Durante l’autunno del 2020, il Parlamento ha adottato la nuova legge federale sulla protezione dei dati (nLPD), per migliorare il trattamento dei dati personali e riconoscere nuovi diritti ai cittadini svizzeri.
Dal 1° settembre 2023 la Svizzera si è dotata di una nuova legge per proteggere i dati dei propri cittadini.
Di seguito ti spieghiamo in cosa consiste la LPD e quali sono gli obblighi che ne derivano per le aziende.
Dal 1° settembre 2023 la Svizzera si è dotata di una nuova legge per proteggere i dati dei propri cittadini.
Di seguito ti spieghiamo in cosa consiste la LPD e quali sono gli obblighi che ne derivano per le aziende.
LPD: DI COSA SI TRATTA
La prima legge federale sulla protezione dei dati risale al 1992.
Nel corso del tempo, la popolazione svizzera ha introdotto l’uso di internet e degli smartphone nel suo quotidiano e ricorrendo sempre più frequentemente alle reti sociali, ai cloud o all’internet delle cose.
In questo contesto dove la tecnologia impone sempre più la sua presenza, è dunque risultato indispensabile prevedere una nuova normativa che, al fine di garantire tutela e sicurezza alla popolazione attraverso una protezione dei suoi dati, fosse adeguata e adattata alle evoluzioni tecnologiche e sociali della nostra epoca.
Nella nuova versione della LPD, viene introdotta la protezione dei dati sin dalla progettazione, con conseguenti obblighi di due diligence più fiscali per i responsabili del trattamento e per le aziende che conservano dati privati.
Le aziende, nel progettare le proprie procedure interne organizzative devono tenere sempre presente la compliance.
Alla luce di quelle che sono le regole dettate dal RGPD, ovvero il Regolamento Europeo sulla protezione dei dati, la compatibilità del diritto svizzero con quello europeo è, tra le altre cose, un tema principale della nuova legge.
La nLPD, infatti, dovrebbe consentire di preservare la libera circolazione dei dati con l’Unione europea (UE) e dovrebbe così evitare la perdita di competitività delle imprese svizzere.
Questa nuova legge sulla protezione dei dati della Svizzera protegge, in definitiva, due cose: la personalità e i diritti fondamentali delle singole persone, intese quali persone fisiche, e lo fa quando privati o istituzioni statali trattano i loro dati.
La legge presta particolare attenzione quindi al modo in cui i dati vengono trattati, a come soprattutto vengono informate le persone interessate e a come queste possono influire su tale trattamento.
La previsione anche di una revisione migliora in particolare la trasparenza dei trattamenti dei dati e rafforza la capacità delle persone interessate a decidere in maniera più consapevole in merito ai loro dati.
Il cosiddetto diritto all’autodeterminazione informativa indica, infatti, il diritto del singolo a decidere autonomamente in merito alla trasmissione e all’utilizzo dei suoi dati personali.
Ciò significa che ogni persona ha un livello minimo di controllo in merito alle informazioni raccolte e trattate su di lei.
Questo cambiamento legislativo importante vede, come ogni nuova legge che si rispetti, anche una certa quantità di obblighi per le imprese.
Come suddetto, la revisione totale della legge sulla protezione dei dati (nLPD) e le relative disposizioni esecutive contenute nella nuova ordinanza sulla protezione dei dati (OPDa) e nella nuova ordinanza sulle certificazioni in materia di protezione dei dati (OCPD) sono entrati in vigore il 1° settembre 2023.
Di seguito ti illustriamo i principali cambiamenti.
LPD: QUALI SONO I CAMBIAMENTI
Così come il GDPR, la nLPD tutela i dati personali delle persone fisiche attraverso soprattutto una maggiore trasparenza nei confronti delle persone interessate e la responsabilizzazione cd principio di accountability (vedi anche il nostro articolo sul tema) delle aziende in qualità di Data Controller o Data Processor del trattamento, con la previsione di quelli che sono gli obblighi di legge nei loro confronti e le relative sanzioni in caso di violazione o di inadempienze.
L’elemento fondamentale della revisione è il cosiddetto approccio basato sul rischio.
La nLPD ha previsto degli obblighi ai quali le aziende devono conformarsi, questo al fine di permettere alle aziende stesse di rilevare per tempo tutti i possibili rischi per la personalità e i diritti fondamentali delle persone; in tal modo si può procedere alla previsione di eventuali soluzioni che permettano di eleminarli o eventualmente di mitigarli.
Da un lato, la Legge sulla protezione dei dati è stata adeguata al mutato contesto tecnologico e sociale, si veda l’introduzione dell’uso sempre più frequente di Cloud Computing, Big Data, social network, Internet delle cose, e questo per poter rafforzare l’autodeterminazione delle persone interessate sui propri dati.
Dall’altro, la revisione tende ad armonizzare la LPD con le regole europee in materia di protezione dei dati per garantire che l’UE continui a riconoscere la Svizzera come stato terzo con un adeguato livello di protezione dei dati e per far sì che anche in futuro sia possibile trasmettere dati in modo semplice tra la Svizzera e l’UE.
In definitiva, la nLPD introduce otto principali cambiamenti per le imprese, ovvero:
- Copertura e tutela giuridica: riguarderà solo i dati delle persone fisiche e non più quelli delle persone giuridiche
- I dati genetici e biometrici entrano nella definizione dei dati sensibili
- Vengono introdotti i principi di “Privacy by Design” e di “Privacy by Default” (vedi il nostro articolo sulle misure tecniche ed organizzative)
- Devono essere condotte delle analisi d’impatto che prevedano i diversi e possibili rischi per la personalità o per i diritti fondamentali delle persone interessate. Le aziende avranno l’obbligo di eseguire una valutazione d’impatto sulla protezione dei dati se un trattamento dei dati comporta un elevato rischio per la personalità o i diritti fondamentali delle persone interessate. Tale valutazione deve essere documentata
- Viene esteso il diritto di informare ed elevato maggiormente il principio di trasparenza, la raccolta di tutti i dati personali, e non più unicamente di quelli detti sensibili, deve portare all’informazione preventiva della persona interessata. Su questo aspetto la nuova LPD è addirittura più severa del RGPD
- Diventa obbligatorio prevedere la predisposizione di un registro delle attività di trattamento. Le aziende hanno l’obbligo di tenere un registro delle attività di trattamento contenente le informazioni prescritte. In compenso viene meno l’obbligo di tenere un registro delle collezioni di dati.
- È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT)
- La nozione di profilazione entra a far parte della legge. Diversamente dal RGPD, la nuova LPD non prevede un obbligo generale di richiedere un consenso. L’obbligo sussiste solo per profilazioni con elevato rischio.
LPD: COME SI DEVONO ADEGUARE LE AZIENDE
Con la revisione della Legge federale sulla protezione dei dati sono cambiate, dunque, alcune importanti disposizioni sul trattamento dei dati personali.
Le aziende devono, dal 1° settembre 2023, osservare regole più severe e dovranno, pertanto, modificare le loro attuali direttive e dichiarazioni sulla protezione dei dati Le imprese che si erano già adeguate al regolamento generale dell’UE sulla protezione dei dati (RGPD) avranno certamente pochi cambiamenti da intraprendere.
Anzitutto è necessario definire il campo di applicazione territoriale della nuova LPD, la quale fa riferimento al cosiddetto principio degli effetti e si applica anche ad aziende estere che operano nel mercato svizzero o il cui trattamento ha effetto in Svizzera, come il RGPD si applica ad aziende svizzere che operano nello spazio UE.
Le aziende con sede all’estero devono definire una rappresentanza in Svizzera se trattano regolarmente su larga scala dati di persone in Svizzera in relazione a offerte di merci o servizi o allo scopo di monitorare il comportamento e se il trattamento comporta un elevato rischio per le persone interessate.
Viceversa, le aziende svizzere secondo la LPD devono sempre nominare un responsabile della protezione dei dati se trattano dati personali di abitanti dell’UE.
Non solo quando c’è un alto rischio.
Le aziende esposte a un rischio particolarmente elevato di violare la nuova LPD sono certamente quelle che trattano grandi quantità di dati personali o di dati personali degni di particolare protezione, che effettuano profilazioni, gestiscono shop online, generano decisioni individuali automatizzate o trasmettono dati personali all’estero (al di fuori dell’UE).
Se le aziende violano la nuova legge sulla protezione dei dati, rischiano multe fino a CHF 250’000, in euro 261.695,00€.
Non vengono tuttavia punite le aziende; infatti una delle principali differenza con il GDPR, che punisce le ditte in errore e con multe di gran lunga più elevate, è che ad essere punite sono solo le persone fisiche responsabili.
Se anche tu, per la tua attività, hai necessità di conformarti alla LPD, puoi rivolgerti a noi per tutto il supporto necessario.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.