Nuova LPD: informativa privacy

La nuova legge federale sulla protezione dei dati (LPD) approvata lo scorso mese dall’Assemblea Federale impone una serie di adempimenti in capo ai Titolari del Trattamento, ovvero il privato e/o organo federale che “singolarmente o insieme ad altri, determina lo scopo e i mezzi di trattamento”.

Uno dei principali documenti del processo di compliance aziendale improntato alla nuova normativa privacy elvetica è l’informativa sulla raccolta dei dati personali.

Cos’è l’informativa?

La nuova LPD impone al Titolare del Trattamento di informare in modo adeguato l’interessato fornendogli informazioni circa la raccolta/trattamento dei suoi dati personali. L’adempimento in questione viene attuato mediante la c.d. informativa privacy.

Tale documento è di fondamentale importanza nel processo di compliance privacy, in quanto concreta applicazione dei principi cardini 6 della LPD, in particolar modo quello di raccogliere i dati personali per uno scopo “determinato e riconoscibile per la persona interessata”.

L’informativa prevista dalla nuova LPD mira inoltre a garantire una maggiore trasparenza verso l’interessato per allinearsi con gli standard europei stabiliti dal Regolamento sulla protezione dei dati (GDPR).

Contenuto dell’informativa 

La legge prevede l’indicazione di alcuni elementi tassativi tra cui le informazioni necessarie affinché l’interessato possa esercitare i diritti riconosciuti in suo favore. In aggiunta a ciò viene inoltre richiesto al Titolare di indicare:

  1. l’identità e i dati di contatto del titolare del trattamento
  2. lo scopo del trattamento
  3. se del caso, i destinatari o le categorie di destinatari cui sono comunicati dati personali

Inoltre si richiede di comunicare:

  • se i dati non sono raccolti direttamente dall’interessato, le categorie di dati personali trattati
  • se i dati sono comunicati fuori dalla Svizzera, lo Stato o l’organismo internazionale destinatario, nonché le garanzie poste a base del trasferimento, oppure la presenza di una delle eccezioni rispetto alle garanzie appena menzionate

Infine, viene previsto l’obbligo di informare l’interessato in merito ad eventuali decisioni individuali automatizzate che abbiano sullo stesso “effetti giuridici o conseguenze significative”.

Nuova LPD/vecchia LPD a confronto

Rispetto alla sua precedente versione, la nuova LPD uniforma e compatta in un unico capitolo tutte le disposizioni che, sia privati sia organi federali, sono tenuti a rispettare in tema di informativa privacy.

Viceversa in precedenza venivano previste specifiche disposizioni a seconda che il Titolare del Trattamento obbligato ad informare l’interessato fosse un privato.

LPD/GDPR a confronto

Da un punto di vista contenutistico, l’informativa LPD è sicuramente più snella rispetto a quanto previsto dal Regolamento Europe (GDPR). Ed infatti:

  • viene richiesto di indicare l’identità/contatti del Titolare, lo scopo/finalità di trattamento, i destinatari dei dati raccolti, eventuali trasferimenti di dati fuori dalla Svizzera, eventuali decisioni individuali e decisioni automatizzate, informazioni sull’esercizio dei diritti da parte dell’interessato;
  • non è obbligatorio indicare: il contatto del consulente per la protezione dei dati (DPO per il GDPR) e del rappresentante in Svizzera del Titolare ove nominati, al pari del termine di conservazione dei dati e delle condizioni di liceità del trattamento (c.d. basi giuridiche GDPR). L’autorità di controllo competente non è stata logicamente indicata in quanto, a differenza dell’Unione Europea, vi è un’unica autorità di controllo a livello federale (IFPDT – Incaricato Federale per la protezione dei dati e della trasparenza).

In caso di dati personali non raccolti direttamente presso l’interessato, la LPD richiede la sola indicazione delle categorie di dati personali trattati ma non di indicare la fonte/origine di raccolta del dato (e se si tratta di fonte accessibile al pubblico).

Risvolti pratici

Come per il GDPR, la non menzione nel registro della durata della conservazione dei dati non esonera l’azienda dallo stabilire (e applicare) i termini entro i quali i dati vanno distrutti o resi anonimi i dati personali.

In aggiunta a ciò, si ricorda che la legge non vieta di indicare elementi ulteriori rispetto a quelli minimi, tra cui in particolar modo quelle informazioni necessarie per dimostrare il rispetto dei principi fondamentali imposti del GDPR, ovvero quello di liceità, quello di limitazione della conservazione e di consenso fornito dall’interessato “dopo debita informazione” ed “in riferimento ad uno o più trattamenti specifici”.

Tempistiche/modalità di consegna dell’informativa

L’informativa va consegnata all’interessato in fase di raccolta dei dati personali. Se quest’ultimi non sono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un 1 mese dalla ricezione dei dati, oppure al momento della comunicazione dei dati all’interessato se quest’ultima avviene prima di 1 mese dalla ricezione degli stessi. La tempistica proposta ricalca in parte quella prevista dal GDPR.

La norma non prevede specifiche indicazioni in merito alla forma (scritta oppure orale) con cui va fornita l’informativa. Infatti la LDP si limita a specificare che il Titolare del Trattamento è tenuto ad informare in modo adeguato la persona interessata sulla raccolta di dati personali.

Il concetto di adeguatezza sopra citato è una formulazione che può lasciare spazio a dubbi interpretativi. Per completezza, si suggerisce di preferire per la forma scritta per agevolare l’ottemperanza dell’obbligo di informazione verso l’interessato e, più in generale, del principio di trasparenza.

Eccezioni all’obbligo d’informazione

La LPD consente al Titolare di derogare all’obbligo d’informazione di cui all’art. 19 in precedenza analizzato:

Deroghe per dati personali forniti dall’interessato

  1. la persona interessata dispone già delle pertinenti informazioni
  2. il trattamento dei dati personali è previsto dalla legge
  3. il titolare del trattamento è un privato tenuto per legge a serbare il segreto
  4. sono adempiute le condizioni di cui all’articolo 27 LPD (trattamento ai soli fini d’informazione nella parte redazionale di mezzi di comunicazione di massa/fini giornalistici)

Deroghe per dati personali non forniti direttamente dall’interessato

  • non sia possibile
  • richieda un onere sproporzionato

Vengono inoltre contemplate specifiche ipotesi in cui il titolare del trattamento ha la facoltà di “limitare o differire l’informazione, oppure rinunciarvi”.

LPD/GDPR a confronto

Le eccezioni all’obbligo della LPD sono più ampie rispetto a quelle previste dal GDPR in caso di dati personali ottenuti direttamente dall’interessato. Il GDPR permette infatti di non informare l’interessato solo qualora lo stesso disponga già di tali informazioni.

Viceversa, in caso di dati personali non raccolti direttamente presso l’interessato, le casistiche di esonero della LPD sono più ristrette rispetto a quelle previste dal GDPR. La norma privacy svizzera consente infatti di non procedere con informazione verso l’interessato solo qualora la stessa sia impossibile o richieda un onere sproporzionato.

Condividi:

Articoli recenti

LPD ANNUAL MEETING 2023

Il 30 novembre 2023 all’Hotel Splendide Royal ha avuto luogo la seconda edizione de LPD annual meeting. Argomento chiave dell’evento è stato l’Intelligenza Artificiale insieme

Trova altre notizie