L’utilizzo quotidiano per scopi privati e professionali di internet, cloud, pc, smartphone, programmi e software, divenuto pressoché indispensabile, espone la popolazione a rischi legati all'utilizzo dei loro dati personali. Per questo motivo, durante la sessione autunnale 2020, il Parlamento ha adottato la nuova Legge federale sulla Protezione dei Dati (nLPD), volta a migliorare il trattamento dei dati personali e accordare nuovi diritti ai cittadini svizzeri. La revisione totale della LPD entrerà in vigore il 1° settembre 2023, senza periodi di adeguamento.
In Svizzera, un consistente numero di imprese si era già adeguato al regolamento generale dell’UE sulla protezione dei dati (GDPR), e necessita ora di intraprendere pochi cambiamenti. Per le restanti aziende, l’adeguamento del diritto svizzero con quello europeo costituisce un tema centrale. La nuova legge dovrebbe infatti consentire di preservare la libera circolazione dei dati con l’Unione europea (UE) e dunque garantire la competitività delle imprese svizzere.
Cosa sapere sulla nLPD?
La nLPD e la relativa ordinanza si applicano al trattamento dei dati personali da parte di privati e organi federali. Interessa quindi le aziende private, svizzere ed estere, operanti sul mercato svizzero, le associazioni e i privati in generale (che rimangono esenti dal rispetto dei requisiti in materia di protezione dei dati, purché trattino i dati personali esclusivamente per scopi privati).
La normativa riguarda il trattamento di tutti i dati relativi a una persona fisica identificata o identificabile, comprendendo l'acquisizione, la memorizzazione, la conservazione, l’utilizzo, la modifica, la divulgazione, l’archiviazione, la cancellazione o la distruzione dei dati.
La revisione non prevede variazioni significative in merito ai principi del trattamento, pertanto le attività di trattamento dei dati attualmente consentite dovrebbero di regola restare tali anche con la nuova legge:
- Il trattamento dei dati personali può avvenire soltanto in modo lecito, in buona fede e secondo il principio di proporzionalità;
- È importante che i dati vengano trattati solo per le finalità per cui sono stati raccolti e che queste siano riconoscibili anche dalla persona interessata (destinazione vincolata).
Contrariamente, i casi in cui il trattamento dei dati viene considerato illecito sono:
- Violazione di principi di trattamento;
- Opposizione espressa della persona interessata;
- Comunicazione a terzi di dati personali degni di particolare protezione.
Nuova legge sulla protezione dei dati: quali obblighi per le imprese?
Questo importante cambiamento legislativo è accompagnato da una serie di obblighi per le imprese (titolari del trattamento) e per i responsabili del trattamento (persone fisiche). Per le prime, si applicano i seguenti obblighi:
- Compliance
- I programmi e processi implementati devono proteggere i diritti fondamentali delle persone fisiche (dipendenti, clienti, fornitori, utenti online) i cui dati sono oggetti di trattamento;
- Le misure tecniche e organizzative devono essere appropriate a garantire sicurezza per i dati.
- Obbligo di informare (trasparenza come principio cardine)
- I dati personali possono essere raccolti solo per uno scopo determinato e riconoscibile per la persona interessata;
- Lo scopo è riconoscibile se la persona interessata è stata informata, se il trattamento è previsto dalla legge o quando lo si evince chiaramente dalle circostanze;
- I dati devono essere trattati in conformità con gli scopi iniziali, dunque un ulteriore tipo di trattamento non è ammissibile se la persona interessata può legittimamente considerarlo inatteso, inappropriato e contestabile;
- Per adempiere all’obbligo, l’interessato deve poter prendere effettivamente atto delle informazioni in modo facilmente accessibile.
- Misure tecnico-organizzative (principio dell’accountability)
- Allo scopo di prevenire e mitigare i rischi per i diritti fondamentali delle persone interessate, i titolari/responsabili del trattamento devono comprovare, documentare e illustrare l’implementazione di un processo adeguato a proteggere le persone interessate.
Cosa succede se un’azienda non si adegua alla nLPD?
- Conseguenze sul piano amministrativo
Le competenze dell’Incaricato Federale della Protezione dei Dati (IFPDT) per far valere la nLPD sono state ampliate. Egli può, d’ufficio o su segnalazione, avviare un’indagine contro un’azienda e, in presenza di violazioni di prescrizioni in materia di protezione dei dati, ordinare estese misure tra cui la modifica o la sospensione del trattamento dei dati o addirittura la cancellazione dei dati; - Conseguenze sul piano civile
Ai sensi della nLPD, gli interessati hanno a disposizione rimedi giuridici di diritto civile per far valere le proprie pretese; - Conseguenze sul piano penale
Inasprimento delle disposizioni penali in caso di violazione o di inadempienze nei confronti del titolare del trattamento e, in particolare, a carico dei dirigenti, amministratori e detentori del potere decisionale in seno alle aziende (titolari di trattamento):
- Le violazioni intenzionali di determinati obblighi vengono sanzionate;
- Saranno le persone fisiche a rispondere delle multe, salvo se la multa applicabile non dovesse superare i CHF 50’000.00 e se l’identificazione degli autori richiedesse provvedimenti sproporzionati. In questi casi, sarebbe l’azienda a rispondere. La multa può andare fino a CHF 5 mio.
Come mitigare i rischi?
È possibile evitare di incorrere in errori o mancanze nell’adeguato trattamento dei dati grazie a diverse soluzioni:
- Programmi per l’elaborazione di dati conformi al GDPR e alla nLPD, che permettono di rispettare i requisiti di legge (accessibilità, sicurezza, finalità);
- Attenzione verso la scelta di password, credenziali di autenticazione (MFA: multi-factor authentication), sistemi di autorizzazione, istruzione dei dipendenti;
- Antivirus, firewall (aggiornati di frequente);
- Salvataggi frequenti e protetti dei dati: backup crittografati/codificati (alias protetti da password);
- Polizze cyber risk
La stipula di questo tipo di polizze mette al riparo l’azienda dai danni derivanti dalla perdita o dal danneggiamento di dati, ad esempio in caso di attacchi informatici, negligenze, ecc.; - Affidarsi ai professionisti, che si assicurino la conformità delle tue pratiche aziendali e salvaguardino la tua operatività fornendoti i giusti strumenti. Noi di NFS Group siamo sempre aggiornati non solo sulle normative in essere, ma anche sulle migliori modalità per ottemperare alle leggi e non incorrere in rischi.
Divulgare le informazioni: un evento per i nostri clienti
Ci impegniamo a offrire sempre ai nostri clienti un servizio altamente qualificato.
In NFS Group vogliamo che i nostri clienti siano aggiornati sulle più importanti tematiche aziendali, e organizziamo regolarmente eventi destinati alla condivisione e allo scambio. L'ultimo, venerdì 23 giugno, è stato dedicato proprio alla nuova legge sulla protezione dei dati, e ci siamo assicurati che ognuno di loro avesse le informazioni necessarie per adeguarsi e tutelare se stesso e la propria attività.
Vuoi conoscere il nostro approccio e i nostri valori?