Con la revisione della legge federale sulla protezione dei dati (nLPD), introdotta dal Parlamento il 25 settembre 2020, cambiano alcune importanti disposizioni sul trattamento dei dati personali, alle quali le aziende svizzere dovranno adeguarsi entro il primo settembre 2023, data di entrata in vigore della legge.
Cosa comporta esattamente la nuova LPD?
Dopo un processo legislativo durato quasi quattro anni, la prima LPD emanata nel 1992 è stata completamente rielaborata con lo scopo principale di tutelare la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento.
Da un lato, la Legge sulla protezione dei dati è stata adeguata ad assicurare una maggiore sicurezza davanti al contesto tecnologico e sociale in costante evoluzione, dall’altro, la revisione garantisce la compatibilità con il regolamento europeo sulla protezione dei dati (RGPD) in vigore nel territorio UE, al fine di evitare svantaggi concorrenziali per le imprese svizzere.
Quali sono le principali modifiche introdotte dalla LPD?
- Nuovo campo di applicazione: la LPD, come il RGPD, si limita a proteggere i dati trattati di persone fisiche e non riguarda le persone giuridiche.
- Estensione maggiore: tra i dati sensibili di una persona vengono classificati anche i dati genetici e biometrici.
- Migliore trasparenza: devono essere comunicati l’identità e i dati di contatto del titolare del trattamento dei dati, lo scopo del trattamento, i destinatari o le categorie di destinatari e il paese destinatario in caso di esportazione di dati all’estero. Su questo aspetto la nuova LPD è addirittura più severa del RGPD.
- Privacy by design: obbliga le aziende a tutelare i dati trattati con adeguate misure tecniche e organizzative fin dalla progettazione e pianificazione del trattamento stesso.
- Privacy by default: assicura che solo i dati strettamente necessari per ogni specifica finalità del trattamento siano trattati per impostazione predefinita.
- Profilazione: diversamente dal RGPD, non è previsto un obbligo generale di richiedere un consenso per il trattamento dei dati automatizzato per valutare determinati aspetti personali di un soggetto, quali situazione economica, stato di salute, interessi, comportamento, luogo in cui si trova, ecc.
- Valutazione d’impatto sulla protezione dei dati: obbliga le aziende ad una valutazione documentata sul rischio elevato per la personalità o i diritti fondamentali della persona interessata.
- Registro delle attività di trattamento: le aziende hanno l’obbligo di costante aggiornato di un registro contenente le informazioni prescritte.
- Per la comunicazione dei dati personali all’estero è necessario che il Consiglio Federale abbia constatato una protezione adeguata dei dati da parte dello Stato destinatario.
- Notifica tempestiva all’IFPDT: In caso di violazione della sicurezza dei dati è richiesto l’annuncio rapido da inoltrare all’incaricato federale per la protezione dei dati e per la trasparenza.
Quali sanzioni sono previste?
Oltre alle possibili sanzioni dell’Incaricato federale della protezione dei dati, sono previste in particolare multe fino a CHF 250,000, nonché procedimenti penali, a carico dei soggetti privati inadempienti.
Nel caso doveste avere necessità di ricevere ulteriori informazioni, vi invitiamo a contattare i nostri consulenti della sede di Lugano.
