Osatech si occupa di assistere i propri clienti per essere conformi alla normativa Svizzera sulla protezione dei dati, oltre che alla legge europea, GDPR.
LPD
La sempre maggior digitalizzazione delle imprese porta a un volume di dati raccolti e trattati da ogni azienda, rispettivamente ceduti, sebbene in modo non sempre pienamente consapevole, da ciascun utente, enorme e in continua crescita. Di pari passo sono aumentati esponenzialmente i rischi informatici come disastri informatici, furti di dati personali e casi di estorsione tramite “ransomware” ma anche di uso illecito dei dati stessi, con casi clamorosi come “Cambridge Analytica” o Snowden.
Da qui è nata l’esigenza di aggiornare le legislazioni, siano esse nazionali o a livelli superiori come quella europea, con la necessità di regolamentare la cessione dei dati, anche previo consenso, considerando processi automatici e rendendo gli utenti in diritto di sapere sempre chi possiede che dato personale e che uso ne fa, garantendo così l’autodeterminazione di ognuno.
In Svizzera per esempio la legge concernente il trattamento dei dati risaliva al 1992: la preistoria per quanti cambiamenti sono avvenuti negli ultimi trent’anni. Nell’autunno del 2020 il Parlamento federale ha adottato la nuova legge sulla protezione dei dati (LPD) che entrerà in vigore nel settembre del 2023.
Sebbene manchino ancora alcuni mesi le aziende dovrebbero iniziare per tempo a adeguarsi, poiché non esiste un periodo di transizione, per cui al momento dell’entrata in vigore chi non è a norma potrebbe essere già soggetto a sanzioni importanti con multe per persone fisiche sino a 250mila franchi.
Si tratta di una legge che rivoluziona il concetto della protezione dei dati e comporta dunque una serie di adeguamenti anche strutturali che richiedono una certa organizzazione e un certo tempo per essere messi in pratica.
Noi di OsaTech comprendiamo l’importanza di una legge simile e l’impegno e gli adeguamenti necessari per le aziende: i nostri consulenti sono certificati già dall’entrata della normativa GDPR e sono disponibili ad aiutare i nostri clienti assistendoli per quanto riguarda le normative da adeguare a livello di privacy clienti digitale e sui processi interni, sostenendoli anche attraverso corsi e implementazione di software e strumenti digitali che permettano una gestione dei dati conforme alla LDP, in base alle esigenze di ogni realtà. Offriamo anche assistenza sulle normative da adeguare a livello di privacy clienti digitale e sui processi interni, stiamo sviluppando inoltre delle collaborazioni con studi legali in maniera da poter effettuare dei pacchetti combinati.
Perché c’è la necessità di una nuova legge
La nuova legge sulla protezione dei dati entrerà in vigore a partire dal settembre del 2023 ma, non prevedendo un periodo di transizione, è necessario che le aziende mettano in campo sin da ora gli strumenti necessari per adeguarvisi, sia dal punto di vista concettuale e di risorse umane che da quello tecnologico. L’importanza e l’attualità della LPD nasce dal fatto che vengono trattati e utilizzati un numero sempre maggiori di dati. Molte organizzazioni internazionali hanno inasprito di conseguenza le loro norme in materia, a partire dall’UE con la GDPR. Esso ha creato un nuovo standard a livello internazionale a cui la Svizzera, pur essendo un paese terzo, ha dovuto gioco forza allinearsi. Il GDPR infatti ha una portata extraterritoriale per cui qualsiasi azienda svizzera che tratta e usa dati di persone residenti nei paesi dell’UE deve rispettarlo, oltretutto lo stesso regolamento afferma che le nazioni dell’Unione possono trasferire dati solamente verso nazioni ritenute sicure nel trattamento degli stessi: da qui la necessità della Svizzera, che intrattiene importanti relazioni commerciali con l’UE, di aggiornare la sua legislazione. La LPD permette di avere una soluzione equivalente e complementare al GDPR, anche se ne diverge in alcuni punti, con norme che sono più severe e altre che lo sono meno.
Campi di applicazione e sanzioni
La LPD prenderà il posto della legge del 1992 attualmente in vigore e logicamente obsoleta, con un adeguamento al mutato contesto tecnologico e sociale (Cloud Computing, Big Data, social network, Internet delle cose). Lo scopo principale è quello di permettere l’autodeterminazione del singolo in merito al trattamento e all’uso dei suoi dati e di disciplinare anche la profilazione, ovvero il trattamento dei dati automatizzato per valutare determinati aspetti personali di un soggetto, quali situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova. Il tutto si è reso necessario dalla digitalizzazione che ha fatto aumentare e complicato il numero di dati che vengono scambiati e entrano in possesso delle aziende.
La legge si applica a tutte quelle fattispecie che esplicano effetti in Svizzera, anche se si verificano all’estero e ogni tipologia di azienda, dalle PMI a quelle di dimensioni maggiori, deve adeguarvisi entro l’entrata in vigore.
La LPD concerne il trattamento di dati di persone fisiche e giuridiche da parte di persone private e organi federali. La conseguenza principale riguarda l’obbligo di consenso degli interessati quando si parla di dati degni di particolare attenzione, profilazioni ad alto rischio o effettuate da un organo federale. In caso di violazione della sicurezza dei dati, compresi incidenti, sussisterà l’obbligo di notifica.
Gli interessati potranno dunque avere informazioni su come i loro dati vengono raccolti e usati.
A differenza di quanto prescriveva la precedente legge, vengono responsabilizzati i privati. Le persone private possono essere punite con multe fino a CHF 250’000, le aziende possono essere punite con una multa fino a CHF 50’000 se l’identificazione delle persone punibili dovesse comportare un onere sproporzionato e se per le persone punibili fosse prevista una multa di al massimo CHF 50’000. L’intento è responsabilizzare i singoli, come consiglieri di amministrazione e manager.
Le aziende estere che non hanno sede in Svizzera ma trattano dati di cittadini qui residenti sono obbligate, con la nuova legge, a designare un rappresentante nel nostro paese. Per quelle con sede in Svizzera sarà obbligatorio comunicare in quali paesi terzi vengono comunicati dati, e bisogna accertarsi che essi siano sicuri nel modo di trattarli secondo le normative (con particolare attenzione alla codifica di email che contengono dati personali).
Novità rispetto alla legge precedente
Rispetto alla normativa precedente la LPD restringe in un certo senso il campo dei dati protetti, perché punta a proteggere quelli delle persone fisiche e meno quelli delle persone giuridiche come in precedenza, in un altro lo amplia perché va a coinvolgere anche i dati genetici e biometrici.
Aumentano però gli obblighi delle aziende in materia di informazione, poiché dovranno informare le persone interessate in maniera adeguata su ogni raccolta di dati (specificando l’identità e i dati di contatto del titolare del trattamento dei dati, lo scopo del trattamento, i destinatari o le categorie di destinatari e il paese destinatario in caso di esportazione di dati all’estero, mentre con la legge precedente l’obbligo riguardava solo i dati degni di protezione), e tenere un registro delle informazioni prescritte (ma non per forza delle collezioni, ne sono esentate le realtà con meno di 250 collaboratori il cui uso dei dati non porta a un elevato pericolo di violazione delle norme).
Le novità riguardano la profilazione, ovvero il trattamento dei dati automatizzato per valutare determinati aspetti personali di un soggetto, quali situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova, ecc: le aziende avranno l’obbligo di chiedere il consenso solo se il rischio è alto, così come dovranno effettuare una valutazione documentata d’impatto sulla protezione dei dati se un trattamento dei dati comporta un elevato rischio per la personalità o i diritti fondamentali delle persone interessate.
In caso di violazione, anche accidentale, della sicurezza dei dati si deve fare una segnalazione all’IFPDT.
Infine le aziende dovranno porre attenzione alla privacy by design e alla privacy by default, adoperandosi anche a livello informatico per non usare applicazioni che ad esempio ottengano secondo impostazioni predefinite i consensi delle persone interessate per trattamenti di dati che vanno oltre a quanto strettamente necessario. Un campo dove noi di OsaTech possiamo senza dubbio aiutare i nostri clienti a trovare le soluzioni più adatte alle loro esigenze nel rispetto della legge.
Sarà obbligatorio anche effettuare una analisi di impatto relativa alla protezione dei dati personali quando il loro trattamento presenta un rischio elevato.
Differenze rispetto al GDPR
La legge svizzera serve anche ad adeguare la legislazione, e dunque uniformare il nostro paese, ai canoni di sicurezza richiesti dall’UE. Infatti l’Unione Europea consente il trasferimento di dati solo in paesi che ritiene sicuri in materia di protezione dei dati. La LPD in complesso è meno formalista del GDPR ma in alcuni casi è addirittura più severa (per esempio nei campi di applicazione, sul dovere di informazione in occasione del trattamento dei dati e nelle definizioni di dati sensibili). Il Regolamento europeo sulla protezione dei dati (GDPR), entrato in vigore nel 2018, prevede l’introduzione in aziende e amministrazioni pubbliche di una figura professionale preposta al controllo della corretta gestione dei dati (DPO ovvero Data Protection Officer), obbliga a trattare i dati secondo la progettazione “by design” e “by default”, a effettuare il Data Protection Impact Assessment (DPIA) per il trattamento di dati ad alto rischio, a rispettare il “Data breach”, ossia la segnalazione al Garante e all’interessato di eventuali fughe o compromissioni di dati. Prevede anche l’aumento delle sanzioni in caso di violazioni, la pseudonimizzazione e la cifratura dei dati. Si sono dovute adeguare tutte le aziende svizzere che hanno a che fare con l’UE (si parla sia di clienti che di fornitori), si pensi a chi vende online con gli ecommerce mentre ne è stato esentato solo chi opera esclusivamente in Svizzera.
La principale differenza tra LPD e GDPR è che la prima punisce le persone fisiche (con multe sino a 250mila franchi), responsabilizzando i dirigenti delle aziende, il secondo invece prevede multe in caso di violazione per le persone giuridiche, sino a 20 milioni di euro o pari al 4% del fatturato annuo a livello mondiale.
La LPD non obbliga la nomina di una persona responsabile (DPO), mentre il GDPR sì. In caso di nomina secondo la norma svizzera, in alcuni casi l’azienda ottiene l’esclusione dell’obbligo di consultazione preventiva dell’Incaricato federale in presenza di trattamenti a rischio elevato. Il consulente, se nominato, diventa l’interlocutore per temi di protezione dei dati per collaboratori, clienti (nell’esercizio dei loro diritti di interessati) e autori.
Cosa devono fare le aziende
Visto che non è previsto un periodo di transizione e che l’adeguamento presuppone una ristrutturazione a livello di concezione del concetto di protezione dei dati, le aziende dovrebbero iniziare subito a uniformarsi a quanto prescritto dalla LPD, lavorando dal punto di vista della sicurezza informatica, degli aspetti giuridici e della gestione dei dati propriamente detta. Noi di OsaTech siamo a disposizione per suggerimenti e consigli in merito alle normative da adeguare a livello di privacy digitale e sui processi interni e stiamo sviluppando inoltre delle collaborazioni con studi legali in maniera da poter effettuare dei pacchetti combinati. Vi consigliamo inoltre su software e gestionali che rispettino le norme e che aiutino a gestire i dati e a ottemperare agli obblighi previsti. In particolar modo dovrà lavorare celermente per adeguarsi chi tratta un gran volume di dati personali come le società specializzate nella vendita online o nell’import/export così come le imprese che trattano dati personali particolarmente sensibili, come quelle che trattano dati personali relativi alle opinioni politiche, religiose, alla salute, ai dati genetici, razziali, all’aiuto sociale, ai perseguimenti penali, alla profilazione, ecc. L’adeguamento passa attraverso un punto globale sulla situazione, una valutazione dei rischi, la sensibilizzazione di dipendenti e collaboratori, l’aumento della trasparenza nel trattamento dei dati, una particolare attenzione alla sicurezza informatica, una organizzazione e delle procedure interne precise e dettagliate, la compilazione di un registro delle attività e se necessario dalla revisione di contratti con dipendenti, collaboratori e fornitori oltre che i dati della dichiarazione di protezione dei dati in Internet e dei documenti pubblicitari e contrattuali.
I primi provvedimenti passano giocoforza dalla conoscenza dei dati che vengono raccolti e trattati da ogni singola azienda, che deve dunque procedere a mappare quali dati trattati, chi se ne occupa, come, dove, per quali scopi, chi ne è destinatario e sulla base di quale motivo giustificativo avviene il trattamento (legge, consenso o interesse preponderante pubblico o privato), tramite programmi informatici.
I dati devono iniziare a questo punto a essere trattati, se non lo si fa già, secondo principi quali sicurezza, proporzionalità, correttezza, privacy by design e by default. Importante è anche trovare e bloccare eventuali attività illecite, mentre si provvede all’adeguamento oppure, se non fosse possibile, si distruggono i dati (che a prescindere vanno cancellati e anonimizzati quando non servono più). È compito delle aziende predisporre un Team e delle regole per la gestione efficace e tempestiva dei “data breach” (violazioni della sicurezza), come pure per la gestione delle richieste delle persone interessate quali rettifica dei dati, blocco dei trattamenti, revoca del consenso, accesso ai dati, portabilità ecc.
Dopo aver deciso se nominare oppure no un DPO (che può essere interno o esterno), è necessario che tutti i collaboratori interessati siano formati in merito al trattamento dei dati, con la creazione di un organigramma in cui siano indicati con chiarezza il ruolo e le responsabilità di ognuno. Ciascuno deve essere a conoscenza di rischi, diritti e obblighi in materia di protezione dei dati personali e delle responsabilità collegate, al fine di creare dei procedimenti interni che siano in grado di adempiere a quanto chiesto dalla legge. Il responsabile del trattamento dati e l’incaricato devono tenere un registro delle sue attività, identificando tutti i processi legati ad attività che coinvolgono dei dati personali.
L’azienda deve informare tutti i diretti interessati, dai dipendenti ai clienti, di come vengono trattati e usati i dati che essi hanno ceduto e adattare i sistemi di raccolta del consenso alle nuove normative.
È necessario anche compiere una valutazione d’impatto sulla protezione dei dati, mediante un tool informatico.
Vanno rafforzate le misure di sicurezza informatiche volte a prevenire eventi come cyber attacchi, furti o perdite di dati.
POTREBBERO INTERESSARTI
APPROFONDIMENTI
Come prevenire il furto di identità online: 10 consigli utili
Chi ruba l’identità, lo fa per usare le informazioni del malcapitato: nome, telefono, numero di carta di credito e altri dati sensibili… diventano pane per
Come scegliere il miglior server VPS per il tuo sito web
La scelta del giusto provider di hosting per il Server Privato Virtuale (VPS) dovrebbe essere basata su alcuni fattori: prestazioni, facilità d’uso, supporto e alcuni
Migliori marche POS per negozi (2024)
Nel mondo del commercio, per i negozi, avere un sistema POS efficiente, usando le migliori marche sul mercato è come avere un cuore sano. Diventa