Spiegazione delle revisioni della Legge federale sulla protezione dei dati (FADP)

La Legge federale sulla protezione dei dati (LPD) e l'Ordinanza alla Legge federale sulla protezione dei dati (l'Ordinanza) sono state riviste nel 2023 per meglio allinearsi al Regolamento generale sulla protezione dei dati.

In questa guida descrivo i requisiti che le aziende devono rispettare in base alla revisione del FADP svizzero e spiego come questi aggiornamenti abbiano un impatto sia sulle aziende che sui consumatori.

Le principali revisioni della FADP svizzera

La revisione della Legge federale sulla protezione dei dati personali apporta diversi cambiamenti per quanto riguarda l'ambito territoriale, i diritti dei consumatori e gli obblighi di trattamento dei dati.

La FADP rivista comprende:

• Un esplicito ambito di applicazione extraterritoriale.
• Un ampliamento dei dati sensibili per includere informazioni genetiche e biometriche.
• L'obbligo per i responsabili o gli incaricati del trattamento stranieri di nominare un rappresentante svizzero.
• Copertura delle persone fisiche rispetto alle persone giuridiche.
• Diritti più ampi per gli individui.
• L'obbligo per le aziende di informare le persone su qualsiasi trattamento dei dati.
• L'obbligo per alcune aziende di creare un registro delle loro attività di trattamento.
• Nuovi obblighi relativi alla segnalazione e alla notifica di una violazione dei dati.

Che cos'è la Legge federale sulla protezione dei dati (FADP)?

La Legge federale sulla protezione dei dati(FADP) è la principale normativa svizzera in materia di privacy e protezione dei dati.

L'ordinanza protegge il Paese insieme all'ordinanza sulla legge federale sulla protezione dei dati, o ordinanza, ed è in vigore dal 1993.

Perché è stata rivista la FADP svizzera?

Il Consiglio federale della Svizzera ha rivisto la FADP per allinearla meglio al GDPR, la legge sulla privacy che protegge i consumatori dell'Unione europea (UE) e dello Spazio economico europeo (SEE).

L'allineamento della FADP svizzera al GDPR consente alla Svizzera di rimanere un Paese adeguato per i trasferimenti internazionali di dati dall'UE.

Le revisioni contribuiscono anche a garantire che la FADP tenga meglio conto del nostro moderno panorama digitale, perché Internet è molto diverso oggi rispetto al 1993, quando la legge è stata creata.

A tal fine, la FADP rivista delinea nuovi obblighi che le aziende devono rispettare per proteggere i dati.

Quando sono entrate in vigore le revisioni della FADP?

Il FADP e l'ordinanza rivisti sono entrati in vigore il 1° settembre 2023.

Questo annuncio fa seguito all'adozione da parte del Parlamento federale di una versione rivista della FADP il 25 settembre 2020 e all'adozione da parte del Consiglio federale della versione rivista dell'ordinanza il 31 agosto 2022.

La RICA svizzera rivista rispetto alla RICA originale

La FADP rivista differisce dalla versione precedente della legge per quanto riguarda l'ambito di applicazione, le definizioni, i diritti e gli obblighi delle imprese.

Approfondiamo le revisioni della FADP e dell'Ordinanza, attualmente disponibili solo in francese, tedesco e italiano.

Nuovo ambito territoriale

L'articolo 3 della FADP rivista prevede esplicitamente un campo di applicazione extraterritoriale.

In altre parole, i requisiti della legge si applicano alle entità al di fuori dei confini territoriali della Svizzera.

Più specificamente, la nuova FADP copre qualsiasi trattamento di dati che possa avere qualche effetto in Svizzera, compreso l'impatto sui diritti alla privacy delle persone ai sensi della legge.

Definizione ampliata di dati sensibili

La revisione della FADP svizzera aggiorna anche la definizione di dati sensibili ai sensi della legge, aggiungendo i dati genetici e biometrici alla categoria ufficiale.

Diritti più ampi dei consumatori

I consumatori, in base alla revisione della FADP, hanno ora diritti più ampi in materia di privacy dei dati.

L'articolo 25 (e quello che segue) della nuova FADP e l'articolo 16 dell'ordinanza rivista prevedono ora diritti individuali che si allineano maggiormente ai principi di equità e trasparenza del GDPR.

Inoltre, la nuova FADP protegge solo i dati delle persone fisiche, invece di proteggere i dati delle persone giuridiche.

Obblighi aggiornati in materia di controllori o responsabili del trattamento stranieri

L'articolo 14 della LADP riveduta prevede ora che le società estere che agiscono in qualità di responsabili del trattamento dei dati personali di persone svizzere debbano avere un rappresentante in Svizzera se:

• Il trattamento riguarda l'offerta di beni e servizi o il monitoraggio del comportamento delle persone in Svizzera.
• La lavorazione avviene su larga scala.
• La lavorazione è considerata regolare.
• Il trattamento presenta un rischio elevato per la personalità o i diritti fondamentali dell'individuo.

Notifica obbligatoria del trattamento dei dati

Un'altra modifica introdotta dalle revisioni del FADP svizzero riguarda le modalità di notifica delle attività di trattamento dei dati alle persone fisiche.

Ai sensi dell'articolo 19 della FADP rivista e dell'articolo 13 dell'ordinanza rivista, le aziende devono informare le persone su qualsiasi trattamento dei dati, non solo su quelli sensibili.

Obblighi di notifica delle violazioni di dati

Ai sensi dell'articolo 24 della FADP rivista e dell'articolo 15 dell'ordinanza rivista, le aziende devono ora segnalare le violazioni dei dati all'Incaricato federale della protezione dei dati e delle informazioni.

Tuttavia, la FADP rivista prevede ancora una soglia più alta per la notifica delle violazioni rispetto al GDPR.

Ad esempio, la legge svizzera impone di informare le persone se la violazione comporta un rischio elevato per la personalità o i diritti fondamentali degli individui.

Il GDPR richiede una notifica di violazione per qualsiasi rischio per i diritti e le libertà delle persone.

Ai sensi dell'articolo 24 dell'ordinanza riveduta, le imprese devono informare le persone interessate da una violazione della sicurezza anche se:

• L'FDPIC lo richiede.
• Tali informazioni sono rilevanti per la protezione delle persone.

Inoltre, le aziende devono ora tenere registri specifici riguardanti la registrazione, la modifica, la consultazione, la comunicazione e la cancellazione dei dati personali.

Secondo l'articolo 4 rivisto dell'ordinanza, tali registrazioni sono obbligatorie:

• Per qualsiasi trattamento automatizzato di dati sensibili su larga scala.
• Per la profilazione ad alto rischio.
• Se le misure preventive non sono sufficienti a garantire la protezione dei dati.

Valutazioni d'impatto sulla protezione dei dati (DPIA)

In base alla revisione del FADP svizzero, le aziende devono effettuare valutazioni d'impatto sulla protezione dei dati (DPIA) per determinate attività di trattamento dei dati.

In particolare, ai sensi dell'articolo 22 della FADP e dell'articolo 14 dell'ordinanza, gli enti devono eseguire una DPIA se il trattamento dei dati può comportare un rischio elevato per la personalità e i diritti fondamentali delle persone.

Obblighi di tenuta dei registri aggiornati

Analogamente all'articolo 30 del GDPRche prevede la registrazione delle attività di trattamento, anche l'articolo 12 della FADP e l'articolo 24 dell'ordinanza richiedono che alcune aziende mantengano un registro dei loro trattamenti.

Le entità con più di 250 dipendenti o che trattano dati personali in modo tale da comportare rischi per la personalità degli individui devono tenere un registro delle loro attività di trattamento.

La registrazione deve includere tutti i seguenti dettagli:

• Identità del responsabile del trattamento
• Finalità del trattamento
• Categorie di interessati e categorie di dati personali trattati
• Categorie di terzi
• Se possibile, il periodo di conservazione dei dati o i criteri per determinare il periodo di conservazione.
• Se possibile, una descrizione delle misure adottate per garantire la sicurezza dei dati personali
• Se trasferito a livello internazionale, il nome del Paese e il meccanismo di trasferimento utilizzato

Politiche interne relative al trattamento di dati sensibili su larga scala

Un altro cambiamento introdotto dalle revisioni della FADP e dell'ordinanza riguarda le politiche interne delle aziende in materia di dati sensibili.

Ai sensi dell'articolo 5 dell'ordinanza modificata, le aziende devono ora creare e mantenere politiche e procedure interne relative a qualsiasi trattamento automatizzato di dati:

• Dati sensibili su larga scala.
• Profilazione ad alto rischio.

A chi si applica la revisione della FADP svizzera?

Tutti i soggetti che trattano dati di persone fisiche all'interno della Svizzera devono attenersi alla nuova FADP.

Se il trattamento dei dati può avere un effetto effettivo o potenziale in Svizzera, il trattamento deve essere conforme agli obblighi previsti dalla revisione della FADP.

Le revisioni tengono conto degli effetti che il trattamento potrebbe avere sui diritti individuali, da cui l'aggiornamento del campo di applicazione della FADP.

Chi protegge la revisione della LADP svizzera?

La nuova FADP protegge i dati delle persone fisiche in Svizzera, che si riferiscono essenzialmente a qualsiasi essere umano vivente, indipendentemente dal suo stato di cittadinanza.

La revisione della FADP protegge qualsiasi essere umano in Svizzera.

Questo rappresenta un grande cambiamento, perché la vecchia FADP proteggeva le persone giuridiche, cioè si basava sullo stato di cittadinanza.

Come si colloca la revisione della FADP svizzera rispetto al GDPR?

La FADP rivista presenta alcune differenze notevoli con il GDPR.

Basi legali

Ai sensi della nuova legge federale sul trattamento dei dati personali, il trattamento dei dati personali è generalmente consentito e non richiede una base giuridica come il consenso.

Tuttavia, ai sensi del GDPR, tutti i trattamenti dei dati richiedono una base giuridica, il che costituisce una differenza notevole tra i due testi legislativi.

Responsabili della protezione dei dati (DPO)

In base all'articolo 10 della nuova legge federale sulla protezione dei dati (FADP) e all'articolo 23 della nuova ordinanza, non è necessario nominare un responsabile della protezione dei dati (DPO).

Tuttavia, il GDPR delinea diversi motivi per cui un responsabile e un incaricato del trattamento potrebbero aver bisogno di nominarne uno, come spiegato nell'Articolo 37.

Multe e sanzioni

La revisione della FADP ha adattato le disposizioni relative alle sanzioni, aumentandole in modo piuttosto marcato - da 10.000 franchi svizzeri (9.980 euro/ 11.391 dollari) a un nuovo massimo di 250.000 franchi svizzeri (249.460 euro/ 284.906 dollari).

Tuttavia, questa cifra è ancora molto inferiore alle multe massime previste per le violazioni del GDPR.

Ai sensi del GDPR, l'ammenda massima è di 20 milioni di euro (19 milioni di franchi svizzeri, 22 milioni di dollari).

Nel caso di una società, la sanzione è pari al 4% del fatturato mondiale totale annuo dell'esercizio precedente o a 20 milioni di euro, se superiore.

A differenza del GDPR, le multe previste dal FADP rivisto sono rivolte ai dipendenti responsabili della violazione più che all'azienda stessa, il che rappresenta un'altra differenza notevole.

Violazioni dei dati

In base alla nuova FADP, le aziende devono segnalare le violazioni dei dati il prima possibile.

Il GDPR prevede invece un periodo di 72 ore.

Profilazione e trattamento dei dati ad alto rischio

A differenza del GDPR, il trattamento dei dati personali per la profilazione ai sensi della FADP rivista non rientra nella base giuridica o nel requisito del consenso.

Rientra invece nel requisito della profilazione ad alto rischio, ossia di un trattamento che può comportare un rischio elevato per la personalità e i diritti fondamentali dell'individuo.

Definizione di dati sensibili

È interessante notare che la definizione di dati sensibili contenuta nella revisione della FADP è più ampia di quella del GDPR.

La FADP svizzera comprende dati relativi a procedimenti amministrativi o penali e a sanzioni e misure di sicurezza sociale, che non sono inclusi nella definizione del GDPR .

In che modo Termly può essere d'aiuto per la conformità alla FADP svizzera?

Termly offre strumenti e risorse, vagliati dal nostro team legale e da esperti di privacy dei dati, per aiutare la vostra azienda a soddisfare più facilmente i requisiti delineati da leggi come la FADP.

Il nostro generatore di informativa sulla privacy vi pone semplici domande sulla vostra azienda, sulle sue attività di trattamento dei dati e sugli ambiti legali in cui rientrate, tra cui la revisione della legge federale sulla privacy e il GDPR.

In base alle risposte fornite, viene creata un'informativa sulla privacy unica, che può essere facilmente pubblicata sul sito web o sull'app.

Riassunto

La revisione della legge federale svizzera sulla protezione dei dati ha introdotto diverse modifiche significative per quanto riguarda gli obblighi delle imprese e i diritti dei consumatori, allineandosi meglio al GDPR.

La legge ha ora un esplicito campo di applicazione extraterritoriale, protegge tutte le persone fisiche della regione e include i dati biometrici e genetici nella definizione di dati sensibili.

Ha inoltre introdotto l'obbligo per i responsabili o gli incaricati del trattamento stranieri di nominare un rappresentante svizzero e ha conferito alle persone protette diritti più ampi sui loro dati personali.

Potete facilmente aggiornare la vostra informativa sulla privacy per soddisfare gli standard delineati dalla revisione della FADP svizzera utilizzando il generatore di informativa sulla privacy diTermly.

Per saperne di più su chi scrive

Scritto da Anokhy Desai CIPP/US, CIPT, CIPM

Anokhy è un avvocato specializzato in privacy con precedenti esperienze in materia di privacy e cybersecurity nel settore pubblico e privato. In qualità di ex Westin Fellow presso l'IAPP, ha pubblicato diversi articoli, white paper e infografiche e ha condotto, coordinato e moderato webinar e panel, tutti riguardanti la privacy e la tecnologia della privacy negli Stati Uniti. Anokhy ha conseguito un master presso la Carnegie Mellon University e un dottorato in giurisprudenza presso l'Università di Pittsburgh. Per saperne di più su chi scrive