Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.
Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.
Caro amico, ma ne sei sicuro?
GDPR Art.3 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce e di coloro che offrono servizi I.T.
Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.
E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?
Poi ci sono i giornali on-line; ambito estremamente vario e complesso.
Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).
Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve (2019) è attesa la relativa attuazione.
Preso atto di questo, consiglio alle aziende svizzere di iniziare il processo di compliance; avranno più tempo per adeguarsi al loro regolamento LDP, che sarà molto simile al GDPR.
Aggiornamento: ho ricevuto molte richieste di chiarimento, relative all’articolo.
Riassumendo, i casi nei quali si applica il GDPR ad un “Titolare del Trattamento” svizzero:
- quando offre beni o servizi a persone stabilite nei Paesi comunitari, come per esempio quando ha un sito di e-commerce che vende in UE;
- quando effettua attività di profilazione di soggetti stabiliti in Paesi comunitari, al fine di presentar loro dei prodotti e servizi personalizzati, anche qualora non siano a titolo oneroso;
- qualora svolga attività di responsabile esterno del trattamento per titolari del trattamento appartenenti alla UE.
Aggiornamento2: da poco abbiamo un punto di presenza anche in Svizzera, presso Maroggia; ulteriori dettagli alla pagina dove siamo e contatti.