Un lucchetto circondato da cerchi rossi, a simbolo dei rischi derivanti dalla mancata applicazione della LPD

LDP: I RISCHI LEGATI ALLA MANCATA APPLICAZIONE

Il presente articolo tratterà le principali novità introdotte nel 2020 dalla nuova Legge Federale sulla Protezione Dati in Svizzera e le motivazioni della sua introduzione, spostando poi il focus sulle regole da rispettare per essere compliant e sui soggetti che devono applicarle. In ultima analisi illustreremo i rischi derivanti dal mancato rispetto delle norma da essa previste.

 

E nello specifico:

  1. Introduzione alla LPD
  2. Cos’è la LPD e perché è stata introdotta
  3. Quali sono le regole da rispettare per essere compliant e chi le deve rispettare
  4. Quali sono i rischi che si corrono non rispettandole

1. INTRODUZIONE

La Legge Federale sulla Protezione dei Dati (LPD) è entrata in vigore il 1° luglio 1993.

A causa del susseguirsi di numerose modificazioni e adeguamenti all’evoluzione tecnologica e sociale dell’era digitale, il 15 settembre 2017 il Consiglio Federale accoglie il messaggio relativo alla revisione totale della legge sulla protezione dei dati e il 25 settembre 2020 viene approvata in votazione finale dalle Camere Federali.

2. COS’È LA LPD E PERCHÉ È STATA INTRODOTTA

La nuova LPD, probabilmente in vigore dal 2022, introduce una serie di importanti novità al passo con i tempi e in linea con la nuova regolamentazione UE (GDPR) imponendo nuovi adempimenti alle aziende in conformità ai principi sui quali essa si fonda, ovvero maggiore trasparenza dei trattamenti dei dati e miglior controllo da parte degli interessati sugli stessi.

La revisione della legge federale consentirà così alla Svizzera di richiedere non solo il riconoscimento dell’adeguatezza alla Commissione Europea ma, una volta conformato il diritto nazionale svizzero agli sviluppi del panorama europeo, permetterà la continuazione dello scambio di dati perfettamente regolamentato tra le imprese svizzere e quelle dell’Unione Europea.

3. QUALI SONO LE REGOLE DA RISPETTARE PER ESSERE COMPLIANT E CHI LE DEVE RISPETTARE

Essere compliant alla LPD significa attenersi ad una serie di regole al fine di tutelare i dati degli interessati al trattamento.

A titolo di esempio, in conformità con il principio di integrità e riservatezza, i dati devono essere sempre trattati in modo da garantirne una sicurezza adeguata al rischio, e per ottenerla la LPD introdurrà alcune misure aggiuntive, come:

  • • l’introduzione del principio della profilazione ad alto rischio, concetto che garantisce una maggiore protezione per i cittadini elvetici contro alcuni tipi di trattamento automatizzato di dati personali con elevati rischi per la personalità o i diritti fondamentali;
  • • la necessità di ottenere un espresso consenso dell’interessato per quanto concerne specifici trattamenti quali:
    a) dati degni di particolare attenzione (dati particolari e giudiziari per il GDPR);
    b) la profilazione a rischio elevato effettuata da soggetti privati;
    c) la profilazione effettuata da un organo federale.

Un’altra regola fondamentale, espressa dalla LPD, è la garanzia, mediante provvedimenti tecnico-amministrativi, che la sicurezza sia adeguata al rischio, al fine di evitare violazioni della sicurezza dei dati (data breach) in questo caso l’ambito di competenza è del Titolare e il Responsabile del trattamento.

Sempre in riferimento alle principali disposizioni in materia, non si può prescindere dal rispetto del diritto alla portabilità dei dati per gli interessati, ovvero il diritto di ottenere informazioni sulla raccolta dati, per esempio l’identità del Titolare, lo scopo del trattamento, l’origine dati, la durata della conservazione, l’esistenza di scelte automatizzate e la logica utilizzata.

4. QUALI SONO I RISCHI CHE SI CORRONO NON RISPETTANDOLE

Secondo la revisione della LPD, le persone fisiche possono ora essere multate fino a CHF 250’000.- (in precedenza al massimo CHF 10’000.-), in particolare in caso di violazione intenzionale degli obblighi di informazione e comunicazione e di violazione intenzionale degli obblighi di diligenza (ai sensi dell’articolo 50 LPD).

In futuro, la mancanza di rispetto della normativa di protezione dei dati non comporterà quindi solo rischi di reputazione per le aziende, ma potrebbe avere conseguenze penali di vasta portata per collaboratori manchevoli.

Tutte le altre azioni promosse a causa di lesioni della personalità sono di competenza del giudice civile conformemente all’articolo 15 LPD nell’ambito della consueta procedura di diritto civile.

Per quanto concerne invece il tema sulle Contravvenzioni commesse da parte di persone giuridiche, ai sensi dell’art.53 LPD si può prescindere dalla determinazione delle persone punibili e condannare in loro vece l’azienda al pagamento della multa, se quest’ultima non supera i 100.000 franchi e se la determinazione delle persone punibili secondo l’articolo 6 della legge federale del 22 marzo 1974 sul diritto penale amministrativo esige provvedimenti d’inchiesta sproporzionati all’entità della pena.

Secondo il regolamento europeo infatti, il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Secondo l’art 34 della LPD invece sono punite, a querela di parte, con la multa le persone private che:

  • a. contravvengono agli obblighi previsti dagli articoli 8–10 e 14 fornendo intenzionalmente informazioni inesatte o incomplete;
  • b. omettono intenzionalmente:
    1.di informare la persona interessata conformemente all’articolo 14 capoverso 1, oppure
    2.di fornire alla persona interessata le informazioni previste dall’articolo 14

Sono punite con la multa le persone private che intenzionalmente:

  • a. omettono di informare l’Incaricato conformemente all’articolo 6 capoverso 3 o di notificare le loro collezioni di dati secondo l’articolo 11a o, in tal ambito, forniscono informazioni inesatte;
  • b. forniscono all’Incaricato, in occasione dell’accerta¬mento dei fatti (art. 29), informazioni inesatte o rifiutano di collaborare.