Storie

Nuova legge sulla protezione dei dati (LPD) a partire dal 1.9.2023

Il Consiglio federale ha concretizzato la LPD nell'ordinanza sulla protezione dei dati (ordinanza sulla protezione dei dati, OPDa) e nell'ordinanza sulle certificazioni in materia di protezione dei dati (OCPD), entrambe del 31 agosto 2022. È probabile che le grandi imprese e le aziende con legami con l'UE abbiano già ampliato la loro protezione dei dati di conseguenza all'entrata in vigore del regolamento europeo sulla protezione dei dati (GDPR). Questo perché il GDPR si applica anche a molte imprese svizzere.

La nuova LPD non è un'implementazione completa del GDPR; molti regolamenti, tuttavia, sono stati adottati in linea di principio per raggiungere un livello comparabile di protezione dei dati, facilitandone il traffico transfrontaliero. La revisione della LPD, inoltre, consente anche la ratifica dell'estensione della Convenzione europea 108 sulla protezione dei dati.

Si applica il principio: Quanto più i dati o un'operazione di trattamento sono sensibili per quanto riguarda la violazione della personalità della persona interessata, tanto più devono essere prese precauzioni per garantire che la violazione non si verifichi.

Solo i dati relativi a una persona fisica identificata o identificabile, i cosiddetti dati personali, sono coperti dalla protezione dei dati prevista dalla legge, che sarà tuttavia limitata ai soli dati delle persone fisiche, come previsto dal GDPR (regolamento europeo sulla protezione dei dati). La protezione precedentemente esistente per le persone giuridiche è soppressa.

In pratica, si raccomanda alle imprese - anche se non obbligatorio in termini legislativi - di emanare linee guida interne sulla protezione dei dati (può bastare un semplice insieme di regole), di definire chiaramente le responsabilità e di formare e sensibilizzare i collaboratori.

Quali regole devono essere tenute in conto dalle imprese nel trattamento di dati personali?

Principio di liceità

I dati personali devono essere trattati in modo lecito (art. 6 cpv. 1 LPD), vale a dire che il trattamento è generalmente consentito a condizione che non venga effettuato in violazione di una norma giuridica.

Principio di trasparenza

Ciò deriva dal principio che il trattamento di dati deve essere effettuato in buona fede (art. 6 cpv. 2 LPD). Fondamentalmente, la raccolta e l'elaborazione di dati devono avvenire in modo tale che la persona interessata ne sia consapevole. In caso contrario, l'interessato non può far valere i propri diritti.

Principio di finalità

In base a questo principio, i dati possono essere ottenuti solo per uno scopo determinato e riconoscibile per la persona interessata e trattati soltanto in modo compatibile con tale scopo (art. 6 cpv. 3 LPD). I dati devono essere distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento (art. 6 cpv. 4 LPD).

Principio di sicurezza dei dati

Provvedimenti concreti possono essere:

Limitazioni di accesso,
crittografia,
registrazione,
backup,
tecniche di smaltimento sicure,
controlli di accesso e entrata,
regolamenti e direttive,
formazione e sensibilizzazione,
contratti sul trattamento di dati e sulla riservatezza, controlli e miglioramenti periodici.

Il principio richiede la protezione dei dati mediante provvedimenti tecnici e organizzativi (art. 8 LPD) a garanzia dei vari obiettivi di protezione della riservatezza, della disponibilità e dell'integrità dei dati, nonché la tracciabilità del trattamento dei dati.

Obbligo di informazione

L'estensione dell'obbligo di informazione ai sensi dell'art. 19 e segg. LPD è un aspetto importante del principio di trasparenza. La persona interessata deve sapere quali dati relativi alla sua persona vengono raccolti e trattati, e per quale scopo. Fondamentalmente ciò deve avvenire prima di ottenere i dati.

Quali (ulteriori) diritti ha la persona interessata?

Diritto d'accesso

Il diritto d'accesso della persona interessata ai sensi dell'art. 25 LPD va oltre l'obbligo di informazione del titolare del trattamento. La persona interessata può venire a conoscenza di più di quanto il titolare del trattamento sia tenuto a rivelare in virtù del suo obbligo di informazione.

Portabilità dei dati

La portabilità dei dati include ora il diritto alla consegna e alla trasmissione dei dati (art. 28 LPD). La persona interessata può esigere che i dati che la concernono, comunicati a un titolare del trattamento, siano consegnati in un formato elettronico usuale se i dati sono trattati in modo automatizzato e la persona interessata ha acconsentito al trattamento o se il trattamento è effettuato nell'ambito di un contratto corrispondente. A queste condizioni può essere richiesta la trasmissione dei dati a terzi, se ciò non comporta un onere sproporzionato.

Diritto di rettifica

Ai sensi dell'art. 32 cpv. 1 LPD, la persona interessata può esigere che i dati personali inesatti siano rettificati; è probabile che ciò avvenga dopo aver esercitato il diritto all'informazione.

Il titolare del trattamento può rifiutarsi di rettificare i dati se una disposizione legale lo vieta (per es. norme contabili e di archiviazione). Se né l'esattezza né l'inesattezza dei dati personali possono essere accertate, la persona interessata può chiedere che si aggiunga agli stessi una menzione che ne indichi il carattere contestato (art. 32 cpv. 3 LPD).

Diritto alla cancellazione di dati (Diritto all'oblio)

Come già menzionato, una violazione della privacy ai sensi dell'art. 30 LPD si verifica, tra l'altro, se i dati personali vengono trattati in contrasto con l'esplicita dichiarazione della persona interessata e non esiste una base giuridica né un interesse privato prevalente di terzi nel senso di una giustificazione ai sensi dell'art. 31 LPD. Ne consegue un diritto limitato alla cancellazione dei dati per la persona interessata.

Ulteriori pretese giuridiche

In caso di violazioni ingiustificate dei diritti della personalità, la persona interessata può far valere ulteriori pretese di diritto civile. Ai sensi dell'art. 32 cpv. 2 LPD, si tratta di:

sia proibito un determinato trattamento di dati personali,
sia proibita una determinata comunicazione di dati personali a terzi, e
anche la cancellazione o distruzione di dati personali.

In base al riferimento al Codice civile contenuto nell'art. 32 cpv. 2 LPD, possono sussistere le seguenti ulteriori pretese:

L'accertamento, l'omissione o l'eliminazione della violazione, nonché le pretese di risarcimento del danno, di riparazione morale e di consegna dell'utile.

Quali conseguenze per la violazione di dati?

Come nella legge precedente, anche in quella rivista la violazione degli obblighi può comportare conseguenze ai sensi del diritto di vigilanza (art. 49 e segg. LPD), del diritto penale (art. 60 e segg. LPD) e del diritto civile (art. 30 e segg. LPD). Mentre nella legge precedente la violazione di praticamente nessun obbligo legale era punibile, la parte penale della LPD rivista è stata notevolmente ampliata e le possibili sanzioni sono considerevolmente più elevate. Anche la parte di vigilanza è stata ampliata, conferendo maggiori poteri all'incaricato federale della protezione dei dati e della trasparenza (IFPDT).

L'IFPDT apre un'inchiesta, d'ufficio o su denuncia, se vi sono sufficienti indizi che un trattamento di dati potrebbe violare le disposizioni sulla protezione dei dati (art. 49 LPD).

Al contrario delle autorità europee per la protezione dei dati, l'IFPDT non dispone di poteri sanzionatori (diretti) ai sensi della nuova legge. Le persone che hanno commesso l'infrazione sono sanzionate dalle autorità giudiziarie cantonali. L'IFPDT può solo sporgere denuncia penale ed esercitare i diritti di parte civile nel procedimento (art. 65 cpv. 2 LPD).

Nella nuova LPD, i trasgressori sono puniti con un sistema di sanzioni penali con multe fino a CHF 250'000 (art. 60 e segg. LPD). Punibili sono solo le azioni e le omissioni intenzionali, ma non gli atti di negligenza.