Legge privacy svizzera, c’è la decisione di adeguatezza della Commissione UE per il trasferimento dati
2024-1-17 23:31:35 Author: www.cybersecurity360.it(查看原文) 阅读量:19 收藏

L'ANALISI

Arriva il via libera della Commissione UE sull’equivalenza della legge federale svizzera sulla protezione dati con il GDPR, in quanto offre congrue tutele al trattamento dei dati personali: il loro trasferimento dalla UE beneficia di adeguate garanzie senza imporre altri adempimenti. Ecco cosa comporta

Pubblicato il 17 Gen 2024

P

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata

La Commissione europea nel suo Report del 15 gennaio 2024, ha decretato che “il diritto svizzero in materia di protezione dei dati continua a soddisfare gli standard europei”.

In pratica, i dati personali possono continuare a essere trasferiti da un Paese UE alla Svizzera senza necessitare di ulteriori garanzie se non già quelle offerte dalla rinnovata nLPD, salvaguardando la competitività del Paese.

Facciamo un rapido excursus.

Legge privacy svizzera: il report della Commissione UE

La Commissione europea conferma l’alto il livello di adeguatezza della disciplina relativa alla protezione dati nel territorio svizzero.

A dirlo è il citato Rapporto che la Commissione europea ha pubblicato, a metà gennaio 2024.

Ciò significa che la Svizzera potrà continuare a garantire un’adeguata protezione dei dati personali. In pratica, i dati di natura personale potranno essere trasferiti da uno Stato membro della UE o dello Spazio Economico Europeo – SEE, alla Svizzera senza che, come si legge nel comunicato ufficiale, “quest’ultima debba fornire ulteriori garanzie”, e, conclude, dicendo come “il trasferimento transfrontaliero dei dati, senza ostacoli burocratici, dall’UE o dallo SEE sia fondamentale per la piazza economica svizzera e per la competitività del Paese”.

Business continuity: una guida in pillole su come stilare e aggiornare un piano efficace

D’altra parte, l’Unione europea essendo considerata partner commerciale svizzero, e la Svizzera a sua volta Paese strategico, è quanto mai importante che la cooperazione tra questi si attui senza problemi/oneri supplementari.

L’elemento di novità

L’adeguatezza confermata in sé e per sé, in realtà, non è una novità. Infatti, sappiamo che da oltre vent’anni (2000) è considerato adeguato il livello di protezione dei dati elvetico.

Il vero elemento di novità allora risiede nel fatto che anche la Svizzera si sia allineata alla trasformazione digitale in atto, riformando il diritto in materia di protezione dei dati per adattarlo alle nuove tecnologie anche emergenti.

Si tratta per altro di un “giudizio” di adeguatezza in qualche modo reciproco, vale a dire come la UE è chiamata a confermare l’adeguatezza della Svizzera, con questa può decidere quali Paesi, dal suo punto di vista, siano in grado di garantire una protezione dati adeguata.

Focus sulla Svizzera

Riportiamo per estratto il punto preciso (4.10.) del Report elaborato dalla Commissione europea con specifico riferimento alla Svizzera, per quanto il testo in questione affronti anche altri temi, tra cui l’esportazione di dati personali al di fuori dell’UE, obbligando tutti i titolari del trattamento dei dati a osservare gli obblighi previsti.

Per completezza, ricordiamo che detto Report si occupa anche di altri Paesi come: Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda e Uruguay.

Ciò premesso, sulla Svizzera si legge testualmente che “La Commissione accoglie con favore gli sviluppi del quadro giuridico svizzero dopo l’adozione della decisione di adeguatezza, tra cui le modifiche legislative, la giurisprudenza e le attività degli organi di controllo, che hanno contribuito ad aumentare il livello di protezione dei dati”. Nello specifico poi “… la legge federale sulla protezione dei dati, ha ulteriormente rafforzato la convergenza con il quadro normativo dell’Unione Europea” circa “la protezione dei dati sensibili e le norme sul trasferimento internazionale dei dati”.

La Commissione tiene poi a precisare che la Svizzera, negli anni, ha rafforzato i suoi impegni internazionali, in ambito protezione dei dati, ratificando la Convenzione 108+ nel settembre 2023, la quale svolge un ruolo cruciale nella promozione del diritto alla tutela della sfera privata.

Circa “… l’accesso ai dati personali da parte dei governi, le Autorità pubbliche in Svizzera sono soggette a norme chiare, precise e accessibili in base alle quali tali autorità possono accedere”. In definitiva, la trasparenza prima di tutto.

Infatti, la legge federale sulla protezione dei dati e le norme specifiche in materia di protezione dei dati si applicano alle forze dell’ordine nonché alle autorità di sicurezza nazionale (pensiamo anche solo alla legge sui servizi segreti).

La Commissione poi rende noto che “la legge svizzera impone una serie di specifiche limitazioni all’accesso e all’uso dei dati personali per finalità di polizia giudiziaria e di sicurezza nazionale” prevedendo, meccanismi di controllo e di ricorso in tali ambiti.

Ecco che, a fronte di tutti gli aspetti considerati, la Commissione ne deduce un giudizio complessivamente positivo riaffermando l’adeguatezza della Svizzera in materia di data protection.

Legge privacy svizzera e riconoscimento dell’equivalenza

Cosa significa il riconoscimento dell’equivalenza al GDPR? In breve, sta a indicare che la nuova legge elvetica – nLPD ”riscrive” i dettami e capisaldi del GDPR, ponendosi nel solco dello stesso.

Ma tale pendant non è solo normativo, affonda altresì le sue radici nel tessuto socioeconomico. Infatti, senza un giudizio di questo tipo le imprese elvetiche avrebbero avuto un effort significativamente più elevato, con evidenti svantaggi in termini competitivi.

Non a caso, le Camere federali hanno approvato questa legge solo nell’autunno del 2020, dopo un lungo e acceso dibattito durato un triennio.

L’obiettivo era chiaro: raggiungere una compatibilità, pressoché perfetta, con gli standard (di diritto) europeo.

Legge privacy svizzera e GDPR: similitudini e differenze

Come già scritto, la nuova nLPD è una legge molto in linea con il GDPR.

Tuttavia, la nLPD presenta dei tratti caratteristici, e talune specificità come ad esempio:

  1. sul principio di liceità: il “motivo giustificativo” in Svizzera viene richiesto in presenza di un trattamento illecito, ossia un trattamento che rappresenti una violazione della personalità;
  2. il cd Incaricato federale (IFPD) non potrà emettere sanzioni amministrative di natura pecuniaria, ma potrà limitarsi a prendere delle misure tra cui la modifica o la sospensione del trattamento dei dati o addirittura la cancellazione dei dati;
  3. non è obbligatoria la figura del Data Protection OfficerDPO nel settore privato. La nomina di quest’ultimo comporta l’esclusione dell’obbligo di consultazione preventiva dell’IFPD in presenza di trattamenti a “rischio elevato” dopo aver fatto una valutazione sulla protezione dei dati cd DPIA;

Ancora, circa le violazioni commesse in azienda (art. 64), possono essere sanzionati anche i dirigenti in caso di “infrazione” alla normativa, con una sanzione (multa) fino a 50.000 franchi.

La nomina del rappresentante europeo (art. 27 GDPR) occorre?

Facciamo ancora una riflessione. In caso di applicazione di nLPD, l’art. 27 che prevede una (nuova) figura, quella cioè del Rappresentante nell’Unione del titolare del trattamento o del responsabile del trattamento, ovvero quel “professionista” (nel senso di figura professionale) la cui funzione e nomina è normata dal GDPR.

Il rappresentante nell’Unione nella pratica è colui che “agisce per conto del titolare o del responsabile del trattamento e li rappresenta” circa gli obblighi GDPR compliant.

Ma la problematicità di questo aspetto risiede nella scelta dello Stato membro in cui eleggere il Rappresentante che vi avrà sede. Infatti, l’art. 27, par. 3 – GDPR, a tal proposito, espressamente che “il rappresentante è stabilito in uno degli Stati membri in cui si trovano gli interessati i cui dati personali sono trattati in relazione all’offerta di beni o servizi o il cui comportamento è controllato”. In altri termini, conta il criterio della scelta del luogo in cui avviene il trattamento.

A questo punto, c’è da chiedersi se con riferimento a quanto abbiamo finora trattato, si applica o meno questa regola dettata dal GDPR? La risposta, a nostro avviso, è affermativa. Attendiamo tuttavia le prime applicazioni a suffragarci in questa tesi.

Conclusioni

Il GDPR in vigore da otto anni, e pienamente operativo da quasi sei, si è prefissato un preciso obiettivo: quello di rafforzare la protezione dei dati personali dei cittadini della Unione europea e dei residenti, sia all’interno che all’esterno dei confini europei, sì evocando la ratio dell’intero impianto che risiede per l’appunto nel lasciare che i dati all’interno della UE circolino liberamente e al di fuori altrettanto, nella misura in cui siano adeguatamente protetti.

Da qui l’importanza delle decisioni di adeguatezza.

Sfrutta il potenziale della sicurezza unificata con l’Extended Detection and Response

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/legge-privacy-svizzera-ce-la-decisione-di-adeguatezza-della-commissione-ue-per-il-trasferimento-dati/
如有侵权请联系:admin#unsafe.sh