Oggi, 25 settembre 2020, l’Assemblea Federale Svizzera ha approvato definitivamente la nuova legge federale sulla protezione dei dati | LPD che permetterà alla Confederazione Elvetica di adeguarsi ai criteri del Regolamento sulla protezione dei dati | Reg.UE 2016/679 (GDPR) e di richiedere alla Commissione europea il riconoscimento di adeguatezza.
Infatti, anche se vi è ancora la possibilità di sottoporre la legge a referendum, se interverranno nei 100 giorni dalla pubblicazione sul Foglio federale le firme necessarie, al più presto entro l’inizio del 2022 entrerà in vigore.
Quali sono le principali novità ed istituti previsti dalla legge?
Campo di applicazione
La legge sulla protezione dei dati si applica a tutte quelle fattispecie (leggasi trattamenti dati) che esplicano effetti in Svizzera, anche se si verificano all’estero;
Profilazione
La legge ha introdotto nell’ultima votazione il principio della profilazione ad alto rischio prevedendo una protezione particolare per i cittadini elvetici contro alcuni tipi di profilazione automatizzata con elevati rischi per la personalità o i diritti fondamentali (si pensi al raffronto di dati su larga scala provenienti da banche dati diverse o alle banche dati dei principali operatori di e commerce).
Consenso
È necessario l’espresso consenso degli interessati quando il trattamento riguarda:
- Dati degni di particolare attenzione (dati particolari e giudiziari per il GDPR);
- La profilazione a rischio elevato effettuata da soggetti privati;
- La profilazione effettuata da un organo federale.
Sicurezza dei dati personali
Il Titolare e il Responsabile del trattamento garantiscono, mediante provvedimenti tecnico amministrativi, che la sicurezza sia adeguata al rischio al fine di evitare violazioni della sicurezza dei dati (data breach). Il Consiglio Federale emanerà disposizioni su misure minime di sicurezza.
Notifica di violazioni della sicurezza dei dati
Il Titolare del trattamento dovrà notificare quanto prima all’IFPDT (Incaricato federale della protezione dei dati e della trasparenza) ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità e i diritti fondamentali della persona interessata. In alcuni casi l’evento andrà comunicato anche agli interessati.
Trattamento dati da parte di responsabili del trattamento
Se il Titolare del trattamento affida per contratto il trattamento ad altro soggetto, questo non può effettuare trattamenti diversi dall’incarico, deve garantire la sicurezza dei dati personali e non può subappaltare attività di trattamento senza autorizzazione; andrà quindi predisposta una nomina per ogni responsabile.
Consulente per la protezione dei dati
I titolari del trattamento privati possono nominare un consulente per la protezione dei dati (CPD) | definito Data Protection Officer (DPO) nel GDPR. Il CPD è interlocutore per le persone interessate e per le autorità, in particolare per l’IFPDT. La sua presenza è fondamentale in caso di trattamento dati che necessitino di valutazione di impatto (DPIA); in caso di obbligo di consultazione dell’IFPDT il suo parere potrà essere sufficiente.
Registro delle attività trattamento
Il Titolare e il responsabile del trattamento tengono ognuno un registro delle rispettive attività dove indicheranno fra l’altro lo scopo del trattamento, categorie di persone interessate, durata della conservazione, destinatari e altre informazioni indicate nell’LPD.
Obbligo di rappresentante per aziende europee ed extra UE
Aziende europee e non che non hanno sedi o domicilio in Svizzera ma che effettuano trattamento di dati di cittadini svizzeri, dovranno designare un rappresentante nella Confederazione.
L’obbligo si applica a quelle aziende che periodicamente offrono beni o servizi e monitorano attraverso trattamenti dati su larga scala che comportano un rischio elevato per la personalità degli interessati.
Diritti della persona interessata
Gli interessati hanno diritto di ottenere informazioni sulla raccolta dati (es. identità del Titolare – scopo del trattamento – origine dati – durata conservazione – esistenza di scelte automatizzate – logica utilizzata). La Legge sulla protezione dei dati ha introdotto il diritto alla portabilità del dato da parte dell’interessato. Rimangono inalterati diritti già esistenti quali l’accesso al dato e la tempistica per ottenere le informazioni richieste (di norma 30 gg).
Valutazione d’impatto sulla protezione dei dati (DPIA)
Quando il trattamento può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata, il Titolare del trattamento deve effettuare una valutazione d’impatto sulla protezione dei dati (DPIA). L’utilizzo di un tool o di una certificazione potranno essere di supporto al fine dell’effettuazione della stessa.
Sanzioni
La legge ha rafforzato i poteri dell’Incaricato federale della protezione dei dati | IFPDT con la possibilità di aperture di inchieste con ampi poteri (fra l’altro accesso ai luoghi, interrogatori, perizie, accesso a documenti e registri di trattamento).
A chi viola la legge potranno essere inflitte multe fino ad un massimo di 250.000 franchi. Solo le persone fisiche potranno essere sanzionate; le aziende per casi ben definiti.