Le 8 modifiche principali previste dalla nuova legge sulla protezione dei dati a cui prestare attenzione.

La versione completamente revisionata della legge sulla protezione dei dati (Datenschutzgesetz; DSG) entrerà in vigore solo il 1 settembre 2023 per un motivo preciso, ovvero quello di concedere alle aziende il tempo di prepararsi. La nuova DSG è stata adeguata allo sviluppo tecnologico e deve garantire in futuro una migliore tutela dei dati personali. Sono previsti un margine più ampio per l’autodeterminazione e un aumento della trasparenza durante il processo di raccolta dei dati personali. Visto l’inasprimento delle regole per le aziende, le informative sulla privacy e le direttive già esistenti dovranno essere adeguate. Di seguito sono riportate le otto modifiche più importanti.

  #Cloud Governance   #Cloud Security   #Azienda  

Modifica numero 1

Nuovo ambito di valenza: la DSG revisionata riguarda ancora solo i dati di persone fisiche – le persone giuridiche non verranno in futuro più tutelate. Alla DSG revisionata dovranno adeguarsi tutte le aziende svizzere e organizzazioni internazionali che rielaborano i dati delle persone che risiedono in Svizzera e che sono impegnate in attività transfrontaliere. La DSG si basa sul Regolamento Generale sulla Protezione dei Dati (RGPD).

 

Modifica numero 2

I dati genetici e biometrici vengono vengono inseriti tra i dati particolarmente sensibili. I dati genetici – che possono essere acquisiti, per esempio, tramite prove biologiche quali analisi del DNA e simili – forniscono informazioni sulle caratteristiche genetiche di una persona, ad esempio per quanto riguarda la fisiologia e la salute.  I dati biometrici, quali l’immagine del volto e le impronte digitali, permettono l’identificazione univoca delle

 

Modifica numero 3

Entrano in vigore i principi di «Privacy by Design» e «Privacy by Default». Per gli sviluppatori questo significa includere fin dall’inizio la tutela e il rispetto della sfera privata nella struttura dei prodotti o dei servizi. Il principio «Privacy by Default» (tutela della privacy come standard) garantisce, già nel momento in cui il prodotto o il servizio viene messo a disposizione, il massimo grado di sicurezza, poiché tutte le misure necessarie per la tutela della privacy e la limitazione dell’utilizzo dei dati sono prese in modo predefinito, senza che l’utente debba intervenire. I software, gli hardware e i servizi devono essere configurati in modo tale che i dati siano tutelati e che venga salvaguardata la sfera privata dell’utente.

 

Modifica numero 4

Devono essere effettuate valutazioni di impatto qualora sussista un rischio elevato per la persona o per i diritti fondamentali delle persone interessate. Una valutazione d’impatto della tutela della privacy è una valutazione dei rischi che comporta l’elaborazione di dati riferiti a persone all’interno dell’azienda. In questo caso si tratta di valutare i potenziali danni che potrebbero essere causati nel caso in cui la sicurezza sui dati risulti inadeguata.

 

Modifica numero 5

L’obbligo sull‘informativa viene esteso in modo considerevole: in caso di acquisizione di dati personali, la persona in questione deve esserne informata in anticipo. La vecchia legge prevedeva solo l’obbligo sull’informativa nel caso in cui fossero stati registrati dati personali particolarmente sensibili. Nella DSG revisionata è stata estesa anche l’ampiezza dell’obbligo sull’informativa. D’ora in poi si devono dare almeno indicazioni sull’identità e sui dati di contatto del responsabile, nonché sul fine dell’elaborazione e sui destinatari Qualora i dati vengano trasmessi all’estero, si devono osservare ulteriori obblighi informativi e disposizioni.

 

Modifica numero 6

Un elenco corposo di attività di elaborazione diventa obbligatorio – eccetto per le PMI. Per un elenco di questo tipo si intende un inventario di tutte le elaborazioni dati. Contribuisce alla trasparenza e aiuta a stabilire se l’elaborazione dati è stata legittima. Oltre al metodo di elaborazione utilizzato, l’elenco dovrà indicare anche i nominativi delle persone responsabili. Deve essere identificata anche la tipologia e l’entità dei dati elaborati riferiti a persone nonché il destinatario di questi. La legge revisionata prevede un’eccezione per le aziende che hanno meno di 250 dipendenti e la cui elaborazione dati costituisce un rischio minimale di ledere la personalità degli individui interessati.

 

Modifica numero 7

In caso di violazione della sicurezza sui dati è necessario avvisare immediatamente il Commissario Federale Svizzero per la Protezione dei Dati e l’Informazione (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragten; EDÖB). L’obbligo di avviso vale per qualsiasi perdita di dati e prevede non solo di informare l’autorità sulla tutela dei dati, bensì anche tutte le persone rispettivamente interessate, i cui dati non sono più al sicuro. Le persone in questione devono tuttavia essere informate solo se la violazione dei dati ha messo in pericolo i loro diritti fondamentali e sulla personalità.

 

Modifica numero 8

Per la prima volta è stato accolto nella legge il termine «Profiling» (la valutazione automatizzata dei dati riferiti a persone). Il Profiling è da intendersi come:
«… ogni tipo di elaborazione automatizzata di dati personali consistente nell’utilizzo di questi dati per valutare determinati aspetti personali che si riferiscono ad una persona fisica, in particolar modo per analizzare o prevedere aspetti concernenti le prestazioni lavorative, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, la residenza oppure il cambio di luogo.» Se in un profilo si riconoscono tratti caratteristici univoci di una persona, si tratta di un «Profiling ad alto rischio». In questo caso si deve sempre richiedere prima l’espresso consenso della persona interessata.

Sanzioni

La legge sulla privacy revisionata prevede sanzioni fino a 250.000 franchi a violazione per le persone fisiche che rispondono dell’attività di elaborazione, nel caso in cui vengano intenzionalmente violati gli obblighi di informazione e di divulgazione nonché determinati doveri di diligenza dovuta. Le forze dell’ordine cantonali hanno il compito di applicare le sanzioni penali. Potrebbero inoltre essere mosse cause civili per eliminazione, omissione o risarcimento danni.