La nuova legge federale sulla protezione dei dati (LPD) impone una serie di adempimenti innovativi, rispetto al passato, tesi a responsabilizzare le aziende elvetiche in un’ottica di “approccio basato sul rischio” anche in materia di protezione dei dati personali (che costituisce colonna portante della normativa privacy europea ed in particolar modo del Regolamento 2016/679 – GDPR).
L’articolo di oggi analizza una delle attività di compliance privacy più rappresentative del principio sopra detto ovvero la valutazione d’impatto sulla protezione dei dati dalla LPD (ultima versione pubblicata sul foglio federale).
1. Cos’è la Valutazione d’impatto sulla protezione dei dati?
La Valutazione d’impatto è un processo che mira a descrivere un determinato trattamento di dati personali, a stabilire il rischio che quest’ultimo comporti rispetto alla personalità e/o ai diritti fondamentali dell’interessato ed a illustrare i provvedimenti adottati a tutela di quest’ultimo soggetto.
È un documento fondamentale ai fini della c.d. accountability aziendale. Lo stesso mira infatti a dimostrare non solo la conformità alla LPD ma anche le valutazioni che sono state condotte dal Titolare sulla necessità/proporzionalità del trattamento rispetto agli obiettivi che si vogliono perseguire. Trattasi dunque di uno strumento di analisi “di fattibilità” particolarmente efficace sia lato privacy, sia in termini di business/raggiungimento degli obiettivi aziendali.
2. Quando e come svolgerla?
Regole fondamentali – ipotesi tassative
La nuova LPD fissa i principi fondamentali a cui deve attenersi il Titolare nonché alcune ipotesi in cui quest’ultimo è tenuto a procedere con la valutazione d’impatto. Dalla loro combinata analisi emerge che tale valutazione:
- va svolta prima di iniziare il trattamento. Tale aspetto è di fondamentale importanza per le aziende chiamate ad implementare nuove attività e/o progetti che interessano anche dati personali. Viceversa per i trattamenti già in essere (ed in assenza di una previsione di tale natura nella vecchia versione della LPD) si suggerisce di procedere quanto prima con tale valutazione
- può essere eseguita su più operazioni di trattamenti simili. La norma non chiarisce cosa si intende per simile: nell’ottica perseguita dal legislatore svizzero di armonizzarsi con le previsioni GDPR, si ritengono simili i trattamenti che per tipo, entità, circostanze e scopo del trattamento presentano “rischi elevati analoghi”
- va svolta quando il rischio risulta elevato. La norma prevede che il rischio sia tale quando:
- sono presenti trattamenti su larga scala di dati personali degni di particolare protezione (es. dati concernenti la salute e dati biometrici). La norma non dà indicazioni su cosa si intenda per larga scala. In questa fase e sempre basandosi sull’obiettivo di armonizzazione della LPD alla normativa privacy europea, si suggerisce di riferirsi al GDPR, il quale definisce trattamenti su larga scala quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati […]”
- sorveglianza sistematica di ampi spazi pubblici
Si precisa che le casistiche sopra analizzate non esauriscono le ipotesi di trattamenti da sottoporre necessariamente a valutazione d’impatto. A riprova di la LPD invita il Titolare ad “accendere un campanello d’allarme” ad esempio qualora il trattamento si basi sull’utilizzo di tecnologie innovative ritenute potenzialmente invasive della personalità/diritti fondamentali per l’interessato.
Deroghe all’obbligo di procedere ad una valutazione d’impatto
La norma consente al Titolare del trattamento di non procedere con tale adempimento nonostante la presenza dei criteri sopra analizzati qualora:
- il trattamento sia posto in essere per ottemperare ad un obbligo legale
- se l’azienda effettua il trattamento mediante un sistema, prodotto o servizio che dispone di un’idonea certificazione, oppure se aderisce ad un codice di condotta basato su una precedente valutazione d’impatto sottoposta all’Incaricato Federale per la Protezione dei dati. Da un punto di vista pratico, questo aspetto è di cruciale importanza nella selezione dei provider di sistemi/prodotti/servizi in quanto, in presenza dei requisiti appena detti, il Titolare sarebbe esonerato dall’effettuare una valutazione d’impatto.
3. Considerazioni conclusive
LPD/GDPR a confronto
Come anticipato, la valutazione d’impatto prevista nella nuova LPD è nell’ottica di armonizzazione rispetto agli standard europei stabiliti dal GDPR.
La norma elvetica è tuttavia più snella in quanto:
- le ipotesi indicate nella LPD sono molto più contenute rispetto a quanto previsto dalla normativa privacy europea. Il GDPR prevede infatti l’indicazione di casistiche. Inoltre, ogni Stato europeo ha la facoltà di redigere elenchi di dettaglio sui trattamenti da sottoporre o meno a valutazione d’impatto.
- Non viene previsto l’obbligo di chiedere – ove designato – un parere al consulente per la protezione dei dati a differenza di quanto previsto dal GDPR, che prevede una consultazione con il Data Protection Officer in merito alla valutazione d’impatto condotta dal Titolare.
Aspetti pratici
La LPD, a differenza di quanto previsto dal GDPR, non prevede un obbligo di riesame della valutazione d’impatto. La best practice suggerita è quella di procedere periodicamente ad una sua revisione, in particolar modo qualora insorgano variazioni del rischio e dunque dell’impatto che un trattamento ha sull’interessato.
Infine, dal punto di vista metodologico, il legislatore svizzero non ha indicato/suggerito specifici strumenti per predisporre la DPIA stessa. Viene dunque lasciata facoltà al Titolare di individuare le modalità di predisposizione più idonee in ragione dello scopo da perseguire. Attualmente si consiglia di avvalersi di tool accreditati quali, ad esempio quello dall’autorità garante francese (Commission nationale de l’informatique et des libertés o CNIL) liberamente scaricabile dal sito https://www.cnil.fr.
Articolo a cura di Valentina Marzorati | Legal Compliance Officer, Privacy Desk Suisse
