussistano completamente le 4 garanzie, occorre dapprima esaminare in ogni caso misure supplementari da adottare in “sostituzione” delle quattro garanzie mancanti | es. Misure contrattuali supplementari – misure supplementari tecniche e organizzative al fine da impedire di fatto nel Paese destinatario che le autorità possano accedere ai dati personali comunicati (es. crittografia).

La guida inserisce anche un allegato per valutare la protezione dei dati di fornitori di servizi (es. cloud) con possibili rapporti diretti o indiretti con gli Stati Uniti (compresi i subappaltatori e i subappaltatori di subappaltatori nonché altri fornitori di servizi).

Nel caso le misure non siano perseguibili il trasferimento dati estero va sospeso.

Si ricorda altresì che Il contratto di esternalizzazione non esonera la società che effettua la trasmissione dalla sua responsabilità in caso di pregiudizio nei confronti delle persone interessate e che fino all’entrata in vigore della nLPD determinate trasmissioni di dati all’estero devono essere comunicate all’IFPD.

Articolo a cura di Matteo Colombo | Socio fondatore, Privacy Desk Suisse

Condividi:

Articoli recenti

LPD ANNUAL MEETING 2023

Il 30 novembre 2023 all’Hotel Splendide Royal ha avuto luogo la seconda edizione de LPD annual meeting. Argomento chiave dell’evento è stato l’Intelligenza Artificiale insieme

Trova altre notizie