Il nuovo Regolamento europeo sulla protezione dei dati (GDPR) entrerà in vigore il 25 maggio 2018. L'ambito di applicazione del Regolamento si estende, a certe condizioni, anche alle società al di fuori dell'Unione europea.

Gli obblighi dei titolari del trattamento dei dati (persone o autorità che determinano le finalità e i mezzi del trattamento di dati personali) e dei responsabili del trattamento (persone o autorità che trattano dati personali per conto del titolare del trattamento), nonché i diritti degli interessati (persone fisiche, alle quali si collegano i dati personali) verranno estesi notevolmente.

Anche le imprese svizzere devono dunque verificare, se sono soggette al GDPR e quali precauzioni devono adottare, per evitare di incorrere nelle severe sanzioni previste dal Regolamento.

Ambito di applicazione

Il GDPR si applica al trattamento dei dati personali delle persone fisiche. Per quanto riguarda l'ambito di applicazione territoriale, è assodato che il GDPR si applica anche alle imprese svizzere che hanno uno stabilimento di impresa nell'Unione europea, indipendentemente dal fatto che il trattamento dei dati avvenga effettivamente all'interno dell'UE.

Nel caso in cui non ci fosse uno stabilimento localizzato nell'Unione europea, il GDPR si applica alle imprese svizzere che offrono (anche a titolo gratuito) beni o prestazioni di servizi nell'UE (in linea di massima anche via internet) o che monitorano il comportamento delle persone interessate (come sopra definite) nella misura in cui tale comportamento ha luogo all'interno dell'UE.

Permangono d'altra parte alcune zone grigie: non è ad esempio chiaro se un'impresa svizzera che, in qualità di titolare, incarica un responsabile del trattamento con sede nell'UE sia assoggettata o meno al GDPR. Fino ad un chiarimento da parte delle autorità competenti, l'applicabilità del GDPR non può essere esclusa.

I nuovi principali obblighi dei titolari e responsabili del trattamento, nonché i diritti degli interessati si possono riassumere come segue:

  • Gli interessati devono essere informati completamente, in modo preciso, trasparente, comprensibile, facilmente accessibile ed in un linguaggio chiaro e semplice sul trattamento previsto dei loro dati.
  • I titolari ed i responsabili del trattamento sono obbligati a tenere un registro completo delle attività di trattamento. –– I titolari sono inoltre obbligati a sviluppare dei sistemi di trattamento dati che proteggano gli stessi dati sin dall'inizio (Privacy by Design, per esempio tramite pseudonimizzazione o minimizzazione dei dati che vengono trattati) ed a fare in modo che le impostazioni predefinite garantiscano che non vengono trattati dei dati non necessari ai fini del trattamento (Privacy by Default, per esempio rendendo possibile l'acquisto di prodotti online senza dover creare un profilo utente).
  • Le lacune di sicurezza dei dati personali devono essere notificate all'autorità di controllo competente (una o più autorità pubbliche indipendenti che sono incaricate di sorvegliare l'applicazione del Regolamento; in Svizzera l'incaricato federale della protezione dei dati e della trasparenza (IFPDT)) senza indugio. Inoltre, devono essere messe in atto misure tecniche e organizzative di protezione adeguate per garantire che le lacune di sicurezza vengano scoperte immediatamente. L'interessato deve essere informato della lacuna di sicurezza se esiste un presumibile rischio elevato per i diritti e le libertà dell'interessato stesso (per esempio nel caso in cui i dati trattati siano particolarmente sensibili (dati concernenti la salute) e/o viene trattata una grande quantità di dati e/o il trattamento è automatizzato).
  • L'interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano (Diritto all'oblio), di riceverli in un formato strutturato, di uso comune e leggibile da dispositivi automatici e di farli trasmettere dal titolare del trattamento ad un suo successore (Data portability).
  • Il titolare del trattamento deve effettuare una valutazione d'impatto sulla protezione dei dati, nel caso in cui il trattamento dei dati possa presumibilmente presentare un rischio elevato per i diritti e le libertà dell'interessato (vedi sopra). Tale valutazione include tra l'altro una valutazione dei rischi, che comprende l'analisi della probabilità di accadimento e della gravità della violazione, nonché una descrizione e valutazione delle misure di protezione pianificate.
  • I titolari o i responsabili del trattamento senza uno stabilimento d'impresa nell'UE, ma comunque soggetti al GDPR, devono inoltre nominare un rappresentante nell'UE.

Sanzioni

A seconda della violazione, un'impresa può incorrere in multe fino a 20 milioni di euro o fino al 4% del fatturato annuo totale realizzato a livello mondiale. Rimane inoltre riservato il risarcimento dei danni materiali e immateriali secondo il diritto civile.

Osservazioni

L'implementazione del GDPR richiede attenzione e misure di attuazione da parte di molte imprese svizzere, chiamate ad un supplementare e notevole sforzo organizzativo e finanziario. Gli obblighi imposti ai titolari ed ai responsabili del trattamento richiedono, in particolare, misure di natura tecnica e organizzativa.

Vi è inoltre un certo grado di incertezza, non solo per quanto riguarda l'ambito di applicazione del regolamento, ma anche relativamente al contenuto ed all'estensione degli obblighi e dei diritti individuali, che dovranno essere chiariti della prassi giudiziaria. Per far fronte a tutte queste sfide, si consiglia alle aziende (soprattutto quelle che trattano dati personali sensibili o grandi quantità di dati personali) di affrontare l'implementazione del GDPR con sufficiente anticipo e di valutare, in prima battuta, se esse rientrino nell'ambito di applicazione del GDPR e, in caso affermativo, quali misure debbano essere adottate per soddisfare le nuove norme. Se necessario, occorrerà consultare uno specialista esterno, che possa adeguatamente consigliare l'impresa.

Prospettive – la nuova Legge federale sulla protezione dei dati (LPD)

Per stare al passo con gli standard UE in materia di protezione dei dati anche in futuro e per tenere conto dei rapidi sviluppi tecnici, la legge federale sulla protezione dei dati è attualmente in corso di revisione. L'obiettivo della revisione è quello di creare una legge federale sulla protezione dei dati più possibile compatibile con il GDPR.

Tuttavia, l'entrata in vigore della nuova legge non è imminente. La commissione competente del Consiglio nazionale ha infatti recentemente annunciato che le deliberazioni parlamentari sulla legge sulla protezione dei dati si svolgeranno in due fasi: innanzitutto, verrà discusso il recepimento nel diritto svizzero della Direttiva 2016/680 sulla tutela delle persone fisiche riguardo al trattamento dei dati personali nel settore del diritto penale, che ha priorità sulla base degli accordi Schengen e, solo in una seconda fase e senza vincoli di tempo, verrà deliberata la revisione totale della Legge federale sulla protezione dei dati.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.