Legge sulla protezione dei dati
Il trattamento dei dati resta ammesso
13 novembre 2020 agvs-upsa.ch – La nuova legge sulla protezione dei dati (LPD) introduce alcune importanti novità, come ad esempio la maggiore tutela dei dati personali. In questa intervista la giurista dell’UPSA Olivia Solari spiega tutto ciò che i garagisti devono sapere. Inoltre l’UPSA ha realizzato un webinar dedicato all’argomento.
Fonte: Istock
sco. Signora Solari, la nuova legge sulla protezione dei dati, per cui l’UPSA si è fortemente impegnata, è stata approvata dal Parlamento. Quanto siete soddisfatti del risultato?
Olivia Solari: Considerata la decisione di adeguatezza dell’UE, è importante che la revisione della legge sia stata portata a termine con successo. Tale decisione era assolutamente necessaria per continuare a garantire lo scambio dei dati tra l’UE e la Svizzera. Senza di essa, molte transazioni commerciali oggi non sarebbero possibili. Ovviamente sono stati necessari alcuni compromessi per il buon esito della revisione, tuttavia è rimasto immutato il principio secondo cui il trattamento dei dati è ammesso fintanto che ne vengono rispettati i principi. Le novità riguardano ulteriori obblighi di informazione e documentazione e norme di governance e compliance aggiuntive, che comporteranno maggiori oneri amministrativi per le imprese.
La nuova legge tutela maggiormente i dati personali. Cosa significa per i garagisti? Non potranno più aggiungere informazioni specifiche sui clienti, come ad esempio compleanni e dettagli relativi a figli, animali domestici, vacanze ecc.?
Come già spiegato, la revisione della legge sulla protezione dei dati consente ancora il trattamento dei dati personali purché vengano rispettati i principi di trasparenza, buona fede, proporzionalità e sicurezza. D’ora in poi i garagisti dovranno informare interessati e clienti su alcuni aspetti, come ad esempio lo scopo del trattamento. Inoltre, sempre che non siano previste eccezioni, dovranno documentare il loro trattamento dei dati in un apposito inventario con informazioni minime.
Un vero rompicapo è stato rappresentato dal cosiddetto «profiling», ovvero il trattamento automatico dei dati finalizzato alla valutazione di determinati aspetti personali. Cosa dice la nuova legge al riguardo?
Il profiling, così come qualsiasi altro trattamento dei dati, è ammesso a condizione che ne vengano rispettati i principi. In questo caso, secondo la nuova LPD, non vi è sostanzialmente alcun obbligo di chiedere il consenso. Qualsiasi consenso richiesto per il profiling ad alto rischio deve essere esplicito.
Ci spieghi meglio. Profiling normale e profiling ad alto rischio: quali sono le differenze?
Secondo la definizione legale, il profiling normale corrisponde a qualsiasi tipo di trattamento automatico dei dati personali, finalizzato alla valutazione, all’analisi o all’anticipazione di certi aspetti di una persona fisica, come ad esempio prestazioni lavorative, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, luogo di dimora e mobilità.
E per quanto riguarda il profiling ad alto rischio?
Il profiling ad alto rischio è definito come un profiling normale che comporta un rischio elevato per la personalità o i diritti fondamentali a causa della possibilità di collegamento di dati specifici su aspetti essenziali di una persona fisica. La nuova legge si ricollega quindi al concetto di profilo della personalità valido tutt’oggi, ma per il quale non esiste né una prassi amministrativa né una prassi giudiziaria estesa. Naturalmente mi auguro che l’ordinanza del Consiglio federale chiarisca meglio la distinzione tra profiling normale e profiling ad alto rischio.
Un tema scottante emerso durante le trattative in seno alle Camere federali è stato quello delle possibili multe fino a 250’000 franchi. Quali sono gli ultimi aggiornamenti?
D’ora in poi alcune violazioni della LPD, soprattutto quelle intenzionali, potranno essere sanzionate con multe fino a 250’000 franchi. Come previsto dal diritto vigente e a differenza di quanto avviene nell’UE, tali multe saranno comminate alle persone fisiche ovvero ai responsabili decisionali che si renderanno colpevoli di tali violazioni della protezione dei dati.
Quando entrerà in vigore la nuova LPD?
A causa dei termini referendari e del fatto che l’ordinanza non è ancora stata redatta, si prevede che la LPD rivista entrerà in vigore solo il 1° gennaio 2022.
Fonte: Istock
sco. Signora Solari, la nuova legge sulla protezione dei dati, per cui l’UPSA si è fortemente impegnata, è stata approvata dal Parlamento. Quanto siete soddisfatti del risultato?
Olivia Solari: Considerata la decisione di adeguatezza dell’UE, è importante che la revisione della legge sia stata portata a termine con successo. Tale decisione era assolutamente necessaria per continuare a garantire lo scambio dei dati tra l’UE e la Svizzera. Senza di essa, molte transazioni commerciali oggi non sarebbero possibili. Ovviamente sono stati necessari alcuni compromessi per il buon esito della revisione, tuttavia è rimasto immutato il principio secondo cui il trattamento dei dati è ammesso fintanto che ne vengono rispettati i principi. Le novità riguardano ulteriori obblighi di informazione e documentazione e norme di governance e compliance aggiuntive, che comporteranno maggiori oneri amministrativi per le imprese.
La nuova legge tutela maggiormente i dati personali. Cosa significa per i garagisti? Non potranno più aggiungere informazioni specifiche sui clienti, come ad esempio compleanni e dettagli relativi a figli, animali domestici, vacanze ecc.?
Come già spiegato, la revisione della legge sulla protezione dei dati consente ancora il trattamento dei dati personali purché vengano rispettati i principi di trasparenza, buona fede, proporzionalità e sicurezza. D’ora in poi i garagisti dovranno informare interessati e clienti su alcuni aspetti, come ad esempio lo scopo del trattamento. Inoltre, sempre che non siano previste eccezioni, dovranno documentare il loro trattamento dei dati in un apposito inventario con informazioni minime.
Un vero rompicapo è stato rappresentato dal cosiddetto «profiling», ovvero il trattamento automatico dei dati finalizzato alla valutazione di determinati aspetti personali. Cosa dice la nuova legge al riguardo?
Il profiling, così come qualsiasi altro trattamento dei dati, è ammesso a condizione che ne vengano rispettati i principi. In questo caso, secondo la nuova LPD, non vi è sostanzialmente alcun obbligo di chiedere il consenso. Qualsiasi consenso richiesto per il profiling ad alto rischio deve essere esplicito.
Ci spieghi meglio. Profiling normale e profiling ad alto rischio: quali sono le differenze?
Secondo la definizione legale, il profiling normale corrisponde a qualsiasi tipo di trattamento automatico dei dati personali, finalizzato alla valutazione, all’analisi o all’anticipazione di certi aspetti di una persona fisica, come ad esempio prestazioni lavorative, situazione economica, salute, preferenze personali, interessi, affidabilità, comportamento, luogo di dimora e mobilità.
E per quanto riguarda il profiling ad alto rischio?
Il profiling ad alto rischio è definito come un profiling normale che comporta un rischio elevato per la personalità o i diritti fondamentali a causa della possibilità di collegamento di dati specifici su aspetti essenziali di una persona fisica. La nuova legge si ricollega quindi al concetto di profilo della personalità valido tutt’oggi, ma per il quale non esiste né una prassi amministrativa né una prassi giudiziaria estesa. Naturalmente mi auguro che l’ordinanza del Consiglio federale chiarisca meglio la distinzione tra profiling normale e profiling ad alto rischio.
Un tema scottante emerso durante le trattative in seno alle Camere federali è stato quello delle possibili multe fino a 250’000 franchi. Quali sono gli ultimi aggiornamenti?
D’ora in poi alcune violazioni della LPD, soprattutto quelle intenzionali, potranno essere sanzionate con multe fino a 250’000 franchi. Come previsto dal diritto vigente e a differenza di quanto avviene nell’UE, tali multe saranno comminate alle persone fisiche ovvero ai responsabili decisionali che si renderanno colpevoli di tali violazioni della protezione dei dati.
Quando entrerà in vigore la nuova LPD?
A causa dei termini referendari e del fatto che l’ordinanza non è ancora stata redatta, si prevede che la LPD rivista entrerà in vigore solo il 1° gennaio 2022.
Aggiungi commento
Commenti