Nel 2023 è entrata in vigore in Svizzera la nuova Legge federale sulla protezione dei dati. Da allora privati e, soprattutto, aziende hanno dovuto verificare il loro trattamento dei dati personali e adottare nuove misure, in particolare organizzative e di sicurezza informatica, per conformarsi alla nuova normativa, ben più severa ed esigente in materia di privacy. Si tratta, in buona sostanza, di raccogliere unicamente le informazioni necessarie relative a qualsiasi terza persona, in conformità al proprio scopo, il tutto in maniera trasparente. Inoltre, occorre prestare particolare attenzione a eventuali fughe di dati o alla trasmissione degli stessi a persone non autorizzate.
Quantomeno sulla carta, le responsabilità e i rischi non sono indifferenti: un’eventuale violazione può portare all’apertura di un procedimento sia amministrativo sia penale, con possibili multe, oltre a un danno reputazionale. Bisogna pertanto essere vigili, dal momento che ogni giorno trattiamo dati personali, per esempio, chiedendo le generalità, l’indirizzo o il numero di telefono di una persona, oppure scattando una fotografia – magari del proprio figlio alla recita scolastica insieme ad altri bambini – oppure ancora ricevendo per e-mail il conteggio dello stipendio di un proprio cliente. Sottostà infatti alla normativa qualsiasi trattamento, ossia qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l’utilizzo, la modificazione, la comunicazione, l’archiviazione, la cancellazione o la distruzione di dati concernenti una persona fisica identificata o identificabile.
L’attuale rigorosa normativa non nasce dal nulla, ma è la naturale conseguenza di gravi violazioni dei dati che hanno fatto le prime pagine dei giornali. Si pensi allo scandalo Cambridge Analytica, nel quale sono stati ceduti illegalmente dati di 87 milioni di utenti Facebook per influenzare elezioni e votazioni in America ed Europa, come l’elezione di Trump e il voto sulla Brexit. Oppure ancora allo scandalo Ashley Madison, sito online di incontri per persone sposate hackerato rendendo pubblici i profili di 36 milioni di clienti.
Sino a poco fa, paesi terzi come gli Stati Uniti non offrivano a giudizio del Consiglio federale garanzie sufficienti e analoghe a quelle di Svizzera ed Ue. Tutto ciò potrebbe apparire non poi così importante, a meno di non rendersi conto che un semplice gesto divenuto ormai quotidiano, come inviare un’e-mail o un sms, significa trasmettere dati potenzialmente anche sensibili all’estero, spesso – se non quasi sempre – negli Usa, dove sono situati i server delle note aziende e applicazioni.
A seguito della sottoscrizione degli accordi Swiss-U.S. ed EU-U.S. Data Privacy Framework, la comunicazione di dati personali a organizzazioni e aziende certificate risulta adeguata e conforme. Occorre pertanto consultare un apposito registro, dove sono elencate le organizzazioni certificate, per comprendere se una determinata comunicazione oltreoceano arrischi di mettervi nei guai oppure no.
La buona notizia è che, dal 15 settembre 2025, questi gesti sono ormai – a determinate condizioni – conformi tanto alla normativa svizzera quanto a quella europea in materia di protezione dei dati personali, benché ciò non significhi ancora che sia garantita una sicurezza effettiva dei dati. A ogni modo, a seguito della sottoscrizione degli accordi Swiss-U.S. ed Eu-U.S. Data Privacy Framework, la comunicazione di dati personali a organizzazioni e aziende certificate risulta adeguata e conforme. Occorre pertanto consultare un apposito registro, dove sono elencate le organizzazioni certificate, per comprendere se una determinata comunicazione oltreoceano arrischi di mettervi nei guai oppure no.
A onor del vero, si tratta in realtà di un meccanismo di autocertificazione, sulla cui base le aziende statunitensi si impegnano a rispettare diversi obblighi in materia di protezione dei dati personali, fra cui i principi di legalità e proporzionalità del trattamento (limitandolo allo scopo perseguito), nonché quelli di trasparenza e sicurezza dei dati, garantendo la corretta conservazione degli stessi ed evitando la loro condivisione con soggetti terzi non autorizzati. L’accesso ai dati ai fini del perseguimento penale oppure della sicurezza nazionale, per il tramite di enti di intelligence, è stato anch’esso ritenuto conforme e sufficientemente regolamentato. Sono inoltre previste garanzie procedurali, con vie di ricorso imparziali e indipendenti in caso di violazione, nonché il controllo del Dipartimento del Commercio degli Stati Uniti, che elaborerà le domande di certificazione – della durata di un anno, rinnovabile – e verificherà periodicamente, mediante controlli a campione, il rispetto dei requisiti.
Tutto bene, verrebbe da dire. Quel che è certo è che, da un lato, l’accordo siglato dal Vecchio Continente con la superpotenza americana rappresenta un passo nella buona direzione, concretizzando l’impegno a rispettare i principi più fondamentali in materia di protezione dei dati personali e garantendo così maggiore serenità a privati e aziende svizzere. D’altro canto, è altrettanto vero che legittimi timori – sull’effettiva protezione dei dati e sul rischio che le gravi violazioni del passato possano ripetersi – non si sono dissipati.
© Riproduzione riservata