«La nuova legge significa più burocrazia»

10 ottobre 2017 upsa-agvs.ch  A settembre il Consiglio federale ha emanato il disegno e il messaggio sulla revisione totale della Legge sulla protezione dei dati personali (LPD). La bozza addossa a molte PMI non pochi oneri burocratici. Abbiamo chiesto il parere di Olivia Solari, giurista dell’UPSA. 

SCO. Signora Solari, l’UPSA è soddisfatta del disegno di revisione totale della Legge sulla protezione dei dati personali? L’Unione ha già spiegato chiaramente nel suo parere quanto sia controproducente ogni eccesso di regolamentazione. Il messaggio emanato dal Consiglio federale impone ai nostri membri degli obblighi d’informazione e di fare che, secondo l’UPSA, comportano troppi oneri burocratici.

Perché è necessaria una revisione totale della Legge sulla protezione dei dati personali? Il Consiglio d’Europa elabora la Convenzione 108 (C108) sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale nell’UE e la Svizzera è tra gli stati firmatari. Il Consiglio federale è del parere che la non ratifica di questo trattato avrebbe ripercussioni pesanti sulla trasmissione di dati tra la Svizzera e l’estero. Con la revisione della LPD, il nostro paese si allinea alle norme dell’UE. In questo modo, il Consiglio federale fa sì che la Commissione Europea riconosca come adeguata la protezione dei dati personali vigente in Svizzera e garantisce così la libera circolazione dei dati tra le imprese svizzere e gli stati europei.

Secondo il disegno di legge, ogni ramo potrà definire un proprio codice di condotta idoneo e valevole per l’intero settore. Questa misura potrebbe facilitare notevolmente la vita delle aziende artigianali. L’UPSA stilerà un codice etico per i suoi membri? In questo progetto così importante e complesso l’UPSA collabora insieme all’Associazione svizzera delle società di leasing (SLV) e ad auto-suisse. La compagine persegue intenti comuni e prevede quindi di elaborare un codice unico. Terremo costantemente informati i nostri membri sugli sviluppi.
  
A livello pratico, che cosa cambierà con la nuova legge? Di cosa dovrà tener conto il garagista nel suo lavoro quotidiano? Il Consiglio federale prevede di attuare la revisione della Legge per la metà del 2018. Ogni volta che i nostri membri utilizzeranno dei dati personali nel prossimo futuro, dovranno quindi chiedersi: «È consentito l’utilizzo di questi dati? Li posso trasmettere? E come faccio a sapere come vengono trattati da terzi?». Ogni volta che un cliente passerà quindi in garage - che sia per l’acquisto di un’auto, per il cambio delle gomme o per il servizio - dovrà essere informato correttamente dell’utilizzo dei suoi dati. E soprattutto dovrà acconsentire all’utilizzo e alla trasmissione dei dati stessi. Questa trafila dovrà compiersi necessariamente per iscritto, il che richiede un cambio di mentalità sia ai nostri membri sia ai loro clienti. Inoltre i nostri associati dovranno tener conto delle disposizioni sulla protezione dei dati sin dal concepimento dei loro progetti. Infine dovranno produrre delle valutazioni d’impatto e riferire attivamente eventuali violazioni e perdite dei dati personali all’incaricato federale della protezione dei dati e della trasparenza (IFPDT). 
 
Il disegno prevede multe anche di 250‘000 franchi per chi viola la LPD. Il garagista deve prepararsi ad affrontare eventuali controversie e a rischiare la sua attività professionale? Pur avendo rinunciato alle sanzioni amministrative, il disegno di legge ha esteso drasticamente la responsabilità penale delle persone fisiche che curano l’elaborazione dei dati e inasprito le pene. Il Consiglio federale ha richiesto sanzioni più pesanti, che possono mettere effettivamente a repentaglio l’attività professionale del garagista in quanto persona giuridica. Parliamo di multe fino a 250'000 franchi in caso di violazione intenzionale o addirittura della privazione della libertà. Una delle novità del disegno di legge sta nel comminare sanzioni principalmente alle persone fisiche responsabili dell’elaborazione dei dati e non alle aziende per conto delle quali vengono trattati. Nel caso delle SA e delle Sagl, il reato viene quindi imputato ai rappresentanti degli organi societari. 
 
La questione è davvero complicata. La prima analisi prodotta dall’UPSA e da SLV è un vero e proprio rompicapo per i non giuristi. Come può un garagista districarsi da questo groviglio di disposizioni e regole? Il tema è effettivamente complicato. E il gergo asettico dei giuristi non rende la questione né più semplice né più divertente (ride). Resta però il fatto che la nuova legge prima o poi entrerà in vigore - prima ce ne occupiamo e meglio è. Perciò do un consiglio ai nostri membri: studiate le sei pagine della nostra analisi e se avete domande potete rivolgervi al servizio giuridico dell’Unione. Inoltre consiglio ai nostri membri di verificare sin da subito se siano in possesso dei consensi e di quanto richiesto dalla LPD per svolgere le operazioni interne. Da ora in poi deve compiersi una sensibilizzazione graduale; in questa opera l’UPSA sostiene costantemente i suoi membri.
 

Revisione della Legge sulla protezione dei dati (LPD) - una prima analisi del disegno e del messaggio

Il 21 dicembre 2016 il Consiglio federale ha posto in consultazione un avamprogetto per la revisione totale della Legge sulla protezione dei dati (AP LPD). Coadiuvate da auto-suisse, l’UPSA e l’Associazione svizzera delle società di leasing (SLV) ne hanno estrapolato e analizzato accuratamente i punti principali e formulato un parere congiunto.

Dalla presa di posizione emergono chiaramente due constatazioni: così come è stato concepito, l’ampliamento della protezione dei dati è non solo inutile ma anche un onere amministrativo eccessivo per le aziende, che per giunta comporta sanzioni drastiche ed è persino parzialmente inattuabile.

Il 15 settembre 2017 il Consiglio federale ha emanato il disegno di legge (D LPD) e il messaggio concernenti la revisione totale della Legge sulla protezione dei dati. Qui di seguito è riportata un prima analisi del disegno di legge e del messaggio; in essa sono esposte le modifiche rispetto all’avamprogetto relative ai temi principali da noi definiti. Quali siano i dettagli di tali novità e dove occorra ancora intervenire saranno oggetto di un’analisi più approfondita.
 
1. Nessuna protezione dei dati delle persone giuridiche
Il disegno della nuova Legge non prevede la protezione dei dati delle persone giuridiche. L’UPSA ritiene sensata questa rinuncia già contenuta nell’avamprogetto; il suo peso a livello pratico è infatti irrilevante e spesso ostacola la comunicazione transfrontaliera.

2. Profilazione
Il termine proposto di „profilazione“ designa la valutazione di determinate caratteristiche di una persona stilata sulla base di dati personali ottenuti tramite elaborazione automatica e finalizzati soprattutto all’analisi e alla previsione di performance lavorative, condizioni economiche e di salute, comportamento, interessi, luogo di dimora e mobilità.

Stando al messaggio, il termine indica dunque ogni analisi di dati personali assistita da computer.

Il disegno tiene conto delle restrizioni che l’UPSA e molti altri partecipanti alle consultazioni hanno chiesto di applicare alle attività elettroniche. Va però sottolineato che ora il termine ha un’accezione più ampia rispetto alla definizione contenuta nell’avamprogetto: per profilazione si intende infatti non solo l’analisi „delle caratteristiche personali principali“ ma più in generale la „valutazione di determinate caratteristiche della persona“.

3. Codici di condotta specifici dei rami
Le associazioni economiche e di categoria potranno presentare all’incaricato pubblico della protezione dei dati un codice di condotta stilato dalle stesse. Questi esprimerà e pubblicherà quindi un relativo parere. Questo punto rappresenta una novità rispetto all’avamprogetto.

Per i membri dell’UPSA e per SLV la possibilità di redigere un codice etico è un’opportunità straordinaria per definire delle regole valevoli per tutto il ramo. Sebbene dal parere positivo dell’incaricato non possa essere derivato alcun diritto, si può dare per scontato che chi osservi il codice etico non vada incontro a provvedimenti amministrativi. Questo è almeno il tenore del messaggio del Consiglio federale. L’osservanza del codice di condotta porterebbe inoltre sgravi in connessione alla valutazione d’impatto sulla protezione dei dati (vedere sotto).

4. Consulenti volontari per la protezione dei dati
La figura del consulente (interno) per la protezione dei dati è già prevista dall’attuale LPD. Si tratta di una persona chiamata dal responsabile del trattamento a monitorare il rispetto delle prescrizioni sulla protezione dei dati e a fornire consulenza in materia al responsabile stesso. Il disegno non prevede alcun obbligo di nominare il consulente; tuttavia, il responsabile chi ne designa uno e lo consulta evita di dover di far ricorso all’incaricato pubblico della protezione dei dati nei casi in cui occorra operare una valutazione d’impatto.

5. Obblighi d’informazione tuttora ampi
Rispetto al diritto vigente, il disegno prevede un obbligo d’informazione molto più ampio, che comprende fondamentalmente qualsiasi forma di acquisizione di dati. Ciò vuol dire che ogni interessato deve essere sempre informato quando vengono raccolti dati sulla sua persona. Questa regola vale anche quando non vengono rilevati presso lo stesso interessato. Il disegno stabilisce peraltro che la violazione intenzionale degli obblighi d’informazione comporta sanzioni penali (vedi sotto).

L’obbligo di trasparenza basato sul rischio proposto dall’UPSA non è stato invece recepito dal disegno. Se non altro, il messaggio specifica che è sufficiente informare in modo generico gli interessati quando i loro dati personali vengono acquisiti presso gli stessi. Tra gli esempi citati figurano le dichiarazioni sulla protezione dei dati riportate sulle pagine web nonché simboli e pittogrammi, a condizione che contengano le informazioni necessarie.

Rispetto all’avamprogetto, il progetto prevede inoltre che il responsabile del trattamento possa essere esonerato dall’obbligo di informazione se lo esigono i suoi interessi preponderanti e a condizione che non comunichi i dati a un terzo. Il messaggio stabilisce però che l’interesse preponderante non va presunto senza una ponderazione accurata degli interessi. Quello della persona interessata di essere informata in merito a un determinato trattamento di dati affinché possa far valere i suoi diritti va attentamente ponderato con gli eventuali interessi del responsabile del trattamento.

6. Decisione individuale automatizzata: resta l’obbligo di informare e sentire la persona interessata

6.1 Definizione
Il disegno conferma l’obbligo di informare e sentire la persona interessata in caso di decisioni individuali automatizzate. Si è in presenza di una decisione individuale automatizzata (i) se si procede a un’analisi di dati senza intervento umano ([ii] profilazione inclusa) e tale analisi conduce a una decisione concreta nei confronti della persona interessata che produca (iii) effetti giuridici o ripercussioni notevoli sulla stessa.

(i) Il messaggio stabilisce che il criterio determinante è la misura in cui una persona fisica possa procedere a un esame del contenuto e adottare su tale base una decisione definitiva o almeno diversa dal risultato automatizzato. Una decisione individuale automatizzata può sussistere quindi anche nel caso in cui essa venga successivamente comunicata da una persona fisica che tuttavia non può più influire sulla decisione. Il messaggio specifica che sussiste una decisione individuale automatizzata solo quando essa è di una certa complessità. Il termine non comprende quindi decisioni del tipo „se A, allora B“. Una decisione di questo genere è, ad esempio, il prelievo di contanti dal bancomat: se il conto è scoperto il terminale non rilascia denaro. Dato che, in buona sostanza, ogni decisione automatizzata si fonda sempre su (più) decisioni del tipo „se A, allora B“, non è ben chiaro quale sia l’ambito di applicazione di questa regola. Eppure il messaggio indica niente di meno che la verifica della solvibilità come possibile applicazione delle decisioni individuali automatizzate.

(ii) Le decisioni individuali automatizzate possono comprendere anche la profilazione se questa fa da base a una decisione che produca effetti giuridici o ripercussioni notevoli per la persona interessata. Il messaggio cita come esempio il caso in cui questa non possa concludere un contratto di credito esclusivamente a causa di uno scoring creditizio negativo.

(iii) Anche i termini di „effetto giuridico“ e „ripercussione notevole“ sono fonte di incertezza giuridica. Stando al messaggio, una decisione individuale automatizzata esplica effetti giuridici per la persona interessata se incide direttamente sul suo status giuridico. Ciò può verificarsi in ambito privatistico, ad esempio nella stipula di contratti o della loro disdetta; sono esclusi invece i casi in cui si rinuncia alla conclusione di un contratto. Le ripercussioni notevoli sussistono invece quando la persona interessata subisce limitazioni durevoli, ad esempio nella sua vita economica e personale. In questo caso, sono determinanti le circostanze precise dei singoli casi. Se la non conclusione di un contratto costituisca quindi una ripercussione notevole o meno dipende dagli effetti concreti.

6.2 Obbligo di informare e sentire la persona interessata
Se la persona interessata ne fa richiesta, deve essergli concessa la possibilità di esprimersi in merito alla decisione individuale automatizzata. La stessa può esigere che quest’ultima venga vagliata da una persona fisica. La persona interessata può essere ascoltata prima o dopo che venga presa la decisione.

6.3 Eccezioni
L’obbligo di informare e sentire la persona interessata non vale quando (i) la decisione è direttamente connessa alla conclusione o all’esecuzione di un contratto tra il responsabile del trattamento e la persona interessata e la richiesta di quest’ultima viene accolta o quando (ii) la persona interessata accetta espressamente che la decisione venga presa in modo automatizzato.

i. Secondo il messaggio, la richiesta si ritiene accolta quando il contratto viene stipulato esattamente alle stesse condizioni stabilite, ad esempio, nell’offerta o formulate dalla persona interessata. Il caso sussiste, ad esempio, quando un contratto di leasing viene stipulato con il tasso di interesse specificato nell’offerta. Diverso è invece il caso in cui il contratto di leasing viene concluso con un tasso di interesse meno vantaggioso per la persona interessata a causa di un rating di credito basso. In questo caso è determinante se la richiesta sia stata accolta o respinta nel suo complesso e non in singoli punti.

(ii) L’obbligo di informare e sentire la persona interessata viene meno anche quando questa accetta espressamente che la decisione venga presa in via automatizzata. Il messaggio rileva la coerenza di questa eccezione dato che la persona interessata deve essere informata prima di poter fornire un consenso legalmente valido.
In particolare va segnalato che è stata cancellata la disposizione dell’avamprogetto che prevedeva la non applicazione dell’obbligo di informare e sentire la persona interessata nei casi in cui la decisione individuale automatizzata fosse richiesta per legge.

6.4 Obblighi di informazione
L’obbligo di informazione è stato modificato. Ora il disegno prevede infatti che l’adozione di decisioni individuali automatizzate e la logica alla loro base debbano essere comunicate alla persona interessata. Il messaggio non impone però necessariamente di divulgare gli algoritmi alla base della decisione in quanto si tratta quasi sempre di segreti commerciali. Devono essere invece specificate le supposizioni alla base della logica dell’algoritmo su cui si fonda la decisione individuale automatizzata. Ciò significa, ad esempio, che deve essere comunicato alla persona interessata che le viene proposto un contratto dalle condizioni più svantaggiose rispetto a quelle dell’offerta perché il suo scoring è negativo. In questo caso vanno però menzionati anche l’entità e il tipo di informazioni confluite nello scoring e il modo in cui sono state ponderate. Il disegno dovrebbe continuare a consentire l’accesso a segreti commerciali rilevanti.

7. Valutazione d’impatto sulla protezione dei dati
Introducendo questo obbligo legale il disegno di legge interviene sin dalla fase di pianificazione del trattamento dei dati. Il responsabile deve infatti procedere a una valutazione preventiva d’impatto nei casi in cui sia prevedibile che l’elaborazione dei dati comporti rischi elevati per la personalità e i diritti fondamentali della persona interessata. Se la valutazione conferma che tale rischio sussiste effettivamente qualora non vengano adottati dei provvedimenti, deve essere consultato l’incaricato pubblico della protezione dei dati.

L’obbligo di consultazione viene però meno qualora sia stato nominato un consulente (interno) della protezione dei dati. Le aziende di una certa entità dovranno quindi valutare se non valga la pena istituire una tale figura al loro interno.

L’obbligo di eseguire una valutazione d’impatto non si applica nei casi in cui l’azienda abbia conseguito una certificazione o aderisca a un codice di condotta. La possibilità di creare un regolamento valido per tutto il ramo rappresenta dunque una grande opportunità anche considerati gli obblighi connessi alla valutazione d’impatto.

8. Sanzioni
Nonostante le forti critiche al sistema sanzionatorio, il disegno continua a seguire il diritto penale. L’entità massima delle multe inflitte alle persone fisiche è stata ridotta da CHF 500‘000 a CHF 250‘000 e le violazioni per negligenza non sono più punibili.
Il messaggio evidenzia l’infondatezza del timore, espresso nella consultazione, che qualsiasi dipendente dell’azienda possa incorrere in sanzioni. In Svizzera il rispetto degli obblighi previsti dal diritto amministrativo è garantito dal diritto penale amministrativo, i cui destinatari sono le persone fisiche. Tali obblighi gravano sull’azienda e la loro violazione va imputata ai dirigenti (persone fisiche) della stessa.

Tempistica
Ora il disegno sta per approdare in Parlamento. Il Consiglio nazionale sarà il primo organo a occuparsi della LPD. L’esame preliminare si svolgerà in seno alla Commissione delle istituzioni politiche il 26/27 ottobre e il 9/10 novembre 2017. Visti gli obblighi degli accordi di Schengen occorre che la legge entri in vigore entro il 1° agosto 2018 - questo è anche l’intento del Consiglio federale. In teoria l’obiettivo è fattibile - ammesso che la trattazione in Parlamento sia rapida e senza intoppi - ma più che improbabile.

Feld für switchen des Galerietyps
Bildergalerie