«La nuova legge garantisce ai cittadini svizzeri una migliore protezione per quanto riguarda la raccolta e l’utilizzo dei loro dati personali, e viceversa prevede anche maggiori responsabilità per le aziende nei confronti del personale e della clientela», così Nadine Camenzind riassume la nuova legge. Sebbene MediData sia una pioniera certificata in materia di protezione dei dati, anche nel suo caso è stato necessario riesaminare approfonditamente la situazione. «Abbiamo fissato 12 importanti punti da verificare e, se necessario, adeguare nell’ottica della nLPD.» Sono stati analizzati ed elaborati i seguenti temi:

Obblighi di informazione
Per adempiere ai propri obblighi di informazione in qualità di titolare del trattamento, MediData ha completamente rielaborato la propria dichiarazione sulla protezione dei dati. In tale dichiarazione, MediData informa in modo trasparente sulla raccolta e il trattamento dei dati personali.

I diritti delle persone
MediData ha esaminato internamente i diritti delle persone interessate indicati nella nLPD sia dal punto di vista procedurale che tecnico e ha apportato i dovuti adeguamenti. Ad esempio, ha provveduto a una nuova formazione in azienda in merito al diritto d’accesso.

I contratti
MediData ha revisionato e aggiornato tutti i contratti al fine di garantire la conformità alla nLPD. Inoltre, è stato adeguato il contratto di nomina del responsabile al trattamento dei dati per gli assicuratori e ne è stato redatto uno nuovo per i fornitori di prestazioni. Sono stati adeguati i contratti per i seguenti segmenti di clientela:

• 18 680 fornitori di prestazioni
• 22 assicurazioni
• 90 società di software
• 19 concentratori
• prossimamente 16 TrustCenter

Obblighi di segnalazione
Qualora si verifichi una violazione della sicurezza dei dati, è necessario darne notifica all’IFPDT nella misura in cui sussista un elevato rischio per la personalità o per i diritti fondamentali della persona interessata. MediData ha verificato la conformità dei propri processi interni a tal proposito. Nota positiva: grazie alle certificazioni, MediData opera già in conformità alla nLPD.

Ai sensi della legislazione in vigore
Il trattamento dei dati personali può essere affidato a un responsabile del trattamento per contratto o ai sensi della legislazione in vigore. MediData ha individuato i servizi e le prestazioni per cui affida il trattamento a un responsabile e li ha descritti nel contratto di nomina del responsabile al trattamento dei dati e nella dichiarazione sulla protezione dei dati.

Privacy by design
MediData ha verificato se sono state adottate misure tecniche e organizzative per garantire il rispetto della protezione dei dati e quindi se la progettazione è aggiornata allo stato della tecnica e a norma di legge. Dove erano necessari adeguamenti, MediData è debitamente intervenuta (ad es. istruzioni interne, evitare dati personali nella progettazione di app, ecc.).

Privacy by default
MediData ha verificato prestazioni e servizi al fine di assicurare un’impostazione predefinita costantemente rispettosa della protezione dei dati. Grazie alla certificazione, erano già state precedentemente adottate corrispondenti misure.

La sicurezza dei dati
MediData ha effettuato verifiche dello stato di aggiornamento delle misure tecniche e organizzative ai fini della tutela dei dati personali. Queste vengono indicate nel contratto di nomina del responsabile al trattamento dei dati. Grazie alle certificazioni, MediData opera già a norma di legge.

Registro delle attività di trattamento
Con la compilazione del registro delle attività di trattamento, MediData identifica tutti i processi che comportano dati personali. La stessa MediData trae vantaggio da tale registro: mantiene la visione d’insieme e la coerenza dei processi e può così migliorare ulteriormente la qualità dei prodotti.

DPIA
Attraverso la valutazione d’impatto sulla protezione dei dati (DPIA), MediData può valutare i rischi del trattamento dei dati per la personalità o i diritti fondamentali delle persone interessate e indicare le misure per la relativa tutela.

Consulente per la protezione dei dati
MediData ha individuato una consulente per la protezione dei dati e ne ha dato comunicazione all’IFPDT. La consulente per la protezione dei dati è il punto di contatto sia per le persone interessate che per le autorità.

Piccolo segreto professionale
Il personale di MediData è formato in merito alla gestione di informazioni soggette al segreto commerciale o alla protezione dei dati. Inoltre, i collaboratori sottoscrivono un’apposita dichiarazione di consenso.