Lexipedia

17.4088 · Interpellanza · 2017-12-13

Dipartimento di giustizia e polizia

Liquidato

Wortlaut

Praticamente ogni impresa svizzera è toccata dal nuovo regolamento generale UE sulla protezione dei dati (GDPR), che entrerà in vigore nell'Unione europea il 25 maggio 2018. Questa normativa impone massicci oneri burocratici a tutte le ditte che hanno clienti all'interno dell'UE. Restano tuttavia molti interrogativi quanto alla sua attuazione concreta, che il Consiglio federale è invitato a chiarire.

1. L'UE continuerà a riconoscere l'equivalenza della legislazione svizzera in materia di protezione dei dati?

2. Chi è l'interlocutore per le imprese svizzere (p. es. in caso di obblighi di comunicazione) riguardo al GDPR e al disegno di legge sulla protezione dei dati (D-LPD)? È l'Incaricato federale della protezione dei dati e della trasparenza, un servizio UE o addirittura entrambi?

3. Le indagini e le eventuali sanzioni nei confronti di imprese svizzere saranno eseguite da un'autorità svizzera? Come e da chi?

4. Le imprese potranno essere sanzionate sia dalla Svizzera sia dall'UE per il medesimo caso?

5. Le imprese potranno essere sanzionate dall'UE o dai suoi Stati membri anche se rispettano il diritto svizzero?

6. Le certificazioni e i servizi di certificazione svizzeri saranno riconosciuti dall'UE?

7. La Svizzera partecipa all'elaborazione di standard?

8. IL GDPR rinvia spesso al diritto degli Stati membri. Quale ruolo svolge il diritto svizzero?

9. Questi quesiti evidenziano un importante bisogno di coordinamento già prima dei dibattiti parlamentari sulla LPD. Con l'accoglimento della mozione 16.3752, il Consiglio federale è stato pertanto incaricato di trovare un'intesa con l'UE. In risposta alla mia domanda 17.5528 del 4 dicembre, il Consiglio federale ha dichiarato di non voler contattare la Commissione europea prima dei dibattiti parlamentari. Tuttavia, per molte imprese svizzere le questioni citate in precedenza si porranno già nel maggio 2018. Le modalità di attuazione sono inoltre assai rilevanti anche per i dibattiti relativi alla LPD svizzera. Quali passi intende intraprendere il Consiglio federale per disciplinare quanto prima a livello internazionale questa necessità di coordinamento?

Stellungnahme des Bundesrates

1. Il Consiglio federale ritiene prioritario che l'UE continui a considerare adeguato il diritto svizzero in materia di protezione dei dati. Soprattutto per questo motivo ha deciso di armonizzare il contenuto del D-LPD con i requisiti del progetto di revisione della Convenzione STE 108 e del GDPR. Al momento non è possibile prevedere quando la Commissione europea procederà a una nuova valutazione del diritto svizzero in materia di protezione dei dati, né se il risultato sarà positivo. Per poter preservare l'adeguatezza del suo diritto, la Svizzera deve offrire un livello di protezione comparabile a quello dell'UE. L'esito della valutazione dipenderà in gran parte dalle decisioni del Parlamento nel quadro della revisione della legislazione svizzera in materia di protezione dei dati.

Dato che la CIP-N ha deciso di scindere il progetto ed effettuare l'esame in due tappe (cfr. n. 9 qui sotto), sono probabili ritardi. Se in occasione della prossima valutazione la Commissione europea giungerà alla conclusione che la legislazione svizzera non offre più un livello di protezione adeguato - perché la LPD non è ancora stata riveduta - potrà revocare, modificare o sospendere la sua attuale decisione. L'economia, e in particolare le PMI, si troverebbero penalizzate. I dati personali provenienti dall'UE non potrebbero più essere trasferiti senza problemi in Svizzera, bensì andrebbero previste garanzie supplementari. Ad esempio, le imprese svizzere dovrebbero impegnarsi contrattualmente nei confronti delle imprese dell'UE a rispettare il livello di protezione europeo.

2. Ogni autorità applicherà il proprio diritto. Se il responsabile del trattamento dei dati riterrà di essere sottoposto sia alla LPD sia al GDPR, si annuncerà sia all'Incaricato sia alla competente autorità estera di controllo.

3. Un'indagine e la pronuncia di sanzioni nei confronti di un'impresa con sede in Svizzera ma sottoposta al GDPR rientreranno nella competenza delle autorità di controllo degli Stati membri dell'UE. Senza accordo di cooperazione, queste ultime non potranno tuttavia effettuare indagini in Svizzera. Se l'impresa è tenuta a designare un rappresentante nell'UE (art. 27 GDPR), le autorità di controllo europee potranno notificare le loro decisioni all'impresa svizzera tramite questo rappresentante, senza passare per la via diplomatica.

4. Questa ipotesi non è esclusa. Il principio "ne bis in idem" (divieto della doppia sanzione) potrebbe tuttavia essere applicato in caso di concorso tra multe amministrative dell'UE e sanzioni penali delle autorità di perseguimento penale svizzere.

5. Sì, se sottostanno al GDPR e lo violano.

6. Il GDPR non prevede una procedura di riconoscimento da parte dell'UE per quanto riguarda le certificazioni e gli organismi di certificazione svizzeri.

7. Il GDPR non contiene alcuna disposizione che prevede una tale associazione. Non è tuttavia escluso che imprese svizzere possano essere coinvolte, per esempio nel quadro dell'elaborazione di codici di condotta.

8. La Svizzera non è uno Stato membro ai sensi del GDPR, e questo indipendentemente dal fatto che questa norma possa applicarsi a imprese svizzere in virtù del suo articolo 3 paragrafo 2. I rinvii alla legislazione degli Stati membri non riguardano il diritto svizzero, che pertanto non svolge alcun ruolo.

9. La conclusione di un accordo di cooperazione tra la Svizzera e l'UE richiederà verosimilmente svariati anni. Le probabilità di successo dipenderanno dalla capacità della Svizzera di dimostrare che la sua legislazione in materia di protezione dei dati offre un livello di protezione adeguato ai sensi del GDPR. Per questo motivo, il Consiglio federale aveva ritenuto opportuno attendere l'inizio dei lavori parlamentari. Prevedeva di intavolare un primo contatto con la Commissione europea all'inizio del 2018. Tenuto conto della decisione della CIP-N dell'11 gennaio scorso di trattare prioritariamente le modifiche legislative necessarie all'attuazione dell'acquis di Schengen e di esaminare in un secondo tempo le modifiche volte a un avvicinamento alle esigenze del GDPR, il Consiglio federale intende tuttavia per il momento sospendere questi passi.

Risposta del Consiglio federale.