Sta utilizzando un browser obsoleto. Possono verificarsi errori di visualizzazione e problemi di carattere tecnico.
OK, CHIUDI
Con la revisione della Legge federale sulla protezione dei dati (nLPD), dal 2023 cambiano alcune importanti disposizioni sul trattamento dei dati personali. Le aziende in futuro dovranno osservare regole più severe e dovrebbero pertanto modificare le loro attuali direttive e dichiarazioni sulla protezione dei dati entro l’entrata in vigore, che avverrà il primo settembre 2023.
Da un lato, la Legge sulla protezione dei dati è stata adeguata al mutato contesto tecnologico e sociale (Cloud Computing, Big Data, social network, Internet delle cose) allo scopo di rafforzare l’autodeterminazione sui propri dati da parte delle persone interessate. Dall’altro, la revisione armonizza la LPD alle regole europee in materia di protezione dei dati per garantire che l’UE continui a riconoscere la Svizzera come stato terzo con un adeguato livello di protezione dei dati e per far sì che anche in futuro sia possibile trasmettere dati in modo semplice tra la Svizzera e l’UE.
Se la Commissione europea non riconoscesse più l’adeguatezza del livello di protezione dei dati svizzero, le aziende svizzere in futuro rischierebbero svantaggi concorrenziali, in quanto lo scambio di dati con le aziende nell’UE sarebbe reso più difficile.
La nuova LPD entrerà in vigore il primo settembre 2023 insieme all’Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD) che il Consiglio federale deve ancora emanare.
Entro l’entrata in vigore della nuova LPD.
La nuova LPD non prevede termini di transizione.
Le competenze dell’Incaricato federale della protezione dei dati (IFPDT) per far valere la nuova LPD sono state ampliate. Può, d’ufficio o su segnalazione, avviare un’indagine contro un’azienda e, in presenza di violazioni di prescrizioni in materia di protezione dei dati, ordinare estese misure tra cui la modifica o la sospensione del trattamento dei dati o addirittura la cancellazione dei dati.
Inoltre, ai sensi della nuova LPD gli interessati hanno a disposizione rimedi giuridici di diritto civile per fare valere i loro diritti. Al contempo è stato modificato il Codice di procedura civile svizzero (CPC) che dichiara gratuiti i relativi procedimenti giudiziari.
A settembre 2020, dopo un processo legislativo durato quasi quattro anni, il Consiglio nazionale e il Consiglio degli Stati hanno varato la Legge federale sulla protezione dei dati (nLPD) totalmente riveduta, per molti aspetti (ma non tutti) equiparabile al Regolamento europeo sulla protezione dei dati (RGPD) anche se restano alcune differenze sostanziali.
In caso di violazioni intenzionali della nLPD, come la violazione degli obblighi di informare, di concedere l’accesso, di collaborare nonché degli obblighi di diligenza, le persone private possono essere punite con multe fino a CHF 250 000. In caso di violazioni nelle aziende, queste possono essere punite con una multa fino a CHF 50 000 se l’identificazione delle persone punibili dovesse comportare un onere sproporzionato e se per le persone punibili fosse prevista una multa di al massimo CHF 50 000.
Si tratta di una differenza sostanziale rispetto al RGPD, che punisce invece le aziende e non le persone fisiche con multe decisamente più elevate.
LPD sta per Legge federale sulla protezione dei dati. Con nLPD si definisce la nuova Legge sulla protezione dei dati totalmente riveduta rispetto a quella attualmente in vigore.
La OLPD è l’ordinanza del Consiglio federale relativa alla LPD contenente le disposizioni esecutive e dettagliate. La versione definitiva della nuova ordinanza non è ancora disponibile. Il 23 giugno 2021 il Consiglio federale ha posto in consultazione un progetto di ordinanza.
Il RGPD è il Regolamento generale sulla protezione dei dati dell’UE del 27 aprile 2016 direttamente applicabile per tutti gli stati UE dal 25 maggio 2018. Nonostante si tratti di un’ordinanza europea, a determinate condizioni si applica anche alle aziende svizzere.
Diversamente dal RGPD che richiede una base giuridica per ogni trattamento dei dati, la modalità di trattamento secondo la nuova LPD non cambia in maniera sostanziale. Come in precedenza, a differenza del RGPD, per il trattamento dei dati personali da parte di aziende private non è necessario alcun consenso o altro motivo di giustificazione, a condizione che:
Un consenso esplicito è prescritto solo per il trattamento di dati personali degni di particolare protezione e ora anche per la profilazione con elevato rischio.
Sì, in relazione al campo di applicazione territoriale la nuova LPD fa riferimento al cosiddetto principio degli effetti e si applica anche ad aziende estere che operano nel mercato svizzero o il cui trattamento ha effetto in Svizzera, come il RGPD si applica ad aziende svizzere che operano nello spazio UE.
Le aziende con sede all’estero devono definire una rappresentanza in Svizzera se trattano regolarmente su larga scala dati di persone in Svizzera in relazione a offerte di merci o servizi o allo scopo di monitorare il comportamento e se il trattamento comporta un elevato rischio per le persone interessate.
Viceversa, le aziende svizzere secondo la LPD devono sempre nominare un responsabile della protezione dei dati se trattano dati personali di abitanti dell’UE. Non solo quando c'è un alto rischio.
Rientrano in questa categoria le aziende che trattano grandi quantità di dati personali o di dati personali degni di particolare protezione, che effettuano profilazioni, gestiscono shop online, generano decisioni individuali automatizzate o trasmettono dati personali all’estero (al di fuori dell’UE).
L’onere dipende dal fatto che l’azienda rientri o meno nella categoria delle aziende particolarmente interessate in ragione della sua attività e da quanto si è già adeguata ai nuovi sviluppi. Le aziende che sono già conformi al RGPD praticamente non dovranno modificare nulla. Chi al contrario opera solo in Svizzera e finora non ha ancora intrapreso alcun passo dovrebbe avviare al più presto un’analisi del gap.
No, la nomina di un consulente per la protezione dei dati, diversamente da quanto previsto dal RGPD, è volontaria. Tuttavia, comporta determinati vantaggi: il consulente diventa l’interlocutore per temi di protezione dei dati per collaboratori, clienti (nell’esercizio dei loro diritti di interessati) e autorità. Inoltre, se il consulente per la protezione dei dati viene consultato in relazione alla valutazione d’impatto sulla protezione dei dati in presenza di elevati rischi, decade l’obbligo di consultazione dell’IFPDT.
Questo è possibile se all’interno dell’azienda sono presenti le competenze in materia, ad esempio un responsabile della protezione dei dati competente secondo la vecchia LPD o un servizio giuridico. In caso contrario consigliamo vivamente di avvalersi di sostegno esterno.
Istruzioni e modelli sono disponibili tra l’altro su questi siti:
Heike Gross è content manager e approfondisce temi interessanti riguardanti cybersicurezza, abitazione, mobilità e molto altro ancora.
