Rispetto alla versione precedente della legge sulla protezione dei dati, riguardo a questo punto non sono state apportate modifiche sostanziali. In quanto azienda, non spetta più però a te valutare se in un Paese terzo i dati vengono tutelati in maniera adeguata o meno: ora è infatti compito del Consiglio federale definire quali Paesi garantiscono un livello consono di protezione dei dati. La trasmissione di dati personali ai Paesi presenti su questa lista continua dunque a essere consentita.
La legislazione svizzera prevede solo che i dati personali vengano inviati o resi accessibili e, a differenza del RGPD, non presuppone che questi vengano trasmessi all’estero per essere ulteriormente trattati. Qualunque trasmissione di dati personali all’estero va pertanto prima esaminata, anche se questi non verranno ulteriormente trattati fuori dai confini nazionali.
Sono previste eccezioni?
Se volessi trasmettere dati personali in un Paese che non è presente sull’elenco del Consiglio federale, la legge prevede comunque diverse opzioni per assicurare una protezione dei dati adeguata. È infatti possibile definire normative vincolanti interne all’azienda, clausole standard per la protezione dei dati o contratti specifici, che tuttavia devono essere presentati preventivamente all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) per conoscenza o approvazione.
Le legge prevede poi ulteriori eccezioni, ad esempio il consenso esplicito delle persone interessate; se queste acconsentono all’invio dei loro dati all’estero, dovresti formalizzare l’accordo per iscritto.