Il momento è finalmente arrivato: La nuova legge sulla protezione dei dati, adottata nel settembre 2020, è entrata in vigore. Cosa è cambiato? Perché questo cambio? E cosa significa concretamente per la tua azienda?
Il 1° settembre 2023 entreranno in vigore la nuova Legge sulla protezione dei dati (nLPD), la nuova ordinanza sulla protezione dei dati (OPDa) e la nuova ordinanza sulle certificazioni di protezione dei dati (OCPD). Gli imprenditori devono ora affrontare e attuare questi cambiamenti. Come sempre, Atlanto vuole sostenerti in questi cambiamenti. Questo blog ha lo scopo di aiutarti a superare la confusione e implementare questi cambiamenti.
Perché è necessaria una nuova legge sulla protezione dei dati?
Sapevi che la prima legge sulla protezione dei dati in Svizzera è stata approvata nel 1992? Viaggiamo un po’ in dietro nel tempo: Nel ’92 il World Wide Web aveva appena 3 anni, lo smartphone era appena stato inventato, ancora senza connessione a Internet. Sarebbero passati quasi 20 anni prima che venissero venduti iPhone e smartphone Android. All’epoca il termine “social media” era poco conosciuto.
Oggi il mondo appare molto diverso. Ormai tutti hanno un telefono cellulare e un accesso a Internet. Anche i bambini usano i mezzi sociali! È quindi ovvio che sarebbe necessaria una revisione del LPD.
Un’altra ragione del cambiamento è l’UE. Questi adeguamenti garantiscono che la Svizzera possa essere riconosciuta dall’UE come Paese terzo con un livello adeguato di protezione dei dati. Ciò significa che i dati possono continuare a essere trasferiti senza problemi tra le aziende dell’UE e quelle della Svizzera. Gli imprenditori svizzeri rimangono così competitivi all’estero.
Non si tratta quindi di renderti la vita difficile. Al contrario: L’obiettivo è quello di proteggere dati personali in modo più completo.
Come cambia concretamente la legge sulla protezione dei dati?
- La legge sulla protezione dei dati è ora limitata alla protezione delle persone fisiche, anziché delle persone giuridiche come in precedenza.
- Anche i dati genetici e biometrici sono ora considerati dati sensibili.
- Le aziende devono ora informare adeguatamente gli interessati su ogni raccolta di dati, e non solo su dati particolarmente sensibili, come avveniva in precedenza.
- Diventa obbligatorio tenere un registro delle attività di trattamento. Tutti i flussi di dati e le finalità del loro trattamento devono essere documentati. Le PMI che corrono pochi rischi con i dati personali sono escluse da questo obbligo.
- Le aziende sono obbligate a effettuare un’analisi d’impatto sulla se il trattamento dei dati comporta un rischio elevato per la personalità o i diritti fondamentali degli interessati.
- Anche il trattamento automatico dei dati (profilazione) è stato recentemente regolamentato. A questo proposito, è necessario ottenere il consenso della persona fisica se la profilazione comporta un rischio elevato.
- Le violazioni della sicurezza dei dati devono essere segnalate immediatamente all’Incaricato federale della protezione dei dati e per la trasparenza (IDT).
Ma non tutto cambia. Le considerazioni e i requisiti di base per il trattamento dei dati rimangono gli stessi.
- I dati personali devono essere trattati in modo lecito.
- Il trattamento deve essere effettuato in buona fede.
- I dati personali possono essere ottenuti solo per uno scopo specifico e riconoscibile dall’interessato.
- I dati devono essere distrutti o resi anonimi non appena non sono più necessari ai fini del trattamento.
- Chiunque tratti dati personali deve assicurarsi che siano corretti.
- Il consenso esplicito è necessario per il trattamento di dati personali particolarmente sensibili.
Come attuare la legge sulla protezione dei dati?
Per chi gestisce un sito web, è obbligatorio, ai sensi dell’art. 19 della nuova legge sulla protezione dei dati, informare i clienti sulla raccolta dei dati. Di solito questo viene fatto con una dichiarazione sulla privacy. In altre parole, un’informativa sulla privacy è ora obbligatoria per un sito web.
Ciò è particolarmente importante in quanto gli imprenditori rischiano di incorrere in pesanti sanzioni e probabilmente in danni alla reputazione in caso di mancata conformità. Inoltre, una forte protezione dei dati e una comunicazione aperta favoriscono la fidelizzazione dei clienti.
Come possono quindi gli imprenditori attuare la nuova LPD? In ogni caso, la protezione dei dati deve essere prioritaria. Non preoccuparti: Non è necessario partire da zero. È meglio analizzare prima la situazione attuale. Dove ci sono rischi? Come si può migliorare?
Molti imprenditori trovano utile nominare un responsabile della protezione dei dati (“Data Protection Officer”) che si occupi della protezione dei dati in azienda.
Si raccomanda inoltre di tenere un registro delle attività di trattamento (cfr. articolo 12 della FADP). Il registro deve elencare, tra l’altro, gli interessati e i dati personali, nonché i loro destinatari e il periodo di conservazione.
Inoltre, occorre specificare come verranno gestiti in futuro il diritto all’informazione e le valutazioni d’impatto sulla protezione dei dati. Tutti i dipendenti, ma in particolare quelli che lavorano con siti web o dati personali, devono essere informati su questi processi.
Sembra un sacco di lavoro, ma con Atlanto nessuna azienda è sola. Nel nostro blog troverai ulteriore supporto per tutto ciò che ha a che fare con gli affari e la legge. In ogni caso, si consiglia di visitare il sito web della Confederazione Svizzera. Qui troverai ulteriori informazioni sulla revisione della legge sulla protezione dei dati.
Hai altre domande sulla nuova legge sulla protezione dei dati? Rivolgiti a YLEX. Saranno lieti di aiutarti a redigere una dichiarazione sulla protezione dei dati conforme alla legge.