"Swiss Finish" minaccioso per le PMI?
Non solo l'intensa digitalizzazione, ma anche la revisione della legge sulla protezione dei dati (DSGVO) sta mettendo alla prova le imprese svizzere. Il Consiglio federale vuole introdurre una legge per "garantire posti di lavoro e prosperità". Le PMI in particolare vedono tendenze negative nel cosiddetto "Swiss Finish" per quanto riguarda i nuovi regolamenti. In che misura potrebbero essere messi sotto pressione dalla revisione? Un confronto.
L'obiettivo della revisione della LPD è di "aumentare la trasparenza e rafforzare l'autodeterminazione degli interessati sui loro dati", scrive il Consiglio federale nel progetto preliminare di legge. Tuttavia, ci sono altre ragioni ovvie per introdurre una legge più severa in tempi di sconvolgimenti digitali:
Il Consiglio d'Europa sta rivedendo la sua convenzione sulla protezione dei dati, che anche la Svizzera ha ratificato. Se la Svizzera non dovesse prendere una posizione in merito, potrebbe essere privata del suo status di "porto sicuro", come paese terzo partner. L'UE sta anche rivedendo la sua legislazione corrispondente, che interesserà anche le aziende svizzere che fanno affari con clienti dell'UE.
Polemica DSG
Le critiche alla nuova legge vengono da tutte le parti. Soprattutto per le piccole e medie imprese, molto dovrà cambiare con la nuova legislazione. Le piccole PMI come le agenzie pubblicitarie potrebbero essere rigorosamente obbligate a informare i partecipanti a una circolare o a un concorso dopo che i dati personali sono stati raccolti - questo è effettivamente l'elemento principale della legge sulla concorrenza sleale (UCA) finora.
Ogni azienda, non importa quanto piccola, dovrebbe essere in grado di fornire informazioni su quali dati personali tratta e per quale scopo, e chi è il responsabile ultimo del trattamento dei dati personali. Si dice che con la revisione, il Consiglio federale vuole aumentare la trasparenza nel trattamento dei dati e promuovere l'autodeterminazione dei cittadini sui loro dati.
Inoltre, gli obblighi degli organismi responsabili del trattamento dei dati devono essere ampliati. Per esempio, il progetto di legge prevede una cosiddetta valutazione d'impatto sulla protezione dei dati. Se una persona è esposta a un "rischio accresciuto" in seguito alla raccolta dei dati, l'incaricato del trattamento potrebbe essere sanzionato, se non multato, dall'Incaricato federale della protezione dei dati e dell'informazione (IFPDT).
Tuttavia, le associazioni di categoria criticano le disposizioni più severe nel contesto della "valutazione dell'impatto dei dati" e del "rischio aumentato". I responsabili delle informazioni aziendali sarebbero con le spalle al muro se non fossero autorizzati a collegare i dati personali dei clienti con altre preferenze dei clienti - o potrebbero essere ritenuti responsabili di qualsiasi raccolta di dati.
I risultati della valutazione d'impatto dei dati devono poter essere presentati all'incaricato della protezione dei dati o all'IFPDT. I critici della nuova legge vedono un immenso onere aggiuntivo che sarà imposto alle aziende più piccole. L'Associazione svizzera del commercio, che "contesta in generale" la revisione, è molto ferma: "In linea di principio, l'espansione degli obblighi di documentazione e di notifica previsti nel progetto è sproporzionata.
Differenziazioni
I sostenitori della nuova DPA vengono di per sé dal lato della protezione dei dati e della protezione dei consumatori. Tuttavia, anche privatim, l'associazione degli incaricati svizzeri della protezione dei dati, fa una distinzione esplicita tra la revisione e l'attuale LPD. privatim fa notare che alcuni punti della disposizione sulla protezione dei dati nella revisione sono formulati in modo troppo vago:
Per esempio, le nuove leggi si applicano ai processori di dati privati ("privati") così come agli enti pubblici ("enti federali").
Gli esperti di protezione dei dati incaricati raccomandano quindi di uniformare la protezione dei dati di diritto privato e pubblico in due leggi. Una tale divisione dovrebbe rispettare il principio di legalità secondo l'articolo 5 comma 1 della Costituzione federale (vedi Principi dello Stato di diritto) e la privacy secondo l'articolo 28 del Codice civile (vedi anche Diritti civili).
Tuttavia, le autorità per la protezione dei dati sottolineano (cfr. parere del 9 marzo 2017) che per l'adempimento operativo dei compiti, ad esempio per la valutazione dell'impatto sulla protezione dei dati, si dovrebbero prevedere "considerevolmente più risorse", con "un massimo di uno o due posti" per questo.
Commenti
Anche gli avvocati stanno lanciando l'allarme su un sistema di sanzioni in cui i singoli dipendenti - per esempio nel settore della pubblicità e dell'elaborazione dei dati - potrebbero affrontare sanzioni più severe. Anche l'associazione di categoria Swico, l'associazione dei fornitori svizzeri di TIC, ha formato una sottocommissione e ha preso posizione:
"Il termine di sei mesi per l'approvazione delle Binding Corporate Rules da parte dell'FDPIC è troppo lungo, impraticabile e porta a una grande incertezza giuridica. In questo caso, si dovrebbe utilizzare la precedente regolamentazione di 30 giorni", Christa Hofmann, Head of Legal & Public Affairs di Swico, spiega inoltre che l'attuale legge sulla protezione dei dati ha accompagnato la digitalizzazione della Svizzera nel miglior modo possibile e ha raggiunto il suo scopo.
L'avvocato ritiene inoltre: "Gli obblighi introdotti o estesi di recente che vanno oltre il livello di protezione dei dati europeo armonizzato dal GDPR come una 'Finestra svizzera' sono da respingere". Secondo l'associazione economica svizzera, la cerchia dei dipendenti potenzialmente perseguibili penalmente potrebbe essere limitata fin dall'inizio dai contratti (secondo l'art. 29 StGB). In ogni caso, questo "Swiss Finish" è troppo rigido per quanto riguarda la futura compatibilità economica delle imprese svizzere.
"La valutazione dei rischi nell'ambito delle nuove innovazioni dell'economia dei dati dovrebbe sempre essere effettuata alla luce di un possibile perseguimento penale dei dipendenti delle aziende corrispondenti, cosa che non esiste in questo modo in altri paesi europei", sottolinea l'associazione SDV Swiss Dialogue Marketing.
Finitura svizzera troppo severa
Se il GDPR fosse attuato come proposto, l'economia svizzera e soprattutto le PMI nazionali sarebbero svantaggiate dal punto di vista della localizzazione. Un tale approccio "go-it-alone" potrebbe svantaggiare la forza innovativa e il potenziale innovativo dell'economia digitale in Svizzera, in particolare le PMI svizzere. Per questo motivo, "KS/CS Kommunikation Schweiz" rifiuta anche il progetto ufficiale.
La legge sulla protezione dei dati dovrebbe essere rivista solo nella misura in cui i requisiti internazionali la rendono obbligatoria. Le organizzazioni ombrello rifiutano rigorosamente qualsiasi "Finish svizzero" che vada oltre (particolarmente grave in materia di "profiling" e di "sistema di sanzioni"). Un tale catalogo di sanzioni sarebbe inutile nella pratica.
Fino alla consultazione sulla revisione, che sarà decisa in parlamento alla fine del 2017, molti dati continueranno a fluire attraverso i server svizzeri. Per non lasciare il controllo del rispetto della protezione dei dati unicamente all'Incaricato federale della protezione dei dati e dell'informazione (IFPDT) o alle stesse imprese interessate, alcuni politici potrebbero immaginare che la "Svizzera dei fini" possa prendere questa via ufficiale:
Qualsiasi trattamento intensivo dei dati comporterebbe un audit esterno dei dati simile a un audit finanziario o altrimenti un responsabile operativo della protezione dei dati (simile a un Chief Information Officer).
