La nuova legge Svizzera sulla protezione dei dati personali

GDPR per HR

Il 25 settembre u.s. il Consiglio nazionale ha adottato la revisione della nuova LPD. Nello strutturare la nuova Legge sulla Protezione dei Dati, il Consiglio Federale e il Parlamento non hanno potuto fare a meno di tenere conto della Convenzione STE 108 in merito al trattamento automatizzato dei dati personali delle persone fisiche, cui la Svizzera ha aderito.

Il 14 gennaio scorso è scaduto inutilizzato il termine per il referendum. Pertanto, la nuova LPD rivista entrerà in vigore presumibilmente nella primavera del 2022. Entro tale termine le aziende private e gli organismi federali dovranno aver allineato la propria modalità di trattamento dei dati personali a quanto stabilito dal nuovo testo normativo.

Recentemente, l’Incaricato Federale per il Trattamento Dati Personali e per la Trasparenza ha pubblicato un vademecum contenente le maggiori novità introdotte dal nuovo testo.

Innanzitutto, la nuova LPD si prefigge di tutelare i soli dati personali delle persone fisiche (così come già previsto dal GDPR). Si esclude, dunque, la tutela dei dati personali delle persone giuridiche. Inoltre, vengono introdotti i concetti di “privacy by default” e di “privacy by design” che sono concetti cari al GDPR e che prevedono una adeguata progettazione degli strumenti che dovranno poi trattare i dati personali.

Il GDPR ha introdotto la figura del Data Processor Officer. La nuova LPD, specularmente, istituisce la figura del consulente aziendale in materia di trattamento dei dati personali che può essere un soggetto interno o esterno, purchè svolga le proprie mansioni in maniera gerarchicamente indipendente. Tale nuova figura, la cui nomina è obbligatoria solo per gli organi federali e non anche per le imprese private, ha funzioni di consulenza e di formazione, nonché di intermediazione tra la società e l’IFPDT.

In merito alla redazione di una Dichiarazione di Impatto, il nuovo testo non fa che ribadirne l’utilizzo nel caso di trattamenti considerati a rischio. Inoltre, viene introdotta la possibilità di sviluppare e di adottare propri codici di condotta, nonché di provvedere alla certificazione dei propri prodotti in modo che siano “compliant”.

Con riferimento all’introduzione dell’obbligo di tenere un Registro dei Trattamenti, si precisa che questo sussisterà soltanto per le aziende con più di 250 dipendenti e per quelle aziende che attuano trattamenti su larga scala potenzialmente a rischio.

Un altro punto fondamentale è quella della comunicazione dei dati personali all’estero. Tale azione è permessa soltanto verso i Paesi cui il Consiglio federale ha espresso il consenso. Diversamente, la trasmissione potrà avvenire soltanto se la protezione viene assicurato tramite l’utilizzo di altre procedure. In particolare, in merito alla pubblicazione dei dati all’estero su sistemi cloud, la nuova normativa introduce l’obbligo di indicazione specifica dei Paesi destinatari del trasferimento dei dati, oltre alla definizione delle procedure organizzative e di sicurezza espressamente adottate.

La nuova LPD si avvicina molto a quanto già stabilito dal GDPR in materia di diritti esercitabili da parte degli interessati e contenuti dell’informativa da rendere alle persone interessate prima di procedere con il trattamento.

Da un punto di vista della funzione dell’IFPDT, in futuro tale organo sarà legittimato ad agire di ufficio in caso di qualsivoglia violazione delle disposizioni sulla protezione dei dati personali. Le sanzioni previste ad oggi sono le multe sino a 250’000 chf per azioni dolose. Il mancato rispetto delle disposizioni, invece, è punibile fino a 50’000 chf per le sole persone fisiche ma in futuro si pensa di poter estendere la punibilità anche alle aziende stesse.

Come si può facilmente desumere, la nuova LPD accoglie in larga misura quanto già stabilito dal GDPR che di fatto viene regolarmente applicato dalle aziende svizzere già da alcuni anni, pur mantenendo alcune caratteristiche tipiche del diritto svizzero, tra cui si riconoscono la brevità e la pragmaticità. Ora spetta a tutte le aziende attivarsi per prevedere l’allineamento alle nuove disposizioni entro l’inizio del prossimo anno.

Come ovvio, rimangono avvantaggiate tutte quelle aziende che adottano adeguati strumenti di gestione che permettano di intervenire agevolmente e di adeguarsi di volta in volta agli standard richiesti dalle diverse normative applicabili.

La nuova legge Svizzera sulla protezione dei dati personali

GDPR per HR

Il 25 settembre u.s. il Consiglio nazionale ha adottato la revisione della nuova LPD. Nello strutturare la nuova Legge sulla Protezione dei Dati, il Consiglio Federale e il Parlamento non hanno potuto fare a meno di tenere conto della Convenzione STE 108 in merito al trattamento automatizzato dei dati personali delle persone fisiche, cui la Svizzera ha aderito.

Il 14 gennaio scorso è scaduto inutilizzato il termine per il referendum. Pertanto, la nuova LPD rivista entrerà in vigore presumibilmente nella primavera del 2022. Entro tale termine le aziende private e gli organismi federali dovranno aver allineato la propria modalità di trattamento dei dati personali a quanto stabilito dal nuovo testo normativo.

Recentemente, l’Incaricato Federale per il Trattamento Dati Personali e per la Trasparenza ha pubblicato un vademecum contenente le maggiori novità introdotte dal nuovo testo.

Innanzitutto, la nuova LPD si prefigge di tutelare i soli dati personali delle persone fisiche (così come già previsto dal GDPR). Si esclude, dunque, la tutela dei dati personali delle persone giuridiche. Inoltre, vengono introdotti i concetti di “privacy by default” e di “privacy by design” che sono concetti cari al GDPR e che prevedono una adeguata progettazione degli strumenti che dovranno poi trattare i dati personali.

Il GDPR ha introdotto la figura del Data Processor Officer. La nuova LPD, specularmente, istituisce la figura del consulente aziendale in materia di trattamento dei dati personali che può essere un soggetto interno o esterno, purchè svolga le proprie mansioni in maniera gerarchicamente indipendente. Tale nuova figura, la cui nomina è obbligatoria solo per gli organi federali e non anche per le imprese private, ha funzioni di consulenza e di formazione, nonché di intermediazione tra la società e l’IFPDT.

In merito alla redazione di una Dichiarazione di Impatto, il nuovo testo non fa che ribadirne l’utilizzo nel caso di trattamenti considerati a rischio. Inoltre, viene introdotta la possibilità di sviluppare e di adottare propri codici di condotta, nonché di provvedere alla certificazione dei propri prodotti in modo che siano “compliant”.

Con riferimento all’introduzione dell’obbligo di tenere un Registro dei Trattamenti, si precisa che questo sussisterà soltanto per le aziende con più di 250 dipendenti e per quelle aziende che attuano trattamenti su larga scala potenzialmente a rischio.

Un altro punto fondamentale è quella della comunicazione dei dati personali all’estero. Tale azione è permessa soltanto verso i Paesi cui il Consiglio federale ha espresso il consenso. Diversamente, la trasmissione potrà avvenire soltanto se la protezione viene assicurato tramite l’utilizzo di altre procedure. In particolare, in merito alla pubblicazione dei dati all’estero su sistemi cloud, la nuova normativa introduce l’obbligo di indicazione specifica dei Paesi destinatari del trasferimento dei dati, oltre alla definizione delle procedure organizzative e di sicurezza espressamente adottate.

La nuova LPD si avvicina molto a quanto già stabilito dal GDPR in materia di diritti esercitabili da parte degli interessati e contenuti dell’informativa da rendere alle persone interessate prima di procedere con il trattamento.

Da un punto di vista della funzione dell’IFPDT, in futuro tale organo sarà legittimato ad agire di ufficio in caso di qualsivoglia violazione delle disposizioni sulla protezione dei dati personali. Le sanzioni previste ad oggi sono le multe sino a 250’000 chf per azioni dolose. Il mancato rispetto delle disposizioni, invece, è punibile fino a 50’000 chf per le sole persone fisiche ma in futuro si pensa di poter estendere la punibilità anche alle aziende stesse.

Come si può facilmente desumere, la nuova LPD accoglie in larga misura quanto già stabilito dal GDPR che di fatto viene regolarmente applicato dalle aziende svizzere già da alcuni anni, pur mantenendo alcune caratteristiche tipiche del diritto svizzero, tra cui si riconoscono la brevità e la pragmaticità. Ora spetta a tutte le aziende attivarsi per prevedere l’allineamento alle nuove disposizioni entro l’inizio del prossimo anno.

Come ovvio, rimangono avvantaggiate tutte quelle aziende che adottano adeguati strumenti di gestione che permettano di intervenire agevolmente e di adeguarsi di volta in volta agli standard richiesti dalle diverse normative applicabili.