Newsletter #2 9/2022 Conclusione della revisione totale della Legge federale sulla protezione dei dati (LPD).

Panoramica

La revisione totale della Legge federale sulla protezione dei dati (LPD) si è conclusa. In data 31 agosto 2022, il Consiglio federale ha pubblicato l'ordinanza sulla protezione dei dati (OLPD) e ha decretato l'entrata in vigore delle nuove norme dal 1° settembre 2023. L'obiettivo della revisione totale è quello di adattare la legge federale sulla protezione dei dati, ormai obsoleta, alle condizioni sociali e tecnologiche odierne e di avvicinarla alle più recenti e moderne normative in materia di protezione dei dati vigenti in Europa (in particolare al RGPD dell'UE). La oramai esistente legge e la relativa ordinanza sono certamente in linea con molte parti delle norme UE. Tuttavia, nell'esaminare e implementare il nuovo assetto della protezione dei dati in un'azienda, occorre tenere conto di alcune cosiddette "finiture svizzere".

Le aziende Svizzere hanno ora un anno di tempo per implementare le nuove regole. Non sono previsti (ulteriori) periodi di transizione. Qui di seguito desideriamo, pertanto, informarvi brevemente sui cambiamenti più importanti e sulla nostra offerta. Inoltre, in allegato è disponibile una lista di controllo con i singoli compiti per l'attuazione graduale delle nuove norme sulla protezione dei dati nella vostra azienda.

 

Le novità importanti

Di seguito, ci limiteremo alle novità più importanti rispetto al diritto attualmente vigente.

Nessuna protezione dei dati di persone giuridiche: Mentre l'attuale LPD si applica ai dati di persone fisiche e giuridiche, la revLPD limita l'ambito di applicazione proprio come il RGPD dell'UE ai dati delle persone fisiche.

Profilazione e profilazione a rischio elevato: si distingue tra "profilazione" normale e "profilazione a rischio elevato". La profilazione è una forma di trattamento automatizzato di dati personali che consiste nell'impiego di tali dati per valutare, analizzare o prevedere determinate caratteristiche personali relativi a una persona fisica (art. 5 lett. f nLPD). La profilazione a rischio elevato comporta, in più, un rischio elevato per la personalità o i diritti fondamentali dell'interessato (art. 5 lett. g nLPD). La profilazione non richiede di per sé il consenso, anche in caso di rischio elevato. Tuttavia, diviene rilevante in relazione agli obblighi di informazione, all'obbligo di registrazione e alla valutazione dell'impatto sulla protezione dei dati (cfr. sotto).

Obblighi di informazione e di accesso notevolmente ampliati: La nuova normativa prevede che le persone interessate siano informate in particolare sull'acquisizione dei dati personali e che vengano fornite tutte le informazioni necessarie per consentire alle persone interessate di far valere i propri diritti e per garantire un trattamento trasparente dei dati. Ciò comprende, in particolare, i dati di contatto della persona responsabile, lo scopo del trattamento e, se del caso, i destinatari dei dati personali in caso di trasmissione (art. 19 nLPD). La violazione deliberata di questo obbligo è soggetta a sanzioni penali.

Inoltre, chiunque può richiedere informazioni sul fatto che vengano trattati dati personali che lo riguardano. In tal caso, devono essere fornite loro tutte le informazioni necessarie per far valere i propri diritti e per garantire un trattamento trasparente dei dati. La legge contiene un elenco corrispondente (art. 25 nLPD).

Nuove denominazioni di ruolo: La nuova normativa introduce i termini "titolare del trattamento" e "responsabile del trattamento". È utile conoscere questi due ruoli per comprendere le seguenti spiegazioni, nonché il testo stesso della legge. Il titolare del trattamento dei dati è colui che [...] decide le finalità e i mezzi del trattamento dei dati, ad esempio un datore di lavoro per il trattamento dei dati personali dei suoi dipendenti o un commerciante per il trattamento dei dati personali dei suoi clienti. Per contro, un responsabile del trattamento è chiunque [...] tratti i dati personali per conto del titolare del trattamento, ad esempio la memorizzazione dei dati su un server esterno o da parte di fornitori di servizi cloud.

Compiti amministrativi: Anche i compiti amministrativi sono stati ampliati. Questi includono, ad esempio:

-           la tenuta di un registro (art. 12 nLPD). Il registro delle attività di trattamento è un inventario che contiene le varie attività di trattamento di dati nell'azienda (ad esempio risorse umane, marketing, ecc.) e le relative condizioni generali più importanti. Sono previste eccezioni per le aziende con meno di 250 collaboratori (art. 24 OLPD);

-           la predisposizione di valutazioni d'impatto sulla protezione dei dati, se il trattamento può comportare un rischio elevato per la personalità o i diritti fondamentali dell'interessato (art. 22 nLPD);

-           obblighi di segnalazione in caso di violazione della legge sulla protezione dei dati (art. 24 nLPD e art. 15 OLDP);

-           registrazione di trattamenti automatizzati su larga scala di dati personali degni di particolare protezione o di profilazioni a rischio elevato, se le misure preventive adottate non sono in grado di garantire la protezione dei dati (art. 4 OLPD); e

-           l'allestimento di regolamenti per trattamenti automatizzati. Questi regolamenti, in più, devono essere aggiornati regolarmente in caso di trattamento automatizzato su larga scala di dati personali degni di particolare protezione o di una profilazione a rischio elevato (art. 5 OLPD).

Sicurezza dei dati:

Devono essere adottate misure tecniche e organizzative (ad es. diritti di accesso, pseudonimizzazione) per garantire un'adeguata sicurezza dei dati. Ciò include anche che le applicazioni siano progettate in modo tale che i dati personali siano anonimizzati per impostazione predefinita e/o cancellati dopo un certo periodo di tempo.

Se i dati personali vengono trattati da un responsabile del trattamento, il titolare del trattamento deve assicurarsi che anche il responsabile del trattamento sia in grado di garantire la sicurezza dei dati (ad esempio, attraverso cosiddetti "contratti di trattamento commissionato di dati personali").

In relazione alla sicurezza dei dati, vale la pena ricordare che esiste l'obbligo di verificare e, se è necessario, adattare le specifiche misure "durante tutto il periodo del trattamento", e che la violazione intenzionale dei requisiti minimi di sicurezza dei dati è soggetta a sanzioni.

Comunicazione di dati personali all'estero:

In particolare, è considerata comunicazione la memorizzazione di dati personali su un sistema esistente all'estero (server, cloud), ma anche l'accesso da parte di un team di supporto estero.

In linea di principio, i dati personali possono essere comunicati all'estero se la legislazione del paese terzo ne garantisce una protezione adeguata (art. 16 cpv. 1 nLPD). I Paesi in cui ciò avviene sono elencati nell'Allegato 1 della OLPD. In caso di comunicazione dei dati personali verso altri Paesi, tra cui in particolare gli Stati Uniti, è richiesta l'applicazione di una specifica disposizione di esenzione o l'attuazione di misure di protezione alternative per garantire un'adeguata protezione dei dati (art. 16 cpv. 2 e art. 17 nLPD).

Sanzioni:

La nuova legge sulla protezione dei dati prevede multe fino a CHF 250'000 per la violazione di determinati obblighi (art. 60 e segg. nLPD). Sono punibili azioni e omissioni intenzionali, ma non la negligenza. A differenza dell'UE, dove le sanzioni sono dirette contro l'azienda, in Svizzera è sempre la persona fisica responsabile a essere multata. L'azienda stessa può essere multata fino a CHF 50'000 solo se l'identificazione della persona fisica penalmente responsabile all'interno dell'azienda o dell'organizzazione comporterebbe uno sforzo investigativo sproporzionato.

 

Consigliamo di iniziare a implementare le nuove norme il prima possibile, in modo che la vostra azienda sia conforme alla nLPD il 1° settembre 2023. Come già accennato, in allegato è disponibile una breve lista di controllo che può aiutarvi a iniziare.

La nostra offerta

Saremo lieti di fornirvi un supporto pragmatico e sostenibile per i vostri progetti di protezione dei dati, ad esempio:

• attraverso la formazione e l'istruzione;
• con l'analisi GAP e l'impostazione del sistema di protezione dei dati;
• con consigli su strumenti utili per la protezione dei dati;
• con la preparazione delle necessarie dichiarazioni sulla protezione dei dati;
• nella redazione dei contratti con i vostri partner;
• in caso di esternalizzazione importante dell'elaborazione dei dati/outsourcing (ad esempio quando si utilizzano servizi cloud) o
• in relazione a trasferimenti di dati all'estero.

Ci auguriamo di potervi aiutare con queste informazioni e saremo lieti di rispondere a tutte le vostre domande.

 

• Checklist_DE.pdf
• Checklist_IT.pdf
• Checklist_FR.pdf
• Checklist_EN.pdf