Contesto
Lo scopo della LPDP è di proteggere i diritti fondamentali, in particolare la personalità e la sfera privata, delle persone i cui dati vengono elaborati dagli organi pubblici (art. 1 LPDP).
Per organi pubblici, va inteso il Cantone, i Comuni, le altre corporazioni e istituti di diritto pubblico e i loro organi. A questi sono parificate le persone fisiche e giuridiche di diritto privato, cui siano delegati compiti di diritto pubblici (art. 3 LPDP).
La revisione totale della LPDP s’inserisce nel processo generale attuato dalla Svizzera volto a modernizzare e adeguare il suo quadro giuridico sia all’evoluzione tecnologica e sociale che alle norme internazionali in ambito protezione dei dati, in particolare:
- Modernizzazione della legge sulla protezione dei dati di cui la nuova versione entrerà in vigore il 1° settembre 2023;
- Attuazione della trasposizione della Direttiva (UE) 2016/680 del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento, e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati;
- Recepimento del protocollo di emendamento alla Convenzione STE 108 del Consiglio d’Europa (protocollo di emendamento 223 detto anche Convenzione 108+);
- Adeguamento al GDPR soprattutto per il tema di trasferimento di dati transfrontalieri.
Questo processo di modernizzazione e di adeguamento delle norme svizzere (federale e cantonale) alle norme internazionali è essenziale per il rinnovo della decisione di adeguatezza rilasciata dalla Commissione UE e pertanto permetterà alla Svizzera di continuare ad usufruire di una posizione competitiva sul mercato UE ed evitare che sia compromessa la cooperazione giudiziaria in materia penale.
Questa revisione della LPDP non è stata la prima2, in effetti quest’ultima è già stata oggetto di diverse revisioni volte alla sua modernizzazione e al suo adeguamento a norme internazionali: la prima volta nel 1999, in concomitanza con la legge sulla protezione dei dati elaborata dalla polizia cantonale e comunale (LPDP Pol), una seconda volta nel 2008 che si è resa necessaria a seguito degli impegni internazionali assunti dalla Svizzera (associazione della Svizzera alla normativa di Schengen e Dublino e dell’adesione al protocollo aggiuntivo della convenzione n. 108 del Consiglio d’Europa) e una terza volta nel 2015 che ha consentito l’adozione di norme cantonali quadro sulla videosorveglianza degli spazi pubblici organizzata dai Comuni.
I nuovi obblighi della nuova LPDP
La nuova impostazione del diritto cantonale della protezione dei dati introduce nei confronti degli organi pubblici (titolari dell’elaborazione dei dati) degli obblighi svolti a migliorare la trasparenza dei trattamenti dei dati rinforzando la consapevolezza del cittadino in merito sia all’insieme di elaborazione di dati che lo concernano che all’esercizio dei suoi diritti (che rimangono sostanzialmente invariati).
Sui nuovi obblighi l’incaricato Cantonale alla protezione dei dati ha pubblicato sul proprio sito tutta una seria di documenti e di spiegazioni3.
I nuovi obblighi introdotti dalla LPDP sono:
- Obbligo d’informazione rinforzato in occasione della raccolta di dati che concretizza i principi di buona fede e di trasparenza soprattutto laddove i dati non siano raccolti presso la persona interessata (obiettivi perseguiti anche dalla nLPD);
- Prova della protezione dei dati, il cosiddetto principio della responsabilità. Il titolare dell’elaborazione ma anche tutta la catena di organi o terzi coinvolti nell’elaborazione dei dati dovranno essere in grado di comprovare, in ogni momento, che l’elaborazione dei dati avviene in conformità con il diritto sulla protezione dei dati;
- Valutazione d’impatto sulla protezione dei dati nei casi in cui un’elaborazione può presentare un rischio elevato per i diritti e le libertà fondamentali delle persone interessate indipendentemente del fatto che esista o meno una base legale per l’elaborazione dei dati;
- Obbligo di auto-segnalazione in caso di violazione della protezione dei dati che implica un grave rischio per la protezione dei dati sia all’incaricato che alle persone interessate. L’informazione è inoltre obbligatoria quando le persone interessate possono prendere le misure necessarie per evitare un pregiudizio.
- Oltre a questi nuovi obblighi, il nuovo testo della LPDP prevede anche un ampliamento della norma sulle definizioni, così come un rafforzamento delle competenze e del modo di intervento dell’Incaricato cantonale alla protezione dei dati.
Per quanto riguarda le altre disposizioni della LPDP, ossia i motivi giustificativi, i principi di trattamento, l’obbligo di consultazione preventiva dell’incaricato, le misure di sicurezza, l’elaborazione su mandato, la trasmissione dei dati all’estero, i diritti delle persone interessate e il registro delle elaborazioni dei dati dei titolari sul registro centrale dell’Incaricato, esse rimangono sostanzialmente invariate.
A che punto sono gli altri Cantoni
Come indicato sopra, la modernizzazione e l’adeguamento della normativa svizzera in ambito protezione dei dati agli standard internazionali vincola anche i Cantoni e pertanto tutti i Cantoni svizzeri stanno attualmente lavorando all’adeguamento della loro rispettiva normativa sulla protezione dei dati. A tale riguardo, la Conferenza degli incaricati svizzeri per la protezione dei dati (PRIVATIM) ha pubblicato il 27 giugno 2023 una panoramica dello stato di avanzamento dei lavori di adattamento4.
Dalla panoramica fornita si constatano delle disparità che potrebbero essere un punto dolente nel processo globale di adeguamento.
