La nuova legge federale svizzera sulla protezione dei dati personali: un avvicinamento al GDPR

31/03/2023

nuova legge federale svizzera

Con la revisione della Legge federale Svizzera sulla protezione dei dati (“nLPD”), la cui entrata in vigore è prevista dal Consiglio Federale per giorno 1 settembre 2023, nel territorio elvetico cambieranno alcuni aspetti relativi al trattamento dei dati personali.

Dal 1992, anno in cui è stata introdotta la prima legge federale svizzera sulla protezione dei dati, la diffusione di nuove tecnologie, come internet, i social network, il Cloud Computing e l’Internet of Things, ha reso necessaria una totale rielaborazione della nLPD al fine di garantire una protezione dei dati adeguata e adattata alle evoluzioni tecnologiche e sociali intervenute.

Non può non osservarsi come l’intervento del legislatore svizzero abbia tenuto in elevata considerazione la disciplina europea in materia di protezione dei dati personali e in particolare il Regolamento (UE) 2016/679 (di seguito “Regolamento” o “GDPR”). La nLPD si applicherà anche ad aziende estere che operano nel mercato svizzero o il cui trattamento ha effetto nel paese elvetico, se il trattamento comporta un elevato rischio per le persone interessate in relazione all’offerta di beni o servizi o allo scopo di monitorarne il comportamento.

 Le principali novità della legge federale sono le seguenti:

  1.       Campo di applicazione: la nLPD si limita a proteggere i dati delle persone fisiche; in precedenza, la LPD si applicava anche ai dati di persone giuridiche.
  2.       Dati personali degni di particolare protezione: tra i “dati personali degni di particolare protezione”, concetto equiparabile a quello di “dati particolari” ex art. 9 GDPR, sono ora inclusi anche i dati genetici e i dati biometrici.
  3.       Privacy by desing e privacy by default: la nLPD introduce i principi di “privacy by design” e “privacy by default”, obbligando autorità e imprese ad attuare tali principi di trattamento.
  4.       Valutazioni di impatto sulla protezione dei dati: le aziende sono tenute ad eseguire e documentare una valutazione d’impatto qualora un trattamento di dati comporti un rischio elevato per la personalità o di diritti fondamentali di una persona interessata.
  5.       Obbligo di notifica all’Incaricato Federale della Protezione dei dati e della Trasparenza (“IFPDT”): ogni violazione della sicurezza dei dati (perdita, cancellazione, distruzione, modifica, accesso non autorizzato) che comporti un rischio elevato per la personalità o i diritti fondamentali della persona interessata dovranno essere notificate all’IFPDT il più rapidamente possibile; l’obbligo di notifica non sussiste in caso di attacchi cibernetici respinti con successo o falliti.
  6.       Maggiore trasparenza: le aziende dovranno informare gli interessati in maniera adeguata su ogni raccolta di dati; finora era previsto un obbligo di informazione solo in presenza di un trattamento di dati degni di particolare protezione. Dovranno essere comunicati identità e dati di contatto del titolare; lo scopo del trattamento; i destinatari e il paese destinatario in caso di trasferimento di dati all’estero.
  7.       Registro delle attività di trattamento: titolari e responsabili del trattamento devono tenere un registro di tutte le attività di trattamento; il Consiglio federale svizzero può prevedere eccezioni per aziende fino a 250 collaboratori.
  8.       Profilazione: la nLPD disciplina per la prima volta la nozione di profilazione, ossia il trattamento di dati automatizzato per valutare determinati aspetti personali di un soggetto. A differenza del GDPR, l’obbligo di richiedere un consenso a tale trattamento sussiste solo per profilazioni con elevato rischio.

Permangono tuttavia sostanziali differenze tra il Regolamento e la nLPD. Ad esempio, ad eccezione del consenso richiesto per il trattamento di dati personali degni di particolare protezione e per la profilazione con elevato rischio, non è necessario alcun consenso o altro motivo di giustificazione (ossia la c.d. “base giuridica” di cui all’art. 6, GDPR) per il trattamento dei dati personali da parte delle aziende, a condizione che:

  1.       siano rispettati i principi di trattamento della trasparenza, del vincolo allo scopo, dell’adeguatezza e della sicurezza dei dati;
  2.       la persona interessata non si sia opposta al trattamento;
  3.       non vengano comunicati a terzi dati personali degni di particolare protezione.

È evidente che la nuova legge federale svizzera sulla protezione dei dati personali persegua non solo l’obiettivo di consentire all’Unione Europea di continuare a riconoscere il paese elvetico come Stato terzo con un adeguato livello di protezione, garantendo la libera circolazione dei dati tra Svizzera e Stati Membri, ma anche, di conseguenza, di evitare alle aziende svizzere di soffrire gravi svantaggi concorrenziali.

Non si farà attendere, probabilmente, il parere dell’European Data Protection Board (“EDPB”) sul punto.

Tuttavia, appare difficile aspettarsi un riscontro negativo: già dall’anno 2000 vige ormai una decisione di adeguatezza della protezione dei dati in territorio elvetico; inoltre, la nuova legge privacy svizzera tende sempre di più, come visto, ad avvicinarsi alle previsioni del Regolamento (UE) 2016/679.

Va peraltro osservato che il campo concreto di applicazione della sola nLPD è piuttosto ristretto in quanto limitato ai trattamenti di dati di persone che si trovano sul suolo elvetico o in paesi extraeuropei; le aziende svizzere che offrono servizi o comunque trattano dati di persone fisiche ubicate nel territorio europeo sono e rimarranno tenute alla compliance al GDPR. Ne consegue che la possibilità di trattare dati personali per finalità di marketing senza consenso dell’interessato, come previsto dalla normativa svizzera, non troverà applicazione nei confronti di utenti, clienti, consumatori e interessati in genere del grande mercato unico europeo che circonda il Paese dei Cantoni.

Torna alle news