Quali cambiamenti comporta la nuova revLPD?
Anche se la nuova legge sulla protezione dei dati non prevede modifiche sostanziali, a partire dal 1° settembre 2023 ci saranno comunque alcuni cambiamenti. Ecco quali nello specifico.
- I dati delle persone giuridiche non saranno più coperti dalla legge sulla protezione dei dati (LPD), il cui campo di applicazione si limita ora ai dati delle persone fisiche.
- Gli obblighi di informazione vengono ampliati: ora la persona responsabile deve, tra le altre cose, informare i soggetti interessati circa la propria identità comunicando i suoi dati di contatto, lo scopo del trattamento dei dati e i destinatari o le categorie di destinatari dei dati. La nuova LPD non prevede tuttavia un elenco esaustivo delle informazioni necessarie. I responsabili devono quindi valutare autonomamente se fornire alle persone interessate ulteriori indicazioni per integrare la LPD. Questa prevede la comunicazione di tutte le informazioni necessarie affinché dette persone possano far valere i propri diritti, da trasmettere in forma precisa, trasparente, comprensibile e di facile accesso.
- Se il trattamento dei dati comporta un elevato rischio per la personalità o i diritti fondamentali delle persone interessate, le aziende hanno ora l’obbligo di eseguire una valutazione d’impatto sulla protezione dei dati. Tale analisi deve essere documentata.
- Vengono introdotti i concetti di «Privacy by design» e «Privacy by default», ossia la protezione dei dati fin dalla progettazione e per impostazione predefinita. Questi obbligano le aziende a tenere conto dei principi generali del trattamento dei dati fin dalla progettazione e dalla pianificazione delle applicazioni e, ad esempio, a non ottenere attraverso impostazioni predefinite i consensi delle persone interessate per trattamenti di dati che vanno oltre a quanto strettamente necessario.
- Il registro delle attività di trattamento diventa obbligatorio per le aziende con 250 e più collaboratori. L’ordinanza che accompagna la legge prevede tuttavia un’eccezione per le PMI in cui il trattamento dei dati comporta un rischio esiguo di violazione della personalità delle persone interessate.
- Per la prima volta, la LPD introduce nel diritto svizzero l’obbligo di notifica in caso di violazione della sicurezza dei dati. La persona responsabile deve segnalare all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ogni caso di violazione che potrebbe comportare un rischio elevato per i diritti della personalità dei soggetti interessati. La segnalazione deve essere effettuata il più rapidamente possibile. Diversamente da quanto previsto dal RGPD, la soglia per ottemperare l’obbligo di notifica è superiore («rischio elevato» vs. «rischio»). Se è necessario per la tutela delle persone interessate o è richiesto dall’IFPDT, la persona responsabile deve inoltre allertare i soggetti coinvolti.
- Nella legge viene ora introdotto il concetto di profilazione o «Profiling», ossia un trattamento automatizzato dei dati nel corso del quale, sulla base di elementi specifici, vengono valutati alcuni aspetti della personalità dei soggetti interessati.
- La nuova LPD differenzia inoltre tra persone responsabili e responsabili del trattamento: a livello concreto la distinzione è già presente nella legge attualmente in vigore, ma ora nella nuova versione viene esplicitata.
- Viene meno l’obbligo di registrazione delle collezioni di dati, in essere finora.
- Le competenze dell’IFPDT vengono considerevolmente ampliate: l’Incaricato è ora autorizzato, d’ufficio o dietro segnalazione, a effettuare ricerche e a raccogliere prove, in più ha competenze decisionali. Se finora poteva formulare raccomandazioni, l’IFPDT può emanare ora disposizioni vincolanti. Qualora l’azienda interessata non le voglia accettare, queste possono poi essere impugnate.
- Con la nuova LPD vengono introdotte sanzioni più severe: diverse violazioni possono comportare infatti multe fino a CHF 250 000.
Altri consigli legali e modelli in materia di protezione dei dati
• I 12 punti principali da osservare
• Panoramica di tutti i consigli legali