Bandiera Svizzera e Bandiera Europea unite

LDP E GDPR A CONFRONTO

Uno strumento utile a confrontare la legge sulla protezione dati in Svizzera (LPD) e il Regolamento europeo 679/2016 (GDPR).

Il presente articolo analizzerà i principali elementi della legge sulla protezione dati in Svizzera e sul GDPR, mettendo in risalto le differenze e le affinità tra le due normative.

 

E nello specifico:

  1. Introduzione alla LPD, le novità apportate
  2. GDPR e LPD, elementi di innesto, ambito territoriale
  3. GDPR e LPD, come garantire un’adeguata protezione dei dati

1. INTRODUZIONE ALLA LPD, LE NOVITÀ APPORTATE

La LPD nasce il 19 giugno 1992 e trova la sua piena applicazione a partire dal 1 luglio dell’anno successivo.

In seguito al susseguirsi di numerose modificazioni il 25 settembre 2020 è stata approvata in votazione finale alle Camere Federali la revisione totale della legge sulla protezione dei dati personali in Svizzera, con l’obiettivo di modernizzare e adeguare la normativa all’evoluzione tecnologica e sociale dell’era digitale e di allinearla alla regolamentazione UE General Data Protection Regulation (GDPR).

Si stima che la LPD revisionata entrerà ufficialmente in vigore entro il 2022.

Essa introduce una serie di importanti novità atte a rinnovare e conformare il diritto nazionale Svizzero agli sviluppi del panorama europeo permettendo la continuazione dello scambio di dati perfettamente regolamentato tra le imprese svizzere e quelle dell’Unione Europea.

Le innovazioni della LPD possono generalmente descriversi come segue:

  • attribuzione di nuovi e più ampi poteri all’Incaricato Federale della protezione dei dati e della trasparenza (IFPDT);
  • introduzione di un aumento degli adempimenti per le aziende a garanzia e in conformità ai principi cardine sui quali la LPD si fonda, ovvero maggiore trasparenza sulle attività ritenute a rischio nell’ambito del trattamento dei dati e miglior controllo da parte degli interessati sugli stessi;
  • imposizione di inasprite sanzioni pecuniarie in capo ai soggetti responsabili di violazioni, con multe che arrivano fino a 250.000 CHF.

Le principali novità riguardano dunque obblighi, direttive e possibilità rivolti alle aziende.

Nello specifico oggi ci occuperemo di analizzare l’introduzione della figura del Rappresentante nella Confederazione Svizzera.

2. GDPR E LPD, ELEMENTI DI INNESTO, AMBITO TERRITORIALE

Per quanto riguarda il rapporto tra il regolamento europeo e la legge sulla protezione dati, sono molteplici gli aspetti comuni da analizzare e i punti di innesto da mettere in risalto.

Per fare un esempio, in primo luogo e ai sensi dell’art. 3, par. 2, infatti, il GDPR si applica “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

    • a. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
    • b. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”. Partendo dal presupposto che con “trattamento” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione, ne risulta che il criterio di collegamento distintivo deve trovarsi nella tipologia di attività in concreto offerta al titolare e nel luogo di stabilimento dell’interessato (intendendosi con interessati tutte le persone fisiche i cui dati personali sono oggetto di trattamento).

Indizi per determinare se tale titolare o responsabile del trattamento stia offrendo beni o servizi agli interessati che si trovano nell’Unione sono individuati dallo stesso GDPR, al considerando 26.

A tal fine, in particolare, sarà opportuno verificare la presenza di fattori quali l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell’Unione.

3. GDPR E LPD, COME GARANTIRE UN’ADEGUATA PROTEZIONE DEI DATI

Nel GDPR, nella consapevolezza che la circolazione dei dati può avvenire, oltre che all’interno del territorio dell’UE verso Paesi terzi, nell’ambito dell’espansione del commercio e della cooperazione internazionale, al fine di garantire un elevato e adeguato livello di protezione, si è previsto che un trasferimento di dati possa avere luogo (lecitamente) soltanto ove lo Stato terzo garantisca un livello di protezione adeguato.

Tale livello di protezione può essere valutato ex ante, tramite una verifica effettuata dalla Commissione europea e constatato in una decisione di adeguatezza, oppure ex post, attraverso la previsione di adeguati impegni di protezione in sede di trasferimento (contratto, consenso consapevole, clausole tipo UE, clausole approvate ad hoc, corporate bindings rules).

La Svizzera, in qualità di Paese terzo, è stata sottoposta ad un esame della Commissione europea e ha ottenuto una dichiarazione di conformità, tramite la decisione del 26 luglio 2000 riguardante l’adeguatezza della protezione dei dati personali.

Tale decisione, tuttavia, può essere revocata in qualsiasi momento, in seguito a una pronuncia della Corte di giustizia dell’UE (CGUE) del 6 ottobre 2015 (causa Schrems), infatti, la Commissione europea è tenuta a verificare periodicamente il livello di protezione dei dati garantito dagli Stati terzi che beneficiano di una decisione di adeguatezza che sarà effettuata alla luce dei requisiti del GDPR.