Uno degli errori più grossolani che potresti commettere, come titolare di un business e come responsabile del trattamento dei dati personali dei tuoi clienti, è pensare che essere GDPR compliant ti metta al riparo da qualsiasi possibile violazione – specie nei confronti dei Paesi extra UE. È un discorso, questo, che interessa molto da vicino la Svizzera, che molti sono erroneamente portati a considerare parte dell’Unione Europea in ragione della sua prossimità territoriale con gli Stati membri. Lo è ancor di più da quando è entrato in gioco il nuovo GDPR Svizzera, che merita senz’altro la nostra e la tua attenzione.
Già, perché parlare di trasferimento dati da e verso la Svizzera, nel momento in cui si fa riferimento a rapporti di natura commerciale coinvolgenti questo Paese, ha richiesto un surplus di impegno a partire dall’1 gennaio 2022. Con l’inizio dell’anno nuovo, infatti, è entrata in vigore la nuova legge federale sulla protezione dei dati, adottata il 25 settembre 2020.
I cambiamenti introdotti da questa normativa impongono di valutare come e in che direzione prendere atto delle novità e introdurle all’interno dell’azienda per essere sicuri di mostrare un atteggiamento compliant, lontano dal rischio di sanzioni.
In particolare, i punti salienti di questa analisi riguarderanno:
- le caratteristiche del GDPR Svizzera;
- le novità introdotte dalla nuova legge privacy svizzera;
- il trasferimento dati da e verso la Svizzera.
CONTENUTO DELL'ARTICOLO
Le caratteristiche del GDPR Svizzera
La nuova legge federale sulla protezione dei dati personali (LPD) della Svizzera – più comunemente chiamata GDPR Svizzera – è la normativa nazionale che, adottata nel settembre 2020 ed entrata in vigore il 1° gennaio 2022, ha recepito i dettami del Regolamento europeo 679/2016.
Nel farlo, per alcuni versi ha mantenuto una linea perfettamente sovrapponibile a quella adottata dalla normativa GDPR e, per altri, ha apportato delle modifiche.
Sotto il primo profilo, la Svizzera ha deciso di adottare tali e quali le indicazioni del Regolamento europeo in tema di:
- miglioramento della trasparenza e rinforzo della tutela dei diritti dei soggetti coinvolti;
- rafforzamento dell’attività di controllo sulla protezione dei dati personali;
- promozione di un’attività di prevenzione delle violazioni in materia di dati personali;
- promozione della responsabilità dei soggetti coinvolti nel trattamento dei dati personali.
Tale adeguamento garantisce una maggiore semplicità in fase di allineamento per un’impresa che voglia intrattenere rapporti commerciali con la Svizzera, che comportino il trasferimento di dati personali. Semplicità non significa, tuttavia, assenza di complicazioni giacché, come anticipavamo, accanto a questo processo avvenuto senza frizioni, se n’è affiancato un altro che ha comportato l’aggiunta di alcune modifiche delle quali è necessario tenere debitamente conto.
Ascolta il podcast
Le novità introdotte dal GDPR Svizzera
La legge privacy svizzera ha colto al balzo l’occasione per mettere al vaglio e, in seconda battuta, innestare tutta una serie di peculiarità relative al trattamento dei dati personali, che si discostano parzialmente dal dettato del regolamento GDPR. Motivo per il quale ogni azienda che operi a livello internazionale – o che, più nello specifico, intrattenga rapporti con la Svizzera – dovrebbe tenersi aggiornata ed assicurarsi di essere non soltanto GDPR compliant ma anche GDPR Svizzera compliant.
Per quanto riguarda le novità introdotte dalla legge federale svizzera per la protezione dei dati personali in dettaglio, vale la pena svolgere una segnalazione accurata che sappia enuclearle in modo sufficientemente esaustivo.
Ricorso a una terminologia specifica e altamente descrittiva
Il primo passo è stato compiuto dall’Incaricato Federale della Protezione dei Dati e della Trasparenza attraverso l’introduzione di una terminologia mai utilizzata prima, dal carattere fortemente descrittivo. L’obiettivo è stato sin dall’inizio quello di fornire nuovi punti di riferimento ai titolari dei dati personali e ai responsabili del loro trattamento, in modo da rendere più agevole e chiara la delineazione del rapporto.
Tra i termini di nuova introduzione troviamo:
- “registro dei trattamenti” per le imprese con più di 250 impiegati;
- “valutazione d’impatto” in tutti quei casi in cui il trattamento dei dati personali può esitare in un rischio molto elevato per la personalità o per i diritti fondamentali del titolare;
- “privacy by design and by default” con l’obiettivo di garantire che il rispetto delle norme relative al trattamento dei dati avvenga sin dalle fasi di progettazione.
È evidente come questi elementi di novità abbiano avvicinato molto la Svizzera agli altri Stati membri sotto il profilo del trattamento previsto in materia di dati personali.
Corso sulla Privacy e Gdpr
24 lezioni teoriche e pratiche sul Gdpr
Con questo corso potrai imparare, tra l’altro:
- Tutti gli aspetti fondamentali del R.U. 679/2016
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Il nostro corso esclusivo su tutto quello che ti serve sapere gestire la privacy sui tuoi asset digitali in modo legale ma anche performante al fine di evitare multe salate e problemi con gli utenti e clienti.
Ipotesi di sicurezza informatica e rischio elevato
Per non mancare di esaustività, la legge privacy svizzera ha valutato di inserire nel novero delle possibilità alcune ipotesi relative alla sicurezza informatica e al rischio elevato per il titolare di c.d. dati particolari. Di conseguenza, ha previsto anche delle modalità di intervento.
Per quanto riguarda la sicurezza informatica, come sappiamo, questa assume un ruolo centrale all’interno dell’asset aziendale. Proteggere le informazioni acquisite è indispensabile sia per la società stessa sia per i clienti che hanno fatto affidamento su di essa. Un’azienda che non sappia trasmettere un certo livello di sicurezza, invero, è un’azienda destinata a non convertire.
Il Consiglio Federale Svizzero ha, pertanto, previsto l’adeguamento a degli standard minimi obbligatori e alle raccomandazioni del framework NIST, nel rispetto della LPD.
Per quanto riguarda le ipotesi di rischio elevato, invece, il GDPR Svizzera ha stabilito che l’informativa da rilasciare ai titolari dei diritti debba essere più esaustiva, specie nel caso in cui si sia in presenza di soggetti cui spetta la titolarità dei c.d. diritti particolari – cioè, diritti che meritano una tutela particolare, appunto. In questo caso, il trattamento può avvenire soltanto con il consenso dell’interessato.
Nomina di un Rappresentante del titolare del trattamento
Un’azienda italiana che operi su suolo svizzero o i cui effetti dell’attività commerciale si producano in Svizzera dovrà fare molta attenzione per comprendere quale normativa adottare e in che modo muoversi per evitare di incorrere in sanzioni.
Il presupposto, in ogni caso, è che ogni Titolare abbia il diritto di essere rappresentato e agevolato nell’esercizio dei propri diritti su suolo diverso da quello in cui è domiciliato.
Per questa ragione, il GDPR privacy svizzero prevede la nomina di un Rappresentante del titolare del trattamento. Si tratta di una figura – solitamente designata da titolari privati che abbiano sede o domicilio fuori dalla Svizzera – che funge da interlocutore con l’Autorità e con i titolari dei diritti e che, nel modello elvetico, è obbligato a tenere una copia del registro delle attività di trattamento.
La nomina di questa figura facilita il contatto tra il Titolare e l’IFPTD, rendendo più semplice lo scambio di informazioni tra le parti.
Previsione di sanzioni con ammende amministrative
La Svizzera non scherza e, se c’è una violazione, c’è sicuramente una sanzione pronta ad attendere il trasgressore. Rispetto al Regolamento europeo privacy, il GDPR Svizzera ha previsto delle sanzioni con ammende amministrative che si discostano nei massimali.
In particolare, la legge privacy svizzera ha previsto un tetto massimo di 250.000 franchi rispetto ai 20 milioni della normativa GDPR. Inoltre, ha stabilito che la sanzione possa ricadere direttamente sulla persona fisica e non necessariamente sull’azienda, laddove il Regolamento europeo privacy prevede una responsabilità in capo all’Ente. Sarà l’azienda a risponderne soltanto se la sanzione non supererà i 50.000 franchi.
A occuparsi del pagamento delle sanzioni sarà l’autorità penale e non l’Incaricato Federale.
Il trasferimento dati da e verso la Svizzera
Abbiamo già visto che essere GDPR compliant può non bastare, se hai un’azienda e pensi di intrattenere rapporti con la Svizzera. Dal 1° gennaio 2022, le cose sono cambiate ed è nostro compito metterti in guardia sulla necessità di prestare attenzione, specie quando si tratta di trasferire i dati da e verso la Svizzera.
In questo caso, infatti, bisogna capire quale normativa viene applicata, se e quando è il caso di nominare un Responsabile del trattamento e come funziona questo particolare intreccio di regolamenti in cui ti sembra così facile perdere la rotta.
Il modo migliore per procedere è con calma e con metodo. Quindi, seguici e vedrai che le cose si faranno meno nebulose a mano a mano che andremo avanti insieme.
Guida gratuita GDPR
39 pagine formative gratuite sul GDPR
SFOGLIA L’ANTEPRIMA
Una Guida esclusiva di 39 pagine per adeguarti al GDPR, evitare sanzioni e aumentare le tue performance legali.
Lo strumento gratuito migliore per affacciarsi al mondo del GDPR!
Il trasferimento dei dati verso la Svizzera
Partiamo da un presupposto: la Svizzera è considerata dall’UE un Paese capace di garantire un adeguato livello di sicurezza nella trasmissione e protezione dei dati. Questo significa che l’invio dei dati in Svizzera può avvenire senza che sia necessaria la richiesta di un previo consenso all’Autorità.
Tanto è valido se a procedere all’invio è il Titolare dei dati (ovvero l’azienda) con sede in Europa. Ad esempio, poniamo il caso che tu sia il cliente di uno studio legale con sede a Milano. Se lo studio legale inviasse i tuoi dati a un altro studio legale in Svizzera nel rispetto del RGDPR, potrebbe farlo in modo pienamente legittimo proprio in quanto Titolare.
Diverso è il caso in cui ad azzardare l’invio sia l’interessato (ovvero il cliente finale). Per ritornare all’esempio di prima, se fossi tu a tentare l’invio dei dati in Svizzera nei confronti di un altro studio legale, quest’ultimo sarebbe obbligato ad applicare il GDPR in ossequio al disposto dell’art. 3 e tu dovresti nominare un Responsabile del trattamento.
In caso contrario, ci sarebbe una violazione della legge privacy con tutto ciò che questo comporta a livello sanzionatorio.
Il trasferimento dati dalla Svizzera
Non stupirà apprendere che gli scenari sono 2 anche nel caso del trasferimento dati dalla Svizzera. Tutto dipende, infatti, dall’ubicazione del luogo in cui vengono raccolti i dati. A seconda di questo fattore, si decide se applicare la normativa europea ovvero se applicare quella svizzera.
In particolare, le ipotesi sono le seguenti:
- se il dato è inviato da un cittadino svizzero e inviato in uno dei Paesi dell’Unione Europea, si applicherà il RGDPR;
- in caso contrario, si applicherà il GDPR Svizzera.
È da sottolineare come la legge privacy svizzera sia molto permissiva nei confronti degli Stati membri UE, che vengono considerati tutti idonei al trasferimento di dati. Ne è dimostrazione il fatto che la normativa elvetica non richieda alcuna notifica all’Autorità.
Conclusioni sul GDPR Svizzera
Al termine della presente disamina, il risultato che emerge è di un forte allineamento della Svizzera con la normativa europea – circostanza che aiuta a mantenere un flusso di contatto sempre più agevole tra i Paesi a livello commerciale e non solo.
Questo non significa ovviamente che si possa abbassare la guardia. Esistono comunque delle differenze che vale la pena conoscere, tenere in considerazione e alle quali attenersi per evitare di incorrere in sanzioni e, soprattutto, per evitare problemi a clienti e dipendenti.
Nel caso in cui ti trovassi ancora disperso nel mare magnum delle normative e volessi un aiuto su come orientarti per non commettere errori con la tua azienda, noi di Legal For Digital siamo qui per te.
Noi ci mettiamo la bussola e l’esperienza, tu la fiducia.
E, d’un tratto, navigare non ti sembrerà più così spaventoso.
Brunella Martino
Avvocato specializzato in privacy e proprietà intellettuale con 18 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, già componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie, Founder Legal for Digital studio dell'anno per il Sole 24 Ore e Corriere della Sera
L’accessibilità dei siti web: una guida per renderli inclusivi e conformi alla normativa
25 Marzo 2025Come rendere accessibile un sito web a livello legale senza perdere di performance
Leggi altro
⚖️ Informativa privacy: tutto quello che c’è da sapere
28 Aprile 2020L’informativa privacy è un documento che ha assunto un ruolo centrale con l’entrata in vigore del GDPR. Ti stupirà sapere, tuttavia, che il regolamento europeo privacy non utilizza mai l’espressione “informativa”. Disciplina, invece, le informazioni che l’interessato deve ricevere e che sono il fondamento per poter esercitare i suoi diritti.
Leggi altro
SMM e GDPR, strumenti per la gestione dei social a norma di legge
6 Marzo 2024La figura del social media manager ha un ruolo fondamentale nella strategia di marketing di quasi ogni azienda. Questa professione, attiva da tempo, si è dovuta adattare e trasformare con l’entrata in vigore del GDPR.
Leggi altro