La Commissione Europea ha dichiarato, nel suo report del 15 gennaio scorso, che la legge svizzera sulla protezione dei dati soddisfa i requisiti del General Data Protection Regulation (GDPR) dell’Unione Europea; pertanto, per il trasferimento transfrontaliero dei dati tra Unione Europea e Svizzera non sono necessarie ulteriori garanzie.
Questa decisione apre nuove porte per un trasferimento più agevole e sicuro dei dati personali tra la Svizzera e i paesi membri dell’UE.
Va comunque sottolineato che la Svizzera è considerato da molti anni un Paese sicuro verso cui trasferire i dati e dunque questa decisione di adeguatezza non fa che confermare gli elevati standard della legge elvetica, che oggi sono sostanzialmente equiparati a quelli europei.
Questo allineamento non è solo una questione di conformità legale, ma riflette anche un impegno più ampio verso la salvaguardia dei diritti dei cittadini nell’era digitale. Grazie a questo riconoscimento, le imprese svizzere potranno operare in un contesto europeo con maggiore facilità, beneficiando di un flusso di dati transfrontaliero più fluido e privo di ostacoli burocratici. La convergenza delle norme sulla privacy tra Svizzera e UE è un passo importante verso la creazione di uno spazio economico più integrato e sicuro (dal momento che si tratta di un “riconoscimento” reciproco) e questa decisione non solo semplifica le operazioni commerciali transfrontaliere, ma rafforza anche la fiducia dei consumatori nella protezione dei loro dati personali. Del GDPR e della sua applicazione tratta nel dettaglio il volume “Formulario commentato della privacy”, a cui rimandiamo per approfondimenti.
Indice
1. Che cos’è una decisione di adeguatezza. Il precedente USA
Una decisione di adeguatezza europea è un meccanismo legale stabilito dalla Commissione Europea che valuta se un paese non membro dell’UE offre un livello adeguato di protezione dei dati personali. Se un paese è ritenuto adeguato, i dati personali possono essere trasferiti da paesi dell’UE a quel paese senza ulteriori salvaguardie legali.
Un esempio significativo è il caso USA, che ha avuto una storia complessa riguardo alla protezione dei dati con l’UE. Inizialmente, l’accordo Privacy Shield regolava il trasferimento dei dati oltreoceano (e prima ancora il Safe Harbour), ma dopo le note sentenze Schrems e Schrems II, che hanno sollevato preoccupazioni sulla protezione dei dati degli europei negli Stati Uniti, il trasferimento è rimasto per anni in un limbo da cui solo recentemente, con l’accorso USA-UE (ne abbiamo parlato in questo articolo) è riuscito a uscire.
Potrebbero interessarti anche:
2. Le sentenze Schrems e Schrems 2
La sentenza, Schrems I, del 6 ottobre 2015 (Causa C-362/14), ha invalidato l’accordo Safe Harbor tra UE e USA, mentre Schrems II, del 16 luglio 2020 (Causa C-311/18), ha invalidato il successore di Safe Harbor, il Privacy Shield. Entrambe le sentenze, che prendono il nome dall’attivista per i dati personali Maximilien Schrems, sono state basate su preoccupazioni riguardo l’accesso e l’utilizzo dei dati personali degli europei da parte delle autorità statunitensi, ponendo in dubbio la conformità degli Stati Uniti agli standard di privacy europei.
Dopo la sentenza Schrems II, ci sono stati sviluppi significativi riguardo alla decisione di adeguatezza tra l’Unione Europea e gli Stati Uniti. Il 7 ottobre 2022, il Presidente degli Stati Uniti Joe Biden ha firmato un ordine esecutivo per rafforzare le salvaguardie relative alle attività di intelligence segnali degli Stati Uniti, creando le basi per una nuova decisione di adeguatezza. Questo ordine esecutivo e un regolamento successivo emesso dall’Attorney General degli Stati Uniti hanno cercato di affrontare le preoccupazioni sollevate dalla sentenza Schrems II.
In seguito, il 10 luglio 2023, la Commissione Europea ha adottato una nuova decisione di adeguatezza per il quadro di protezione dei dati EU-USA (qui l’articolo per approfondire). Questa decisione stabilisce che gli Stati Uniti offrono un livello adeguato di protezione per i dati personali trasferiti dalle aziende dell’UE alle aziende statunitensi nell’ambito del nuovo quadro. Per garantire la conformità, le aziende statunitensi devono auto-certificare il loro impegno a rispettare determinati obblighi sulla privacy attraverso il sito web del Data Privacy Framework Program e impegnarsi pubblicamente a rispettare i principi del quadro. Questi requisiti includono la divulgazione pubblica delle politiche sulla privacy, la limitazione delle informazioni personali a ciò che è rilevante per gli scopi di elaborazione, il rispetto delle disposizioni di conservazione dei dati e l’informazione agli individui sui loro diritti.
Tuttavia, ci sono state anche preoccupazioni riguardo alla robustezza del quadro, in particolare in merito alla raccolta indiscriminata di dati da parte delle autorità di intelligence e alla mancanza di adeguati meccanismi di ricorso. Queste preoccupazioni hanno portato a speculazioni su possibili sfide legali future per il quadro, simili a quelle affrontate dai suoi predecessori.
3. La legge svizzera sulla protezione dei dati
La legge svizzera sulla protezione dei dati, conosciuta come nLPD era già stata significativamente rivista per allinearsi meglio al General Data Protection Regulation (GDPR) dell’Unione Europea. La revisione, che ha avuto luogo il 25 settembre 2020, mirava a garantire un alto livello di protezione dei dati in risposta alle nuove tecnologie e ai cambiamenti normativi internazionali, inclusi quelli intrapresi dall’UE e dal Consiglio d’Europa. Il 26 luglio 2000, la Svizzera aveva ricevuto una decisione di adeguatezza dall’UE, che è stata riconfermata nel rapporto del 15 gennaio scorso.
Punti specifici della legge svizzera:
- In merito al principio di liceità, il “motivo giustificativo” in Svizzera viene richiesto in presenza di un trattamento illecito, ossia un trattamento che rappresenti una violazione della personalità;
- Il cosiddetto Incaricato federale (IFPD) non potrà emettere sanzioni amministrative di natura pecuniaria, ma si limiterà ad adottare misure quali la modifica o la sospensione del trattamento o addirittura la cancellazione dei dati;
- In merito al DPO, figura nuova e fondamentale introdotta in Europa dal GDPR, non sarà obbligatoria la sua nomina nel settore privato. Tuttavia, la nomina di un DPO esclude la necessità di una consultazione preventiva con l’IFPD (l’Autorità Garante elvetica) per trattamenti dati considerati “ad alto rischio”, dopo aver effettuato un’analisi d’impatto sulla protezione dei dati (DPIA);
- In caso di violazioni commesse all’interno delle aziende (articolo 64), è possibile sanzionare anche i dirigenti per “infrazioni” alla normativa, con multe fino a 50.000 franchi svizzeri.
Infine, l’art. 27 della legge svizzera introduce una nuova figura: il Rappresentante nell’Unione del titolare o responsabile del trattamento. Questa figura professionale, definita dal GDPR, agisce per conto e rappresenta il titolare o responsabile del trattamento per gli obblighi conformi al GDPR.
Un punto critico è la scelta dello Stato membro in cui stabilire tale Rappresentante. L’articolo 27, paragrafo 3, del GDPR specifica che il rappresentante deve essere stabilito in uno degli Stati membri dove risiedono i soggetti interessati ai quali si offrono beni o servizi, o i cui comportamenti sono monitorati. Questo sottolinea l’importanza della scelta del luogo di trattamento.
In conclusione, ci si interroga se la regola stabilita dal GDPR si applichi ai casi trattati. La risposta sembra affermativa, ma si attendono applicazioni pratiche per confermare questa interpretazione. Del GDPR e della sua applicazione tratta nel dettaglio il volume “Formulario commentato della privacy”, a cui rimandiamo per approfondimenti.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento