In data 25 maggio 2018 è entrato in vigore il nuovo regolamento generale europeo 2016/679 sulla protezione dei dati.
Malgrado esso sia uno strumento legislativo europeo, le sue disposizioni hanno delle implicazioni dirette pure per gli attori economici e le associazioni professionali con sede/domicilio in Svizzera. Di conseguenza, risulta necessario conoscere il suo contenuto e capire come applicarlo.
Il campo di applicazione personale
Vista la complessità della materia e le implicazioni di una sua violazione (è previsto un sistema sanzionatorio severo), la prima domanda da porsi è a sapere se uno studio d’architettura o d’ingegneria con sede/domicilio in Svizzera o un’associazione professionale svizzera siano assoggettati al nuovo regolamento GDPR. E già a questa prima domanda, di fondamentale importanza, non è facile trovare la risposta.
L’art. 3 cpv. 2 lit. a GDPR prescrive che il regolamento «si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione [ossia da una ditta o un’associazione professionale svizzeri], quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato». Vige quindi il principio dell’applicazione extraterritoriale del nuovo regolamento.
Il nuovo regolamento non definisce cosa si intende con «l’offerta di beni o la prestazione di servizi». In base alla sua interpretazione, considerando la giurisprudenza europea, le entità che trattano dei dati devono analizzare se la loro intenzione di vendere beni o servizi nell’UE è manifesta. Diversi indizi possono pertanto essere presi in considerazione, ad esempio la menzione sul sito internet di clienti situati nei paesi membri, di numeri di telefoni svizzeri con il prefisso internazionale o dell’indicazione della moneta utilizzata nell’UE.
Per quanto riguarda una buona parte degli studi di architettura e di ingegneria ticinesi, essi non orientano esplicitamente (in modo manifesto) la loro offerta di prestazioni di progettazione e di direzione lavori a clienti europei. Quindi, di principio, non dovrebbero essere assoggettati al nuovo regolamento. Per degli eventuali clienti europei, i loro dati personali dovranno però essere trattati nel rispetto del nuovo regolamento. Analogo ragionamento vale per le associazioni professionali.
L’applicazione del nuovo regolamento è per contro più evidente, giusta l’art. 3 cpv. 1 GDPR, per gli studi d’architettura e d’ingegneria svizzeri che sono presenti, ad esempio con delle succursali, in Europa.
Il campo di applicazione materiale
Secondo l’art. 2 cpv. 1 GDPR, il nuovo regolamento si applica «al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi». Con l’espressione «dati personali» si deve intendere qualsiasi informazione riguardante una persona fisica (e non le persone giuridiche) identificata o identificabile.
Le misure da adottare
Le ditte e gli enti svizzeri assoggettati al nuovo regolamento devono adottare una serie di misure volte a garantire che le informazioni oggetto del trattamento dei dati personali siamo facilmente accessibili e di facile comprensione, formulate in modo conciso e trasparente, con un linguaggio semplice e chiaro.
Va rilevato che, essendo la legge federale sulla protezione dei dati (LPD) in revisione e visto il tenore della revisione compatibile con il diritto europeo, le misure da adottare riferite al nuovo regolamento GDPR dovranno con ogni probabilità essere adottate al momento dell’entrata in vigore, probabilmente nel 2019, della nuova LPD.
Le misure da adottare, a causa dell’entrata in vigore del nuovo regolamento, devono garantire in particolare il diritto all’informazione (articoli 13 e 14 GDPR), il diritto di accesso (articolo 15 GDPR), il diritto di rettifica (articolo 16 GDPR), il diritto alla cancellazione (articolo 17 GDPR), il diritto di limitazione di trattamento (articolo 18 GDPR), il diritto alla portabilità dei dati (articolo 20 GDPR), il diritto di opposizione (articolo 21 GDPR) e il diritto a non essere sottoposto a processo decisionale automatizzato (articolo 22 GDPR).
Di conseguenza, l’entità che tratta dei dati personali deve ad esempio rendere attento il futuro cliente, o il futuro associato, della raccolta di determinati dati personali e dello scopo di tale raccolta (motivi della raccolta). L’interessato deve poter esplicitamente acconsentire alla raccolta di tali dati e ha il diritto di ricevere in ogni momento una copia dei dati personali oggetto del trattamento.
In concreto, le ditte e gli enti di trattamento devono prevedere, nei contatti tramite la propria pagina internet o nei contratti che firmano con il loro cliente, la richiesta dell’esplicito consenso (tramite attivazione di un determinato campo o tramite firma) al trattamento dei dati personali. L’attuale interpretazione del nuovo regolamento non consente di chiedere il consenso in modo implicito, ad esempio tramite una clausola generale nelle condizioni generali contrattuali.
In conclusione, anche se apparentemente il nuovo regolamento europeo sulla protezione dei dati non è applicabile di principio a tutti gli studi d’architettura e d’ingegneria svizzeri, l’aspetto della protezione dei dati personali dei clienti, persone fisiche, assumerà sempre più importanza, in particolare con l’adozione della nuova legge federale sulla protezione dei dati, in revisione.
