La nuova legge sulla protezione dei dati (nLPD) entrerà in vigore il primo settembre 2023. Tutte le imprese sono toccate. Ecco come si possono preparare.
Tutte le imprese svizzere devono prepararsi alla nuova legge sulla protezione dei dati (nLPD) che entrerà in vigore il primo settembre 2023. Per le ditte che non si sono già adeguate al regolamento europeo sulla protezione dei dati (RGPD) del 2018, l’adeguamento necessiterà di tempo e richiederà di far capo a persone con esperienza giuridica e tecnica in materia di protezione dei dati.
Per preparare il lavoro di adeguamento alla nLPD è opportuno raccogliere i dati trattati nell’ambito dell’attività e analizzare i rischi potenziali. Maggiore è la quantità di dati trattata da un’impresa e più sensibili essi sono (se legati, per esempio, alla religione, alla salute, a azioni legali, ecc.) maggiori saranno le esigenze.
I 12 comandamenti della nLPD
Le PMI svizzere devono approntare le dodici misure seguenti per conformarsi alla nLPD:
- Controllare e modificare le dichiarazioni sulla protezione dei dati (sito web, contratti, contenuti pubblicitari, ecc.),
- Redigere delle direttive sul trattamento dei dati in seno all’impresa (o modificarle),
- Predisporre un registro del trattamento dei dati (eccezione per le imprese di meno di 250 impiegati e in assenza di rischio elevato di lesione alla personalità),
- Preparare un vademecum per rispondere rapidamente alle domande delle persone interessate (p. es. di informazione o di eliminazione dei dati),
- Predisporre una procedura di segnalazione delle violazioni della protezione dei dati,
- Stabilire un procedimento per le analisi d’impatto che sono necessarie nel caso in cui il trattamento dei dati presenti un rischio elevato (p. es. in caso di sorveglianza sistematica di grandi parti del dominio pubblico),
- Analizzare i contratti con i subappaltatori per verificare se la sicurezza dei dati è assicurata e aggiungere delle clausole specifiche (in particolare sulla segnalazione di qualsivoglia violazione della protezione dei dati).
- Prevedere che tutti i dati personali siano soppressi o resi anonimi (sin dal momento in cui essi non siano più necessari allo scopo che giustificherebbe il loro trattamento iniziale),
- Rivedere le pagine verso le quali i dati sono trasmessi, anche in caso di un semplice salvataggio su cloud, (tali Paesi devono figurare su di una lista stabilita dal Consiglio federale. In caso contrario si applicano esigenze più approfondite),
- Assicurare la sicurezza dei dati tramite misure tecniche e organizzative appropriate,
- Garantire la fornitura dei dati in forma elettronica (in caso di trattamento automatizzato dei dati e in particolare nell’ambito della stipula o dell’applicazione di un contratto),
- Designare un consigliere alla protezione dei dati e pubblicare i suoi recapiti (l’annuncio di questa persona all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) è raccomandato).
Questa lista non ha la pretesa di essere la più esaustiva o dettagliata possibile. È opportuno far capo alla nLPD, così come all’ordinanza sulla protezione dei dati per maggiori informazioni. Inoltre, il sito del IFPDT fornisce informazioni giuridiche e tecniche verificate sul tema.
Fonti: Intervista pubblicata il 19.01.2022 sul Portale PMI "Se si verifica un furto di dati, significa che si ha già fallito", articolo pubblicato il 19.05.2021 sul sito di Economisesuisse "Protezione dei dati: una panoramica della nuova legge" e articolo comparso il 06.12.2021 sul sito di Axa "Nuova LPD: a cosa devono prestare attenzione le aziende?".
