Cosa cambia con la riveduta legge sulla protezione dei dati?
Nuovo campo d’applicazione
La riveduta legge sulla protezione dei dati si limita alla protezione dei dati delle persone fisiche, non garantendo più la copertura di quelli delle persone giuridiche.
Ampliamento della definizione dei dati degni di particolare protezione e inclusione del concetto di «profilazione»
La vecchia legge proteggeva i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali; la salute, la sfera intima o l’appartenenza a una razza; le misure d’assistenza sociale e i procedimenti o le sanzioni amministrativi e penali. Con la legge riveduta, anche i dati biometrici (impronte digitali, scansione dell’iride dell’occhio) e i dati di profilazione rientrano nella definizione dei dati degni di particolare protezione. Per «profilazione» si intende il trattamento in forma automatizzata dei dati personali finalizzato ad analizzare e prevedere aspetti personali di una persona fisica.
Introduzione nella legge dei principi di «Privacy by Design» e «Privacy by Default»
Nel caso del principio di «Privacy by Design», vengono applicati sin dall’inizio principi di progettazione e architettura che tengono conto della protezione dei dati al fine di tutelare la sfera privata degli utenti. L’obiettivo è ridurre al minimo, fin da subito, i rischi legati alla protezione dei dati. Con il principio di «Privacy by Default» si assicura che, nello sviluppo di sistemi e applicazioni, vengano applicate in modo predefinito impostazioni e funzioni che tengano conto della protezione dei dati. In questo modo, si protegge sin dall’inizio la sfera privata degli utenti, che possono decidere attivamente se rivelare ulteriori dati.
Estensione dell’obbligo di informare
Le imprese devono informare preventivamente le persone interessate in merito alla raccolta dei loro dati personali. Questo obbligo non si applica più solo ai dati «degni di particolare protezione», ma a tutti i dati personali. In questo modo, le persone interessate possono far valere i propri diritti. Se i dati personali non vengono raccolti presso la persona interessata, l’impresa deve informarla in merito alle categorie di dati personali trattati. Se i dati vengono trasferiti all’estero, l’impresa deve informare la persona interessata in merito allo Stato o all’organismo internazionale destinatario. Per adempiere questo obbligo di informare, i dati possono essere forniti, ad esempio, in modo proattivo e resi facilmente accessibili attraverso il sito web dell’impresa.
Obbligo di documentare
Le imprese devono non solo documentare la raccolta dei dati, ma anche tenere un registro di tutte le attività di trattamento dei dati nel quale riportare tutte le informazioni rilevanti sui dati personali trattati. A tal fine, occorre indicare l’identità del titolare del trattamento, lo scopo del trattamento, le categorie di persone interessate, i dati personali trattati, i destinatari, la durata di conservazione e i provvedimenti tesi a garantire la sicurezza dei dati. Se i dati vengono trasferiti all’estero, è necessario indicare anche lo Stato destinatario e le garanzie di protezione dei dati.
Notifica in caso di violazione della sicurezza dei dati
In determinate circostanze, le violazioni della sicurezza dei dati devono essere notificate all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
Valutazione d’impatto sulla protezione dei dati
Da adesso le imprese devono effettuare una valutazione d’impatto scritta sulla protezione dei dati quando il trattamento dei dati rappresenta un rischio elevato per i diritti e le libertà delle persone interessate e non sussistono eccezioni.
Inasprimento delle sanzioni
In caso di inosservanza della legge sulla protezione dei dati si può incorrere in sanzioni e multe fino a 250’000 franchi. L’IFPDT può avviare una procedura d’inchiesta e pronunciare decisioni. Sono inoltre possibili azioni civili. L’attuazione delle sanzioni compete alle autorità cantonali preposte al perseguimento penale.
Importante
Le multe e le sanzioni sono destinate a persone fisiche (non giuridiche), tra cui dirigenti, come CEO o CFO, ma anche personale qualificato che non ricopre funzioni dirigenziali, come un incaricato della protezione dei dati. Le imprese non possono tutelarsi al riguardo. Se una persona fisica all’interno di un’impresa viola la LPD, vengono comminate sanzioni nei suoi confronti.
Cliccare qui per accedere alla legge ufficiale sulla protezione dei dati: admin.ch