Siamo al capolinea, dentro o fuori: è scattata l’ora x per l’adeguamento alle nuove norme che regolano la gestione dei dati. Il termine ultimo era il 1° settembre 2023!
Lo avevamo già chiarito ma è bene ricordarlo: a differenza di altre leggi, in questo caso non è prevista alcuna dilazione: chi non dimostra di essersi adeguato entro il 1° settembre è passibile di sanzioni, sino a 250 mila franchi per i responsabili delle aziende.
La Legge Svizzera sulla Protezione dei Dati (LPD, in inglese DPA – Data Protection Act) è una normativa fondamentale per tutte le aziende che operano in Svizzera e per quelle che esplicano effetti in Svizzera anche se si verificano all’estero, entrata in vigore il 1° settembre 2023 per regolare il tracciamento, la raccolta, l’elaborazione e l’uso dei dati di persone fisiche e giuridiche ed è rivolta a ogni tipologia di azienda, dalle PMI a quelle di dimensioni maggiori. La nLPD arriva dopo ben 30 anni dall’ultima legge, per adeguarsi e conformarsi al quadro normativo dell’Unione Europea.
Ne parliamo in questo articolo dove potrai conoscere nel dettaglio tutti i cambiamenti apportati.
Intanto, puoi scriverci se hai bisogno di aiuto nel conformarti a questa nuova legge sul trattamento dei dati.
Cos’è la Legge nLPD
La LPD è la nuova legge federale svizzera sul trattamento e sulla protezione dei dati alla quale devono adeguarsi tutte le imprese a partire dal 1° settembre 2023.
Un cambiamento legislativo importante che viene fatto dopo 30 anni (la prima legge federale sulla protezione dei dati che risale al 1992), che detta nuovi obblighi per le imprese e nuovi diritti per i cittadini svizzeri.
Nel frattempo, infatti, è emersa questa urgenza nel gestire i dati in tutt’altro modo rispetto al passato anche e soprattutto per il radicale mutamento di
tutto lo scenario tecnologico per via dell’ingresso di internet, degli smartphone, dei siti web, dei social, del cloud e dell’IoT (o Internet delle Cose). Dunque, una nuova Legge era indispensabile al fine di regolarizzare questi nuovi asset della comunicazione online e di istituire norme a maggior tutela del trattamento dei dati.
Inoltre, la nLPD è stata formulata per assicurare maggiori misure di sicurezza informatica per le stesse aziende e per allinearsi alle normative europee, per relazionarsi con le leggi dell’UE in merito alla circolazione dei dati, affinché le imprese svizzere potessero mantenersi competitive sul mercato. Si sa, le leggi possono creare distanze incolmabili tra stati e frontiere.
Dal punto di vista della sicurezza informatica, per una gestione sicura dei dati è necessario prevenire cyber attacchi, furti o perdite di dati, nonché assicurarsi che i dati raccolti siano trattati secondo principi quali sicurezza, proporzionalità, correttezza, privacy by design e by default. A breve vediamo cosa significa.
Cosa comporta esattamente la nuova LPD per le aziende?
La nuova LPD vuole proteggere la riservatezza personale, così tanto esposta oggi in un mondo pieno di dati. Dati che fanno gola alle aziende, certamente, ma che vanno anche saputi gestire nel migliore dei modi per evitare di violare persone che usano la rete e i dispositivi ormai come pane quotidiano.
Dunque, le aziende sono tenute a rispettare la legge LPD informando le persone in modo corretto sulla raccolta di questi dati. Tra le altre cose, viene regolata anche la richiesta di consenso in caso di profilazione, ovvero il trattamento dei dati automatizzato per valutare alcune caratteristiche come la condizione economica, salute, interessi, comportamento, luogo in cui si trova, ecc.). Ma vediamo da vicino quali sono gli 8 punti evidenziati dal nLPD.
Ecco una sintesi punto per punto delle principali modifiche introdotte dalla Nuova Legge sulla Protezione dei Dati (nLPD) – Fonte: sito KMU Admin Portale PMI
Le modifiche della nuova LPD:
- Dati delle persone fisiche: solo i dati delle persone fisiche saranno da ora in poi coperti dalla legge, e non più quelli delle persone giuridiche.
- Dati sensibili: i dati genetici e biometrici sono ora inclusi nella definizione di dati sensibili, oltre all’origine, la salute, le affiliazioni religiose e le opinioni politiche.
- Privacy by Design e Privacy by Default: vengono introdotti questi principi che richiedono che la protezione dei dati sia integrata sin dalla fase di progettazione del prodotto o del servizio e che le impostazioni predefinite garantiscano il massimo livello di sicurezza. In sostanza, il software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la privacy degli utenti.
- Analisi d’impatto: se c’è un rischio elevato per la personalità o i diritti fondamentali delle persone interessate, devono essere condotte delle analisi d’impatto.
- Estensione del Diritto di informare: la raccolta di tutti i dati personali, e non solo quelli sensibili, deve portare all’informazione preventiva della persona interessata.
- Obbligo di allestire un Registro delle Attività di Trattamento: diventa obbligatorio tenere un registro delle attività di trattamento dei dati.
- Avviso / annuncio rapido in caso di violazione: in caso di violazione della sicurezza dei dati, è richiesto un annuncio rapido all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT).
Profilazione: la nozione di profilazione, ovvero il trattamento automatizzato dei dati personali, è ora parte della legge.
Queste modifiche riflettono l’adattamento della legge alle nuove realtà tecnologiche e alle crescenti esigenze di protezione dei dati personali.
Quali sono le responsabilità delle aziende
Quando un’azienda assume il ruolo di titolare del trattamento dei dati, ovvero inizia a raccogliere dati personali dai suoi utenti, è fondamentale che segua attentamente i principi stabiliti dalla normativa sulla protezione dei dati.
In primo luogo, i dati raccolti devono essere gestiti in modo lecito, trasparente e proporzionale. Questo significa che non si devono raccogliere più dati di quanto sia strettamente necessario per le finalità previste. Inoltre stabilisce che tale raccolta deve avvenire nel rispetto delle regole e in buona fede.
Oltre a ció, l’azienda ha il dovere di informare adeguatamente le persone interessate. Le informazioni fornite devono essere concise e comprensibili, e l’uso dei dati può avvenire solo dopo aver ottenuto un consenso esplicito da parte degli interessati.
Un altro aspetto importante riguarda la conservazione dei dati. Quando questi non sono più necessari per le finalità per cui sono stati raccolti, devono essere distrutti o resi anonimi, in modo da non permetterne più l’identificazione. Infine, l’azienda ha la responsabilità di garantire l’esattezza dei dati raccolti.
La nLPD garantisce che i dati personali siano trattati in modo sicuro, rispettoso e legale. Le aziende sono tenute a rispettare la LPD quando raccolgono e utilizzano i dati personali dei loro clienti o dipendenti. Questo può includere una serie di attività, dall’invio di email di marketing alla raccolta di dati sui comportamenti degli utenti sul sito web dell’azienda. Il rispetto della LPD è fondamentale per le aziende. La violazione dei provvedimenti che mette in atto può comportare pesanti sanzioni oltre a danneggiarne la reputazione.
Confronto tra LPD e GDPR dell’UE
La LPD ha tanti punti in comune con il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Tuttavia, ci sono anche alcune differenze tra la LPD e il GDPR:
- il GDPR prevede l’obbligo di nominare un responsabile del trattamento dati
- la LPD non prevede questo obbligo ma vuole che tutti i collaboratori che entrano in contatto con i dati siano a conoscenza di rischi, diritti e obblighi in materia di protezione dei dati personali e delle responsabilità collegate. Devono essere formati e in grado di creare procedimenti interni tali da rispettare quanto richiesto dalla legge LPD.
- il GPDR punta i riflettori sulle persone giuridiche
- la LPD mette al centro la persona fisica, spostando l’asse sul ruolo centrale dei collaboratori nella gestione dei dati.
Noi di OsaTech possiamo aiutarti a verificare se la tua pagina web è conforme a LPD e GDPR.
Puoi contattarci anche
- per implementare strumenti digitali e software finalizzati alla gestione conforme ai nuovi regolamenti
- per sapere come agire in termini di adeguamento di livello di privacy clienti digitali e di processi interni, con corsi e partnership con studi legali.