August 17, 2025
3 min read
La revisione della Legge federale sulla protezione dei dati (LPD), in vigore dal 1° settembre 2023, rappresenta un'evoluzione significativa della legislazione svizzera sulla protezione dei dati, allineandola maggiormente al Regolamento generale sulla protezione dei dati europeo (GDPR). La seguente discussione riassume le principali modifiche e le loro implicazioni per le organizzazioni che trattano dati personali in Svizzera o che hanno effetti in Svizzera.
Ambito di protezione:
La nLPD limita il suo campo di applicazione esclusivamente ai dati personali delle persone fisiche, escludendo esplicitamente i dati relativi alle persone giuridiche (Art. 2 nLPD). Questo cambiamento restringe l'applicazione della legge rispetto alla sua versione precedente, concentrando gli sforzi normativi sulla privacy individuale.
Applicazione extraterritoriale:
La legge si applica a tutti i trattamenti di dati personali che "producono effetti" in Svizzera, indipendentemente da dove il trattamento avvenga fisicamente. Questa "dottrina degli effetti" rispecchia l'extraterritorialità del GDPR, garantendo la protezione dei residenti svizzeri anche quando i loro dati vengono trattati all'estero (Bühler & Pärli, 2023).
Obblighi di trasparenza:
I titolari del trattamento devono fornire informative sulla privacy esaustive agli interessati, specificando la natura e lo scopo del trattamento, i destinatari dei dati e le divulgazioni transfrontaliere (Art. 19 nLPD). Questo requisito aumenta gli oneri amministrativi per le organizzazioni, migliorando al contempo la consapevolezza e il controllo degli individui sui propri dati.
Privacy by Design e by Default:
La legge introduce formalmente i principi di privacy by design e privacy by default (Art. 7 nLPD). Le organizzazioni sono ora legalmente obbligate a integrare la protezione dei dati nelle attività di trattamento e nei sistemi IT fin dalla progettazione e a garantire che, per impostazione predefinita, vengano trattati solo i dati personali necessari.
Valutazione d'impatto sulla protezione dei dati (DPIA):
Le DPIA diventano obbligatorie quando il trattamento previsto può comportare un rischio elevato per i diritti e le libertà degli interessati (Art. 22 nLPD). Ciò rispecchia l'art. 35 del GDPR e mira a identificare e mitigare proattivamente i rischi.
Processo decisionale automatizzato:
Se le decisioni sono prese esclusivamente sulla base di un trattamento automatizzato, gli interessati devono essere informati e avere la possibilità di esprimere il proprio punto di vista o di contestare la decisione (Art. 21 nLPD). Questa disposizione rafforza i diritti individuali nel contesto del processo decisionale algoritmico e basato sull'intelligenza artificiale.
La nLPD porta quindi la legge svizzera sulla protezione dei dati a un maggiore allineamento con gli standard europei, in particolare con il GDPR, introducendo al contempo alcune caratteristiche distintive adattate al contesto svizzero. I suoi requisiti innalzano il livello di conformità per le organizzazioni e aumentano la certezza del diritto per i trasferimenti di dati transfrontalieri, elemento fondamentale per mantenere lo stato di adeguatezza della Svizzera nei confronti dell'UE (European Commission, 2023).
