Una guida per applicare quattro dei più importanti principi previsti nella nuova LPD | Legge sulla protezione dei dati in Svizzera


Nella nuova norma LPD svizzera sono presenti principi importanti, quattro sono quelli che Privacy Desk Suisse analizza all’interno dell’articolo. Fondamentale è conoscerli e analizzarli per capire come gestirli e come applicarli.


Lo scorso 25 settembre 2020 è stata formalmente approvata la legge federale sulla protezione dei dati (LPD), nata con lo scopo di allineare gli standard elvetici in materia di data protection a quelli europei sanciti dal Regolamento Europeo 2016/679 (GDPR).

In tale ottica ogni azienda svizzera che tratta dati personali sarà tenuta ad implementare molteplici processi tesi a dimostrare un adeguato livello di compliance. Ciò andrà fatto nel rispetto dei criteri guida fissati dal legislatore.

L’articolo di oggi di Privacy Desk Suisse ha lo scopo di analizzare quattro dei più importanti principi previsti dalla predetta norma e capire concretamente come applicarli.

I quattro principi generali

LICEITÀ

Trattasi di criterio cardine posto a base della LPD il quale stabilisce che “i dati personali devono essere trattati in modo lecito”. Ciò implica che ogni trattamento di dati personali deve essere basato su uno dei “motivi giustificativi” – basi legali per gli organi federali – menzionati all’interno della LPD tra cui, ad esempio: l’esecuzione di un contratto, la presenza di un consenso dell’interessato (a che i propri dati personali vengano trattati per una determinata finalità), la presenza di un obbligo legale che imponga, ovvero la presenza di una legge che dia il diritto/facoltà di svolgere un certo tipo di trattamento.

Come applicarlo:

Ogni Titolare del Trattamento è tenuto a verificare, prima di iniziare il trattamento, se lo stesso sia giustificabile in base ai motivi giustificativi menzionati nella LPD.

Ciò è importante non solo per documentare, ai fini della c.d. accountability aziendale, il rispetto del principio di liceità, ma anche per:

  • dimostrare agevolmente la corretta impostazione dei principali documenti che le aziende sono tenute ad implementare in base alla nuova LPD (ad esempio il registro del trattamento, le informative);
  • gestire efficacemente eventuali richieste degli interessati nell’esercizio dei diritti a loro spettanti in base alla LPD.
LIMITAZIONE DELLO SCOPO

La LPD prevede che i dati personali “possono essere raccolti solo per uno scopo determinato e riconoscibile per la persona interessata” e che gli stessi “possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo”.

Come applicarlo:

Il principio in questione, sul piano pratico, impone al Titolare una duplice azione che va svolta a monte del processo di compliance aziendale. Nello specifico occorrerà:

  • perimetrare con precisione lo scopo che si vuole perseguire con un determinato trattamento di dati personali;
  • comunicarlo agli interessati: il principale canale è quello dell’informativa privacy. Il concetto di “rendere riconoscibile tale finalità” si traduce nell’indicare all’interessato, con un linguaggio semplice e comprensibile, l’obiettivo che l’azienda si prefigge nel raccogliere i dati personali e le modalità con cui li tratterà per perseguire tali finalità. Una corretta ed esaustiva informazione nei confronti degli interessati – oltre che garantire la conformità alla LPD – consente anche di ridurre sensibilmente eventuali richieste di informazioni aggiuntive e/o esercizio di diritti da parte degli stessi.

Il principio di limitazione dello scopo impone non solo adempimenti in capo ai Titolari ma anche dei divieti ben precisi. Uno fra tutti è quello di non trattare i dati personali raccolti per finalità diverse rispetto a quelle comunicate agli interessati. Ciò comporta in concreto la necessità di aggiornare l’informativa a suo tempo predisposta con indicazione delle nuove finalità di trattamento perseguite, veicolarla agli interessati (e, ove necessario, richiedere apposito consenso).

LIMITAZIONE DELLA CONSERVAZIONE

La norma elvetica impone la distruzione e/o anonimizzazione dei dati personaliappena non sono più necessari per lo scopo del trattamento”. In altri termini, i dati non possono essere conservati a tempo indeterminato o comunque non determinabile a priori.

Come applicarlo:

La limitazione della conservazione impone una serie di adempimenti pratici in capo al Titolare tra cui:

  • stabilire a priori il termine di conservazione dei dati personali per ciascun scopo del trattamento. Ciò può avvenire basandosi su criteri di conservazione stabiliti dalla legge, dalle consuetudini e/o prassi di settore che consentono di giustificare più agevolmente le scelte fatte sul punto dall’azienda;
  • implementare i sistemi e database aziendali di modo che consentano il rispetto dei termini di conservazione dei dati personali in precedenza stabiliti. Si ricorda che il principio in esame impone, alla scadenza del predetto termine, una cancellazione e/o anonimizzazione dei dati da tutti gli archivi – sia digitali, sia informatici – a disposizione dell’azienda.
  • qualora il Titolare opti per l’anonimizzazione, occorrerà garantire che effettivamente i dati non siano più in alcun modo riconducibili ad una determinata persona fisica, la quale dunque non sarà più identificabile. Ad esempio, la conservazione di un codice cliente che consente – seppur con una serie di passaggi – di risalire al nominativo del cliente stesso contrasta con il principio di limitazione della conservazione sopra detto.
ESATTEZZA DEI DATI PERSONALI

La LPD richiede al Titolare di accertare l’esattezza dei dati personali raccolti. In tale ottica viene richiesto di adottare “tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati”. In altre parole, i database del Titolare devono essere sempre aggiornati ed eventualmente epurati da dati non necessari o non più necessari in base agli scopi del trattamento perseguiti.

La norma elvetica precisa inoltre che l’adeguatezza delle misure va valutata dal Titolare alla luce di diversi criteri ovvero “dal tipo e dall’entità del trattamento dei dati come pure dai rischi derivanti dal trattamento per la personalità o i diritti fondamentali della persona interessata”.

Come applicarlo:

Sul piano pratico, il principio dell’esattezza impone di considerare i seguenti aspetti durante il processo di compliance aziendale:

  • i sistemi/database ed in generale archivi devono essere strutturati – sia dal punto di vista tecnico che organizzativo – in modo tale da consentire un aggiornamento costante (o quantomeno periodico) dei dati personali raccolti;
  • la selezione delle misure da adottare da parte del Titolare richiede il preventivo svolgimento di un’analisi dei rischi, al fine di verificare l’impatto che le stesse hanno rispetto ai diritti/personalità degli interessati. Si consiglia dunque di svolgere un preventivo risk assessment che consentirà di ottemperare quanto richiesto dalla LPD e, contestualmente, di tutelare con maggiore efficacia l’azienda in caso di verifica ispettiva e/o richieste di informazioni da parte dell’autorità di controllo.

Ecco gli spunti di Privacy Desk Suisse su come applicare quattro dei principi fondamentali presenti nella nuova norma svizzera, la legge federale sulla protezione dei dati (LPD).

Articolo a cura di Valentina Marzorati | Legal Compliance Officer, Privacy Desk Suisse

Condividi:

Articoli recenti

LPD ANNUAL MEETING 2023

Il 30 novembre 2023 all’Hotel Splendide Royal ha avuto luogo la seconda edizione de LPD annual meeting. Argomento chiave dell’evento è stato l’Intelligenza Artificiale insieme

Trova altre notizie