Novità

Regolamento europeo sulla protezione dei dati: nuova normativa per gli esportatori svizzeri

Il Regolamento europeo sulla protezione dei dati (GDPR - General Data Protection Regulation) disciplina dal 2018 il trattamento dei dati personali nell’UE. Una sentenza estende ora il campo d’applicazione anche ai dati personali dei cittadini dell’UE che vengono trasferiti in Paesi terzi. Questo può interessare le PMI svizzere già durante l’esecuzione dei pagamenti tramite fornitori di servizi internazionali o in caso di utilizzo di servizi cloud.

 

Protezione dei dati

Questa sentenza deriva dalla controversia di M. Schrems con l’autorità di vigilanza irlandese in merito alla trasmissione di dati personali senza consenso da parte di Facebook dall’Irlanda alla casa madre negli USA. È possibile che le autorità interrompano il trasferimento di dati. Resta da vedere se saranno comminate pene pecuniarie.

La dichiarazione principale:

  • Il GDPR si applica negli USA e nei Paesi terzi nei quali, per ragioni di sicurezza o difesa nazionale, i servizi segreti hanno accesso ai dati personali. Secondo il GDPR, tutti i Paesi esterni all’UE e al SEE sono cosiddetti “Paesi terzi”, ovvero i dati personali non possono essere trasferiti facilmente in questi Paesi. A decorrere dal 1° gennaio 2021 potrebbe aggiungersi all’elenco anche il Regno Unito.
  • Il Privacy Shield degli USA (decisione di adeguatezza della Commissione europea: livello di protezione dei dati adeguato all’UE) non è più valido con decorrenza immediata.
  • Le Standard Security Clauses (SSC) continuano tuttavia a mantenere la loro validità, eventualmente con ulteriori misure di sicurezza. L’importatore o l’esportatore dei dati deve valutare nel singolo caso se nel Paese di destinazione vi sia un livello di protezione dei dati paragonabile a quello dell’UE.

Nella trasmissione internazionale dei dati personali rientrano anche i dati relativi alle carte di credito (shop online) e quelli nel cloud.

Cosa significano le decisioni della CGUE per la Svizzera?

La CGUE non decide per la Svizzera. Tuttavia, le aziende esportatrici, esattamente come prima del Safe Harbor, potrebbero dovere identificare e documentare le esportazioni dei dati personali dalla Svizzera o dall’Europa verso gli Stati terzi senza decisione di adeguatezza. È necessario altresì controllare nei singoli trasferimenti di dati se il livello di sicurezza sia analogo a quello dell’UE, se può verificarsi un accesso ai dati nei centri di calcolo e se i trasferimenti di dati avvengono all’interno dell’intera catena di fornitura.

Bisogna altresì determinare se i trasferimenti si basino solo sul Privacy Shield o sull’SSC oppure se viene utilizzato un altro motivo giuridico. Il rischio è una pena pecuniaria dell’autorità di vigilanza fino a 250’000 CHF, che viene inviata al CEO e un’iscrizione nel casellario giudiziale valida per 20 anni.

Condividete
Come vi possiamo contattare?

Premium Partner

Partner strategici

Partner istituzionale

Programma ufficiale