Il Conseil National e il Conseil des États hanno finalmente approvato, dopo un lungo iter normativo, iniziato nel 2017, la nuova legge federale svizzera in materia di data protection. La legge ha introdotto anche una nuova fattispecie di reato, il furto di identità, fattispecie che ricorre allorquando un soggetto utilizzi l’identità di un’altra persona senza il suo consenso, con l’intenzione di danneggiarla o di ottenere o procurare un vantaggio illegale a terzi.
La nuova legge sostituirà quella in vigore dal 1992. La Svizzera, anche prima della novità normativa in questione, era tra i Paesi con un livello “adeguato” di tutela e, quindi, tra quelli verso i quali sono consentiti i trasferimenti dei dati personali dall’Unione europea.
Fortissima è l’influenza del Regolamento privacy (GDRP) sul testo approvato, a partire dalla terminologia adoperata: un esempio è rappresentato dalla locuzione “titolare del trattamento” che sostituisce il maître du fichier (gestore del file o dell’archivio).
Le novità della legge federale svizzera in materia di data protection
Partendo dall’ambito di applicazione, i dati delle persone giuridiche non rientreranno più nell’alveo dei dati personali. Sul piano operazionale, il titolare sarà tenuto all’adozione e alla tenuta di un registro del trattamento; dovrà adottare una valutazione di impatto in caso di trattamenti che presentino particolari rischi; segnalare all’autorità di controllo (Préposé fédéral à la protection des données et à la transparence) eventuali violazioni dei dati personali. Si prevede, inoltre, che il titolare nomini un rappresentante in Svizzera nel caso di società stabilite al di fuori dei confini nazionali.
Per quanto riguarda i diritti degli interessati, il nuovo testo introduce, sulla falsariga del GDPR, il diritto alla portabilità, nonché il diritto di non essere sottoposto a una decisione basata unicamente su di un trattamento automatizzato.
La legge nuova legge svizzera, inoltre, dispone che il titolare si attenga ai principi di privacy by design e privacy by default e preveda la minimizzazione nel trattamento dei dati. Infine, ampliati risultano i poteri dell’autorità di controllo, che potrà svolgere attività ispettive e adottare decisioni vincolanti.
La legge, tuttavia, non è ancora esecutiva. Occorrerà attendere le ordinanze applicative, che saranno oggetto di consultazione tra la fine del 2020 e l’inizio del 2021. È probabile, quindi, che l’entrata in vigore slitterà all’inizio del 2022.
