Nuova LPD: a cosa devono prestare attenzione le aziende?
Con la revisione della Legge federale sulla protezione dei dati (nLPD), dal 2023 cambiano alcune importanti disposizioni sul trattamento dei dati personali. Le aziende in futuro dovranno osservare regole più severe e dovrebbero pertanto modificare le loro attuali direttive e dichiarazioni sulla protezione dei dati entro l’entrata in vigore, che avverrà il primo settembre 2023.
Cosa comporta esattamente la nuova LPD?
Da un lato, la Legge sulla protezione dei dati è stata adeguata al mutato contesto tecnologico e sociale (Cloud Computing, Big Data, social network, Internet delle cose) allo scopo di rafforzare l’autodeterminazione sui propri dati da parte delle persone interessate. Dall’altro, la revisione armonizza la LPD alle regole europee in materia di protezione dei dati per garantire che l’UE continui a riconoscere la Svizzera come stato terzo con un adeguato livello di protezione dei dati e per far sì che anche in futuro sia possibile trasmettere dati in modo semplice tra la Svizzera e l’UE.
Perché la revisione è così importante?
Se la Commissione europea non riconoscesse più l’adeguatezza del livello di protezione dei dati svizzero, le aziende svizzere in futuro rischierebbero svantaggi concorrenziali, in quanto lo scambio di dati con le aziende nell’UE sarebbe reso più difficile.
Quando entra in vigore la nuova LPD?
La nuova LPD entrerà in vigore il primo settembre 2023 insieme all’Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD) che il Consiglio federale deve ancora emanare.
Entro quando le aziende dovranno attuare le nuove prescrizioni in materia di protezione dei dati?
Entro l’entrata in vigore della nuova LPD.
Quali sono i termini di transizione?
La nuova LPD non prevede termini di transizione.
Cosa accade se un’azienda non attua le prescrizioni della LPD entro questo termine?
Le competenze dell’Incaricato federale della protezione dei dati (IFPDT) per far valere la nuova LPD sono state ampliate. Può, d’ufficio o su segnalazione, avviare un’indagine contro un’azienda e, in presenza di violazioni di prescrizioni in materia di protezione dei dati, ordinare estese misure tra cui la modifica o la sospensione del trattamento dei dati o addirittura la cancellazione dei dati.
Inoltre, ai sensi della nuova LPD gli interessati hanno a disposizione rimedi giuridici di diritto civile per fare valere i loro diritti. Al contempo è stato modificato il Codice di procedura civile svizzero (CPC) che dichiara gratuiti i relativi procedimenti giudiziari.
RGPD a confronto con la nuova LPD
A settembre 2020, dopo un processo legislativo durato quasi quattro anni, il Consiglio nazionale e il Consiglio degli Stati hanno varato la Legge federale sulla protezione dei dati (nLPD) totalmente riveduta, per molti aspetti (ma non tutti) equiparabile al Regolamento europeo sulla protezione dei dati (RGPD) anche se restano alcune differenze sostanziali.
Quali multe deve mettere in conto un’azienda nella peggiore delle ipotesi in caso di violazione della nLPD?
In caso di violazioni intenzionali della nLPD, come la violazione degli obblighi di informare, di concedere l’accesso, di collaborare nonché degli obblighi di diligenza, le persone private possono essere punite con multe fino a CHF 250 000. In caso di violazioni nelle aziende, queste possono essere punite con una multa fino a CHF 50 000 se l’identificazione delle persone punibili dovesse comportare un onere sproporzionato e se per le persone punibili fosse prevista una multa di al massimo CHF 50 000.
Si tratta di una differenza sostanziale rispetto al RGPD, che punisce invece le aziende e non le persone fisiche con multe decisamente più elevate.
Quali sono le principali modifiche?
- Nuovo campo di applicazione: la LPD riveduta, come il RGPD, si limita a proteggere i dati delle persone fisiche, mentre la versione precedente riguardava anche i dati delle persone giuridiche.
- Estensione maggiore: ora anche i dati genetici e biometrici sono considerati degni di particolare protezione.
- Migliore trasparenza: le aziende avranno obblighi di informazione più ampi rispetto a oggi. Le aziende dovranno informare le persone interessate in maniera adeguata su ogni raccolta di dati, non come finora solo in presenza di dati degni di particolare protezione; questo obbligo vale anche nel caso in cui i dati non vengano raccolti presso la persona interessata. Devono essere comunicati l’identità e i dati di contatto del titolare del trattamento dei dati, lo scopo del trattamento, i destinatari o le categorie di destinatari e il paese destinatario in caso di esportazione di dati all’estero. Su questo aspetto la nuova LPD è addirittura più severa del RGPD.
- Registro delle attività di trattamento: le aziende hanno l’obbligo di tenere un registro delle attività di trattamento contenente le informazioni prescritte. In compenso viene meno l’obbligo di tenere un registro delle collezioni di dati. Si raccomanda tuttavia di collegare tra loro questi due registri in modo intelligente, in particolare se per più attività di trattamento dei dati si accede alla stessa applicazione o banca dati. Il Consiglio federale può prevedere eccezioni per aziende fino a 250 collaboratori. La nuova ordinanza (nuova OLPD) non è ancora disponibile.
- Valutazioni d’impatto sulla protezione dei dati: le aziende avranno l’obbligo di eseguire una valutazione d’impatto sulla protezione dei dati se un trattamento dei dati comporta un elevato rischio per la personalità o i diritti fondamentali delle persone interessate. Tale valutazione deve essere documentata.
- Profilazione: la nuova LPD disciplina anche la profilazione, ovvero il trattamento dei dati automatizzato per valutare determinati aspetti personali di un soggetto, quali situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova, ecc. Diversamente dal RGPD, la nuova LPD non prevede un obbligo generale di richiedere un consenso. L’obbligo sussiste solo per profilazioni con elevato rischio.
- Notifica tempestiva all’IFPDT: le violazioni della sicurezza dei dati, ovvero l’accidentale o illecita perdita, cancellazione, distruzione, modifica di dati personali o concessione dell’accesso a persone non autorizzate dovranno essere notificate all’IFPDT il più rapidamente possibile (secondo il RGPD entro 72 ore) se ne risulta presumibilmente un elevato rischio per le persone interessate (secondo il RGPD è sufficiente un rischio semplice). Di regola il responsabile deve informare anche la persona interessata se è necessario per la sua protezione o se lo richiede l’IFPDT.
- Privacy by design e privacy by default (protezione dei dati fin dalla progettazione e per impostazione predefinita): obbliga le aziende a tenere conto dei principi generali del trattamento dei dati fin dalla progettazione e pianificazione delle applicazioni e, ad esempio, a non ottenere attraverso impostazioni predefinite i consensi delle persone interessate per trattamenti di dati che vanno oltre a quanto strettamente necessario.
Cosa significano le abbreviazioni?
LPD sta per Legge federale sulla protezione dei dati. Con nLPD si definisce la nuova Legge sulla protezione dei dati totalmente riveduta rispetto a quella attualmente in vigore.
La OLPD è l’ordinanza del Consiglio federale relativa alla LPD contenente le disposizioni esecutive e dettagliate. La versione definitiva della nuova ordinanza non è ancora disponibile. Il 23 giugno 2021 il Consiglio federale ha posto in consultazione un progetto di ordinanza.
Il RGPD è il Regolamento generale sulla protezione dei dati dell’UE del 27 aprile 2016 direttamente applicabile per tutti gli stati UE dal 25 maggio 2018. Nonostante si tratti di un’ordinanza europea, a determinate condizioni si applica anche alle aziende svizzere.
Cosa resta invariato?
Diversamente dal RGPD che richiede una base giuridica per ogni trattamento dei dati, la modalità di trattamento secondo la nuova LPD non cambia in maniera sostanziale. Come in precedenza, a differenza del RGPD, per il trattamento dei dati personali da parte di aziende private non è necessario alcun consenso o altro motivo di giustificazione, a condizione che:
- siano rispettati i principi di trattamento della trasparenza (in particolare l’adempimento degli obblighi di informazione), del vincolo allo scopo, dell’adeguatezza e della sicurezza dei dati;
- la persona interessata non si sia opposta al trattamento;
- non vengano comunicati a terzi dati personali degni di particolare protezione.
Un consenso esplicito è prescritto solo per il trattamento di dati personali degni di particolare protezione e ora anche per la profilazione con elevato rischio.
Anche le aziende estere devono rispettare la nuova legge?
Sì, in relazione al campo di applicazione territoriale la nuova LPD fa riferimento al cosiddetto principio degli effetti e si applica anche ad aziende estere che operano nel mercato svizzero o il cui trattamento ha effetto in Svizzera, come il RGPD si applica ad aziende svizzere che operano nello spazio UE.
Le aziende con sede all’estero devono definire una rappresentanza in Svizzera se trattano regolarmente su larga scala dati di persone in Svizzera in relazione a offerte di merci o servizi o allo scopo di monitorare il comportamento e se il trattamento comporta un elevato rischio per le persone interessate.
Viceversa, le aziende svizzere secondo la LPD devono sempre nominare un responsabile della protezione dei dati se trattano dati personali di abitanti dell’UE. Non solo quando c'è un alto rischio.
Quali aziende sono esposte a un rischio particolarmente elevato di violare la nuova LPD?
Rientrano in questa categoria le aziende che trattano grandi quantità di dati personali o di dati personali degni di particolare protezione, che effettuano profilazioni, gestiscono shop online, generano decisioni individuali automatizzate o trasmettono dati personali all’estero (al di fuori dell’UE).
Quale onere comporta per i titolari di aziende la revisione integrale della LPD?
L’onere dipende dal fatto che l’azienda rientri o meno nella categoria delle aziende particolarmente interessate in ragione della sua attività e da quanto si è già adeguata ai nuovi sviluppi. Le aziende che sono già conformi al RGPD praticamente non dovranno modificare nulla. Chi al contrario opera solo in Svizzera e finora non ha ancora intrapreso alcun passo dovrebbe avviare al più presto un’analisi del gap.
Ogni azienda dovrà nominare o impiegare un consulente per la protezione dei dati?
No, la nomina di un consulente per la protezione dei dati, diversamente da quanto previsto dal RGPD, è volontaria. Tuttavia, comporta determinati vantaggi: il consulente diventa l’interlocutore per temi di protezione dei dati per collaboratori, clienti (nell’esercizio dei loro diritti di interessati) e autorità. Inoltre, se il consulente per la protezione dei dati viene consultato in relazione alla valutazione d’impatto sulla protezione dei dati in presenza di elevati rischi, decade l’obbligo di consultazione dell’IFPDT.
In qualità di PMI posso sviluppare autonomamente un nuovo piano di protezione dei dati? Sono disponibili modelli?
Questo è possibile se all’interno dell’azienda sono presenti le competenze in materia, ad esempio un responsabile della protezione dei dati competente secondo la vecchia LPD o un servizio giuridico. In caso contrario consigliamo vivamente di avvalersi di sostegno esterno.
Istruzioni e modelli sono disponibili tra l’altro su questi siti:
Cosa deve fare un’azienda per adempiere alle nuove disposizioni in materia di protezione dei dati a partire dal 2022?
- Verificare e adeguare la dichiarazione di protezione dei dati in Internet e nei documenti pubblicitari e contrattuali.
- Allestire o adeguare le direttive interne relative al trattamento dei dati.
- Allestire un registro del trattamento dei dati.
- Implementare un processo che garantisca il trattamento entro i termini dei diritti degli interessati (ad es. richieste di accesso o di cancellazione).
- Implementare un processo per notificare violazioni della protezione dei dati.
- Implementare un processo per la valutazione d’impatto sulla protezione dei dati, in particolare se avviene un trattamento su larga scala di dati degni di particolare protezione o un’ampia sorveglianza sistematica di settori pubblici o se vengono impiegate nuove tecnologie di trattamento con elevato rischio.
- Verificare i contratti con i responsabili del trattamento (terzi). Si consiglia in particolare l’inserimento di un obbligo di notifica in caso di violazioni della protezione dei dati e la trasmissione a submandatari. Inoltre il responsabile si deve accertare che la sicurezza dei dati sia garantita.
- Garantire che i dati personali vengano cancellati o anonimizzati non appena non sono più necessari per lo scopo del trattamento.
- Chiarire in quali paesi sono comunicati i dati personali e garantire che la comunicazione avvenga solo in paesi che garantiscono una protezione adeguata. È considerata comunicazione anche il salvataggio su sistemi informatici all’estero (cloud). Il Consiglio federale (in precedenza l’IFPDT) pubblica un elenco di tali paesi. L’esportazione di dati verso paesi non riportati in questo elenco è comunque consentita a determinate condizioni, tra l’altro con il consenso esplicito delle persone interessate.
- Garantire la sicurezza dei dati attraverso adeguati provvedimenti tecnici e organizzativi. In altre parole, devono essere evitate le violazioni della sicurezza dei dati. Il Consiglio federale deve ancora definire i requisiti minimi. Poiché la trasmissione dei dati per e-mail non è sicura, almeno per i dati personali degni di particolare protezione dovrebbe essere disponibile la codifica delle e-mail.
- Garantire la portabilità dei dati, ovvero la trasmissione dei dati in un formato elettronico diffuso (in analogia al RGPD) se i dati vengono trattati elettronicamente e soprattutto in rapporto diretto con la stipulazione o l’esecuzione di un contratto.
- Nominare un consulente per la protezione dei dati e notificarlo all’IFPDT (consigliato). I dati di contatto del consulente devono essere pubblicati. Secondo il RGPD, la nomina di un incaricato per la protezione dei dati è invece obbligatoria.
Redatto da:
Heike Gross
Heike Gross è content manager e approfondisce temi interessanti riguardanti cybersicurezza, abitazione, mobilità e molto altro ancora.
