La revisione della legge sulla protezione dei dati è in vigore, e riguarda tutti. Dominic Müller, direttore di Fidinam, ha riassunto la necessità di agire per le piccole e medie imprese.
Il 1° settembre 2023 è entrata in vigore in Svizzera la nuova legge sulla protezione dei dati. La legge non prevede periodi transitori, quindi è necessario aver adottato le misure necessarie ai sensi della nuova legge. Da oltre 60 anni, il Gruppo Fidinam aiuta aziende, imprenditori e privati ad avere successo.
Conosciamo quindi molto bene le esigenze delle piccole e medie imprese. Questo articolo vuole essere uno spunto di riflessione e dare impulsi alle aziende che non sono ancora del tutto preparate.
In breve: nLPD a partire dal 1° settembre 2023
La legge precedente alla nuova legge sulla protezione dei dati esisteva già da 30 anni. Negli ultimi anni la Svizzera è stata sottoposta a forti pressioni, in particolare in merito all’aggiornamento delle basi legali dell'UE. Con l'introduzione del RGPD nel 2018, la Svizzera ha corso il rischio di non essere più considerata dall'UE come uno Stato che dispone di un livello adeguato di protezione dei dati.
I principi della legge svizzera sulla protezione dei dati, già noti ad oggi, rimangono invariati in linea di principio. A differenza del RGPD, in Svizzera non è ancora richiesto il consenso esplicito per ogni trattamento dei dati. Il trattamento dei dati è permesso senza consenso, purché sia lecito, effettuato in buona fede, proporzionato e per una finalità specifica.
Inoltre, il trattamento dei dati deve essere limitato nel tempo e deve essere effettuato sulla base di dati corretti. In questo contesto, tuttavia, è importante notare l'estensione degli obblighi di informazione, di cui parleremo in dettaglio.
Le misure più importanti per le PMI
L'approccio inizia con l'esame del trattamento dei dati in azienda. Raccomandiamo pertanto lo sviluppo di un catalogo di elaborazione come base per le misure da applicare:
- Panoramica del trattamento dei dati personali in azienda
- Redazione di informative sulla privacy
- Panoramica della divulgazione dei dati a terzi
- Panoramica dei trasferimenti internazionali di dati
- Creazione di un catalogo di elaborazione
- Revisione e aggiornamento delle misure tecniche e organizzative MTO
- Implementazione di processi interni per i nuovi requisiti della LPD
- Designazione di un referente interno per le questioni relative alla protezione dei dati
- Al fine di garantire una protezione completa contro i rischi associati alla protezione dei dati, è necessario tenere conto di tutti e otto i punti. Per le PMI più piccole con un'elaborazione limitata dei dati e come obiettivo minimo assoluto, presentiamo di seguito tre temi centrali in cui è necessario adottare misure.
Tre punti chiave
In relazione alla nuova legge sulla protezione dei dati, le aziende che già attuano la protezione dei dati in modo responsabile si trovano ad affrontare in particolare tre importanti questioni che devono essere riviste, aggiornate o implementate.
Si tratta della/e informativa/e sulla privacy, della divulgazione dei dati a terzi (compresa la divulgazione di dati all'estero) e delle misure tecniche e organizzative.
1. L'informativa sulla privacy
La nuova legge sulla protezione dei dati incrementa notevolmente gli obblighi di informazione dei titolari del trattamento dei dati. Gli interessati devono essere informati in merito al trattamento dei dati, anche nei casi in cui i dati non siano raccolti direttamente dalla persona interessata.
Le persone interessate possono essere clienti, visitatori del sito web, utenti di app, fornitori o persino dipendenti dell'azienda. In particolare, l'informativa sulla privacy del vostro sito web deve contenere le seguenti informazioni (art. 19 par. 2 e segg. nLPD):
- Chi è responsabile del sito web e come si può contattare?
- Per quale scopo o per quali finalità vengono trattati i dati personali?
- Chi sono i destinatari dei dati personali trattati?
- Come viene protetta un'eventuale esportazione dei dati?
- Quali sono i diritti degli interessati in relazione alla protezione dei dati?
Si consiglia di rendere l'informativa sulla privacy il più generica e ampia possibile, al fine di poter coprire tutte le possibili operazioni di trattamento dei dati, sia oggi che nel futuro prossimo.
2. Trasmissione dei dati a terzi e all'estero
Chiunque coinvolga terzi nel trattamento dei dati personali deve assicurarsi che siano in grado di garantire la protezione dei dati come se fossero essi stessi titolari del trattamento. Tale obbligo è garantito dai cosiddetti accordi dell'incarico sul trattamento dei dati.
I titolari del trattamento (ossia i controller) sono tenuti ad obbligare contrattualmente le terze parti che trattano i dati per loro, a fornire un'adeguata protezione dei dati. Per quanto riguarda l'esportazione di dati in un altro paese, la nLPD non apporta innovazioni significative. Ciò significa che è ancora possibile esportare i dati in paesi in grado di garantire un'adeguata protezione dei dati.
Tuttavia, questo elenco è breve. L'esportazione di dati in paesi privi di un'adeguata protezione deve comunque essere assicurata da garanzie contrattuali. Ciò vale anche per lo scambio di dati all’interno di un gruppo. La salvaguardia contrattuale dell'esportazione dei dati avviene attraverso l'uso delle clausole contrattuali standard, che sono state esaminate e approvate dall'incaricato federale della protezione dei dati e della trasparenza.
3. Misure tecniche e organizzative (MTO)
MTO è un termine generico per le misure adottate come azienda per raccogliere, elaborare, custodire, inoltrare e distruggere i dati in modo sicuro. In questo contesto, devono essere adottate tutte le misure il cui impegno di attuazione sia proporzionato allo scopo della protezione.
Conclusione: necessità di intervento in quasi tutte le aziende svizzere
La nuova legge sulla protezione dei dati è in linea con i requisiti dell'Unione Europea. Vediamo la necessità di un intervento da parte di quasi tutte le aziende svizzere per quanto riguarda l'estensione degli obblighi di informazione e l'elaborazione degli ordini. Fidinam vi supporta in modo rapido e orientato a trovare una soluzione.
- Maggiori informazioni su Fidinam sono disponibili qui.
Dominic Müller è responsabile dello sviluppo commerciale dell'attività fiduciaria di Fidinam. Ha studiato diritto all'Università di Berna e ha dedicato tutta la sua carriera alla consulenza e all'outsourcing per clienti nazionali e internazionali. Si occupa in particolare di risorse umane, contabilità salariale, protezione dei dati e digitalizzazione.