Nella primavera 2018 avevo già scritto su queste pagine in merito al nuovo Regolamento generale sulla protezione dati dell’Unione europea, noto con l’acronimo inglese GDPR – General Data Protection Regulation, – entrato in vigore il 25 maggio di quell’anno. Avevo ricordato come quelle disposizioni legali fossero direttamente applicabili a tutte le aziende attive sul territorio dell’Unione europea, senza la necessità di essere recepite nelle varie legislazioni degli Stati membri. Anche ad aziende non stabilite all’interno dell’Unione, nel limite in cui venissero trattati dati personali di persone residenti all’interno dei suoi confini. La Svizzera, quale Stato terzo, si è adeguata a suddette nuove normative aggiornando la propria Legge federale sulla protezione dei dati (LPD), in essere dallo scorso 1 settembre 2023.
La prima legge federale sulla protezione dei dati risaliva al 1992. Nel frattempo la popolazione svizzera ha introdotto l’uso di internet e degli smartphone nel suo quotidiano e ricorre sempre più frequentemente a reti sociali, cloud o IoT. Oggi anche all’intelligenza artificiale. Un rimaneggiamento completo della Legge sulla protezione dei dati era quindi indispensabile per assicurare alla popolazione una protezione adeguata e adattata alle evoluzioni tecnologiche e sociali.
Cosa cambia? La nuova LPD introduce i seguenti otto cambiamenti principali per le imprese:
i) solo i dati delle persone fisiche saranno da ora in poi protetti, e non più quelli delle persone giuridiche;
ii) i dati genetici e biometrici entrano nella definizione dei dati sensibili;
iii) vengono introdotti i principi di “Privacy by Design” e di “Privacy by Default”. Come indicato dal nome, il primo principio (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il secondo principio (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti;
iv) devono essere condotte delle analisi d’impatto, in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate;
v) viene esteso il diritto di informare: la raccolta di tutti i dati personali – e non più unicamente di quelli detti sensibili – deve portare all’informazione preventiva della persona interessata;
vi) diventa obbligatorio allestire un registro delle attività di trattamento;
vii) è richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza;
viii) la nozione di profilazione (cioè il trattamento automatizzato dei dati personali) entra a far parte della legge.
Mi soffermo qui sul nuovo obbligo di annuncio rapido. Lo stesso deve aver luogo soltanto in caso di violazione della sicurezza dei dati che comporti verosimilmente un rischio elevato per la personalità o per i diritti fondamentali della persona interessata. La valutazione del rischio presuppone un’analisi della situazione sulla base della natura, le dimensioni e il contenuto dei dati violati, le modalità e le circostanze dell’avvenuta violazione, il numero delle persone toccate e la facilità con cui le stesse potrebbero essere identificate. La notifica di un’avvenuta violazione della propria banca dati segue una procedura semplice. Addirittura, il preposto Ufficio federale ha messo a disposizione un formulario prestampato, scaricabile da internet. Dal 1 settembre a fine luglio 2024 sono già stati registrati ben 353 annunci di cui 37 pratiche si riferiscono a casi in cui sono stati violati i dati di oltre 2000 persone contemporaneamente.
Ma cosa succede se il responsabile per la protezione dei dati di un’azienda non procede all’immediato annuncio indicato dalla legge? Nulla. L’avamprogetto legislativo prevedeva la possibilità di comminare una multa fino a 500mila franchi. Ma a seguito delle molteplici critiche espresse durante la procedura di conciliazione, il Consiglio federale ha poi rielaborato il progetto di legge limitando le sanzioni a carattere penale alle violazioni di norme essenziali e gravi. Non è considerata tale la semplice omissione dell’annuncio all’Incaricato federale per la protezione dei dati e per la trasparenza o la mancata informazione alle persone toccate dalla violazione della sicurezza dei dati. Chi non procede alla notifica non può pertanto essere punito.
© Riproduzione riservata