Informazioni importanti sulla legge federale sulla protezione dei dati
La legge federale sulla protezione dei dati (nLPD) è in corso di revisione e a partire dal 1° settembre 2023 cambieranno alcune disposizioni importanti. Le regole per il trattamento dei dati personali sono state inasprite, per questo in qualità di imprenditore dovresti esaminare ed eventualmente adeguare le tue direttive attuali e la dichiarazione sulla protezione dei dati. MyRight ti fornisce le risposte alle domande principali sulla nuova versione della LPD.
Come mai una nuova LPD?
La legge federale sulla protezione dei dati è in vigore dagli anni ’90 e risulta pertanto obsoleta. Il nuovo mondo digitale ha reso infatti necessaria una revisione della normativa, che deve essere inoltre allineata alla legislazione dell’Unione europea in materia di protezione dei dati (RGPD). L’obiettivo è garantire che in futuro sia possibile scambiare dati tra Paesi assicurando al tempo stesso la protezione delle informazioni personali.
Cos’è importante sapere a riguardo?
Nella nuova versione cambieranno alcuni aspetti rilevanti. Ecco le due modifiche principali:
- In prima istanza, non sarà più l'azienda stessa a essere oggetto di un procedimento penale, ma anche i responsabili (proprietari e dipendenti). L'ammenda massima passa da 10.000 a 250.000 franchi svizzeri
- la versione riveduta della LPD, come il RGPD, si limita a proteggere i dati delle persone fisiche, mentre finora l’ambito di applicazione si estendeva anche alle persone giuridiche.
Maggiori informazioni in materia di protezione dei dati sono disponibili qui.
Quando entrerà in vigore la nuova legge sulla protezione dei dati (nLPD) in Svizzera?
Si prevede che la nuova legge federale sulla protezione dei dati entrerà in vigore il 1° settembre 2023.
Posso attendere fino all’introduzione della nuova LPD per poi occuparmi della protezione dei dati solo in seguito?
No. In materia di protezione dei dati già oggi molte aziende svizzere sono soggette a requisiti più rigorosi, ad esempio quelle che svolgono attività legate all’UE. Tutte le altre dovranno intervenire a riguardo al più tardi quando l’introduzione della nuova legge sarà imminente. Non sono infatti previsti periodi transitori, vale a dire che a partire dalla data stabilita la LPD riveduta entrerà in vigore e dovrà essere rispettata.
Cosa comporta la nuova legge sulla protezione dei dati per me in quanto imprenditore? E cosa devo fare affinché la mia attività sia conforme alla nuova LPD?
Per allinearsi alla LPD è necessario assicurare quanto segue:
- i dati di clienti, collaboratori e altri soggetti devono essere gestiti e trattati con strumenti moderni, conformi allo stato dell’arte tecnologico;
- il personale deve essere sensibilizzato e istruito sui temi della protezione e della sicurezza dei dati;
- è necessario soddisfare diversi obblighi in materia di informazione e documentazione, ad esempio allestendo un registro del trattamento dei dati o riportando le indicazioni relative alla protezione dei dati sul sito web.
In caso di violazione della nuova LPD ci sono conseguenze?
Oltre alle possibili sanzioni dell’Incaricato federale della protezione dei dati, sono previste in particolare multe fino a CHF 250 000 nonché procedimenti penali.
Va poi sottolineato che le eventuali sanzioni si andrebbero ad applicare a ogni collaboratore che abbia violato intenzionalmente la legge, in particolare quelli con funzioni dirigenziali. In altre parole la multa non sarà emessa a tuo carico in quanto imprenditore, ma sarà indirizzata ai collaboratori responsabili di aver violato la nuova LPD. Tuttavia, non tutte le persone direttamente responsabili di un'azione sono considerate responsabili; l'attenzione si concentra qui sui responsabili dell'organizzazione, cioè principalmente sul personale direttivo che è responsabile dell'attuazione di un'efficace protezione interna dei dati aziendali.
Non adottando le misure necessarie in termini di obbligo d’informazione, provvedimenti tecnici e organizzativi, richiesta d’informazioni e trasferimento internazionale di dati agisci in maniera intenzionale o metti in conto, se non altro, che vengano violate le disposizioni di legge (dolo eventuale), rendendoti perseguibile.
In quali circostanze sono soggetto al rischio di condanna ai sensi della nuova LPD?
Secondo quanto previsto dalla nuova LPD, in linea di massima le pene possono essere inflitte solo in caso di violazione intenzionale delle norme. Attenzione: si può supporre che vi sia una violazione intenzionale anche in caso di dolo eventuale, ossia laddove si sia tenuto conto della possibile violazione. Queste circostanze si verificano ad esempio nel momento in cui, dopo l’entrata in vigore della nuova legge, non vengano adottate le misure necessarie anche solo per mancata conoscenza delle norme, contravvenendo però così alla legge stessa.
Con la mia azienda sono esposto a un rischio particolarmente elevato di violare la nuova LPD?
Se non adotti alcun provvedimento è molto probabile che la tua azienda trasmetta dati o li trasferisca all’estero in una modalità non consentita dalla legge, che fornisca informazioni in maniera illecita o metta in atto misure tecniche e organizzative inadeguate.
Entro quando dovrò applicare le nuove prescrizioni previste in materia di protezione dei dati?
Il 31 agosto 2022, il Consiglio federale ha annunciato che la nuova DPA entrerà in vigore il 1° settembre 2023. In questo modo l'economia ha un anno di tempo per prendere le precauzioni necessarie. Ciò significa che dal 1° settembre 2023 dovranno conformarsi alla nuova DPA.
Sono previsti periodi transitori?
No. Il Consiglio federale ha stabilito che la nuova FADP si applicherà a partire dal 1° settembre 2023. Da quel momento tutte le aziende dovranno soddisfare le nuove prescrizioni.
Se non dovessimo aver ancora messo in atto le misure necessarie per l’entrata in vigore ci saranno delle conseguenze?
Le autorità di vigilanza intervengono nel momento in cui loro stesse constatano delle irregolarità o gliene vengono segnalate da parte di clienti, collaboratori o concorrenti. Generalmente in primo luogo si rivolgono all’azienda interessata sottoponendole un questionario, ma possono impiegare anche alcuni mezzi coercitivi per vagliare la situazione. A partire dall’introduzione della nuova LPD, clienti, concorrenti o autorità potranno richiedere che sia avviata un’indagine e, nella peggiore delle ipotesi, sporgere denuncia.
Come posso prepararmi al meglio alla nuova LPD e come posso tutelarmi?
Al fine di evitare una violazione con dolo (eventuale) delle norme, ti consigliamo di adottare per tempo le misure necessarie per attuare quanto previsto dalla nuova legge sulla protezione dei dati.
Se possibile ti consigliamo di introdurre fin da ora provvedimenti volti a soddisfare i requisiti della futura normativa, ad esempio in termini di obbligo di informazione o per la richiesta di informazioni.