In merito al messaggio del 15.9.2017 concernente la revisione totale della legge federale sulla protezione dei dati

Obiettivi

Il rapidissimo sviluppo delle tecnologie dell’informazione e della telecomunicazione e la connessa digitalizzazione della società hanno reso necessario un aggiornamento delle legislazioni del Consiglio d'Europa e dell'Unione europea in materia di protezione dei dati e ora anche la revisione totale della legge federale sulla protezione dei dati, entrata in vigore nel 1993. Il disegno presentato dal Consiglio federale ha lo scopo di rafforzare la protezione dei dati migliorando la trasparenza del trattamento dei dati e le possibilità per le persone interessate di controllare i dati che le concernono. Con la revisione l’equivalenza del livello di protezione dei dati tra Svizzera e UE dovrà inoltre rimanere garantita. Un livello di protezione dei dati comparabile a quello degli Stati europei è di primissima importanza in particolare per l’economia svizzera, dato che il nuovo regolamento generale dell’UE sulla protezione dei dati (RGPD-UE), che entrerà in vigore il 25 maggio del 2018, avrà ripercussioni dirette per molte imprese svizzere.

Valutazione globale da parte dell’IFPDT

L’IFPDT è d’accordo con i punti centrali della revisione. Rimangono tuttavia alcune differenze dovute in gran parte al fatto che il disegno sottoposto prevede, dal punto di vista sia terminologico che contenutistico, differenze rispetto al RGPD-UE e alla Convenzione STE 108 riveduta del Consiglio d’Europa. Secondo l’IFPDT, molte di queste differenze sono inopportune in quanto, fra le altre cose, complicherebbero inutilmente la situazione giuridica per quei settori dell’economia e dell’amministrazione svizzera che devono applicare direttamente il RGPD-UE.

Aspetti positivi

L’IFPDT apprezza segnatamente il fatto che la trasparenza del trattamento dei dati venga aumentata estendendo l’obbligo di informare la persona interessata in occasione della raccolta dei dati a tutti i trattamenti da parte dei privati, indipendentemente dal grado di sensibilità dei dati. Approva inoltre l’introduzione di una valutazione d’impatto sulla protezione dei dati per i progetti di imprese private o autorità che comportano un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Viene anche esteso, a vantaggio della persona interessata, l’obbligo di informare in merito al diritto d’accesso. L’IFPDT ritiene che un altro miglioramento venga realizzato con la promozione dell’autoregolazione, ottenuta attraverso codici di condotta tesi ad agevolare le attività dei titolari del trattamento e a migliorare il rispetto della legge. Un altro aspetto positivo è costituito dall’esplicita menzione dei principi di trattamento denominati «privacy by design» e «privacy by default». Inoltre vengono potenziate l’indipendenza e la posizione dell’Incaricato. La revisione prevede che quest’ultimo, analogamente ai suoi omologhi europei, possa aprire un’inchiesta, d’ufficio o a querela di parte, nei confronti dei titolari del trattamento e dei responsabili del trattamento e possa emanare una decisione al termine dell’inchiesta. L’IFPDT prende atto che il Consiglio federale gli prospetta mezzi supplementari per l’esecuzione della nuova legge.

Divergenze rimanenti

Fra le divergenze rimanenti figura l’assenza del diritto alla portabilità dei dati, che agevolerebbe gli utenti nel controllo sui loro dati personali. Nel disegno non è neppure stata integrata l’inversione dell’onere della prova a favore delle persone interessate nella procedura civile. L’IFPDT avrebbe inoltre gradito che la nuova legge sulla protezione dei dati – analogamente al RGPD-UE – menzionasse espressamente che la legge si applicherà anche a titolari del trattamento di dati che non hanno sede in Svizzera ma il cui trattamento esplica effetti nel nostro Paese e interessa persone domiciliate in Svizzera. Tali imprese sarebbero inoltre state obbligate ad avere un interlocutore in Svizzera affinché le persone interessate potessero usufruire più facilmente dei loro diritti.
Il nuovo diritto svizzero avrebbe dovuto prescrivere, alle stesse condizioni del RGPD-UE, la designazione di responsabili aziendali della protezione dei dati alle imprese che sottostanno comunque al RGPD-UE. La stessa cosa si può dire dei codici di condotta. Le associazioni e i settori svizzeri dovrebbero sottoporre i codici di condotta all’IFPDT alle stesse condizioni secondo cui devono sottoporli, conformemente al RGPD-UE, alle autorità competenti per la protezione dei dati nell’UE. Sarebbe inoltre necessario obbligare a realizzare una valutazione d’impatto dei rischi anche le imprese che hanno nominato un consulente per la protezione dei dati e prevedere un obbligo di certificazione per i trattamenti particolarmente rischiosi.
L’IFPDT ritiene che le sanzioni proposte (tetto massimo delle multe di 250 000 fr.) abbiano un effetto deterrente troppo limitato rispetto al RGPD-UE (20 mio. di euro o il 4 % del fatturato annuo). Teme inoltre che nella prassi le sanzioni colpirebbero soprattutto il personale subalterno delle imprese inadempienti anziché le imprese stesse. Lamenta pure l’assenza di sanzioni di diritto penale amministrativo.
Infine dovrebbe essere il Parlamento, e non il Consiglio federale, ad approvare il preventivo dell’IFPDT, analogamente a quanto avviene nei confronti di altre autorità di vigilanza indipendenti quali il Controllo federale delle finanze o l’Autorità di vigilanza sul Servizio delle attività informative.

IFPDT, 15 settembre 2017

Informazioni supplementari e documentazione

Webmaster
Ultima modifica 01.11.2017

Inizio pagina

https://www.edoeb.admin.ch/content/edoeb/it/home/attualita/aktuell_news/zur-botschaft-ueber-die-totalrevision-des-datenschutzgesetzes-de.html