La nuova legge rivista comporta maggiori obblighi di informazione e comunicazione per tutte le aziende e le organizzazioni che trattano dati di clienti, fornitori, partner commerciali e collaboratori. Le nuove disposizioni intendono ridurre significativamente il rischio di usi indebiti dei dati personali. Di seguito le principali novità della nLPD:

• Ampliamento dell’elenco dei dati personali degni di particolare protezione: tra i dati personali degni di particolare protezione – che comprendono tra l’altro i dati sanitari – rientrano ora anche dati genetici e biometrici che identificano una persona fisica in modo univoco. Dati genetici sono tutte le informazioni di una persona rientranti tra le sue caratteristiche genetiche ereditate o anche acquisite. Dati biometrici sono dati che forniscono informazioni su caratteristiche fisiche, fisiologiche o anche comportamentali di una persona. Vi rientrano ad esempio le impronte digitali, la geometria del viso e il DNA. Continuano ad essere soggetti alla nuova legge sulla protezione dei dati solo i dati delle persone fisiche, ma non quelli delle persone giuridiche.

• Ampliamento dei diritti delle persone interessate: la nuova legge sulla protezione dei dati rafforza i diritti delle persone interessate. Le persone fisiche hanno il diritto di ricevere informazioni sui loro dati, di ottenere i dati stessi e di richiederne la modifica o la cancellazione.
   
• «Privacy by design» e «Privacy by default»: il principio della «Privacy by design» (protezione dei dati fin dalla progettazione) prevede che la protezione dei dati venga integrata sin dalla fase di pianificazione e sviluppo di sistemi e processi. Inoltre, fin dall’inizio devono essere raccolti unicamente i dati personali realmente necessari nelle circostanze specifiche. «Privacy by default» (protezione dei dati per impostazione predefinita) significa che è necessario implementare di default impostazioni predefinite a favore della protezione dei dati. I due principi sono strettamente legati tra loro.

• Registro delle attività di trattamento: al centro del registro ci sono l’identificazione e la documentazione di tutti i processi in azienda che trattano dati personali. La tenuta del registro è obbligatoria per le aziende. Sono possibili eccezioni per le PMI il cui trattamento di dati personali comporti un rischio esiguo di violazione della personalità delle persone interessate.

• L’obbligo di informare viene ampliato: ad ogni acquisizione di dati personali – e non più soltanto relativamente ai cosiddetti dati degni di particolare protezione – la persona interessata deve essere prima informata in modo trasparente. Sussiste inoltre un obbligo di informare in caso di decisioni individuali automatizzate qualora la decisione abbia effetti giuridici o conseguenze significative per la persona interessata.

• Valutazione d’impatto sulla protezione dei dati: la valutazione d’impatto sulla protezione dei dati è un’analisi dei rischi strutturata avente per oggetto un processo di trattamento dei dati previsto. . La valutazione d’impatto sulla protezione dei dati deve essere effettuata se il trattamento previsto comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

• Notifica di violazioni della sicurezza dei dati: le aziende sono tenute a notificare quanto prima eventuali violazioni della sicurezza dei dati all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

• Sanzioni: qualora un’organizzazione o un’azienda violi la nuova legge sulla protezione dei dati, il responsabile della violazione rischia pesanti sanzioni penali. Ma tali sanzioni impressionano davvero le grandi aziende? L’avvocato Roman Böhni, specializzato nella normativa sulla protezione dei dati, dice: «In base alla mia esperienza le nuove disposizioni penali impressionano assolutamente le aziende. La forbice delle sanzioni previste dalla nuova legge, con un massimo di CHF 250 000, è nettamente inferiore a quella prevista dal Regolamento generale sulla protezione dei dati dell’UE (20 milioni di euro o 4 per cento del fatturato annuo internazionale), tuttavia, in Svizzera, le sanzioni colpiscono la persona fisica responsabile e non l’azienda. Bisogna tuttavia dire che, in base alla nuova legge sulla protezione dei dati, è perseguibile «soltanto» l’atto intenzionale e che l’elenco delle fattispecie è nettamente più breve di quello del GDPR.» 

In merito alle nuove prescrizioni, Roman Böhni spiega: «La nLPD dovrebbe migliorare la trasparenza dei trattamenti dei dati e rafforzare l’autodeterminazione delle persone interessate in merito ai loro dati. Inoltre, l’UE dovrebbe continuare a riconoscere la Svizzera come uno stato terzo con un livello adeguato di protezione dei dati. Questa decisione di adeguatezza è importante per far sì che il trasferimento transfrontaliero di dati tra l’UE e la Svizzera continui ad essere possibile senza misure aggiuntive. Nel complesso considero la nLPD una legge riuscita. Rispetto al GDPR, la sua organizzazione e l’onere connesso all’attuazione per le aziende sono decisamente più pragmatici e misurati.»

Glossario e abbreviazioni:
nLPD: nuova Legge sulla protezione dei dati
Consulente per la protezione dei dati: ai sensi della nLPD funge da interlocutore per le persone interessate come pure per le autorità competenti in Svizzera per la protezione dei dati. Inoltre, fornisce formazione e consulenza all’azienda e ai relativi collaboratori e partecipa all’applicazione delle disposizioni sulla protezione dei dati
OPDa: ordinanza sulla protezione dei dati
DPIA: valutazione d’impatto sulla protezione dei dati
GDPR: regolamento generale sulla protezione dei dati dell’UE
Responsabile della protezione dei dati: ai sensi del GDPR è lo specialista che sorveglia il trattamento dei dati personali in un’azienda
IFPDT: incaricato federale della protezione dei dati e della trasparenza