Introduzione
Il 25 settembre 2020, il governo svizzero ha approvato la Legge federale sulla protezione dei dati (LPD), che sostituisce la precedente legge del 1992 e consentirà alla confederazione di dotarsi di una regolamentazione adeguata con il GDPR europeo. La nuova LPD entrerà in vigore nel 2022.
Anche se il diritto alla privacy è garantito dall’articolo 13 della Costituzione federale svizzera, una legge dedicata e approfondita sulla protezione dei dati prevede diverse disposizioni per proteggere le informazioni personali degli interessati.
1. Come Advanction può aiutare le aziende
Advanction può aiutarvi a rimanere conformi alla LPD svizzera, affiancandovi nelle attività di:
- verifica dei processi aziendali per renderli adeguati alla nuova normativa
- elaborazione di un’informativa sulla privacy conforme
- mantenenimento dei registri delle attività di trattamento
- valutare i rischi
- implementare la sicurezza by design e by default
- individuare e implementare soluzioni di sicurezza
- elaborare procedure per la violazione dei dati
- trasferire i dati personali a livello internazionale solo verso paesi adeguati o utilizzare strumenti legali aggiuntivi per i trasferimenti verso paesi terzi.
- effettuare una valutazione dell’impatto sulla protezione dei dati, se necessario.
- formazione per i collaboratori sui contenuti e gli obblighi della legge
I contenuti della legge
2. Autorità di regolamentazione
L’Incaricato federale della protezione dei dati e delle informazioni (IFPDT) è l’autorità di regolamentazione che applica le disposizioni della LPD. L’IFPDT ha ampi poteri e può richiedere alle aziende o alle organizzazioni o a qualsiasi autorità federale di:
- correggere i dati personali di una persona interessata
- sospendere il trattamento dei dati personali di una persona interessata
- cancellare interamente o parzialmente i dati personali dell’interessato.
3. Chi deve rispettare la legge
La LPD si applica alle imprese e alle autorità federali che trattano i dati personali degli interessati.
3.1 Ambito di applicazione materiale
La LPD disciplina il trattamento dei dati personali. Ciò comprende la raccolta, la conservazione, la modifica, la divulgazione, l’archiviazione, la cancellazione o qualsiasi altro utilizzo dei dati personali degli interessati. Allo stesso tempo, il trattamento dei dati personali degli interessati per scopi domestici è esentato dalla legge. La LPD prevede anche requisiti specifici per le imprese che operano in vari settori.
3.2 Ambito territoriale
Il campo di applicazione territoriale della FADP è sia all’interno che all’esterno della Svizzera, dove le entità trattano i dati personali degli interessati svizzeri.
4. Obblighi delle organizzazioni nell’ambito della LPD
4.1 Requisiti di legittimità
La LPD consente ad aziende, organizzazioni o persone fisiche di trattare i dati personali degli interessati. Tuttavia, le autorità pubbliche devono rispettare le norme della LPD e la legge quando trattano i dati personali degli interessati. D’altro canto, i responsabili del trattamento dei dati privati hanno la possibilità di trattare i dati personali ai sensi della LPD.
4.2 Requisiti per il consenso
Ai sensi della LPD, il consenso è valido solo se informato e dato liberamente. I responsabili del trattamento dei dati devono ottenere il consenso esplicito quando si tratta di dati personali sensibili o di un profilo ad alto rischio. Pertanto, i responsabili del trattamento dei dati e i siti web devono ottenere il consenso preventivo, informato, libero ed esplicito delle persone in Svizzera quando trattano i loro dati personali. Inoltre, la LPDconsente alle persone di ritirare il proprio consenso.
4.3 Requisiti per la registrazione
Tutte le aziende che trattano regolarmente i dati personali sensibili delle persone o che li comunicano regolarmente a terzi devono registrare i propri documenti presso l’IFPDT. Tuttavia, se un’azienda ha nominato un responsabile della protezione dei dati e ha notificato tale nomina all’IFPDT, è esonerata dall’obbligo di registrazione.
4.4 Notifica della privacy
La LPD richiede che le aziende siano corrette nelle loro attività di trattamento dei dati e che il trattamento dei dati sia effettuato in conformità con la notifica sulla privacy di un’azienda.
4.5 Requisiti di sicurezza
I requisiti di sicurezza della LPD si applicano alle aziende di settori specifici, come ad esempio i produttori di dispositivi medici regolamentati, le strutture sanitarie come gli ospedali, i fornitori di energia, le banche o i fornitori di servizi di telecomunicazione.
4.6 Requisiti di violazione dei dati
L’attuale LPDnon prevede un obbligo di notifica delle violazioni dei dati per le imprese. Tuttavia, la nuova LPD richiederà ai responsabili del trattamento dei dati di notificare tempestivamente all’FDPIC le violazioni dei dati che possono comportare rischi elevati per gli interessati.
4.7 Requisito del responsabile della protezione dei dati (DPO)
L’attuale LPD non prevede l’obbligo per le aziende e le organizzazioni di nominare un Consulente per la protezione dei dati (definito Data Protection Officer – DPO – nel GDPR). Tuttavia, la nuova LPD incoraggia le aziende a nominare un DPO. Il DPO deve possedere le competenze del settore, le capacità professionali e l’esperienza necessarie per svolgere i compiti quotidiani di un DPO.
4.8 Valutazione d’impatto sulla protezione dei dati (DPIA)
La revisione della LPD richiederà ai responsabili del trattamento dei dati di effettuare una DPIA quando trattano i dati personali degli interessati. Le aziende che trattano dati personali sensibili ad alto rischio e su larga scala saranno tenute a condurre valutazioni del rischio.
4.9 Registro delle attività di trattamento (RoPA)
La nuova LPD richiederà ai responsabili e agli incaricati del trattamento dei dati di tenere un registro delle attività di trattamento. Tuttavia, le aziende con meno di 250 dipendenti sono esentate dalla tenuta del RoPA.
4.10 Requisiti per il trattamento da parte di terzi
Per quanto riguarda il trattamento da parte di terzi, la LPD richiede alle aziende di comunicare e giustificare il trattamento dei dati personali delle persone. Le terze parti dovranno fornire il consenso dell’interessato quando trattano i dati personali di quest’ultimo.
4.11 Requisiti per il trasferimento transfrontaliero dei dati
I responsabili del trattamento dovranno informare gli interessati se intendono trasferire i loro dati personali a livello internazionale. Inoltre, i responsabili del trattamento dovranno specificare i Paesi in cui si intende trasferire i dati.
5. Diritti dell’interessato
5.1 Diritto di essere informati
La LPD impone alle aziende di informare gli interessati della raccolta dei dati personali e delle finalità del trattamento in modo trasparente. Ai sensi della LPD, gli interessati hanno il diritto di essere informati quando il titolare del trattamento raccoglie i loro dati personali e le finalità del trattamento, se le attività di raccolta e trattamento dei dati non sono esplicitamente definite.
5.2 Diritto di accesso
La LPD conferisce agli interessati il diritto di accedere ai propri dati personali e il diritto di ricevere una copia dei dati personali in corso di trattamento. Gli interessati possono anche chiedere al titolare del trattamento informazioni sul contesto dei dati personali, come l’origine o le fonti, le finalità del trattamento, i dettagli dei dati personali attualmente trattati e i beneficiari dei loro dati personali.
5.3 Diritto di rettifica
Ai sensi della LPD, gli interessati hanno il diritto di rettificare i propri dati inesatti presentando una richiesta al titolare del trattamento. Tuttavia, la legge autorizza anche il responsabile del trattamento a rifiutare qualsiasi richiesta di rettifica su base legale.
5.4 Diritto alla cancellazione
La LPD conferisce agli interessati il diritto alla cancellazione. Tuttavia, il titolare del trattamento può rifiutare la cancellazione dei dati personali di un interessato su base legale.
5.5 Diritto di opposizione/opposizione
La LPD conferisce agli interessati il diritto di opporsi/opt-out al trattamento dei loro dati personali. Tuttavia, il diritto di opposizione/opt-out non è assoluto, il che significa che i responsabili del trattamento possono continuare a trattare i dati personali di una persona interessata se i dati sono necessari per i loro obblighi di conformità.
5.6 Diritto alla portabilità dei dati
L’interessato ha il diritto di ricevere una copia dei propri dati personali e la possibilità di richiedere il trasferimento dei propri dati personali a un altro titolare del trattamento.
5.7 Diritto a non essere sottoposti a processi decisionali automatizzati
Sebbene l’attuale LPD non includa questo diritto, la nuova LPD obbliga i responsabili del trattamento a informare gli interessati se utilizzano un processo decisionale individuale automatizzato. Inoltre, il documento conferisce agli interessati il diritto di essere informati in caso di processo decisionale individuale.
6. Sanzioni in caso di non conformità
L’IFPDT e i procuratori statali applicano le disposizioni della LPD. Ai sensi dell’attuale legge, i responsabili del trattamento dei dati che violano la legge possono essere multati fino a 10.000 franchi svizzeri. Tuttavia, con la revisione della LPD, l’importo massimo della multa sarà di 250.000 franchi svizzeri.
Per quanto riguarda le imprese e le organizzazioni, la revisione della LPD comporterà responsabilità penali per ciascuna di esse. Più che l’organizzazione, il suo responsabile dei dati sarà responsabile con una multa pecuniaria fino a 50.000 franchi svizzeri
Contattate Advanction per capire come affrontare l’adeguamento.