La Commissione delle istituzioni politiche del Consiglio nazionale (CIP-CN) ha terminato l’esame del disegno di revisione totale della legge sulla protezione dei dati (17.059). Nella votazione sul complesso la CIP-CN ha approvato il disegno con 9 voti contro 9 e 7 astensioni, con voto preponderante del presidente.

​Il disegno di revisione totale della legge sulla protezione dei dati mira a meglio tutelare i cittadini e ad adeguare la legislazione svizzera agli standard europei. Al fine di permettere alla Svizzera di attuare in tempi rapidi una direttiva europea legata allo sviluppo dell’acquis di Schengen, nel 2018 il Parlamento ha deciso di scindere il disegno in due parti e di adottare in via prioritaria le disposizioni necessarie all’attuazione della direttiva europea. Queste disposizioni sono entrate in vigore il 1° marzo 2019.

La discussione relativa al resto della riforma è nel contempo proseguita. Affinché la Svizzera continui a essere considerata dall’UE come uno Stato terzo con il quale sia possibile continuare a scambiare dati con un livello di protezione sufficiente, si rivela necessario procedere a una revisione totale della normativa svizzera. La CIP-CN ha iniziato la deliberazione di dettaglio della revisione della legge sulla protezione dei dati nel giugno 2018, decidendo in particolare quanto segue.

Modalità di nomina dell’Incaricato della protezione dei dati e della trasparenza

Con 19 voti contro 5 la Commissione propone che l’Incaricato sia nominato direttamente dall’Assemblea federale e non, come previsto attualmente, dal Consiglio federale con approvazione da parte delle Camere. La CIP-CN ritiene infatti che una nomina diretta da parte del Parlamento sia la soluzione più adatta a garantire l’indipendenza dell’Incaricato. Una minoranza propone di conservare il sistema vigente.

Diritto alla portabilità dei dati

La Commissione ha introdotto il diritto alla portabilità dei dati. Tale diritto consente a chiunque di recuperare in un formato standard i propri dati personali trattati da un prestatore di servizi (ad esempio un fornitore di servizi online), al fine di trasmetterli a un altro prestatore di servizi a scelta. Questa soluzione permette all’interessato di ottenere, a certe condizioni, la consegna o il trasferimento gratuiti e in forma elettronica di determinati dati personali che ha comunicato al responsabile del loro trattamento. La Commissione ritiene che tale soluzione permetta di favorire la concorrenza e incoraggi l’emergere di nuovi modelli commerciali. Una minoranza propone che tale diritto non sia limitato ai dati che una persona ha comunicato, ma sia esteso a tutti i dati personali.

Dati personali degni di particolare protezione

La Commissione ha modificato la definizione di dati personali degni di particolare protezione, togliendo dalla lista i dati concernenti le misure d’assistenza sociale: essa ritiene infatti che sapere se una persona beneficia di prestazioni di aiuto sociale possa essere nell’interesse di partner contrattuali o di fornitori, oppure che possa rispondere a un interesse pubblico. Una minoranza si oppone a tale modifica. La Commissione propone pure di escludere dalla lista i dati concernenti le attività sindacali e conferma la proposta di includervi i dati genetici.

Aziende estere

La Commissione ha deciso che le aziende estere che forniscono prestazioni in Svizzera saranno tenute a rispettare il diritto svizzero sulla protezione dei dati e a designare un rappresentante in Svizzera.

Dati concernenti persone defunte

Contrariamente a quanto propone il Consiglio federale, con 14 voti contro 8 e 1 astensione la Commissione ha deciso di non prevedere una regolamentazione particolare concernente la gestione dei dati di persone defunte, poiché esistono già soluzioni ai problemi che possono porsi in tale contesto. Una minoranza ritiene invece che un disciplinamento specifico si riveli necessario, in particolare per quel che concerne la morte digitale.

Inasprimento delle pene

Con 16 voti contro 4 e 2 astensioni, la Commissione ha approvato il sistema di sanzioni proposto dal Consiglio federale. Per semplificare l’applicazione del diritto tale sistema non prevede sanzioni amministrative, ma unicamente sanzioni penali. Ciò significa che in caso di violazione della legge sulla protezione dei dati potranno essere sanzionate soltanto persone fisiche, in particolare coloro che esercitano una funzione dirigente all’interno di un’azienda. Le persone giuridiche saranno passibili di pena unicamente in casi ben definiti e relativamente limitati. La CIP-CN propone tuttavia di valutare l’introduzione nel diritto svizzero di un sistema generale di sanzioni amministrative di carattere pecuniario. A tal proposito propone di accogliere il postulato 18.4100, che incarica il Consiglio federale di esaminare le modalità di introduzione di un simile sistema. Per quel che attiene all’ammontare delle multe, la Commissione ritiene che l’importo massimo di 250 000 franchi proposto dal Consiglio federale sia proporzionato e sufficientemente dissuasivo. Due minoranze propongono importi più elevati.

Le aziende avranno due anni per adeguarsi

Con 13 voti contro 11 la Commissione propone che la nuova legge entri in vigore due anni dopo la scadenza del termine di referendum o della data di un’eventuale votazione popolare, al fine di concedere alle aziende il tempo di effettuare gli adeguamenti necessari. Una minoranza propone che il Consiglio federale determini l’entrata in vigore tenendo conto delle esigenze dell’economia privata.
Sono state inoltre presentate due proposte di minoranza volte a respingere il disegno di revisione, con diverse proposte di adeguamento.

La Commissione ha inoltre presentato diverse mozioni che incaricano il Consiglio federale di completare le disposizioni sulla protezione dei dati contenute in altre leggi federali (19.3960, 19.3961, 19.3962, 19.3963, 19.3964, 19.3965).

Presieduta dal consigliere nazionale Kurt Fluri (PLR/SO), la Commissione si è riunita a Berna il 15 e 16 agosto 2019.