Legge sulla protezione dei dati
L'ultima possibilità di attuazione
17 agosto 2023 agvs-upsa.ch – Il 1° settembre 2023 si avvicina rapidamente. Entro questa data, tutte le aziende in Svizzera dovranno aver implementato la nuova legge sulla protezione dei dati. Le misure più importanti che le PMI devono adottare ora.
La nouvelle loi sur la protection des données sera applicable à partir du 1er septembre 2023. Foto: Shutterstock/UPSA-Media
srh. Ci si potrebbe chiedere perché una nuova legge sulla protezione dei dati (DPA). Il fatto che l'UE abbia adottato un nuovo Regolamento generale sulla protezione dei dati (GDPR) nel maggio 2018, che ha avuto alcune conseguenze anche in questo Paese, può giocare un ruolo in questa riflessione. La precedente legge sulla protezione dei dati in Svizzera, invece, risale al 1992, mentre il World Wide Web, sviluppato al CERN di Ginevra, risale a soli tre anni prima. Nel 1992, inoltre, è stato introdotto negli Stati Uniti il primo telefono cellulare con capacità GSM e in Svizzera è stata lanciata la rete Natel-D. Nel settore automobilistico, la Fiat ha presentato la Cinquecento per sostituire la Topolino, e per la prima volta al 62° Salone dell'Auto c'è stata una mostra speciale sulle auto elettriche e solari; la VW ha presentato la Chico – all'epoca ancora scambiata come una possibile «Swatchmobile» -, la BMW la E1 e la General Motors la Impact. In altre parole, da allora sono successe molte cose dal punto di vista tecnologico in questo settore.
Ma quali sono le innovazioni più importanti della legge svizzera sulla protezione dei dati, edizione 2023? I punti più importanti per le PMI:
I «dati personali che richiedono una protezione speciale» diventeranno più completi
In futuro le persone fisiche saranno maggiormente tutelate. Finora, ad esempio, le informazioni sull'origine di una persona, gli aspetti relativi alla salute o le informazioni sull'affiliazione religiosa e le opinioni politiche erano considerate dati personali che richiedevano una protezione speciale. Ora anche i dati genetici come l'etnia e i dati biometrici (impronte digitali, scansioni della retina) sono considerati particolarmente degni di protezione.
La «profilazione» è ancorata nella LPD
Per «profilazione» si intendono informazioni quali il luogo di residenza, la situazione economica, lo stato di salute, l'età, il rendimento lavorativo o gli hobby e altri interessi di una persona. Queste informazioni possono essere utilizzate per creare un profilo accurato di una persona. Questi dati possono ancora essere raccolti, ma solo con la massima sensibilità. In altre parole: la raccolta di questi dati non deve violare i diritti della persona. Se le caratteristiche di una persona possono essere chiaramente lette dai dati, si parla di «profilazione ad alto rischio». In questo caso, la nuova FADP richiede il consenso esplicito di queste persone.
Privacy by Default e Privacy by Design
Questi due termini sono centrali nella nuova LPD. È quindi importante conoscerne il significato. «Privacy by Default» si traduce come: Protezione dei dati attraverso impostazioni predefinite favorevoli alla protezione dei dati. Ciò significa che: Le impostazioni di fabbrica sono concepite in modo da favorire la protezione dei dati. In questo modo si intende proteggere gli utenti meno esperti di tecnologia che, ad esempio, non sono sufficientemente consapevoli delle impostazioni di protezione dei dati sui siti web. Come possibile soluzione a questa sfida, il banner dei cookie può essere progettato in modo tale che l'utente possa selezionare attivamente i diversi cookie, ma le croci necessarie sono già impostate nell'impostazione predefinita. Il banner indica anche il requisito che i dati personali raccolti devono corrispondere all'uso previsto. Se vengono raccolti più dati di quelli realmente necessari, è necessario informare le persone e ottenere il loro consenso.
«Privacy by design» significa: protezione dei dati attraverso la progettazione tecnologica. Questo principio si basa sul fatto che la protezione dei dati può essere meglio rispettata se il software e l'hardware sono progettati e sviluppati fin dall'inizio in modo tale da tenere conto delle misure di protezione dei dati rilevanti fin dall'inizio. La protezione dei dati personali ai sensi della FADP si ottiene adottando misure tecniche e organizzative (TOM) in una fase iniziale dello sviluppo.
Obbligo di notifica
In caso di violazione della protezione dei dati personali, il titolare del trattamento deve notificare la violazione all'autorità di controllo, l'Incaricato federale della protezione dei dati e delle informazioni, senza indugio, se possibile entro 72 ore dal momento in cui ne è venuto a conoscenza (termine tecnico «data breach notification»). In secondo luogo, devono essere informate anche le rispettive persone i cui dati sono interessati. Il contenuto della notifica alle autorità di controllo è prescritto in dettaglio dalla legge e, oltre alle informazioni sulla violazione, comprende anche il nome e i dati di contatto della persona da contattare presso l'azienda. Se la violazione può comportare un rischio elevato per i diritti e le libertà personali delle persone fisiche, gli interessati devono essere informati.
Estensione dell'obbligo di informazione
L'obbligo di informazione è stato notevolmente ampliato. Gli interessati devono ora essere informati su ogni acquisizione di dati personali. Con la nuova legge, devono essere fornite informazioni anche sull'identità e sui dati di contatto del responsabile, sulle finalità del trattamento e sui gruppi di destinatari. Per essere un po' più chiari: I seguenti punti sono obbligatori:
Se i dati vengono trasferiti all'estero, deve essere disponibile il consenso dell'interessato o il passaggio deve essere necessario ai sensi del diritto contrattuale. Inoltre, in quanto PMI, dovete essere in grado di dimostrare che tutte le norme sulla protezione dei dati sono rispettate anche nel Paese di destinazione.
La protezione riguarda solo le persone fisiche
La revisione della FADP significa che le società e le organizzazioni, ossia le persone giuridiche, non possono più invocare la legge. I contenuti della protezione si applicano ora solo alle persone fisiche.
Pianificazione del rischio
In caso di sinistro, chi non può dimostrare di essersi preparato in anticipo sarà perseguibile penalmente. L'obiettivo è quello di ridurre al minimo i pericoli connessi e di poterlo dimostrare in caso di dubbio.
E attenzione: Chiunque violi l'obbligo di informazione, fornisca informazioni incomplete o false sulla protezione dei dati o trasmetta dati personali all'estero senza autorizzazione è passibile di una multa fino a 250.000 franchi svizzeri. È importante notare che la multa non viene comminata all'azienda stessa, ma alla persona effettivamente responsabile della violazione della legge sulla protezione dei dati.
La nouvelle loi sur la protection des données sera applicable à partir du 1er septembre 2023. Foto: Shutterstock/UPSA-Media
srh. Ci si potrebbe chiedere perché una nuova legge sulla protezione dei dati (DPA). Il fatto che l'UE abbia adottato un nuovo Regolamento generale sulla protezione dei dati (GDPR) nel maggio 2018, che ha avuto alcune conseguenze anche in questo Paese, può giocare un ruolo in questa riflessione. La precedente legge sulla protezione dei dati in Svizzera, invece, risale al 1992, mentre il World Wide Web, sviluppato al CERN di Ginevra, risale a soli tre anni prima. Nel 1992, inoltre, è stato introdotto negli Stati Uniti il primo telefono cellulare con capacità GSM e in Svizzera è stata lanciata la rete Natel-D. Nel settore automobilistico, la Fiat ha presentato la Cinquecento per sostituire la Topolino, e per la prima volta al 62° Salone dell'Auto c'è stata una mostra speciale sulle auto elettriche e solari; la VW ha presentato la Chico – all'epoca ancora scambiata come una possibile «Swatchmobile» -, la BMW la E1 e la General Motors la Impact. In altre parole, da allora sono successe molte cose dal punto di vista tecnologico in questo settore.
Ma quali sono le innovazioni più importanti della legge svizzera sulla protezione dei dati, edizione 2023? I punti più importanti per le PMI:
I «dati personali che richiedono una protezione speciale» diventeranno più completi
In futuro le persone fisiche saranno maggiormente tutelate. Finora, ad esempio, le informazioni sull'origine di una persona, gli aspetti relativi alla salute o le informazioni sull'affiliazione religiosa e le opinioni politiche erano considerate dati personali che richiedevano una protezione speciale. Ora anche i dati genetici come l'etnia e i dati biometrici (impronte digitali, scansioni della retina) sono considerati particolarmente degni di protezione.
La «profilazione» è ancorata nella LPD
Per «profilazione» si intendono informazioni quali il luogo di residenza, la situazione economica, lo stato di salute, l'età, il rendimento lavorativo o gli hobby e altri interessi di una persona. Queste informazioni possono essere utilizzate per creare un profilo accurato di una persona. Questi dati possono ancora essere raccolti, ma solo con la massima sensibilità. In altre parole: la raccolta di questi dati non deve violare i diritti della persona. Se le caratteristiche di una persona possono essere chiaramente lette dai dati, si parla di «profilazione ad alto rischio». In questo caso, la nuova FADP richiede il consenso esplicito di queste persone.
Privacy by Default e Privacy by Design
Questi due termini sono centrali nella nuova LPD. È quindi importante conoscerne il significato. «Privacy by Default» si traduce come: Protezione dei dati attraverso impostazioni predefinite favorevoli alla protezione dei dati. Ciò significa che: Le impostazioni di fabbrica sono concepite in modo da favorire la protezione dei dati. In questo modo si intende proteggere gli utenti meno esperti di tecnologia che, ad esempio, non sono sufficientemente consapevoli delle impostazioni di protezione dei dati sui siti web. Come possibile soluzione a questa sfida, il banner dei cookie può essere progettato in modo tale che l'utente possa selezionare attivamente i diversi cookie, ma le croci necessarie sono già impostate nell'impostazione predefinita. Il banner indica anche il requisito che i dati personali raccolti devono corrispondere all'uso previsto. Se vengono raccolti più dati di quelli realmente necessari, è necessario informare le persone e ottenere il loro consenso.
«Privacy by design» significa: protezione dei dati attraverso la progettazione tecnologica. Questo principio si basa sul fatto che la protezione dei dati può essere meglio rispettata se il software e l'hardware sono progettati e sviluppati fin dall'inizio in modo tale da tenere conto delle misure di protezione dei dati rilevanti fin dall'inizio. La protezione dei dati personali ai sensi della FADP si ottiene adottando misure tecniche e organizzative (TOM) in una fase iniziale dello sviluppo.
Obbligo di notifica
In caso di violazione della protezione dei dati personali, il titolare del trattamento deve notificare la violazione all'autorità di controllo, l'Incaricato federale della protezione dei dati e delle informazioni, senza indugio, se possibile entro 72 ore dal momento in cui ne è venuto a conoscenza (termine tecnico «data breach notification»). In secondo luogo, devono essere informate anche le rispettive persone i cui dati sono interessati. Il contenuto della notifica alle autorità di controllo è prescritto in dettaglio dalla legge e, oltre alle informazioni sulla violazione, comprende anche il nome e i dati di contatto della persona da contattare presso l'azienda. Se la violazione può comportare un rischio elevato per i diritti e le libertà personali delle persone fisiche, gli interessati devono essere informati.
Estensione dell'obbligo di informazione
L'obbligo di informazione è stato notevolmente ampliato. Gli interessati devono ora essere informati su ogni acquisizione di dati personali. Con la nuova legge, devono essere fornite informazioni anche sull'identità e sui dati di contatto del responsabile, sulle finalità del trattamento e sui gruppi di destinatari. Per essere un po' più chiari: I seguenti punti sono obbligatori:
- Identità e dati di contatto della/e persona/e responsabile/i
- Finalità del trattamento
- In caso di divulgazione dei dati: Destinatari o categorie di destinatari.
- In caso di trasferimento dei dati all'estero: lo Stato o l'organismo internazionale, nonché la garanzia di un'adeguata protezione dei dati o l'eccezione nel caso in cui non vengano fornite tali garanzie.
- In caso di raccolta indiretta di dati, inoltre (i dati non vengono raccolti presso l'interessato stesso): le categorie di dati personali trattati.
- Esecuzione di decisioni individuali automatizzate (ogni persona ha il diritto alla valutazione della decisione da parte di un essere umano)
La protezione riguarda solo le persone fisiche
La revisione della FADP significa che le società e le organizzazioni, ossia le persone giuridiche, non possono più invocare la legge. I contenuti della protezione si applicano ora solo alle persone fisiche.
Pianificazione del rischio
In caso di sinistro, chi non può dimostrare di essersi preparato in anticipo sarà perseguibile penalmente. L'obiettivo è quello di ridurre al minimo i pericoli connessi e di poterlo dimostrare in caso di dubbio.
E attenzione: Chiunque violi l'obbligo di informazione, fornisca informazioni incomplete o false sulla protezione dei dati o trasmetta dati personali all'estero senza autorizzazione è passibile di una multa fino a 250.000 franchi svizzeri. È importante notare che la multa non viene comminata all'azienda stessa, ma alla persona effettivamente responsabile della violazione della legge sulla protezione dei dati.
Webinar Business Academy UPSA:
La nuova legge sulla protezione dei dati svizzera: ecco cosa dovete sapere
La nuova legge sulla protezione dei dati svizzera: ecco cosa dovete sapere
Suggerimenti
Le PMI devono assolutamente esaminare con attenzione i propri moduli d'ordine e gli altri strumenti di raccolta dati pertinenti e adattarli, se necessario, in modo da essere conformi alla legge nel settembre 2023. In ogni caso, è consigliabile analizzare attentamente tutti i dati e chiarire i seguenti punti:
L'AGVS collabora sul tema della protezione dei dati con la società specializzata Impunix, che controlla e certifica l'attuazione completa della legge svizzera sulla protezione dei dati, delle linee guida dell'importatore o del produttore e delle raccomandazioni dell'AGVS nelle aziende. Ulteriori informazioni su: impunix.ch
torna suLe PMI devono assolutamente esaminare con attenzione i propri moduli d'ordine e gli altri strumenti di raccolta dati pertinenti e adattarli, se necessario, in modo da essere conformi alla legge nel settembre 2023. In ogni caso, è consigliabile analizzare attentamente tutti i dati e chiarire i seguenti punti:
- Quali dati vengono raccolti da chi (clienti e dipendenti)?
- Quali di questi dati non sono direttamente collegati al servizio fornito?
- Quali dati sono considerati particolarmente degni di protezione?
- Dove vengono conservati questi dati?
- La protezione dei dati è sufficiente?
- Chi ha accesso interno o esterno ai dati e questo accesso è veramente necessario?
- Chi è responsabile internamente della sicurezza dei dati? Questa persona è sufficientemente formata?
- Quale processo si attiva in caso di fuga di dati e chi ne è responsabile?
Aggiungi commento
Commenti