La nuova legge svizzera sulla protezione dei dati
Dopo decenni di dibattiti, il primo settembre 2023 sono entrate in vigore in Svizzera le modifiche alla legge federale sulla protezione dei dati personali (LPD). Tali modifiche sono interessanti non solo per i diversi punti di contatto con il GDPR, ma anche per i risvolti che ne discendono per le aziende italiane.
Come il GDPR, la nuova LPD si prefigge di tutelare i dati personali delle persone fisiche attraverso una maggiore trasparenza nei confronti delle persone interessate e la responsabilizzazione (principio di accountability) delle aziende (Data Controller o Data Processor del trattamento) con conseguenti obblighi di legge nei loro confronti.
Sono introdotte alcune importanti novità, tra cui i principi di “Privacy by Design” e di “Privacy by Default”, già noti nel GDPR. Il primo principio implica la necessità di tutelare i dati fin dalla progettazione dei sistemi che ne prevedono la raccolta e l’utilizzo, mentre il secondo prevede che, per impostazione predefinita, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
La nuova LPD postula, inoltre, la conduzione di analisi d’impatto in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate. Ciò significa che, in presenza di situazioni particolarmente sensibili (es. trattamento complesso di dati personali di soggetti c.d. “vulnerabili”), è necessario condurre un’indagine più approfondita sulla raccolta e sul trattamento dei dati personali per valutarne i rischi e prevenire eventuali violazioni lesive nei confronti degli interessati coinvolti.
Un’altra novità rilevante riguarda l’obbligo, al ricorrere di determinate condizioni, di allestire un registro delle attività di trattamento dei dati. Questo registro deve contenere informazioni dettagliate sul trattamento dei dati personali, inclusi i dati del titolare e le categorie di dati personali trattati, così come la finalità del trattamento.
È previsto poi l’obbligo di notifica in caso di violazione della sicurezza dei dati. Tale notifica deve essere inoltrata all’Autorità garante elvetica competente, ovvero l’Incaricato federale per la protezione dei dati e per la trasparenza (IFPDT).
Infine, la nuova legge sulla protezione dei dati prevede sanzioni pecuniarie per i privati fino a 250.000 franchi, a condizione che le azioni o le omissioni commesse siano intenzionali. Non sono invece punibili le azioni o le omissioni colpose. L’applicazione delle sanzioni è prevista poi solo per inadempimenti specifici, quali l’omissione delle informazioni che dovrebbero essere fornite agli interessati, la fornitura di informazioni false o inesatte all’autorità di controllo, la violazione degli obblighi previsti per il trasferimento dei dati all’estero, per la comunicazione di dati a responsabili del trattamento o in materia di sicurezza.
Stesse sanzioni sono previste per l’illecita divulgazione dati coperti dal segreto professionale nonché per l’inosservanza delle decisioni dell’autorità di controllo.