Nuova legge sulla protezione dei dati
Nuova legge sulla protezione dei dati
Dopo quasi quattro anni di discussioni, il Parlamento ha adottato la revisione della legge sulla protezione dei dati. Questa dovrebbe entrare in vigore a metà maggio 2022. Ma è nell’interesse delle PMI prepararsi da subito alla sua applicazione.
La versione riveduta della legge sulla protezione dei dati contiene diverse novità, in particolare più diritti per le persone coinvolte, la promozione della prevenzione e il rafforzamento dei controlli. Inoltre, le disposizioni penali sono state ampliate. La nuova legge sulla protezione dei dati sostituisce la legge precedente del 1992, divenuta obsoleta a causa delle evoluzioni tecnologiche. La legge svizzera sulla protezione dei dati ha anche lo scopo di rispondere alle esigenze europee. Il regolamento generale dell’UE sulla protezione dei dati (GDPR) è in vigore dal maggio 2018 e si applica a tutto lo Spazio economico europeo dal 20 luglio 2018, Liechtenstein, Islanda e Norvegia inclusi. Cosa significano le nuove disposizioni della versione riveduta della legge sulla protezione dei dati per le PMI? L’associazione Bridge2digital propone un aiuto per favorire l’autonomia nell’applicazione della nuova regolamentazione. Wolfgang Pfister, responsabile del gruppo specializzato “Security & Compliance” dell’organizzazione, ci offre qualche informazione in proposito.
A cosa devono prestare attenzione le PMI in merito alla nuova legge sulla protezione dei dati?
Wolfgang Pfister: La versione riveduta della legge sulla protezione dei dati si applica esclusivamente ai dati personali e non a quelli delle imprese. Quando una PMI ha degli impiegati e dei clienti, essa dispone anche di dati personali e pertanto deve rispettare gli obblighi inerenti la protezione. La nuova legge prevede degli obblighi d’informazione più ampi, fra cui quello di creare un registro delle attività di trattamento dei dati e più diritti per le persone coinvolte. I dati personali particolarmente sensibili includono ormai anche i dati genetici e biometrici, come le impronte digitali o la scansione della retina. Il Consiglio federale ha messo in consultazione l’ordinanza relativa alla legge. Questa dovrebbe entrare in vigore a metà maggio 2022. Ma è nell’interesse delle PMI prepararsi da subito alla sua applicazione.
Quali problemi possono riscontrare le PMI con l’applicazione delle nuove regole?
Wolfgang Pfister: Le PMI che raccolgono o trattano dati di carattere personale devono indicare in una dichiarazione relativa alla protezione dei dati quali informazioni dei clienti vengono trattate quando questi ultimi consultano il loro sito Web, quando utilizzano i loro servizi online o quando l’impresa fornisce delle prestazioni al cliente. L’associazione Bridge2digital aiuta le PMI a creare una dichiarazione di protezione dei dati tramite un modello di documento. Questo modello può essere adattato a diversi settori, che si tratti di uno studio medico, di vendita (online) o di un’impresa artigianale.
Conformemente alla legge, possono essere raccolti solo i dati concretamente necessari. Una PMI può avere delle domande inerenti gli accordi con i fornitori, anche quelli di soluzioni Cloud. I dati possono essere comunicati all’estero se il paese terzo dispone di una protezione adeguata dei dati. Il Consiglio federale fornisce una lista in quest’ambito. Se il paese d’esportazione in questione non figura su questa lista, le informazioni personali possono comunque essere trasmesse, come secondo la legge precedente, a condizione che la protezione dei dati sia garantita in un altro modo.
Qual è lo scopo dell’associazione Bridge2digital?
Wolfgang Pfister: L’associazione si propone di creare una piattaforma dedicata allo scambio di esperienze tra imprese e intersettoriale, inerente l’applicazione delle procedure di digitalizzazione. Desideriamo inoltre lanciare e accompagnare dei progetti pilota digitali, chiamati progetti “faro” e “buone pratiche” a livello delle imprese, dei settori e degli ambiti specializzati. L’associazione è stata fondata nel novembre 2017 e propone degli eventi su diversi temi, quali “Security & Compliance” e “Smart Customer Interaction”. I 15 membri attuali comprendono utenti interessati che desiderano sviluppare maggiormente la digitalizzazione ma che non dispongono delle risorse necessarie per riuscirci da soli. Si tratta anche di fornitori svizzeri di soluzioni digitali, di start-up e pure imprese già avviate. Nel quadro del gruppo specializzato “Security & Compliance”, l’associazione a scopo non lucrativo si occupa dell’applicazione della nuova legge sulla protezione dei dati, concentrandosi in particolare sulle PMI svizzere.
Quali sono le domande che le PMI si pongono per quanto concerne le decisioni individuali automatizzate?
Wolfgang Pfister: L’impresa deve informare la persona interessata di ogni decisione che si basa esclusivamente su un trattamento automatizzato e che è associata a una conseguenza giuridica per questa persona o che la influenza in maniera significativa. Un esempio può essere il caso della sottoscrizione di un contratto assicurativo per il quale il (potenziale) cliente viene rifiutato. La persona in questione deve pertanto avere la possibilità di presentare il suo punto di vista e, se non è d’accordo con le decisioni individuali automatizzate, deve poter esigere che la decisione venga riesaminata da una persona fisica.
A cosa devono stare attente le PMI per quanto concerne la profilazione?
Wolfgang Pfister: In caso di profilazione, molti dati vengono combinati e questo permette di creare dei modelli comportamentali e dei profili di personalità. I negozi online che analizzano i comportamenti durante la navigazione e gli acquisti degli utenti ne sono un esempio. La nuova legge distingue tra la profilazione ordinaria e quella “ad alto rischio” per i diritti di una persona fisica. Per questi ultimi viene richiesto il consenso espresso dalla persona interessata. L’associazione Bridge2digital aiuta le PMI a creare dei modelli di analisi dell’impatto della protezione dei dati.
Cosa deve fare una PMI in caso di violazione della protezione dei dati?
Wolfgang Pfister: Conformemente alla nuova legge, l’impresa deve notificare qualsiasi fuga di dati all’Incaricato federale della protezione dei dati. In caso di violazione della protezione dei dati, la PMI o il responsabile devono indicare il prima possibile all’incaricato se sussistono rischi importanti per la persona o per i diritti fondamentali della persona interessata. Le persone interessate devono anche essere informate, se si ritiene necessario per la loro protezione. È importante che le imprese registrino ciò che fanno. Se le cose vanno male, è preferibile che la PMI possa fornire una catena chiara di decisioni sul modo in cui ha voluto conformarsi alla legge.
Alcuni dei dati più importanti da proteggere sono quelli degli studi medici, scopri di più qui.