Una donna con i capelli lunghi e una penna in mano parla gesticolando con un’altra persona in un ufficio.
Sicurezza e diritto

Legge sulla protezione dei dati in Svizzera: a cosa devono prestare attenzione le aziende?

Con la revisione della Legge federale sulla protezione dei dati , entrata in vigore a settembre 2023, sono state adottate importanti disposizioni sul trattamento dei dati personali. Le aziende devono ora osservare regole più severe.

La Legge federale sulla protezione dei dati (LPD)  sottoposta a revisione pone le aziende di fronte a sfide concrete. Dalla sua introduzione vigono requisiti più severi in materia di trasparenza, sicurezza e conformità giuridica nel trattamento dei dati personali. In questo articolo scoprirete non solo quali cambiamenti comporta la legge, ma anche come attuare con successo i requisiti grazie a pratici consigli e modelli.

Desidero una tutela legale per la mia attività

In cosa consiste la Legge federale sulla protezione dei dati?

L’adeguamento mirava da un lato ad adeguare la Legge sulla protezione dei dati al mutato contesto tecnologico e sociale (cloud computing, big data, social network, Internet delle cose): rafforzando l’autodeterminazione sui propri dati da parte delle persone interessate

Dall’altro, con questa revisione la LPD è stata armonizzata con le regole europee in materia di protezione dei dati: l’obiettivo è garantire che l’UE continui a riconoscere la Svizzera come Stato terzo con un adeguato livello di protezione dei dati e che anche in futuro sia possibile trasmettere dati in modo semplice tra la Svizzera e l’UE. In caso contrario, le aziende svizzere rischiano di trovarsi in una posizione di svantaggio concorrenziale.

Chi è interessato dalla Legge sulla protezione dei dati?

La Legge sulla protezione dei dati concerne tutte le aziende e le organizzazioni che trattano dati personali in Svizzera – indipendentemente dal fatto che abbiano la propria sede in Svizzera o all’estero. La legge è particolarmente rilevante per:

  • Aziende svizzere che trattano dati personali di clienti, collaboratori o partner.
  • Aziende estere il cui trattamento dei dati si ripercuote su persone in Svizzera, ad esempio attraverso la vendita di prodotti o servizi o attraverso misure di sorveglianza.

Le aziende all’estero hanno inoltre l’obbligo di designare una rappresentanza in Svizzera se vengono trattate regolarmente grandi quantità di dati personali o se sussiste un rischio elevato per le persone interessate.

Quali sono le principali modifiche?

  1. Campo di applicazione: dalla sua revisione la Legge sulla protezione dei dati in Svizzera – al pari del RGPD – si limita alla protezione dei dati delle persone fisiche anziché, come avveniva finora, ai dati delle persone giuridiche.
  2. Estensione maggiore: anche i dati genetici e biometrici sono ora considerati degni di particolare protezione.
  3. Migliore trasparenza: per le imprese valgono obblighi di informazione più ampi. Questi sono tenuti a informare in modo adeguato le persone interessate in merito a ogni raccolta di dati, anche se i dati non vengono raccolti presso la persona interessata. Devono essere comunicati l’identità e i dati di contatto del titolare del trattamento dei dati, lo scopo del trattamento, i destinatari o le categorie di destinatari e il paese destinatario in caso di esportazione di dati all’estero.
  4. Registro delle attività di trattamento: le aziende sono tenute a tenere un registro delle attività di trattamento con le indicazioni prescritte. In compenso viene meno l’obbligo di tenere un registro delle raccolte di dati. È tuttavia consigliabile collegare tra loro i due registri in modo intelligente, soprattutto se per più attività di trattamento dei dati viene utilizzata la stessa applicazione o la stessa banca dati. Il Consiglio federale può prevedere eccezioni per aziende fino a 250 collaboratori.
  5. Valutazione d’impatto sulla protezione dei dati: le aziende sono ora tenute a effettuare una valutazione d’impatto sulla protezione dei dati se il trattamento dei dati comporta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. Tale analisi deve essere documentata.
  6. Profilazione: la Legge federale sulla protezione dei dati disciplina anche la profilazione, ossia il trattamento automatizzato dei dati per valutare determinati aspetti personali di un soggetto, come situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova ecc. A differenza del RGPD, la LPD non prevede alcun obbligo generale di richiedere un consenso. 
  7. Notifica rapida all’IFPDT: le violazioni della sicurezza dei dati, vale a dire la perdita involontaria o illecita, la cancellazione, la distruzione o la modifica di dati personali o addirittura la fornitura dell’accesso a terzi non autorizzati, che potrebbero comportare un rischio elevato per la personalità della persona interessata, devono essere notificate quanto prima e/o entro 72 ore all’IFPDT ai sensi della LPD. Di regola il responsabile deve informare anche la persona interessata se è necessario per la sua protezione o se lo richiede l’IFPDT.
  8. Privacy by design e privacy by default (protezione dei dati fin dalla progettazione e per impostazione predefinita): questi obbligano le aziende a tenere conto dei principi generali del trattamento dei dati fin dalla progettazione e dalla pianificazione delle applicazioni e, ad esempio, a non ottenere attraverso impostazioni predefinite i consensi delle persone interessate per trattamenti di dati che vanno oltre a quanto strettamente necessario.    

Cosa significano le abbreviazioni?

  • La LPD è La legge sulla protezione dei dati in Svizzera. 
  • L’ODPa è l’ordinanza del Consiglio federale sulla LPD. contenente le disposizioni esecutive e dettagliate. 
  • L’RGPD è il Regolamento generale sulla protezione dei dati dell’UE del 27 aprile 2016. Esso si applica direttamente a tutti gli Stati membri dell’UE dal 25 maggio 2018. Nonostante si tratti di un’ordinanza europea, a determinate condizioni si applica anche alle aziende svizzere.
  • IFPDT sta per Incaricato federale della protezione dei dati e della trasparenza. È l’autorità indipendente della Svizzera competente per la protezione dei diritti della personalità e il controllo dell’osservanza della legge sulla protezione dei dati.

Cosa resta invariato?

A differenza del RGPD, che richiede una base giuridica per ogni trattamento dei dati, le modalità di trattamento dei dati in Svizzera non sono sostanzialmente cambiate ai sensi della Legge sulla protezione dei dati. Come in precedenza, a differenza del RGPD, per il trattamento dei dati personali da parte di aziende private non è necessario alcun consenso o altro motivo di giustificazione, a condizione che:

  • vengano rispettati i principi di trattamento della trasparenza (in particolare l’adempimento degli obblighi di informazione), dello scopo, dell’adeguatezza e della sicurezza dei dati,
  • la persona interessata non si sia opposta al trattamento;
  • non vengano comunicati a terzi dati personali degni di particolare protezione.
  • Un uomo in ufficio è seduto davanti a un computer e telefona
    Assicurazione Cyber AXA

    Hacking, estorsione, malware: sempre più aziende cadono vittima dei cybercriminali. L’assicurazione Cyber protegge le aziende dai danni economici.

    Assicurazione Cyber
  • Consigli giuridici per aziende
    Consigli giuridici per aziende

    Su MyRight sono disponibili informazioni aggiornate relative alla Legge sulla protezione dei dati. Inoltre, trovate consigli e modelli nonché un generatore di certificati di lavoro.

    MyRight

Quali dati tutela la Legge federale sulla protezione dei dati?

La Legge svizzera sulla protezione dei dati tutela tutti i dati personali relativi a una persona fisica identificata o identificabile. In particolare, tali comunicazioni comprendono fra l’altro:

  • Dati generali come nome, indirizzo, numero di telefono o indirizzo e-mail.
  • Dati personali degni di particolare protezione, tra cui dati genetici e biometrici, dati relativi allo stato di salute, opinioni religiose o politiche, nonché dati sull’origine etnica.
  • Dati su personalità e comportamento, ad esempio su interessi, abitudini di consumo o luoghi di soggiorno.
  • I dati di persone giuridiche che prima della revisione erano anch’essi protetti non rientrano più nel campo di applicazione della legge sulla protezione dei dati.

Fate particolare attenzione all’IA

Con il crescente impiego dell’intelligenza artificiale (IA) emergono nuove sfide per la protezione dei dati. L’IA offre molti vantaggi, tuttavia le aziende e gli utenti devono prestare particolare attenzione per proteggere i dati sensibili e ottemperare ai requisiti di legge. Di seguito sono riportati esempi di potenziali rischi e consigli pratici su come evitare violazioni della protezione dei dati.

  • L’impiego dell’intelligenza artificiale nasconde rischi per la protezione dei dati. Non inserite mai dati sensibili o riservati in sistemi di IA come ChatGPT. Tali dati potrebbero essere memorizzati su server e utilizzati in futuri dati di addestramento dell’IA. Ciò comporta il rischio che queste informazioni, anche se involontariamente, diventino di pubblico dominio o possano essere sottratte da terzi.
  • I sistemi di intelligenza artificiale che prendono decisioni automatizzate, come la concessione di crediti o la valutazione dei candidati, devono essere esaminati con particolare attenzione. Le aziende hanno l’obbligo di garantire che questi sistemi non prendano decisioni discriminatorie e che le persone interessate siano informate sull’uso dell’IA. Sussiste inoltre l’obbligo di documentazione, per garantire la tracciabilità delle decisioni.
  • La formazione dei modelli di IA consente di elaborare enormi quantità di dati. Le aziende devono assicurarsi che i dati utilizzati siano resi anonimi prima di essere inseriti nei sistemi di intelligenza artificiale. In caso contrario potrebbe verificarsi una violazione delle disposizioni in materia di protezione dei dati, in particolare se è possibile risalire all’identità di singole persone.

Quali sanzioni si rischiano in caso di violazione della Legge sulla protezione dei dati in Svizzera?

In caso di violazioni intenzionali della LPD, come la violazione degli obblighi di informazione, accesso, collaborazione o diligenza, i privati possono essere sanzionati con multe fino a CHF 250 000

In caso di violazioni nelle aziende, le aziende possono essere sanzionate con una multa fino a CHF 50 000 se l’individuazione dei trasgressori comportasse un onere sproporzionato e se per questi fosse prevista una multa di massimo CHF 50 000.

Si tratta di un’importante differenza rispetto al RGPD, che sanziona le aziende e non le persone fisiche con multe decisamente più elevate.

Quali altre conseguenze si rischiano in caso di violazioni contro la Legge sulla protezione dei dati?

Per l’attuazione della Legge sulla protezione dei dati in Svizzera, l’IFPDT può avviare, d’ufficio o su denuncia, un’indagine nei confronti di un’azienda e ordinare ampi provvedimenti, come l’adeguamento o la sospensione del trattamento dei dati o addirittura la cancellazione dei dati. Le persone interessate possono inoltre avvalersi di mezzi di ricorso di diritto civile per far valere i propri diritti.

Per le aziende, tuttavia, ciò significa che devono prepararsi maggiormente alle controversie legali, in particolare in caso di violazioni della protezione dei dati o reclami. In questo ambito, un’assicurazione di protezione giuridica per imprese può fornire un prezioso supporto, in quanto copre i costi per le controversie giuridiche e consente l’accesso a avvocati specializzati. 

Quali aziende sono esposte a un rischio particolarmente elevato di violare la Legge sulla protezione dei dati della Svizzera?

A un rischio particolarmente elevato sono esposte le aziende che trattano grandi quantità di dati personali o di dati personali degni di particolare protezione, effettuano profilazioni, gestiscono shop online, generano decisioni individuali automatizzate o trasmettono dati personali all’estero (al di fuori dell’UE).

Consigli degli esperti per le aziende: ecco a cosa prestare attenzione!

  • Foto di Brigitte Imbach; DPO di AXA-ARAG
    Brigitte Imbach

    Brigitte Imbach, Legal & Data Privacy Officer di AXA-ARAG, risponde alle principali domande sulla Legge federale sulla protezione dei dati e fornisce consigli su come le aziende possono implementare le disposizioni in materia di protezione dei dati.

Ogni azienda dovrà nominare o impiegare un consulente per la protezione dei dati?

No, la nomina di una o un consulente per la protezione dei dati , a differenza del RGPD, è volontaria, ma comporta determinati vantaggi:

  • questa persona funge  da interlocutrice / interlocutore per il personale, la clientela (nell’esercizio dei propri diritti di interessati) e le autorità in materia di protezione dei dati. 
  • Se i dati di contatto della o del consulente per la protezione dei dati vengono pubblicati e comunicati all’IFPDT, decade la consultazione obbligatoria dell’IFPDT in relazione alle valutazioni d’impatto sulla protezione dei dati, per le quali il trattamento previsto, nonostante le misure pianificate, comporta ancora un rischio elevato per la personalità delle persone interessate, qualora venga consultato in sua vece il consulente per la protezione dei dati. 

Le PMI possono sviluppare autonomamente un piano di protezione dei dati? Sono disponibili modelli?

Dipende dal fatto se l’azienda disponga o meno delle competenze necessarie, ad esempio di uno specialista in materia di protezione dei dati o di un un servizio legale. In caso contrario consigliamo vivamente di avvalersi di sostegno esterno (in tedesco). 

Cosa deve fare un’azienda per ottemperare alle disposizioni in materia di protezione dei dati?

  • Verifica e adeguamento delle dichiarazioni sulla protezione dei dati in Internet e delle clausole sulla protezione dei dati nei documenti pubblicitari e contrattuali.
  • Allestimento o adeguamento di direttive interne per il trattamento dei dati.
  • Creazione di un Registro del trattamento dei dati.
  • Implementare un processo che garantisca il trattamento entro i termini dei diritti degli interessati (ad es. richieste di accesso o di cancellazione).
  • Implementare un processo per segnalare violazioni della protezione dei dati.
  • Implementazione di un processo per la Valutazione d’impatto sulla protezione dei dati, in particolare se si verifica un trattamento su larga scala di dati degni di particolare protezione o se vengono impiegate nuove tecnologie di trattamento a rischio elevato.
  • Verificare i contratti con i responsabili del trattamento (terzi). In particolare è consigliabile l’inserimento di un obbligo di notifica in caso di violazioni della protezione dei dati e in caso di trasmissione a subappaltatori. Inoltre il responsabile si deve accertare che la sicurezza dei dati sia garantita.  
  • Garantire che i dati personali vengano cancellati o anonimizzati non appena non sono più necessari per lo scopo del trattamento.
  • Chiarire in quali Paesi vengono comunicati dati personali e accertarsi che ciò avvenga solo in Paesi che garantiscono una protezione adeguata. È considerata comunicazione anche il salvataggio su sistemi informatici all’estero (cloud). Il Consiglio federale pubblica un elenco corrispondente. L’esportazione di dati verso paesi non riportati in questo elenco è comunque consentita a determinate condizioni, tra l’altro con il consenso esplicito delle persone interessate. 
  • Garanzia della sicurezza dei dati tramite provvedimenti tecnici e organizzativi appropriati. In pratica, devono essere evitate le violazioni della sicurezza dei dati. Poiché la trasmissione dei dati per e-mail non è sicura, almeno per i dati personali degni di particolare protezione dovrebbe essere disponibile la codifica delle e-mail
  • Garanzia della portabilità dei dati, vale a dire la trasmissione dei dati in un formato elettronico comune (analogamente al RGPD), se i dati vengono trattati elettronicamente e soprattutto in relazione diretta con la stipulazione o l’esecuzione di un contratto.
  • Nominare una o un consulente per la protezione dei dati (consigliato).  Secondo l’RGPD, invece, la nomina di un incaricato della protezione dei dati è obbligatoria.

Come possono tutelarsi le aziende dalle violazioni della protezione dei dati a seguito di cyber-attacchi?

In Svizzera la protezione dei dati riveste grande importanza e i cyber-attacchi possono comportare gravi violazioni della legislazione in materia di protezione dei dati, ad esempio attraverso l’ abuso di dati sensibili della clientela. In questi casi le aziende devono non solo rispettare gli obblighi di notifica previsti dalla legge, ma anche mettere in conto costi elevati e pretese legali.

Un’assicurazione Cyber protegge la vostra azienda facendosi carico delle pretese giustificate, difendendo da quelle ingiustificate e riducendo al minimo i danni finanziari causati da interruzioni d’esercizio o perdita di dati. Le aziende beneficiano inoltre di un’assistenza immediata da parte di esperti in sicurezza IT che forniscono il loro supporto nella limitazione dei danni e nel ripristino.

Conclusioni

Le nuove disposizioni sulla protezione dei dati prescritte dalla legge svizzera pongono le aziende di fronte a nuove sfide, ma offrono anche opportunità. Disposizioni più severe in materia di trasparenza, sicurezza e responsabilità richiedono adeguamenti a processi e sistemi. Al tempo stesso la legge rafforza la fiducia di clienti e partner, il che aumenta la competitività a lungo termine. 

Le aziende che si occupano per tempo dei requisiti e li attuano con coerenza non solo riducono al minimo i rischi legali, ma si posizionano come attori affidabili in un mondo sempre più digitalizzato.