Lo scorso 25 settembre 2020 è stata formalmente approvata la legge federale sulla protezione dei dati (LPD). Tale profonda revisione normativa – nata con lo scopo di allineare gli standard elvetici in materia di data protection a quelli europei sanciti dal Regolamento Europeo 2016/679 (GDPR) – interesserà, tra gli altri, una vasta platea di aziende, ed entrerà in vigore non oltre l’inizio del 2022.
A tale fine e per prepararsi adeguatamente, ogni titolare e/o responsabile del trattamento sarà tenuto ad implementare molteplici processi e predisporre una serie di documenti, tesi a dimostrare un adeguato livello di compliance aziendale. Uno di questi è il registro delle attività di trattamento.
Cos’è il registro delle attività di trattamento?
L’art. 12 della LPD (ultima versione pubblicata sul foglio federale) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. È un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Costituisce uno dei principali elementi di c.d. accountability del titolare, in quanto strumento idoneo a fornire una mappatura aggiornata dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Chi è tenuto a redigerlo?
La LPD prevede un obbligo generalizzato di stesura del Registro delle attività di trattamento. Al capoverso 5 del predetto art. 12 viene prevista un’eccezione per le imprese che:
- abbiano meno di 250 collaboratori;
- i trattamenti di dati personali effettuati comportano un rischio esiguo di violazione della personalità delle persone interessate.
La norma richiede la presenza congiunta di questi due criteri. Sul concetto di “rischio esiguo di violazione” e, più in generale, sull’effettivo ambito applicativo di tale deroga si presume interverrà il Consiglio Federale per fornire chiarimenti pratici. Nel mentre è sicuramente suggerita la predisposizione del registro in caso di aziende che occupino almeno 250 dipendenti.
Quali informazioni deve contenere?
Registro del Titolare del Trattamento (art. 12, capoverso 2 LPD)
Contenuto
La norma richiede la presenza delle seguenti tipologie di informazioni:
- l’identità del titolare del trattamento;
- lo scopo del trattamento, ovvero la finalità per cui vengono trattati i dati personali;
- una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
- le categorie di destinatari;
- se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
- se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l’articolo 8;
- se i dati personali sono comunicati all’estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all’articolo 16 capoverso 2.
LPD/GDPR a confronto
La struttura del registro dei trattamenti della LPD si ispira all’art. 30 GDPR. Anche la norma elvetica prevede infatti un obbligo di indicare alcuni aspetti principali (identificazione del Titolare, scopo del trattamento, tipologie di interessati, di dati trattati e di destinatari). Inoltre, al pari di quanto sancito all’art. 30 par. 1 GDPR viene richiesto di riportare, ove possibile, i termini di conservazione dei dati personali e le misure di sicurezza adottate ai sensi dell’art. 8 LPD.
Risvolti pratici
Come per il GDPR, la non menzione nel registro della durata della conservazione dei dati o delle misure di sicurezza non esonera l’azienda dallo stabilire (e applicare): (i) i termini entro i quali i dati vanno distrutti o resi anonimi i dati personali (art. 6, capoverso 4 LPD); (ii) dei provvedimenti tecnico/organizzativi necessari per garantire un’adeguata protezione dei dati personali (art. 8, capoverso 1 LPD). Si suggerisce dunque di includere di default le informazioni sopra menzionate in aggiunta a quelle indicate alle lettere a)/b)/c)/d) e g) dell’art. 12 LPD.
Registro del Responsabile del Trattamento (art. 12, capoverso 3 LPD)
Contenuto
Il Responsabile del Trattamento è tenuto ad indicare:
- la sua identità e quella del Titolare per cui tratta i dati in veste di responsabile;
- le categorie di trattamenti eseguiti come responsabile;
- se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l’articolo 8 LPD;
- se i dati personali sono comunicati all’estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all’articolo 16 capoverso 2 LPD.
LPD/GDPR a confronto
L’art. 12 capoverso 3 prevede l’identificazione del solo responsabile e del titolare. Viceversa non viene espressamente richiesta l’indicazione della figura del consulente per la protezione dei dati (art. 10 LPD) e del rappresentante in Svizzera (art. 14 LPD) del Titolare ove nominati*.
Ciò a differenza di quanto previsto dall’art. 30 GDPR (che infatti prevede nel proprio registro l’indicazione dell’eventuale presenza del Data Protection Officer (nella LPD, consulente per la protezione dei dati) e del rappresentante nell’UE (nella LPD rappresentante in Svizzera).
Per il resto, la struttura del registro imposta dalla LPD si ispira a quella di cui all’art. 30 GDPR. La norma elvetica prevede infatti l’obbligo di indicare i medesimi elementi previsti dal GDPR (identificazione del responsabile/titolare e categorie di trattamenti), mentre richiede di indicare, solo se possibile, le misure di sicurezza adottate e la presenza di eventuali trasferimenti fuori dal territorio svizzero.
*le medesime considerazioni valgono per il registro del titolare del trattamento analizzato nel precedente paragrafo.
Risvolti pratici
Il requisito “categorie di trattamenti eseguiti come responsabile” (art. 12, capoverso 3 LPD) è una formulazione che può lasciare spazio a dubbi interpretativi. Per completezza, si suggerisce dunque di inserire sempre all’interno del registro sia lo scopo del trattamento, sia le categorie di interessati/categorie di dati personali trattati.
Articolo a cura di Valentina Marzorati | Legal Compliance Officer, Privacy Desk Suisse