L’IFPDT ha indicato i requisiti e le linee guida sul trasferimento di dati personali ai territori extra Svizzera, tra questi le SCCs UE sono state riconosciute come strumento per il trasferimento dei dati verso paesi terzi in conformità al GDPR. Ma quali altre modifiche vengono apportate con l’entrata in vigore della nuova LPD?
Il 27 agosto 2021, l’Incaricato Federale per la Protezione dei Dati e della Trasparenza (IFPDT) ha pubblicato le linee guida sul trasferimento di dati personali dal territorio elvetico verso paesi privi di garanzie adeguate per la tutela dei diritti e delle libertà degli interessati.
I dati personali possono essere trasferiti in paesi non adeguati?
In linea generale, il diritto svizzero non ammette i trasferimenti di dati personali in paesi ritenuti non adeguati (la lista dei paesi non adeguati è disponibile sul sito del IFPDT). Tuttavia, la Legge federale sulla Protezione dei Dati Personali (LPD) riconosce questa possibilità, qualora sussistano determinate circostanze. Ad esempio, la comunicazione di dati è consentita qualora:
- vi siano garanzie sufficienti, segnatamente contrattuali, che assicurano una protezione adeguata all’estero
- la persona interessata abbia dato il suo consenso nel caso specifico
- il trattamento sia in relazione diretta con la conclusione o l’esecuzione di un contratto e i dati trattati concernono l’altro contraente
- la persona interessata abbia reso i dati accessibili a chiunque e non si sia opposta formalmente al loro trattamento
Notifica all’IFPDT del trasferimento di dati
Secondo l’attuale LPD, il trasferimento di dati personali all’esterno della confederazione deve essere notificato all’IFPDT, prima del suo inizio. Ciò in quanto l’Incaricato Federale è tenuto a verificare se le garanzie contrattuali previste per il trasferimento siano conformi alla LPD e, in tal caso, a concedere la relativa approvazione. In alternativa, è possibile “evitare” l’esame dell’IFPDT qualora l’esportatore ricorra a modelli contrattuali e clausole standard, che siano già riconosciute come adeguate dall’Incaricato. In tale caso, l’esportatore non deve notificare tali garanzie, all’IFPDT, ma soltanto informarlo che intende procedere al loro utilizzo.
Al contrario, la nuova LPD, che entrerà in vigore dal 1° gennaio 2023, non prevede più l’obbligo di informare l’IFPDT qualora vengano utilizzati modelli contrattuali e clausole contrattuali standard. Pertanto, per permettere ai titolari del trattamento di trasferire in modo più agevole dati all’estero, diventa importante ricorrere a questo tipo di soluzioni.
I modelli e le clausole contrattuali standard riconosciute dall’IFPDT
Ad oggi, l’Incaricato Federale ha riconosciuto come adeguati alla LPD:
- le standard contractual clauses (SCCs) elaborate dalla Commissione Europea (nella loro versione più aggiornata, al 4 giugno 2021)
- il contratto modello per l’esternalizzazione (outsourcing) di trattamenti di dati all’estero (del 21 novembre 2014)
- i modelli contrattuali elaborati dal Consiglio d’Europa
Aspetti applicativi
Ad una prima lettura, può non sembrare immediato il motivo per cui venga autorizzato, dall’Incaricato Federale, il ricorso alle SCCs europee per autorizzare il trasferimento di dati personali dalla confederazione verso paesi terzi non adeguati. Ciò in quanto i paesi aderenti allo Spazio Economico Europeo beneficiano già della decisione di adeguatezza svizzera e non richiedono, dunque, il ricorso a SCCs.
Il motivo risiede, dunque, nell’eventualità che alcuni dati personali oggetto di esportazione siano soggetti al GDPR, il regolamento europeo relativo alla protezione dei dati delle persone fisiche.
In linea generale, infatti, ai trasferimenti di dati dalla Svizzera, operati da titolari del trattamento con sede nella confederazione, si applica la normativa federale, quindi la LPD.
Eccezionalmente, invece, può trovare applicazione anche il GDPR che, in forza del suo art. 3, par. 2, si applica anche al di fuori dei confini europei, “quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi [agli] interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.”
Come può il titolare del trattamento tutelarsi per trasferire i dati in modo conforme alla LPD?
In questo caso, l’Incaricato Federale indica sostanzialmente due alternative:
- la prima prevede di regolare il trasferimento di dati delle persone private svizzere ai sensi della LPD e di disciplinare il trasferimento dei dati degli interessati europei ai sensi del GDPR. Secondo questo approccio, il titolare del trattamento, deve quindi ricorrere a due separati modelli contrattuali;
- la seconda, invece, prevede di utilizzare un unico modello contrattuale, ossia le SCCs europee, e di integrarle con alcuni accorgimenti che le rendano applicabili anche ai cittadini svizzeri come, ad esempio, la previsione che le medesime clausole siano applicabili, nella loro interezza, anche alle persone private svizzere.
Queste linee guida hanno il pregio di dare uno spunto operativo a tutti i titolari del trattamento, tenuto anche conto del fatto che sono numerose le realtà aziendali che trattano dati di persone private non residenti in Svizzera, oppure di società aventi sedi all’esterno della confederazione.
Articolo a cura di Gianfranco Valsecchi | Legal Compliance Officer , Privacy Desk Suisse
