Nel presente articolo affronteremo la tematica relativa al CPD (consulente per la protezione dati) analizzato all’interno della legge sulla protezione dati in Svizzera.
Dopo aver introdotto le principali innovazioni della nuova LPD, ci soffermeremo su questa figura, per analizzare nello specifico la sua nomina, i compiti e le attività che può e deve svolgere, e più nello specifico: Introduzione alla LPD; CPD: chi lo nomina; CPD: compiti e attività.
Introduzione alla LPD
La LPD nasce il 19 giugno 1992 e trova la sua piena applicazione a partire dal 1 luglio dell’anno successivo; in seguito al susseguirsi di numerose modificazioni il 25 settembre 2020 è stata approvata in votazione finale dalle Camere Federali la revisione totale della legge sulla protezione dei dati personali in Svizzera, con l’obiettivo di modernizzare e adeguare la normativa all’evoluzione tecnologica e sociale dell’era digitale e di allinearla alla regolamentazione UE General Data Protection Regulation (GDPR).
Si stima che la LPD revisionata entrerà ufficialmente in vigore entro il 2022; essa introduce una serie di importanti novità atte a rinnovare e conformare il diritto nazionale Svizzero agli sviluppi del panorama europeo permettendo la continuazione dello scambio di dati perfettamente regolamentato tra le imprese svizzere e quelle dell’Unione Europea.
Le innovazioni della LPD possono generalmente descriversi come segue:
- attribuzione di nuovi e più ampi poteri all’Incaricato Federale della protezione dei dati e della trasparenza (IFPDT);
- introduzione di un aumento degli adempimenti per le aziende a garanzia e in conformità ai principi cardine sui quali la LPD si fonda, ovvero maggiore trasparenza sulle attività ritenute a rischio nell’ambito del trattamento dei dati e miglior controllo da parte degli interessati sugli stessi;
- imposizione di inasprite sanzioni pecuniarie in capo ai soggetti responsabili di violazioni, con multe che arrivano fino a 250.000 CHF.
Le principali novità riguardano obblighi, direttive e possibilità rivolti alle aziende; nello specifico oggi ci occuperemo di analizzare l’introduzione della figura del Consulente per la Protezione dei Dati personali (CPD).
Consulente per la Protezione dei Dati personali: chi lo nomina?
Il CPD, corrispettivo del Data Protection Officer (DPO) nel GDPR è fondamentale in caso di trattamento dati che necessitino di valutazione di impatto (DPIA), e in caso di obbligo di consultazione dell’IFPDT il suo parere potrà essere sufficiente.
Per introdurre il tema inerente alla figura del CPD è utile fare una breve precisazione, ovvero fare una distinzione per quanto riguarda l’applicazione della norma nel caso in cui si tratti di Titolari del trattamento privati o Pubbliche Amministrazioni.
La LPD non prevede difatti l’obbligo ma la possibilità di nomina di un consulente privacy che assume dunque carattere puramente facoltativo per i Titolari del trattamento privati, diversamente da quanto accade per le Autorità Federali le quali hanno l’obbligo di nominare un CPD.
Consulente per la Protezione dei Dati personali: compiti e attività
Di seguito intraprenderemo un’analisi approfondita per punti circa le caratteristiche e i compiti riservati alla figura del consulente ai sensi dell’art.10 della nuova LPD il quale individua e descrive la figura del CPD.
- il consulente per la protezione dei dati può, ma non deve, essere legato all’impresa mediante un contratto di lavoro; in entrambi i casi l’attività di consulenza deve essere svolta in modo indipendente dalle altre mansioni dell’impresa;
- è opportuno che le attività del consulente per la protezione dei dati siano separate da quelle di consulenza di altro genere o di rappresentanza giuridica.
- al consulente per la protezione dei dati dovrebbe essere permesso di esprimere il proprio punto di vista in caso di divergenze d’opinione con la direzione aziendale.
- il consulente deve essere considerato un punto di riferimento all’interno dell’impresa e svolge la funzione di interlocutore e anello di congiunzione sia per le persone interessate come pure per le autorità competenti in Svizzera per la protezione dei dati, tra cui l’IFPDT.
- il consulente ha il compito di fornire formazione e consulenza al titolare privato del trattamento in questioni concernenti la protezione dei dati e di partecipare all’esecuzione delle disposizioni sulla protezione dei dati;
- infine se la consulenza interna è svolta in modo tecnicamente e gerarchicamente indipendente e senza mansioni incompatibili con la funzione, dopo l’analisi d’impatto sulla protezione dei dati, l’impresa può limitarsi alla consulenza interna senza dover consultare l’IFPDT.
Diacron Suisse SA in collaborazione con AB Innovation Consulting