Per una società digitale sicura

La nuova Legge federale sulla protezione dei dati

Lo scorso 19 ottobre, in un webinar dedicato, la Cc-Ti ha trattato il tema della nuova la legge federale sulla protezione dei dati (LPD).
Ad intervenire quale relatore esperto è stato Gianni Cattaneo, Avv., LL. M., Cattaneo Bionda Mazzucchelli Studio legale e notarile, dopo un breve saluto da parte di Lisa Pantini, Responsabile delle relazioni con i soci della Cc-Ti.

La nuova LPD è stata adottata dall’Assemblea federale il 25 settembre 2020, dopo un lungo periodo di gestazione. L’esatta data di entrata in vigore non è ancora stata decretata, realisticamente si prevede però che essa sarà fissata nel secondo semestre 2022 o per l’inizio di gennaio 2023.
Essa si prefigge di proteggere la personalità e i diritti fondamentali delle persone fisiche, i cui dati personali sono oggetto di trattamento da parte di privati e organi federali. Lo scopo è quello di creare una società digitale sicura, efficiente e non discriminatoria.

I principi generali cardine alla base della nuova LPD sono la liceità (tramite il supporto di un motivo giustificativo riconosciuto, quale la legge, il consenso o l’interesse preponderante pubblico o privato), la buona fede, la proporzionalità, la sicurezza, la finalità, l’esattezza e la privacy by design e by default. Essi vanno considerati e applicati da ogni azienda nello svolgimento di qualsiasi operazione in relazione a dati personali ordinari o degni di particolare protezione.

È inoltre necessario adempiere ai seguenti obblighi: informare le persone interessate circa i trattamenti svolti dall’impresa (o delegati a terzi) fornendo tutte le indicazioni previste dalla legge; munirsi di un apposito registro in cui repertoriare le attività (quali dati vengono trattati, da chi, come, dove, per quale scopo, chi ne è destinatario e sulla base di quale motivo giustificativo avviene il processo); svolgere valutazioni d’impatto sulla protezione dei dati personali per i trattamenti a rischio accresciuto e, ove necessario, effettuare la consultazione preventiva dell’Incaricato federale; notificare all’Incaricato federale le violazioni della sicurezza dei dati in situazioni di probabile pericolo ingente e alla persona coinvolta su ordine di quest’ultimo o se richiesto per la sua protezione; e, infine, non trasferire, salvo particolari eccezioni, dati verso Stati privi di una legislazione adeguata di protezione dei dati.

La nuova LPD non prevede l’obbligatorietà in Svizzera (diversamente dal resto d’Europa) della figura del Data Protection Officer (DPO) nel settore privato, ma la sua eventuale nomina comporta l’esclusione dell’obbligo di consultazione preventiva dell’Incaricato federale in presenza di trattamenti a rischio elevato.

Data la complessità della questione è essenziale sensibilizzare e formare i dipendenti in maniera adeguata sui rischi, sui diritti e sugli oneri di ciascuno in materia di protezione dei dati personali, nonché sulle responsabilità collegate, considerando anche la diffusione di situazioni straordinarie come quella del telelavoro. Decisivo per la buona riuscita della trasformazione anche lo sviluppo di un piano d’azione preciso ed efficiente che spazia dalla creazione di un team di progetto autorevole supportato dalla Direzione e dal CdA, alla determinazione di un programma di lavoro con relativo scadenziario in base alle risorse disponibili, agli obiettivi e alle priorità d’intervento.

Il termine di entrata in vigore è ancora lontano (ipotesi: gennaio 2023). Alcune aziende potrebbero commettere l’errore di rinviare la questione del trattamento dati tenere presente la complessità degli adempimenti, delle fasi tecniche per la loro attuazione e del fatto che la nuova LPD non prevede un periodo di adattamento dopo la sua introduzione.
È perciò di primaria importanza sfruttare i prossimi mesi per avviare, senza indugio, il processo di messa a norma, trattandosi di una revisione complessa che avrà un notevole impatto sulla società e le imprese.

A tal proposito la Cc-Ti organizza regolarmente dei corsi di formazione (dove l’Avv. Gianni Cattaneo interviene quale relatore) chiamati “Nuova legge sulla protezione dei dati personali: un Action Plan per trovarsi pronti in tempo utile”. Questi percorsi formativi – riproposti regolarmente – sono pensati per fornire gli strumenti concreti alle PMI per arrivare all’entrata in vigore della LPD in modo efficiente. Per accedere all’offerta formativa Cc-Ti è possibile cliccare su questo link.

Infine, contrariamente al diritto europeo, che prevede pesanti sanzioni amministrative pecuniarie a carico delle società, il diritto svizzero opta per la responsabilizzazione dei membri del Consiglio di Amministrazione e/o manager in quanto detentori del potere decisionale. Essi saranno ritenuti penalmente perseguibili per le violazioni intenzionali della LPD imputabili alle loro aziende, tra cui la mancata implementazione degli standard minimi di sicurezza (con multe fino a CHF 250’000.-).