La nuova legge sulla protezione dei dati entra in vigore il primo settembre 2023: bisogna mettersi al lavoro
Il primo settembre entrerà in vigore la nuova legge sulla protezione dei dati, è il momento di adeguarsi alla legge LPD
Le aziende svizzere che trattano, in vari modi, dei dati, e quelle il cui trattamento dati esplica effetti nel nostro paese, devono necessariamente uniformarsi.
Mancano ancora alcuni mesi ma è necessario impegnarsi, per rispettare i nuovi criteri, che comportano un cambiamento completo di paradigma.
É necessario dunque mettersi immediatamente al lavoro, se già non lo si è fatto, per adeguarsi alla legge LPD.
Adeguarsi alla legge LPD: cosa offriamo noi di OsaTech
Non è previsto un periodo di transizione, per cui chi non dimostrerà di rispettare tutte le severe normative entro il termine previsto incorrerà in sanzioni.
Noi di OsaTech da tempo sensibilizziamo i nostri clienti sull’importanza dei cambiamenti informatici, di principio e di responsabilizzazione che questa nuova legge comporta, mettendoci a loro disposizione per consigliarli su come adeguarsi alla legge LDP.
Per questo offriamoe corsi e strumenti digitali atti alla gestione dei dati conforme alle nuove richieste, lavorando anche con degli studi legali specializzati.
Che cosa è la legge LPD e che rapporto ha con il GDPR
La legge LPD è la risposta svizzera a una carenza normativa, dato che l’ultima legislazione in materia risale addirittura al 1992.
Inoltre p necessaria per l’esigenza dell’UE di trasferire dati solo verso paesi sicuri.
Negli ultimi anni la digitalizzazione ha portato a una incredibile esplosione dei dati che vengono raccolti e trattati dalle aziende e comunicati, in modo consapevole o meno, dagli utenti.
Esiste una sempre maggior sensibilità alla sicurezza degli stessi, si pensi a scandali come Cambridge Analytica, e di pari passo è aumentata l’attenzione verso atti di criminalità con furti di dati personali e casi di estorsione.
Adeguarsi alla legge LPD vuol dire per le aziende anche garantire ai clienti di trattare i loro dati in sicurezza, con un aumento della fiducia da parte dei consumatori. Un adattamento ha dunque solo vantaggi!
1 settembre 2023, l'entrata in vigore della legge LPD
Come noto l’Unione Europea ha introdotto il Regolamento europeo sulla protezione dei dati (GDPR), entrato in vigore nel 2018.
Esso ha valenza extraterritoriale e consente la trasmissione dei dati raccolti e trattati da realtà europee solo in paesi che vengono ritenuti sicuri in merito.
La Svizzera, con la sua legislazione aggiornata solo al 1992 diventerà sicura dal primo settembre con la legge LPD, che differisce in alcuni campi dal GDRP.
Qualche norma è meno formalista ed altre addirittura più severe.
La principale differenza è sulle eventuali sanzioni.
Il regolamento europeo punisce in caso di irregolarità le realtà giuridiche, con multe sino a 20 milioni di euro o pari al 4% del fatturato annuo a livello mondiale.
Il regolamento svizzero punta a responsabilizzare i dirigenti e i responsabili del trattamento dati, con sanzioni sino a 250mila franchi. Per contro però non obbliga a nominare un singolo responsabile (DPO), anche se potrà farlo (ricorrendo anche a una persona esterna). Favorisce quindi un lavoro di team.
Le aziende devono dunque promuovere necessariamente un cambio di paradigma, informando e sensibilizzando i loro dipendenti.
I concetti chiave di consenso e profilazione nella nuova legge LPD
La nuova legge svizzera sulla protezione dei dati punta sul consenso degli utenti al trattamento dei suoi dati e sulla sicurezza al fine di evitare dei data breach.
Questo avviene coinvolgendo sia strumenti puramente informatici che concetti generali di impostazione del lavoro.
Le aziende, per rispettare la legge LPD, dovranno informare le persone interessate in maniera adeguata su ogni raccolta di dati.
Dovranno informare specificando l’identità e i dati di contatto del titolare del trattamento dei dati, lo scopo del trattamento, i destinatari o le categorie di destinatari e il paese destinatario in caso di esportazione di dati all’estero.
Il consenso, quando si ha a che fare con una profilazione (ovvero il trattamento dei dati automatizzato per valutare determinati aspetti personali di un soggetto, quali situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova, ecc), servirà solo in caso di rischio alto per la personalità o i diritti fondamentali delle persone interessate (circostanza in cui si dovrà effettuare una valutazione documentata d’impatto).
Il vademecum per le aziende verso la legge LPD: sicurezza informatica, formazione e sensibilizzazione
Cosa fare, dunque, in termini pratici? A livello informatico, prendere ogni precauzione possibile volta a prevenire eventi come cyber attacchi, furti o perdite di dati.
Bisogna assicurarsi che i dati raccolti siano trattati secondo principi quali sicurezza, proporzionalità, correttezza, privacy by design e by default. Questo compito non può prescindere da un lavoro a monte.
Per rispettare la legge LPD e essere una azienda sicura dal punto di vista del trattamento dei dati, bisogna conoscere quali vengono raccolti e trattati, chi se ne occupa, come, dove, per quali scopi, chi ne è destinatario e sulla base di quale motivo giustificativo avviene il trattamento.
Ci si deve accertare che le persone deputate conoscano le norme e sappiano come intervenire in caso di data breach o di irregolarità. È dunque necessaria una formazione indirizzata a tutti i collaboratori interessati, che devono essere a conoscenza di rischi, diritti e obblighi in materia di protezione dei dati personali e delle responsabilità collegate.
Questo al fine di creare dei procedimenti interni che siano in grado di adempiere a quanto chiesto dalla legge. L’eventuale responsabile del trattamento dati (che, si ripete, non è obbligatorio), assieme all’incaricato, deve tenere un registro.
Insomma, il primo settembre è dietro l’angolo e le aziende devono lavorare per adeguarsi alla nuova legge.