
Legge sulla protezione dei dati in Svizzera: a cosa devono prestare attenzione le aziende?
Con la revisione della Legge federale sulla protezione dei dati , entrata in vigore a settembre 2023, sono state adottate importanti disposizioni sul trattamento dei dati personali. Le aziende devono ora osservare regole più severe.
La Legge federale sulla protezione dei dati (LPD) sottoposta a revisione pone le aziende di fronte a sfide concrete. Dalla sua introduzione vigono requisiti più severi in materia di trasparenza, sicurezza e conformità giuridica nel trattamento dei dati personali. In questo articolo scoprirete non solo quali cambiamenti comporta la legge, ma anche come attuare con successo i requisiti grazie a pratici consigli e modelli.
In cosa consiste la Legge federale sulla protezione dei dati?
L’adeguamento mirava da un lato ad adeguare la Legge sulla protezione dei dati al mutato contesto tecnologico e sociale (cloud computing, big data, social network, Internet delle cose): rafforzando l’autodeterminazione sui propri dati da parte delle persone interessate.
Dall’altro, con questa revisione la LPD è stata armonizzata con le regole europee in materia di protezione dei dati: l’obiettivo è garantire che l’UE continui a riconoscere la Svizzera come Stato terzo con un adeguato livello di protezione dei dati e che anche in futuro sia possibile trasmettere dati in modo semplice tra la Svizzera e l’UE. In caso contrario, le aziende svizzere rischiano di trovarsi in una posizione di svantaggio concorrenziale.
Chi è interessato dalla Legge sulla protezione dei dati?
La Legge sulla protezione dei dati concerne tutte le aziende e le organizzazioni che trattano dati personali in Svizzera – indipendentemente dal fatto che abbiano la propria sede in Svizzera o all’estero. La legge è particolarmente rilevante per:
- Aziende svizzere che trattano dati personali di clienti, collaboratori o partner.
- Aziende estere il cui trattamento dei dati si ripercuote su persone in Svizzera, ad esempio attraverso la vendita di prodotti o servizi o attraverso misure di sorveglianza.
Le aziende all’estero hanno inoltre l’obbligo di designare una rappresentanza in Svizzera se vengono trattate regolarmente grandi quantità di dati personali o se sussiste un rischio elevato per le persone interessate.
Quali sono le principali modifiche?
- Campo di applicazione: dalla sua revisione la Legge sulla protezione dei dati in Svizzera – al pari del RGPD – si limita alla protezione dei dati delle persone fisiche anziché, come avveniva finora, ai dati delle persone giuridiche.
- Estensione maggiore: anche i dati genetici e biometrici sono ora considerati degni di particolare protezione.
- Migliore trasparenza: per le imprese valgono obblighi di informazione più ampi. Questi sono tenuti a informare in modo adeguato le persone interessate in merito a ogni raccolta di dati, anche se i dati non vengono raccolti presso la persona interessata. Devono essere comunicati l’identità e i dati di contatto del titolare del trattamento dei dati, lo scopo del trattamento, i destinatari o le categorie di destinatari e il paese destinatario in caso di esportazione di dati all’estero.
- Registro delle attività di trattamento: le aziende sono tenute a tenere un registro delle attività di trattamento con le indicazioni prescritte. In compenso viene meno l’obbligo di tenere un registro delle raccolte di dati. È tuttavia consigliabile collegare tra loro i due registri in modo intelligente, soprattutto se per più attività di trattamento dei dati viene utilizzata la stessa applicazione o la stessa banca dati. Il Consiglio federale può prevedere eccezioni per aziende fino a 250 collaboratori.
- Valutazione d’impatto sulla protezione dei dati: le aziende sono ora tenute a effettuare una valutazione d’impatto sulla protezione dei dati se il trattamento dei dati comporta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. Tale analisi deve essere documentata.
- Profilazione: la Legge federale sulla protezione dei dati disciplina anche la profilazione, ossia il trattamento automatizzato dei dati per valutare determinati aspetti personali di un soggetto, come situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova ecc. A differenza del RGPD, la LPD non prevede alcun obbligo generale di richiedere un consenso.
- Notifica rapida all’IFPDT: le violazioni della sicurezza dei dati, vale a dire la perdita involontaria o illecita, la cancellazione, la distruzione o la modifica di dati personali o addirittura la fornitura dell’accesso a terzi non autorizzati, che potrebbero comportare un rischio elevato per la personalità della persona interessata, devono essere notificate quanto prima e/o entro 72 ore all’IFPDT ai sensi della LPD. Di regola il responsabile deve informare anche la persona interessata se è necessario per la sua protezione o se lo richiede l’IFPDT.
- Privacy by design e privacy by default (protezione dei dati fin dalla progettazione e per impostazione predefinita): questi obbligano le aziende a tenere conto dei principi generali del trattamento dei dati fin dalla progettazione e dalla pianificazione delle applicazioni e, ad esempio, a non ottenere attraverso impostazioni predefinite i consensi delle persone interessate per trattamenti di dati che vanno oltre a quanto strettamente necessario.
Cosa significano le abbreviazioni?
- La LPD è La legge sulla protezione dei dati in Svizzera.
- L’ODPa è l’ordinanza del Consiglio federale sulla LPD. contenente le disposizioni esecutive e dettagliate.
- L’RGPD è il Regolamento generale sulla protezione dei dati dell’UE del 27 aprile 2016. Esso si applica direttamente a tutti gli Stati membri dell’UE dal 25 maggio 2018. Nonostante si tratti di un’ordinanza europea, a determinate condizioni si applica anche alle aziende svizzere.
- IFPDT sta per Incaricato federale della protezione dei dati e della trasparenza. È l’autorità indipendente della Svizzera competente per la protezione dei diritti della personalità e il controllo dell’osservanza della legge sulla protezione dei dati.
Cosa resta invariato?
A differenza del RGPD, che richiede una base giuridica per ogni trattamento dei dati, le modalità di trattamento dei dati in Svizzera non sono sostanzialmente cambiate ai sensi della Legge sulla protezione dei dati. Come in precedenza, a differenza del RGPD, per il trattamento dei dati personali da parte di aziende private non è necessario alcun consenso o altro motivo di giustificazione, a condizione che:
- vengano rispettati i principi di trattamento della trasparenza (in particolare l’adempimento degli obblighi di informazione), dello scopo, dell’adeguatezza e della sicurezza dei dati,
- la persona interessata non si sia opposta al trattamento;
- non vengano comunicati a terzi dati personali degni di particolare protezione.
Quali dati tutela la Legge federale sulla protezione dei dati?
La Legge svizzera sulla protezione dei dati tutela tutti i dati personali relativi a una persona fisica identificata o identificabile. In particolare, tali comunicazioni comprendono fra l’altro:
- Dati generali come nome, indirizzo, numero di telefono o indirizzo e-mail.
- Dati personali degni di particolare protezione, tra cui dati genetici e biometrici, dati relativi allo stato di salute, opinioni religiose o politiche, nonché dati sull’origine etnica.
- Dati su personalità e comportamento, ad esempio su interessi, abitudini di consumo o luoghi di soggiorno.
- I dati di persone giuridiche che prima della revisione erano anch’essi protetti non rientrano più nel campo di applicazione della legge sulla protezione dei dati.
Fate particolare attenzione all’IA
Con il crescente impiego dell’intelligenza artificiale (IA) emergono nuove sfide per la protezione dei dati. L’IA offre molti vantaggi, tuttavia le aziende e gli utenti devono prestare particolare attenzione per proteggere i dati sensibili e ottemperare ai requisiti di legge. Di seguito sono riportati esempi di potenziali rischi e consigli pratici su come evitare violazioni della protezione dei dati.
- L’impiego dell’intelligenza artificiale nasconde rischi per la protezione dei dati. Non inserite mai dati sensibili o riservati in sistemi di IA come ChatGPT. Tali dati potrebbero essere memorizzati su server e utilizzati in futuri dati di addestramento dell’IA. Ciò comporta il rischio che queste informazioni, anche se involontariamente, diventino di pubblico dominio o possano essere sottratte da terzi.
- I sistemi di intelligenza artificiale che prendono decisioni automatizzate, come la concessione di crediti o la valutazione dei candidati, devono essere esaminati con particolare attenzione. Le aziende hanno l’obbligo di garantire che questi sistemi non prendano decisioni discriminatorie e che le persone interessate siano informate sull’uso dell’IA. Sussiste inoltre l’obbligo di documentazione, per garantire la tracciabilità delle decisioni.
- La formazione dei modelli di IA consente di elaborare enormi quantità di dati. Le aziende devono assicurarsi che i dati utilizzati siano resi anonimi prima di essere inseriti nei sistemi di intelligenza artificiale. In caso contrario potrebbe verificarsi una violazione delle disposizioni in materia di protezione dei dati, in particolare se è possibile risalire all’identità di singole persone.
Conclusioni
Le nuove disposizioni sulla protezione dei dati prescritte dalla legge svizzera pongono le aziende di fronte a nuove sfide, ma offrono anche opportunità. Disposizioni più severe in materia di trasparenza, sicurezza e responsabilità richiedono adeguamenti a processi e sistemi. Al tempo stesso la legge rafforza la fiducia di clienti e partner, il che aumenta la competitività a lungo termine.
Le aziende che si occupano per tempo dei requisiti e li attuano con coerenza non solo riducono al minimo i rischi legali, ma si posizionano come attori affidabili in un mondo sempre più digitalizzato.