Svizzera nuova nLPD (legge federale sulla protezione dei dati) in vigore. Dal 1 settembre 2023 è entrata in vigore in Svizzera una nuova legislazione per proteggere in modo più efficace i dati personali dei suoi cittadini. Questa importante mossa legislativa è stata preceduta da un processo di revisione completa della legge sulla protezione dei dati. La nLPD è stata adottata durante la sessione autunnale del Parlamento nel 2020. Vediamone i punti salienti.

La nuova nLPD

Considerata datata la precedente versione della normativa, la Svizzera ha implementato la legge con una serie di novità significative, sia per le imprese che per i cittadini svizzeri. Uno dei principali obiettivi della riforma è adeguare la legislazione alla realtà tecnologica e sociale attuale. Una revisione necessaria per proteggere adeguatamente i dati personali dei cittadini.

Le novità rispetto alla precedente versione

Nel documento, scaricabile qui, sono molti i punti su cui il legislatore è intervenuto per migliorare la vecchia legge.

Privacy by Design e Privacy by Default

La nuova nLPD richiede l’integrazione della protezione dei dati sin dalla progettazione di prodotti e servizi e l’attivazione automatica delle misure di sicurezza più elevate per impostazione predefinita.

Valutazione d’impatto

È stato introdotto l’obbligo, per privato e pubblico, di effettuare una valutazione d’impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la libertà o i diritti fondamentali del soggetto interessato.

Informativa

La raccolta di tutti i dati personali deve portare all’informazione preventiva delle persone interessate. Riguardo l’importanza di una informativa chiara e trasparente, leggiamo:

L’obbligo di informare garantisce la trasparenza dei trattamenti e contribuisce a rafforzare i diritti della persona interessata. In assenza d’informazioni, quest’ultima non si rende per forza conto del trattamento dei suoi dati e non può dunque far valere i diritti garantiti dalla LPD. La LPD impone quindi al titolare del trattamento un obbligo di informare la persona interessata di qualsiasi tipo di dati raccolti che la riguardano.

Dati personali all’estero

La nLPD stabilisce, all’articolo 16, che i dati personali possono essere comunicati all’estero soltanto se il Consiglio federale ha constatato che la legislazione dello Stato destinatario o l’organismo internazionale garantisce una protezione adeguata dei dati. A tale scopo pubblica un elenco stabilito secondo il diritto vigente dall’IFPDT. Se lo Stato destinatario non figura nell’elenco del Consiglio federale, i dati possono comunque essergli comunicati, come avvenuto finora con il diritto vigente, se la protezione dei dati viene assicurata in modo adeguato con altri strumenti, ad esempio mediante un trattato di diritto internazionale, clausole contrattuali di protezione dei dati che devono essere precedentemente comunicate all’IFPDT o norme interne dell’impresa vincolanti, le cosiddette Binding Corporate Rules.

Il ruolo del Consulente per la Protezione dei Dati (DPC)

Ai sensi del nuovo articolo 10 nLPD le imprese private possono designare un consulente per la protezione dei dati anche interno all’azienda. Il regolamento specifica però che l’attività di consulenza deve essere svolta in modo indipendente dalle altre mansioni dell’impresa. Inoltre, ai consulenti per la protezione dei dati, si legge nel documento, dovrebbe essere permesso esprimere il proprio punto di vista in caso di divergenze d’opinione con la direzione aziendale. Infine, contrariamente a quanto previsto nel GDPR europeo, per le imprese private la designazione del DPO è sempre facoltativa – è invece obbligatoria per gli organi federali.

Altri aspetti

La nuova norma ha altre importanti novità. Una riguarda i dati genetici e biometrici che ora rientrano nella definizione di dati sensibili, aumentando la protezione per queste categorie di informazioni personali. Interessante notare come nella legge, rispetto al passato, compare la nozione di profilazione.

nLPD e GDPR

Leggendo il regolamento svizzero è lampante come i legislatori, per l’ammodernamento della loro legge, abbiano guardato al GDPR quale norma ispiratrice. Il nLPD è compatibile con il GDPR e pensato con lo scopo di mantenere la libertà di circolazione dei dati della Svizzera con L’Unione europea. Su swissprivacy.law, per fare un confronto tra i due regolamenti è stata creata una tabella comparativa che ne evidenzia la sostanziale compatibilità.