La legge federale sulla protezione dei dati (LPD) prevede la possibilità dell’autodisciplina per le imprese. Le imprese che nominano un consulente per la protezione dei dati e lo notificano all’IFPDT usufruiscono di facilitazioni riguardo alla valutazione d’impatto sulla protezione dei dati, a condizione che siano soddisfatti determinati requisiti concernenti la posizione gerarchica e le qualifiche personali del consulente. Il consulente per la protezione dei dati sorveglia il rispetto delle prescrizioni sulla protezione dei dati all’interno dell’impresa e funge da consulente del titolare del trattamento in questioni relative a questo ambito.
Consulenti per la protezione dei dati
In virtù dell’articolo 10 LPD le imprese private possono nominare un consulente per la protezione dei dati. Il consulente può essere una persona alle dipendenze dell’impresa, ma questa non è una condizione imprescindibile. In ogni caso le sue attività in quanto consulente per la protezione dei dati vanno distinte dagli altri compiti che svolge per l’impresa.
Si raccomanda inoltre di tenere separati gli aspetti legati alla consulenza in materia di protezione dei dati dalle altre attività di consulenza e rappresentanza giuridica. I consulenti per la protezione dei dati devono infine poter segnalare alla direzione dell’impresa i casi in cui vi sono punti di vista divergenti.
Contrariamente a quanto previsto dal regolamento generale europeo sulla protezione dei dati (GDPR), in Svizzera la nomina di consulenti per la protezione dei dati è facoltativa per le imprese private. Le autorità federali sono invece tenute a farlo per legge. Le imprese private che si dotano di un consulente usufruiscono di facilitazioni in materia di valutazione dell’impatto sulla protezione dei dati, a condizione che annuncino il consulente all’IFPDT mediante il portale di notifica dedicato.
In virtù dell’articolo 10 LPD le imprese private possono nominare un consulente per la protezione dei dati. Il consulente può essere una persona alle dipendenze dell’impresa, ma questa non è una condizione imprescindibile. In ogni caso le sue attività in quanto consulente per la protezione dei dati vanno distinte dagli altri compiti che svolge per l’impresa.
Si raccomanda inoltre di tenere separati gli aspetti legati alla consulenza in materia di protezione dei dati dalle altre attività di consulenza e rappresentanza giuridica. I consulenti per la protezione dei dati devono infine poter segnalare alla direzione dell’impresa i casi in cui vi sono punti di vista divergenti.
Contrariamente a quanto previsto dal regolamento generale europeo sulla protezione dei dati (GDPR), in Svizzera la nomina di consulenti per la protezione dei dati è facoltativa per le imprese private. Le autorità federali sono invece tenute a farlo per legge. Le imprese private che si dotano di un consulente usufruiscono di facilitazioni in materia di valutazione dell’impatto sulla protezione dei dati, a condizione che annuncino il consulente all’IFPDT mediante il portale di notifica dedicato.
I consulenti per la protezione dei dati non fungono soltanto da consulenti interni all’impresa ma anche da persone di riferimento per le richieste dell’IFPDT e di altre autorità svizzere competenti in materia di protezione dei dati. Se il consulente per la protezione dei dati non è un impiegato dell’impresa, dovrà di volta in volta presentare una procura per poter rappresentare quest’ultima.
I compiti del consulente per la protezione dei dati comprendono la formazione e la consulenza dell’impresa riguardo ai temi della protezione dei dati. Inoltre il consulente collabora alla definizione e all’applicazione delle condizioni d’uso e delle norme interne sulla protezione dei dati. Nonostante la presenza di un consulente al suo interno, l’impresa in quanto titolare del trattamento rimane unica responsabile del trattamento dei dati conforme alle esigenze della protezione dei dati.
L’impresa è tenuta a mettere a disposizione del consulente per la protezione dei dati le risorse necessarie e a garantirgli l’accesso a tutte le informazioni, i documenti e gli elenchi delle attività di trattamento, come pure ai dati personali in generale. Il diritto di accesso del consulente si applica ai documenti effettivamente necessari per lo svolgimento del suo compito; se ad esempio è incaricato di valutare in modo generico le norme e i processi interni relativi al trattamento dei dati, non avrà di regola necessità di accedere a dati personali. Infine l’impresa deve concedere al consulente per la protezione dei dati la facoltà di informare in casi importanti l’organo superiore di direzione o di amministrazione dell’impresa.
Eccezioni in caso di valutazione dell’impatto sulla protezione dei dati a rischio elevato
Nel caso in cui da una valutazione d’impatto sulla protezione dei dati emerga un rischio elevato, l’impresa può rinunciare a rivolgersi all’IFPDT e limitarsi a consultare il consulente per la protezione dei dati se, oltre agli altri requisiti già indicati, sono soddisfatte anche le condizioni previste dall’articolo 10 capoverso 3 LPD, vale a dire se:
- il consulente per la protezione dei dati esercita la sua funzione in modo indipendente dal titolare del trattamento e senza ricevere da questi istruzioni. L’indipendenza deve essere rispecchiata dalla posizione gerarchica del consulente all’interno dell’impresa: se possibile, il consulente dovrebbe sottostare direttamente alla direzione della stessa, affinché sia garantito il suo diritto di informare in casi importanti l’organo superiore di direzione o di amministrazione dell’impresa. In quanto organo supremo del titolare privato del trattamento, quest’ultimo rimane responsabile del rispetto delle prescrizioni in materia di protezione dei dati.
- il consulente per la protezione dei dati non esercita all’interno dell’impresa attività inconciliabili con i suoi compiti di consulente. Vi può essere incompatibilità ad esempio se il consulente è membro della direzione, svolge funzioni nel settore della gestione del personale o di sistemi d’informazione o lavora in un settore dell’impresa che tratta dati personali degni di particolare protezione. Per contro è ipotizzabile unire in un’unica persona le funzioni di consulente per la protezione dei dati e di incaricato della sicurezza delle informazioni.
- il consulente per la protezione dei dati dispone delle conoscenze tecniche necessarie nel settore della legislazione in materia di protezione dei dati e delle norme relative alla sicurezza dei dati;
- l’impresa pubblica i dati di contatto del consulente e li comunica all’IFPDT tramite il portale di notifica.
Consulenti per la protezione dei dati per gli organi federali
Gli organi federali sono tenuti a nominare un consulente per la protezione dei dati. Notificano i loro consulenti all’IFPDT.
Ulteriori informazioni per la registrazione di consulenti per la protezione dei dati nel portale di notifica dell’IFPDT
In linea di principio la registrazione dei dati di recapito dei consulenti per la protezione dei dati dovrebbe essere effettuata nel portale direttamente dai responsabili del settore, così da avere il controllo sui dati notificati. La registrazione può però anche essere effettuata da altre persone autorizzate dai responsabili. Siete invitati a prestare attenzione ai seguenti aspetti:
- Per notificare o modificare i dati è necessario disporre di un CH-Login oppure di un FED-Login (riservato a chi appartiene all’Amministrazione federale).
- È possibile generare un numero illimitato di CH-Login, ma per ciascuno deve essere utilizzato un indirizzo e-mail diverso.
- Tramite il CH-Login (oppure il FED-Login) è in seguito aperto un conto nel portale di notifica dell’IFPDT. Ogni conto è valido unicamente per UN SINGOLO responsabile (o una singola ditta) e può essere trasferito soltanto insieme al codice identificativo corrispondente.
- Per il CH-Login è possibile utilizzare un indirizzo e-mail personale (non trasferibile) oppure un indirizzo generico. Quest’ultimo ha il vantaggio di poter essere trasferito a un’altra persona che, se del caso, può ancora modificare i dati registrati nel caso in cui, ad esempio, il responsabile precedente cambi attività o funzione.
- Per l’autenticazione di un CH-Login è utilizzato un procedimento a due fattori, che fa uso di un’applicazione di autenticazione, un numero di telefono cellulare (mTAN) oppure un Passkey (FIDO).
- Ai fini della trasparenza e per consentire l’accesso, i dati della persona che effettua la registrazione sono salvati nel sistema (e quindi visibili al responsabile). Dopo la registrazione questi dati possono essere modificati in modo autonomo dall’utente nel portale.
- Chi non avesse la possibilità di utilizzare il portale in ossequio alle indicazioni menzionate in precedenza (ad esempio chi deve registrare i dati di più responsabili ma non dispone di più indirizzi e-mail per la creazione di diversi CH-Login) può inviare per posta o via e-mail all’IFPDT i dati di recapito del consulente per la protezione dei dati.
Nessuna migrazione dei dati verso il nuovo portale di notifica
Non è prevista una migrazione verso il nuovo portale di notifica per i dati e le notifiche del registro attuale concernenti i responsabili per la protezione dei dati (conformemente all'articolo 11a cpv. 5 lett. e LPD-1992) poiché nel contempo vigono nuovi requisiti di legge.
Ultima modifica 24.07.2024