Nuovo regolamento europeo in materia di protezione dei dati personali (GDPR): toccate anche le aziende svizzere
Il Regolamento europeo n. 2016/679 sulla protezione dei dati (GDPR) intende rafforzare e rendere più omogenea la tutela dei dati di carattere personale dei cittadini europei, attuando una serie di misure volte a favorire più trasparenza nella gestione di tali dati e a garantire ai cittadini europei un maggiore controllo sul loro utilizzo. Il GDPR entrerà in vigore il 25 maggio 2018 e sarà direttamente applicabile a tutti gli attori attivi sul territorio dell’Unione europea (UE), ovvero a tutte le imprese che offrono beni o prestazioni di servizi a persone nell’UE (ad esempio tramite il proprio sito di e-commerce o altre piattaforme di vendita online) oppure alle imprese che analizzano il comportamento di queste persone. La portata di tale regolamento è ampia e riguarda anche le aziende non europee che elaborano/trattano dati di cittadini europei (art. 3), tra cui anche le aziende svizzere. Il GDPR non va preso alla leggera: in caso di sua violazione sono infatti previste sanzioni che possono arrivare sino a 20 milioni di euro o al 4% del fatturato annuo globale.
Maggiori diritti per i cittadini
Grazie al nuovo regolamento, i cittadini europei hanno maggiori diritti: innanzitutto devono essere informati in modo preciso, trasparente, completo e semplice sul trattamento previsto per i loro dati, in particolar modo nel caso di informazioni destinate ai minori (artt. 11-14). Essi hanno inoltre diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e di avere accesso a tali dati nonché ad eventuali informazioni complementari (diritto di accesso, art. 15), possono altresì chiedere rettifiche o completamento dei dati (art. 16) nonché la loro cancellazione (“diritto all’oblio”, art.17). In determinati casi, essi possono ottenere una limitazione di trattamento dei loro dati personali (art. 18), nel qual caso questi ultimi possono essere conservati ma non possono più essere adoperati per ulteriori operazioni. Inoltre, ogni rettifica, cancellazione o limitazione del trattamento dei dati deve essere notificata a chi li sta utilizzando (art. 19). I diretti interessati hanno il diritto di ricevere i loro dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmettere tali dati ad altri operatori (diritto alla portabilità dei dati, art. 20). In qualsiasi momento, essi possono opporsi al trattamento dei dati che li riguardano, anche per finalità di marketing diretto (art. 21) e hanno il diritto di non essere sottoposti a processo decisionale automatizzato (art. 22), ivi compresa la profilazione. Infine, ma non meno importante, hanno il diritto ad essere informati in caso di violazione dei loro dati personali (art. 34).
I cittadini hanno il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e di avere accesso a tali dati nonché ad eventuali informazioni complementari.
Il ruolo proattivo delle aziende
Dal canto loro, le aziende che operano con dati di cittadini europei, e sono titolari o responsabili del trattamento di tali dati, oltre agli accresciuti obblighi in materia di trasparenza e di informazione di cui sopra e a dover ottenere il loro consenso espresso alla raccolta e al trattamento dei dati (artt. 6-8), hanno ora anche un ruolo più proattivo e degli obblighi più pregnanti, finalizzati non soltanto al rispetto formale delle regole, ma anche all’adozione di misure tecniche e organizzative che garantiscano sia la protezione dei dati (incluse la pseudonimizzazione e la minimizzazione) sin dal momento della progettazione (privacy by design, art. 25) sia l’utilizzo dei soli dati personali necessari per ogni specifica finalità di trattamento (privacy by default, art. 25). Salvo eccezioni (ovvero le imprese con meno di 250 dipendenti, ma solo se non effettuano trattamenti che possano presentare un rischio per gli interessati), le aziende devono anche tenere un registro delle operazioni di trattamento (i cui contenuti sono elencati all’art. 30). Le misure tecniche e organizzative a protezione dei dati devono essere adeguate (art. 32) e volte a garantire che eventuali lacune nella sicurezza vengano scoperte immediatamente e che, in caso di violazione, esse vengano notificate entro 72 ore sia alle autorità di controllo competenti (in Svizzera: l’Incaricato federale della protezione dei dati e della trasparenza) sia al diretto interessato (data breach, artt. 33-34). Laddove il trattamento dei dati possa presumibilmente presentare un rischio elevato, le aziende devono dapprima effettuare una valutazione dei rischi (valutazione d’impatto sulla protezione dei dati, art. 35). In caso di attività di monitoraggio regolare, sistematica e su larga scala oppure in caso di trattamento su larga scala di dati sensibili (artt.- 37-39) le aziende sono obbligate a dotarsi di un responsabile della protezione dei dati (RPD o anche Data Protection Officer, DPO), scegliendo se formare del personale internamente oppure rivolgersi ad agenzie esterne. Le aziende titolari o responsabili del trattamento che non sono stabilite nell’UE, ma comunque soggette al GDPR, devono nominare un rappresentante nell’UE (art. 27). La mancata nomina di tale rappresentante comporta una multa fino a 10 milioni di euro (art 27 e art. 83 par. 4).
Le aziende titolari o responsabili del trattamento che non sono stabilite nell’UE, ma comunque soggette al GDPR,
devono nominare un rappresentante nell’UE. La mancata nomina di tale rappresentante comporta
una multa fino a 10 milioni di euro.
E la Svizzera come si adatta?
Anche la Confederazione si sta muovendo di pari passo con il nuovo regolamento europeo GDPR. È infatti attualmente in corso la revisione della Legge federale sulla protezione dei dati (LPD) per renderla compatibile con il diritto UE. La Commissione delle istituzioni politiche del Consiglio nazionale desidera tuttavia che la revisione avvenga per tappe. Si dovranno dapprima effettuare i necessari adeguamenti al diritto europeo e, successivamente, si potrà procedere alla revisione totale della legge sulla protezione dei dati. Dal fronte svizzero bisognerà quindi attendere l’esito dell’iter politico, che richiederà ancora parecchio tempo.
Disclaimer: questo articolo ha unicamente scopo informativo e non può in nessun caso essere considerata parere legale o consulenza professionale. Si declina ogni responsabilità per eventuali danni causati da errori od omissioni.