Datenschutzgesetz Schweiz

Pro­te­zio­ne dei dati: pa­no­ra­mi­ca della nuova legge

La re­vi­sio­ne della legge sviz­ze­ra sulla pro­te­zio­ne dei dati (LPD) è con­clu­sa. Le nuove re­go­le e le di­spo­si­zio­ni d’ap­pli­ca­zio­ne con­te­nu­te nella nuova or­di­nan­za sulla pro­te­zio­ne dei dati (OPDa) e la nuova or­di­nan­za sulle cer­ti­fi­ca­zio­ni in ma­te­ria di pro­te­zio­ne dei dati (OCPD) en­tra­no in vi­go­re il 1° set­tem­bre 2023. Non è pre­vi­sto nes­sun pe­rio­do di tran­si­zio­ne. 

Si rac­co­man­da alle im­pre­se sviz­ze­re di fa­mi­lia­riz­za­re il più ra­pi­da­men­te pos­si­bi­le con la nuova legge e le sue esi­gen­ze e di adat­ta­re il loro di­spo­si­ti­vo di pro­te­zio­ne dei dati, in par­ti­co­la­re le loro di­spo­si­zio­ni re­la­ti­ve alla pro­te­zio­ne dei dati e i con­trat­ti. eco­no­mie­suis­se ri­spon­de alle que­stio­ni più ur­gen­ti in col­la­bo­ra­zio­ne con due av­vo­ca­ti, Cor­ne­lia Sten­gel e Luca Stäuble, al­fi­ne di se­gna­la­re alle im­pre­se sviz­ze­re le mi­su­re da adot­ta­re in re­la­zio­ne al­l’en­tra­ta in vi­go­re della nuova legge sulla pro­te­zio­ne dei dati.

L'u­ni­co scopo di que­sta pa­no­ra­mi­ca è for­ni­re in­for­ma­zio­ni e sen­si­bi­liz­za­re l'o­pi­nio­ne pub­bli­ca. Tut­ta­via, non so­sti­tui­sce la con­su­len­za le­ga­le ed eco­no­mie­suis­se non può es­se­re ri­te­nu­ta re­spon­sa­bi­le di even­tua­li azio­ni od omis­sio­ni de­ri­van­ti dalla let­tu­ra di que­sto con­tri­bu­to.

https://​www.​youtube.​com/​watch?​v=EIm​PV2x​NtDE

FAQ

La nuova legge (nLPD) mira a pro­teg­ge­re la per­so­na­li­tà e i di­rit­ti fon­da­men­ta­li delle per­so­ne fi­si­che re­si­den­ti in Sviz­ze­ra i cui dati sono trat­ta­ti da pri­va­ti (so­cie­tà pri­va­te) o dallo Stato. I dati delle per­so­ne giu­ri­di­che non sa­ran­no più pro­tet­ti. L'i­dea di fondo è quel­la di of­fri­re alle per­so­ne in­te­res­sa­te una mag­gio­re tra­spa­ren­za e quin­di di raf­for­za­re i loro di­rit­ti sui pro­pri dati ("au­to­de­ter­mi­na­zio­ne in­for­ma­ti­va"). La nuova legge mira anche a pro­muo­ve­re mi­su­re pre­ven­ti­ve e la re­spon­sa­bi­li­tà in­di­vi­dua­le dei re­spon­sa­bi­li del trat­ta­men­to dei dati. A tal fine, la legge raf­for­za il mo­ni­to­rag­gio della pro­te­zio­ne dei dati e am­plia le di­spo­si­zio­ni di di­rit­to pe­na­le. In­tro­du­ce inol­tre nuovi ob­bli­ghi per le im­pre­se, in par­ti­co­la­re in caso di rac­col­ta, per­di­ta o uso im­pro­prio dei dati per­so­na­li.

L'at­tua­le legge sviz­ze­ra sulla pro­te­zio­ne dei dati ri­sa­le al 1992. Da al­lo­ra, con il pas­sag­gio alla di­gi­ta­liz­za­zio­ne da parte del­l'e­co­no­mia e della so­cie­tà, la rac­col­ta e l'u­ti­liz­zo dei dati per­so­na­li si sono am­plia­ti. A li­vel­lo glo­ba­le, e in par­ti­co­la­re al­l'in­ter­no del­l'UE, la pro­te­zio­ne dei dati è stata no­te­vol­men­te raf­for­za­ta e le or­ga­niz­za­zio­ni in­ter­na­zio­na­li hanno ina­spri­to gli stan­dard mi­ni­mi in que­sto set­to­re. Per la Sviz­ze­ra è stato quin­di ne­ces­sa­rio adat­ta­re la legge del 1992 alle nuove abi­tu­di­ni dei con­su­ma­to­ri (ac­qui­sti on­li­ne, so­cial net­work, ecc.), agli svi­lup­pi tec­no­lo­gi­ci (di­gi­ta­liz­za­zio­ne, in­tel­li­gen­za ar­ti­fi­cia­le, ecc.) e agli stan­dard in­ter­na­zio­na­li. 

Con l'a­do­zio­ne del Re­go­la­men­to ge­ne­ra­le sulla pro­te­zio­ne dei dati (GDPR), l'U­nio­ne eu­ro­pea ha sta­bi­li­to un nuovo stan­dard su scala in­ter­na­zio­na­le. Que­sto re­go­la­men­to, en­tra­to in vi­go­re il 25 mag­gio 2018, sta fa­cen­do scal­po­re in tutto il mondo per la sua por­ta­ta ex­tra­ter­ri­to­ria­le. Molte im­pre­se sviz­ze­re rien­tra­no nel­l'am­bi­to di ap­pli­ca­zio­ne del GDPR, in quan­to si con­cen­tra­no sui mer­ca­ti del­l'UE o dello SEE. Inol­tre, il GDPR pre­ve­de che i dati per­so­na­li pos­sa­no es­se­re tra­sfe­ri­ti a un paese terzo solo se tale paese ha un li­vel­lo di pro­te­zio­ne dei dati «ade­gua­to» dal punto di vista del­l'UE. Un flus­so di dati senza pro­ble­mi dal­l'UE è par­ti­co­lar­men­te im­por­tan­te per paesi come la Sviz­ze­ra, che hanno le­ga­mi eco­no­mi­ci molto stret­ti con l'UE.

Un obiet­ti­vo im­por­tan­te della re­vi­sio­ne della LPD era quin­di quel­lo di svi­lup­pa­re una so­lu­zio­ne coor­di­na­ta a li­vel­lo in­ter­na­zio­na­le - «equi­va­len­te» agli occhi del­l'UE - che in­co­rag­gias­se gli svi­lup­pi tec­no­lo­gi­ci nel­l'e­co­no­mia dei dati e, allo stes­so tempo, non ab­ban­do­nas­se i punti di forza della le­gi­sla­zio­ne at­tua­le.

La Sviz­ze­ra di­spo­ne di un li­vel­lo di pro­te­zio­ne dei dati «ade­gua­to» dal punto di vista del­l’UE?

La Sviz­ze­ra è un «paese terzo» dal punto di vista del­l'UE. Per tra­sfe­ri­re i dati a un paese terzo, la Com­mis­sio­ne eu­ro­pea deve emet­te­re una de­ci­sio­ne sul­l'a­de­gua­tez­za del si­ste­ma sviz­ze­ro. La Sviz­ze­ra di­spo­ne di tale de­ci­sio­ne, ma si basa sulla vec­chia le­gi­sla­zio­ne eu­ro­pea. Ma con la re­vi­sio­ne della LPD, la Sviz­ze­ra do­vreb­be aver crea­to le con­di­zio­ni ne­ces­sa­rie af­fin­ché la Com­mis­sio­ne eu­ro­pea con­ti­nui a clas­si­fi­ca­re la legge sviz­ze­ra sulla pro­te­zio­ne dei dati (ri­vi­sta) come ade­gua­ta. La (nuova) de­ci­sio­ne sul­l'a­de­gua­tez­za è at­tual­men­te in so­spe­so. 

Non da ul­ti­mo non va di­men­ti­ca­to che la mo­der­niz­za­zio­ne del di­rit­to sviz­ze­ro av­vie­ne in un con­te­sto in­ter­na­zio­na­le in cui i cit­ta­di­ni e i con­su­ma­to­ri di tutto il mondo chie­do­no una mi­glio­re pro­te­zio­ne dei loro dati per­so­na­li e un mag­gio­re con­trol­lo su di essi. Que­sta ten­den­za è ri­scon­tra­bi­le non solo nel­l'UE, ma in molti paesi, tra cui la Nuova Ze­lan­da. La Ca­li­for­nia ha ina­spri­to la pro­pria le­gi­sla­zio­ne sulla pro­te­zio­ne dei dati, ba­san­do­si in parte sugli stan­dard del­l'UE.

Seb­be­ne la nLPD si ap­pli­chi sul ter­ri­to­rio sviz­ze­ro, ha anche una por­ta­ta ex­tra­ter­ri­to­ria­le (prin­ci­pio degli ef­fet­ti), in quan­to si ap­pli­ca a stati di cose che si ve­ri­fi­ca­no al­l'e­ste­ro e pro­du­co­no ef­fet­ti in Sviz­ze­ra (art. 3). In altre pa­ro­le, se il trat­ta­men­to dei dati per­so­na­li av­vie­ne al di fuori della Sviz­ze­ra, ma ri­guar­da per­so­ne fi­si­che sta­bi­li­te in Sviz­ze­ra e pro­du­ce ef­fet­ti in Sviz­ze­ra, il ti­to­la­re del trat­ta­men­to in que­stio­ne è te­nu­to a ri­spet­ta­re la di­ret­ti­va nLPD. A de­ter­mi­na­te con­di­zio­ni, il ti­to­la­re del trat­ta­men­to deve anche no­mi­na­re un rap­pre­sen­tan­te le­ga­le in Sviz­ze­ra (artt. 14 e 15 nLPD).

Esem­pio: una so­cie­tà con sede al­l'e­ste­ro trat­ta i dati di per­so­ne fi­si­che re­si­den­ti in Sviz­ze­ra dal­l'e­ste­ro. In que­sto caso, ogni si­tua­zio­ne deve es­se­re va­lu­ta­ta in­di­vi­dual­men­te. La nLPD si ap­pli­ca a pre­scin­de­re dal fatto che il trat­ta­men­to dei dati sia o meno «sen­si­bi­le» in Sviz­ze­ra - que­sto do­vreb­be es­se­re già il caso, come re­go­la ge­ne­ra­le, quan­do i dati sono trat­ta­ti per un certo nu­me­ro di per­so­ne in Sviz­ze­ra. Il GDPR, in­ve­ce, si basa - a con­di­zio­ne che non vi sia una sede nel­l'UE - sul fatto che il trat­ta­men­to dei dati sia le­ga­to al­l'o­rien­ta­men­to «ma­ni­fe­sta­men­te in­ten­zio­na­le» del­l'of­fer­ta di beni o ser­vi­zi verso per­so­ne nel­l'UE (ad esem­pio l’on­li­ne shop è orien­ta­to in que­sta di­re­zio­ne) o al­l'os­ser­va­zio­ne del com­por­ta­men­to in re­la­zio­ne a per­so­ne nel­l'UE (ad esem­pio l'uso di tec­no­lo­gie di web-trac­king). La por­ta­ta geo­gra­fi­ca della nuova re­go­la­men­ta­zio­ne sviz­ze­ra è quin­di an­co­ra più ampia di quel­la del GDPR.

Il 31 ago­sto 2022 il Con­si­glio fe­de­ra­le ha pub­bli­ca­to l'Or­di­nan­za sulla pro­te­zio­ne dei dati (OPDa) e ha sta­bi­li­to che le nuove re­go­le en­tre­ran­no in vi­go­re il 1° set­tem­bre 2023. Dato che la legge non pre­ve­de un pe­rio­do di tran­si­zio­ne, que­sto è un buon mo­men­to per va­lu­ta­re l'im­ple­men­ta­zio­ne delle mo­di­fi­che ne­ces­sa­rie.  

La nuova LPD si basa sul GDPR, ma pre­sen­ta una serie di ca­rat­te­ri­sti­che par­ti­co­la­ri. Nella mag­gior parte dei casi, la legge sviz­ze­ra è meno for­ma­li­sta e pre­sen­ta meno re­qui­si­ti ri­spet­to al GDPR. Ad esem­pio, ri­ma­ne va­li­do il prin­ci­pio se­con­do cui il trat­ta­men­to dei dati per­so­na­li è au­to­riz­za­to nella mi­su­ra in cui sono ri­spet­ta­ti i suoi prin­ci­pi (art. 6 nLPD). A dif­fe­ren­za del­l'UE, non è quin­di ne­ces­sa­rio avere una giu­sti­fi­ca­zio­ne (art. 6 GDPR) per trat­ta­re i dati per­so­na­li.

Su al­cu­ni punti, però, la nuova legge sviz­ze­ra sarà più se­ve­ra del GDPR. Si trat­ta del­l'am­bi­to geo­gra­fi­co (cfr. punto 3) e del­l'am­bi­to ma­te­ria­le (art. 2 nLPD). Se­con­do la nLPD, que­st'ul­ti­mo copre tutti i trat­ta­men­ti dei dati (au­to­ma­tiz­za­ti e ma­nua­li), men­tre il GDPR si ap­pli­ca solo ai si­ste­mi di file per quan­to ri­guar­da il trat­ta­men­to ma­nua­le dei dati. In se­gui­to, l'ob­bli­go di for­ni­re in­for­ma­zio­ni sulla rac­col­ta di dati per­so­na­li ai sensi della di­ret­ti­va nLPD va oltre il GDPR, in quan­to, in caso di tra­smis­sio­ne di dati al­l'e­ste­ro, de­vo­no es­se­re for­ni­te in­for­ma­zio­ni su tutti gli Stati de­sti­na­ta­ri (art. 19 della di­ret­ti­va nLPD). La nLPD pre­ve­de inol­tre l'ob­bli­go di re­gi­stra­re il trat­ta­men­to au­to­ma­tiz­za­to dei dati e di re­di­ge­re un re­go­la­men­to per il trat­ta­men­to au­to­ma­tiz­za­to (artt. 4 e 5 e segg. OPDa). Inol­tre, in base al­l’or­di­nan­za della nLPD - a dif­fe­ren­za del GDPR, che pre­ve­de multe esclu­si­va­men­te per le im­pre­se - le san­zio­ni si ap­pli­ca­no alle per­so­ne fi­si­che (art. 60 e segg. nLPD) e, in­fi­ne, il con­cet­to di «dati per­so­na­li sen­si­bi­li» com­pren­de due ul­te­rio­ri ca­te­go­rie: pro­ce­di­men­ti e san­zio­ni am­mi­ni­stra­ti­ve o pe­na­li e mi­su­re di as­si­sten­za so­cia­le.

No. Tutte le im­pre­se, senza ec­ce­zio­ni, sono in­te­res­sa­te dalla nuova LPD. In­di­pen­den­te­men­te dalle sue di­men­sio­ni, un'im­pre­sa pos­sie­de una gran­de quan­ti­tà di dati su clien­ti, part­ner, for­ni­to­ri e col­la­bo­ra­to­ri. Con la di­gi­ta­liz­za­zio­ne del­l'e­co­no­mia, la quan­ti­tà di dati per­so­na­li trat­ta­ti dalle im­pre­se, com­pre­se le PMI, con­ti­nue­rà a cre­sce­re. Tut­ta­via, al­cu­ni dei (nuovi) ob­bli­ghi pre­vi­sti dalla nLPD di­pen­do­no dalla por­ta­ta del trat­ta­men­to dei dati e dal ri­schio che il trat­ta­men­to com­por­ta per la per­so­na­li­tà o i di­rit­ti fon­da­men­ta­li degli in­te­res­sa­ti. Que­sto ap­proc­cio ba­sa­to sul ri­schio, che si ap­pli­ca tra l'al­tro alla si­cu­rez­za dei dati, si­gni­fi­ca che le mi­su­re pos­so­no es­se­re adot­ta­te caso per caso. È ovvio che anche le PMI pos­so­no trat­ta­re dati per­so­na­li sen­si­bi­li su larga scala o svol­ge­re altre at­ti­vi­tà di trat­ta­men­to che com­por­ta­no un ri­schio ele­va­to per la per­so­na­li­tà degli in­te­res­sa­ti. 

Tutte le im­pre­se, com­pre­se le PMI, de­vo­no pre­pa­rar­si ade­gua­ta­men­te al­l'en­tra­ta in vi­go­re della nuova legge. Poi­ché la legge è al­li­nea­ta agli stan­dard eu­ro­pei, ciò è par­ti­co­lar­men­te vero per le im­pre­se sviz­ze­re che non hanno an­co­ra adat­ta­to i loro si­ste­mi di pro­te­zio­ne dei dati al GDPR. 

L'u­ni­ca «ec­ce­zio­ne per le PMI» ri­guar­da l'ob­bli­go di te­ne­re un re­gi­stro delle at­ti­vi­tà di trat­ta­men­to. Le PMI con meno di 250 di­pen­den­ti al 1° gen­na­io sono esen­ti da tale ob­bli­go, a con­di­zio­ne che non trat­ti­no «dati per­so­na­li sen­si­bi­li» su larga scala e non ef­fet­tui­no «pro­fi­ling ad alto ri­schio». È co­mun­que nel­l'in­te­res­se di un'a­zien­da te­ne­re tale re­gi­stro delle at­ti­vi­tà di trat­ta­men­to su base vo­lon­ta­ria, in quan­to può for­ni­re una pre­zio­sa pa­no­ra­mi­ca del trat­ta­men­to dei dati ef­fet­tua­to al­l'in­ter­no del­l'im­pre­sa e quin­di ser­vi­re come base per adem­pie­re ad altri ob­bli­ghi, come gli ob­bli­ghi di in­for­ma­zio­ne nei con­fron­ti degli in­te­res­sa­ti.

La nuova legge in­tro­du­ce nuovi ob­bli­ghi. I prin­ci­pa­li sono:

  • l'ob­bli­go di met­te­re in atto mi­su­re tec­ni­che e or­ga­niz­za­ti­ve per ga­ran­ti­re che il trat­ta­men­to dei dati sia con­for­me ai re­qui­si­ti di pro­te­zio­ne dei dati fin dal­l'i­ni­zio e per im­po­sta­zio­ne pre­de­fi­ni­ta, in par­ti­co­la­re per ga­ran­ti­re che i prin­ci­pi sta­bi­li­ti per il trat­ta­men­to siano ri­spet­ta­ti e che il trat­ta­men­to sia li­mi­ta­to al mi­ni­mo ne­ces­sa­rio per rag­giun­ge­re lo scopo pre­vi­sto (art. 7 nLPD) (si ve­da­no i nuovi ter­mi­ni al suc­ces­si­vo punto 12); 

 

  • l'ob­bli­go di can­cel­la­re (o ren­de­re ano­ni­mi) i dati per­so­na­li che non sono più ne­ces­sa­ri per il rag­giun­gi­men­to degli obiet­ti­vi per­se­gui­ti e che non sono sog­get­ti a un ob­bli­go le­ga­le di con­ser­va­zio­ne è già in vi­go­re in virtù del prin­ci­pio di pro­por­zio­na­li­tà ed è ora espli­ci­ta­men­te san­ci­to dalla legge (art. 6, par. 4, nLPD);

 

  • l'ob­bli­go di isti­tui­re e man­te­ne­re un re­gi­stro delle at­ti­vi­tà di trat­ta­men­to dei dati. Le im­pre­se con meno di 250 di­pen­den­ti be­ne­fi­cia­no di un'ec­ce­zio­ne se il trat­ta­men­to dei dati com­por­ta un basso ri­schio di danno alla per­so­na­li­tà degli in­te­res­sa­ti (art. 12 nLPD e punto 6 del pre­sen­te do­cu­men­to). L'OP­Da spe­ci­fi­ca che il ri­schio è ele­va­to quan­do i dati per­so­na­li sen­si­bi­li sono trat­ta­ti su larga scala o quan­do viene ef­fet­tua­ta una pro­fi­la­zio­ne ad alto ri­schio (art. 24);

 

  • l'ob­bli­go di no­ti­fi­ca al­l'In­ca­ri­ca­to fe­de­ra­le della pro­te­zio­ne dei dati e delle in­for­ma­zio­ni (IFPDT) e alla per­so­na in­te­res­sa­ta in caso di vio­la­zio­ne della si­cu­rez­za dei dati (art. 24 nLPD e art. 15 del­l'OP­Da). A dif­fe­ren­za del GDPR (che fissa un ter­mi­ne di 72 ore per la no­ti­fi­ca), la nLPD non fissa un ter­mi­ne espli­ci­to, ma sta­bi­li­sce che la no­ti­fi­ca deve es­se­re ef­fet­tua­ta «il più pre­sto pos­si­bi­le». Il con­te­nu­to ob­bli­ga­to­rio e la do­cu­men­ta­zio­ne sono di­sci­pli­na­ti dal­l'OP­Da (art. 15);

 

  • l'ob­bli­go di ef­fet­tua­re una va­lu­ta­zio­ne pre­ven­ti­va del­l'im­pat­to sulla pro­te­zio­ne dei dati quan­do il trat­ta­men­to dei dati com­por­ta un ri­schio ele­va­to per la per­so­na­li­tà o i di­rit­ti fon­da­men­ta­li del­l'in­di­vi­duo (art. 22 nLPD e art. 14 OPDa);

 

  • l'ob­bli­go di for­ni­re in­for­ma­zio­ni al mo­men­to della rac­col­ta dei dati per­so­na­li, sia che que­sti ven­ga­no rac­col­ti di­ret­ta­men­te dal­l'in­te­res­sa­to che da terzi (art. 19 e segg. nLPD e art. 13 OPDa). Va no­ta­to che le in­for­ma­zio­ni re­la­ti­ve alla rac­col­ta dei dati per­so­na­li de­vo­no es­se­re sem­pli­ci e com­pren­si­bi­li per le per­so­ne in­te­res­sa­te. Que­sto aspet­to deve es­se­re te­nu­to in con­si­de­ra­zio­ne, in par­ti­co­la­re nella ste­su­ra delle di­spo­si­zio­ni sulla pro­te­zio­ne dei dati. Per quan­to ri­guar­da l'ob­bli­go di for­ni­re in­for­ma­zio­ni, la nLPD è più se­ve­ra del GDPR e que­sta è un'ec­ce­zio­ne (si veda anche il punto 5). Una vio­la­zio­ne (even­tual­men­te) in­ten­zio­na­le di que­sto ob­bli­go è pu­ni­bi­le pe­nal­men­te; 

 

  • l'ob­bli­go di in­for­ma­re in caso di de­ci­sio­ne in­di­vi­dua­le au­to­ma­tiz­za­ta, ossia una de­ci­sio­ne ba­sa­ta esclu­si­va­men­te su un trat­ta­men­to au­to­ma­tiz­za­to e che com­por­ti con­se­guen­ze giu­ri­di­che per l'in­te­res­sa­to o che lo ri­guar­di in modo si­gni­fi­ca­ti­vo (art. 21 nLPD). Una vio­la­zio­ne (even­tual­men­te) in­ten­zio­na­le di que­sto ob­bli­go è pu­ni­bi­le pe­nal­men­te;

 

  • l'ob­bli­go di re­gi­stra­re i trat­ta­men­ti au­to­ma­tiz­za­ti su larga scala di dati per­so­na­li sen­si­bi­li o di pro­fi­ling ad alto ri­schio qua­lo­ra le mi­su­re pre­ven­ti­ve adot­ta­te non ga­ran­ti­sca­no la pro­te­zio­ne dei dati (art. 4 OPDa) e di re­di­ge­re re­go­le per tali trat­ta­men­ti au­to­ma­tiz­za­ti e di ag­gior­nar­le re­go­lar­men­te (art. 5 OPDa).

L'o­biet­ti­vo prin­ci­pa­le della nuova nor­ma­ti­va è quel­lo di mi­glio­ra­re la tra­spa­ren­za e la pro­te­zio­ne dei dati per­so­na­li degli in­te­res­sa­ti. A tal fine, le im­pre­se de­vo­no for­ni­re in­for­ma­zio­ni sulla rac­col­ta dei dati per­so­na­li in modo con­ci­so, com­pren­si­bi­le e fa­cil­men­te ac­ces­si­bi­le (art. 13 OPDa) e i di­rit­ti delle per­so­ne de­vo­no es­se­re raf­for­za­ti. I di­rit­ti in­di­vi­dua­li in­clu­do­no, ad esem­pio:

  • il di­rit­to di es­se­re in­for­ma­to sul trat­ta­men­to dei pro­pri dati per­so­na­li (art. 25-27 nLPD);
  • il di­rit­to alla con­se­gna o alla tra­smis­sio­ne dei dati per­so­na­li (por­ta­bi­li­tà dei dati) (artt. 28 e 29 nLPD);
  • il di­rit­to di non es­se­re og­get­to di una de­ci­sio­ne in­di­vi­dua­le au­to­ma­tiz­za­ta (art. 21 nLPD).

Al­cu­ne vio­la­zio­ni (po­ten­zial­men­te) in­ten­zio­na­li del­l'ob­bli­go di in­for­ma­zio­ne sono pu­ni­bi­li (art. 60 nLPD). Le im­pre­se de­vo­no quin­di as­si­cu­rar­si di avere sem­pre una vi­sio­ne d'in­sie­me dei dati per­so­na­li che trat­ta­no e di es­se­re in grado di ri­spon­de­re alle ri­chie­ste degli in­te­res­sa­ti nei tempi e nelle forme pre­vi­ste. 

No. Il trat­ta­men­to dei dati per­so­na­li è con­sen­ti­to sia dalla legge vi­gen­te che da quel­la nuova, a con­di­zio­ne che non vi sia una vio­la­zio­ne il­le­ga­le della pri­va­cy degli in­te­res­sa­ti. Una vio­la­zio­ne della pri­va­cy si ve­ri­fi­ca in par­ti­co­la­re quan­do:

  • il trat­ta­men­to dei dati per­so­na­li non ri­spet­ta i prin­ci­pi del trat­ta­men­to dei dati (art. 6 nLPD) e della si­cu­rez­za dei dati (art. 8 nLPD);
  • al­cu­ni dati per­so­na­li sono trat­ta­ti con­tra­ria­men­te alla di­chia­ra­zio­ne di vo­lon­tà espres­sa dalla per­so­na in­te­res­sa­ta;
  • al­cu­ni dati per­so­na­li sen­si­bi­li sono co­mu­ni­ca­ti a terzi.

A dif­fe­ren­za del GDPR, in linea di prin­ci­pio non è ri­chie­sta una giu­sti­fi­ca­zio­ne (si veda anche il punto 5). Per­tan­to, ai sensi della nLPD, con­ti­nua ad ap­pli­car­si il «prin­ci­pio del­l'au­to­riz­za­zio­ne con ri­ser­va di obie­zio­ne», men­tre se­con­do il GDPR si ap­pli­ca il «di­vie­to di prin­ci­pio con ri­ser­va di au­to­riz­za­zio­ne» (artt. 6 e 9 GDPR).

Gli ope­ra­to­ri ester­ni che trat­ta­no dati per­so­na­li per conto e su istru­zio­ni del com­mit­ten­te o del «re­spon­sa­bi­le del trat­ta­men­to» (si veda il suc­ces­si­vo punto 12), come i for­ni­to­ri di ser­vi­zi cloud, gli host web, i ser­vi­zi di ge­stio­ne dei sa­la­ri, ecc. sono con­si­de­ra­ti «in­ca­ri­ca­ti del trat­ta­men­to» (art. 5, lett. k nLPD).

Il trat­ta­men­to dei dati per­so­na­li può - come av­vie­ne già oggi - es­se­re af­fi­da­to per con­trat­to o per legge a un in­ca­ri­ca­to del trat­ta­men­to, se l'in­ca­ri­ca­to del trat­ta­men­to trat­ta i dati come sa­reb­be au­to­riz­za­to a fare il re­spon­sa­bi­le del trat­ta­men­to e se nes­sun ob­bli­go le­ga­le o con­trat­tua­le di man­te­ne­re la se­gre­tez­za vieta la de­le­ga (art. 9 nLPD). Il ri­cor­so a un in­ca­ri­ca­to del trat­ta­men­to pre­sup­po­ne quin­di in ge­ne­re un con­trat­to scrit­to (ac­cor­do per il trat­ta­men­to dei dati da parte di un in­ca­ri­ca­to o CTD). Prima della de­le­ga, il com­mit­ten­te o il re­spon­sa­bi­le deve as­si­cu­rar­si che l'in­ca­ri­ca­to del trat­ta­men­to sia in grado di ga­ran­ti­re la si­cu­rez­za dei dati (art. 8 nLPD e art. 1 e segg. OPDa). L'in­ca­ri­ca­to del trat­ta­men­to è ob­bli­ga­to per legge a ot­te­ne­re un'au­to­riz­za­zio­ne pre­ven­ti­va (ge­ne­ra­le o spe­ci­fi­ca) dal re­spon­sa­bi­le del trat­ta­men­to prima di ri­cor­re­re a un terzo per il trat­ta­men­to dei dati (art. 7 OPDa). Le parti pos­so­no in­clu­de­re altri punti nel CTD (ad esem­pio, la pro­ce­du­ra da se­gui­re in caso di re­cla­mo da parte degli in­te­res­sa­ti o di vio­la­zio­ne della si­cu­rez­za dei dati, i di­rit­ti di ve­ri­fi­ca e con­trol­lo, la re­spon­sa­bi­li­tà, il foro com­pe­ten­te, ecc. In pra­ti­ca, ven­go­no co­mu­ne­men­te uti­liz­za­ti con­trat­ti-mo­del­lo ba­sa­ti sul con­te­nu­to mi­ni­mo se­con­do il GDPR.

Il fatto di af­fi­da­re in­ten­zio­nal­men­te il trat­ta­men­to dei dati ad un su­bap­pal­ta­to­re men­tre le con­di­zio­ni pre­vi­ste dal­l'art. 9 cpv. 1 e 2 non sono sod­di­sfat­te è pu­ni­bi­le (art. 61 lett. b nLPD).

Per di­vul­ga­zio­ne di dati per­so­na­li si in­ten­de «la tra­smis­sio­ne o la messa a di­spo­si­zio­ne di dati per­so­na­li» (art. 5 lett. b nLPD). Per­tan­to, anche la sem­pli­ce pos­si­bi­li­tà di ac­ces­so ai dati da parte di un'or­ga­niz­za­zio­ne al­l'e­ste­ro (ad esem­pio, un team di as­si­sten­za) co­sti­tui­sce una di­vul­ga­zio­ne ai sensi della nLPD.

La co­mu­ni­ca­zio­ne di dati per­so­na­li al­l'e­ste­ro è au­to­riz­za­ta a con­di­zio­ne che lo Stato de­sti­na­ta­rio di­spon­ga di una le­gi­sla­zio­ne che ga­ran­ti­sca un li­vel­lo «ade­gua­to» di pro­te­zio­ne dei dati (art. 16 cpv. 1 nLPD). Gli Stati che sod­di­sfa­no que­sta con­di­zio­ne sono de­fi­ni­ti dal Con­si­glio fe­de­ra­le e pub­bli­ca­ti nel­l'Al­le­ga­to 1 del­l'Or­di­nan­za sulla pro­te­zio­ne dei dati

Per con­tro, ciò si­gni­fi­ca che tutti gli Stati che non fi­gu­ra­no su que­sta lista non di­spon­go­no di un li­vel­lo di pro­te­zio­ne dei dati «ade­gua­to» e che quin­di i dati per­so­na­li pos­so­no es­se­re co­mu­ni­ca­ti solo se ven­go­no adot­ta­te mi­su­re di pro­te­zio­ne ag­giun­ti­ve (art. 16, cpv. 2 e art. 17 nLPD non­ché art. 9 OPDa). A tal fine si uti­liz­za­no le clau­so­le con­trat­tua­li stan­dard di pro­te­zio­ne dei dati (SCC). L'e­spor­ta­to­re di dati deve adot­ta­re mi­su­re ade­gua­te per ga­ran­ti­re che il de­sti­na­ta­rio dei dati ri­spet­ti le SCC (art. 10 OPDa). Dato che le SCC sono vin­co­lan­ti solo per il de­sti­na­ta­rio in quan­to parte con­traen­te, ma non per le au­to­ri­tà lo­ca­li, e che i dati per­so­na­li tra­sfe­ri­ti non sono quin­di pro­tet­ti dal­l'ac­ces­so da parte di uno Stato, l'e­spor­ta­to­re di dati deve in­nan­zi­tut­to va­lu­ta­re il ri­schio di ac­ces­so ai dati da parte delle au­to­ri­tà dal punto di vista sviz­ze­ro, ef­fet­tuan­do un «Trans­fer Risk As­sess­ment» (TIA) (clau­so­la 14 SCC). A se­con­da del ri­schio, è ne­ces­sa­rio adot­ta­re ul­te­rio­ri mi­su­re di pro­te­zio­ne (ad esem­pio, pseu­do­ni­miz­za­zio­ne, crit­to­gra­fia dei dati) o non tra­sfe­ri­re i dati.

La vio­la­zio­ne (po­ten­zial­men­te) in­ten­zio­na­le delle di­spo­si­zio­ni re­la­ti­ve alla co­mu­ni­ca­zio­ne di dati per­so­na­li al­l'e­ste­ro è sog­get­ta a san­zio­ni (art. 61, lett. a nLPD).

Per quan­to con­cer­ne la co­mu­ni­ca­zio­ne di dati per­so­na­li agli Stati Uniti, vor­rem­mo ri­chia­ma­re l'at­ten­zio­ne sul nuovo Data Pri­va­cy Fra­mework (DPF) UE-USA, che con­sen­te alle azien­de sta­tu­ni­ten­si di es­se­re cer­ti­fi­ca­te come im­por­ta­to­ri di dati. Dalla de­ci­sio­ne di ade­gua­tez­za della Com­mis­sio­ne eu­ro­pea del 10 lu­glio 2023, i tra­sfe­ri­men­ti di dati dal­l'UE a so­cie­tà sta­tu­ni­ten­si cer­ti­fi­ca­te ai sensi del Data Pri­va­cy Fra­mework sono con­si­de­ra­ti tra­sfe­ri­men­ti di dati verso un paese che offre un li­vel­lo «ade­gua­to» di pro­te­zio­ne dei dati (si veda il link al co­mu­ni­ca­to stam­pa). Si pre­ve­de che l'I­FPDT sta­bi­li­rà a breve il li­vel­lo di pro­te­zio­ne per la Sviz­ze­ra (CH-US Data Pri­va­cy Fra­mework) per i tra­sfe­ri­men­ti di dati nel­l'am­bi­to di que­sto qua­dro.

La nuova legge sulla pro­te­zio­ne dei dati ha in­tro­dot­to al­cu­ni nuovi ter­mi­ni o li ha par­zial­men­te ar­mo­niz­za­ti con il GDPR. I prin­ci­pa­li sono:

  • I dati per­so­na­li: Il ter­mi­ne si ap­pli­ca solo alle per­so­ne fi­si­che. I dati re­la­ti­vi alle per­so­ne giu­ri­di­che non sono dun­que in­te­res­sa­ti e sono per­tan­to esclu­si dal campo di pro­te­zio­ne della LPD (art. 1 e art. 5, let. a nLPD).
  • I dati per­so­na­li sen­si­bi­li: Sono ora anche in­te­res­sa­ti i dati re­la­ti­vi al­l’ap­par­te­nen­za ad un’et­nia, i dati ge­ne­ti­ci e i dati bio­me­tri­ci (che per­met­to­no un’i­den­ti­fi­ca­zio­ne uni­vo­ca) (art. 5, let. c nLPD).
  • Re­spon­sa­bi­le del trat­ta­men­to: Cor­ri­spon­de al «de­ten­to­re di una col­le­zio­ne di dati» ai sensi della legge vi­gen­te e al «re­spon­sa­bi­le del trat­ta­men­to dei dati» ai sensi del GDPR. Si trat­ta di un pri­va­to (in par­ti­co­la­re un'a­zien­da) o di un ente fe­de­ra­le che, da solo o in­sie­me ad altri, de­ci­de le fi­na­li­tà e i mezzi del trat­ta­men­to dei dati per­so­na­li (art. 5, lett. j nLPD). Ad esem­pio, un da­to­re di la­vo­ro che trat­ta i dati per­so­na­li dei pro­pri di­pen­den­ti nel­l'am­bi­to del­l'e­se­cu­zio­ne del con­trat­to di la­vo­ro o un ri­ven­di­to­re che trat­ta i dati per­so­na­li dei pro­pri clien­ti nel­l'am­bi­to del­l'e­se­cu­zio­ne del con­trat­to di ven­di­ta.
  • In­ca­ri­ca­to del trat­ta­men­to: Un in­ca­ri­ca­to del trat­ta­men­to è una per­so­na che trat­ta dati per­so­na­li per conto del ti­to­la­re del trat­ta­men­to, ad esem­pio i for­ni­to­ri di ser­vi­zi cloud (art. 5 let. k nLPD, cfr. punto 10 sopra).
  • Pro­fi­ling: Que­sto ter­mi­ne si ri­fe­ri­sce a qual­sia­si forma di trat­ta­men­to au­to­ma­tiz­za­to di dati per­so­na­li che im­pli­ca l'u­ti­liz­zo di tali dati per va­lu­ta­re de­ter­mi­na­ti aspet­ti per­so­na­li re­la­ti­vi a una per­so­na fi­si­ca (in par­ti­co­la­re per ana­liz­za­re o pre­ve­de­re fat­to­ri quali il ren­di­men­to la­vo­ra­ti­vo, la si­tua­zio­ne eco­no­mi­ca, la sa­lu­te, le pre­fe­ren­ze per­so­na­li, gli in­te­res­si e il luogo di sog­gior­no). Con­se­guen­ze giu­ri­di­che più gravi si ap­pli­ca­no però solo alla «pro­fi­la­zio­ne ad alto ri­schio», che com­por­ta un ri­schio mar­ca­to per la per­so­na­li­tà o i di­rit­ti fon­da­men­ta­li della per­so­na in­te­res­sa­ta, per­ché porta a una cor­ri­spon­den­za di dati che con­sen­te di va­lu­ta­re le ca­rat­te­ri­sti­che per­so­na­li es­sen­zia­li di una per­so­na fi­si­ca. La pro­fi­la­zio­ne ad alto ri­schio è pa­ra­go­na­bi­le al­l'at­tua­le con­cet­to di «pro­fi­lo della per­so­na­li­tà». Va no­ta­to che la nLPD non in­tro­du­ce un re­qui­si­to di con­sen­so per la pro­fi­la­zio­ne ad alto ri­schio, ma si li­mi­ta a ri­chie­de­re che il con­sen­so, se do­ves­se es­se­re ri­chie­sto come giu­sti­fi­ca­zio­ne ai sensi del­l'art. 31 nLPD, sia «espli­ci­to». In que­sto con­te­sto, va ri­cor­da­to che il trat­ta­men­to dei dati per­so­na­li non ri­chie­de in linea di prin­ci­pio al­cu­na giu­sti­fi­ca­zio­ne, né ai sensi della legge esi­sten­te né ai sensi della nuova legge (cfr. punti 5 e 9). 
  • Prin­ci­pi di «Pri­va­cy by De­si­gn» e di «Pri­va­cy by De­fault»: La nLPD in­tro­du­ce i prin­ci­pi di «Pri­va­cy by De­si­gn» e «Pri­va­cy by De­fault». Come sug­ge­ri­sce il nome, il prin­ci­pio della «Pri­va­cy by De­si­gn» si­gni­fi­ca che de­vo­no es­se­re adot­ta­te mi­su­re tec­ni­che e or­ga­niz­za­ti­ve fin dalla pro­get­ta­zio­ne di un si­ste­ma di trat­ta­men­to, in par­ti­co­la­re per ga­ran­ti­re la si­cu­rez­za dei dati per­so­na­li. Il prin­ci­pio della «Pri­va­cy by De­fault» si­gni­fi­ca che le im­po­sta­zio­ni pre­de­fi­ni­te di un si­ste­ma di ela­bo­ra­zio­ne dati de­vo­no es­se­re con­fi­gu­ra­te in modo tale da trat­ta­re solo i dati per­so­na­li ef­fet­ti­va­men­te ne­ces­sa­ri per lo scopo di ela­bo­ra­zio­ne spe­ci­fi­ca­to. Que­sta di­spo­si­zio­ne mira a pro­teg­ge­re gli uten­ti non tec­ni­ci che non sanno come mo­di­fi­ca­re le im­po­sta­zio­ni di pro­te­zio­ne dei dati in base alle pro­prie pre­fe­ren­ze. Va no­ta­to che è ne­ces­sa­rio ef­fet­tua­re im­po­sta­zio­ni pre­li­mi­na­ri fa­vo­re­vo­li alla pro­te­zio­ne dei dati solo nei casi in cui le im­po­sta­zio­ni pos­so­no es­se­re mo­di­fi­ca­te. 

In caso di vio­la­zio­ne della nuova legge, po­tre­ste es­se­re pas­si­bi­li di san­zio­ni pe­cu­nia­rie fino a 250’000 fran­chi sviz­ze­ri (se ad esem­pio non ri­spet­ta­te i vo­stri ob­bli­ghi di in­for­ma­zio­ne - artt. 19 e segg. e 25 e segg. nLPD) o del vo­stro do­ve­re di di­li­gen­za, ad esem­pio tra­sfe­ren­do il­le­gal­men­te dati per­so­na­li al­l'e­ste­ro (art. 16 f. nLPD) o a un in­ca­ri­ca­to del trat­ta­men­to (art. 9 nLPD) o se non ri­spet­ta­te i re­qui­si­ti mi­ni­mi di si­cu­rez­za dei dati (art. 8 nLPD in re­la­zio­ne con l'art. 1 f. OPDa). A dif­fe­ren­za del GDPR, le san­zio­ni pre­vi­ste dalla nLPD non sono di­ret­te con­tro l'im­pre­sa che com­met­te l'in­fra­zio­ne, ma con­tro la per­so­na re­spon­sa­bi­le del ri­spet­to della pro­te­zio­ne dei dati (il di­ret­to­re o il mem­bro del con­si­glio di am­mi­ni­stra­zio­ne, ma anche, in de­ter­mi­na­te cir­co­stan­ze, altri di­pen­den­ti). Solo il com­por­ta­men­to (po­ten­zial­men­te) in­ten­zio­na­le è pu­ni­bi­le (art. 60 e segg. nLPD). In via ec­ce­zio­na­le, anche le im­pre­se pos­so­no es­se­re di­ret­ta­men­te coin­vol­te se è pre­vi­sta una multa fino a 50’000 fran­chi sviz­ze­ri e se l'i­den­ti­fi­ca­zio­ne del col­pe­vo­le al­l'in­ter­no del­l'a­zien­da o del­l'or­ga­niz­za­zio­ne com­por­te­reb­be costi di in­da­gi­ne spro­por­zio­na­ti (art. 64, cpv. 2 nLPD). 

Igno­ra­re la (nuova) legge sulla pro­te­zio­ne dei dati può avere con­se­guen­ze non solo per il re­spon­sa­bi­le al­l'in­ter­no di un'im­pre­sa, ma anche per l'im­pre­sa stes­sa, e in par­ti­co­la­re per la sua re­pu­ta­zio­ne. Anche i po­te­ri del­l'In­ca­ri­ca­to fe­de­ra­le della pro­te­zio­ne dei dati (IFPDT) sono stati am­plia­ti (art. 51 nLPD). Ora può non solo emet­te­re rac­co­man­da­zio­ni, ma anche or­di­na­re mi­su­re am­mi­ni­stra­ti­ve (ad esem­pio or­di­na­re l'a­de­gua­men­to, l'in­ter­ru­zio­ne o la can­cel­la­zio­ne del trat­ta­men­to o la can­cel­la­zio­ne dei dati per­so­na­li), che pos­so­no es­se­re una mi­su­ra dra­sti­ca per al­cu­ne azien­de.

Il primo passo è pre­pa­rar­si il prima pos­si­bi­le, ef­fet­tuan­do un'a­na­li­si delle la­cu­ne per adat­ta­re gra­dual­men­te la con­for­mi­tà alla pro­te­zio­ne dei dati a que­sto nuovo re­gi­me nor­ma­ti­vo. A se­con­da delle di­men­sio­ni del­l'im­pre­sa e del­l'en­ti­tà del trat­ta­men­to dei dati, que­sto pro­ces­so può ri­chie­de­re pochi gior­ni o di­ver­si mesi. Per le im­pre­se già con­for­mi al GDPR, il com­pi­to sarà ov­via­men­te più sem­pli­ce ri­spet­to a quel­le che sono an­co­ra agli inizi. È co­mun­que op­por­tu­no adot­ta­re so­lu­zio­ni prag­ma­ti­che, ossia ini­zia­re a im­ple­men­ta­re i re­qui­si­ti mi­ni­mi della legge (re­gi­stro, ob­bli­go di in­for­ma­zio­ne, con­trat­ti con i su­bap­pal­ta­to­ri, tra­sfe­ri­men­ti di dati verso paesi terzi, ecc.).

Un piano d'a­zio­ne do­vreb­be ba­sar­si sui se­guen­ti tre pi­la­stri: si­cu­rez­za in­for­ma­ti­ca, aspet­ti le­ga­li e go­ver­nan­ce dei dati. Su que­st'ul­ti­mo punto, eco­no­mie­suis­se ha re­dat­to una Carta del­l’e­co­no­mia sviz­ze­ra per una ge­stio­ne re­spon­sa­bi­le dei dati. Qua­lo­ra ne­ces­sa­rio, a causa della man­can­za di com­pe­ten­ze e/o di ri­sor­se in­ter­ne, le im­pre­se do­vreb­be­ro ri­cor­re­re ai ser­vi­zi di esper­ti di si­cu­rez­za in­for­ma­ti­ca e di pro­te­zio­ne dei dati, sia per re­di­ge­re o ef­fet­tua­re con­trol­li a cam­pio­ne su do­cu­men­ti (ad esem­pio, di­chia­ra­zio­ni sulla pro­te­zio­ne dei dati) o con­trat­ti (CTD), sia per ela­bo­ra­re pro­gram­mi det­ta­glia­ti di con­for­mi­tà (ad esem­pio, di­ret­ti­ve, pro­ces­si).

Senza en­tra­re nel det­ta­glio degli aspet­ti tec­ni­ci, le­ga­li e in­for­ma­ti­ci della con­for­mi­tà alla nLPD, un piano d'a­zio­ne prag­ma­ti­co do­vreb­be in­clu­de­re al­me­no le se­guen­ti mi­su­re:

  1. De­fi­ni­re le re­spon­sa­bi­li­tà e le fun­zio­ni
    Per quan­to ri­guar­da la pia­ni­fi­ca­zio­ne, è im­por­tan­te ini­zia­re con la de­fi­ni­zio­ne delle re­spon­sa­bi­li­tà e l'as­se­gna­zio­ne delle fun­zio­ni. È op­por­tu­no isti­tui­re un di­par­ti­men­to cen­tra­le per la pro­te­zio­ne dei dati (coor­di­na­to­re, per­so­na di con­tat­to).

    In que­sto con­te­sto, è pos­si­bi­le ve­ri­fi­ca­re ra­pi­da­men­te se è ne­ces­sa­rio no­mi­na­re un con­su­len­te per la pro­te­zio­ne dei dati (a dif­fe­ren­za del GDPR, la nLPD pre­ve­de che ciò sia fa­col­ta­ti­vo per i pri­va­ti - solo gli or­ga­ni fe­de­ra­li sono ob­bli­ga­ti per legge a farlo, art. 10 nLPD e art. 23 OPDa).
     
  2. Un in­ven­ta­rio glo­ba­le è es­sen­zia­le
    Le im­pre­se de­vo­no es­se­re in grado di ri­spon­de­re in qual­sia­si mo­men­to a qual­sia­si ri­chie­sta di in­for­ma­zio­ni, vale a dire che, in caso di rac­col­ta di dati per­so­na­li, de­vo­no for­ni­re in­for­ma­zio­ni sul­l'i­den­ti­tà del ti­to­la­re del trat­ta­men­to, sulle fi­na­li­tà del trat­ta­men­to, sugli even­tua­li de­sti­na­ta­ri dei dati, ecc. De­vo­no inol­tre es­se­re in grado di ri­spet­ta­re i di­rit­ti degli in­te­res­sa­ti, al fine di for­ni­re loro in­for­ma­zio­ni sul trat­ta­men­to dei loro dati per­so­na­li (art. 25 e segg. nLPD e art. 16 e segg. OPDa). Ciò pre­sup­po­ne che le im­pre­se sap­pia­no quali dati per­so­na­li ven­go­no trat­ta­ti e per quali fi­na­li­tà, se que­sti dati ven­go­no co­mu­ni­ca­ti ad altri paesi e ad altre per­so­ne, e così via. 

    Le im­pre­se de­vo­no quin­di ini­zia­re a fare il punto su tutti i dati che trat­ta­no. Il nuovo re­gi­stro ob­bli­ga­to­rio (il co­sid­det­to re­gi­stro delle at­ti­vi­tà di trat­ta­men­to) può ser­vi­re come punto di par­ten­za. Ciò non solo cree­rà una buona base per la ste­su­ra di altri do­cu­men­ti (ob­bli­ga­to­ri) sulla pro­te­zio­ne dei dati (di­spo­si­zio­ni sulla pro­te­zio­ne dei dati, su­bap­pal­to, ecc.), ma con­sen­ti­rà alle im­pre­se di dar se­gui­to al (pos­si­bi­le) ob­bli­go di te­ne­re un re­gi­stro delle at­ti­vi­tà di trat­ta­men­to. Tale re­gi­stro è uno sfor­zo col­let­ti­vo di tutti i col­la­bo­ra­to­ri coin­vol­ti nel trat­ta­men­to dei dati per­so­na­li.
     
  3. Ana­li­si delle la­cu­ne e va­lu­ta­zio­ne dei ri­schi 
    Il la­vo­ro ne­ces­sa­rio per rag­giun­ge­re la con­for­mi­tà può es­se­re iden­ti­fi­ca­to e quin­di do­cu­men­ta­to me­dian­te un'a­na­li­si delle la­cu­ne (con­fron­tan­do lo stato at­tua­le con l'o­biet­ti­vo da rag­giun­ge­re). A que­sto scopo si pos­so­no uti­liz­za­re anche i re­gi­stri mo­del­lo delle at­ti­vi­tà di ela­bo­ra­zio­ne. 

    Al­cu­ni ob­bli­ghi della nLPD, come i re­qui­si­ti di si­cu­rez­za dei dati, l'ob­bli­go per le PMI di te­ne­re un re­gi­stro delle at­ti­vi­tà di trat­ta­men­to o l'ob­bli­go di ef­fet­tua­re una va­lu­ta­zio­ne d'im­pat­to sulla pro­te­zio­ne dei dati, di­pen­do­no dal ri­schio che pre­sen­ta il trat­ta­men­to dei dati al­l'in­ter­no del­l'a­zien­da. È quin­di ne­ces­sa­ria una va­lu­ta­zio­ne pre­ven­ti­va del ri­schio per de­ter­mi­na­re le mi­su­re con­cre­te da at­tua­re. Per ga­ran­ti­re un'a­de­gua­ta si­cu­rez­za dei dati, è ne­ces­sa­rio de­ter­mi­na­re la ne­ces­si­tà di pro­teg­ge­re i dati per­so­na­li e de­fi­ni­re le mi­su­re tec­ni­che e or­ga­niz­za­ti­ve ade­gua­te alla luce del ri­schio. I cri­te­ri per de­ter­mi­na­re la ne­ces­si­tà di pro­teg­ge­re i dati per­so­na­li pos­so­no ba­sar­si sui cri­te­ri di cui al­l'art. 1 cpv. 2 del­l'OP­Da, men­tre i cri­te­ri per va­lu­ta­re il ri­schio per la per­so­na­li­tà o i di­rit­ti fon­da­men­ta­li della per­so­na in­te­res­sa­ta pos­so­no ba­sar­si sui cri­te­ri di cui al­l'art. 1 cpv. 3 del­l'OP­Da. Nella de­fi­ni­zio­ne delle mi­su­re tec­ni­che e or­ga­niz­za­ti­ve si deve te­ne­re conto anche dello stato della tec­ni­ca e dei costi di at­tua­zio­ne (art. 1 cpv. 4 OPDa).

    Pos­so­no sus­si­ste­re ri­schi mag­gio­ri e quin­di re­qui­si­ti più ele­va­ti in ter­mi­ni di con­for­mi­tà alle nor­ma­ti­ve sulla pro­te­zio­ne dei dati (in par­ti­co­la­re sulla si­cu­rez­za dei dati), ad esem­pio quan­do:
     
    • Le im­pre­se trat­ta­no gran­di vo­lu­mi di dati per­so­na­li. Esem­pio: le im­pre­se spe­cia­liz­za­te nelle ven­di­te on­li­ne o nel­l'im­port/ex­port hanno un ampio por­ta­fo­glio di clien­ti che ge­ne­ra­no un vo­lu­me si­gni­fi­ca­ti­vo di dati per­so­na­li.
    • Le im­pre­se trat­ta­no dati per­so­na­li par­ti­co­lar­men­te sen­si­bi­li (ai sensi del­l'art. 5, lett. c nLPD). Esem­pio: sono in­te­res­sa­te le im­pre­se che trat­ta­no dati per­so­na­li re­la­ti­vi a opi­nio­ni po­li­ti­che, re­li­gio­ne, sa­lu­te, dati ge­ne­ti­ci, etnia, as­si­sten­za so­cia­le, pro­ce­di­men­ti giu­di­zia­ri, ecc. 
    • Le im­pre­se ef­fet­tua­no una pro­fi­la­zio­ne ad alto ri­schio.
    • Le im­pre­se adot­ta­no de­ci­sio­ni in­di­vi­dua­li au­to­ma­tiz­za­te.
       
    In que­sti casi, i re­qui­si­ti in ter­mi­ni di pro­te­zio­ne dei dati, e in par­ti­co­la­re di si­cu­rez­za dei dati, sono più se­ve­ri ri­spet­to alle im­pre­se che trat­ta­no i dati di un nu­me­ro li­mi­ta­to di di­pen­den­ti, for­ni­to­ri, clien­ti, ecc. 

    A se­con­da dei casi e del vo­lu­me di dati per­so­na­li trat­ta­ti, que­sto la­vo­ro di con­for­mi­tà ri­chie­de­rà lo svi­lup­po di una certa com­pe­ten­za o il ri­cor­so ad esper­ti e, su base re­go­la­re, la crea­zio­ne di pro­ces­si in­ter­ni per sod­di­sfa­re i re­qui­si­ti della legge. Non bi­so­gna sot­to­va­lu­ta­re le ri­sor­se ma­te­ria­li (soft­ware di ge­stio­ne dei dati, ecc.), umane (no­mi­na di un re­spon­sa­bi­le della pro­te­zio­ne dei dati, ecc.) e il tempo ne­ces­sa­rio.

    A se­con­da del grado di con­for­mi­tà, le im­pre­se sono for­te­men­te in­co­rag­gia­te a ri­cor­re­re ai ser­vi­zi di esper­ti in­for­ma­ti­ci e av­vo­ca­ti, non­ché alla for­ma­zio­ne of­fer­ta dalle Ca­me­re di com­mer­cio.
     
  4. Sen­si­bi­liz­za­re
    In­di­pen­den­te­men­te dalle di­men­sio­ni del­l'im­pre­sa: tutti i di­pen­den­ti, dagli ap­pren­di­sti ai re­spon­sa­bi­li di im­pre­sa, de­vo­no es­se­re sen­si­bi­liz­za­ti sulle que­stio­ni re­la­ti­ve alla pro­te­zio­ne dei dati. Ri­ce­zio­ni­sti, pro­ject ma­na­ger, re­spon­sa­bi­li delle ri­sor­se umane, con­su­len­ti, li­be­ri pro­fes­sio­ni­sti, di­ret­to­ri d'im­pre­sa: i col­la­bo­ra­to­ri di ogni li­vel­lo di un'im­pre­sa trat­ta­no re­go­lar­men­te dati per­so­na­li e ne hanno la re­spon­sa­bi­li­tà pe­na­le.

    Né la nLPD né il GDPR ri­chie­do­no espli­ci­ta­men­te l'or­ga­niz­za­zio­ne di corsi di for­ma­zio­ne, ma nella pra­ti­ca que­sti sono spes­so ne­ces­sa­ri (e pos­so­no avere l'ef­fet­to di ri­dur­re la re­spon­sa­bi­li­tà in caso di reato) per crea­re la ne­ces­sa­ria con­sa­pe­vo­lez­za su que­sto tema al­l'in­ter­no del­l'a­zien­da. 

    Esem­pio: un ri­ce­zio­ni­sta tiene un re­gi­stro dei vi­si­ta­to­ri di un'im­pre­sa. Rac­co­glien­do e ar­chi­vian­do il nome e il co­gno­me delle per­so­ne che vi­si­ta­no l'a­zien­da, il ri­ce­zio­ni­sta sta già trat­tan­do dati per­so­na­li.
     
  5. Tra­spa­ren­za e in­for­ma­zio­ne
    La tra­spa­ren­za nel trat­ta­men­to dei dati ri­ma­ne un prin­ci­pio im­por­tan­te ai sensi della nuova LPD. Esi­ste anche l'ob­bli­go di for­ni­re in­for­ma­zio­ni al mo­men­to della rac­col­ta dei dati. Il re­spon­sa­bi­le del trat­ta­men­to dei dati è te­nu­to a in­for­ma­re gli in­te­res­sa­ti su vari aspet­ti del trat­ta­men­to dei dati. La ste­su­ra e l'ag­gior­na­men­to di una di­chia­ra­zio­ne sulla pro­te­zio­ne dei dati è es­sen­zia­le in vista del­l'en­tra­ta in vi­go­re della nLPD (sul sito web del­l'im­pre­sa, ma anche nella cor­ri­spon­den­za).
     
  6. Si­cu­rez­za in­for­ma­ti­ca
    Per quan­to con­cer­ne la si­cu­rez­za dei dati, le im­pre­se de­vo­no ga­ran­ti­re che la si­cu­rez­za dei loro si­ste­mi in­for­ma­ti­ci e delle ap­pli­ca­zio­ni soft­ware sod­di­sfi i re­qui­si­ti della nuova legge. Ciò in­clu­de mi­su­re tec­ni­che e or­ga­niz­za­ti­ve (de­fi­ni­zio­ne dei di­rit­ti di ac­ces­so, pseu­do­ni­miz­za­zio­ne dei dati, ecc.) per pre­ve­ni­re at­tac­chi in­for­ma­ti­ci, ma­ni­po­la­zio­ne e furto di dati e altre per­di­te di dati. Lo scopo di que­ste mi­su­re è quel­lo di rag­giun­ge­re gli obiet­ti­vi di pro­te­zio­ne della si­cu­rez­za dei dati sta­bi­li­ti dal­l'art. 2 del­l'OP­Da (ri­ser­va­tez­za, di­spo­ni­bi­li­tà, in­te­gri­tà e trac­cia­bi­li­tà). 

    In que­sto con­te­sto, va no­ta­to che «per tutta la du­ra­ta del trat­ta­men­to», vi è l'ob­bli­go di ve­ri­fi­ca­re e, se ne­ces­sa­rio, ade­gua­re le mi­su­re adot­ta­te e che una vio­la­zio­ne in­ten­zio­na­le dei re­qui­si­ti mi­ni­mi di si­cu­rez­za dei dati è sog­get­ta a san­zio­ni (art. 61, lett. c nLPD).
     
  7. Or­ga­niz­za­zio­ne e pro­ce­du­re in­ter­ne
    Per ri­spon­de­re con­for­me­men­te alle esi­gen­ze della nuova legge a qual­sia­si ri­chie­sta ester­na (ri­chie­ste di in­for­ma­zio­ni o can­cel­la­zio­ne dei dati per­so­na­li di un clien­te) o in­ci­den­ti che com­por­ta­no la fuga, la per­di­ta o l'uso im­pro­prio di dati per­so­na­li, oc­cor­re sta­bi­li­re pro­ce­du­re in­ter­ne chia­re non­ché re­go­la­men­ti o di­ret­ti­ve. A se­con­da del­l'in­ci­den­te, que­sti ul­ti­mi de­vo­no de­fi­ni­re in par­ti­co­la­re quale/i col­la­bo­ra­to­re/i (com­pre­si i so­sti­tu­ti) de­vo­no in­tra­pren­de­re quale/i azio­ne/i ed entro quale/i tempo/i.

    Esem­pio: in caso di vio­la­zio­ne della si­cu­rez­za dei dati, le pro­ce­du­re do­vreb­be­ro sta­bi­li­re le si­tua­zio­ni e i cri­te­ri per va­lu­ta­re se un in­ci­den­te debba es­se­re se­gna­la­to alle au­to­ri­tà. Tali pro­ce­du­re de­vo­no inol­tre in­clu­de­re spie­ga­zio­ni chia­re che in­di­chi­no quale col­la­bo­ra­to­re deve se­gna­la­re l'in­ci­den­te, entro quale ter­mi­ne, in quale forma e a quale au­to­ri­tà. Tali pro­ce­du­re pos­so­no as­su­me­re la forma di liste di con­trol­lo (check-lists).
     
  8. Al­le­sti­re un re­gi­stro delle at­ti­vi­tà
    La nLPD pre­ve­de che il ti­to­la­re e il re­spon­sa­bi­le del trat­ta­men­to ten­ga­no cia­scu­no un re­gi­stro delle pro­prie at­ti­vi­tà. Tale ob­bli­go vale per tutte le im­pre­se. Il Con­si­glio fe­de­ra­le può però pre­ve­de­re ec­ce­zio­ni per le im­pre­se con meno di 250 col­la­bo­ra­to­ri (art. 12 cpv. 2 nLPD e art. 24 OPDa). 

    La crea­zio­ne di tali elen­chi pre­sup­po­ne che tutti i trat­ta­men­ti di dati per­so­na­li al­l'in­ter­no di un'im­pre­sa siano iden­ti­fi­ca­ti e rac­col­ti si­ste­ma­ti­ca­men­te. So­prat­tut­to nei casi in cui tale re­gi­stro non è an­co­ra te­nu­to e lad­do­ve ven­ga­no ese­gui­te molte ope­ra­zio­ni di­ver­se, que­sta pro­ce­du­ra com­por­ta un la­vo­ro con­si­de­re­vo­le e do­vreb­be per­tan­to es­se­re av­via­ta in una fase ini­zia­le.
     
  9. Re­vi­sio­ne dei con­trat­ti
    Alla luce dei cam­bia­men­ti che in­ter­ver­ran­no con la nuova legge e da qui alla sua en­tra­ta in vi­go­re, le im­pre­se do­vreb­be­ro esa­mi­na­re – e se ne­ces­sa­rio ade­gua­re – i con­trat­ti sti­pu­la­ti con i pro­pri clien­ti, for­ni­to­ri, pre­sta­to­ri di ser­vi­zi ma anche con i pro­pri col­la­bo­ra­to­ri. È im­por­tan­te agire tem­pe­sti­va­men­te. Anche una ra­pi­da at­tua­zio­ne ha senso, poi­ché è pre­ve­di­bi­le che molti part­ner con­trat­tua­li a loro volta ri­chie­da­no con­trat­ti – o un adat­ta­men­to di con­trat­ti già esi­sten­ti – che in­clu­da­no clau­so­le in linea con la nuova legge sulla pro­te­zio­ne dei dati. 
     
  10. Ri­ma­ne­re in­for­ma­ti
    Per com­pren­de­re le im­pli­ca­zio­ni del ri­spet­to della nLPD, è ne­ces­sa­rio saper as­si­mi­la­re le pro­ble­ma­ti­che e le im­pli­ca­zio­ni con­cre­te della nuova legge sulle pro­ce­du­re di la­vo­ro. In­for­ma­te­vi con­sul­tan­do i siti delle au­to­ri­tà ga­ran­ti della pro­te­zio­ne dei dati (IFPDT), blog e ri­vi­ste spe­cia­liz­za­te e par­te­ci­pa­te ai vari corsi di for­ma­zio­ne (of­fer­ti, ad esem­pio, dalle Ca­me­re di Com­mer­cio).
    Va no­ta­to che ga­ran­ti­re la con­for­mi­tà alla pro­te­zio­ne dei dati non è un eser­ci­zio pun­tua­le. Al con­tra­rio, que­st’ul­ti­ma deve es­se­re con­trol­la­ta re­go­lar­men­te e, se ne­ces­sa­rio, adat­ta­ta, in par­ti­co­la­re in vista degli svi­lup­pi tec­ni­ci (ad esem­pio nuovi si­ste­mi in­for­ma­ti­ci), giu­ri­di­ci (ad esem­pio ade­gua­men­ti le­gi­sla­ti­vi o pras­si delle au­to­ri­tà), azien­da­li (ad esem­pio nuovi si­ste­mi in­for­ma­ti­ci) e com­mer­cia­li (ad esem­pio nuovi ser­vi­zi, nuove fi­lia­li in altri paesi). Per quan­to ri­guar­da la si­cu­rez­za dei dati, l'art. 1 cpv. 5, OPDa pre­scri­ve espli­ci­ta­men­te che la ne­ces­si­tà di pro­te­zio­ne dei dati per­so­na­li, il ri­schio con­nes­so non­ché le mi­su­re tec­ni­che e or­ga­niz­za­ti­ve deb­ba­no es­se­re ri­va­lu­ta­te per tutta la du­ra­ta del trat­ta­men­to e adat­ta­te se ne­ces­sa­rio. È im­por­tan­te sta­bi­li­re le mo­da­li­tà e le re­spon­sa­bi­li­tà di tali ve­ri­fi­che.