Revisione totale LPD
LPD, finalmente alle Camere federali
26 settembre 2019 upsa-agvs.ch – La Legge sulla protezione dei dati totalmente rivista è al vaglio del Consiglio nazionale. La materia asciutta, riversata in 260 pagine e infinite proposte, passerà poi al Consiglio degli Stati. L’UPSA si impegna affinché la nuova legge sia economicamente sostenibile e applicabile per il ramo. Abbiamo chiesto il parere di Olivia Solari, giurista dell’UPSA.
sco. Signora Solari, finalmente il progetto di revisione totale della Legge sulla protezione dei dati è sul tavolo. L’UPSA ne è soddisfatta?
Olivia Solari: L’Unione ha già spiegato chiaramente nel suo parere quanto sia controproducente ogni eccesso di regolamentazione. Il messaggio emanato dal Consiglio federale imponeva ai nostri membri degli obblighi d’informazione e di fare che, secondo l’UPSA, comportano troppi oneri burocratici. Per fortuna l’attuale progetto contempla delle eccezioni. Però non possiamo ancora dire se e in che modo il Parlamento accetterà queste deroghe.
Dopo il Consiglio nazionale toccherà a quello degli Stati. Secondo lei, quando sarà pronta la nuova LPD?
L’operazione è altamente complessa e molto discussa. La commissione delle istituzioni politiche del Consiglio nazionale (CIP-N) ha accettato il progetto solo grazie alla decisione del presidente, che ha sbloccato la parità di voti. La stessa commissione ha formulato molte proposte di modifica, il che solleverà non poche discussioni nelle Camere federali. Prevediamo che la LPD entrerà in vigore non prima della metà del 2021 – quindi tre anni più tardi del previsto.
Questo progetto complesso riguarda anche i garagisti svizzeri. Cosa possono fare per districarsi da questo groviglio di disposizioni e regole?
Per il momento è ancora in vigore l’attuale LPD. Quindi, non c’è ancora bisogno di agire d’urgenza. Resta però il fatto che la legge prima o poi entrerà in vigore - prima ce ne occupiamo e meglio è. Perciò do un consiglio ai nostri membri: studiate le cinque pagine della nostra analisi e se avete domande potete rivolgervi al servizio legale dell’Unione. Inoltre consiglio loro di verificare sin da subito se siano in possesso dei consensi e di quanto richiesto dalla LPD per svolgere le operazioni interne.
Secondo il progetto, ogni ramo potrà definire un proprio codice di condotta idoneo e valevole per l’intero settore. Questa misura potrebbe facilitare notevolmente la vita delle aziende artigianali. L’UPSA stilerà un codice etico per i suoi membri?
In questo contesto stiamo lavorando a stretto contatto con l’Associazione svizzera delle società di leasing (SLV). Una bozza di codice esiste già ma deve essere ristudiata. Terremo al corrente i nostri membri.
Perché è necessaria una revisione totale della Legge sulla protezione dei dati personali?
Il Consiglio d’Europa elabora la Convenzione 108 (C108) sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale nell’UE e la Svizzera è tra gli stati firmatari. Il Consiglio federale è del parere che la non ratifica di questo trattato avrebbe ripercussioni pesanti sulla trasmissione di dati tra la Svizzera e l’estero. Con la revisione della LPD, il nostro paese si allinea alle norme dell’UE. Ciò fa sì che la Commissione Europea riconosca come adeguata la protezione dei dati personali vigente in Svizzera e garantisce così la libera circolazione dei dati tra le imprese svizzere e gli stati europei.
A livello pratico, che cosa cambierà con la nuova legge? Di cosa dovrà tener conto il garagista nel suo lavoro quotidiano?
Inizialmente la LPD totalmente rivista avrebbe dovuto entrare in vigore nel 2018. Dopo le lunghe consultazioni delle commissioni si arriverà probabilmente al 2021 o al 2022. Ciò vuol dire che, in un futuro non troppo lontano, i nostri membri che utilizzano dei dati personali dovranno chiedersi ogni volta: «È consentito l’utilizzo di questi dati? Li posso trasmettere? E come faccio a sapere come vengono trattati da terzi?». L’attuale versione della LPD prevede già un’ampia protezione dei dati. Ma ciò che cambierà drasticamente saranno, tra le varie cose, le multe in caso di violazione.
Il progetto prevede multe anche di 250‘000 franchi per chi viola la LPD. Il garagista deve prepararsi ad affrontare eventuali controversie e a rischiare la sua attività professionale?
Effettivamente il disegno riprende il sistema di sanzioni penali, oggetto di forti critiche, e le multe massime di 250'000 franchi. Due proposte della minoranza mirano addirittura ad aumentarle sensibilmente, cosa che l’UPSA rifiuta categoricamente. Il messaggio concernente l’attuale disegno di legge evidenzia l’infondatezza del timore, espresso nella consultazione, che qualsiasi dipendente di un’azienda possa incorrere in sanzioni. Stiamo parlando di obblighi di diritto amministrativo, il cui adempimento è garantito dal diritto penale amministrativo. In caso di violazione, ne rispondono le persone fisiche con funzioni dirigenziali. Le multe di 250’000 franchi possono diventare effettivamente una minaccia per le attività dei garagisti.
Il 15 e 16 agosto 2019, la Commissione delle istituzioni politiche del Consiglio nazionale (CIP-CN) ha concluso il suo lungo esame della legge sulla protezione dei dati. Il disegno di legge è stato approvato con 9 voti favorevoli, 9 contrari, 7 astensioni e voto decisivo del presidente, un risultato che potrebbe dipendere da una sorta di «alleanza da sinistra a destra». Mentre il primo gruppo ritiene a quanto pare che il testo non si spinga sufficientemente in là, il secondo respinge fondamentalmente lo stesso, come già avvenuto fin dall’inizio della trattazione.
Ora il testo passerà alla deliberazione del Consiglio nazionale nella sessione autunnale. La CIP-CN ha formulato numerosissime richieste di modifica (tra proposte di maggioranza e di minoranza), motivo per cui il disegno di legge si estende ora per 260 pagine che andranno esaminate. Assieme alle associazioni economiche e al proprio partner di progetto (l’Associazione svizzera delle società di leasing, ASSL), l’UPSA si impegnerà affinché la legge sia effettivamente dibattuta e non venga bocciata alla votazione finale. L’incertezza sulle corrette modalità di organizzazione dei processi aziendali sotto il profilo della protezione dei dati rappresenta infatti un freno per molti progetti e molte aziende.
Il Consiglio nazionale è la camera prioritaria: ciò significa che successivamente il disegno di legge verrà discusso anche dal Consiglio degli Stati.
Di conseguenza, l’entrata in vigore in Svizzera della legge sulla protezione dei dati totalmente rivista è attualmente prevista non prima della metà, ma più probabilmente verso la fine del 2021.
Contenuti
Sotto il profilo dei contenuti, continuiamo a impegnarci soprattutto per i temi chiave definiti all’inizio del processo legislativo, che riepiloghiamo ancora una volta brevemente a vostro beneficio. Ovviamente rimarranno oggetto di costante attenzione e monitoraggio anche i restanti elementi della legge.
1. Nessuna protezione dei dati delle persone giuridiche
Il disegno della nuova legge non prevede la protezione dei dati delle persone giuridiche. Una minoranza della CIP-CN intende tuttavia reintrodurre tale protezione. Dal punto di vista dell’UPSA tale proposta di minoranza va tuttavia respinta poiché la protezione dei dati delle persone giuridiche riveste già oggi una ridotta importanza pratica, che tuttavia spesso ostacola la comunicazione dei dati all’estero. Inoltre, nemmeno il regolamento RGPD UE né la Convenzione del Consiglio d’Europa prevedono alcuna protezione dei dati delle persone giuridiche. Una corrispondente rinuncia non comporterebbe quindi per la Svizzera un livello di protezione dei dati inferiore e non equivalente.
2. Profilazione
Il termine proposto di «profilazione» designa la valutazione di determinate caratteristiche di una persona stilata sulla base di dati personali ottenuti tramite elaborazione automatica e finalizzati soprattutto all’analisi e alla previsione di performance lavorative, condizioni economiche e di salute, comportamento, interessi, luogo di dimora e mobilità. Stando al messaggio, il termine indica dunque ogni analisi di dati personali assistita da computer.
Il disegno tiene conto delle restrizioni che l’UPSA e molti altri partecipanti alla procedura di consultazione hanno chiesto di applicare alle attività elettroniche e automatizzate; tale richiesta corrisponde alla proposta di maggioranza della CIP-CN. La profilazione è oggetto di diverse disposizioni della legge, laddove l’UPSA e l’ASSL ritengono che un trattamento eccessivamente rigido non sia giustificato e vada respinto in considerazione del fatto che la profilazione può presentare anche un’utilità positiva per le consumatrici e i consumatori (per es. monitoraggio del traffico dei pagamenti sulla base del comportamento tipico del cliente al fine di prevenire frodi).
3. Codici di condotta specifici dei rami
Le associazioni economiche e di categoria potranno presentare all’incaricato pubblico della protezione dei dati un codice di condotta stilato dalle stesse. Questi esprimerà e pubblicherà quindi un relativo parere. Questo punto rappresenta una novità rispetto all’avamprogetto.
Per i membri dell’UPSA e dell’ASSL, così come in generale per le due associazioni, la possibilità di redigere un codice etico è un’opportunità straordinaria per definire delle regole valevoli per tutto il proprio ramo. Sebbene dal parere positivo dell’incaricato non possa essere derivato alcun diritto, si può dare per scontato che chi osservi il codice etico non vada incontro a provvedimenti amministrativi. Questo è almeno il tenore del messaggio del Consiglio federale. L’osservanza del codice di condotta porterebbe inoltre sgravi anche in riferimento alla valutazione d’impatto sulla protezione dei dati (v. sotto).
4. Consulenti volontari per la protezione dei dati
La figura del consulente (interno) per la protezione dei dati è già prevista dall’attuale LPD. Si tratta di una persona chiamata dal responsabile del trattamento a monitorare il rispetto delle prescrizioni sulla protezione dei dati e a fornire consulenza in materia al responsabile stesso. Il disegno non prevede alcun obbligo di nominare il consulente; tuttavia, il responsabile che ne designa uno e lo consulta evita di dover far ricorso all’incaricato pubblico della protezione dei dati nei casi in cui occorra operare una valutazione d’impatto.
Una minoranza della CIP-CN è tuttavia dell’opinione che debbano essere stralciate le agevolazioni descritte per le imprese che nominano un responsabile; tale proposta va respinta.
5. Obblighi d’informazione
Rispetto al diritto vigente, il disegno prevede un obbligo d’informazione molto più ampio, che comprende fondamentalmente qualsiasi forma di acquisizione di dati. Ciò vuol dire che ogni interessato deve essere sempre informato quando vengono raccolti dati sulla sua persona. Questa regola vale anche quando non vengono rilevati presso lo stesso interessato. Il disegno stabilisce peraltro che la violazione intenzionale degli obblighi d’informazione comporta sanzioni penali (v. sotto).
Il messaggio specifica che è sufficiente informare in modo generico gli interessati quando i loro dati personali vengono acquisiti presso gli stessi. Tra gli esempi citati figurano le dichiarazioni sulla protezione dei dati riportate sulle pagine web nonché simboli e pittogrammi, a condizione che contengano le informazioni necessarie.
Il disegno di legge prevede inoltre determinate disposizioni derogatorie in base alle quali il responsabile può prescindere dalle informazioni. A tale proposito, una maggioranza della CIP-CN ha formulato ulteriori eccezioni, che tuttavia non sono prive di complicazioni nell’ottica del rispetto della convenzione 108+ ratificata dalla Svizzera. Sotto questo profilo è ancora da vedere quale direzione prenderà il Parlamento.
6. Decisione individuale automatizzata: resta l’obbligo di informare e sentire la persona interessata
6.1. Definizione
Il disegno prevede l’obbligo di informare e sentire la persona interessata in caso di decisioni individuali automatizzate. Si è in presenza di una decisione individuale automatizzata (i) se si procede a un’analisi di dati senza intervento umano ([ii] profilazione inclusa) e tale analisi conduce a una decisione concreta nei confronti della persona interessata che produca (iii) effetti giuridici o ripercussioni notevoli sulla stessa.
(i) Il messaggio stabilisce che il criterio determinante è la misura in cui una persona fisica possa procedere a un esame del contenuto e adottare su tale base una decisione definitiva o almeno diversa dal risultato automatizzato. Una decisione individuale automatizzata può sussistere quindi anche nel caso in cui essa venga successivamente comunicata da una persona fisica che tuttavia non può più influire sulla decisione. Il messaggio specifica che sussiste una decisione individuale automatizzata solo quando essa è di una certa complessità. Il termine non comprende quindi decisioni del tipo «se A, allora B». Una decisione di questo genere è, ad esempio, il prelievo di contanti dal bancomat: se il conto è scoperto il terminale non rilascia denaro. Dato che, in buona sostanza, ogni decisione automatizzata si fonda sempre su (più) decisioni del tipo «se A, allora B», non è ben chiaro quale sia l’ambito di applicazione di questa regola. Eppure il messaggio indica niente di meno che la verifica della solvibilità come possibile applicazione delle decisioni individuali automatizzate.
(ii) Le decisioni individuali automatizzate possono comprendere anche la profilazione se questa fa da base a una decisione che produca effetti giuridici o ripercussioni notevoli per la persona interessata. Il messaggio cita come esempio il caso in cui questa non possa concludere un contratto di credito esclusivamente a causa di uno scoring creditizio negativo. Una maggioranza della CIP-CN intende eliminare il termine «profilazione»; dal nostro punto di vista ciò non influisce sulla situazione legale poiché si tratta unicamente dell’indicazione di un esempio e tutte le elaborazioni automatiche sono e rimangono comprese.
(iii) Anche i termini di „effetto giuridico“ e „ripercussione notevole“ sono fonte di incertezza giuridica. Stando al messaggio, una decisione individuale automatizzata esplica effetti giuridici per la persona interessata se incide direttamente sul suo status giuridico. Ciò può verificarsi in ambito privatistico, ad esempio nella stipula di contratti o nella loro disdetta; sono esclusi invece i casi in cui si rinuncia alla conclusione di un contratto. Le ripercussioni notevoli sussistono invece quando la persona interessata subisce limitazioni durevoli, ad esempio nella sua vita economica e personale. In questo caso, sono determinanti le circostanze precise dei singoli casi. Se la non conclusione di un contratto costituisca quindi una ripercussione notevole o meno dipende dagli effetti concreti.
6.2. Obbligo di informare e sentire la persona interessata
Se la persona interessata ne fa richiesta, deve essergli concessa la possibilità di esprimersi in merito alla decisione individuale automatizzata. La stessa può esigere che quest’ultima venga vagliata da una persona fisica. La persona interessata può essere ascoltata prima o dopo che venga presa la decisione.
6.3. Eccezioni
L’obbligo di informare e sentire la persona interessata non vale quando (i) la decisione è direttamente connessa alla conclusione o all’esecuzione di un contratto tra il responsabile del trattamento e la persona interessata e la richiesta di quest’ultima viene accolta o quando (ii) la persona interessata accetta espressamente che la decisione venga presa in modo automatizzato.
(i) Secondo il messaggio, la richiesta si ritiene accolta quando il contratto viene stipulato esattamente alle stesse condizioni stabilite, ad esempio, nell’offerta o formulate dalla persona interessata. Il caso sussiste, ad esempio, quando un contratto di leasing viene stipulato con il tasso di interesse specificato nell’offerta. Diverso è invece il caso in cui il contratto di leasing viene concluso con un tasso di interesse meno vantaggioso per la persona interessata a causa di un rating di credito basso. In questo caso è determinante se la richiesta sia stata accolta o respinta nel suo complesso e non in singoli punti.
(ii) L’obbligo di informare e sentire la persona interessata viene meno anche quando questa accetta espressamente che la decisione venga presa in via automatizzata. Il messaggio rileva la coerenza di questa eccezione dato che la persona interessata deve essere informata prima di poter fornire un consenso legalmente valido.
È stata cancellata la disposizione dell’avamprogetto che prevedeva la non applicazione dell’obbligo di informare e sentire la persona interessata nei casi in cui la decisione individuale automatizzata fosse richiesta per legge. Secondo una maggioranza della CIP-CN questa disposizione deve essere reinserita nella legge.
6.4. Obblighi di informazione
Il disegno prevede che l’adozione di decisioni individuali automatizzate e la logica alla loro base debbano essere comunicate alla persona interessata. Il messaggio non impone però necessariamente di divulgare gli algoritmi alla base della decisione in quanto si tratta quasi sempre di segreti commerciali. Devono essere invece specificate le supposizioni alla base della logica dell’algoritmo su cui si fonda la decisione individuale automatizzata. Ciò significa, ad esempio, che deve essere comunicato alla persona interessata che le viene proposto un contratto dalle condizioni più svantaggiose rispetto a quelle dell’offerta perché il suo scoring è negativo. In questo caso vanno però menzionati anche l’entità e il tipo di informazioni confluite nello scoring e il modo in cui sono state ponderate. Il disegno dovrebbe continuare a consentire l’accesso a segreti commerciali rilevanti.
7. Valutazione d’impatto sulla protezione dei dati
Introducendo questo obbligo legale il disegno di legge interviene sin dalla fase di pianificazione del trattamento dei dati. Il responsabile deve infatti procedere a una valutazione preventiva d’impatto nei casi in cui sia prevedibile che l’elaborazione dei dati comporti rischi elevati per la personalità e i diritti fondamentali della persona interessata. Se la valutazione conferma che tale rischio sussiste effettivamente qualora non vengano adottati dei provvedimenti, deve essere consultato l’incaricato pubblico della protezione dei dati.
L’obbligo di consultazione viene però meno qualora sia stato nominato un consulente (interno) della protezione dei dati. Le aziende di una certa entità dovranno quindi valutare se non valga la pena istituire una tale figura al loro interno. Una minoranza della CIP-CN vorrebbe stralciare tale agevolazione; tale proposta va respinta.
L’obbligo di eseguire una valutazione d’impatto non si applica nei casi in cui l’azienda abbia conseguito una certificazione o aderisca a un codice di condotta. La possibilità di creare un regolamento valido per tutto il ramo rappresenta dunque una grande opportunità anche considerati gli obblighi connessi alla valutazione d’impatto.
8. Sanzioni
Nonostante le forti critiche al sistema sanzionatorio, il disegno continua a seguire il diritto penale. L’entità massima delle multe inflitte alle persone fisiche è stata ridotta da CHF 500’000 a CHF 250’000 e le violazioni per negligenza non sono più punibili.
Il messaggio evidenzia l’infondatezza del timore, espresso nella consultazione, che qualsiasi dipendente dell’azienda possa incorrere in sanzioni. In Svizzera il rispetto degli obblighi previsti dal diritto amministrativo è garantito dal diritto penale amministrativo, i cui destinatari sono le persone fisiche. Tali obblighi gravano sull’azienda e la loro violazione va imputata ai dirigenti (persone fisiche) della stessa.
Il sistema sanzionatorio rimane oggetto di notevoli discussioni e la soluzione presentata non può essere ancora considerata definitivamente soddisfacente. Considerata l’attuale struttura del diritto penale in Svizzera, un cambiamento di sistema nell’ambito della revisione totale della LPD appare ad ogni modo irrealistico. Su un orizzonte temporale più ampio, dovrebbe tuttavia essere preso in considerazione un orientamento del sistema sanzionatorio alle imprese.
Una minoranza (I) della CIP-CN vuole innalzare le sanzioni portandole fino a 20 milioni di CHF o al 4% del fatturato annuo generato a livello globale, laddove rimane poco chiaro come si calcoli il «fatturato annuo» di una persona naturale. La minoranza II vorrebbe aumentare la sanzione a CHF 500’000. Dal nostro punto di vista entrambe le proposte vanno respinte.
Rimanete aggiornati e iscrivetevi alla newsletter AGVS!
sco. Signora Solari, finalmente il progetto di revisione totale della Legge sulla protezione dei dati è sul tavolo. L’UPSA ne è soddisfatta?
Olivia Solari: L’Unione ha già spiegato chiaramente nel suo parere quanto sia controproducente ogni eccesso di regolamentazione. Il messaggio emanato dal Consiglio federale imponeva ai nostri membri degli obblighi d’informazione e di fare che, secondo l’UPSA, comportano troppi oneri burocratici. Per fortuna l’attuale progetto contempla delle eccezioni. Però non possiamo ancora dire se e in che modo il Parlamento accetterà queste deroghe.
Dopo il Consiglio nazionale toccherà a quello degli Stati. Secondo lei, quando sarà pronta la nuova LPD?
L’operazione è altamente complessa e molto discussa. La commissione delle istituzioni politiche del Consiglio nazionale (CIP-N) ha accettato il progetto solo grazie alla decisione del presidente, che ha sbloccato la parità di voti. La stessa commissione ha formulato molte proposte di modifica, il che solleverà non poche discussioni nelle Camere federali. Prevediamo che la LPD entrerà in vigore non prima della metà del 2021 – quindi tre anni più tardi del previsto.
Questo progetto complesso riguarda anche i garagisti svizzeri. Cosa possono fare per districarsi da questo groviglio di disposizioni e regole?
Per il momento è ancora in vigore l’attuale LPD. Quindi, non c’è ancora bisogno di agire d’urgenza. Resta però il fatto che la legge prima o poi entrerà in vigore - prima ce ne occupiamo e meglio è. Perciò do un consiglio ai nostri membri: studiate le cinque pagine della nostra analisi e se avete domande potete rivolgervi al servizio legale dell’Unione. Inoltre consiglio loro di verificare sin da subito se siano in possesso dei consensi e di quanto richiesto dalla LPD per svolgere le operazioni interne.
Secondo il progetto, ogni ramo potrà definire un proprio codice di condotta idoneo e valevole per l’intero settore. Questa misura potrebbe facilitare notevolmente la vita delle aziende artigianali. L’UPSA stilerà un codice etico per i suoi membri?
In questo contesto stiamo lavorando a stretto contatto con l’Associazione svizzera delle società di leasing (SLV). Una bozza di codice esiste già ma deve essere ristudiata. Terremo al corrente i nostri membri.
Perché è necessaria una revisione totale della Legge sulla protezione dei dati personali?
Il Consiglio d’Europa elabora la Convenzione 108 (C108) sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale nell’UE e la Svizzera è tra gli stati firmatari. Il Consiglio federale è del parere che la non ratifica di questo trattato avrebbe ripercussioni pesanti sulla trasmissione di dati tra la Svizzera e l’estero. Con la revisione della LPD, il nostro paese si allinea alle norme dell’UE. Ciò fa sì che la Commissione Europea riconosca come adeguata la protezione dei dati personali vigente in Svizzera e garantisce così la libera circolazione dei dati tra le imprese svizzere e gli stati europei.
A livello pratico, che cosa cambierà con la nuova legge? Di cosa dovrà tener conto il garagista nel suo lavoro quotidiano?
Inizialmente la LPD totalmente rivista avrebbe dovuto entrare in vigore nel 2018. Dopo le lunghe consultazioni delle commissioni si arriverà probabilmente al 2021 o al 2022. Ciò vuol dire che, in un futuro non troppo lontano, i nostri membri che utilizzano dei dati personali dovranno chiedersi ogni volta: «È consentito l’utilizzo di questi dati? Li posso trasmettere? E come faccio a sapere come vengono trattati da terzi?». L’attuale versione della LPD prevede già un’ampia protezione dei dati. Ma ciò che cambierà drasticamente saranno, tra le varie cose, le multe in caso di violazione.
Il progetto prevede multe anche di 250‘000 franchi per chi viola la LPD. Il garagista deve prepararsi ad affrontare eventuali controversie e a rischiare la sua attività professionale?
Effettivamente il disegno riprende il sistema di sanzioni penali, oggetto di forti critiche, e le multe massime di 250'000 franchi. Due proposte della minoranza mirano addirittura ad aumentarle sensibilmente, cosa che l’UPSA rifiuta categoricamente. Il messaggio concernente l’attuale disegno di legge evidenzia l’infondatezza del timore, espresso nella consultazione, che qualsiasi dipendente di un’azienda possa incorrere in sanzioni. Stiamo parlando di obblighi di diritto amministrativo, il cui adempimento è garantito dal diritto penale amministrativo. In caso di violazione, ne rispondono le persone fisiche con funzioni dirigenziali. Le multe di 250’000 franchi possono diventare effettivamente una minaccia per le attività dei garagisti.
Stato della revisione della legge svizzera sulla protezione dei dati (LPD)
Il 15 e 16 agosto 2019, la Commissione delle istituzioni politiche del Consiglio nazionale (CIP-CN) ha concluso il suo lungo esame della legge sulla protezione dei dati. Il disegno di legge è stato approvato con 9 voti favorevoli, 9 contrari, 7 astensioni e voto decisivo del presidente, un risultato che potrebbe dipendere da una sorta di «alleanza da sinistra a destra». Mentre il primo gruppo ritiene a quanto pare che il testo non si spinga sufficientemente in là, il secondo respinge fondamentalmente lo stesso, come già avvenuto fin dall’inizio della trattazione.Ora il testo passerà alla deliberazione del Consiglio nazionale nella sessione autunnale. La CIP-CN ha formulato numerosissime richieste di modifica (tra proposte di maggioranza e di minoranza), motivo per cui il disegno di legge si estende ora per 260 pagine che andranno esaminate. Assieme alle associazioni economiche e al proprio partner di progetto (l’Associazione svizzera delle società di leasing, ASSL), l’UPSA si impegnerà affinché la legge sia effettivamente dibattuta e non venga bocciata alla votazione finale. L’incertezza sulle corrette modalità di organizzazione dei processi aziendali sotto il profilo della protezione dei dati rappresenta infatti un freno per molti progetti e molte aziende.
Il Consiglio nazionale è la camera prioritaria: ciò significa che successivamente il disegno di legge verrà discusso anche dal Consiglio degli Stati.
Di conseguenza, l’entrata in vigore in Svizzera della legge sulla protezione dei dati totalmente rivista è attualmente prevista non prima della metà, ma più probabilmente verso la fine del 2021.
Contenuti
Sotto il profilo dei contenuti, continuiamo a impegnarci soprattutto per i temi chiave definiti all’inizio del processo legislativo, che riepiloghiamo ancora una volta brevemente a vostro beneficio. Ovviamente rimarranno oggetto di costante attenzione e monitoraggio anche i restanti elementi della legge.
1. Nessuna protezione dei dati delle persone giuridiche
Il disegno della nuova legge non prevede la protezione dei dati delle persone giuridiche. Una minoranza della CIP-CN intende tuttavia reintrodurre tale protezione. Dal punto di vista dell’UPSA tale proposta di minoranza va tuttavia respinta poiché la protezione dei dati delle persone giuridiche riveste già oggi una ridotta importanza pratica, che tuttavia spesso ostacola la comunicazione dei dati all’estero. Inoltre, nemmeno il regolamento RGPD UE né la Convenzione del Consiglio d’Europa prevedono alcuna protezione dei dati delle persone giuridiche. Una corrispondente rinuncia non comporterebbe quindi per la Svizzera un livello di protezione dei dati inferiore e non equivalente.
2. Profilazione
Il termine proposto di «profilazione» designa la valutazione di determinate caratteristiche di una persona stilata sulla base di dati personali ottenuti tramite elaborazione automatica e finalizzati soprattutto all’analisi e alla previsione di performance lavorative, condizioni economiche e di salute, comportamento, interessi, luogo di dimora e mobilità. Stando al messaggio, il termine indica dunque ogni analisi di dati personali assistita da computer.
Il disegno tiene conto delle restrizioni che l’UPSA e molti altri partecipanti alla procedura di consultazione hanno chiesto di applicare alle attività elettroniche e automatizzate; tale richiesta corrisponde alla proposta di maggioranza della CIP-CN. La profilazione è oggetto di diverse disposizioni della legge, laddove l’UPSA e l’ASSL ritengono che un trattamento eccessivamente rigido non sia giustificato e vada respinto in considerazione del fatto che la profilazione può presentare anche un’utilità positiva per le consumatrici e i consumatori (per es. monitoraggio del traffico dei pagamenti sulla base del comportamento tipico del cliente al fine di prevenire frodi).
3. Codici di condotta specifici dei rami
Le associazioni economiche e di categoria potranno presentare all’incaricato pubblico della protezione dei dati un codice di condotta stilato dalle stesse. Questi esprimerà e pubblicherà quindi un relativo parere. Questo punto rappresenta una novità rispetto all’avamprogetto.
Per i membri dell’UPSA e dell’ASSL, così come in generale per le due associazioni, la possibilità di redigere un codice etico è un’opportunità straordinaria per definire delle regole valevoli per tutto il proprio ramo. Sebbene dal parere positivo dell’incaricato non possa essere derivato alcun diritto, si può dare per scontato che chi osservi il codice etico non vada incontro a provvedimenti amministrativi. Questo è almeno il tenore del messaggio del Consiglio federale. L’osservanza del codice di condotta porterebbe inoltre sgravi anche in riferimento alla valutazione d’impatto sulla protezione dei dati (v. sotto).
4. Consulenti volontari per la protezione dei dati
La figura del consulente (interno) per la protezione dei dati è già prevista dall’attuale LPD. Si tratta di una persona chiamata dal responsabile del trattamento a monitorare il rispetto delle prescrizioni sulla protezione dei dati e a fornire consulenza in materia al responsabile stesso. Il disegno non prevede alcun obbligo di nominare il consulente; tuttavia, il responsabile che ne designa uno e lo consulta evita di dover far ricorso all’incaricato pubblico della protezione dei dati nei casi in cui occorra operare una valutazione d’impatto.
Una minoranza della CIP-CN è tuttavia dell’opinione che debbano essere stralciate le agevolazioni descritte per le imprese che nominano un responsabile; tale proposta va respinta.
5. Obblighi d’informazione
Rispetto al diritto vigente, il disegno prevede un obbligo d’informazione molto più ampio, che comprende fondamentalmente qualsiasi forma di acquisizione di dati. Ciò vuol dire che ogni interessato deve essere sempre informato quando vengono raccolti dati sulla sua persona. Questa regola vale anche quando non vengono rilevati presso lo stesso interessato. Il disegno stabilisce peraltro che la violazione intenzionale degli obblighi d’informazione comporta sanzioni penali (v. sotto).
Il messaggio specifica che è sufficiente informare in modo generico gli interessati quando i loro dati personali vengono acquisiti presso gli stessi. Tra gli esempi citati figurano le dichiarazioni sulla protezione dei dati riportate sulle pagine web nonché simboli e pittogrammi, a condizione che contengano le informazioni necessarie.
Il disegno di legge prevede inoltre determinate disposizioni derogatorie in base alle quali il responsabile può prescindere dalle informazioni. A tale proposito, una maggioranza della CIP-CN ha formulato ulteriori eccezioni, che tuttavia non sono prive di complicazioni nell’ottica del rispetto della convenzione 108+ ratificata dalla Svizzera. Sotto questo profilo è ancora da vedere quale direzione prenderà il Parlamento.
6. Decisione individuale automatizzata: resta l’obbligo di informare e sentire la persona interessata
6.1. Definizione
Il disegno prevede l’obbligo di informare e sentire la persona interessata in caso di decisioni individuali automatizzate. Si è in presenza di una decisione individuale automatizzata (i) se si procede a un’analisi di dati senza intervento umano ([ii] profilazione inclusa) e tale analisi conduce a una decisione concreta nei confronti della persona interessata che produca (iii) effetti giuridici o ripercussioni notevoli sulla stessa.
(i) Il messaggio stabilisce che il criterio determinante è la misura in cui una persona fisica possa procedere a un esame del contenuto e adottare su tale base una decisione definitiva o almeno diversa dal risultato automatizzato. Una decisione individuale automatizzata può sussistere quindi anche nel caso in cui essa venga successivamente comunicata da una persona fisica che tuttavia non può più influire sulla decisione. Il messaggio specifica che sussiste una decisione individuale automatizzata solo quando essa è di una certa complessità. Il termine non comprende quindi decisioni del tipo «se A, allora B». Una decisione di questo genere è, ad esempio, il prelievo di contanti dal bancomat: se il conto è scoperto il terminale non rilascia denaro. Dato che, in buona sostanza, ogni decisione automatizzata si fonda sempre su (più) decisioni del tipo «se A, allora B», non è ben chiaro quale sia l’ambito di applicazione di questa regola. Eppure il messaggio indica niente di meno che la verifica della solvibilità come possibile applicazione delle decisioni individuali automatizzate.
(ii) Le decisioni individuali automatizzate possono comprendere anche la profilazione se questa fa da base a una decisione che produca effetti giuridici o ripercussioni notevoli per la persona interessata. Il messaggio cita come esempio il caso in cui questa non possa concludere un contratto di credito esclusivamente a causa di uno scoring creditizio negativo. Una maggioranza della CIP-CN intende eliminare il termine «profilazione»; dal nostro punto di vista ciò non influisce sulla situazione legale poiché si tratta unicamente dell’indicazione di un esempio e tutte le elaborazioni automatiche sono e rimangono comprese.
(iii) Anche i termini di „effetto giuridico“ e „ripercussione notevole“ sono fonte di incertezza giuridica. Stando al messaggio, una decisione individuale automatizzata esplica effetti giuridici per la persona interessata se incide direttamente sul suo status giuridico. Ciò può verificarsi in ambito privatistico, ad esempio nella stipula di contratti o nella loro disdetta; sono esclusi invece i casi in cui si rinuncia alla conclusione di un contratto. Le ripercussioni notevoli sussistono invece quando la persona interessata subisce limitazioni durevoli, ad esempio nella sua vita economica e personale. In questo caso, sono determinanti le circostanze precise dei singoli casi. Se la non conclusione di un contratto costituisca quindi una ripercussione notevole o meno dipende dagli effetti concreti.
6.2. Obbligo di informare e sentire la persona interessata
Se la persona interessata ne fa richiesta, deve essergli concessa la possibilità di esprimersi in merito alla decisione individuale automatizzata. La stessa può esigere che quest’ultima venga vagliata da una persona fisica. La persona interessata può essere ascoltata prima o dopo che venga presa la decisione.
6.3. Eccezioni
L’obbligo di informare e sentire la persona interessata non vale quando (i) la decisione è direttamente connessa alla conclusione o all’esecuzione di un contratto tra il responsabile del trattamento e la persona interessata e la richiesta di quest’ultima viene accolta o quando (ii) la persona interessata accetta espressamente che la decisione venga presa in modo automatizzato.
(i) Secondo il messaggio, la richiesta si ritiene accolta quando il contratto viene stipulato esattamente alle stesse condizioni stabilite, ad esempio, nell’offerta o formulate dalla persona interessata. Il caso sussiste, ad esempio, quando un contratto di leasing viene stipulato con il tasso di interesse specificato nell’offerta. Diverso è invece il caso in cui il contratto di leasing viene concluso con un tasso di interesse meno vantaggioso per la persona interessata a causa di un rating di credito basso. In questo caso è determinante se la richiesta sia stata accolta o respinta nel suo complesso e non in singoli punti.
(ii) L’obbligo di informare e sentire la persona interessata viene meno anche quando questa accetta espressamente che la decisione venga presa in via automatizzata. Il messaggio rileva la coerenza di questa eccezione dato che la persona interessata deve essere informata prima di poter fornire un consenso legalmente valido.
È stata cancellata la disposizione dell’avamprogetto che prevedeva la non applicazione dell’obbligo di informare e sentire la persona interessata nei casi in cui la decisione individuale automatizzata fosse richiesta per legge. Secondo una maggioranza della CIP-CN questa disposizione deve essere reinserita nella legge.
6.4. Obblighi di informazione
Il disegno prevede che l’adozione di decisioni individuali automatizzate e la logica alla loro base debbano essere comunicate alla persona interessata. Il messaggio non impone però necessariamente di divulgare gli algoritmi alla base della decisione in quanto si tratta quasi sempre di segreti commerciali. Devono essere invece specificate le supposizioni alla base della logica dell’algoritmo su cui si fonda la decisione individuale automatizzata. Ciò significa, ad esempio, che deve essere comunicato alla persona interessata che le viene proposto un contratto dalle condizioni più svantaggiose rispetto a quelle dell’offerta perché il suo scoring è negativo. In questo caso vanno però menzionati anche l’entità e il tipo di informazioni confluite nello scoring e il modo in cui sono state ponderate. Il disegno dovrebbe continuare a consentire l’accesso a segreti commerciali rilevanti.
7. Valutazione d’impatto sulla protezione dei dati
Introducendo questo obbligo legale il disegno di legge interviene sin dalla fase di pianificazione del trattamento dei dati. Il responsabile deve infatti procedere a una valutazione preventiva d’impatto nei casi in cui sia prevedibile che l’elaborazione dei dati comporti rischi elevati per la personalità e i diritti fondamentali della persona interessata. Se la valutazione conferma che tale rischio sussiste effettivamente qualora non vengano adottati dei provvedimenti, deve essere consultato l’incaricato pubblico della protezione dei dati.
L’obbligo di consultazione viene però meno qualora sia stato nominato un consulente (interno) della protezione dei dati. Le aziende di una certa entità dovranno quindi valutare se non valga la pena istituire una tale figura al loro interno. Una minoranza della CIP-CN vorrebbe stralciare tale agevolazione; tale proposta va respinta.
L’obbligo di eseguire una valutazione d’impatto non si applica nei casi in cui l’azienda abbia conseguito una certificazione o aderisca a un codice di condotta. La possibilità di creare un regolamento valido per tutto il ramo rappresenta dunque una grande opportunità anche considerati gli obblighi connessi alla valutazione d’impatto.
8. Sanzioni
Nonostante le forti critiche al sistema sanzionatorio, il disegno continua a seguire il diritto penale. L’entità massima delle multe inflitte alle persone fisiche è stata ridotta da CHF 500’000 a CHF 250’000 e le violazioni per negligenza non sono più punibili.
Il messaggio evidenzia l’infondatezza del timore, espresso nella consultazione, che qualsiasi dipendente dell’azienda possa incorrere in sanzioni. In Svizzera il rispetto degli obblighi previsti dal diritto amministrativo è garantito dal diritto penale amministrativo, i cui destinatari sono le persone fisiche. Tali obblighi gravano sull’azienda e la loro violazione va imputata ai dirigenti (persone fisiche) della stessa.
Il sistema sanzionatorio rimane oggetto di notevoli discussioni e la soluzione presentata non può essere ancora considerata definitivamente soddisfacente. Considerata l’attuale struttura del diritto penale in Svizzera, un cambiamento di sistema nell’ambito della revisione totale della LPD appare ad ogni modo irrealistico. Su un orizzonte temporale più ampio, dovrebbe tuttavia essere preso in considerazione un orientamento del sistema sanzionatorio alle imprese.
Una minoranza (I) della CIP-CN vuole innalzare le sanzioni portandole fino a 20 milioni di CHF o al 4% del fatturato annuo generato a livello globale, laddove rimane poco chiaro come si calcoli il «fatturato annuo» di una persona naturale. La minoranza II vorrebbe aumentare la sanzione a CHF 500’000. Dal nostro punto di vista entrambe le proposte vanno respinte.
Aggiungi commento
Commenti
Marcello Colaianni 4. Settembre 2020 - 14:07