Il diritto dell'UE coinvolge i processori di dati svizzeri
Il regolamento generale sulla protezione dei dati (GDPR), che si applicherà a tutti gli Stati membri dell'UE da maggio 2018, riguarda anche la Svizzera. Pone nuovi requisiti di protezione dei dati ai responsabili della conformità. Tuttavia, un responsabile della protezione dei dati non è immediatamente necessario in ogni azienda.
Il regolamento generale sulla protezione dei dati inaugurerà una nuova era di leggi europee sulla protezione dei dati a maggio del prossimo anno. Il GDPR si applica a tutti gli stati membri dell'Unione Europea (compreso il Regno Unito). Il contenuto del regolamento generale sulla protezione dei dati dell'UE (GDPR) sostituisce il vecchio Data Protection Act del 1995.
L'obiettivo principale era quello di proteggere i diritti e la privacy degli utenti di internet nei 28 paesi dell'UE. Allo stesso tempo, però, si dovevano stabilire dei limiti normativi per i "mostri di dati" - Google, Facebook, Amazon e simili - nell'area dell'UE.
Fino ad oggi, si è discusso molto sulle pene e le sanzioni per le violazioni, tra cui fino a 20 milioni di euro o il quattro per cento del fatturato globale annuale di una società, che anche una PMI negligente in Svizzera dovrebbe pagare dal 2018.
In passato, il ruolo del responsabile della protezione dei dati era in gran parte indefinito. I ruoli e i compiti della protezione dei dati non erano ancora presi in considerazione nella misura in cui sono richiesti oggi dal GDPR", spiega Katja Böttcher*, Legal & Compliance Project Manager. L'avvocato, specializzato in crimini dei colletti bianchi, ha coordinato per anni grandi progetti legali e di conformità.
Nuove istanze?
Circa dodici anni fa, la protezione dei dati era ancora praticata esclusivamente in un "contesto informatico". Le prime persone a cui è stato dato il titolo informale di Data Protection Officer (DPO) di solito avevano un background informatico. Erano quelli che potevano capire, identificare e "proteggere" il flusso di dati informatici. Oggi, in un momento in cui la tecnologia domina così tanto le nostre vite, il ruolo e il compito di un DPO è cambiato significativamente.
"Se il ruolo di un compliance officer è considerato in generale e indipendentemente dalla nuova direttiva sulla protezione dei dati dell'UE, questa funzione ha ricevuto importanti contenuti nel corso degli ultimi anni", spiega Katja Böttcher.
La nuova revisione non riguarda solo la sicurezza dei dati o la visione dell'IT, ma anche le competenze in materia di diritto del lavoro e molto altro. "Nel complesso, tuttavia, il compito può certamente essere descritto come molto complesso, in particolare per quanto riguarda la protezione internazionale dei dati. La sua gestione passerà sempre più nelle mani di responsabilità di compliance specializzate", dice l'avvocato svizzero.
"Un DPO non dovrebbe mai essere visto come l'unica autorità sulla protezione dei dati".
Al fine di rispettare le direttive europee, il GDPR formula il ruolo di un DPO e obbliga anche il loro uso nelle aziende e nelle organizzazioni. In generale, tutte le aziende e le istituzioni pubbliche devono avere un DPO per rispettare la libertà d'informazione o i diritti umani in generale.
"Tuttavia, questo è molto variabile, a seconda delle dimensioni, del settore e dell'area di attività di un'azienda", sottolinea Katja Bött-cher, esperto di conformità.
Diverse responsabilità
Fino ad ora, il capo di una piccola impresa o gli organi amministrativi sono sempre stati responsabili delle violazioni del dovere di diligenza. Recentemente, si è parlato anche di terzi "organi di fatto" come i controllori esternalizzati o i responsabili IT o della sicurezza dei dati, che devono essere ritenuti strettamente responsabili. Le PMI svizzere devono ora aspettarsi conseguenze penali più severe?
"Gli organi o le funzioni responsabili hanno il compito di contrastare i rischi aziendali nel miglior modo possibile, minimizzando il rischio di responsabilità per la società e, in ultima analisi, per le persone che agiscono", spiega l'avvocato. Lei mette questo in prospettiva: "Un responsabile dei dati è certamente necessario quando una violazione della protezione dei dati o la sicurezza dei dati è stata classificata come un rischio aziendale rilevante. Una PMI attiva a livello locale che serve come fornitore di pezzi di ricambio probabilmente non ha bisogno di un responsabile dei dati speciali, mentre un fornitore di un database aziendale sì".
I contabili senza una funzione manageriale o una responsabilità corrispondente possono eventualmente violare il loro dovere di cura secondo il diritto del lavoro se non si attengono ai processi di lavoro specificati, ai regolamenti o alle istruzioni dirette. Lo stesso vale, naturalmente, per i dipendenti IT coinvolti (responsabilità della direzione: art. 754 OR, responsabilità dei dipendenti: art. 321e OR).
Un DPO non dovrebbe quindi mai essere visto come "l'unica autorità" per la protezione dei dati all'interno di un'organizzazione. Il DPO deve aiutare un'azienda o un'organizzazione a fornire una protezione completa dei dati e a rispettare gli obblighi legali - anche per quanto riguarda il rispetto della privacy dei dipendenti.
Linee guida legali
Secondo il GDPR, anche le organizzazioni pubbliche più piccole - per esempio, i comuni o le scuole pubbliche - potrebbero avere l'obbligo legale di pagare un DPO? In genere, i comuni svizzeri e persino le scuole non raccolgono e trattano i dati coperti dal GDPR. Le istituzioni pubbliche in Svizzera sono già soggette a severe direttive sulla protezione dei dati e sono controllate dall'incaricato federale o cantonale della protezione dei dati.
A questo proposito, la direttiva europea è obbligatoria solo per le organizzazioni le cui attività principali comportano "un monitoraggio regolare e sistematico dei dati su larga scala" o le cui attività comportano il trattamento di dati particolarmente sensibili - per esempio, i dati relativi all'origine etnica, alle credenze religiose, alla salute, alla vita sessuale o alle condanne penali.
Il GDPR ha un impatto sulla Svizzera ed è applicabile a quelle aziende che raccolgono e trattano i dati dei clienti e i dati personali dell'area UE, rispettivamente che sono accessibili dall'UE (ad esempio, homepage che creano valutazioni non anonime dei visitatori). Queste aziende devono rispettare le linee guida e potrebbero dover nominare un DPO.
Alcune linee guida, in parte utili, sono state prodotte dal gruppo di lavoro dell'articolo 29, un gruppo di rappresentanti delle autorità di protezione dei dati in tutta l'UE. Il GDPR descrive le strutture (qualità e doveri) di un DPO. Tra le altre cose, sono richieste le seguenti qualifiche:
- Possibilità di azione "indipendente".
- Indipendenza dalle istruzioni del datore di lavoro.
- Conoscenza della legge sulla protezione dei dati.
- Risorse sufficienti per realizzare i compiti.
- Risorse sufficienti per realizzare i compiti.
Secondo l'articolo 29 delle linee guida, oltre alla qualifica, un DPO non deve evocare un conflitto di interessi.
Tuttavia, alcune posizioni aziendali non sono compatibili con i compiti di DPO, tra cui per esempio il CEO, il CFO, ma anche i responsabili del marketing, le risorse umane o i rappresentanti IT.
Altri principi guida ragionevoli spiegano, per esempio, che le "attività principali" critiche non implicano l'elaborazione di informazioni sul personale all'interno di un dipartimento di risorse umane - qualsiasi visione contraria porterebbe ogni azienda o dipartimento operativo ad avere bisogno di un DPO.