Nella seduta del 31 agosto 2022, il Consiglio federale ha confermato l’entrata in vigore della nuova Legge sulla protezione dei dati (LPD) al 1° settembre 2023. Il Consiglio federale ha altresì pubblicato la nuova Ordinanza sulla protezione dei dati (OPDa), entrata in vigore con la LPD. La revisione della LPD deve essere vista in particolare nell’ottica del Regolamento europeo (UE) 2016/679 del 27 aprile 2016, il Regolamento generale sulla protezione dei dati (GDPR). Per la Svizzera è fondamentale continuare a essere riconosciuta dall’UE come Paese terzo con un livello adeguato di protezione, affinché il trasferimento transfrontaliero dei dati sia possibile senza ostacoli anche in futuro. A tal fine le disposizioni svizzere in materia di protezione dei dati sono state armonizzate con il GDPR, pur discostandosi da quest’ultimo in diversi punti.
Le nuove disposizioni sono più ampie, più incisive e a tratti persino più stringenti delle precedenti. Con la nuova LPD, la protezione dei dati acquisisce ancora maggior rilievo. Per questo è tanto più importante stabilire una protezione dei dati conforme alla legge e attuare con diligenza le prescrizioni previste.
Nella previdenza professionale è opportuno osservare che le disposizioni di legge speciali in materia di protezione dei dati della LPP e della LFLP potrebbero talvolta sostituire le prescrizioni della LPD. Gli istituti di previdenza che operano nel campo della previdenza professionale obbligatoria sono assoggettati alle prescrizioni in materia di protezione dei dati provenienti dal diritto previdenziale. Le disposizioni della LPD, in particolare i principi concernenti il trattamento dei dati, si applicano come integrazione. Gli istituti di previdenza sono considerati ai sensi della LPD organi federali, e come tali, per il trattamento e la divulgazione di dati personali necessitano di una base legale, da ricercarsi nell’art. 85a e segg. della LPP. Nell’ambito della previdenza professionale sovraobbligatoria più estesa, gli istituti di previdenza costituiscono soggetti privati e, in quanto tali, vi si applicano solo le disposizioni della LPD (con eccezioni). In veste di soggetti privati, possono trattare i dati personali anche senza una base giuridica, a condizione che la personalità delle persone interessate non venga violata in modo illecito. La revisione totale della LPD non cambia questo sistema.
La nuova LPD continua ad applicarsi al trattamento dei dati personali di persone fisiche, ossia di informazioni riguardanti una persona fisica identificata o identificabile. Regole speciali valgono soprattutto per dati personali degni di particolare protezione come quelli sanitari, per esempio. I dati di persone giuridiche, invece, non sono più disciplinati dalla nuova LPD.
I principi di fondo del trattamento dei dati restano sostanzialmente invariati. Il presupposto è come sempre un trattamento legittimo e proporzionato. I dati possono essere acquisiti e trattati solo per gli scopi previsti e devono essere distrutti non appena cessino di essere necessari per le finalità di trattamento previste.
La Valitas adempie alla propria responsabilità nei confronti della Fondazione collettiva incaricata della direzione generale e della gestione della cassa pensioni, delle imprese affiliate e degli assicurati assistiti tramite la stessa. Fino all’entrata in vigore della legge sono stati ripensati, rielaborati e reintrodotti i processi esistenti. Ove necessario, sono stati inoltre allestiti anche nuovi processi. In particolare, è stato redatto un registro delle attività di trattamento, sono state fornite informazioni sull’acquisizione di dati personali ed è stato introdotto un processo sulla valutazione d’impatto sulla protezione dei dati e sulla notifica di eventuali violazioni della sicurezza dei dati. Altresì, è stato adeguato il processo relativo all’accesso alle informazioni e implementato un nuovo processo per la consegna o la trasmissione dei dati su richiesta.
Nell’ambito dell’attuazione della LPD, abbiamo iscritto tutte le fondazioni, affidate a noi e a Valitas AG come cotitolari del trattamento, nel registro delle attività di trattamento – IFPDT (Incaricato federale della protezione dei dati e della trasparenza). Ai fini dell’attuazione della nuova LPD, si segnala che l’IFPDT ha ricevuto competenze più ampie in termini di indagine e di azione e può adottare provvedimenti amministrativi. È stato inoltre ampliato il campo di applicazione delle sanzioni e sono state sensibilmente aumentate le possibili multe, che possono ora arrivare fino a 250 000 franchi. Questo ci ha indotto a introdurre ulteriori misure come, laddove necessario, il traffico e-mail protetto e le liste anonimizzate per i nostri partner come broker, intermediari ed esperti di previdenza professionale. Abbiamo inoltre organizzato apposite formazioni per informare tutto il nostro personale in merito alla nuova legge sulla protezione dei dati. Ai nuovi assunti vengono illustrate le nostre direttive LPD durante il processo di onboarding. Sulla nostra homepage tutti i clienti, gli assicurati, i partner e le persone interessate possono trovare chiarimenti e informazioni ai sensi di legge nella nostra Dichiarazione sulla protezione dei dati https://www.valitas.ch/it/protezione-dei-dati/. In caso di necessità è possibile contattarci relativamente alla protezione dei dati al nuovo indirizzo e-mail datenschutz@valitas.ch. Le richieste saranno inoltrate direttamente al nostro coordinatore per la protezione dei dati, che è autorizzato a chiarire la questione con il nostro consulente per la protezione dei dati e a definire misure appropriate.
Naturalmente la protezione dei dati deve essere intesa come un processo continuo e in costante adattamento e miglioramento. Sottoponiamo, infatti, i nostri processi a verifica permanente e li adeguiamo ove necessario. Purtroppo, questo comporta anche la spiacevole conseguenza di rendere talvolta più difficile, o impossibile, lo scambio di dati personali con i nostri partner. Lo scambio di dati personali si basa sempre sul fondamento giuridico. Ciò significa che sempre più spesso necessitiamo di una procura individuale da parte degli assicurati, in particolare nel caso dei consulenti.
La nuova LPD non è entrata in vigore da molto, motivo per cui per l’intero settore la gestione dei dati personali non è ancora una pratica consolidata. Sarà senza dubbio necessario apportare ulteriori modifiche in uno o più processi, a seguito di un’interpretazione più precisa della norma di legge o in base all’esperienza acquisita.
Confidiamo sulla vostra comprensione per l’attuazione delle nuove prescrizioni legali, soprattutto in materia di trattamento dei dati personali particolarmente sensibili.