La nuova Legge federale sulla protezione dei dati
Sfide e opportunità per le aziende e i professionisti in una scheda informativa ricca di riflessioni.
La parola “LPD” è da alcuni mesi sulla bocca di tutti. LPD è l’acronimo ufficiale della Legge (federale) sulla protezione dei dati, normativa adottata dall’Assemblea federale, dopo un lungo periodo di gestazione, il 25 settembre 2020.
Si tratta di una revisione di legge complessa che avrà un impatto notevole sulla società e sulle imprese.
Il nuovo paradigma impone di rivalutare aspetti fondamentali della propria azienda, quali l’organizzazione interna, la gestione del personale, la tecnologia utilizzata, i fornitori di beni e servizi, la sicurezza e la trasparenza dei trattamenti. Il “giro di vite” a livello normativo è la “naturale” conseguenza della digitalizzazione e dei rischi sistemici che ne derivano (si pensi ai disastri informatici, ai furti di dati personali e ai casi di estorsione tramite “ransomware”), come pure degli abusi emersi nell’ambito di scandali internazionali, quali “Cambridge Analytica” (profilazione e manipolazione delle masse tramite fake news) oppure il caso Snowden.
La nuova LPD si prefigge di proteggere le persone fisiche e, indirettamente, l’intera comunità, dai trattamenti illeciti dei dati, affinché le informazioni possano essere utilizzate per creare una società digitale sicura, efficiente e non discriminatoria. Più romanticamente, si tratta di tutelare il bene più prezioso: la libertà e la dignità di ciascuno come essere umano.
Parlando di responsabilità, a conferma che l’adeguamento alla LPD non è un “optional”, saranno i consiglieri di amministrazione e i manager ad essere ritenuti responsabili penalmente per le violazioni della LPD riconducibili alle loro aziende (con multe fino a CHF 250’000.-). Ciò includerà la mancata implementazione degli standard minimi di sicurezza che saranno stabiliti dal Consiglio federale. Diversamente dal diritto europeo, che istituisce pesanti sanzioni amministrative pecuniarie a carico delle società, il diritto svizzero ha dunque optato primariamente per la responsabilizzazione dei dirigenti in quanto detentori del potere decisionale. Parallelamente, permane la responsabilità (civile) dei dirigenti verso la società, i suoi azionisti e i creditori per aver omesso di impedire il proliferare di atti illeciti, rispettivamente per aver omesso di implementare un’organizzazione conforme alla legge, come pure la responsabilità (civile) della società per la lesione della personalità delle persone interessate.
La data di entrata in vigore della LPD non è ancora stata decretata, considerato che mancano le norme attuative. Il termine per il referendum è scaduto infruttuoso, per cui, sotto questo profilo, non vi è alcun ostacolo giuridico alla messa in vigore. Gli esperti del settore ritengono che la data più realistica sia metà 2022. Essendo tale data relativamente lontana, si potrebbe essere tentati di rinviare la questione nel tempo. Sarebbe un errore di valutazione grave, tenuto conto della complessità degli adempimenti, dei tempi tecnici per la loro messa in opera e del fatto che la nuova LPD non prevede un termine generale di adeguamento dopo la sua entrata in vigore. È pertanto di fondamentale importanza avviare senza indugio il processo di messa a norma.
Trovandoci in un periodo di transizione, è bene sottolineare l’opportunità di implementare sin da ora le previsioni della futura LPD. In effetti, salvo rare eccezioni, tali previsioni non si pongono assolutamente in contrasto con il diritto attuale.
Vediamo concretamente come procedere e quali sono i principali adempimenti. Sia chiaro: non si tratta di uno sterile esercizio di “produzione cartacea” (come molti pensano), bensì di una vera e propria “ristrutturazione” dell’azienda, che comporta sia un ripensamento del rapporto con le persone interessate, i dati personali e la tecnologia, sia un cambiamento radicale di mentalità che tocca tutti, dai dipendenti fino al top management.
Innanzitutto, occorre creare un Team di progetto autorevole, dotato di risorse adeguate, competenze tecniche, operative e legali, nonché obiettivi chiari. Il Team deve godere del pieno sostegno della Direzione generale e del CdA. In mancanza di know-how specialistico interno, la guida del Team può essere affidata a uno specialista esterno. Le soluzioni completamente esterne (in cui lo specialista pretende, dopo alcune interviste, di mettere a norma l’azienda) sono illusorie e pericolose: nessuno conosce l’azienda meglio di chi ci lavora, per cui il coinvolgimento degli interni, in un cantiere “serio”, è imprescindibile.
Una volta costituito il Team, occorre stabilire il programma di lavoro con relativo scadenziario in base alle risorse disponibili, agli obiettivi e alle priorità d’intervento. In questo ambito, due questioni preliminari devono essere necessariamente affrontate:
(i) l’esigenza di considerare / implementare nel processo, data l’attività dell’azienda, anche normative estere (ad esempio, il GDPR)
e
(ii) l’individuazione di attività che necessitano di particolare (e prioritaria) attenzione (in ragione, ad esempio, delle responsabilità penali che ne scaturiscono oppure di aspetti “visibili” esternamente, come nel caso delle informative sui cookies, oppure perché i rischi per le persone interessate sono elevati).
La prima attività da svolgere è quella di “mappare” i trattamenti di dati personali, inserendo in un apposito registro i seguenti elementi: quali dati vengono trattati, da chi, come, dove, per quali scopi, chi ne è destinatario e sulla base di quale motivo giustificativo avviene il trattamento (legge, consenso o interesse preponderante pubblico o privato). Per lo svolgimento di tale compito è utile dotarsi di un gestionale informatico (nelle aziende medio – grandi la scelta è obbligata).
In secondo luogo, occorre definire ruoli e responsabilità di ciascuna persona che tratta dati personali, sia essa interna (dirigente, collaboratore) o esterna (data processor) all’azienda. La situazione va rappresentata in un organigramma di immediata fruibilità. Tali persone devono ricevere istruzioni chiare e complete sui trattamenti da effettuare (direttive e regolamenti interni) e, nel caso degli esterni, una volta accertata l’affidabilità dei singoli fornitori e dei loro prodotti e/o servizi, la delega del trattamento deve essere regolamentata tramite una convenzione scritta. Nell’ambito di tale fase, occorre valutare se sia opportuno (oppure obbligatorio, se si è confrontati con il GDPR) nominare un Data Protection Officer (DPO), il quale può essere interno o esterno all’azienda, onde presidiare il rispetto delle norme e offrire un supporto costante all’azienda e alle persone interessate nell’ambito di attività informative, ispettive e di consulenza. In base alla nuova LPD, che non prevede l’obbligatorietà della figura del DPO, la nomina comporta (a determinate condizioni) l’esclusione dell’obbligo di consultazione preventiva dell’Incaricato federale in presenza di trattamenti a rischio elevato. In terzo luogo, occorre attuare i principi per il trattamento dei dati personali (sicurezza, proporzionalità, correttezza, privacy by design e by default ecc.) in relazione ai trattamenti svolti e alla scelta degli strumenti (fisici e informatici) e delle modalità di trattamento, nonché identificare e bloccare eventuali attività illecite (in attesa di adeguamento o distruzione dei dati). In quarto luogo, occorre dare seguito agli obblighi di informare le persone interessate (inclusi i dipendenti, gli utenti delle risorse online e i clienti) circa i trattamenti svolti dall’azienda (o delegati a terzi) fornendo tutte le informazioni previste dalla legge. In quinto luogo, occorre identificare i motivi giustificativi alla base di ogni categoria di trattamento, raccogliendo ove necessario il consenso degli interessati (in maniera valida e comprovabile in giustizia), rispettivamente giustificando in modo documentato il ricorso all’interesse preponderante pubblico o privato (“LIA”). In sesto luogo, occorre creare un Team e delle regole per la gestione efficace e tempestiva dei “data breach” (violazioni della sicurezza), come pure per la gestione delle richieste delle persone interessate (rettifica dei dati, blocco dei trattamenti, revoca del consenso, accesso ai dati, portabilità ecc.). In settimo luogo, occorre identificare i trattamenti a rischio accresciuto che impongono lo svolgimento di una valutazione d’impatto sulla protezione dei dati (nel gergo, “DPIA”) e svolgere correttamente tale valutazione (in genere con l’ausilio di un tool informatico). Ove necessario, occorre effettuare la consultazione preventiva dell’Incaricato federale. In ottava posizione troviamo un punto essenziale: le attività di sensibilizzazione e di formazione dei dipendenti sui rischi, sui diritti e sugli obblighi di ciascuno in materia di protezione dei dati personali, nonché sulle responsabilità collegate.
Quale ultima riflessione, credo sia importante rilevare come le nuove norme non debbano essere viste come una rigida e onerosa imposizione, bensì come l’occasione per fortificare il rapporto di fiducia con clienti e dipendenti, promuovendo un’immagine aziendale positiva, socialmente responsabile e rispettosa delle regole e dei diritti fondamentali delle persone. Investire nella protezione dei dati personali significa operare in un contesto nuovo con coscienza e padronanza dei rischi e delle opportunità, sfruttando pienamente vantaggi competitivi e strumenti innovativi nel campo della digitalizzazione. Deludere le aspettative (sempre più elevate) degli utenti riguardo alla tutela della sfera privata e personale (caso WhatsApp docet) è una strategia dannosa non solo dal profilo giuridico, bensì commerciale. In definitiva, la strada è tracciata, per cui non resta che avviarsi con buona volontà, determinazione e con la migliore compagnia possibile verso la meta.
Articolo redatto da
Gianni Cattaneo, Avv., LL. M., FCI Arb