Il regolamento dell’UE sulla protezione dei dati concerne anche alcune PMI con sede in Svizzera. Esse devono rispettare, a partire dal prossimo 25 maggio, sette obblighi legali, per evitare di incappare in sanzioni pecuniarie.
La vostra impresa utilizza i dati personali di cittadini residenti sul territorio dell’UE? Queste attività di trattamento dei dati sono legate a un’offerta di beni o di servizi, oppure al comportamento di persone fisiche nei paesi membri dell’UE? Se questo è il vostro caso, il nuovo Regolamento europeo sulla protezione dei dati (GDPR) potrebbe concernervi. Molte PMI svizzere si stanno attivando per rendere le loro attività – in particolare il loro sito internet – conformi al GDPR che entrerà in vigore il 25 maggio 2018. È il caso, ad esempio, del fabbricante vodese di carillon Reuge (vedi testimonianza nel riquadro in basso).
Per determinare se un’impresa ricade nel campo d’applicazione del GDPR, la localizzazione nell’UE delle persone fisiche delle quali vengono trattati i dati si rivela importante, così come l’intenzione di mirare a delle persone nello spazio europeo. Delle informazioni per aiutare le PMI a determinare se sono soggette a questa legge sono disponibili qui.
Le imprese toccate dal GDPR devono rispettare sette obblighi principali. Lo studio legale Kellerhals Carrard li riassume cosi:
1. Necessità di informare e di ottenere il consenso della persona i cui dati vengono trattati
Nel momento in cui la legittimità di un trattamento di dati si basa sul consenso della persona in questione, il suo accordo deve essere libero e basarsi su un’informazione completa, riconoscibile e sicura. Deve essere esplicito. Al contrario, non è soggetto ad alcuna esigenza di forma e può essere concesso oralmente. L’importante è che la società sia in grado di fornirne la prova. Infine, questo consenso deve poter essere revocabile in ogni momento.
2. Assicurare il "Privacy by design" e il "Privacy by default"
Dalla concessione del trattamento, l’impresa deve prendere delle misure tecniche e organizzative al fine di accertarsi del rispetto del GDPR e di proteggere i diritti delle persone coinvolte (Privacy by design). Deve inoltre assicurare, attraverso parametri predefiniti, che verranno trattate solo le informazioni utili alla finalità prevista (Privacy by default).
3. Designare un rappresentante nell’UE
Il dovere di designare un rappresentante nell’UE cade quando il trattamento dei dati è occasionale, quando non implica particolari categorie di dati e non comporta quasi nessun rischio.
4. Tenere un registro delle attività di trattamento
L’impresa o i suoi subappaltatori devono mantenere aggiornato un documento contenente una serie di informazione sui metodi di trattamento dei dati.
5. Notificare i casi di violazione dei dati all’autorità di controllo
La società deve prevedere dei meccanismi rapidi d’informazione delle persone coinvolte e delle autorità di controllo competenti in caso di violazione dei dati.
6. Procedere con una valutazione dell’impatto inerente la protezione dei dati
Un tipo di trattamento suscettibile di generare un rischio elevato di violazione dei diritti e delle libertà deve essere oggetto di una valutazione d’impatto.
7. Pagare le sanzioni in caso di violazione del GDPR
Per le imprese, le sanzioni in caso di violazione della protezione dei dati possono ammontare fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Buone notizie per le società che si apprestano ad adeguarsi al regolamento europeo: le revisioni di procedure interne, linee guida, contratti e dichiarazioni di confidenzialità che esse avranno realizzato, dovranno corrispondere anche alle future esigenze svizzere in quest’ambito. La Commissione delle istituzioni politiche del Consiglio nazionale si è infatti pronunciata nel gennaio 2018 per una revisione in due tappe della legge sulla protezione dei dati. Le imprese che si conformeranno al GDPR saranno logicamente pronte per questa revisione. Nel contesto attuale di crescita della digitalizzazione delle imprese e delle loro attività di trattamento dei dati personali, una riforma di questo tipo si rivelerà importante per la protezione dei diritti delle persone fisiche in Svizzera.
Informazione
Sul tema
Reuge adatta il suo sito web
Nel suo commercio online, l’impresa Reuge vende carillon fabbricati a Sainte-Croix (VD). La società, che conta un’importante clientela europea, si sta preoccupando della compatibilità del suo sito internet con il GDPR. "Reuge metterà online nelle prossime settimane un nuovo sito web, spiega il CEO Kurt Kupper. Il GDPR è presente nell’agenda del nostro sviluppatore."
La PMI di 70 collaboratori dispone al suo interno delle competenze necessarie per approfondire questa questione? "Il nostro direttore finanziario (CFO) sta studiando il dossier in collaborazione con degli specialisti esterni e con la Camera di commercio e dell’industria vodese (CVCI)."
Questa attuazione comporta un costo importante per la società. "Purtroppo, ogni nuovo regolamento porta a spese supplementari. Per una PMI, questi sono proporzionalmente più onerosi che per le grande imprese."
Links
Ultima modifica 07.02.2018
