Nuova LPD: quali sono le principali novità?

Vi è un gran parlare degli adempimenti richiesti dalla nuova LPD che entra in vigore il 1° settembre 2023. Le novità apportate dalla nuova legge sono indubbiamente significative, in quanto significative sono state le riforme della Convenzione 108 modernizzata del Consiglio d’Europa, che la Confederazione elvetica intende ratificare dopo l’entrata in vigore della legge federale, così come di rilievo è stato il cambiamento apportato dal GDPR nel diritto europeo, al quale la Svizzera intende equiparare il proprio ordinamento.

Detto questo, tuttavia, non possiamo dimenticare che la nuova LPD interviene su una precedente piattaforma regolatoria, quella disciplinata dalla LPD del 1992 e alcune di quelle prescrizioni rimangono pilastri della nuova legge: detto diversamente, non tutto è realmente nuovo e alcuni importanti adempimenti o salvaguardie erano già presenti sin dalle origini.  

Si dirà che, siccome la LPD non aveva “sharp teeth”, poche organizzazioni vi hanno prestato attenzione e si erano uniformate in tempo debito, per cui ora che la nLPD fa più paura, prevedendo multe per i vertici aziendali e per coloro che hanno la responsabilità interna di fare quanto richiesto dalla legge, è tutta un’altra storia. 

Principali novità nella nuova LPD rispetto alla legge del 1992

Numerose sono le novità introdotte dalla nuova legge sulla protezione dei dati personali rispetto alla legge del 1992, in particolare:

  • La legge protegge solo i dati personali di persone fisiche
  • I «dati personali degni di particolare protezione» includono i dati genetici e i dati biometrici che identificano un individuo​
  • Introduzione dei principi di protezione dei dati «sin dalla progettazione» e «per impostazione predefinita» (art. 7)​
  • Previsione dei consulenti per la protezione dei dati  per i privati (art. 10)​
  • Valutazioni d’impatto, in caso di rischi elevati, anche per i titolari privati (art. 22)​
  • Incentivati i codici di condotta (art. 11) e possibilità di certificare i trattamenti (art. 13)​
  • Obbligo del registro delle attività di trattamento, salvo deroghe (art. 12)​
  • Comunicazione di dati personali all’estero solo in presenza di garanzie adeguate e con indicazione dei Paesi di destinazione (art. 16)​
  • Obblighi di informazione agli interessati, salvo eccezioni (artt. 19 e ss.)​
  • Diritto di accesso (estensione) ai propri dati personali e di portabilità (artt. 25 e ss.).​
  • Obbligo di notifica di violazioni di dati, se elevato rischio (art. 24)​
  • Designazione e poteri estesi dell’IFPDT (artt. 43 e ss.)​
  • Sanzioni penali (estensione) (artt. 60 e ss.)​

Principali conferme nella nuova LPD rispetto alla legge del 1992

  • La legge si applica sia agli organi federali sia alle aziende private​
  • Non applicabilità per i trattamenti da parte di individui per fini esclusivamente personali e altre esclusioni​
  • Dati personali degni di particolare protezione​
  • Principi generali di protezione​
  • Obbligo di informazione nei casi di maggiore impatto​
  • Diritto di accesso e restrizioni​
  • Motivi giustificativi del trattamento​
  • Comunicazione di dati personali all’estero​
  • L’istituzione dell’IFPDT come autorità indipendente​
  • L’IFDPT continua a non avere il potere di irrogare sanzioni.​

Principali eliminazioni nella nuova LPD rispetto alla legge del 1992

  • Notifica all’IFPDT delle collezioni di dati da parte dei privati​
  • Registro delle collezioni di dati.​

Si nota subito che le novità sono più numerose e qualitativamente più significative delle conferme. Le eliminazioni riguardano aspetti essenzialmente burocratici, di apporto scarsamente significativo per una tutela sostanziale. Le novità, invece, incrementano di molto il senso di responsabilità dell’azienda in questo ambito, sebbene la nuova LPD non abbia recepito esplicitamente il principio di accountability presente nel GDPR.

Condividi

Post Recenti

Regulatory Framework on cybersecurity

Telemarketing in the energy industry  -2

Lawfulness of processing in anti-fraud investigations