La Svizzera si è dotata di una nuova Legge sulla protezione dei dati, che entrerà in vigore il 1° settembre. Ciò comporta numerosi obblighi. Per aiutare gli enti di formazione continua a prepararsi, la FSEA ha organizzato un seminario online con un esperto.
Il 1° settembre di quest’anno entrerà in vigore in Svizzera la nuova Legge sulla protezione dei dati (LPD). Con essa, il livello di protezione dei dati sarà portato al livello dell’UE. Le imprese che si erano già adeguate al regolamento generale dell’UE sulla protezione dei dati (RGPD) avranno pochi cambiamenti da intraprendere, come osserva la stessa Confederazione sul suo portale dedicato alle PMI. Per le altre, invece, ci sarà molto da fare. E attenzione: la nuova LPD si applica senza alcun periodo di transizione.
Seminario online sui punti più importanti
Per consentire agli enti di formazione continua di prepararsi alla nuova legge, la FSEA ha organizzato a giugno un seminario online che ha illustrato i cambiamenti più importanti, chiarendo nel contempo idee sbagliate e false supposizioni. Il relatore è stato l’avvocato Michael Widmer, che da 15 anni si occupa di questioni relative alla protezione dei dati ed è docente, tra l’altro, in un CAS dedicato a questo tema presso la Zürcher Hochschule für Angewandte Wissenschaften (ZHAW).
Si dice che la nuova Legge sulla protezione dei dati sia fondamentalmente una seccatura e che porti pochi benefici. È una cosa che ognuno deve decidere da sé, ha detto Michael Widmer. In ogni caso la questione va affrontata per tempo.
Le conseguenze di sue eventuali violazioni possono infatti essere costose. Anzitutto, a partire dal 1° settembre, i procedimenti civili per violazione di diritti personali saranno gratuiti per l’accusatore. Le multe penali per le violazioni delle norme di protezione dei dati, dal canto loro, possono arrivare fino a 250 000 franchi – anche se si stratta di una cifra diretta soprattutto alle grandi aziende.
Ciò può in ogni caso avere conseguenze spiacevoli a livello individuale, perché l’autore del reato è di norma una persona fisica, per esempio l’amministratore delegato di una società. Anche se soltanto una violazione intenzionale dei propri obblighi può essere punita, è comunque sufficiente il dolo eventuale. Infine, ma non meno importante: i danni derivati dalla violazione delle norme sulla protezione dei dati non sono assicurabili.
Anche le “persone identificabili” sono protette
La nuova legge riguarda solo i dati delle persone fisiche. Ciò significa che si tratta di informazioni relative a una “persona fisica identificata o identificabile”. Come ha spiegato Michael Widmer, tuttavia, l’assunto può tuttavia essere complicato. Per esempio, diversi dati raccolti possono consentire di trarre conclusioni su una persona specifica, anche se nel record di dati non sono riportati né il suo nome né il suo indirizzo. Se è possibile trarre conclusioni su una persona sulla base di determinate combinazioni di dati, allora si tratta di una persona identificabile – e ciò è rilevante ai fini della protezione dei dati.
Se un’azienda rientra nel campo di applicazione della nuova legge (le autorità cantonali, per esempio, ne sono esenti) è necessario anzitutto dotarsi di una dichiarazione sulla protezione dei dati. In altre parole, è necessario fornire informazioni su come viene effettuato il trattamento dei dati stessi. Come spiega Widmer, ciò può essere comunicato anche verbalmente. Tuttavia, in caso di controversie, è piuttosto difficile dimostrare che l’obbligo di informazione è stato rispettato. La regola dovrebbe quindi essere una dichiarazione pubblicata per esempio sul proprio sito web.
Errori frequenti
Uno degli errori relativi alla nuova Legge sulla protezione dei dati è il presupposto che il trattamento dei dati personali sia consentito solo con il consenso della persona interessata. Anche qui c’è una differenza con l’UE. In Svizzera, in linea di principio, si possono trattare dati personali, ma si devono rispettare determinati principi.
Anche la convinzione che sia sempre necessario il consenso del destinatario per l’invio di una newsletter è in parte sbagliata, ha sottolineato Widmer. Se si invia una newsletter a qualcuno con cui esiste già un rapporto commerciale, infatti, il consenso non è affatto necessario. Diverso è il caso in cui si utilizzi un indirizzo qualsiasi, quale quello riportato su un biglietto da visita. In questo caso il consenso è necessario. Anche il servizio utilizzato per l’invio della newsletter è importante: per esempio, se si utilizza il programma americano Mailchimp, i dati vengono trasmessi a cosiddetti Paesi stranieri non sicuri – e questo, come spiegato più avanti – complica le cose.
Anche l’obbligo di nominare un consulente per la protezione dei dati è una leggenda, ha ancora affermato Widmer. È in ogni caso ragionevole nominare una persona interna che si occupi di queste problematiche.
Infine, Widmer ha spiegato che occorre fare una distinzione riguardo all’obbligo di fornire informazioni. È vero che si devono fornire informazioni sui dati personali trattati se una persona interessata ne fa richiesta. Allo stesso tempo, tuttavia, bisogna tenere conto del fatto che altri dati personali non sono interessati.
I primi passaggi
Michael Widmer raccomanda che il primo passo consista nel sapere quali dati personali vengono trattati in azienda e nel creare quindi un elenco dei trattamenti. Le aziende con meno di 250 dipendenti non sono obbligate a farlo, a patto che non effettuino un trattamento su larga scala di dati particolarmente sensibili o una profilazione ad alto rischio. Tuttavia, è chiaro che non è possibile redigere una dichiarazione sulla protezione dei dati senza un elenco dei trattamenti. La dichiarazione di protezione dei dati è a sua volta parte dell’obbligo di informazione.
L’elenco dei trattamenti può in ogni caso essere un semplice foglio Excel. Esso deve riportare almeno l’identità del responsabile, lo scopo, la categoria di dati personali e i destinatari, il periodo o i criteri di conservazione, la descrizione delle misure di sicurezza dei dati e, se applicabile, la loro divulgazione all’estero (menzionando il Paese di destinazione e le relative garanzie).
Anche i contratti stipulati con i fornitori di servizi informatici, cloud o HR devono essere rivisti alla luce della nuova Legge sulla protezione dei dati ed eventualmente aggiornati. I primi passi comprendono altresì la verifica della sicurezza dei dati. A questo riguardo potrebbe essere opportuno limitare i diritti di accesso (per esempio tramite un’apposita lista), criptare alcuni set di dati o adottare altre misure di protezione.
Paesi esteri sicuri e non sicuri
Come è emerso dalla discussione seguita alla presentazione, anche con la revisione della Legge sulla protezione dei dati il diavolo si nasconde nei dettagli, o meglio negli strumenti utilizzati quotidianamente, come Zoom, Dropbox, Teams e altri servizi analoghi, nonché nell’uso di servizi cloud o di software per l’invio di newsletter come Mailchimp.
Occorre infatti distinguere tra Paesi sicuri e non sicuri (gli elenchi corrispondenti si trovano su Internet). Mentre i Paesi dell’UE sono generalmente considerati sicuri e la divulgazione dei dati verso di essi è possibile senza ulteriori indugi, gli Stati Uniti appartengono ai candidati non sicuri. Ciò significa che chiunque utilizzi software o servizi cloud basati negli Stati Uniti o trasferisca comunque dati a server situati in Paesi stranieri non sicuri deve prestare attenzione a ottenere il necessario consenso. Le istruzioni su come procedere quando si divulgano dati personali all’estero sono disponibili sul sito web dell’Incaricato federale della protezione dei dati e della trasparenza. Secondo Widmer, la divulgazione di dati verso un Paese estero non sicuro comporta in ogni caso grandi sforzi. È quindi consigliabile esaminare le alternative, come i provider in Svizzera, nell’UE o nel SEE – anche per quanto riguarda l’ubicazione dei server. L’implementazione delle nuove norme richiede tempo, e Michael Widmer consiglia di darsi da fare fin da subito. Ulteriori informazioni sulla nuova legge sono disponibili su numerosi siti internet – fra cui in particolare il sito web dell’Incaricato federale della protezione dei dati e della trasparenza