La nuova Legge sulla Protezione dei Dati (nLPD) entrerà in vigore il 1° settembre prossimo in Svizzera. In questo articolo esaminiamo i punti chiave di questa riforma con Bettina BARJON, consulente per la protezione dei dati di KHEOPS Technologies.
L’attuale LPD risale al 1992. Nel frattempo, l’emergere e la diffusione di Internet hanno portato a una raccolta massiva di dati personali.
Di conseguenza, era necessaria una revisione della legge per tenere conto di queste evoluzioni tecnologiche e sociali, e per proteggere la privacy e la personalità di ciascuno.
Un altro elemento chiave di questa revisione è la compatibilità tra il diritto svizzero e quello europeo.
Perché i dati personali possano essere trattati senza complessità giuridiche oltre confine, è necessario che la Svizzera ottenga una decisione di adeguatezza.
In sintesi, il livello di protezione dei dati in Svizzera deve essere considerato equivalente a quello dell’UE.
Attualmente, la Svizzera gode di tale decisione, ma questa è in fase di revisione da parte della Commissione Europea.
L’adozione della nuova LPD si inserisce pienamente in questo contesto.
In linea di principio, la nLPD adotta un approccio basato sul rischio e sulla compliance, rafforzando le misure di trasparenza.
Si passa da un sistema di dichiarazione di alcuni file presso il Preposto federale alla protezione dei dati e alla trasparenza (IFPDT) a un sistema di prova della conformità delle organizzazioni che trattano dati personali, simile a quanto avviene con la legislazione europea.
Sarà compito degli attori che trattano questi dati essere in grado di provare la conformità dei loro trattamenti. Ciò implica la mappatura di questi trattamenti al fine di poterne verificare la conformità.
In pratica, ora è obbligatorio:
- Fornire informazioni dettagliate prima di raccogliere dati personali. La legge ora si applica unicamente ai dati relativi alle persone fisiche;
- Tenere un registro delle attività di trattamento (è prevista un’eccezione per le aziende con meno di 250 dipendenti e i cui trattamenti di dati presentano un rischio limitato);
- Cancellare o anonimizzare i dati quando non sono più necessari;
- Applicare i principi di privacy by design e privacy by default;
- Eseguire una valutazione dell’impatto quando il trattamento comporta rischi elevati;
- Annunciare le violazioni della sicurezza dei dati (anche accidentali) al IFPDT nel più breve tempo possibile, se c’è un alto rischio per la personalità o i diritti fondamentali della persona interessata. La persona interessata dovrà essere informata, se necessario o richiesto dal IFPDT.
- Considerare diritti come il diritto alla portabilità dei dati e il diritto di accesso.
Il concetto di profiling entra anche nella legge.
Va notato che la LPD si applica ai medici e alle cliniche private, così come agli ospedali considerati enti federali. Gli ospedali cantonali sono invece soggetti alle leggi cantonali sulla protezione dei dati.
I dati sanitari sono già oggi classificati come sensibili. Tuttavia, a partire dal 1° settembre, la definizione si estenderà anche ai dati genetici e biometrici.
Più in generale, le misure tecniche e organizzative dei responsabili del trattamento e dei subappaltatori dovranno essere adattate ai rischi. In pratica, ciò comporta un rafforzamento delle misure di sicurezza quando si trattano dati medici.
A ciò si aggiunge che l’ordinanza sulla protezione dei dati prevede un obbligo di registrazione per il trattamento automatizzato di dati sensibili su larga scala, oltre alla gestione di un regolamento di trattamento.
La nLPD contiene diverse disposizioni penali per rafforzare l’efficacia degli obblighi che impone.
Sono stati rivisti anche i poteri del IFPDT, senza però conferire un potere di sanzione amministrativa diretta (come quello che può avere la CNIL in Francia, ad esempio). Può tuttavia vietare un trattamento.
L’ammontare delle sanzioni è stato aumentato, arrivando a un massimo di 250.000 CHF per una persona fisica in caso di violazione intenzionale. Questo è più severo rispetto a prima (10.000 CHF), ma siamo lontani dai 20 milioni di euro o dal 4% del fatturato mondiale del GDPR (applicabile alla persona giuridica).
Anche se non si tratta di una vera e propria sanzione, è importante considerare il rischio reputazionale legato al nuovo obbligo di notifica delle violazioni della sicurezza.
La protezione dei dati è per noi una priorità costante. Seguiamo da vicino l’applicazione della normativa europea, in vigore dal 2018. I nostri collaboratori sono sensibilizzati su questo tema. Abbiamo adottato misure specifiche, sia a livello tecnico che legale. Offriamo anche contratti dedicati alla protezione dei dati, rivolti a clienti e partner. Questi contratti chiariscono i diritti e i doveri di ciascuna parte. Favoriscono così una vera collaborazione sul tema. Relativamente alla nLPD, le aziende già conformi al GDPR dovranno apportare solo poche modifiche. Quelle che invece non lo sono troveranno informazioni precise e dettagliate sul sito dell’IFPDT. In caso di domande o per ulteriori informazioni, i nostri clienti e partner possono contattarci all’indirizzo: dpo@kheops.ch.
