Durante la sessione autunnale del 2020, l’Assemblea federale svizzera ha adottato una revisione completa della legge sulla protezione dei dati (LPD) e di altri atti normativi modificati in merito allo stesso argomento. Il 31 agosto 2022, il Consiglio federale ha poi annunciato che la nuova legge in materia e le relative ordinanze entreranno in vigore il 1° settembre 2023. Prima di tale data di entrata in vigore, sia le imprese private che le autorità federali dovranno quindi adeguare il trattamento dei dati personali alle nuove disposizioni della LPD.
La nuova LPD è stata strutturata tenendo conto della Convenzione 108 del Consiglio d’Europa, uno degli strumenti legali più importanti per proteggere le persone rispetto al trattamento automatizzato dei dati personali (ratificata anche dalla Svizzera), e del regolamento europeo sulla protezione dei dati, noto come “GDPR”. La LPD ha, infatti, tra i principali obiettivi, la compatibilità con il diritto europeo, al fine di favorire una circolazione dei dati con l’Unione europea maggiormente agevole e sicura e impedire alle imprese svizzere di perdere competitività.
Il testo della nuova LPD si concentra esclusivamente sulla protezione delle persone fisiche i cui dati personali vengono trattati, escludendo dal proprio perimetro il trattamento dei dati delle persone giuridiche come società commerciali, associazioni o fondazioni.
Sono introdotte, poi, alcune importanti novità, tra cui i principi di “Privacy by Design” e di “Privacy by Default”, già noti nell’esperienza normativa del GDPR. Il primo principio implica la necessità di tutelare i dati fin dalla fase di progettazione dei sistemi che ne prevedono la raccolta e l’utilizzo, mentre il secondo prevede che, per impostazione predefinita, le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.
La nuova LPD richiede, inoltre, la conduzione di analisi d’impatto in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate. Questo significa che, in presenza di situazioni particolarmente sensibili (es. trattamento complesso di dati personali di soggetti c.d. “vulnerabili”), è necessario condurre un’indagine più approfondita sulla raccolta e sul trattamento dei dati personali per valutarne i rischi e prevenire eventuali violazioni lesive nei confronti degli interessati coinvolti.
Un’altra importante novità è l’estensione dei doveri informativi in capo ai soggetti che operano trattamenti di dati personali. Ora, la raccolta di tutti i dati personali, non solo quelli sensibili, deve portare all’informazione preventiva del soggetto interessato. In pratica, ciò significa che le persone hanno il diritto di sapere quali informazioni personali vengono raccolte su di loro, come vengono trattate e per quale scopo.
Diventa obbligatorio, poi, al ricorrere di determinate condizioni, allestire un registro delle attività di trattamento dei dati. Questo registro deve contenere informazioni dettagliate sul trattamento dei dati personali, inclusi i dati del titolare e le categorie di dati personali trattati, così come la finalità del trattamento.
È peraltro previsto l’obbligo di notifica in caso di violazione della sicurezza dei dati. Tale notifica deve essere inoltrare all’Autorità garante elvetica competente, ovvero l’Incaricato federale per la protezione dei dati e per la trasparenza (IFPDT). Ciò significa che le organizzazioni svizzere sono tenute a informare immediatamente l’autorità competente in caso di incidenti di sicurezza (es. perdita di disponibilità dei dati) che comportano verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
Infine, la nuova legge sulla protezione dei dati prevede sanzioni pecuniarie per i privati fino a 250.000 franchi, a condizione che le azioni o le omissioni commesse siano intenzionali. Non sono invece punibili le azioni o le omissioni colpose. La mancata osservanza degli obblighi di informazione, di accesso e di collaborazione, oltre alla violazione degli obblighi di diligenza e di segreto professionale, sono punibili solo su querela di parte. Al contrario, il mancato rispetto delle disposizioni amministrative dell’IFPDT è perseguibile d’ufficio. Di norma, solo le persone fisiche sono passibili di sanzioni pecuniarie, tuttavia anche le imprese potrebbero essere soggette a una sanzione fino a 50.000 franchi, se la ricerca della persona fisica all’interno dell’impresa o dell’organizzazione richiede uno sforzo sproporzionato.
A differenza delle autorità europee per la protezione dei dati, l’IFPDT non è autorizzata a imporre sanzioni nel regime previsto dalla nuova LPD. Invece, le persone che commettono infrazioni sono sanzionate dalle autorità cantonali competenti. L’IFPDT può soltanto presentare denuncia e avvalersi dei diritti dell’accusatore privato nel procedimento penale, ma non ha il diritto di querelare.