Quali diritti per l’interessato con la nuova LPD? Diritto d’accesso e diritto alla portabilità a confronto con il GDPR

Con la nuova normativa LPD in Svizzera vengono riconosciuti al soggetto interessato nuovi diritti, come ad esempio la portabilità dei propri dati. Il fattore interessante è che i diritti svizzeri ricalcano in parte quelli già riconosciuti dalla normativa privacy europea.

La nuova normativa privacy svizzera (Legge federale sulla Protezione dei Dati – LPD) riconosce in capo al soggetto interessato dal trattamento alcuni diritti. È ad esempio prevista la possibilità di chiedere al titolare del trattamento di accedere ai propri dati personali, il diritto di ottenerne la modifica e la cancellazione.

L’interessato ha poi il diritto di essere informato in merito al trattamento, ad esempio, conoscendo l’identità del titolare, lo/gli scopo/i del trattamento, i termini di conservazione previsti, ecc.

Segnaliamo, inoltre, che la LPD riconosce un nuovo diritto, rispetto alla sua precedente versione, ossia quello alla portabilità dei propri dati, consistente nella possibilità di ricevere copia dei propri dati o di esigerne la loro trasmissione a terzi.

I diritti previsti dalla LPD, incluso il diritto alla portabilità, ricalcano in buona parte quelli già riconosciuti dalla normativa privacy europea (in particolare il Regolamento Generale sulla Protezione dei Dati Personali – GDPR). In questo articolo prenderemo in esame il diritto di accesso ed il diritto alla portabilità, all’interno sia della LPD che del GDPR e cercheremo di vedere quali sono i punti di contatto, le possibili differenze e le relative implicazioni pratiche per il titolare del trattamento.

Diritto di accesso

Nella LPD

La LPD, in materia di diritto d’accesso dell’interessato ai propri dati personali, stabilisce che “Chiunque può domandare al titolare del trattamento se dati personali che lo concernono sono oggetto di trattamento”. Qualora l’interessato eserciti il proprio diritto di accesso, il titolare deve comunicargli le informazioni principali relative al trattamento, tra cui rientrano:

  • L’identità e i dati di contatto del titolare del trattamento
  • I dati personali trattati
  • Lo scopo del trattamento
  • La durata di conservazione dei dati
  • L’origine dei dati personali, nel caso in cui gli stessi non siano stati raccolti direttamente presso l’interessato
  • Laddove presente, il titolare deve informare l’interessato dell’esistenza di una decisione individuale automatizzata e della logica su cui si fonda tale decisione
  • Laddove presenti, i destinatari o le categorie di destinatari cui sono comunicati dati personali

Il titolare del trattamento è tenuto a fornire le informazioni richieste anche se alcune attività di trattamento sono state svolte da un responsabile del trattamento. Ciò in quanto, al pari del GDPR, nella LPD il responsabile opera sotto l’autorità del titolare e su istruzione dello stesso. Segnaliamo che questo è un aspetto interessante del concetto di c.d. accountability (o responsabilizzazione dei titolari), che non era presente nella precedente versione della LPD.

Il titolare del trattamento fornisce gratuitamente le informazioni richieste dall’interessato, nel termine di 30 giorni dalla data di ricezione della richiesta. Il titolare può opporsi in limitate circostanze, motivando il proprio rifiuto. Ad esempio, nel caso in cui sia un’azienda privata, il titolare può rifiutare l’accesso ai dati quando è vietato per legge; oppure sussistono interessi preponderanti propri o di terzi; oppure, ancora, la richiesta di accesso è manifestamente infondata, o se persegue uno scopo contrario alla normativa per la protezione dei dati personali.

Nel GDPR

Come abbiamo anticipato, il diritto di accesso è riconosciuto all’interno del GDPR con modalità sostanzialmente identiche a quelle previste dalla LPD.

Infatti, anche il GDPR riconosce all’interessato il diritto di “ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni [relative al trattamento]”: finalità del trattamento; categorie di dati personali trattate; destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se questi si trovano in paesi terzi all’Unione Europea; periodo di conservazione dei dati personali.

Tuttavia, rispetto alla LPD, il GDPR prevede che nell’esercizio del diritto d’accesso l’interessato debba essere informato, dal titolare, anche:

  • dell’esistenza del diritto di chiedere (sempre al titolare del trattamento) la rettifica o la cancellazione dei propri dati, la limitazione del trattamento o l’opposizione al loro trattamento;
  • del diritto di proporre reclamo a un’autorità di controllo;
  • in caso di processo decisionale automatizzato, dell’importanza e le conseguenze per l’interessato che tale trattamento può comportare. Ricordiamo che nellaLPD il titolare è tenuto solo ad informare l’interessato della logica utilizzata in tale processo;
  • qualora i dati dell’interessato siano trasferiti in un paese extra UE, dell’esistenza di garanzie adeguate relative al trasferimento.

Infine, il GDPR specifica che, per soddisfare l’esercizio del diritto d’accesso dell’interessato, il titolare è tenuto a fornire una copia cartacea o elettronica dei dati personali oggetto di trattamento (mentre la LPD non entra nel merito di questo aspetto). La copia elettronica può essere fornita solo se l’interessato presenta la richiesta d’accesso mediante mezzi elettronici (e-mail) e non chieda espressamente di riceverla in formato cartaceo.

Aspetti pratici

Garantire all’interessato l’esercizio del proprio diritto d’accesso nei termini e secondo le modalità sopra previste è un importante banco di prova per il titolare, per dimostrare la propria accountability alla LPD.

Ricordiamo, infatti, che le informazioni richieste dalla LPD sono sostanzialmente le medesime che il titolare dovrebbe già fornire all’interessato all’interno dell’informativa, quali ad esempio: categorie di dati raccolti, scopo, origine dei dati (qualora non siano raccolti direttamente presso l’interessato), eventuali categorie di destinatari, ecc.

Inoltre, sarà importante per il titolare verificare il rispetto della data retention stabilita in precedenza e la procedura adottata per assicurare la cancellazione di tali dati, una volta decorsi i termini. Infatti, una volta che il titolare abbia già cancellato i dati dell’interessato per il decorso dei termini di conservazione, egli sarà tenuto a dare questo tipo di riscontro all’interessato ed essere pronto a dimostrarlo anche sul piano documentale. Diversamente, il titolare rischierebbe la violazione della LPD per il mancato rispetto dei tempi di conservazione del dato.

Una volta definiti chiaramente tutti questi aspetti preliminari del trattamento, si suggerisce di adottare una procedura specifica per consentire agli interessati il diritto di accesso, in modo da poter garantire una rapida ed efficace gestione delle richieste (ricordiamo infatti che generalmente il titolare dovrà evadere la richiesta dell’interessato entro 30 giorni dal suo ricevimento). In particolare tale procedura dovrà:

  • a seconda del tipo di trattamento, del numero di interessati coinvolti e della struttura organizzativa del titolare, prevedere quali saranno le figure incaricate della gestione delle richieste d’accesso. Le risorse interne alla propria organizzazione andranno debitamente formate e dovranno ricevere specifiche istruzioni. Nel caso in cui si ricorra ad un soggetto esterno alla propria organizzazione, individuare quello più adatto e gestire il relativo contratto di nomina. Si raccomanda di verificare che il fornitore scelto offra adeguate garanzie in termini di misure di sicurezza e di trasferimenti al di fuori del territorio elvetico.
  • essere configurata in modo tale da gestire in maniera efficiente le richieste. A tale scopo si suggerisce di creare un canale dedicato per la raccolta e la gestione delle richieste ma, a seconda delle dimensioni dell’organizzazione del titolare, può essere sufficiente anche utilizzare l’eventuale unico contatto fornito a fini privacy (ad esempio, indirizzo e-mail dedicato).

Diritto alla portabilità

Nella LPD

Nella LPD il diritto alla portabilità riconosce il diritto per l’interessato ad “esigere che i dati personali che lo concernono e che ha comunicato al titolare del trattamento gli siano consegnati in un formato elettronico usuale” in presenza di due condizioni. La prima prevede che il titolare tratti i dati personali in modo automatizzato. La seconda che il trattamento sia effettuato in base al consenso dell’interessato, oppure per la conclusione o l’esecuzione di un contratto tra il titolare e l’interessato stesso.

Altro aspetto rilevante della portabilità dei dati è il diritto per l’interessato a che “il titolare del trattamento trasmetta a un altro titolare del trattamento i dati personali che la concernono”. A questo scopo, la LPD richiede che siano rispettate le due condizioni di cui sopra e che tale trasferimento non richieda un onere sproporzionato.

È importante segnalare che al momento la LPD non offre una definizione di onere sproporzionato. Generalmente la trasmissione dei dati deve avvenire gratuitamente ed il titolare può opporvisi solo in limitate circostanze motivando il proprio rifiuto.

Nel GDPR

In materia di diritto alla portabilità, il GDPR richiede qualche onere ulteriore per il titolare, rispetto alla LPD. I dati non devono essere trasmessi soltanto in un formato “usuale”, ma più nello specifico tale formato deve essere strutturato, di uso comune e leggibile da dispositivo automatico. Inoltre, il titolare non può opporsi al trasferimento ad un altro titolare qualora il trattamento si basi sul consenso dell’interessato o su un contratto e tale trattamento sia svolto con mezzi automatizzati. Ne deriva che:

  • il titolare potrebbe opporsi al trasferimento qualora il trattamento si basi su una delle altre basi giuridiche come, ad esempio, il suo legittimo interesse;
  • rispetto a quanto previsto nella LPD, lo sforzo sproporzionato non esime, di per sé, il titolare dalla trasmissione dei dati richiestagli.

Infine, in maniera analoga alla LPD, anche il GDPR prevede il diritto per l’interessato a che il titolare trasmetta i propri dati personali direttamente ad un altro titolare del trattamento, qualora ciò sia tecnicamente fattibile, in relazione alla tecnologia disponibile e necessaria per entrambi i Titolari (mittente e destinatario).

Aspetti pratici

Gli adempimenti previsti per soddisfare le richieste di portabilità sono minori rispetto a quelli richiesti dal diritto d’accesso, ma non possono prescindere dall’attenta verifica del rispetto dei principi generali della LPD, da parte del titolare.

Anche in questo caso si suggerisce al titolare l’adozione di una procedura specifica per la corretta gestione delle richieste di portabilità, che rispecchi le caratteristiche descritte nel paragrafo precedente relativo al diritto d’accesso. Quindi, tenuto conto in particolare della struttura della propria organizzazione, degli interessati coinvolti e dei dati trattati, andranno individuati i soggetti preposti a tale attività, che andranno debitamente formati. Nel caso in cui l’interessato richieda il trasferimento dei dati ad un altro titolare, inoltre, particolare attenzione andrà dedicata alle misure tecniche e di sicurezza da adottare nel trasferimento. Andrà inoltre verificato che il titolare risieda sul territorio elvetico oppure che si trovi all’estero.

In assenza di indicazioni da parte del Legislatore o dell’autorità di controllo elvetica, un utile riferimento interpretativo può essere quello offerto dalla normativa europea, che promuove lo sviluppo di formati interoperabili da parte dei titolari.

Dal punto di vista pratico, dunque, si suggerisce al titolare di utilizzare formati aperti di impiego comune, come ad esempio: XML (eXtensible Markup Language), JSON (JavaScript Object Notation), CSV (comma-separated values), ecc..

La normativa svizzera e quella europea, quindi, presentano una sostanziale analogia in materia di diritto d’accesso e di diritto alla portabilità dei dati personali dell’interessato.

Questo rende possibile trarre alcuni spunti utili dalla normativa europea già applicata sul territorio europeo dal 2018, per la creazione di una procedura per la corretta raccolta e gestione delle richieste degli interessati. In particolare: la preliminare analisi del trattamento, in ottica di accountability, sulla liceità, necessità e proporzionalità; la corretta, completa e trasparente informazione dell’interessato sul trattamento; l’individuazione dei soggetti interni alla propria organizzazione incaricati per la presa in carico e la gestione di tali richieste; in caso di outsourcing di tali attività, la scelta e la gestione del rapporto con gli eventuali fornitori; il rispetto del termine di 30 giorni (solo per il diritto d’accesso); la verifica e l’adozione di specifiche misure tecniche e di sicurezza per la trasmissione dei dati ad altro titolare (solo nel caso in cui l’interessato eserciti il proprio diritto alla portabilità in tal senso).

Articolo a cura di Gianfranco Valsecchi | Legal Compliance Officer

Condividi:

Articoli recenti

Trova altre notizie

Tutte le notizie

Richiedi consulenza

Per ricevere informazioni sui nostri servizi compila il modulo di contatto qui a fianco e un nostro incaricato ti contatterà al più presto.

+41 91 921.00.38

info@privacydesk.ch

Cliccando su INVIA Lei dichiara di aver preso visione dell'informativa privacy per finalità a) e b) — informativa ai sensi della LPD.

© 2024 Privacy Desk Suisse SA. Tutti i diritti riservati.    |   Privacy Desk Suisse SA    |   6900 Lugano, Corso Elvezia n. 16  |   Privacy Notice    |   Cookie Policy