Ruolo dell’IFPDT

In futuro il capo dell’IFPDT, ovvero l’Incaricato, sarà eletto dal Parlamento. Finora l’elezione avveniva ad opera del Consiglio federale e l’Assemblea federale si limitava a confermarla. La nuova disposizione rafforza l’indipendenza dell’ufficio dall’Esecutivo e la relativa legittimazione democratica. L’Incaricato assume il proprio personale e dispone di un proprio preventivo: il Consiglio federale inoltra il progetto di preventivo all’Assemblea federale senza modifiche. 

Come in passato, sul piano amministrativo l’IFPDT rimane un’autorità aggregata alla Cancelleria federale e la comunicazione tra il Consiglio federale e l’IFPDT avviene per il tramite del cancelliere della Confederazione. In virtù di un accordo di prestazioni, la Cancelleria federale fornisce per conto dell’IFPDT una serie di prestazioni nell’ambito dell’amministrazione del personale, delle finanze e della burotica. 

Ora il Consiglio federale constaterà se la legislazione di uno Stato terzo garantisce una protezione adeguata dei dati e se i dati potranno essere quindi comunicati dalla Svizzera all’estero senza ulteriori misure. L’elenco figura come allegato nell’ordinanza sulla protezione dei dati.

Se il trattamento previsto dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali, il titolare del trattamento, privato o presso un’autorità, deve effettuare una valutazione d’impatto sulla protezione dei dati (VIPD). Se da quest’ultima emerge che, nonostante provvedimenti appropriati, il trattamento previsto comporta ancora un rischio elevato per la personalità o i diritti fondamentali delle persone interessate, il titolare del trattamento deve rivolgersi all’IFPDT prima di procedere al trattamento dei dati. L’IFPDT verifica la valutazione d’impatto sulla protezione dei dati e comunica al titolare del trattamento entro due mesi eventuali obiezioni. Il parere dell’IFPDT non rappresenta alcuna «autorizzazione» al trattamento dei dati previsto. Non è impugnabile, ma è soggetto a pagamento. 

La legge riveduta attribuisce nuovi compiti all’IFPDT. Le associazioni professionali, di settore ed economiche possono elaborare propri codici di condotta e sottoporli all’IFPDT affinché si esprima al riguardo. I pareri vengono pubblicati dall’IFPDT, il quale pubblica inoltre un elenco delle clausole tipo di protezione dei dati da esso approvate, stabilite o riconosciute. L’IFPDT può ora riscuotere emolumenti per i pareri espressi in merito a un codice di condotta nonché per l’approvazione di clausole tipo di protezione dei dati e di norme interne d’impresa vincolanti sulla protezione dei dati. 

Il titolare del trattamento deve ora notificare all’IFPDT ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. L’IFPDT mette a disposizione un apposito portale di notifica sul proprio sito Internet. 

L’IFPDT, in qualità di organo di vigilanza, deve garantire che organi federali e privati rispettino le disposizioni federali in materia di protezione dei dati, in particolare la LPD. Se sussistono indizi sufficienti per supporre che un trattamento dei dati possa violare le disposizioni sulla protezione dei dati, l’IFPDT apre un’inchiesta, salvo nel caso in cui la violazione sia di lieve entità. Nell’ambito dell’inchiesta l’IFPDT definisce le modalità con cui un organo federale oppure un privato o un’azienda privata trattano i dati personali che si riferiscono a una persona fisica. Successivamente, sulla base dei fatti constatati, valuta se sussiste realmente una violazione delle disposizioni federali in materia di protezione dei dati. 

Con l’entrata in vigore della legge sulla protezione dei dati riveduta la Svizzera sarà chiamata alla ratifica della Convenzione 108+ del Consiglio d’Europa, uno strumento multilaterale vincolante in materia di protezione dei dati che risale al 1981 e che ora è stato modernizzato e adeguato alle sfide dell’era digitale. Per soddisfare i requisiti della Convenzione 108+, il legislatore ha esteso le competenze dell’IFPDT in materia di indagine. Mentre finora, in caso di trattamento dei dati da parte di privati, l’Incaricato poteva avviare un accertamento dei fatti solo se le modalità di trattamento erano tali da violare la personalità di un numero elevato di persone (errore di sistema), con il nuovo diritto tale soglia non esiste più. 

Il Commissario intensificherà quindi le attività di vigilanza dell'FDPIC a partire dall'entrata in vigore della nuova legge e aumenterà gradualmente il numero di indagini formali. L'autorità è stata dotata di risorse di personale aggiuntive per l'applicazione della nuova legge. L'FDPIC ha potuto completare con successo le assunzioni corrispondenti nella primavera del 2023.

Durante l’attività di vigilanza in corso possono emergere elementi che fanno presupporre possibili violazioni della protezione dei dati oppure possono giungere all’IFPDT segnalazioni al riguardo da parte di persone interessate o terzi, come società di media o organizzazioni di tutela dei consumatori. In presenza di prime avvisaglie o segnalazioni di una violazione delle disposizioni in materia di protezione dei dati, l’IFPDT verifica, inizialmente nel contesto di accertamenti iniziali, la propria competenza, se sussistono indizi sufficienti per una violazione e se quest’ultima è di grande o lieve entità. L’IFPDT ha inoltre la possibilità di invitare il titolare del trattamento a rispondere su base volontaria, inizialmente in modo informale, ad alcune domande, ad es. qualora le sue competenze non siano chiare o ritiene probabile che in seguito al colloquio con il titolare del trattamento possa essere superfluo avviare un’inchiesta. Quest’ultima possibilità si verifica in particolare quando il titolare del trattamento riesce a confutare rapidamente i primi indizi di violazione oppure adotta spontaneamente e in tempo utile provvedimenti per garantire il rispetto delle disposizioni in materia di protezione dei dati. 

In base al diritto vigente, l’IFPDT accerta i fatti e verifica se sussista una violazione delle disposizioni in materia di protezione dei dati nell’ambito di un accertamento dei fatti, il quale si conclude eventualmente con una raccomandazione giuridicamente non applicabile di modificare o sospendere un determinato trattamento dei dati. Ai sensi del nuovo diritto la procedura d’inchiesta si basa sulla legge federale sulla procedura amministrativa (PA). Se nel corso della procedura l’IFPDT constata una violazione delle disposizioni in materia di protezione dei dati, esso ha la competenza per emanare una decisione applicabile dal punto di vista del diritto in conformità con l’articolo 5 PA, che il titolare del trattamento può impugnare dinanzi al Tribunale amministrativo federale se non intende accettarla. L’IFPDT può ordinare di adeguare, sospendere o cessare un trattamento dei dati o di cancellare i dati personali. 

La legge riveduta prevede due disposizioni specifiche riguardanti la collaborazione tra l’IFPDT e le autorità svizzere ed estere. Le autorità svizzere sono tenute a fornire assistenza amministrativa all’IFPDT, mentre l’obbligo dell’Incaricato in tal senso si limita alle autorità svizzere incaricate della protezione dei dati, alle autorità di perseguimento penale in relazione alle relative denunce nonché alle autorità federali e agli organi di polizia coinvolti per l’esecuzione dei suoi provvedimenti. 

L’assistenza amministrativa dell’IFPDT nei confronti delle autorità estere si estende a quelle incaricate della protezione dei dati. Sono oggetto di scambio le informazioni e i dati personali necessari all’autorità per l’adempimento dei propri compiti legali. Deve essere soddisfatta tutta una serie di requisiti, come ad esempio la reciprocità, la salvaguardia del segreto e l’utilizzo delle informazioni solo per la procedura in questione. 

Come in precedenza, anche in base al nuovo diritto l’IFPDT non ha alcuna competenza sanzionatoria, a differenza delle autorità di vigilanza dell’Unione europea. Nella LPD sono state invece ampliate le disposizioni in materia di diritto penale accessorio. Sono punibili il mancato rispetto intenzionale degli obblighi di informare, di concedere l’accesso e di notifica nonché la violazione intenzionale degli obblighi di diligenza, in particolare per quanto riguarda la comunicazione di dati personali all’estero, il trattamento da parte di un responsabile e la sicurezza dei dati. Vengono punite con una multa pari a un massimo di 250 000 franchi le persone fisiche che si rendono responsabili della violazione. L’importo massimo della multa per le persone giuridiche, previsto unicamente in via sussidiaria, è pari a 50 000 franchi. 

In occasione delle deliberazioni parlamentari sulla nuova LPD, il Consiglio federale ha preso in considerazione di valutare l’introduzione di sanzioni di diritto penale amministrativo contro le aziende inadempienti in vista dell’emanazione di una nuova legge federale.