Iter

  • 1 luglio 1993 entrata in vigore LPD;
  • 15 settembre 2017 Consiglio Federale inizia la revisione;
  • 25 settembre 2020 votata dall’assemblea federale;
  • 14 gennaio 2021 termine ultimo per richiesta di referendum (firme non presentate);
  • primavera – estate 2022 entrata in vigore;
  • testo legislativo FF 2020 6695.

Scopo e campo di applicazione

Scopo

Scopo della presente legge è proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.

Tutelare le persone fisiche – Difesa dei diritti del singolo (differenza con il precedente regime)

Campo di applicazione

Personale e Materiale
La presente legge si applica al trattamento di dati personali concernenti persone fisiche da parte di privati e organi federali.
Territoriale
La presente legge si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero.

L’impatto del trattamento dei dati non si ferma ai confini, vale per tutte le attività che hanno filiali, che hanno un flusso di lavoro e uno scambio con l’estero.

Definizioni e principi

Definizioni

Puoi anche vedere un simpatico video al posto di leggere quanto riportato di seguito

  • Dati Personali: tutte le informazioni concernenti una persona fisica identificata o identificabile;
  • Persona Interessata: persona fisica i cui dati personali sono oggetto di trattamento;
  • Dati personali degni particolare protezione: dati personali che rispecchino aspetti essenziali di una persona;
  • Trattamento: qualsiasi operazione relativa ai dati personali;
  • Comunicazione: trasmissione dei dati personali o la loro accessibilità;
  • Profilazione: trattamento automatizzato di dati consistente nell’utilizzo degli stessi per valutare determinati aspetti personali volti a prevedere o analizzare determinati comportamenti;
  • Profilazione a rischio elevato: comporta un collegamento tra dati che permette di valutare aspetti essenziali di una persona;
  • Violazione della sicurezza dei dati: in seguito alla quale i dati vengono persi, cancellati, distrutti, divulgati o resi accessibili da persone non autorizzate;
  • Organo federale: autorità della Confederazione Elvetica atta a consigliare e dirimere questioni circa l’applicabilità della legge;
  • Titolare del Trattamento: il privato o l’organo federale che determina lo scopo e i mezzi del trattamento;
  • Responsabile del Trattamento: il privato o l’organo federale che tratta i dati personali per conto del titolare del trattamento.

Principi

Quanto segue è riassunto in un video se preferisci questa forma comunicativa

  • i dati Personali devono essere trattati in modo lecito;
  • il trattamento deve essere conforme al principio di buona fede – proporzionalità;
  • i dati personali possono essere raccolti solo per uno scopo determinato e riconoscibile;
  • i dati personali sono distrutti o resi anonimi quando non sono più necessari;
  • chi tratta i dati personali deve accertarsi della loro esattezza;
  • il consenso deve essere dato in modo libero;
  • Privacy by Design e Privacy by Default.

Diritti della persona interessata

Riassumiamo quanto riportato di seguito in un video. Si raccomanda di attivare i sottotitoli

  • accesso;
  • portabilità;
  • rettifica dei propri dati;
  • proibizione di un trattamento;
  • divieto di comunicazione a terzi;
  • cancellazione o distruzione.

Obblighi del titolare e del responsabile del trattamento

  • informativa;
  • provvedimenti tecnico – organizzativi;
  • registro dei trattamenti;
  • notifica violazione dati;
  • valutazione di impatto – alto rischio.

Data Breach

Il Data Breach è un evento in cui, per motivi non dipendenti dalla volontà del titolare o dei responsabili del trattamento, viene meno uno dei seguenti aspetti relativo ai dati personali:

  • confidenzialità;
  • sicurezza;
  • persistenza;
  • esattezza.

Il Data Breach può essere un evento fortuito (ad esempio perdita accidentale dei dati) oppure intenzionale, furto di dati perpetrato da interni o esterni non autorizzati. Deve essere notificato all’Incaricato Federale.

Esportazione di dati all’estero

L’esportazione all’estero di dati deve avvenire con determinate cautele:

  • indicata in informativa;
  • accettata liberamente dalla Persona Interessata;
  • possibilmente verso un paese con un apparato normativo compatibile e comparabile (EU – GDPR).

Incaricato Federale per la Protezione dei Dati personali e Trasparenza (IFPDT)

Nel video una chiacchierata sull’argomento dell’Incaricato Federale.

L’Incaricato Federale della Protezione dei Dati e della Trasparenza (IFPDT) è una figura di spicco nella nuova legge LPD. Viene eletto dall’Assemblea Federale Plenaria ed esercita la sua funzione in modo indipendente, senza ricevere né sollecitare informazioni da alcuna autorità o terzi.

Tra le sue funzioni:

  • apre l’inchiesta (d’ufficio o su denuncia);
  • ordina l’accesso alle informazioni;
  • ordina l’accesso ai registri;
  • ordina l’accesso ai locali e agli impianti;
  • ordina l’interrogatorio ai testimoni;
  • ordina perizie di esperti.

Se ritiene che siano state violate alcune disposizioni sulla protezione dei dati, egli può sospendere o vietare il trattamento o ordinare la distruzione (del tutto o in parte) dei dati personali, anche all’estero.

E’ una figura con la quale si può collaborare, soprattutto per fugare dubbi e accedere a consulenze per determinati tipi di trattamenti.

In ultimo è il destinatario delle notifiche di Data Breach.

Sanzioni

La nuova LPD, diversamente dal diritto europeo ha optato per la responsabilizzazione delle persone fisiche all’interno delle organizzazioni aziendali, che sono coloro che detengono i poteri decisionali: le multe infatti sono comminate ai privati e non alle persone giuridiche.

L’unica eccezione è quella dell’art. 64 dove vi è la possibilità di imputare l’infrazione direttamente all’azienda, se la ricerca della persona fisica all’interno dell’impresa o dell’organizzazione esige un onere sproporzionato e se la sanzione non supera i 50.000 Franchi.

Sono punite a querela di parte, con la multa fino a 250.000 Franchi i privati che:

  • art. 60 violano gli obblighi di informare, di concedere l’accesso e di collaborare;
  • art. 61 violano gli obblighi di diligenza;
  • art. 62 violano gli obblighi di segreto;
  • art. 63 non osservano una decisione dell’IFPDT o dall’autorità.