Approfondimenti

MODIFICHE IMMINENTI ALLA PROTEZIONE DEI DATI (SVIZZERA E UE)

Europa e Svizzera introdurranno presto importanti modificazioni legislative, che per le aziende si tradurranno in particolare in un incremento degli obblighi di documentazione e di adeguamento dei processi ai nuovi obblighi di notifica e alle misure di cancellazione dei dati personali. Con le nuove minacce di sanzione si intende conferire maggiore enfasi alla protezione dei dati in futuro.

Il RGPD dell’UE

A partire dal 25 maggio 2018 sarà vincolante il nuovo «Regolamento generale sulla protezione dei dati» (RGPD), in inglese «General Data Protection Regulation» (GDPR), che rappresenta il primo quadro normativo dell’UE applicabile direttamente agli stranieri domiciliati e alle aziende di tutti i 28 Stati membri dell’Unione europea. Il RGPD si applica mutatis mutandis alle aziende elvetiche, ad es. qualora offrano merci o servizi nell’UE e di conseguenza elaborino dati personali (in Svizzera).

I principali elementi chiave sono:

  • multe più severe – fino a 20 milioni di euro oppure, per importi superiori, fino al 4% del fatturato annuo mondiale dell’azienda; 
  • severi obblighi di documentazione – l’elaborazione conforme dei dati personali deve poter essere attestata; 
  • obbligo di notifica delle violazioni alla protezione dei dati possibilmente entro 72 ore; 
  • determinazione di un periodo di archiviazione dei dati personali e obbligo di cancellazione; 
  • ampliamento delle competenze delle autorità di vigilanza

Revisione totale della legge svizzera sulla protezione dei dati

A settembre 2017 anche il Consiglio federale svizzero ha pubblicato un progetto di revisione totale della legge svizzera in materia di protezione dei dati. La bozza di revisione – fortemente incentrata sul RGPD, di cui recepisce i principi fondamentali – ha carattere generale. In futuro anche le aziende svizzere dovranno far fronte a maggiori obblighi di documentazione, informativa e notifica.

Una differenza sostanziale è il quadro sanzionatorio previsto: non dovrebbe essere recepito il forte inasprimento delle pene programmato dall’UE; in Svizzera le multe per violazione della protezione dei dati dovrebbero essere limitate a CHF 250 000 max. A differenza dell’Unione europea, la sanzione non sarebbe a carico dell’azienda bensì delle persone responsabili all’interno dell’azienda; ciò vuol dire in generale che colpirebbero personalmente i membri del Consiglio di amministrazione e della Direzione. La rinuncia al perseguimento della persona è contemplata solo in caso di multe di esigua entità (inferiori a CHF 50 000), per le quali si può sanzionare l’azienda. È plausibile supporre che l’entrata in vigore della legge svizzera sulla protezione dei dati sottoposta a revisione avverrà nel 2019. Al fine di conformarsi ai nuovi requisiti, è necessario adeguare le procedure interne alla nuova legislazione. Vi consigliamo di iniziare sin d’ora a confrontarvi con le nuove disposizioni.

Maggiori informazioni 

backtop