In poche parole: protezione dei dati, privacy e sicurezza informatica in Svizzera

Tutte le domande

Panoramica

La protezione dei dati e la protezione dei dati sono diritti costituzionali fondamentali tutelati dalla Costituzione svizzera. La legge svizzera sulla protezione dei dati è contenuta nella legge federale svizzera sulla protezione dei dati del 19 giugno 1992 (LPD)2 e l’ordinanza federale svizzera di accompagnamento alla legge federale sulla protezione dei dati del 14 giugno 1993 (RPD).3 Ulteriori disposizioni sulla protezione dei dati che disciplinano questioni particolari (ad esempio, il trattamento dei dati dei dipendenti o medici) sono diffuse in un gran numero di atti legislativi. Poiché la Svizzera non è né un membro dell’Unione Europea (UE) né dello Spazio economico europeo (SEE), non ha alcun obbligo generale di attuare o rispettare le leggi dell’UE.4 Di conseguenza, la legge svizzera sulla protezione dei dati presenta alcune peculiarità che differiscono dal quadro giuridico previsto dal Regolamento generale sulla protezione dei dati dell’UE (GDPR).5 Tuttavia, a causa della posizione della Svizzera al centro dell’Europa e delle sue strette relazioni economiche con l’UE, il diritto svizzero è in generale fortemente influenzato dal diritto dell’UE, sia in termini di contenuto che di interpretazione. Un più stretto allineamento della legge svizzera sulla protezione dei dati al GDPR è anche uno degli obiettivi della riforma del DPA, che entrerà in vigore il 1° settembre 2023.

Il Commissario svizzero per la protezione dei dati e l’informazione (il Commissario) è l’autorità responsabile della supervisione sia delle imprese private che degli enti pubblici federali in materia di protezione dei dati. Il Commissario ha pubblicato diverse linee guida esplicative che aumentano la certezza del diritto rispetto a questioni specifiche come i trasferimenti di dati all’estero, le misure tecniche e organizzative, il trattamento dei dati nel settore medico e il trattamento dei dati dei dipendenti.6

L’anno in rassegna

Di numerose riforme recenti e degne di nota, alcune sono ancora pendenti mentre altre sono già entrate in vigore.

Il 1° aprile 2015 il Consiglio federale svizzero ha formalmente deciso di rivedere l’LPD. L’obiettivo generale della riforma dell’LPD (e delle relative ordinanze) è, tra l’altro, quello di gettare le basi per la ratifica da parte della Svizzera della Convenzione modernizzata del Consiglio d’Europa per la protezione delle persone rispetto al trattamento automatizzato dei dati personali (Convenzione 108 ) e, ove necessario nel contesto dell’ulteriore sviluppo dell’acquis di Schengen/Dublino, l’adeguamento del DPA al GDPR (cfr. sezione X per maggiori dettagli).

Il 25 settembre 2020 il Parlamento svizzero ha approvato la bozza finale della revisione della legge sulla protezione dei dati (revDPA).7 In breve, il revDPA viene fornito con vincoli e requisiti più severi rispetto al suo predecessore, il DPA. Ad esempio, il revDPA richiede alle organizzazioni di creare e mantenere un inventario delle attività di trattamento e, in determinate circostanze, i titolari del trattamento privati ​​con domicilio o residenza al di fuori della Svizzera sono tenuti a nominare un rappresentante in Svizzera se vengono elaborati dati personali di persone fisiche in Svizzera.

Il 23 giugno 2021 il Consiglio federale svizzero ha pubblicato per consultazione la sua pre-bozza della revisione dell’ordinanza federale sulla protezione dei dati (revDPO), che specificherà le disposizioni della revDPA. Ad esempio, il revDPO prevede i requisiti minimi per la sicurezza dei dati e le modalità degli obblighi informativi, il diritto di accesso dell’interessato e la notifica delle violazioni della sicurezza dei dati. Nella consultazione pubblica, conclusasi il 14 ottobre 2021, la bozza preliminare del revDPO è stata ampiamente criticata. Secondo diverse osservazioni alla consultazione pubblica, il revDPO era inutilmente restrittivo e andava oltre la specificazione delle regole del revDPA. Il 31 agosto 2022 il Consiglio federale svizzero ha pubblicato la sua bozza consolidata e definitiva del revDPO8 nonché la revisione dell’ordinanza federale sulla certificazione della protezione dei dati (revDPCO);9 entrambi sono accompagnati da una relazione esplicativa.10 Inoltre, il Consiglio federale svizzero ha deciso che il revDPO, il revDPA e il revDPCO entreranno in vigore il 1° settembre 2023.11

Incoraggiamo le aziende a utilizzare il tempo fino all’entrata in vigore del revDPA per valutarne l’impatto sulle loro attività e avviare l’implementazione o l’elaborazione di processi che rispetteranno il revDPA.

Il 16 luglio 2020 la Corte di giustizia dell’Unione europea (CGUE) ha invalidato con effetto immediato il quadro dello scudo UE-USA per la privacy, imponendo requisiti aggiuntivi sull’uso delle clausole contrattuali standard per il trasferimento di dati personali verso paesi terzi.12 I titolari e gli incaricati del trattamento sono ora tenuti a verificare caso per caso se sono necessarie ulteriori salvaguardie per garantire un’adeguata protezione dei dati personali esportati (ad esempio, a causa dei poteri di sorveglianza eccessivamente ampi delle autorità del paese di destinazione). Qualora tali ulteriori misure contrattuali (es. approccio comune in caso di richieste delle autorità) non siano in grado di garantire un’adeguata tutela, il titolare o responsabile del trattamento è tenuto a sospendere o interrompere il trasferimento dei dati. La sentenza ha implicazioni anche per i trasferimenti di dati dalla Svizzera ad altri paesi. In reazione alla decisione della CGUE, l’8 settembre 2020 il Commissario ha dichiarato che, a suo avviso, lo scudo Svizzera-USA per la privacy non fornisce più un livello di protezione dei dati adeguato per i trasferimenti di dati dalla Svizzera ai destinatari negli Stati Uniti.13 Dopo aver pubblicato una linea guida per valutare la legalità dei bonifici transfrontalieri nel giugno 2021, il Commissario ha riconosciuto, in un documento del 27 agosto 2021, le “nuove” clausole contrattuali standard (SCC) pubblicate dalla Commissione UE il 4 giugno 2021 come un base per i trasferimenti di dati personali verso un Paese senza un livello adeguato di protezione dei dati, a condizione che vengano aggiunti agli SCC alcuni supplementi minori per conformarsi ai requisiti del diritto svizzero (cfr. sezione IV).14

.

Leave a Comment

Your email address will not be published. Required fields are marked *