Ecommerce Legale-Floriana Capone-GDPR-Svizzera-Normativa-Privacy-Svizzera

GDPR Svizzera: cosa prevede la Legge sulla protezione dei dati svizzera e come adeguarsi

La Legge svizzera sulla privacy (GDPR Svizzera) costituisce un’evoluzione decisiva nell’ambito del trasferimento dati che avvicina sempre di più la Svizzera al resto dell’Europa. In vigore dal 1° settembre 2023, la nuova LPD Svizzera e le disposizioni esecutive a riguardo (Ordinanza sulla protezione dei dati e nuova Ordinanza sulle certificazioni in materia di protezione dei dati) vengono considerate una sorta di continuum con il Regolamento Europeo sulla protezione dei dati tanto da essere definite anche GDPR Svizzera.

L’obiettivo principale della legge svizzera sulla privacy è quello di assicurare la protezione dei dati personali in relazione alle evoluzioni tecnologiche attuali e future, riconoscendo il diritto all’autodeterminazione alle persone interessate dal trattamento.

Adottata nel 2020, la nuova legge sulla protezione dei dati svizzera rafforza il diritto degli interessati dal trattamento, prevede una maggiore trasparenza, dispone più controlli nella protezione dei dati e aumenta le responsabilità di chi è coinvolto nel trattamento. Insomma, una revisione completa dell’impianto normativo precedente che, da un lato, aumenta le tutele nei confronti dei cittadini svizzeri e, dall’altro, prevede maggiori obblighi per le aziende. Di conseguenza, il GDPR Svizzera ha un impatto forte anche sugli e-commerce e sui siti vetrina che trattano dati di cittadini svizzeri o commerciano nella Confederazione Elvetica.

Gli aspetti principali della legge sono:

  • sicurezza informatica;
  • trattamento dei cosiddetti dati particolari;
  • nomina di un rappresentante che si interfacci con gli interessati;
  • obblighi dei titolari del trattamento dei dati.

In questo articolo ti spiego come adeguare il tuo ecommerce alla legge svizzera sulla privacy e cosa cambia rispetto al GDPR. 

Fai attenzione: la nLPD svizzera non prevede nessun periodo di adeguamento, quindi se non hai un sito compliant corri il rischio di essere sanzionato! 

L’iter della nuova Legge svizzera sulla protezione dei dati 

Nonostante non rientri tra gli Stati membri dell’Unione Europea e non abbia adottato il GDPR, la Svizzera è considerata un paese terzo con un livello di adeguatezza idoneo in materia di protezione e trasferimento dei dati da parte dei paesi europei. Ciò significa che l’adozione di una nuova normativa a riguardo non era necessaria nell’immediato. Tuttavia, la Confederazione Elvetica stava lavorando alla revisione della legge sulla protezione dei dati già da diverso tempo per armonizzarla con il GDPR e aumentare la sicurezza per i cittadini svizzeri.

Al 2011, infatti, risale una prima valutazione della legge sulla protezione dati, che ha portato alla sua revisione totale alla fine del 2017. Un iter lunghissimo che si è concluso nel 2022 con l’adozione della nuova Legge svizzera sulla protezione dei dati, in vigore dal 1° settembre 2023.

La revisione della legge e le disposizioni esecutive a riguardo – ordinanza sulla protezione dei dati (OPDa) e ordinanza sulle certificazioni in materia di protezione dei dati (OCPD) – sono frutto di un attento studio del GDPR. Con il Regolamento Europeo, oltre a riprenderne gli aspetti basilari, la nLPD condivide i concetti di registro dei trattamenti, valutazione d’impatto, privacy by design e by default e titolarità del trattamento

| Cosa prevede la Legge LPD svizzera

Concepita per mantenere l’adeguatezza della Svizzera come paese terzo nei confronti dell’Europa, l’evoluzione della LPD svizzera rispetto alla normativa precedente si basa su alcuni punti principali:

  • tra i dati personali oggetto di tutela rientrano solo quelli delle persone fisiche;
  • i dati sensibili comprendono anche dati genetici e biometrici;
  • secondo il principio di “Privacy by Design” il sito stesso deve essere creato nel rispetto della normativa sui dati personali e, dunque, la struttura del sito o degli strumenti di raccolta dati devono rispettare la privacy dell’utente;
  • nel rispetto del principio di “Privacy by Default” vanno attivate in automatico (di default) tutte le misure per assicurare la protezione dei dati;
  • devono essere condotte delle analisi d’impatto, in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate;
  • bisogna sottoporre un’informativa completa all’interessato dal trattamento dati prima del trattamento;
  • le aziende sono obbligate al possesso del registro delle attività di trattamento;
  • bisogna avvertire velocemente l’Incaricato federale per la protezione dei dati e per la trasparenza (IDT) in caso di data breach;
  • nella legge viene normata anche la profilazione degli utenti.

Ambito di applicazione della Legge sulla protezione dei dati svizzera

La nuova Legge svizzera sul trattamento dei dati si applica ai trattamenti che vengono attuati all’interno del territorio elvetico o con effetti in Svizzera

A differenza della LPD precedente, il GDPR Svizzera 2023 si focalizza esclusivamente sui dati personali delle persone fisiche trattati da privati o dagli organi federali. Dunque non si parla più dei dati relativi alle persone giuridiche o alle aziende. 

Nel campo di applicazione del GDPR Svizzera non rientrano, invece, i dati personali trattati a uso personale o domestico.

Dati sensibili nel GDPR Svizzera

Si estende la nozione di dati sensibili a dati “degni di particolare protezione”, tra i quali rientrano anche:

  • dati genetici;
  • dati biometrici;
  • religione; 
  • informazioni su etnia e razza;
  • dati sulla salute;
  • opinioni politiche e ideologiche;
  • procedimenti penali/amministrativi.

Diritti del soggetto interessato dal trattamento

La nuova legge privacy svizzera riconosce alla persona interessata dal trattamento gli stessi diritti previsti dal Regolamento Privacy europeo, ossia:

  • accesso;
  • rettifica dei propri dati;
  • portabilità;
  • divieto di un trattamento;
  • opposizione di comunicazione a terzi;
  • cancellazione;
  • distruzione.

Profilazione

La normativa integra al suo interno anche dei riferimenti alla profilazione, descritta come il trattamento automatizzato dei dati personali degli utenti orientato alla creazione di gruppi suddivisi in base a criteri specifici (gusti, opinioni, atteggiamenti). In particolare, la profilazione senza il consenso dell’interessato viene vietata quando si configura ad alto rischio. Ossia quando si potrebbe risalire alla persona fisica a partire dall’elaborazione di quei dati. 

Nella nLPD svizzera l’alto rischio è collegato all’uso delle nuove tecnologie.

Certificazioni previste nel GDPR Svizzera

Per snellire le procedure e agevolare le operazioni di trattamento la legge svizzera sulla protezione dei dati personali prevede l’istituto delle certificazioni. Una delle più interessanti serve per evitare la valutazione d’impatto nel caso si vogliano trasferire dati da e per la Svizzera.

Chi svolge le attività di vigilanza sull’applicazione della LPD svizzera?

Il ruolo di vigilanza sull’applicazione della nLPD svizzera è affidato all’incaricato federale della protezione dei dati e della trasparenza (IFPDT), una sorta di omologo dell’Autorità Garante della Privacy italiana.

L’IFPDT, oltre a vigilare sull’applicazione delle norme, si occupa del registro delle attività, delle attività informative e di sensibilizzazione e dell’assistenza. A questa figura totalmente indipendente da altre autorità vengono notificati i casi di data breach.

A mediare tra l’Autorità federale e i soggetti interessati dal trattamento c’è il Consulente per la protezione dei dati. Questa figura va nominata dal Titolare del trattamento per evitare la notifica della valutazione d’impatto all’IFPDT. Inoltre, rappresenta un punto di riferimento per la formazione sulla protezione dei dati.

Tuttavia, la nomina del consulente non è obbligatoria per le imprese. Questa è una differenza sostanziale tra GDPR e LPD. Il Consulente equivale al DPO ma la sua nomina è facoltativa.

E se hai un ecommerce in Italia e vuoi vendere in Svizzera?

Il GDPR svizzera prevede la nomina di un Rappresentante del titolare del trattamento una figura di raccordo tra aziende e privati con sede esterna alla Svizzera, l’IFPTD e i titolari del trattamento. La nomina del rappresentante è necessaria per le aziende che vendono beni o servizi in Svizzera, se effettuano un trattamento periodico su larga scala e qualora presentino un rischio elevato.

Quali obblighi sono previsti per il titolare del trattamento e per il responsabile del trattamento

Il nLPD Svizzera stabilisce obblighi simili al GDPR per il titolare e il responsabile del trattamento. 

Dunque queste due figure devono occuparsi di:

  • informativa privacy;
  • valutazione di impatto preventiva e consultazione dell’IFPDT in caso di rischio elevato;
  • misure tecnico – organizzative;
  • registro dei trattamenti;
  • notifica di violazione dati (data breach) all’IFPTD nel minor tempo possibile.

Violazioni e pene previste dal GDPR Svizzera

La legge svizzera sulla protezione dei dati prevede quattro tipologie di violazioni:

  • violazione degli obblighi di informare, di concedere l’accesso e di collaborare;
  • violazione degli obblighi di diligenza;
  • inosservanza delle decisioni prese dall’IFPDT o dall’autorità;
  • violazione degli obblighi di segreto.

È importante sottolineare che, a differenza delle sanzioni del GDPR, la nLPD svizzera stabilisce a priori le sanzioni, senza demandare il computo delle ammende all’autorità, e prevede sanzioni penali. Inoltre, responsabilizza le persone fisiche all’interno delle aziende: l’infrazione, quindi, viene attribuita ai privati e non alle organizzazioni. Tuttavia, nel caso in cui risulti troppo oneroso rintracciare la persona fisica responsabile della violazione o per sanzioni al di sotto dei 50.000 Franchi la sanzione viene comminata direttamente all’azienda.

Le pene previste in caso di violazioni sono la querela di parte e sanzioni pecuniarie fino a 250.000 Franchi Svizzeri (circa 260.000 Euro). Ciò, per quanto riguarda le sanzioni penali. A queste può aggiungersi un ulteriore danno economico quale il risarcimento del danno in sede civile che può addirittura eccedere questa somma.

Le sanzioni vengono gestite dall’autorità penale.

Privacy by design e by default

I principi di privacy by design e privacy by default sottolineano l’importanza di raccogliere i dati strettamente necessari alle finalità del trattamento e per il periodo strettamente necessario.

In altre parole, vanno adottate misure tecniche e organizzative per ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali velocemente e garantire una maggiore trasparenza all’utente.

Inoltre, il titolare ha il compito di selezionare a priori le finalità strettamente necessarie al trattamento e il tipo di dati necessari alle specifiche finalità, riducendo al minimo i dati raccolti. 

Registro del trattamento dei dati nel GDPR Svizzera

È prevista la predisposizione del registro delle attività di trattamento per le imprese con più di 250 dipendenti e quando il trattamento comporta un rischio elevato di violazione della personalità delle persone interessate. 

Questo deve indicare: 

  • dati del titolare del trattamento;
  • finalità del trattamento;
  • categorie di persone interessate;
  • categorie di dati personali trattati;
  • destinatari dei dati;
  • tempistiche relative alla conservazione dei dati personali trattati;
  • descrizione delle modalità di conservazione e degli strumenti volti a tutelare i dati degli interessati;
  • indicazioni sull’eventuale trasferimento dei dati all’estero.

Obblighi informativi

Rispetto alla normativa precedente, la nLPD amplia la tipologia di informazioni da fornire ai soggetti interessati nell’informativa privacy in modo che essi possano esercitare i diritti previsti. Queste sono:

  • identità e dati di contatto della/del responsabile per il trattamento dei dati;
  • scopo del trattamento;
  • destinatario;
  • paese destinatario ed eventuali paesi terzi destinatari, garanzia sulle modalità di trattamento.

| Differenza tra GDPR e legge sulla protezione dei dati svizzera

È evidente che la legge sulla protezione dei dati svizzera è stata concepita in linea con il GDPR, con il quale condivide i punti essenziali. Questo agevola il trasferimento dei dati ma, soprattutto, facilita e velocizza gli scambi commerciali tra UE e Svizzera.

D’altro canto è bene anche soffermarsi sulle differenze tra GDPR e nLPD che riguardano in particolare i compiti dell’Autorità Garante e dell’IFPDT, il data breach, le attività del consulente, le infrazioni.

Un esempio interessante in questione è relativo alle sanzioni previste dall’articolo n.64 della nLPD per i dirigenti aziendali “Se la multa applicabile non supera i 50.000 franchi e se la determinazione delle persone punibili secondo l’articolo 6 DPA esige provvedimenti d’inchiesta sproporzionati all’entità della pena, l’autorità può prescindere da un procedimento contro dette persone e, in loro vece, condannare al pagamento della multa l’azienda”.

Un’ulteriore differenza riguarda il data breach. Nei paesi UE, la violazione va comunicata al Garante della Privacy entro 72 ore dal momento in cui il responsabile del trattamento ne viene a conoscenza. La nLPD svizzera, invece, non stabilisce delle tempistiche ma indica “quanto prima” come termine per inviare la segnalazione.

| Come essere compliant al GDPR Svizzera

Adeguare il sito alla legge privacy svizzera è essenziale per gli ecommerce che operano in territorio Elvetico e per quelli che trasferiscono dati dalla Svizzera all’estero. Chi ha già un’azienda GDPR compliant non incontrerà difficoltà a integrare la normativa svizzera sulla protezione dei dati al proprio sito. Tuttavia è essenziale avere alle proprie spalle uno Studio legale esperto in privacy. Solo un avvocato dell’ecommerce esperto nella privacy, infatti, riesce a valutare effettivamente se un sito rispetti la normativa ecommerce o meno.

Se la tua azienda trasferisce dati all’estero, contattaci per un check up legale. Noi di ecommerce legale ti aiuteremo a capire se stai lavorando in modo corretto. E ricorda che chi trasferisce dati in Svizzera o dalla Svizzera deve assolutamente adeguare il proprio sito alla nLPD nel più breve tempo possibile: non sono previste proroghe e la legge è già in vigore dal 1° settembre 2023.

Fissa ora la tua call. Metti il tuo business al riparo dalle sanzioni e preparalo alle sfide dell’internazionalizzazione.

Floriana Capone

L’Avvocato dell’Ecommerce

POTREBBE INTERESSARTI LEGGERE ANCHE
Menu
error: Content is protected !!