1 Decisione del Consiglio federale
Il Consiglio federale ha deciso di porre in vigore la nuova legge sulla protezione dei dati (LPD) e le disposizioni d’esecuzione delle nuove ordinanze sulla protezione dei dati (OPDa) e sulle certificazioni in materia di protezione dei dati (OCPD) il 1° settembre 2023.
Fissando al 1° settembre 2023 l’entrata in vigore della nuova legislazione sulla protezione dei dati, il Consiglio federale ha tenuto conto delle esigenze dell’economia. Con un termine di transizione di un anno i titolari della protezione dei dati hanno a disposizione un periodo di tempo sufficiente per introdurre le misure necessarie all’attuazione della nuova legislazione sulla protezione dei dati.
2 Scopo e contenuto della legislazione sulla protezione dei dati
La legislazione sulla protezione dei dati concretizza il diritto fondamentale all’autodeterminazione informativa ai sensi dell’articolo 13 capoverso 2 Cost. e protegge la sfera privata. Garantisce che i diritti fondamentali esplichino effetto non soltanto nei rapporti con lo Stato, bensì anche in quelli tra privati (art. 35 cpv. 3 Cost.).
La legislazione sulla protezione dei dati stabilisce i principi per il trattamento dei dati personali. Disciplina gli obblighi di coloro che trattano dati personali e sancisce i diritti delle persone i cui dati sono oggetto di trattamento. Per garantire l’applicazione di tali regole nella prassi, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha il compito di vigilare sul rispetto delle regole del diritto federale in materia di protezione dei dati.
3 Novità importanti della revisione totale della legislazione sulla protezione dei dati
La revisione della legislazione sulla protezione dei dati si è resa necessaria per tenere conto dell’evoluzione tecnologica e della trasformazione digitale della nostra società. Le nuove norme garantiscono inoltre la compatibilità con il diritto europeo e permettono di ratificare la versione aggiornata della Convenzione 108 del Consiglio d’Europa. Gli adattamenti previsti dalla nuova legislazione consentono alla Svizzera di continuare a essere considerata dall’UE uno Stato terzo con una protezione dei dati adeguata e permettono quindi anche in futuro lo scambio transfrontaliero di dati senza condizioni aggiuntive. In tale contesto occorre menzionare in particolare l’attuazione delle condizioni della versione aggiornata della Convenzione 108 del Consiglio d’Europa, l’attuazione della direttiva (UE) 2016/680 sulla protezione dei dati in materia penale, rilevante per Schengen, e l’adeguamento al regolamento generale sulla protezione dei dati 2016/679 dell’UE (RGPD).
La revisione totale intende migliorare l’autodeterminazione delle persone in relazione all’uso dei loro dati personali. Vanno menzionati soprattutto i seguenti miglioramenti:
- miglioramento generale della trasparenza;
- rafforzamento delle competenze di vigilanza e dell’indipendenza dell’IFPDT;
- inasprimento delle disposizioni penali;
- considerazione della protezione dei dati già in occasione della pianificazione del trattamento dei dati ("privacy by design") e mediante preimpostazioni favorevoli alla protezione ("privacy by default");
- obbligo di svolgere una valutazione d’impatto sulla protezione dei dati;
- diritto alla consegna e al trasferimento di dati;
- promozione della sicurezza dei dati e notificazione delle violazioni della sicurezza dei dati.
La revisione mira inoltre a promuovere l’autoregolazione presso i titolari del trattamento attraverso codici di condotta tesi ad agevolare le loro attività e a migliorare il rispetto della legge. Tali codici sono elaborati dai rami interessati e possono essere sottoposti all’IFPDT.
- Totalrevision des Datenschutzgesetzes (DSG) - Übersicht zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane (PDF, 680 kB, 10.11.2022)
-
Révision totale de la loi fédérale sur la protection des données (LPD) - Aperçu des principales modifications en vue de l’élaboration des bases légales concernant le traitement de données par les organes fédéraux (PDF, 683 kB, 10.11.2022)
(Questo documento non è disponibile in italiano)
Le persone i cui dati sono oggetto di trattamento devono sapere chi li tratta e a quale scopo, affinché possano far valere i propri diritti risultanti dalla legge sulla protezione dei dati. A tal fine sono stati estesi l’obbligo dei titolari del trattamento di informare attivamente e il diritto d’accesso delle persone i cui dati sono trattati. Il diritto d’accesso comprende un elenco non esaustivo di informazioni che devono essere comunicate in qualsiasi caso. L’obbligo di informare si applica ora anche alle decisioni individuali automatizzate (p. es. mediante algoritmi).
Secondo la nuova legislazione sulla protezione dei dati, l’IFPDT può aprire, d’ufficio o su denuncia, un’inchiesta nei confronti dei titolari e dei responsabili del trattamento di dati e al termine dell’inchiesta non deve limitarsi a una raccomandazione ma può emanare una decisione impugnabile.
Chi viola le disposizioni sulla protezione dei dati può essere punito con la multa fino a 250 000 franchi. La multa può essere pronunciata soltanto dal giudice.
Prima del trattamento devono essere individuati e valutati i rischi per la personalità e i diritti fondamentali della persona i cui dati sono trattati. Questa cosiddetta valutazione d’impatto sulla protezione dei dati è obbligatoria se sono trattati dati personali degni di particolare protezione (p. es. dati sanitari) o se è previsto un trattamento di dati a rischio elevato (p. es. profilazione).
Si parla di decisione individuale automatizzata quando i dati personali non sono trattati da una persona fisica, ma da una macchina (p. es. algoritmi). La nuova legislazione sulla protezione dei dati prescrive che la persona i cui dati sono trattati deve essere informata in merito a una decisione individuale automatizzata e che, a determinate condizioni, può chiedere che la decisione sia riesaminata da una persona fisica.
Per profilazione s’intende qualsiasi trattamento automatizzato di dati personali volto ad analizzare o prevedere aspetti inerenti ad esempio alla prestazione lavorativa, alla situazione economica, alla salute, alle preferenze personali, agli interessi, all’affidabilità, al comportamento, al luogo di domicilio o alla mobilità della persona fisica in questione. In altre parole, la profilazione analizza in modo automatizzato i dati personali per valutare, sempre in modo automatizzato, in base a tale analisi le caratteristiche di una persona fisica.
Chiunque può esigere, a determinate condizioni, che i dati personali che ha comunicato al titolare del trattamento gli siano consegnati in un formato elettronico usuale oppure che siano trasmessi a un altro titolare (diritto alla portabilità dei dati). In tal modo si rafforzano nel contempo l’autonomia delle persone interessate in relazione alle prestazioni digitali e la libera concorrenza tra i diversi fornitori.
4 Sviluppi internazionali della protezione dei dati
La direttiva UE 2016/680 tratta di uno sviluppo dell’acquis di Schengen, che la Svizzera è tenuta a recepire in virtù dell’Accordo di associazione a Schenge. La direttiva ha un campo d’applicazione specifico: e regola il trattamento dei dati da parte delle autorità ai fini del perseguimento penale, dell’esecuzione delle pene e della prevenzione dei pericoli per la pubblica sicurezza. n.
Il regolamento generale sulla protezione dei dati disciplina la protezione dei dati trattati dai privati o dalle autorità degli Stati membri dell’UE. Contrariamente alla direttiva UE 2016/680 sulla protezione dei dati in materia penale, il regolamento generale dell’UE non costituisce uno sviluppo dell’acquis di Schengen e non è direttamente vincolante per la Svizzera. Tuttavia, esso si applica anche alle imprese in Svizzera che offrono merci e servizi a persone residenti nell’UE o che osservano il comportamento di persone nell’UE. Inoltre, per la Svizzera è importante che l’UE continui a considerarla uno Stato terzo con un livello adeguato di protezione dei dati.
Già dal 2000 la Svizzera usufruisce di una decisione di adeguatezza dell’UE che riconosce un livello equivalente della protezione dei dati. L’adeguatezza rispetto alle disposizioni europee sulla protezione dei dati è sottoposta a verifiche periodiche. Il nuovo diritto permette di adeguare il livello di protezione svizzero alle nuove norme dell’UE.
In assenza di una decisione di adeguatezza da parte dell’UE possono essere trasmessi dati in Svizzera soltanto se sono previste garanzie appropriate. Ciò implica notevoli ostacoli amministrativi, che rallentano il libero flusso di dati nonché le innovazioni a esso connesse e quindi si ripercuotono negativamente sulla piazza economica svizzera.
La Svizzera ratificherà il protocollo di emendamento (noto come Convenzione 108+) al momento dell’entrata in vigore della revisione totale della LPD. La Convenzione 108+ entrerà in vigore l’11 ottobre 2023, a condizione che fino ad allora ne facciano parte 38 Stati contraenti.
Finora circa 50 Stati, tra cui anche la Svizzera, hanno ratificato la Convenzione 108 del Consiglio d’Europa sulla protezione dei dati. Si tratta del primo strumento vincolante del diritto internazionale nel settore della protezione dei dati e risale al 1981. Il Consiglio d’Europa ha ora adeguato anche questa Convenzione all’era digitale. Con la ratifica della Convenzione modernizzata la Svizzera mantiene un buon livello di protezione dei dati nei confronti dei suoi partner internazionali, rafforzando in tal modo la sua piazza economica. Con la revisione totale della legge sulla protezione dei dati LPD s’intendono adempiere i requisiti della Convenzione 108 modernizzata, d’altronde molto simili a quelli delle disposizioni dell’UE e a quelle cui si aspira in Svizzera.
Ultima modifica 24.11.2022