La Svizzera ha modificato l’Ordinanza sulla protezione dei dati, entrata in vigore il 1° settembre 2023. Le modifiche entreranno in vigore il 1° dicembre 2025.
Gli articoli 4 e 8 dell’OPD costituiscono due elementi essenziali, in particolare per la tracciabilità dei trattamenti ad alto rischio e i trasferimenti internazionali di dati.
Articolo 4 «Verbalizzazione»
Se dati personali degni di particolare protezione sono trattati automaticamente su grande scala o se si esegue una profilazione a rischio elevato e i provvedimenti preventivi possono non garantire la protezione dei dati,
il titolare privato del trattamento e il suo responsabile privato del trattamento verbalizzano almeno la registrazione, modificazione, comunicazione, cancellazione e distruzione dei dati nonché l’accesso ai dati (nuovo testo che sostituisce il termine «lettura»).
Si aggiunge alla definizione di «dati personali degni di particolare protezione” già presente nel testo, anche “l’esecuzione di profilazioni e di trattamento automatizzato di dati che rientrano nel campo d’applicazione della direttiva (UE) 2016/680».
È ora necessario valutare preventivamente il rischio per i diritti fondamentali delle persone interessate e determinare su questa base, tenendo conto dello stato delle conoscenze e delle spese di implementazione stabiliscono se e in quale misura verbalizzare le succitate operazioni. Per la valutazione del rischio, tengono conto in particolare del tipo di dati trattati nonché dello scopo, del tipo, della portata e delle circostanze del trattamento.
La verifica della verbalizzazione deve avvenire per scritto. Il risultato e il contenuto della verifica devono essere comunicati, su richiesta, all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
Per i trattamenti automatizzati di dati personali pianificati o avviati prima dell’entrata in vigore della modifica del 29 ottobre 2025, l’esame della registrazione ai sensi dell’articolo 4 capoverso 2 deve essere effettuato entro il 31 dicembre 2026. Se la registrazione si rivela necessaria, deve essere attuata entro il 31 dicembre 2029 Il trattamento automatizzato di dati sensibili, la profilazione e il trattamento automatizzato di dati soggetti alla direttiva (UE) 2016/6803 non sono contemplati dalla presente disposizione.
Art. 8 «Valutazione dell’adeguatezza della protezione dei dati di uno Stato, un territorio, un determinato settore di uno Stato o un organismo internazionale»
Gli Stati, i territori, determinati settori di uno Stato e gli organismi internazionali con una protezione adeguata dei dati sono elencati nell’allegato 1.
L’IFPDT deve ormai essere consultato al momento di ogni valutazione. Possono essere presi in considerazione i pareri di organismi internazionali o autorità estere competenti per la protezione dei dati.
Raccomandazioni pratiche
– Mappare i trattamenti che comportano dati sensibili o profilazione ad alto rischio.
– Istituire i registri richiesti dall’art. 4 OPD. – Verificare se i destinatari stranieri figurano nell’allegato 1.
– Aggiornare le politiche interne, le procedure e le clausole contrattuali.
– Sensibilizzare il personale ai nuovi obblighi.
- 02/12/2025
- https://blog.solver.store/