La Svizzera si sta adeguando alla rapida digitalizzazione della società. La nuova legge sulla protezione dei dati rafforza la governance dei dati personali e assicura la compatibilità del diritto svizzero con quello europeo. I cambiamenti riguardano l’intero ciclo di vita dei dati personali: la raccolta, l’archiviazione (compresa la durata della conservazione), l’utilizzo, il trasferimento e infine la cancellazione dei dati.
- Quale è l’impatto della nLPD su Infomaniak, i suoi partner e i proprietari dei siti?
- Come conformarsi alla nLPD?
Stiamo esaminando questa evoluzione con Tiago Pedro, Data Protection Officer (DPO) di Infomaniak. Le informazioni contenute in questo articolo sono fornite a titolo indicativo e non sostituiscono la consulenza di un professionista nel tuo caso di applicazione.
La protezione dei dati è la nostra prima responsabilità
La protezione dei dati è al centro del nostro lavoro e delle nostre soluzioni. Orienta le nostre scelte fin dalle prime fasi di progettazione e per l’intero ciclo di vita dei nostri prodotti.
In qualità di cliente di Infomaniak, i tuoi dati vengono trattati e ospitati:
- da un’impresa svizzera indipendente, nel rispetto del diritto europeo, il cui modello di business non è l’analisi e la vendita di dati;
- tramite tecnologie e software sviluppati da Infomaniak o basati su tecnologie open source;
- nei data center gestiti esclusivamente da Infomaniak in Svizzera.
La nostra politica sulla privacy è chiara e trasparente:
- Trattiamo i tuoi dati personali come se fossero nostri.
- Utilizziamo i dati personali solo per assicurare i tuoi servizi e le nostre attività (fatturazione, assistenza clienti, ecc.).
- Ogni processo di trattamento dei dati è elencato e documentato.
In qualità di provider cloud, abbiamo una doppia responsabilità:
- Quando trattiamo dati personali relativi alla nostra attività, siamo “Titolari del trattamento dei dati”.
- Quando archiviamo i dati che ci affidate, siamo “Responsabili del trattamento”.
Pertanto, ci avvaliamo dei mezzi tecnici e organizzativi per:
- Garantire un elevato livello di protezione dei dati personali.
- Consentire all’utente di rispettare gli obblighi di legge relativi all’utilizzo dei nostri servizi.
Comprendere la nuova legge svizzera sulla protezione dei dati
Chi riguarda? Di quali dati stiamo parlando? Cosa cambia? Cosa c’è da sapere?
La nLPD riguarda tutte le organizzazioni svizzere o straniere che trattano i dati di persone situate in Svizzera, in qualsiasi parte del mondo. Ciò riguarda i collaboratori, i clienti, i potenziali clienti, gli amministrati, i loro subappaltatori, terzi, ecc. Possono essere inflitte sanzioni pecuniarie alle persone effettivamente responsabili di un’infrazione/violazione della nLPD.
Riguarda tutti i dati personali:
Dati personali
- Cognome, Nome
- Indirizzo e-mail
- Numero di telefono
- Indirizzo postale
- …
Dati personali sensibili
- Impronte biometriche
- Informazioni mediche
- Casellario giudiziario
- Origine etnica
- Opinione politica
- …
4 nozioni per comprendere la nuova LPD
- Analisi dell’impatto: se il trattamento dei dati personali può comportare un elevato rischio di violazione dei diritti della persona, è necessario analizzare l’impatto in caso di fuga di dati, attacchi dolosi, furto di identità, ecc.
- Proporzionalità: è necessario distruggere i dati di cui non si ha più bisogno. Devono essere messe in atto adeguate misure di sicurezza (tecniche e organizzative) in relazione ai rischi identificati. Le imprese con almeno 250 addetti devono creare un registro delle attività di trattamento dei dati personali.
- Trasparenza: è necessario informare in modo esaustivo sul trattamento di tutti i dati personali e sul loro eventuale trasferimento. Laddove sussista un elevato rischio di violazione dei diritti della persona, le violazioni della sicurezza dei dati devono essere segnalate il prima possibile all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
- Efficacia: in caso di violazione della nLPD, l’IFPDT può agire rapidamente prendendo egli stesso delle decisioni. Le disposizioni penali sono molto più rigide (da CHF 10’000 a CHF 250’000).
Come conformarsi alla nLPD?
A seconda dell’ubicazione delle persone di cui tratti i dati, è necessario sapere se la tua organizzazione deve essere conforme alla nLPD, al regolamento generale sulla protezione dei dati (RGPD) in Europa o a entrambi.
Se la tua organizzazione è già conforme al RGPD, si può ragionevolmente presumere che non ci sia molto da fare. Se la tua organizzazione tratta soltanto dati personali di soggetti residenti in Svizzera, è necessaria una verifica approfondita per verificare la conformità alla nLPD.
Domande frequenti sulla nLPD
- È obbligatorio nominare un titolare del trattamento dei dati personali? Questa è una domanda errata. Il “titolare del trattamento” (tu) è un concetto che designa un privato o un ente federale che tratta i dati personali e, per estensione, i suoi responsabili. Da non confondere con un “consulente per la protezione dei dati” (equivalente a un DPO) la cui nomina è facoltativa per le imprese.
- È necessario un banner dei cookie/consenso su un sito web svizzero? Se il tuo sito è destinato esclusivamente ai visitatori svizzeri, per l’utilizzo dei cookie non è necessario ottenere il consenso degli utenti (fatta eccezione per i dati sensibili, a rischio elevato e di profilazione). In ogni caso occorre informare sul trattamento dei dati e sul diritto di opporsi al trattamento dei dati.
- Si possono usare strumenti come Hotjar o GA4 con la nLPD? In linea di principio, questi strumenti sono assimilabili ai cookie. Sono consentiti nello stesso contesto dei cookie a meno che l’utente non li rifiuti, ad esempio tramite le impostazioni di protezione dei dati del suo browser web.
Iniziare bene per conformarsi alla nLPD
Da dove iniziare? Ecco una buona base per avviare il processo di conformità alla nuova legge sulla protezione dei dati:
1. Un’informativa sulla privacy trasparente
Il primo passo è quello di mappare il trattamento dei dati personali per identificare rischi particolari. La tua organizzazione deve acquisire una buona conoscenza di se stessa in materia di dati personali.
Non esiste uno schema standard, ma la tua informativa sulla privacy dei dati deve contenere tutte le informazioni dettagliate, ad esempio: spiegare quali dati vengono trattati, la finalità, la durata di conservazione, il mezzo di protezione, con chi vengono condivisi i dati, in quale paese e come vengono utilizzati da terzi (ad es. i rivenditori). Diversi casi richiedono l’istituzione di un registro delle attività di trattamento contenente una serie di indicazioni descritte all’art. 12 della nLPD. Questo vale per le aziende con oltre 250 addetti, quelle che trattano dati sensibili su larga scala o il cui trattamento è caratterizzato da profilazione ad alto rischio.
2. Meno dati, meno rischi, meno danni
La tua organizzazione deve agire in modo responsabile. Bisogna chiedersi se certi dati non siano superflui e cancellarli. Una volta identificati e descritti i trattamenti, è possibile valutarne la sicurezza. Ci si aspetta che la tua organizzazione adotti le misure tecniche e organizzative adeguate: privacy by design, by default. È un processo di miglioramento continuo.
3. Stabilire regole e un quadro chiaro
La tua organizzazione deve stabilire delle regole e trasmetterle a tutti i livelli dell’organizzazione. Con la nLPD, la responsabilità può scendere al di sotto della direzione in caso di inadempienze. La protezione dei dati deve quindi far parte della comunicazione interna, del reclutamento, ecc. Ciò può assumere la forma di giochi di ruolo, quiz, video informativi, ecc. La protezione dei dati deve integrarsi in tutti i processi pertinenti e diventare un riflesso a tutti i livelli della tua organizzazione.
***
La protezione dei dati è un argomento da prendere sul serio e speriamo che questo articolo ti abbia aiutato a comprendere le sfide della nLPD e a rispondere alle tue domande.
Infomaniak è un provider cloud impegnato nella protezione dei dati per cui è importante dedicare del tempo alla tua organizzazione per assicurarti di essere conforme alla nLPD e al RGPD e, in caso di dubbio, farti affiancare da un professionista.