Il Podio EDI 2023, tenutosi il 30 giugno presso la sala del Consiglio cantonale di Lucerna, è stato totalmente dedicato alla nLPD, che entrerà in vigore senza periodo di transizione il 1o settembre 2023. Cosa cambia dal punto di vista giuridico per la sanità e cosa resta uguale? L’avvocato Roman Böhni di ADLEGEM Rechtsanwälte fa chiarezza.

Roman Böhni, avvocato presso ADLEGEM, segue aziende e privati specialmente nelle questioni legali inerenti a informatica, protezione dei dati, diritto della proprietà intellettuale, contratti, lavoro e affitti. In qualità di avvocato ed esperto in informatica aziendale, da diversi anni si occupa in particolare di questioni legali in ambito digitale e ha quindi approfondito la revisione della legge sulla protezione dei dati e i cambiamenti che ne deriveranno.

Un cambio di paradigma?
Nel suo intervento, Böhni ha fornito ai partecipanti al Podio EDI una panoramica oggettiva della nuova legislazione, ha effettuato un’analisi comparativa e ha mostrato gli effetti giuridici sulle istituzioni in Svizzera: «Cosa cambia? Cosa resta uguale? Ci aspetta un cambio di paradigma?» Böhni riassume così i principali obiettivi della nLPD e del legislatore: «In primo luogo, il trattamento dei dati personali dovrebbe essere più trasparente. Inoltre, i diritti preesistenti degli interessati devono essere rafforzati o ampliati, così come l’applicabilità della nuova legge. La nostra legge esistente equivale a una tigre sdentata: questa situazione ora deve cambiare. Un quarto punto chiave è il mantenimento della decisione di adeguatezza dell’UE per un agevole scambio dei dati tra la Svizzera e gli Stati dell’Unione europea.»

Cosa resta invariato?
Un elemento importante che resta invariato è il principio del consenso con riserva di divieto. Ciò significa che in Svizzera un trattamento di dati personali in linea di principio resta consentito. «Si tratta di una differenza fondamentale rispetto al GDPR europeo. Nell’UE, ogni trattamento di dati personali è di per sé vietato ed è consentito solo con un motivo che lo giustifichi. Anche dopo il 1o settembre 2023, in Svizzera non sussisterà un obbligo di consenso fondamentale. Per trattare i dati, non sarà necessario reperire consensi sempre e ovunque. I principi del trattamento dei dati restano invariati.» A differenza del GDPR, con la nLPD non viene neppure introdotto un obbligo esteso di rendiconto. «Chiaramente ci sono più obblighi di documentazione, ma non della stessa entità di quelli dell’UE. Da qui la mia prima conclusione: non si arriverà al cambio di paradigma citato all’inizio, ma c’è una chiara necessità di agire.»

Vari adeguamenti
«In alcuni ambiti i cambiamenti sono profondi, in altri sono appena percettibili; ma i cambiamenti ci saranno.» Nel suo intervento, Böhni si è limitato a dieci punti, come ad esempio il campo di applicazione. Ora, solo le persone fisiche sono protette dalla nLPD. Inoltre, devono esser rispettate anche le leggi cantonali sulla protezione dei dati. «Ogni istituzione deve avere ben chiare le basi giuridiche applicabili: si applica il diritto cantonale, sono coinvolti più cantoni o entra in gioco il diritto federale?»

Registro delle attività di trattamento
«Questo è il cuore dell’intera compliance in materia di protezione dei dati: l’identificazione e la documentazione dei flussi di dati personali. Chi è responsabile, qual è la finalità di un processo, quali categorie di dati personali vengono trattate, chi sono i destinatari? I dati vanno all’estero? Se sì, dove? Sono necessari ulteriori interventi per mettere in sicurezza il trasferimento?» Queste sono le domande da porsi. «Per le autorità questo registro è obbligatorio, per un’azienda lo è solo se ha più di 250 dipendenti, tratta dati sensibili su larga scala e ha una profilazione ad alto rischio.»

Altri adeguamenti
Böhni affronta anche il tema dei cambiamenti nell’obbligo di informazione. Con la nuova legge, ad esempio, gli organi federali devono segnalare le singole decisioni automatizzate nelle procedure di selezione e indicarle come tali. Altri adeguamenti sono previsti nel trattamento affidato a un responsabile, in cui ora il responsabile del trattamento può coinvolgere subappaltatori, ma solo con il consenso del titolare del trattamento. Per questo, a tale proposito, è raccomandata l’identificazione dei ruoli dei partner commerciali e dei fornitori di servizi: un compito che può essere molto complesso, specialmente nei progetti che coinvolgono più aziende. 

Un’altra modifica importante della legge riguarda l’obbligo di segnalazione. Ora le cosiddette data breach, o violazioni della sicurezza dei dati, devono essere segnalate obbligatoriamente se possono comportare un rischio elevato per le persone interessate. Se sono state violate la riservatezza, l’integrità e/o la disponibilità di dati personali, si deve trasmettere una segnalazione all’IFPDT il prima possibile e, a seconda dei casi, anche alla persona o alle persone interessate. Per questo Böhni consiglia «la definizione del processo e delle competenze in caso di data breach.» Contro le persone che violano intenzionalmente i requisiti di legge possono essere elevate sanzioni. Tali sanzioni possono essere anche molto elevate: fino a CHF 250 000, non sono assicurabili e non possono essere sostenute dall’azienda.

Conclusioni:
Sì, la nuova legge sulla protezione dei dati rende necessari determinati interventi, ma non rappresenta uno stravolgimento totale. Per tutti gli interventi, Böhni ritiene fondamentale aumentare la consapevolezza delle persone coinvolte. «Per quanto si possa essere ben organizzati e documentati, se i collaboratori non sanno come devono comportarsi prima o poi si verificheranno violazioni. Per questo è estremamente importante formarli e metterli in condizione di agire correttamente.»

Presentazione (PDF)