Con l’entrata in vigore, il 1° settembre 2023, della nuova Legge Federale sulla Protezione dei Dati (nLPD; RS 235.1) e dell’Ordinanza sulla protezione dei dati (OPDa; RS 235.11), la Svizzera ha compiuto un importante passo verso la modernizzazione del proprio sistema giuridico in materia di trattamento dei dati personali. L’obiettivo dichiarato del legislatore è stato quello di rafforzare i diritti degli interessati, promuovere la trasparenza e assicurare la compatibilità con il diritto europeo (in particolare il GDPR), pur mantenendo la sovranità giuridica svizzera.
⚖️ Struttura e principi fondamentali della nLPD
La nLPD si basa su alcuni principi generali consolidati:
- Trasparenza e buona fede nel trattamento dei dati (art. 6 nLPD)
- Finalità determinata e proporzionalità del trattamento
- Sicurezza dei dati e prevenzione dei rischi
- Responsabilità del titolare (senza però un principio espresso di accountability come nel GDPR)
La legge tutela solo i dati personali delle persone fisiche, escludendo quelli delle persone giuridiche (a differenza della versione precedente). L’insieme delle disposizioni si applica sia al settore privato sia agli organi federali.
🧾 Obblighi per le imprese: chiarezza e flessibilità
Uno degli aspetti più discussi riguarda l’obbligo di tenuta del registro delle attività di trattamento (art. 12 nLPD e art. 24 OPDa). Contrariamente a una prima impressione, l’obbligo non è assoluto:
Le imprese con meno di 250 dipendenti sono esonerate da tale obbligo, a meno che effettuino trattamenti ad alto rischio per i diritti fondamentali delle persone interessate (es. profilazione sistematica, sorveglianza, dati sensibili).
Questo approccio introduce una forma di proporzionalità regolatoria, pur richiedendo un’attenta autovalutazione da parte dell’impresa.
Altri obblighi rilevanti:
- Informativa trasparente al momento della raccolta dei dati (art. 19)
- Valutazione d’impatto sulla protezione dei dati (DPIA) in caso di rischio elevato (art. 22)
- Notifica di violazioni di sicurezza (data breach) all’Incaricato federale, “il prima possibile” (art. 24)
- Garanzie contrattuali nei trasferimenti verso Paesi terzi (art. 16)
🔎 Nodi giuridici e osservazioni applicative
1. Sanzioni e responsabilità personale
Le sanzioni previste dalla nLPD sono penali e personali: fino a CHF 250’000 nei casi gravi, e applicate alle persone fisiche, non direttamente alle imprese (art. 60 ss.). Questo crea una situazione peculiare: è il dirigente, funzionario o collaboratore a risponderne, salvo che non si possa identificare il responsabile, nel qual caso la sanzione può essere trasferita alla persona giuridica (art. 64).
Questa impostazione, pur coerente con l’ordinamento penale svizzero, può generare incertezze operative all’interno delle aziende.
2. Interpretazioni aperte e assenza di una giurisprudenza consolidata
Termini come “al più presto possibile” (art. 24) o “trattamenti ad alto rischio” (art. 22) non sono ancora ben definiti nella prassi. L’assenza, al momento, di linee guida interpretative ufficiali da parte dell’Incaricato federale complica la valutazione ex ante del rischio giuridico.
3. Trasferimenti internazionali e valutazione di adeguatezza
Le imprese che trasferiscono dati all’estero devono verificare che il Paese di destinazione offra un livello di protezione adeguato. Sebbene esista una lista redatta dalla Confederazione, il monitoraggio di questi standard è a carico del titolare, e ciò può risultare oneroso per le PMI.
👥 Diritti delle persone interessate: accesso, portabilità, opposizione
La nuova legge rafforza i diritti individuali, prevedendo:
- Diritto d’accesso (art. 25)
- Diritto alla portabilità dei dati
- Diritto di opposizione a trattamenti automatizzati o non proporzionati (art. 21)
Tuttavia, l’effettività di tali diritti dipende da fattori extragiuridici:
- Bassa consapevolezza del pubblico
- Tempi e modalità di risposta non codificati con precisione
- Timore di ritorsioni o conflitti nei rapporti contrattuali
- Assenza di un’autorità con poteri coercitivi equivalenti alle autorità garanti europee
È quindi plausibile che molti cittadini non esercitino attivamente i propri diritti, pur avendone pieno titolo.
⚖️ Pro e contro della nuova LPD
✅ Allineamento agli standard europei (mantenimento dell’adeguatezza UE)
⚠️ Responsabilità penale personale non sempre compatibile con la struttura aziendale
✅ Rafforzamento dei diritti degli interessati
⚠️ Ambiguità di alcuni concetti giuridici chiave (es. “alto rischio”)
✅ Proporzionalità per microimprese su obblighi documentali
⚠️ Mancanza di un obbligo generalizzato di nomina del DPO
✅ Maggiore attenzione alla trasparenza e alla sicurezza
⚠️ Onere valutativo elevato nei trasferimenti extra-CH
✅ Ruolo chiaro dell’IFPDT come autorità centrale
⚠️ Mancanza di poteri ispettivi/sanzionatori equivalenti alle autorità europee
📝 Conclusione
La nuova LPD rappresenta un’evoluzione necessaria, equilibrata e rispettosa della tradizione svizzera, ma che richiede ancora chiarimenti interpretativi e accompagnamento pratico per essere pienamente efficace.
La legge, se correttamente applicata, può diventare uno strumento di fiducia tra imprese, clienti e cittadini, valorizzando il rispetto per la persona nella gestione dei dati.
📌 Se desideri comprendere meglio come applicare la nLPD in modo coerente e sostenibile, anche nella tua PMI, puoi contattarci direttamente o visitare il nostro sito: www.sbgs.ch
Contatto: info@sbgs.ch
