Il nuovo Regolamento europeo sulla protezione dei dati (GDPR) entrer in vigore il 25 maggio 2018. L'ambito di applicazione del Regolamento si estende, a certe condizioni, anche alle societ al di fuori dell'Unione europea.

Gli obblighi dei titolari del trattamento dei dati (persone o autorit che determinano le finalit e i mezzi del trattamento di dati personali) e dei responsabili del trattamento (persone o autorit che trattano dati personali per conto del titolare del trattamento), nonch i diritti degli interessati (persone fisiche, alle quali si collegano i dati personali) verranno estesi notevolmente.

Anche le imprese svizzere devono dunque verificare, se sono soggette al GDPR e quali precauzioni devono adottare, per evitare di incorrere nelle severe sanzioni previste dal Regolamento.

Ambito di applicazione

Il GDPR si applica al trattamento dei dati personali delle persone fisiche. Per quanto riguarda l'ambito di applicazione territoriale, assodato che il GDPR si applica anche alle imprese svizzere che hanno uno stabilimento di impresa nell'Unione europea, indipendentemente dal fatto che il trattamento dei dati avvenga effettivamente all'interno dell`UE.

Nel caso in cui non ci fosse uno stabilimento localizzato nell'Unione europea, il GDPR si applica alle imprese svizzere che offrono (anche a titolo gratuito) beni o prestazioni di servizi nell'UE (in linea di massima anche via internet) o che monitorano il comportamento delle persone interessate (come sopra definite) nella misura in cui tale comportamento ha luogo all'interno dell'UE.

Permangono d'altra parte alcune zone grigie: non ad esempio chiaro se un'impresa svizzera che, in qualit di titolare, incarica un responsabile del trattamento con sede nell'UE sia assoggettata o meno al GDPR. Fino ad un chiarimento da parte delle autorit competenti, l'applicabilit del GDPR non pu essere esclusa.

I nuovi principali obblighi dei titolari e responsabili del trattamento, nonch i diritti degli interessati si possono riassumere come segue:

Gli interessati devono essere informati completamente, in modo preciso, trasparente, comprensibile, facilmente accessibile ed in un linguaggio chiaro e semplice sul trattamento previsto dei loro dati.

I titolari ed i responsabili del trattamento sono obbligati a tenere un registro completo delle attivit di trattamento.

I titolari sono inoltre obbligati a sviluppare dei sistemi di trattamento dati che proteggano gli stessi dati sin dall'inizio (Privacy by Design, per esempio tramite pseudonimizzazione o minimizzazione dei dati che vengono trattati) ed a fare in modo che le impostazioni predefinite garantiscano che non vengono trattati dei dati non necessari ai fini del trattamento (Privacy by Default, per esempio rendendo possibile l`acquisto di prodotti online senza dover creare un profilo utente).

Le lacune di sicurezza dei dati personali devono essere notificate all'autorit di controllo competente (una o pi autorit pubbliche indipendenti che sono incaricate di sorvegliare l'applicazione del Regolamento; in Svizzera l'incaricato federale della protezione dei dati e della trasparenza (IFPDT)) senza indugio. Inoltre, devono essere messe in atto misure tecniche e organizzative di protezione adeguate per garantire che le lacune di sicurezza vengano scoperte immediatamente. L'interessato deve essere informato della lacuna di sicurezza se esiste un presumibile rischio elevato per i diritti e le libert dell'interessato stesso (per esempio nel caso in cui i dati trattati siano particolarmente sensibili (dati concernenti la salute) e/o viene trattata una grande quantit di dati e/o il trattamento automatizzato).

L'interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano (Diritto all'oblio), di riceverli in un formato strutturato, di uso comune e leggibile da dispositivi automatici e di farli trasmettere dal titolare del trattamento ad un suo successore (Data portability).

Il titolare del trattamento deve effettuare una valutazione d'impatto sulla protezione dei dati, nel caso in cui il trattamento dei dati possa presumibilmente presentare un rischio elevato per i diritti e le libert dell'interessato (vedi sopra). Tale valutazi-

one include tra l'altro una valutazione dei rischi, che comprende l'analisi della probabilit di accadimento e della gravit della violazione, nonch una descrizione e valutazione delle misure di protezione pianificate.

I titolari o i responsabili del trattamento senza uno stabilimento d'impresa nell'UE, ma comunque soggetti al GDPR, devono inoltre nominare un rappresentante nell'UE.

Sanzioni

A seconda della violazione, un'impresa pu incorrere in multe fino a 20 milioni di euro o fino al 4% del fatturato annuo totale realizzato a livello mondiale. Rimane inoltre riservato il risarcimento dei danni materiali e immateriali secondo il diritto civile.

Osservazioni

L'implementazione del GDPR richiede attenzione e misure di attuazione da parte di molte imprese svizzere, chiamate ad un supplementare e notevole sforzo organizzativo e finanziario. Gli obblighi imposti ai titolari ed ai responsabili del trattamento richiedono, in particolare, misure di natura tecnica e organizzativa.

Vi inoltre un certo grado di incertezza, non solo per quanto riguarda l'ambito di applicazione del regolamento, ma anche relativamente al contenuto ed all'estensione degli obblighi e dei diritti individuali, che dovranno essere chiariti della prassi giudiziaria. Per far fronte a tutte queste sfide, si consiglia alle aziende (soprattutto quelle che trattano dati personali sensibili o grandi quantit di dati personali) di affrontare l'implementazione del GDPR con sufficiente anticipo e di valutare, in prima battuta, se esse rientrino nell'ambito di applicazione del GDPR e, in caso affermativo, quali misure debbano essere adottate per soddisfare le nuove norme. Se necessario, occorrer consultare uno specialista esterno, che possa adeguatamente consigliare l'impresa.

Prospettive la nuova Legge federale sulla protezione dei dati (LPD)

Per stare al passo con gli standard UE in materia di protezione dei dati anche in futuro e per tenere conto dei rapidi sviluppi tecnici, la legge federale sulla protezione dei dati attualmente in corso di revisione. L'obiettivo della revisione quello di creare una legge federale sulla protezione dei dati pi possibile compatibile con il GDPR.

Tuttavia, l'entrata in vigore della nuova legge non imminente. La commissione competente del Consiglio nazionale ha infatti recentemente annunciato che

le deliberazioni parlamentari sulla legge sulla protezione dei dati si svolgeranno in due fasi: innanzitutto, verr discusso il recepimento nel diritto svizzero della Direttiva 2016/680 sulla tutela delle persone fisiche riguardo al trattamento dei dati personali nel settore del diritto penale, che ha priorit sulla base degli accordi Schengen e, solo in una seconda fase e senza vincoli di tempo, verr deliberata la revisione totale della Legge federale sulla protezione dei dati.

Br & Karrer Briefing febbraio 2018 Il nuovo regolamento europeo sulla protezione dei dati Anche le imprese svizzere devono attrezzarsi