Protezione dei dati in Europa: i nuovi doveri delle imprese

Il regolamento dell’UE sulla protezione dei dati concerne anche alcune PMI con sede in Svizzera. Esse devono rispettare, a partire dal prossimo 25 maggio, sette obblighi legali, per evitare di incappare in sanzioni pecuniarie.

Un uomo sovrappone in equilibrio dei pezzi di un gioco. Questa illustrazione rappresenta la protezione dei dati.

La vostra impresa utilizza i dati personali di cittadini residenti sul territorio dell’UE? Queste attività di trattamento dei dati sono legate a un’offerta di beni o di servizi, oppure al comportamento di persone fisiche nei paesi membri dell’UE? Se questo è il vostro caso, il nuovo Regolamento europeo sulla protezione dei dati (GDPR) potrebbe concernervi. Molte PMI svizzere si stanno attivando per rendere le loro attività – in particolare il loro sito internet – conformi al GDPR che entrerà in vigore il 25 maggio 2018. È il caso, ad esempio, del fabbricante vodese di carillon Reuge (vedi testimonianza nel riquadro in basso). 

Per determinare se un’impresa ricade nel campo d’applicazione del GDPR, la localizzazione nell’UE delle persone fisiche delle quali vengono trattati i dati si rivela importante, così come l’intenzione di mirare a delle persone nello spazio europeo. Delle informazioni per aiutare le PMI a determinare se sono soggette a questa legge sono disponibili qui

Secondo Monica Cossali Sauvain, responsabile dell’unità Progetti e metodi legislativi presso l’Ufficio federale di giustizia, la grandezza dell’impresa e il tipo di dati trattati non sono pertinenti per l’applicazione del GDPR. "In pratica, questo regolamento non dovrebbe essere applicato a dei piccoli commerci come una panetteria o un salone di parrucchiere: questi negozi non offrono beni o servizi a persone nell’UE e nemmeno seguono il loro comportamento. Al contrario, potrebbe essere applicabile nel caso di un piccolo sviluppatore di un’applicazione di incontri, in quanto il servizio si estende ai residenti nell’UE." 

Le imprese toccate dal GDPR devono rispettare sette obblighi principali. Lo studio legale Kellerhals Carrard li riassume cosi:

1. Necessità di informare e di ottenere il consenso della persona i cui dati vengono trattati

Nel momento in cui la legittimità di un trattamento di dati si basa sul consenso della persona in questione, il suo accordo deve essere libero e basarsi su un’informazione completa, riconoscibile e sicura. Deve essere esplicito. Al contrario, non è soggetto ad alcuna esigenza di forma e può essere concesso oralmente. L’importante è che la società sia in grado di fornirne la prova. Infine, questo consenso deve poter essere revocabile in ogni momento.

2. Assicurare il "Privacy by design" e il "Privacy by default"

Dalla concessione del trattamento, l’impresa deve prendere delle misure tecniche e organizzative al fine di accertarsi del rispetto del GDPR e di proteggere i diritti delle persone coinvolte (Privacy by design). Deve inoltre assicurare, attraverso parametri predefiniti, che verranno trattate solo le informazioni utili alla finalità prevista (Privacy by default).

3. Designare un rappresentante nell’UE

Il dovere di designare un rappresentante nell’UE cade quando il trattamento dei dati è occasionale, quando non implica particolari categorie di dati e non comporta quasi nessun rischio.

4. Tenere un registro delle attività di trattamento

L’impresa o i suoi subappaltatori devono mantenere aggiornato un documento contenente una serie di informazione sui metodi di trattamento dei dati.

5. Notificare i casi di violazione dei dati all’autorità di controllo

La società deve prevedere dei meccanismi rapidi d’informazione delle persone coinvolte e delle autorità di controllo competenti in caso di violazione dei dati.

6. Procedere con una valutazione dell’impatto inerente la protezione dei dati

Un tipo di trattamento suscettibile di generare un rischio elevato di violazione dei diritti e delle libertà deve essere oggetto di una valutazione d’impatto.

7. Pagare le sanzioni in caso di violazione del GDPR

Per le imprese, le sanzioni in caso di violazione della protezione dei dati possono ammontare fino al 4% del fatturato annuo mondiale dell’esercizio precedente. 

Buone notizie per le società che si apprestano ad adeguarsi al regolamento europeo: le revisioni di procedure interne, linee guida, contratti e dichiarazioni di confidenzialità che esse avranno realizzato, dovranno corrispondere anche alle future esigenze svizzere in quest’ambito. La Commissione delle istituzioni politiche del Consiglio nazionale si è infatti pronunciata nel gennaio 2018 per una revisione in due tappe della legge sulla protezione dei dati. Le imprese che si conformeranno al GDPR saranno logicamente pronte per questa revisione. Nel contesto attuale di crescita della digitalizzazione delle imprese e delle loro attività di trattamento dei dati personali, una riforma di questo tipo si rivelerà importante per la protezione dei diritti delle persone fisiche in Svizzera.

 

 

 

 

 


Informazione

Sul tema

Reuge adatta il suo sito web 

Nel suo commercio online, l’impresa Reuge vende carillon fabbricati a Sainte-Croix (VD). La società, che conta un’importante clientela europea, si sta preoccupando della compatibilità del suo sito internet con il GDPR. "Reuge metterà online nelle prossime settimane un nuovo sito web, spiega il CEO Kurt Kupper. Il GDPR è presente nell’agenda del nostro sviluppatore." 

La PMI di 70 collaboratori dispone al suo interno delle competenze necessarie per approfondire questa questione? "Il nostro direttore finanziario (CFO) sta studiando il dossier in collaborazione con degli specialisti esterni e con la Camera di commercio e dell’industria vodese (CVCI)."

Questa attuazione comporta un costo importante per la società. "Purtroppo, ogni nuovo regolamento porta a spese supplementari. Per una PMI, questi sono proporzionalmente più onerosi che per le grande imprese."

Ultima modifica 07.02.2018

Inizio pagina

https://www.kmu.admin.ch/content/kmu/it/home/attualita/tema-del-mese/2018/protezione-dei-dati-in-europa-i-nuovi-doveri-delle-imprese.html