Con l’entrata in vigore della nuova LpD il 1° settembre 2023, abbiamo pensato e preparato una serie di domande e risposte che vi possono permettere di capire rapidamente che cosa cambia.
Per ulteriori approfondimenti, rimandiamo al sito della Confederazione, sul quale si trovano tutte le informazioni in modo completo.
Cosa cambia per una azienda con la nuova LpD 2023 in Svizzera?
La nuova legge federale sulla protezione dei dati (nFADP) entrerà in vigore il 1° settembre 2023 e sostituirà la legge sulla protezione dei dati (LPD) del 1992 in Svizzera. La nFADP introduce nuove regole sulla protezione dei dati personali dei cittadini svizzeri e richiederà alle aziende svizzere di adeguarsi a queste regole entro la scadenza del 1° settembre 2023. Tra le principali novità, la nFADP introduce una definizione più ampia dei dati personali, il diritto all’oblio e il diritto alla portabilità dei dati personali. Inoltre, la nFADP prevede sanzioni più severe per le violazioni della normativa sulla protezione dei dati. [1][2]
Che cosa deve fare una azienda al suo interno? Che provvedimenti deve prendere?
Per conformarsi alla nuova legge federale sulla protezione dei dati (nFADP), le aziende svizzere dovranno adottare una serie di misure e provvedimenti interni. Di seguito sono elencati alcuni degli aspetti principali che le aziende dovranno affrontare per conformarsi alla nFADP:
- Valutazione dei rischi: Le aziende dovranno valutare i rischi connessi alla raccolta, all’elaborazione e alla conservazione dei dati personali dei clienti, dei dipendenti e di altri soggetti coinvolti. La valutazione dei rischi dovrebbe identificare i rischi per la privacy e la sicurezza dei dati e dovrebbe prevedere misure correttive.
- Nomina del responsabile della protezione dei dati: Le aziende dovranno nominare un responsabile della protezione dei dati (RPD) che sarà responsabile della conformità alla nFADP. Il RPD dovrà supervisionare la raccolta, l’elaborazione e la conservazione dei dati personali e assicurarsi che le misure di sicurezza siano appropriate.
- Consenso dei dati personali: Le aziende dovranno ottenere il consenso esplicito dei soggetti coinvolti per la raccolta, l’elaborazione e la conservazione dei loro dati personali. Il consenso dovrà essere specifico, informato e volontario.
- Trasparenza e accesso ai dati personali: Le aziende dovranno fornire informazioni trasparenti sui dati personali raccolti e sui fini per cui vengono utilizzati. Inoltre, i soggetti coinvolti avranno il diritto di accedere ai propri dati personali e di richiederne la correzione o la cancellazione.
- Sicurezza dei dati: Le aziende dovranno adottare misure tecniche e organizzative adeguate per proteggere i dati personali contro la perdita, l’accesso non autorizzato, la divulgazione o la modifica. Le misure di sicurezza dovrebbero essere proporzionate ai rischi identificati nella valutazione dei rischi.
- Notifica delle violazioni dei dati: Le aziende dovranno notificare le violazioni dei dati personali alle autorità competenti e ai soggetti coinvolti entro un termine di 72 ore dalla scoperta della violazione.
- Adozione di politiche e procedure interne: Le aziende dovranno adottare politiche e procedure interne per garantire la conformità alla nFADP e per gestire le richieste dei soggetti coinvolti.
In sintesi, le aziende dovranno adottare misure tecniche, organizzative e procedurali per proteggere i dati personali dei soggetti coinvolti e garantire la conformità alla nFADP. La nomina di un responsabile della protezione dei dati, la valutazione dei rischi, la trasparenza e il consenso dei dati personali, la sicurezza dei dati e la notifica delle violazioni dei dati sono solo alcune delle misure che le aziende dovranno adottare per conformarsi alla nFADP.
Che differenze ci sono tra GDPR europeo e nuova LpD in Svizzera?
La nuova legge sulla protezione dei dati in Svizzera (LPD) e il GDPR europeo presentano alcune differenze notevoli. La nuova LPD svizzera implementerà molte delle disposizioni del GDPR, sebbene talvolta con alcune differenze svizzere. Ad esempio, la nuova LPD svizzera è più astratta e tecnologicamente neutrale rispetto al GDPR. Inoltre, le società che hanno già aderito al GDPR dovranno apportare solo modifiche minime per conformarsi alla nuova LPD svizzera. Tuttavia, ci sono alcune differenze specifiche tra le due leggi, ad esempio le disposizioni sul consenso valido. In pratica, la Svizzera non arriva ad essere così rigorosa come il GDPR in questo ambito, con l’eccezione di un cambiamento minore per quanto riguarda il profiling. [1][2][3][4]
- https://www.wavestone.com/en/insight/switzerland-finally-a-new-data-protection-law-donnees/
- https://www.sidley.com/en/insights/publications/2021/04/swiss-data-protection-act-new-guidance-by-the-swiss-regulator
- https://www.kmu.admin.ch/kmu/en/home/facts-and-trends/digitization/data-protection/new-federal-act-on-data-protection-nfadp.html
- https://www.gdprregister.eu/news/swiss-data-protection-act-2020/