La LPD, compatibilmente con il diritto europeo, intende tutelare i dati personali delle persone fisiche attraverso una maggiore trasparenza nei confronti delle persone interessate e la responsabilizzazione (principio di accountability) delle aziende (Data Controller o Data Processor del trattamento) con conseguenti obblighi di legge nei loro confronti e sanzioni in caso di violazione o di inadempienze. La Legge Federale sulla protezione dei Dati ha al suo interno 74 articoli, 10 Capitoli e diverse Sezioni. Le disposizioni esecutive dell’LPD sono contenute in un paio di ordinanze: quella sulla protezione dei dati (OPDa), e quella sulle certificazioni in materia di protezione dei dati (OCPD).
Come il GDPR che si applica ad aziende svizzere che offrono beni o prestazioni di servizi nell’UE, anche l’LPD si applica alle aziende nazionali e a quelle estere che operano nel mercato svizzero o il cui trattamento dei dati ha effetti in Svizzera. Anche la legge elvetica sulla protezione dei dati non si applica al trattamento di dati personali di persone fisiche per uso esclusivamente personale. Vengono poi mensionati i dati personali “degni di particolare protezione” che sono assimilabili alla nostra categoria di dati particolari (ovvero gli ex sensibili). Inoltre, come i principi di privacy by design e by default del GDPR, anche nell’LPD la protezione dei deve essere garantita già nella progettazione del trattamento.
La figura del “consulente per la protezione dei dati” cioè un interlocutore tra le persone interessante e l’Autorità federale, è assimilabile al DPO del GDPR. Viene poi previsto analogo meccanismo di notifica della violazione di dati come il data breach di cui al GDPR. Il capitolo 4 tratta dei diritti della persona interessata identici a quelli previsti dal GDPR. In ultimo, l’interessato può esercitare il diritto “di farsi consegnare dati o esigerne la trasmissione a terzi” il che rimanda al principio di portabilità di cui al GDPR.
Alcuni tratti, tuttavia, sono caratteristici. Ad esempio, la LPD vale tanto per la Svizzera quanto per l’estero. Le pene appaiono, inoltre, decisamente più severe rispetto al GDPR per quanto anche in questo caso difettino i minimi edittali degli obblighi di diligenza, del segreto, delle decisioni e delle infrazioni aziendali. Non sono poi previsti requisiti minimi di sicurezza rigidi validi per tutti ma criteri di base utili per valutare il danno e definire dei provvedimenti.
Altri punti sono invece peculiari come l’ipotesi di “infrazioni commesse nell’azienda” per cui possono essere sanzionati anche i dirigenti di un’azienda in caso di “infrazione” alla normativa, con una multa fino a 50.000 franchi, ipotesi non prevista nel GDPR per le aziende italiane ed europee.
(C.D.G.)
