Il Regolamento europeo n. 679/2016 è stato più volte indicato come nuovo standard mondiale in materia di privacy e protezione dei dati personali. Tra i Paesi che stanno modificando la loro legislazione vi è la Svizzera: la nuova Legge svizzera sulla protezione dei dati cambia il nome di alcuni istituti (es. non più “detentore di dati” ma “titolare del trattamento”) e rivede in modo sistematico il suo impianto per avvicinarsi alla normativa europea. Rimangono, tuttavia, alcune differenze rilevanti, sia per le imprese elvetiche, che per le imprese italiane che trattano dati personali di soggetti interessati svizzeri.
Legge federale svizzera sulla protezione dei dati: le novità e le differenze più rilevanti
La nuova legge federale sulla protezione dei dati (LPD) della Confederazione Svizzera è stata adottata il 25 settembre 2020 ma entrerà in vigore solo successivamente al 1° gennaio 2022.
Sebbene sia stato molto enfatizzato il principio di accountability, sappiamo che le misure di sicurezza che il GDPR chiede di applicare a ogni titolare sono, in parte, definite dalla normativa degli Stati membri, e da provvedimenti generali delle Autorità di controllo. La LPD, nel prevedere l’obbligo del titolare di garantire provvedimenti (“misure”) tecnici e organizzativi perché la sicurezza dei dati personali sia adeguata al rischio, esplicitamente prevede un elenco di misure minime, demandando al Consiglio federale l’emanazione delle norme di dettaglio.
Vi sono alcune differenze rilevanti da tenere in debita considerazione ai fini dell’adeguamento della propria organizzazione.
Ad esempio, il Responsabile per la protezione dei dati viene introdotto, con prerogative parzialmente diverse, come “Consulente per la protezione dei dati”.
Viene meno l’obbligo, per le imprese svizzere, di effettuare una notifica preventiva della “collezione di dati”, dovuta sulla base della precedente normativa, e rivolta all’Incaricato federale della protezione dei dati e della trasparenza. Seppur in presenza di alcune eccezioni, l’istituto della notifica preventiva imponeva una continua attenzione ai detentori di collezioni dei dati che, solo in presenza di particolari deroghe o al conseguimento del marchio di qualità, potevano essere esentati dall’obbligo di notifica.
Marchio di qualità e certificazioni
L’art. 13 della nuova LPD mantiene l’istituto del marchio di qualità e delle certificazioni, rinnovando quanto già in essere nel territorio elvetico dalla modifica della precedente Legge nel 2008, e regolata dalla Ordinanza sulle certificazioni in materia di protezione dei dati. In seguito all’adozione della nuova normativa, infatti, dovranno essere riviste le Ordinanze attuative dei procedimenti e dei requisiti per ottenere certificazione e marchio di qualità. La certificazione consente di conseguire alcuni vantaggi, ad esempio la rinuncia dall’effettuazione di una valutazione di impatto ai sensi dell’art. 22 LPD.
Viene introdotto, invece, l’obbligo di notifica all’Incaricato Federale in caso di data breach ma, a differenza del testo europeo, la notifica deve avvenire “quanto prima” e non entro il termine di settantadue ore.
Il concetto di profilazione a rischio elevato
Rispetto alla disciplina europea, oltre al concetto di “profilazione” viene introdotto quello di “profilazione a rischio elevato”, che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata poiché comporta un collegamento tra dati che permette di valutare aspetti essenziali della personalità di una persona fisica. In questo caso, la base giuridica per il trattamento di dati personali può essere esclusivamente il consenso dell’interessato.
Viene meno, infine, rispetto alla previgente normativa, l’applicazione della disciplina di protezione dei dati personali per le persone giuridiche, trovando ormai applicazione solo per le persone fisiche, come da tempo previsto per la normativa europea.
La normativa applicabile per le imprese italo-svizzere
Oltre alle differenze con la disciplina europea, è bene soffermarsi su alcune disposizioni del nuovo testo che comportano obblighi particolari per le imprese che svolgono la loro attività in Italia e in Svizzera.
Quale delle due normative dovranno applicare queste imprese su entrambi i lati del confine?
L’art. 3 della legge svizzera sulla protezione dei dati prevede che “La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero”. Il criterio di applicazione territoriale della Legge è quindi parzialmente diverso da quello previsto per definire l’ambito territoriale dall’art. 3 GDPR, ovvero lo stabilimento del titolare del trattamento nell’Unione o agli interessati che “si trovino” nel territorio dell’Unione Europea o ai titolari che non abbiano il loro stabilimento nell’Unione ma soggetti alla normativa europea in forza del diritto internazionale pubblico.
Richiamando il caso delle imprese italo-svizzere, si possono presentare vari scenari in cui sia necessario applicare entrambe le normative. Ad esempio, la società con sede in Svizzera che vende i propri prodotti tramite commercio elettronico avrebbe già dovuto applicare le disposizioni del GDPR, come pure l’azienda italiana che tratta dati personali ai fini, per esempio, per la fornitura di servizi in Svizzera, dovrà dimostrare di aver adottato i provvedimenti di sicurezza previsti dalla LPD.
Ogni organizzazione dovrebbe, pertanto, rivedere la mappatura dei propri trattamenti non solo al fine di effettuare un’analisi del rischio in applicazione del principio di accountability, ma anche per distinguere le differenze normative presenti nei due testi.
La nomina di un Rappresentante del titolare del trattamento
Come si vedrà di seguito, l’applicazione della normativa italiana in luogo di quella svizzera, e viceversa, potrebbero richiedere modifiche alle procedure interna e l’adozione di misure espressamente previste dalle norme nazionali.
Entrambe le normative prevedono la nomina di un Rappresentante del titolare del trattamento. Rispettivamente, l’azienda privata italiana dovrà designare ai sensi dell’art. 14 LPD un Rappresentante in Svizzera se tratta dati personali concernenti persone in Svizzera e il trattamento ricade nei requisiti di offerta di merci o servizi che comportino un monitoraggio sistematico o su larga scala o di un trattamento periodico o che comporti un rischio elevato.
Viceversa, l’azienda con stabilimento presso la Confederazione Svizzera tenuta all’applicazione del Regolamento europeo n. 679/2016, dovrà nominare un Rappresentante nell’Unione Europea nei casi di cui all’art. 27 GDPR. I compiti del Rappresentante divergono parzialmente tra le due normative. Infatti, sebbene per entrambe funga da interlocutore con l’autorità di controllo e con gli interessati, secondo la normativa elvetica dovrebbe anche tenere una copia del registro delle attività di trattamento.
I trasferimenti di dati al di fuori del territorio della Confederazione Svizzera
Il GDPR, a fronte della libera circolazione dei dati all’interno del territorio dell’Unione Europea, prevede norme specifiche per regolare il trasferimento dei dati al di fuori dell’Unione. La LPD introduce dei meccanismi analoghi, richiedendo che il Consiglio Federale abbia constatato che la legislazione dello Stato destinatario o l’organismo internazionale garantisca una protezione adeguata dei dati. In assenza di tale decisione, l’art. 16 LPD individua ulteriori istituti che, in modo simile all’art. 46 GDPR, consentono di effettuare un trasferimento lecito di dati personali.
I trasferimenti di dati personali tra Italia e Svizzera sono resi leciti, con riferimento alla disciplina europea, alla Decisione della Commissione riguardante l’adeguatezza della protezione dei dati personali in Svizzera a norma della direttiva 95/46/CE – 26 luglio 2000.
Si tratta di disposizione parzialmente difforme da quanto oggi previsto dall’art. 7 Ordinanza relativa alla legge federale sulla protezione dei dati, secondo cui è l’Incaricato Federale a dover aggiornare l’elenco degli Stati che dispongono di una legislazione che assicuri una protezione adeguata dei dati.
Proprio sulla base di tale disposizione, recentemente, sulla scia della nota sentenza c.d. Schrems II della Corte di Giustizia Europea, anche la Federal Data Protection and Information Commissioner, in occasione dell’assessment annuale, ha deciso di rivedere la posizione degli Stati Uniti in tale elenco.
OLPD e misure pratiche da adottare
La Legge elvetica oggi in vigore rimanda, per l’individuazione di alcune categorie di provvedimenti (“misure”) tecnici e organizzativi obbligatori all’Ordinanza relativa alla legge federale sulla protezione dei dati (di seguito “OLPD”).
L’Ordinanza oggi prevede alcuni obblighi non presenti nella disciplina europea. Ad esempio, le indicazioni per effettuare la notifica delle collezioni di dati all’Incaricato Federale e i casi di eccezioni, un elenco di misure generali e particolari per la protezione dei dati, la verbalizzazione per i trattamenti automatizzati e la profilazione, l’obbligo per ogni detentore di dati di prevedere un regolamento interno che descriva l’organizzazione interno e le procedure interne.
Si tratta, pertanto, di misure che l’impresa-titolare del trattamento deve adottare in quanto imposto da un obbligo di legge.
Con la riforma della Legge sulla Protezione dei dati anche l’Ordinanza dovrà essere aggiornata per armonizzarsi con il nuovo impianto legislativo.
L’Ordinanza potrebbe essere utilizzata, inoltre, per introdurre alcune semplificazioni per le piccole e medie imprese, come per esempio già oggi previsto per le modalità semplificate per informare gli interessati. L’art. 12 della nuova LPD, infatti, prevede che il Consiglio Federale potrà prevedere eccezioni alla tenuta del registro per le imprese con meno di 250 collaboratori.
Un nuovo adeguamento per le imprese italo-svizzere
Le imprese italo-svizzere non dovranno semplicemente replicare le misure di protezione dei dati già in essere in applicazione del GDPR. La normativa elvetica, sebbene fortemente ispirata a quella europea, ha alcune peculiarità che devono essere affrontate in modo adeguato, al fine di accertare la liceità dei trattamenti dei dati secondo entrambe le normative. L’Ordinanza, una volta, aggiornata, indicherà ulteriori misure di dettaglio utili per le imprese. Come già visto nel nostro Paese, non è sufficiente conoscere il testo del Regolamento europeo, e anche la normativa nazionale e i provvedimenti generali del Garante privacy contengono misure di dettaglio che, se trascurate, espongono le persone fisiche a vuoti di tutela e le organizzazioni a sanzioni amministrative.
Le imprese che trattano dati personali di interessati europei e svizzeri devono porre al centro della propria organizzazione i principi privacy by design e privacy by default, anche per individuare i corretti obblighi derivanti dai due testi, e adottare misure per farli dialogare in modo armonioso.