Il regolamento generale sulla protezione dei dati (GDPR) coinvolge la Svizzera

Il regolamento generale sulla protezione dei dati inaugurerà una nuova era di leggi europee sulla protezione dei dati a maggio del prossimo anno. Il GDPR si applica a tutti gli stati membri dell'Unione Europea (compreso il Regno Unito). Il contenuto del regolamento generale sulla protezione dei dati dell'UE (GDPR) sostituisce il vecchio Data Protection Act del 1995.

L'obiettivo principale era quello di proteggere i diritti e la privacy degli utenti di Internet nei 28 paesi dell'UE. Allo stesso tempo, però, si dovevano stabilire dei limiti normativi per i "mostri di dati" - Google, Facebook, Amazon e simili - nell'area dell'UE.

Fino ad oggi, si è discusso molto sulle pene e le sanzioni per le violazioni, tra cui fino a 20 milioni di euro o il quattro per cento del fatturato globale annuale di una società, che anche una PMI negligente in Svizzera dovrebbe inforcare dal 2018.

In passato, il ruolo del responsabile della protezione dei dati era in gran parte indefinito. Questo perché la legge europea sulla protezione dei dati che esiste ancora oggi deriva da una direttiva UE del 1995: "I ruoli e i compiti della protezione dei dati non erano ancora presi in considerazione nella misura in cui il GDPR lo richiede oggi", spiega Katja Böttcher*, Legal & Compliance Project Manager. L'avvocato, specializzato in crimini dei colletti bianchi, ha coordinato per anni grandi progetti legali e di conformità.

Nuove istanze?

Solo circa dodici anni fa, la protezione dei dati era praticata esclusivamente in un "contesto informatico". Le prime persone a cui è stato dato il titolo informale di Data Protection Officer (DPO) di solito avevano un background informatico. Erano quelli che potevano capire, identificare e "proteggere" il flusso di dati computerizzati. Oggi, in un'epoca in cui la tecnologia domina così tanto le nostre vite, il ruolo e il compito di un DPO è cambiato significativamente.

"Se il ruolo di un compliance officer è considerato in generale e indipendentemente dalla nuova direttiva europea sulla protezione dei dati, questa funzione ha assunto contorni chiari nel corso degli ultimi anni", spiega Katja Böttcher.

La nuova revisione non riguarda solo la sicurezza dei dati o la visione dell'informatica, ma anche le competenze in materia di diritto del lavoro e molto altro. "Nel complesso, tuttavia, il compito può certamente essere descritto come molto complesso, in particolare per quanto riguarda la protezione internazionale dei dati. La sua gestione passerà sempre più nelle mani di responsabilità di compliance specializzate", dice l'avvocato svizzero.

Al fine di rispettare le direttive europee, il GDPR formula il ruolo di un DPO e obbliga anche il loro uso nelle aziende e nelle organizzazioni. In generale, tutte le aziende e le istituzioni pubbliche dovrebbero ottenere un DPO per rispettare la libertà d'informazione o i diritti umani in generale.

"Tuttavia, questo è molto variabile, a seconda delle dimensioni, del settore e dell'area di attività di un'azienda", sottolinea Katja Böttcher, esperto di conformità.

Diverse responsabilità

Fino ad ora, il capo di una piccola impresa o gli organi amministrativi sono sempre stati responsabili delle violazioni del dovere di diligenza. Recentemente, si è parlato anche di terzi "organi di fatto" come i controllori esternalizzati o i responsabili informatici o della sicurezza dei dati, che devono essere ritenuti strettamente responsabili. Le PMI svizzere devono ora aspettarsi conseguenze penali più severe?

"Gli organi o le funzioni responsabili hanno il compito di contrastare i rischi aziendali nel miglior modo possibile, minimizzando il rischio di responsabilità per l'azienda e, in definitiva, per le persone che agiscono", spiega l'avvocato. Lei mette questo in prospettiva: "Un responsabile dei dati è certamente necessario quando una violazione della protezione dei dati o la sicurezza dei dati è stata classificata come un rischio aziendale rilevante. Una PMI attiva a livello locale che serve come fornitore di pezzi di ricambio probabilmente non ha bisogno di un responsabile dei dati speciali, mentre un fornitore di un database aziendale sì".

I contabili senza una funzione di gestione o una responsabilità corrispondente possono, al massimo, violare il loro dovere di diligenza secondo il diritto del lavoro se non si attengono ai processi di lavoro specificati, ai regolamenti o alle istruzioni dirette. Lo stesso vale, naturalmente, per i dipendenti IT coinvolti (responsabilità della direzione: art. 754 OR, responsabilità dei dipendenti: art. 321e OR).

Un DPO non dovrebbe quindi mai essere visto come "l'unica autorità" per la protezione dei dati all'interno di un'organizzazione. Il DPO deve aiutare un'azienda o un'organizzazione a praticare la protezione dei dati a tutto campo e a rispettare gli obblighi legali - anche per quanto riguarda il rispetto della privacy dei dipendenti.

Linee guida legali

Secondo il GDPR, anche le organizzazioni pubbliche più piccole - per esempio, i comuni o le scuole pubbliche - potrebbero avere l'obbligo legale di pagare un DPO? In genere, i comuni svizzeri e persino le scuole non raccolgono e trattano i dati coperti dal GDPR. Le istituzioni pubbliche svizzere sono già soggette a severe direttive sulla protezione dei dati e sono controllate dall'incaricato federale o cantonale della protezione dei dati.

A questo proposito, la direttiva europea è obbligatoria solo per quelle organizzazioni le cui attività principali comportano "un monitoraggio regolare e sistematico dei dati su larga scala" o le cui attività comportano il trattamento di dati particolarmente sensibili - per esempio, i dati relativi all'origine etnica, alle credenze religiose, alla salute, alla vita sessuale o alle condanne penali.

Il GDPR ha un impatto sulla Svizzera ed è applicabile a quelle aziende che raccolgono e trattano i dati dei clienti e i dati personali dell'area UE, rispettivamente che sono accessibili dall'UE (ad esempio, homepage che creano valutazioni non anonime dei visitatori). Queste aziende devono rispettare le linee guida e potrebbero dover nominare un DPO.

Alcune linee guida, in parte utili, sono state prodotte dal gruppo di lavoro dell'articolo 29, un gruppo di rappresentanti delle autorità di protezione dei dati in tutta l'UE. Il GDPR descrive le strutture (qualità e doveri) di un DPO. Tra le altre cose, sono richieste le seguenti qualifiche:

1. Possibilità di azione "indipendente".
2. Indipendenza dalle istruzioni del datore di lavoro.
3. Conoscenza della legge sulla protezione dei dati.
4. Risorse sufficienti per realizzare i compiti.
5. Riferire direttamente al più alto livello di gestione.

Secondo l'articolo 29 delle linee guida, oltre alla qualifica, un DPO non deve evocare un conflitto di interessi. Tuttavia, alcune posizioni aziendali sono incompatibili con i compiti del DPO, tra cui per esempio il CEO, il CFO, ma anche i responsabili del marketing, delle risorse umane o dell'IT.

Altri principi guida ragionevoli spiegano, per esempio, che le "attività principali" critiche non implicano l'elaborazione di informazioni personali all'interno di un dipartimento HR - qualsiasi visione contraria porterebbe ogni azienda o dipartimento operativo ad avere bisogno di un DPO.

Ulteriori informazioni sulla revisione della legge sulla protezione dei dati:

www.edoeb.admin.ch

*Katja Böttcher è entrata in LALIVE nel 2015 come Legal Project Manager ed è responsabile del coordinamento dei grandi progetti legali e di conformità dello studio. Ha molti anni di esperienza nel campo delle indagini penali internazionali e delle indagini forensi. Prima di entrare in LALIVE, ha lavorato come responsabile di commissariato presso la Polizia Criminale Federale Svizzera e ha diretto un commissariato di investigazione finanziaria nella filiale di Zurigo.Responsabile della protezione dei dati o rappresentante?

La politica sulla privacy

Le direttive UE più severe sulla protezione dei dati sono un altro compito che deve essere preso in considerazione dalle funzioni di conformità pertinenti. Per le aziende che non sono stabilite nell'Unione Europea, ma alle quali il GDPR dell'UE si applica a causa dell'orientamento delle loro attività, c'è generalmente l'obbligo di nominare un rappresentante per la protezione dei dati.

Tuttavia, alla luce delle severe direttive svizzere sulla protezione dei dati (DSG) già esistenti, il cambiamento non dovrebbe essere fondamentale. A seconda dell'azienda, potrebbe non esserci bisogno di un responsabile della protezione dei dati specializzato; tuttavia, le aziende farebbero bene a nominare un rappresentante della protezione dei dati. La funzione principale del rappresentante per la protezione dei dati è quella di fornire alle autorità di controllo un accesso de facto al responsabile del trattamento dei dati all'interno dell'UE. (mm)