nLex Prevenire Difendere
Da più di anno la Cc-Ti organizza corsi di formazione e momenti informativi per preparare le aziende all’entrata in vigore della nuova legge federale sulla protezione dei dati (LPD), che sarà realtà dal prossimo 1° settembre 2023.
Vediamo alcuni punti essenziali delle nuove regole, inteso che si tratta di una carrellata generale che non può essere esaustiva e che nei casi specifici richiede spesso l’intervento di esperti per elaborare regolamenti, istruzioni, dichiarazioni e contratti che siano conformi alle disposizioni legali e puntuali per le singole esigenze.
Che cos’è la protezione dei dati?
Già oggi esistono disposizioni sulla protezione dei dati che si applicano anche alle aziende e quanto entra in vigore il prossimo 1° settembre è un aggiornamento resosi necessario, vista l’evoluzione del contesto tecnologico in particolare e le regole che si è data l’Unione Europea (con il famoso GDPR). Il legislatore svizzero ha cercato di essere pragmatico, ma, forse inevitabilmente, le nuove regole possono anche prestarsi a complicazioni non da poco. Almeno sulla carta. Per questo è importante cercare di attenersi soprattutto ai principi fondamentali.
Lo scopo principale della protezione dei dati è quello di proteggere la personalità e i diritti fondamentali delle persone. Essa regolamenta ciò che deve essere osservato nel trattamento dei dati personali. Per dati personali si intendono tutte le informazioni che possono essere attribuite a una persona, come i dati di contatto, le impronte digitali, gli spostamenti, ma anche le registrazioni di video e immagini (tutto ciò che può ricondurre ad un individuo specifico). La protezione dei dati intende tutelare le persone dall’acquisizione, dall’archiviazione, dall’elaborazione e dall’utilizzo ingiustificato dei suoi dati. Ciò significa che possono essere trattati solo i dati idonei e necessari allo scopo del trattamento specifico. Il consenso della persona è fondamentale, soprattutto in caso di trasmissione dei dati, così come è imprescindibile un’informazione trasparente su quali dati vengono raccolti, per quale scopo e il loro trattamento. I dati possono essere trasmessi se la persona stessa ha dato il proprio consenso, se i dati sono a prescindere accessibili al pubblico o se una legge ne consente la trasmissione. Inoltre, la sicurezza dei dati è un principio compreso nella protezione dei dati. I dati devono essere gestiti con attenzione e rispettando precise regole di sicurezza. I dati personali devono essere distrutti o resi anonimi non appena non sono più necessari ai fini del trattamento. Ciò vale anche per i dipendenti e gli ex dipendenti delle aziende. Tutte le persone hanno il diritto di chiedere a qualsiasi azienda se e quali dati vengono conservati su di loro. Questo vale ovviamente anche per i dipendenti. I dati non personali, come le cifre o i dati sui prodotti, non sono soggetti alla protezione dei dati. Allo stesso modo, i dati anonimi dei clienti valutati a fini statistici non sono soggetti alla protezione dei dati. Tuttavia, tali dati possono essere protetti in altri modi, ad esempio attraverso le regole sul segreto commerciale o dal diritto d’autore.
Quali sono le novità principali della nuova LPD?
Le modifiche principali riguardano trasparenza e l’informazione. I principi generali rimangono sostanzialmente simili, ma la trasparenza avrà un peso maggiore, ad esempio indicando sul sito web dell’azienda quanto disposto in materia di protezione dei dati, spiegando come questi vengono raccolti, gestiti, utilizzati e conservati. Con le nuove disposizioni, le aziende sono ora tenute a segnalare all’Incaricato federale per la protezione dei dati gli episodi in cui vi sia stato un utilizzo abusivo dei dati. Anche il trasferimento dei dati a fornitori e partner deve essere regolato contrattualmente, per cui è importante che le aziende valutino eventuali adattamenti delle basi contrattuali dei loro rapporti commerciali.
Con la nuova legge, la dichiarazione sulla protezione dei dati che deve figurare sul sito web aziendale assume quindi ancora maggiore importanza. Infatti, essa è ora obbligatoria per tutti e deve informare su quali dati vengono raccolti e conservati, su quali programmi vengono utilizzati e su chi contattare per ottenere informazioni. La novità è anche che le impostazioni di base dei moduli, delle app e dei siti web devono essere regolate ovunque al minimo, in modo da raccogliere o elaborare solo i dati necessari.
Anche l’obbligo di fornire informazioni è stato inasprito. Se una persona chiede se e quali dati che la riguardano sono stati elaborati, tali informazioni devono essere indicate in conformità alle norme di legge, salvo eccezioni. Devono inoltre essere fornite informazioni sulle condizioni in cui i dati sono stati trasmessi a terzi.
La legge sulla protezione dei dati ora distingue tra aziende più piccole e più grandi. Alle aziende con più di 250 dipendenti o a quelle con dati sensibili (ad esempio, gli studi medici) si applicano disposizioni aggiuntive, soprattutto per quanto riguarda la documentazione sulla protezione dei dati.
Di seguito sono elencati i punti più importanti da implementare per le aziende:
- Controllare l’informativa sulla privacy sul sito web e, se necessario, adattatala.
- Stabilire le linee guida per il trattamento dei dati all’interno dell’azienda.
- Stabilire in forma scritta accordi e contratti con fornitori e aziende partner. È obbligatorio registrare il tipo di archiviazione dei dati e la notifica delle violazioni della protezione dei dati.
- Nominare un/a responsabile della protezione dei dati in azienda.
- Creare un registro del trattamento dei dati. Le aziende con meno di 250 dipendenti sono esenti da tale obbligo se non vi è un rischio elevato di lesioni dei diritti personali.
- Definire la procedura per ottemperare all’obbligo di fornire informazioni e di richiesta di cancellazione dei dati.
- Definire la procedura di segnalazione delle violazioni della protezione dei dati.
- Creare un processo per le valutazioni d’impatto necessarie se l’azienda assume un rischio elevato nel trattamento dei dati.
- Verificare se i dati vengono trasmessi ad altri Paesi. In tal caso, verificare se questi paesi sono registrati come paesi riconosciuti dal Consiglio federale. In caso contrario, si applicano requisiti più severi in materia di protezione dei dati.
La sicurezza dei dati
La sicurezza dei dati è una base importante per la protezione dei dati. Ad esempio, le aziende devono garantire la sicurezza dei dati personali e proteggerli da accessi non autorizzati e illegali. Se si utilizzano strumenti esterni per la gestione dei dati personali (ad esempio, software di gestione online dei soci), la protezione dei dati deve essere stipulata contrattualmente con il fornitore. L’azienda è tenuta a verificare la sicurezza dei dati del partner contrattuale. Se i dati personali vengono trasferiti all’estero, anche se ciò è dovuto solo al fatto che il server del servizio cloud in cui sono memorizzati i dati si trova all’estero, devono essere soddisfatti i requisiti legali.
Sanzioni e ammende
Le multe possono essere comminate sulla base della LPD. Chiunque non informi correttamente una persona interessata al momento della raccolta dei dati o successivamente non le fornisca, su richiesta, informazioni sufficienti sui dati raccolti, come previsto dalla LPD, può incorrere in multe fino a 250’000 franchi svizzeri. L’importo delle multe sarà stabilito dal tribunale competente nel corso del procedimento. È verosimile che, almeno in una prima fase di applicazione della LPD, le multe siano comminate solo in caso di gravi violazioni. Ciò non esime tuttavia dal rispetto delle disposizioni legali. A titolo di paragone, nell’Unione Europea sono possibili multe fino al quattro per cento del fatturato o a cinque milioni di euro. Da rilevare che, al di là della tempestività di eventuali multe, che un incidente che comporti la violazione di dati costituisce per le aziende un danno reputazionale presso i clienti, i fornitori, i dipendenti e l’opinione pubblica spesso maggiore di una multa.
La Cc-Ti metterà a disposizione dei propri associati nei prossimi giorni alcuni modelli di documenti che possono essere utilizzati sia all’interno dell’azienda che sul web e nei rapporti con i partner. Si tratta di basi che vanno completate con le caratteristiche delle singole aziende e spesso facendo capo a specialisti per affinare al meglio i documenti.