Sfera privata e protezione dei dati
Sviluppi attuali
Revisione della Legge federale sulla protezione dei dati (LPD)
Legge sulla protezione dei dati (17.059)
La Legge sulla protezione dei dati (LPD) va adeguata ai cambiamenti tecnologici e sociali. In settembre 2017 il Consiglio federale ha presentato il rispettivo messaggio. Conformemente alla decisione della Commissione delle istituzioni politiche del Consiglio nazionale (CIP-N), la revisione avrà tuttavia luogo in due tappe.
In una prima fase deve essere sviluppato ulteriormente l’acquis di Schengen in materia di diritto penale e in relazione al trattamento dei dati personali (recepimento della Direttiva UE 2016/680). I rispettivi atti normativi entreranno in vigore presumibilmente nel primo semestre del 2019.
In una seconda fase la legislazione svizzera in materia di protezione dei dati sarà avvicinata alle disposizioni della revisione del nuovo Regolamento europeo sulla protezione dei dati (GDPR). L’obiettivo di questo progetto di revisione è di conservare la decisione di adeguatezza esistente della Commissione Europea. Con ciò i legislatori svizzeri in materia di protezione dei dati intendono attestare un livello di protezione equivalente al GDPR, obiettivo irrinunciabile in particolare dal punto di vista dell’economia e che consente un libero flusso dei dati tra la Svizzera e l’Unione europea. Non è ancora stato stabilito quando la parte cosiddetta «GDPR» potrà entrare in vigore.
L’economia ha accolto con favore la bozza del Consiglio federale della Legge sulla protezione dei dati, valutandola positiva in linea di principio. La legge è basata sul rischio, è neutrale in termini tecnologici, conferma il consulente in materia di protezione dei dati all’interno dell’impresa e rafforza l’autoregolamentazione attraverso codici di comportamento facoltativi. Nella consulenza parlamentare sarà tuttavia necessario prestare attenzione affinché la Svizzera non disponga o attui una normativa più rigorosa del necessario («swiss finish»). Inoltre, devono essere impostati in modo ancora praticabile tra l’altro gli obblighi d’informazione come pure lo strumento della valutazione dell’impatto inerente la protezione dei dati per le imprese. Motivo per cui l’Associazione svizzera dei banchieri (ASB) seguiterà ad accompagnare strettamente la revisione della LPD in collaborazione con economiesuisse.
Nuovo Regolamento sulla protezione dei dati dell’Unione europea (GDPR)
Il GDPR è applicabile direttamente dal 25 maggio 2018. Esso rafforza i diritti delle persone fisiche nel controllo dei propri dati personali. Questa ordinanza è vincolante per tutti gli Stati membri dell’Unione europea, i quali hanno in parte già emanato leggi di attuazione. Il GDPR ha tuttavia anche effetti extraterritoriali. Numerose imprese in Svizzera devono quindi rispettare sia le disposizioni della revisione della Legge svizzera sulla protezione dei dati che quelle del GDPR. Di regola le nuove disposizioni sono connesse a incertezze giuridiche. Analisi non esaurienti degli effetti del GDPR sulla Svizzera sono state pubblicate ad esempio dall’Incaricato federale della protezione dei dati e della trasparenza oppure da Homburger.
Identità elettronica (eID)
Legge federale sui servizi d'identificazione elettronica (18.049)
Il Consiglio federale sta attualmente elaborando le basi giuridiche per un’identità elettronica ufficialmente riconosciuta dallo Stato (eID). Con la cosiddetta Legge eID si intende creare le condizioni quadro giuridiche e una standardizzazione per il riconoscimento dei sistemi eID e dei gestori dell’identità digitale. In concreto ciò significa che offerenti privati adeguati saranno autorizzati dalla Confederazione ad allestire eID e a gestire sistemi eID.
L’ASB sostiene esplicitamente la divisione dei compiti tra Stato e mercato prevista dal Consiglio federale.
Il coinvolgimento dell’economia privata è essenziale per il successo dell’eID. Le imprese dispongono del know-how tecnologico e della necessaria vicinanza alla clientela, al fine di garantire una diffusione rapida e capillare dell’eID, che aumenta l’attrattiva economica delle stesse. A tal proposito particolare rilevanza rivestono le banche svizzere, considerato che nei loro sistemi di «mobile banking» si identificano quotidianamente in modo sicuro e facile milioni di clienti bancari.
In ogni caso l’eID si affermerà soltanto se gli utenti possono avere la certezza che tutti i dati utilizzati sottostanno a norme di confidenzialità ragionevoli.
Direttiva sui servizi di pagamento (PSD2)
Con la seconda edizione della Direttiva sui servizi di pagamento (Payment Services Directive, in breve PSD2), l’UE fissa nuove regole di gioco nell’ambito bancario e in particolare nel traffico dei pagamenti. La direttiva obbliga tra l’altro le banche nell’UE a garantire l’accesso ai conti bancari ai terzi offerenti.
L’ASB rigetta una normativa analoga per la piazza finanziaria svizzera. Non da ultimo per motivi di sicurezza si è giunti alla conclusione che la Svizzera debba rinunciare a un’apertura forzata da parte dello Stato dei diritti di accesso per terzi.
Il tema sicurezza dei dati dei clienti riveste un ruolo centrale nei servizi di e-banking. Il livello più alto di sicurezza può tuttavia essere garantito soltanto tramite l’interazione del cliente e la banca. Al contrario, un’apertura unilaterale è rischiosa, poiché i principi di sicurezza specifici della banca non possono essere tenuti integralmente sotto controllo e vengono a crearsi così lacune di sicurezza.
Legge federale sui servizi finanziari (Legge sui servizi finanziari, LSF)
Legge sui servizi finanziari (LSF) e legge sugli instituti finanziari (LiFin) (15.073)
La prevista LSF stabilisce altresì specifiche prescrizioni in materia di protezione dei dati, le quali si applicano in aggiunta alla LPD e possono sovrapporsi alle disposizioni previste da quest’ultima. Ad esempio il diritto alla consegna di tutti i documenti della clientela, che il fornitore di servizi finanziari ha allestito nel quadro della relazione d’affari, previsto nell’art. 75 LSF corrisponde essenzialmente all’art. 8 LPD, che disciplina gli obblighi d’informazione e dunque anche gli obblighi di consegna in relazione ai dati personali.
Protezione dei dati
La protezione della sfera privata è un’esigenza fondamentale dell’essere umano. Pertanto ai sensi dell’art. 13 della Costituzione federale ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione, della sua corrispondenza epistolare nonché delle sue relazioni via posta e telecomunicazioni come pure – in senso lato – d’essere protetto da un impiego abusivo dei suoi dati personali.
Nel nostro mondo sempre più digitale i dati determinano la nostra vita, sempre e ovunque. Una volta registrati, i dati restano in rete per molto tempo e possono quindi essere utilizzati potenzialmente per scopi che non corrispondono alla volontà dei rispettivi utenti. È dunque nell’interesse sia delle imprese che delle persone private sapere che la protezione dei dati è rispettata e garantita. Soprattutto le banche, che possono vantare una lunga tradizione in termini di discrezione e riservatezza, sono consapevoli che le informazioni dettagliate sulla situazione finanziaria di una persona sono tra i dati più sensibili che possono essere rivelati.
Legge sulla protezione dei dati
In Svizzera la Legge federale sulla protezione dei dati (LPD) tutela la persona e i diritti fondamentali delle persone fisiche e giuridiche di cui vengono trattati determinati dati. La legge cita i presupposti per il trattamento dei dati consentito in uno Stato di diritto, prevenendo così i possibili abusi. Essa sancisce altresì il principio che non possono essere raccolte più informazioni relative ai clienti di quanto siano effettivamente necessarie (principio di proporzionalità e minimizzazione dei dati).
La protezione dei dati ha come obiettivo il diritto all’autodeterminazione informale, il quale esprime chiaramente che ogni cittadino e ogni cittadina deve poter decidere autonomamente in merito alla divulgazione e alla finalità d’uso dei propri dati. La legislazione in materia di protezione dei dati concede dunque ai cittadini varie possibilità per salvaguardare i diritti della personalità.
Diritto d’accesso
L’art. 8 LPD disciplina il cosiddetto diritto di accesso o d’informazione. Ogni persona può domandare al detentore di una collezione di dati se e quali dati che la concernono sono trattati. In linea di principio la rispettiva informazione deve avvenire per iscritto e gratuitamente. La comunicazione delle informazioni può essere rifiutata o limitata soltanto nella misura in cui una legge formale lo preveda oppure in cui interessi preponderanti di un terzo lo esigano (art. 9). In tutti gli altri casi il detentore della collezione di dati è tenuto a fornire informazioni complete nonché a comunicare altresì la provenienza e lo scopo dell’elaborazione.
Obbligo d’informazione
In connessione al diritto d’accesso la LPD prevede il cosiddetto obbligo d’informazione. Se vengono raccolti dati personali degni di particolare protezione o profili della personalità, le persone fisiche interessate devono essere attivamente informate dal detentore di una collezione di dati. A tal proposito va comunicato tra l’altro lo scopo dell’elaborazione come pure, in caso di divulgazione, il destinatario dei dati.
Le disposizioni della Legge sulla protezione dei dati valgono soltanto per l’elaborazione dei cosiddetti dati personali. Con questo termine si intendono tutti i dati che si riferiscono a una persona determinata o determinabile attraverso gli stessi (ad esempio indirizzo IP). La LPD non è applicabile ai dati che sono trattati da persone fisiche per uso esclusivamente personale e che non vengono resi noti a terzi.
Sicurezza dei dati
Nell’epoca del mobile banking o delle app per i pagamenti, numerosi clienti bancari accedono quotidianamente ai propri dati relativi al conto o alla carta di credito attraverso il computer o lo smartphone. La gestione delle lacune di sicurezza rappresenta pertanto una sfida particolare, soprattutto considerato che le lacune nelle misure di sicurezza danneggiano non solo gli istituti interessati, ma anche al contempo la reputazione della piazza finanziaria nel suo complesso. Le banche prendono dunque le contromisure, registrando in modo mirato i nuovi rischi e cercando di limitarli. Inoltre, il tema della protezione dei dati unitamente all’aspetto della sicurezza dei dati sono sempre più oggetto delle delibere e delle decisioni del Consiglio di amministrazione e della Direzione di una banca.
L’art. 7 della Legge sulla protezione dei dati prevede che i dati personali siano protetti contro ogni trattamento non autorizzato mediante provvedimenti tecnici ed organizzativi appropriati. Un’impostazione in materia di vigilanza del concetto della sicurezza dei dati per le banche è descritta nella Circolare della FINMA 2008/21 «Rischi operativi». L’Allegato 3 della circolare contiene nove principi sul trattamento dei dati elettronici di identificazione del cliente (i cosiddetti «client identifying data», CID). I requisiti sono in primo luogo di natura tecnica e vertono tra l’altro su temi quali la conduzione di un’istanza di controllo indipendente, standard di sicurezza adeguati per l’infrastruttura e la tecnologia come pure l’identificazione e il controllo dei rischi in riferimento alla confidenzialità dei CID. Le banche sono dunque tenute ad allestire un quadro globale che garantisca la riservatezza dei dati dei clienti nel mondo digitale.
Segreto bancario
Il segreto bancario (art. 47 della Legge sulle banche) è un segreto professionale effettivo e in quanto tale è paragonabile a quello dei medici o degli avvocati. Esso mira alla tutela della sfera privata finanziaria e protegge tutte le constatazioni di fatto, i giudizi di valore o altro tipo di dati (compresi i risultati delle valutazioni riferite a persone), che si possono attribuire a un cliente bancario. In questo senso il segreto bancario va oltre la Legge sulla protezione dei dati. Tuttavia, contrariamente a un’opinione molto diffusa, non vale illimitatamente: il segreto bancario già introdotto nel 1934 non concede infatti alcuna protezione in particolare ai criminali. Le banche sono da sempre tenute a divulgare informazioni sulla clientela nei seguenti casi:
- nei processi civili (ad esempio in caso di eredità o divorzi),
- nelle procedure di esecuzione o di realizzazione forzata,
- in processi penali (per inciso anche nei casi di frode fiscale),
- nelle procedure dell’autorità di vigilanza sui mercati finanziari, e
- nelle procedure di scambio di informazioni transfrontaliero.
Negli anni passati il segreto bancario ha subito profondi cambiamenti di portata storica, nello specifico per le questioni fiscali. Sulla scia degli sviluppi sul fronte internazionale, anche in Svizzera è stata concessa maggiore rilevanza alla trasparenza nei confronti delle autorità fiscali e di vigilanza.
Scambio automatico delle informazioni (SAI)
Dal 1° gennaio 2017 le banche svizzere attuano lo scambio automatico delle informazioni (SAI) con l’estero. Il SAI regolamenta le modalità con cui le autorità fiscali dei Paesi partecipanti si scambiano reciprocamente i dati relativi ai conti e ai depositi titoli dei contribuenti. La Svizzera è fortemente colpita dal SAI, considerato che nel nostro Paese viene gestito più di un quarto del patrimonio investito a livello internazionale in tutto il mondo. Il governo svizzero e le banche si sono pertanto intensamente impegnate nell’OCSE a favore di un’impostazione equa e praticabile dello standard SAI; tra cui rientra anche la pretesa avanzata con determinazione di una sufficiente protezione dei dati.
Foreign Account Tax Compliance Act (FATCA)
Maggiori requisiti di trasparenza valgono anche nei confronti degli USA. La FATCA è una legge fiscale USA unilaterale con effetti extraterritoriali, che mira ad arginare una possibile evasione fiscale a carico degli USA. Questa normativa si rivolge agli istituti finanziari a livello globale ed esige che questi ultimi inoltrino periodicamente alle autorità fiscali USA informazioni sui cosiddetti «conti US». Come numerosi altri Paesi, la Svizzera ha stipulato con gli USA un trattato internazionale per l’applicazione agevolata della normativa FATCA. Sulla base di questo trattato internazionale (ossia il cosiddetto Accordo FATCA) è stata emanata in seguito una legge FATCA svizzera, che è in vigore dal 30 giugno 2014.