Il campo d’applicazione della nuova regolamentazione dell’Unione europea sulla protezione dei dati, entrata in vigore il 25 maggio 2018, è così vasto che molte imprese svizzere potrebbero esserne toccate. Presentazione delle principali sfide
Il nuovo Regolamento europeo sulla protezione dei dati (GDPR) entrata in vigore il 25 maggio 2018 in tutta l’Unione europea (UE). Esso potrà, in certi casi, estendersi anche alle società con sede in Svizzera.
È importante che le imprese che potranno essere interessate da questa riforma se ne preoccupino sin d’ora. In effetti, se saranno davvero chiamate in causa, esse dovranno verificare, tra le varie cose, la compatibilità delle loro procedure interne, le linee direttive, i contratti e le dichiarazioni di confidenzialità. Sono infatti previste sanzioni pecuniarie elevate in caso di violazione del regolamento.
Quali imprese sono interessate?
Le imprese elvetiche dovranno rispettare il GDPR nel caso in cui trattino dati personali di individui situati sul territorio dell’UE e se le attività di trattamento sono legate, alternativamente:
- A un’offerta di beni o di sevizi a questi individui (con o senza un pagamento finale).
- Al comportamento di questi individui: in merito a comportamenti che hanno avuto luogo nei paesi membri dell’UE (art. 3 par. 2 let. a e b GDPR).
Per determinare se le attività di un’impresa con sede al di fuori dall’UE ricadono nel campo d’applicazione del RGDP, i consulenti giuridici devono analizzare se l’intenzione di vendere beni o servizi nell’UE è manifesta. Diversi indizi possono pertanto essere studiati (ad esempio, la menzione sul sito internet di clienti situati nei paesi membri o di una moneta utilizzata nell’UE). Nel caso dell’l'art. 3 par. 2 let. b GDPR, questi esperti possono analizzare se esiste una volontà chiara di seguire il comportamento di individui nello spazio europeo (ad esempio, osservando l’utilizzo di tecniche di profilazione o di Google analytics).
Cosa dovranno intraprendere le società interessate?
Le imprese svizzere interessata dal nuovo regolamento europeo devono rispettare gli obblighi seguenti:
- Necessità di informare e di ottenere il consenso della persona i cui dati vengono trattati.
- Assicurare il "Privacy by design" e il "Privacy by default".
- Designare un rappresentante nell’UE.
- Tenere un registro delle attività di trattamento.
- Dichiarare i casi di violazione dei dati all’autorità di controllo.
- Procedere ad un’analisi d’impatto inerente la protezione dei dati.
Per le imprese, le sanzioni in caso di violazione della protezione dei dati possono ammontare fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Conviene pure menzionare che il corrispettivo svizzero del GDPR, una nuova legge federale sulla protezione dei dati, è in cantiere. Le società che si saranno già adeguate al GDPR dovrebbero risparmiare tempo nell’attuazione della versione elvetica nel momento in cui essa sarà pronta.
Questo articolo non si vuole esaustivo. Per maggiori informazioni sul GDPR, vogliate consultare i link seguenti.
Fonte : Regolamento europeo sulla protezione dei dati – Cosa dovrebbero sapere le imprese svizzere, L’essenziale in breve dello Studio Kellerhals-Carrard, Zurich (25 maggio 2017)
Con l’aiuto dell’Ufficio federale di giustizia UFG (Agosto 2017).
