Newsletter 4/2020: Conclusione della revisione totale della legge federale sulla protezione dei dati (LPD)


Visione d'insieme Dopo anni di continue discussioni, il Parlamento svizzero ha finalmente appianato le ultime divergenze nell'ambito della sua votazione finale del 25 settembre 2020, e ha approvato dunque la revisione totale della Legge federale sulla protezione dei dati (LPD). Con la presente siamo lieti di poterVi fornire brevemente alcune informazioni sul contesto del disegno di legge e, soprattutto, sulle sue novità più importanti. La revisione totale della Legge federale sulla protezione dei dati (risalente al 1992) si prefigge lo scopo di adeguare tale normativa, ormai obsoleta, alle condizioni sociali e tecnologiche odierne, e di avvicinarla alle più recenti e moderne normative vigenti in Europa in materia di protezione dei dati (in particolare all'EU-GDPR). Nell'ambito della revisione, i seguenti quattro aspetti erano centrali: Aumentare la trasparenza e rafforzare i diritti degli interessati; Promuovere la prevenzione e la responsabilità individuale da parte di chi tratta dati personali; Rafforzare la vigilanza in materia di protezione dei dati; Ampliare la portata delle disposizioni penali. Di conseguenza, in futuro si renderà necessario il rispetto di disposizioni più severe per il trattamento di dati personali, con le quali sarà necessario confrontarsi per tempo, così da poter rivedere e – dove necessario – adattare il Vostro concetto di protezione dei dati entro il termine previsto per l'entrata in vigore della legge riveduta (ad es. redazione di dichiarazioni sulla protezione dei dati e, se necessario, di registri di attività di trattamento, adeguamento dei processi di trattamento dei dati, nomina di un consulente per la protezione dei dati, stipulazione di contratti per l'affidamento del trattamento dei dati a terzi responsabili, ecc.). Alla scadenza del termine di referendum di 100 giorni, il Consiglio federale deciderà la data di entrata in vigore della legge. Di conseguenza, è improbabile che la revisione della legge sulla protezione dei dati (di seguito "revLPD") entri in vigore prima del 1° gennaio 2022, tanto più che anche la relativa ordinanza (OLPD) dovrà essere adattata. Le novità più importanti Ci limitiamo quindi qui di seguito a esporre quelle che consideriamo le novità più importanti rispetto alla legge vigente: Nessuna protezione dei dati di persone giuridiche Mentre l'attuale LPD si applica sia ai dati delle persone fisiche che a quelli delle persone giuridiche, la revLPD limita il suo campo di applicazione – allo stesso modo della GDPR europea – ai dati delle persone fisiche. Dati personali degni di particolare protezione La revLPD amplia l'elenco dei dati che vengono considerati degni di particolare tutela, dalla cui qualifica dipendono determinati effetti giuridici qualificati (segnatamente nell'ambito del consenso, della valutazione d'impatto sulla protezione dei dati, della comunicazione a terzi nonché della valuta-zione della solvibilità di una persona). Conseguentemente, anche i dati genetici e i dati biometrici (ad esempio le impronte digitali) che identificano in modo univoco una persona fisica sono ora classificati come particolarmente sensibili. Profilazione e profilazione ad alto rischio La questione relativa all'inclusione nella legge della cosiddetta "profilazione ad alto rischio", oltre alla profilazione "ordinaria", è stata la questione più controversa e ampiamente discussa dell'intera proposta. Alla fine, i Consigli hanno seguito le proposte della Conferenza di conciliazione, secondo le quali la profilazione ad alto rischio dovrebbe essere definita e regolata in modo specifico dalla legge. Pertanto, in caso di profilazione ad alto rischio, il consenso eventualmente richiesto deve essere esplicito. Inoltre, l'interesse legittimo del titolare del trattamento – e quindi il suo motivo giustificativo per una violazione della personalità – viene meno, se l'operazione di trattamento dei dati da parte sua nell'ambito di una valutazione dell'affidabilità creditizia comporta una profilazione ad alto rischio. Si è in presenza di una profilazione ad alto rischio quando i dati personali sono trattati automaticamente e un collegamento tra tali dati permette la valutazione di aspetti essenziali della personalità. La definizione giuridica è molto aperta, e una delimitazione dalla "normale" profilazione non si renderà facile nella pratica. Semmai, l'ordinanza potrà fornire ulteriori chiarimenti al riguardo. In ogni caso, questa modifica comporta che per un controllo della solvibilità mediante profilazione ad alto rischio, in futuro si dovrà garantire il rispetto di tutti i principi di trattamento o di un altro motivo giustificativo (in particolare il consenso esplicito dell'interessato). Registro delle attività di trattamento La revLPD – come l'EU-GDPR – prevede l'obbligo, sia per il titolare del trattamento che per il responsabile del trattamento, di tenere un registro dei rispettivi trattamenti di dati. Tale registro deve contenere almeno le informazioni previste dalla legge. Il Consiglio federale prevede eccezioni per le imprese che impiegano meno di 250 dipendenti e il cui trattamento dei dati comporta un basso rischio di lesioni della personalità per le persone interessate. Queste eccezioni devono essere ancora regolate nell'ordinanza. Responsabile del trattamento Secondo la revLPD, l'elaborazione di dati personali può venire affidata per contratto o per legge a un terzo responsabile. Il presupposto è – come previsto peraltro dalla legge attuale – che tale responsabile del trattamento tratti i dati nello stesso modo in cui il titolare stesso sarebbe autorizzato a farlo. Nuovo invece è il fatto che, alla stregua del diritto europeo, la subdelega del trattamento dei dati è consentita ora solo previo consenso del titolare del trattamento, in modo che quest'ultimo (almeno indirettamente) mantenga il controllo del trattamento dei dati, e che il titolare del trattamento possa garantire che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. Per il resto, in questo ambito non verrà modificato molto. In particolare, il contratto di affidamento del trattamento di dati a un terzo responsabile continua a non dover adempiere requisiti di forma particolari. Protezione dei dati fin dalla progettazione e impostazioni predefinite appropriate per la protezione dei dati La revLPD contiene – come l'EU-GDPR – i principi "Privacy-by-Design" e "Privacy-by-Default". A partire dalla fase di progettazione, il titolare del trattamento deve progettare il trattamento dei dati da un punto di vista tecnico e organizzativo in modo tale da rispettare le norme di protezione dei dati, tra cui in particolare i principi di trattamento dati (Privacy-by-Design). Inoltre, egli deve progettare e sviluppare impostazioni predefinite, ad esempio per le app o i siti web, in modo tale che il trattamento dei dati personali sia limitato al minimo necessario per lo scopo previsto (Privacy-by-Default). Rafforzamento degli obblighi di informazione Secondo la revLPD, le seguenti informazioni minime devono essere fornite all'interessato al momento dell'acquisizione dei dati personali: Identità e dati di contatto del titolare; Scopo del trattamento; Ove applicabile, destinatari o categorie di destinatari ai quali vengono comunicati tali dati personali. Se i dati personali vengono comunicati all'estero, l'interessato deve essere informato anche dello stato o dell'organismo internazionale e, se del caso, delle garanzie a protezione dei dati personali, o dell'applicazione di una deroga nel caso concreto. Estensione degli obblighi di comunicazione La revLPD prevede obblighi di comunicazione più estesi rispetto all'attuale LPD. L'obbligo di fornire informazioni non è più limitato alle informazioni minime prescritte in modo esaustivo dalla Legge (che ora comprendono anche informazioni sulla durata di conservazione, sui trasferimenti dall'estero e sulle decisioni individuali automatizzate), ma si riferisce a tutte le informazioni necessarie all'interessato per far valere i suoi diritti ai sensi della revLPD. Per quanto riguarda l'informazione relativa ai "dati personali trattati", ai sensi della revLPD vale pur sempre che tali dati vengano comunicati rispettivamente consegnati "in quanto tali". Ciò dovrebbe chiarire che il diritto all'informazione ai sensi della legge sulla protezione dei dati non costituisce un diritto all'edizione di documenti o al rilascio di atti. Diritto alla portabilità dei dati La revLPD prevede il diritto al rilascio e al trasferimento dei dati ("portabilità dei dati"). Di conseguenza, l'interessato può richiedere al titolare – di norma gratuitamente – il rilascio dei propri dati personali in un formato elettronico d'uso comune o il loro trasferimento ad un altro titolare, se tale titolare tratta i dati in modo automatizzato e i dati sono trattati con il consenso dell'interessato o in connessione diretta con la conclusione o l'esecuzione di un contratto. Decisione individuale automatizzata la revLPD stabilisce che il titolare del trattamento deve informare l'interessato di una decisione basata esclusivamente su un trattamento automatizzato che comporta per lui conseguenze giuridiche o che si ripercuote su di lui in modo significativo. L'interessato deve avere la possibilità di esprimere il proprio punto di vista, e può pretendere che la decisione venga riesaminata da una persona fisica. Ciò non si applica tuttavia quando la decisione è direttamente connessa alla conclusione o all'esecuzione di un contratto tra il titolare del trattamento e l'interessato e la richiesta dell'interessato è accolta, o quando l'interessato ha espressamente acconsentito a che la decisione venisse presa in modo automatizzato. Valutazione d'impatto sulla protezione dei dati Secondo la revLPD, il titolare del trattamento dei dati è tenuto a effettuare una valutazione d'impatto sulla protezione dei dati, se il trattamento dei dati può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Un tale rischio elevato può derivare dal tipo, dalla portata, dalle circostanze e dallo scopo del trattamento. Una valutazione d'impatto sulla protezione dei dati deve descrivere il trattamento previsto e i rischi che esso comporta, nonché le misure adeguate a contrastare questi ultimi. Eccezioni possono essere ammesse in presenza di determinate circostanze, tra cui se il titolare rispetta un certo codice di condotta. Notifica di violazioni della sicurezza dei dati Conformemente alla revLPD, i titolari del trattamento devono informare al più presto l'IFPDT in caso di violazione della sicurezza dei dati, se tale violazione comporta un grave rischio per la personalità o i diritti fondamentali delle persone interessate. Fatte salve alcune eccezioni, la persona responsabile deve inoltre informare la persona interessata qualora ciò sia necessario per la sua protezione o se l'IFPDT lo richiede. Per quanto riguarda il responsabile del trattamento, questi deve segnalare il più rapidamente possibile una violazione della sicurezza dei dati al titolare del trattamento (ma non all'IFPDT e/o all'interessato). Sanzioni Secondo la revLPD, le persone fisiche possono ora essere multate fino a CHF 250'000.- (in precedenza al massimo CHF 10'000.-), in particolare in caso di violazione intenzionale degli obblighi di informazione e comunicazione e di violazione intenzionale degli obblighi di diligenza. In futuro, la mancanza di rispetto della normativa di protezione dei dati non comporterà quindi solo rischi di reputazione per le aziende, ma potrebbe avere conseguenze penali di vasta portata per collaboratori manchevoli. Ci auguriamo di potervi essere stati di aiuto con quanto esposto, e saremo lieti di rispondere a tutte le vostre domande. Autori di questo testo: Cornelia Stengel Prof. Dr. iur., Avvocato, Partner Luca Stäuble MLaw, Avvocato Nicolas Mosimann Dr. iur., LL.M., Avvocato, Partner Christophe Rapin lic. iur., Avvocato, Partner Stefano Perucchi lic. iur., LL.M., Avvocato, Partner Contatti Christophe Rapin Tel. +41 58 200 33 30 Fax +41 58 200 33 11 christophe.rapin@kellerhals-carrard.ch Dr. Nicolas Mosimann Tel. +41 58 200 30 49 Fax +41 58 200 30 11 nicolas.mosimann@kellerhals-carrard.ch Stefano Perucchi Tel. +41582003100 Fax +41582003111 stefano.perucchi@kellerhals-carrard.ch Prof. Dr. Cornelia Stengel Tel. +41 58 200 39 00 Fax +41 58 200 39 11 cornelia.stengel@kellerhals-carrard.ch

Visione d'insieme

Dopo anni di continue discussioni, il Parlamento svizzero ha finalmente appianato le ultime divergenze nell'ambito della sua votazione finale del 25 settembre 2020, e ha approvato dunque la revisione totale della Legge federale sulla protezione dei dati (LPD). Con la presente siamo lieti di poterVi fornire brevemente alcune informazioni sul contesto del disegno di legge e, soprattutto, sulle sue novità più importanti.

La revisione totale della Legge federale sulla protezione dei dati (risalente al 1992) si prefigge lo scopo di adeguare tale normativa, ormai obsoleta, alle condizioni sociali e tecnologiche odierne, e di avvicinarla alle più recenti e moderne normative vigenti in Europa in materia di protezione dei dati (in particolare all'EU-GDPR). Nell'ambito della revisione, i seguenti quattro aspetti erano centrali:

Aumentare la trasparenza e rafforzare i diritti degli interessati;
Promuovere la prevenzione e la responsabilità individuale da parte di chi tratta dati personali;
Rafforzare la vigilanza in materia di protezione dei dati;
Ampliare la portata delle disposizioni penali.

Di conseguenza, in futuro si renderà necessario il rispetto di disposizioni più severe per il trattamento di dati personali, con le quali sarà necessario confrontarsi per tempo, così da poter rivedere e – dove necessario – adattare il Vostro concetto di protezione dei dati entro il termine previsto per l'entrata in vigore della legge riveduta (ad es. redazione di dichiarazioni sulla protezione dei dati e, se necessario, di registri di attività di trattamento, adeguamento dei processi di trattamento dei dati, nomina di un consulente per la protezione dei dati, stipulazione di contratti per l'affidamento del trattamento dei dati a terzi responsabili, ecc.).

Alla scadenza del termine di referendum di 100 giorni, il Consiglio federale deciderà la data di entrata in vigore della legge. Di conseguenza, è improbabile che la revisione della legge sulla protezione dei dati (di seguito "revLPD") entri in vigore prima del 1° gennaio 2022, tanto più che anche la relativa ordinanza (OLPD) dovrà essere adattata.

Le novità più importanti

Ci limitiamo quindi qui di seguito a esporre quelle che consideriamo le novità più importanti rispetto alla legge vigente:

Nessuna protezione dei dati di persone giuridiche

Mentre l'attuale LPD si applica sia ai dati delle persone fisiche che a quelli delle persone giuridiche, la revLPD limita il suo campo di applicazione – allo stesso modo della GDPR europea – ai dati delle persone fisiche.

Dati personali degni di particolare protezione

La revLPD amplia l'elenco dei dati che vengono considerati degni di particolare tutela, dalla cui qualifica dipendono determinati effetti giuridici qualificati (segnatamente nell'ambito del consenso, della valutazione d'impatto sulla protezione dei dati, della comunicazione a terzi nonché della valuta-zione della solvibilità di una persona). Conseguentemente, anche i dati genetici e i dati biometrici (ad esempio le impronte digitali) che identificano in modo univoco una persona fisica sono ora classificati come particolarmente sensibili.

Profilazione e profilazione ad alto rischio

La questione relativa all'inclusione nella legge della cosiddetta "profilazione ad alto rischio", oltre alla profilazione "ordinaria", è stata la questione più controversa e ampiamente discussa dell'intera proposta. Alla fine, i Consigli hanno seguito le proposte della Conferenza di conciliazione, secondo le quali la profilazione ad alto rischio dovrebbe essere definita e regolata in modo specifico dalla legge. Pertanto, in caso di profilazione ad alto rischio, il consenso eventualmente richiesto deve essere esplicito. Inoltre, l'interesse legittimo del titolare del trattamento – e quindi il suo motivo giustificativo per una violazione della personalità – viene meno, se l'operazione di trattamento dei dati da parte sua nell'ambito di una valutazione dell'affidabilità creditizia comporta una profilazione ad alto rischio.

Si è in presenza di una profilazione ad alto rischio quando i dati personali sono trattati automaticamente e un collegamento tra tali dati permette la valutazione di aspetti essenziali della personalità. La definizione giuridica è molto aperta, e una delimitazione dalla "normale" profilazione non si renderà facile nella pratica. Semmai, l'ordinanza potrà fornire ulteriori chiarimenti al riguardo.

In ogni caso, questa modifica comporta che per un controllo della solvibilità mediante profilazione ad alto rischio, in futuro si dovrà garantire il rispetto di tutti i principi di trattamento o di un altro motivo giustificativo (in particolare il consenso esplicito dell'interessato).

Registro delle attività di trattamento

La revLPD – come l'EU-GDPR – prevede l'obbligo, sia per il titolare del trattamento che per il responsabile del trattamento, di tenere un registro dei rispettivi trattamenti di dati. Tale registro deve contenere almeno le informazioni previste dalla legge. Il Consiglio federale prevede eccezioni per le imprese che impiegano meno di 250 dipendenti e il cui trattamento dei dati comporta un basso rischio di lesioni della personalità per le persone interessate. Queste eccezioni devono essere ancora regolate nell'ordinanza.

Responsabile del trattamento

Secondo la revLPD, l'elaborazione di dati personali può venire affidata per contratto o per legge a un terzo responsabile. Il presupposto è – come previsto peraltro dalla legge attuale – che tale responsabile del trattamento tratti i dati nello stesso modo in cui il titolare stesso sarebbe autorizzato a farlo. Nuovo invece è il fatto che, alla stregua del diritto europeo, la subdelega del trattamento dei dati è consentita ora solo previo consenso del titolare del trattamento, in modo che quest'ultimo (almeno indirettamente) mantenga il controllo del trattamento dei dati, e che il titolare del trattamento possa garantire che il responsabile del trattamento sia in grado di garantire la sicurezza dei dati. Per il resto, in questo ambito non verrà modificato molto. In particolare, il contratto di affidamento del trattamento di dati a un terzo responsabile continua a non dover adempiere requisiti di forma particolari.

Protezione dei dati fin dalla progettazione e impostazioni predefinite appropriate per la protezione dei dati

La revLPD contiene – come l'EU-GDPR – i principi "Privacy-by-Design" e "Privacy-by-Default". A partire dalla fase di progettazione, il titolare del trattamento deve progettare il trattamento dei dati da un punto di vista tecnico e organizzativo in modo tale da rispettare le norme di protezione dei dati, tra cui in particolare i principi di trattamento dati (Privacy-by-Design). Inoltre, egli deve progettare e sviluppare impostazioni predefinite, ad esempio per le app o i siti web, in modo tale che il trattamento dei dati personali sia limitato al minimo necessario per lo scopo previsto (Privacy-by-Default).

Rafforzamento degli obblighi di informazione

Secondo la revLPD, le seguenti informazioni minime devono essere fornite all'interessato al momento dell'acquisizione dei dati personali:

Identità e dati di contatto del titolare;
Scopo del trattamento;
Ove applicabile, destinatari o categorie di destinatari ai quali vengono comunicati tali dati personali.

Se i dati personali vengono comunicati all'estero, l'interessato deve essere informato anche dello stato o dell'organismo internazionale e, se del caso, delle garanzie a protezione dei dati personali, o dell'applicazione di una deroga nel caso concreto.

Estensione degli obblighi di comunicazione

La revLPD prevede obblighi di comunicazione più estesi rispetto all'attuale LPD. L'obbligo di fornire informazioni non è più limitato alle informazioni minime prescritte in modo esaustivo dalla Legge (che ora comprendono anche informazioni sulla durata di conservazione, sui trasferimenti dall'estero e sulle decisioni individuali automatizzate), ma si riferisce a tutte le informazioni necessarie all'interessato per far valere i suoi diritti ai sensi della revLPD. Per quanto riguarda l'informazione relativa ai "dati personali trattati", ai sensi della revLPD vale pur sempre che tali dati vengano comunicati rispettivamente consegnati "in quanto tali". Ciò dovrebbe chiarire che il diritto all'informazione ai sensi della legge sulla protezione dei dati non costituisce un diritto all'edizione di documenti o al rilascio di atti.

Diritto alla portabilità dei dati

La revLPD prevede il diritto al rilascio e al trasferimento dei dati ("portabilità dei dati"). Di conseguenza, l'interessato può richiedere al titolare – di norma gratuitamente – il rilascio dei propri dati personali in un formato elettronico d'uso comune o il loro trasferimento ad un altro titolare, se tale titolare tratta i dati in modo automatizzato e i dati sono trattati con il consenso dell'interessato o in connessione diretta con la conclusione o l'esecuzione di un contratto.

Decisione individuale automatizzata

la revLPD stabilisce che il titolare del trattamento deve informare l'interessato di una decisione basata esclusivamente su un trattamento automatizzato che comporta per lui conseguenze giuridiche o che si ripercuote su di lui in modo significativo. L'interessato deve avere la possibilità di esprimere il proprio punto di vista, e può pretendere che la decisione venga riesaminata da una persona fisica. Ciò non si applica tuttavia quando la decisione è direttamente connessa alla conclusione o all'esecuzione di un contratto tra il titolare del trattamento e l'interessato e la richiesta dell'interessato è accolta, o quando l'interessato ha espressamente acconsentito a che la decisione venisse presa in modo automatizzato.

Valutazione d'impatto sulla protezione dei dati

Secondo la revLPD, il titolare del trattamento dei dati è tenuto a effettuare una valutazione d'impatto sulla protezione dei dati, se il trattamento dei dati può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Un tale rischio elevato può derivare dal tipo, dalla portata, dalle circostanze e dallo scopo del trattamento. Una valutazione d'impatto sulla protezione dei dati deve descrivere il trattamento previsto e i rischi che esso comporta, nonché le misure adeguate a contrastare questi ultimi. Eccezioni possono essere ammesse in presenza di determinate circostanze, tra cui se il titolare rispetta un certo codice di condotta.

Notifica di violazioni della sicurezza dei dati

Conformemente alla revLPD, i titolari del trattamento devono informare al più presto l'IFPDT in caso di violazione della sicurezza dei dati, se tale violazione comporta un grave rischio per la personalità o i diritti fondamentali delle persone interessate. Fatte salve alcune eccezioni, la persona responsabile deve inoltre informare la persona interessata qualora ciò sia necessario per la sua protezione o se l'IFPDT lo richiede. Per quanto riguarda il responsabile del trattamento, questi deve segnalare il più rapidamente possibile una violazione della sicurezza dei dati al titolare del trattamento (ma non all'IFPDT e/o all'interessato).

Sanzioni

Secondo la revLPD, le persone fisiche possono ora essere multate fino a CHF 250'000.- (in precedenza al massimo CHF 10'000.-), in particolare in caso di violazione intenzionale degli obblighi di informazione e comunicazione e di violazione intenzionale degli obblighi di diligenza. In futuro, la mancanza di rispetto della normativa di protezione dei dati non comporterà quindi solo rischi di reputazione per le aziende, ma potrebbe avere conseguenze penali di vasta portata per collaboratori manchevoli.

Ci auguriamo di potervi essere stati di aiuto con quanto esposto, e saremo lieti di rispondere a tutte le vostre domande.

Autori di questo testo:

Cornelia Stengel
Prof. Dr. iur., Avvocato, Partner

Luca Stäuble
MLaw, Avvocato

Nicolas Mosimann
Dr. iur., LL.M., Avvocato, Partner

Christophe Rapin
lic. iur., Avvocato, Partner

Stefano Perucchi
lic. iur., LL.M., Avvocato, Partner

Contatti

limitare la ricerca