Trasferimento dati extra svizzera: l’importanza delle normative

Nella tappa di aprile il nostro sguardo è rivolto oltre confine, i punti da analizzare sono i seguenti:

  • Quando devo applicare normative privacy di paesi fuori Svizzera?
  • In che modo posso svolgere in sicurezza il trasferimento di dati extra confederazione?
  • Quando è fondamentale svolgere l’analisi dei rischi rispetto ai trattamenti mappati?
  • La valutazione d’impatto quando è da svolgere?

Applicazione di normative privacy diverse dalla LPD

Andiamo ad analizzare in primis quali sono gli step da compiere per valutare un eventuale applicazione di normative privacy diverse dalla Legge Federale sulla protezione dei dati (LPD). Compilati i registri dei trattamenti e svolte le valutazioni rispetto ai processi aziendali che hanno ad oggetto tematiche privacy, l’azienda deve valutare ed analizzare l’eventuale applicabilità di normative diverse dalla LPD. Una su tutte il Regolamento generale sulla protezione dei dati n. 2016/679 (GDPR).

L’azienda dovrà andare ad analizzare, in base ai trattamenti svolti, se vi siano le condizioni necessarie ai fini di attrattività di una norma differente da quella in vigore all’interno della confederazione. Nel caso specifico del GDPR, le aziende svizzere dovranno analizzare l’attrattività della normativa Europea per i trattamenti svolti nel contesto del loro business. In forza dell’art. 3 cpv. 2 GDPR, un’azienda svizzera che offre servizi o prodotti a interessati nell’Unione Europea, oppure effettua il monitoraggio del loro comportamento deve valutare anche l’applicazione del GDPR oltre che della LPD.

Trasferimenti di dati extra confederazione

In secondo luogo, dobbiamo poi analizzare i trasferimenti di dati extra confederazione, quindi le comunicazioni di dati dalla Svizzera verso paesi fuori territorio confederale. La LPD prevede una serie di regole che devono essere rispettate per garantire la sicurezza dei dati che escono dalla Svizzera. Un elemento che ci può aiutare è l’allegato 1 all’Ordinanza relativa alla Legge federale sulla Protezione di Dati che presenta un elenco dei paesi che il Consiglio Federale ha riconosciuto come sicuri poiché garantiscono un adeguato standard di sicurezza con riferimento alla protezione dei dati.

Nel momento in cui il trasferimento di dati avviene verso paesi al di fuori dell’elenco di paesi considerati sicuri dobbiamo valutare quali sono gli altri istituti, meccanismi alternativi che possono aiutarci a garantire la protezione dei dati personali trasferiti fuori dal territorio svizzero. Entrano in gioco le Standard Contractual Clauses (SCC) riconosciute dal Consiglio federale come meccanismo per regolare questi flussi di dati transfrontalieri.

Analisi dei rischi

Fondamentale, in questo caso, è effettuare un’analisi dei rischi rispetto ai trattamenti che abbiamo mappato all’interno del nostro registro dei trattamenti redatto in qualità del titolare del trattamento. In sostanza bisogna esaminare punto per punto, seguendo degli standard prestabiliti, il rischio che un trattamento può avere rispetto ai diritti e le libertà fondamentali degli interessati. Da quest’ultima analisi residuerà se è presente un rischio basso, un rischio medio o un rischio elevato.

Valutazione d’impatto sulla protezione dei dati personali

Per tutti quei trattamenti che comportano un rischio elevato è importante capire se ci sono altre valutazioni che è necessario effettuare, come ad esempio una valutazione di impatto sulla protezione dei dati personali che deve essere condotta in particolar modo quando siamo in presenza di un trattamento che prevede l’utilizzazione di nuove tecnologie, un trattamento su grande scala di dati personali degni di particolare protezione, la sorveglianza sistematica di ampi spazi pubblici. Ricordiamo che il rischio elevato risulta anche dal tipo, dall’entità, dalle circostanze e dallo scopo del trattamento.  A seconda della gravità dell’impatto è opportuno valutare le successive azioni da svolgere come, ad esempio: prevedere delle misure di mitigazione del rischio o eventualmente consultare il nostro consulente per la protezione dei dati personali / Data Protection Officer oppure l’Incaricato Federale nei casi più estremi o nei casi in cui l’azienda non ha individuato e nominato un DPO.

Vi aspettiamo alla prossima tappa della Road map verso l’entrata in vigore della nuova Legge sulla Protezione dei dati Svizzera dove analizzeremo le redazioni dei vari documenti che un’azienda svizzere deve avere per essere compliance alla nLPD.

Condividi:

Articoli recenti

Trova altre notizie

Tutte le notizie

Richiedi consulenza

Per ricevere informazioni sui nostri servizi compila il modulo di contatto qui a fianco e un nostro incaricato ti contatterà al più presto.

+41 91 921.00.38

info@privacydesk.ch

Cliccando su INVIA Lei dichiara di aver preso visione dell'informativa privacy per finalità a) e b) — informativa ai sensi della LPD.

© 2024 Privacy Desk Suisse SA. Tutti i diritti riservati.    |   Privacy Desk Suisse SA    |   6900 Lugano, Corso Elvezia n. 16  |   Privacy Notice    |   Cookie Policy