A partire dal 1° gennaio 2026 entrerà in vigore la revisione totale della Legge cantonale sulla protezione dei dati del Cantone dei Grigioni (in seguito: nLCPD).
La legge attuale, in vigore dal 2002, ha subito da allora, solo modifiche puntuali. Tuttavia, negli ultimi vent’anni, lo scenario relativo alla protezione dei dati ha assistito a trasformazioni significative. La riduzione dei costi di archiviazione e l’espansione di Internet hanno facilitato la raccolta, la trasmissione e la conservazione dei dati personali attraverso la rete, in misura notevolmente maggiore rispetto al passato. Parallelamente, la dimensione transfrontaliera dei trattamenti di dati ha acquisito un’importanza crescente.
In risposta a questi cambiamenti tecnologici, sono apparse normative europee, tra cui il GDPR, e la Legge federale sulla protezione dei dati (LPD).
Questi sviluppi hanno reso necessario un adeguamento del diritto cantonale, anche al fine, di garantirne la conformità agli standard europei che la Svizzera si è impegnata a rispettare.
La modifica apportata alla LCPD è sostanziale, con un ampliamento del testo da 13 a 41 articoli.
Le principali modifiche
La legge attuale contiene numerosi rinvii alla legislazione federale (cfr. art. 1 cpv. 4, art. 2 cpv. 2/3, art. 4 cpv. 2 e art. 5 cpv. 3 LCPD). Una scelta che, sebbene consenta un adeguamento rapido alla normativa federale, rende il testo di difficile comprensione. Con la revisione, i rinvii vengono sostituiti da una regolamentazione autonoma, senza che ciò comporti, in linea di principio, requisiti più severi rispetto alla normativa precedente. Molte disposizioni della LPD sono, infatti, trasferite nel nuovo quadro giuridico cantonale senza modifiche sostanziali.
Si segnalano alcune differenze nella terminologia utilizzata, le quali non modificano, tuttavia, il contenuto materiale della legge. Un esempio significativo è il termine “profili della personalità” (cfr. art. 3 cpv. 4 e 8 cpv. 1 nLCPD), che corrisponde alla definizione di “profilazione a rischio elevato” impiegata dalla LPD.
A partire dal 2026, gli enti pubblici cantonali, regionali e comunali dovranno conformarsi a una serie di nuovi obblighi, che riprendono quelli già previsti dalla normativa federale. Tra i principali figurano:
- Art. 5 nLCPD – il Governo emanerà disposizioni sui requisiti minimi in materia di sicurezza dei dati;
- Art. 9 nLCPD – se un Titolare del trattamento affida ad un responsabile esterno dei trattamenti dati dovrà accertare la sicurezza dei dati;
- Art. 19 nLCPD: Obbligo di effettuare una valutazione d’impatto (DPIA) per i trattamenti di dati che comportano un alto rischio per i diritti fondamentali delle persone interessate (cfr. art. 22 LPD);
- Art. 20 nLCPD: Determinate iniziative di trattamento dei dati personali, che comportano un alto rischio per i diritti fondamentali delle persone interessate, devono essere sottoposte all’organo di vigilanza (Incaricato Privacy Cantonale) per una consultazione preliminare (cfr. art. 23 LPD);
- Art. 21 nLCPD: L’organo di vigilanza (Incaricato Privacy Cantonale) deve essere informato al più presto in caso di violazioni (Data Breach) che comportano un rischio verosimile per i dati delle persone interessate. In determinati casi, anche le persone interessate dovranno essere informate (cfr. art. 24 LPD).
- Art. 24 nLCPD: L’interessato avrà diritto ad una risposta entro 30 gg. dalla richiesta anche in tema di origine del dato e sua conservazione.
A differenza della LPD, che agli articoli 10 e 12 impone a tutti gli enti pubblici federali di tenere un registro delle attività di trattamento dei dati e di nominare un consulente per la protezione dei dati (CPD/DPO), nel Cantone dei Grigioni tali obblighi si applicheranno solo agli enti pubblici che rientrano nell’ambito della Direttiva UE 2016/680; ossia polizia, pubblici ministeri, ecc. Va notato che questa regola non si evince esplicitamente dagli articoli 22 e 23 della nuova LCPD, i quali si limitano a menzionare “gli organi pubblici designati dal Governo”. Al momento, non esiste un elenco preciso. Tuttavia, nel Messaggio relativo, il Governo grigionese ha chiarito che l’obbligo riguarderà esclusivamente gli enti pubblici inclusi nell’ambito degli accordi di Schengen.
La nuova normativa affronta anche una problematica frequentemente riscontrata nella pratica: le condizioni per l’installazione di telecamere da parte dei comuni. Il diritto degli enti pubblici alla sorveglianza mediante acquisizione di immagini dello spazio pubblico è regolato dagli articoli 14 e 15 della nuova legge.
Infine, la revisione accresce significativamente l’importanza dell’organo cantonale di vigilanza (Garante Privacy): Sono dieci gli articoli del testo di legge dedicati a quest’autorità (cfr. art. 30-39 nLCPD). L’indipendenza dell’incaricato cantonale è rafforzata con l’elezione per un mandato di quattro anni revocabile solo per motivi eccezionali (art. 32 nLCPD). I poteri dell’autorità di vigilanza sono, altresì, accresciuti. Essa avrà facoltà di emanare decisioni impugnabili e non solo più semplici raccomandazioni (art. 37 nLCPD). Finalmente, l’incaricato avrà l’obbligo di redigere un rapporto pubblico annuale sulle proprie attività (art. 38 nLCPD).
Per maggiori approfondimenti si segnalano i seguenti documenti consultabili pubblicamente:
Articolo a cura di Alberto Barzaghi | Jr Legal Compliance Consultant, Privacy Desk Suisse
