Base de données avec sécurité

Pro­te­zio­ne dei dati: una pa­no­ra­mi­ca della nuova legge

Nel­l’au­tun­no 2020 il Par­la­men­to ha adot­ta­to la nuova legge sulla pro­te­zio­ne dei dati. Il ter­mi­ne per un re­fe­ren­dum è sca­du­to nel gen­na­io 2021 e non è stato lan­cia­to alcun re­fe­ren­dum. Dal mo­men­to che i la­vo­ri re­la­ti­vi al­l’or­di­nan­za d’e­se­cu­zio­ne (OLPD) sono an­co­ra in corso, la nuova legge po­treb­be en­tra­re in vi­go­re nel se­con­do se­me­stre 2022.

Per le im­pre­se sviz­ze­re è con­si­glia­bi­le fa­mi­lia­riz­za­re da su­bi­to con la nuova legge e le sue esi­gen­ze e di ade­gua­re il pro­prio di­spo­si­ti­vo di pro­te­zio­ne dei dati, in par­ti­co­la­re per quan­to con­cer­ne le di­spo­si­zio­ni re­la­ti­ve alla pro­te­zio­ne dei dati e con­trat­ti. eco­no­mie­suis­se ri­spon­de alle que­stio­ni più ur­gen­ti in col­la­bo­ra­zio­ne con due av­vo­ca­ti, Cor­ne­lia Sten­gel e Luca Stäuble allo scopo di se­gna­la­re alle im­pre­se sviz­ze­re le mi­su­re da adot­ta­re in re­la­zio­ne al­l’en­tra­ta in vi­go­re della nuova legge sulla pro­te­zio­ne dei dati (LPD).

Il pre­sen­te giro d’o­riz­zon­te ha l’u­ni­co scopo di in­for­ma­re e sen­si­bi­liz­za­re le per­so­ne in­te­res­sa­te. Esso non so­sti­tui­sce una con­su­len­za giu­ri­di­ca. eco­no­mie­suis­se non potrà es­se­re ri­te­nu­ta re­spon­sa­bi­le per le azio­ni od omis­sio­ni con­se­guen­ti alla let­tu­ra di que­sto testo. 

FAQ

La nuova legge sulla pro­te­zio­ne dei dati mira a pro­teg­ge­re la per­so­na­li­tà e i di­rit­ti fon­da­men­ta­li delle per­so­ne fi­si­che re­si­den­ti in Sviz­ze­ra e i cui dati sono og­get­to di un trat­ta­men­to da parte di pri­va­ti (so­cie­tà pri­va­te) o dallo Stato. I dati delle per­so­ne giu­ri­di­che non sa­ran­no pro­tet­ti mag­gior­men­te. L’i­dea è quel­la di of­fri­re alle per­so­ne in­te­res­sa­te una mag­gio­re tra­spa­ren­za e di raf­for­za­re i loro di­rit­ti sui loro dati per­so­na­li («au­to­de­ter­mi­na­zio­ne in­for­ma­ti­va»). La nuova legge mira anche a pro­muo­ve­re le mi­su­re di pre­ven­zio­ne e la re­spon­sa­bi­li­tà in­di­vi­dua­le dei re­spon­sa­bi­li del trat­ta­men­to dei dati. Per po­ter­lo fare, la legge raf­for­za la sor­ve­glian­za della pro­te­zio­ne dei dati e svi­lup­pa le di­spo­si­zio­ni pe­na­li. Essa in­tro­du­ce anche nuovi ob­bli­ghi per le im­pre­se, in par­ti­co­la­re in caso di ri­le­va­men­to, per­di­ta o uti­liz­zo abu­si­vo di dati per­so­na­li.

Ben­ché la nuova LPD sia pre­vi­sta per il ter­ri­to­rio sviz­ze­ro, essa ha anche una por­ta­ta ex­tra­ter­ri­to­ria­le. In par­ti­co­la­re, può esten­der­si a cir­co­stan­ze che si ve­ri­fi­ca­no al­l'e­ste­ro ma che hanno ri­per­cus­sio­ni in Sviz­ze­ra (art. 3). In altre pa­ro­le, se il pro­ces­so di trat­ta­men­to di dati per­so­na­li ha luogo al di fuori della Sviz­ze­ra, ma con­cer­ne per­so­ne fi­si­che re­si­den­ti in Sviz­ze­ra e pro­du­ce degli ef­fet­ti in Sviz­ze­ra (que­sto cri­te­rio do­vreb­be es­se­re pre­ci­sa­to nel­l’or­di­nan­za), il re­spon­sa­bi­le del trat­ta­men­to dei dati in que­stio­ne è te­nu­to a ri­spet­ta­re la nuova le­gi­sla­zio­ne sviz­ze­ra. Esso deve inol­tre no­mi­na­re, a de­ter­mi­na­te con­di­zio­ni, un rap­pre­sen­tan­te le­ga­le in Sviz­ze­ra (art. 14 e 15 nuova LPD). 

Esem­pio: un’im­pre­sa con sede al­l’e­ste­ro e che trat­ta i dati delle per­so­ne fi­si­che re­si­den­ti in Sviz­ze­ra dal­l’e­ste­ro. In que­sto caso, oc­cor­re va­lu­ta­re sin­go­lar­men­te ogni si­tua­zio­ne. La nuova LPD si ap­pli­ca se il trat­ta­men­to di dati in Sviz­ze­ra è «sen­si­bi­le». Ad esem­pio, il RGPD esa­mi­na se dei dati sono trat­ta­ti allo scopo di con­ce­pi­re un’of­fer­ta di beni o di ser­vi­zi de­sti­na­ti a per­so­ne in seno al­l’UE.

L’at­tua­le legge sviz­ze­ra sulla pro­te­zio­ne dei dati ri­sa­le al 1992. In se­gui­to, il trat­ta­men­to e l’u­ti­liz­zo di dati per­so­na­li sono cre­sciu­ti man mano che l’e­co­no­mia e la so­cie­tà si sono di­gi­ta­liz­za­ti. A li­vel­lo mon­dia­le e in par­ti­co­la­re in seno al­l’UE, la pro­te­zio­ne dei dati è stata con­si­de­re­vol­men­te raf­for­za­ta e le or­ga­niz­za­zio­ni in­ter­na­zio­na­li hanno ina­spri­to le loro norme mi­ni­me in ma­te­ria. Per la Sviz­ze­ra, si è dun­que reso ne­ces­sa­rio adat­ta­re la sua legge del 1992 alle nuove abi­tu­di­ni di con­su­mo (ac­qui­sti on­li­ne, reti so­cia­li, ecc.), agli svi­lup­pi tec­no­lo­gi­ci (di­gi­ta­liz­za­zio­ne, in­tel­li­gen­za ar­ti­fi­cia­le, ecc.) e alle norme in­ter­na­zio­na­li.

Adot­tan­do il suo re­go­la­men­to ge­ne­ra­le sulla pro­te­zio­ne dei dati (RGPD), l’U­nio­ne eu­ro­pea ha crea­to un nuovo stan­dard a li­vel­lo in­ter­na­zio­na­le. En­tra­to in vi­go­re il 25 mag­gio 2018, que­sto re­go­la­men­to fa par­la­re di sé in tutto il mondo a causa della sua por­ta­ta ex­tra­ter­ri­to­ria­le. Nu­me­ro­se im­pre­se sviz­ze­re rien­tra­no nel campo d’ap­pli­ca­zio­ne del RGPD, a se­gui­to del loro orien­ta­men­to sui mer­ca­ti del­l’UE o dello SEE. A ciò va ag­giun­to che il RGPD pre­ve­de che si pos­sa­no tra­sfe­ri­re dati verso un altro Stato uni­ca­men­te se que­st’ul­ti­mo pre­sen­ta un li­vel­lo di pro­te­zio­ne dei dati «ade­gua­to» dal punto di vista del­l’UE. Una cir­co­la­zio­ne dei dati flui­da pro­ve­nien­te dal­l’UE è par­ti­co­lar­men­te im­por­tan­te per paesi come la Sviz­ze­ra, che in­trat­ten­go­no re­la­zio­ni eco­no­mi­che molto stret­te con l’UE stes­sa. 

Un obiet­ti­vo im­por­tan­te della re­vi­sio­ne della LPD è dun­que quel­lo di ela­bo­ra­re una so­lu­zio­ne coor­di­na­ta a li­vel­lo in­ter­na­zio­na­le – «equi­va­len­te» dal punto di vista del­l’UE – che pro­muo­va gli svi­lup­pi tec­no­lo­gi­ci in re­la­zio­ne al­l’e­co­no­mia dei dati e che, nel con­tem­po, non ab­ban­do­ni i punti di forza della le­gi­sla­zio­ne pre­ce­den­te.

La nuova legge svi­lup­pa in par­ti­co­la­re gli ob­bli­ghi in ma­te­ria d’in­for­ma­zio­ne e i di­rit­ti delle per­so­ne in­te­res­sa­te. Essa re­go­la anche ciò che viene de­fi­ni­to «pro­fi­la­zio­ne». Que­st’ul­ti­ma copre ogni ge­ne­re di trat­ta­men­to au­to­ma­tiz­za­to dei dati per­so­na­li allo scopo di va­lu­ta­re, ana­liz­za­re o pre­ve­de­re il com­por­ta­men­to di una per­so­na fi­si­ca (in par­ti­co­la­re il ren­di­men­to al la­vo­ro, la si­tua­zio­ne eco­no­mi­ca, la sa­lu­te, gli in­te­res­si, la lo­ca­liz­za­zio­ne). Con­se­guen­ze giu­ri­di­che più ri­gi­de si ap­pli­ca­no uni­ca­men­te in caso di pro­fi­la­zio­ne che pre­sen­ta un ri­schio ele­va­to per la per­so­na­li­tà del­l’in­te­res­sa­to.

Dal punto di vista del­l’UE la Sviz­ze­ra di­spo­ne di un li­vel­lo di pro­te­zio­ne dei dati «ade­gua­to»?

Dal punto di vista del­l’UE la Sviz­ze­ra è un «paese terzo». Af­fin­ché il tra­sfe­ri­men­to di dati verso un paese terzo sia pos­si­bi­le, è ne­ces­sa­ria una de­ci­sio­ne della Com­mis­sio­ne eu­ro­pea re­la­ti­va al­l’a­de­gua­tez­za del di­spo­si­ti­vo sviz­ze­ro. La Sviz­ze­ra di­spo­ne di una si­mi­le de­ci­sio­ne, ma que­st’ul­ti­ma si basa sulla vec­chia le­gi­sla­zio­ne eu­ro­pea. L’UE sta at­tual­men­te esa­mi­nan­do se la nuova LPD sia ade­gua­ta ri­spet­to al RGPD. Con la re­vi­sio­ne, la Sviz­ze­ra avreb­be do­vu­to crea­re le con­di­zio­ni per­ché l'UE con­fer­mas­se l'a­de­gua­tez­za. A causa del­l'ul­ti­ma giu­ri­spru­den­za del­l'UE sui flus­si di dati verso paesi terzi, ma pro­ba­bil­men­te anche per ra­gio­ni po­li­ti­che, l'a­do­zio­ne della ri­so­lu­zio­ne an­nun­cia­ta per l'an­no scor­so è stata rin­via­ta.

In­fi­ne, non bi­so­gna di­men­ti­ca­re che la mo­der­niz­za­zio­ne del di­rit­to sviz­ze­ro si iscri­ve in un con­te­sto in­ter­na­zio­na­le dove i cit­ta­di­ni e i con­su­ma­to­ri di tutto il mondo chie­do­no una mi­glio­re pro­te­zio­ne dei loro dati per­so­na­li e un mag­gio­re con­trol­lo di que­sti ul­ti­mi. Que­sta ten­den­za non si os­ser­va uni­ca­men­te nel­l’UE, ma in nu­me­ro­si paesi, tra cui il Giap­po­ne. La Ca­li­for­nia ha ina­spri­to la pro­pria le­gi­sla­zio­ne in ma­te­ria di pro­te­zio­ne dei dati, ba­san­do­si par­zial­men­te sulla norma eu­ro­pea.

Molto pro­ba­bil­men­te, la nuova LPD en­tre­rà in vi­go­re nel se­con­do se­me­stre 2022. Tut­ta­via, poi­ché i la­vo­ri sulle or­di­nan­ze non sono an­co­ra ter­mi­na­ti (con­sul­ta­zio­ne pre­vi­sta per giu­gno 2021), que­sta data non è an­co­ra stata con­fer­ma­ta e al­cu­ne fonti par­to­no dal pre­sup­po­sto di un'en­tra­ta in vi­go­re più tar­di­va. Tut­ta­via, la legge non pre­ve­de pe­rio­di di tran­si­zio­ne ri­le­van­ti, mo­ti­vo per cui le im­pre­se de­vo­no at­tua­re gli ade­gua­men­ti ne­ces­sa­ri in tempo utile.

La nuova LPD si ispi­ra al RGPD, ma pre­sen­ta al­cu­ne ca­rat­te­ri­sti­che par­ti­co­la­ri. Nella mag­gior parte dei casi, la legge sviz­ze­ra è meno for­ma­li­sta e ha esi­gen­ze mi­no­ri ri­spet­to al RGPD. Vi sono però al­cu­ni punti dove la nuova legge sviz­ze­ra sarà più se­ve­ra del RGPD. Si trat­ta in par­ti­co­la­re del campo d’ap­pli­ca­zio­ne ma­te­ria­le (art. 2 nuova LPD), del do­ve­re d’in­for­ma­zio­ne in oc­ca­sio­ne del trat­ta­men­to di dati per­so­na­li (art. 19 nuova LPD), delle multe per le per­so­ne fi­si­che (art. 60 ss. nuova LPD) e della de­fi­ni­zio­ne dei dati per­so­na­li par­ti­co­lar­men­te sen­si­bi­li.

No. Tutte le im­pre­se, senza ec­ce­zio­ni, sono in­te­res­sa­te dalla nuova LPD. In­di­pen­den­te­men­te dalla sua di­men­sio­ne, un’im­pre­sa pos­sie­de nu­me­ro­si dati sui suoi clien­ti, part­ner, for­ni­to­ri e col­la­bo­ra­to­ri. Con la di­gi­ta­liz­za­zio­ne del­l'e­co­no­mia, la quan­ti­tà di dati da ela­bo­ra­re nelle azien­de, com­pre­se le PMI, con­ti­nue­rà ad au­men­ta­re. Di con­se­guen­za, tutte le im­pre­se do­vreb­be­ro pre­pa­rar­si al­l'en­tra­ta in vi­go­re della nuova legge. Poi­ché la legge si basa sulle norme del­l'UE, que­sto vale a mag­gior ra­gio­ne per le azien­de che non hanno an­co­ra adat­ta­to il loro con­cet­to di pro­te­zio­ne dei dati al RGPD.

Inol­tre, oc­cor­re con­si­de­ra­re il fatto che la cri­mi­na­li­tà nello spa­zio di­gi­ta­le è in co­stan­te au­men­to. Il nu­me­ro di cy­be­rat­tac­chi au­men­ta e nes­su­na im­pre­sa è al ri­pa­ro. La nuova legge sulla pro­te­zio­ne dei dati im­po­ne alle im­pre­se di adot­ta­re le ne­ces­sa­rie mi­su­re or­ga­niz­za­ti­ve e tec­ni­che per ga­ran­ti­re la si­cu­rez­za dei dati ed evi­ta­re per quan­to pos­si­bi­le il loro uti­liz­zo abu­si­vo.

Ogni im­pre­sa deve pre­pa­rar­si al­l’en­tra­ta in vi­go­re della nuova legge. Per de­ter­mi­na­re i re­qui­si­ti di con­for­mi­tà sono ne­ces­sa­ri un cen­si­men­to dei dati per­so­na­li trat­ta­ti in seno al­l’im­pre­sa e una va­lu­ta­zio­ne dei ri­schi. Inol­tre, il la­vo­ro di im­ple­men­ta­zio­ne ne­ces­sa­rio può es­se­re iden­ti­fi­ca­to me­dian­te un’a­na­li­si delle la­cu­ne (con­fron­to dello stato at­tua­le e del­l’o­biet­ti­vo). Esi­sto­no re­qui­si­ti di con­for­mi­tà più ele­va­ti ad esem­pio quan­do: 

  • Le im­pre­se trat­ta­no un gran vo­lu­me di dati per­so­na­li. Esem­pio: delle so­cie­tà spe­cia­liz­za­te nella ven­di­ta on­li­ne o nel­l’im­port/ex­port hanno un no­te­vo­le po­ten­zia­le di clien­ti che ge­ne­ra­no un con­se­guen­te vo­lu­me di dati per­so­na­li.
  • Le im­pre­se trat­ta­no dati per­so­na­li par­ti­co­lar­men­te sen­si­bi­li (ai sensi del­l’art. 5 nuova LPD). Esem­pio: sono in­te­res­sa­te le im­pre­se che trat­ta­no dati per­so­na­li re­la­ti­vi alle opi­nio­ni po­li­ti­che, re­li­gio­se, alla sa­lu­te, ai dati ge­ne­ti­ci, raz­zia­li, al­l’a­iu­to so­cia­le, ai per­se­gui­men­ti pe­na­li, alla pro­fi­la­zio­ne, ecc.

In que­sti casi le esi­gen­ze re­la­ti­ve al trat­ta­men­to le­ci­to dei dati per­so­na­li o il ri­schio di vio­la­zio­ne dei di­rit­ti della per­so­na­li­tà sono più ele­va­ti che non nel caso di im­pre­se che trat­ta­no i dati di un nu­me­ro li­mi­ta­to di col­la­bo­ra­to­ri, di for­ni­to­ri, di clien­ti, ecc.

A se­con­da del tipo e del vo­lu­me dei dati per­so­na­li trat­ta­ti, il la­vo­ro di con­for­mi­tà alla pro­te­zio­ne dei dati ri­chie­de lo svi­lup­po o la con­sul­ta­zio­ne di com­pe­ten­ze in ma­te­ria di pro­te­zio­ne dei dati, non­ché l'i­sti­tu­zio­ne di pro­ces­si in­ter­ni al fine di sod­di­sfa­re i re­qui­si­ti della nuova legge. Da non sot­to­va­lu­ta­re sono le ri­sor­se ma­te­ria­li (soft­ware di ge­stio­ne dei dati, ecc.), le ri­sor­se umane (re­spon­sa­bi­le della pro­te­zio­ne dei dati o im­pie­ga­ti re­spon­sa­bi­li della pro­te­zio­ne dei dati, ecc.).

A se­con­da del­l’am­piez­za dei re­qui­si­ti di con­for­mi­tà, le im­pre­se sono vi­va­men­te in­vi­ta­te a ri­cor­re­re ai ser­vi­zi di esper­ti in in­for­ma­ti­ca e di av­vo­ca­ti non­ché alle for­ma­zio­ni pro­po­ste dalle Ca­me­re di com­mer­cio. 

Ad ec­ce­zio­ne di al­cu­ni ob­bli­ghi, la nuova legge non pre­ve­de un ter­mi­ne di tran­si­zio­ne per con­for­mar­si. Così, una gran parte dei do­ve­ri delle im­pre­se iscrit­ti nella legge si ap­pli­che­ran­no dal­l’en­tra­ta in vi­go­re della nuova LPD. È im­por­tan­te e rac­co­man­da­to pre­pa­rar­si con largo an­ti­ci­po e iden­ti­fi­ca­re da su­bi­to le even­tua­li mi­su­re da adot­ta­re. Per es­se­re si­cu­ri che quan­do en­tre­rà in vi­go­re la nuova LPD sia ga­ran­ti­ta un’ef­fi­ca­ce pro­te­zio­ne dei dati, si pos­so­no già da su­bi­to in­tra­pren­de­re al­cu­ne azio­ni (svi­lup­po tem­pe­sti­vo di com­pe­ten­ze in­ter­ne, crea­zio­ne di linee guida in­ter­ne e adat­ta­men­to di do­cu­men­ti come le di­chia­ra­zio­ni in ma­te­ria di pro­te­zio­ne dei dati e i con­trat­ti con part­ner e re­spon­sa­bi­li del trat­ta­men­to dei dati).

La nuova legge in­tro­du­ce nuovi ob­bli­ghi per le im­pre­se. I prin­ci­pa­li sono: 

  • ga­ran­ti­re la pro­te­zio­ne dei dati at­tra­ver­so la tec­no­lo­gia e le im­po­sta­zio­ni pre­de­fi­ni­te fa­vo­re­vo­li alla pro­te­zio­ne dei dati, in par­ti­co­la­re in modo che i prin­ci­pi di trat­ta­men­to siano ri­spet­ta­ti e il trat­ta­men­to dei dati sia li­mi­ta­to al mi­ni­mo ne­ces­sa­rio per lo scopo di uti­liz­zo (art. 7 nuova LPD);
  • crea­re e man­te­ne­re un re­gi­stro delle at­ti­vi­tà di trat­ta­men­to dei dati. Le im­pre­se che con­ta­no meno di 250 col­la­bo­ra­to­ri be­ne­fi­cia­no di un’ec­ce­zio­ne, ma sol­tan­to se il loro trat­ta­men­to dei dati com­por­ta un ri­schio basso di at­tac­co alla per­so­na­li­tà delle per­so­ne in­te­res­sa­te (que­sto sarà pre­ci­sa­to nel­l’or­di­nan­za, art. 12 nuova LPD);
  • ob­bli­go di in­for­ma­re l'In­ca­ri­ca­to fe­de­ra­le della pro­te­zio­ne dei dati e della tra­spa­ren­za (IFPDT) e la per­so­na in­te­res­sa­ta in caso di vio­la­zio­ne della si­cu­rez­za dei dati (art. 24 nuova LPD);
  • ef­fet­tua­re un’a­na­li­si d’im­pat­to re­la­ti­va alla pro­te­zio­ne dei dati per­so­na­li quan­do il trat­ta­men­to dei dati pre­sen­ta un ri­schio ele­va­to (art. 22 nuova LPD);
  • in­for­ma­re in caso di trat­ta­men­to dei dati e in­di­ca­re il nome del o degli Stati in caso di co­mu­ni­ca­zio­ne al­l’e­ste­ro (art. 19 nuova LPD). Su que­sto punto, la nuova LPD è più se­ve­ra del RGPD;
  • in­for­ma­re in caso di de­ci­sio­ne in­di­vi­dua­le au­to­ma­tiz­za­ta – vale a dire una de­ci­sio­ne presa nei con­fron­ti di una per­so­na, me­dian­te al­go­rit­mi ap­pli­ca­ti ai suoi dati per­so­na­li senza che nes­sun es­se­re umano in­ter­ven­ga nel pro­ces­so (art. 21 nuova LPD).

L’o­biet­ti­vo prin­ci­pa­le di que­sta legge è quel­lo di raf­for­za­re la tra­spa­ren­za e la pro­te­zio­ne dei dati per­so­na­li delle per­so­ne in­te­res­sa­te. In tale ot­ti­ca, le per­so­ne pri­va­te be­ne­fi­ce­ran­no dei nuovi se­guen­ti di­rit­ti:

  • il di­rit­to di es­se­re in­for­ma­ti del trat­ta­men­to dei pro­pri dati per­so­na­li (art. 25-27 nuova LPD);
  • il di­rit­to alla tra­smis­sio­ne dei dati per­so­na­li (por­ta­bi­li­tà dei dati) (art. 28 e 29 nuova LPD);
  • il di­rit­to di non es­se­re og­get­to di una de­ci­sio­ne in­di­vi­dua­le au­to­ma­tiz­za­ta – vale a dire una de­ci­sio­ne presa nei con­fron­ti di una per­so­na, me­dian­te al­go­rit­mi ap­pli­ca­ti ai suoi dati per­so­na­li senza che nes­sun es­se­re umano in­ter­ven­ga nel pro­ces­so (art. 21 nuova LPD).

Gli altri cam­bia­men­ti ri­spet­to alla legge at­tua­le sono i se­guen­ti:

  • Dati per­so­na­li: que­sta no­zio­ne è ormai ri­dot­ta poi­ché non com­pren­de più i dati delle per­so­ne giu­ri­di­che esclu­den­do que­ste ul­ti­me dal campo di pro­te­zio­ne della LPD (art. 1 e art. 5, lett. a nuova LPD).
  • Dati per­so­na­li sen­si­bi­li: essi in­clu­do­no ora i dati ge­ne­ti­ci e bio­me­tri­ci (che per­met­to­no un’i­den­ti­fi­ca­zio­ne unica) (art. 5, lett. c nuova LPD).
  • Re­spon­sa­bi­le del trat­ta­men­to: esso cor­ri­spon­de al­l’at­tua­le «de­ten­to­re di una col­le­zio­ne di dati» e al «re­spon­sa­bi­le del trat­ta­men­to» se­con­do il RGPD. Si trat­ta di una per­so­na pri­va­ta (spes­so un’im­pre­sa) o di un or­ga­no fe­de­ra­le che, solo o con­giun­ta­men­te con altri, de­ter­mi­na le fi­na­li­tà e i mezzi di trat­ta­men­to dei dati per­so­na­li (art. 5, lett. j nuova LPD).
  • Ex­tra­ter­ri­to­ria­li­tà: esten­sio­ne del campo d’ap­pli­ca­zio­ne della nuova LPD a cir­co­stan­ze che si ve­ri­fi­ca­no al­l’e­ste­ro e che hanno ri­per­cus­sio­ni in Sviz­ze­ra (art. 3, cpv. 1 nuova LPD).
  • No­mi­na di un rap­pre­sen­tan­te in Sviz­ze­ra per im­pre­se este­re: que­sto ob­bli­go si ap­pli­ca se un re­spon­sa­bi­le del trat­ta­men­to pri­va­to ha la sua sede o il suo do­mi­ci­lio al­l'e­ste­ro, trat­ta dati per­so­na­li di per­so­ne in Sviz­ze­ra e sono sod­di­sfat­te ul­te­rio­ri con­di­zio­ni (art. 14 f. nuova LPD).

In caso di vio­la­zio­ne della nuova legge, si ri­schia­no multe fino a 250’000 fran­chi. Con­tra­ria­men­te al RGPD, le san­zio­ni pre­vi­ste dalla nuova LPD non sono ri­vol­te al­l’im­pre­sa col­pe­vo­le, bensì alla per­so­na fi­si­ca in­ca­ri­ca­ta della pro­te­zio­ne dei dati (ad esem­pio di­ret­to­re o mem­bro del con­si­glio d’am­mi­ni­stra­zio­ne). Viene pu­ni­to sol­tan­to un com­por­ta­men­to che po­treb­be es­se­re ri­te­nu­to in­ten­zio­na­le (art. 60 ss. nuova LPD).

Igno­ra­re la (nuova) legge sulla pro­te­zio­ne dei dati può avere con­se­guen­ze non solo per il re­spon­sa­bi­le in seno ad un’im­pre­sa, ma anche per l’im­pre­sa stes­sa, in par­ti­co­la­re la sua re­pu­ta­zio­ne. L’in­ca­ri­ca­to fe­de­ra­le della pro­te­zio­ne dei dati (IFPDT) può in­ter­ve­ni­re e pren­de­re delle mi­su­re am­mi­ni­stra­ti­ve (ad esem­pio or­di­na­re la mo­di­fi­ca, la so­spen­sio­ne o la ces­sa­zio­ne di un trat­ta­men­to o la can­cel­la­zio­ne di dati per­so­na­li).

In­nan­zi­tut­to, è ne­ces­sa­rio pre­pa­rar­si il prima pos­si­bi­le, e que­sto at­tra­ver­so un’a­na­li­si delle la­cu­ne allo scopo di adat­tar­si passo dopo passo a que­sto nuovo re­gi­me re­go­la­men­ta­re. Se­con­do la di­men­sio­ne del­l’im­pre­sa, ciò può ri­chie­de­re di­ver­si mesi. Sono però ne­ces­sa­rie so­lu­zio­ni prag­ma­ti­che, vale a dire che bi­so­gna ini­zia­re con l’at­tua­re i re­qui­si­ti mi­ni­mi ob­bli­ga­to­ri per legge (un re­gi­stro, l’ob­bli­go di in­for­ma­re, ecc.).

Un piano d’a­zio­ne do­vreb­be ba­sar­si sui se­guen­ti tre pi­la­stri: si­cu­rez­za in­for­ma­ti­ca, aspet­ti giu­ri­di­ci e ge­stio­ne dei dati. A pro­po­si­to del­l’ul­ti­mo punto, eco­no­mie­suis­se ha messo a di­spo­si­zio­ne una carta del­l’e­co­no­mia sviz­ze­ra per una ge­stio­ne re­spon­sa­bi­le dei dati. Se ne­ces­sa­rio, le azien­de do­vreb­be­ro con­sul­ta­re esper­ti di si­cu­rez­za in­for­ma­ti­ca e pro­te­zio­ne dei dati per svi­lup­pa­re pro­gram­mi di com­plian­ce det­ta­glia­ti che sod­di­sfi­no i nuovi re­qui­si­ti.

Senza en­tra­re nelle con­si­de­ra­zio­ni tec­ni­che, giu­ri­di­che e in­for­ma­ti­che di una con­for­mi­tà con la nuova LPD, un piano d’a­zio­ne prag­ma­ti­co do­vreb­be con­si­de­ra­re i se­guen­ti aspet­ti:

  1. È ne­ces­sa­rio un punto della si­tua­zio­ne glo­ba­le
    Se­con­do la nuova LPD, le im­pre­se de­vo­no ri­spet­ta­re al­cu­ni ob­bli­ghi di in­for­ma­zio­ne, cioè de­vo­no for­ni­re in­for­ma­zio­ni sul­l'i­den­ti­tà del con­trol­lo­re, lo scopo del trat­ta­men­to, gli even­tua­li de­sti­na­ta­ri dei dati, ecc. quan­do ot­ten­go­no dati per­so­na­li. Inol­tre, de­vo­no es­se­re in grado di sod­di­sfa­re i di­rit­ti degli in­te­res­sa­ti, come ad esem­pio for­ni­re a un in­te­res­sa­to in­for­ma­zio­ni sul trat­ta­men­to dei suoi dati per­so­na­li. Tutto que­sto pre­sup­po­ne che le azien­de sap­pia­no quali dati per­so­na­li sono trat­ta­ti per quali scopi, se i dati sono tra­sfe­ri­ti ad altri paesi e ad altre per­so­ne, ecc. Di con­se­guen­za, le im­pre­se do­vreb­be­ro prima fare un in­ven­ta­rio di tutto il trat­ta­men­to dei dati. Il nuovo elen­co ri­chie­sto dalla legge può ser­vi­re come mo­del­lo per que­sto. Tale in­ven­ta­rio è uno sfor­zo col­let­ti­vo che deve coin­vol­ge­re tutti i di­pen­den­ti coin­vol­ti nel trat­ta­men­to dei dati per­so­na­li.
  2. Va­lu­ta­re i ri­schi
    Più il vo­lu­me di dati per­so­na­li trat­ta­ti da un’im­pre­sa è im­por­tan­te e più i dati per­so­na­li sono sen­si­bi­li, più le esi­gen­ze di con­for­mi­tà in ma­te­ria di pro­te­zio­ne dei dati sono ele­va­te e più le po­ten­zia­li san­zio­ni e gli at­tac­chi alla re­pu­ta­zio­ne in caso di man­ca­to ri­spet­to sono ele­va­ti (cf. que­stio­ne 6).
  3. Sen­si­bi­liz­za­re
    In­di­pen­den­te­men­te dalla di­men­sio­ne del­l’im­pre­sa, tutti i col­la­bo­ra­to­ri, dagli ap­pren­di­sti agli am­mi­ni­stra­to­ri, de­vo­no es­se­re sen­si­bi­liz­za­ti sulla posta in gioco in ma­te­ria di pro­te­zio­ne dei dati. I ri­ce­zio­ni­sti, i re­spon­sa­bi­li di pro­get­ti, i re­spon­sa­bi­li delle ri­sor­se umane, i con­su­len­ti, gli in­di­pen­den­ti, il capo im­pre­sa – col­la­bo­ra­to­ri a tutti i li­vel­li di un’im­pre­sa trat­ta­no re­go­lar­men­te dati per­so­na­li as­su­men­do­ne la re­spon­sa­bi­li­tà sul piano pe­na­le. Esem­pio: un ri­ce­zio­ni­sta tiene un re­gi­stro dei vi­si­ta­to­ri di un’im­pre­sa. Trat­tan­do e ar­chi­vian­do i nomi delle per­so­ne che giun­go­no nel­l’im­pre­sa, que­st’ul­ti­mo trat­ta già dei dati per­so­na­li.
  4. Tra­spa­ren­za e in­for­ma­zio­ne
    Con la nuova LPD la tra­spa­ren­za in ma­te­ria di trat­ta­men­to dei dati resta un prin­ci­pio im­por­tan­te. Esi­ste pure l’ob­bli­go di in­for­ma­zio­ne in caso di trat­ta­men­to dei dati. Il re­spon­sa­bi­le del trat­ta­men­to è te­nu­to ad in­for­ma­re le per­so­ne in­te­res­sa­te dei vari aspet­ti del trat­ta­men­to di dati. L’al­le­sti­men­to e l’ag­gior­na­men­to della di­chia­ra­zio­ne in ma­te­ria di pro­te­zio­ne dei dati sono es­sen­zia­li in vista del­l’en­tra­ta in vi­go­re della nuova LPD (sul sito web del­l’im­pre­sa, ma anche nella cor­ri­spon­den­za).
  5. Si­cu­rez­za in­for­ma­ti­ca
    Le im­pre­se de­vo­no ac­cer­tar­si che la si­cu­rez­za dei si­ste­mi in­for­ma­ti­ci del­l’im­pre­sa e delle ap­pli­ca­zio­ni di soft­ware ri­spon­da­no alle esi­gen­ze della nuova legge. Ciò com­pren­de mi­su­re tec­ni­che ed or­ga­niz­za­ti­ve per pre­ve­ni­re i cy­be­rat­tac­chi, il furto di dati e altre per­di­te di dati.
  6. Or­ga­niz­za­zio­ne e pro­ce­du­re in­ter­ne
    Allo scopo di ri­spon­de­re con­for­me­men­te alle esi­gen­ze della nuova legge, agli even­tua­li sol­le­ci­ti ester­ni (do­man­de d’in­for­ma­zio­ne o di can­cel­la­zio­ne dei dati per­so­na­li di un clien­te) o agli in­ci­den­ti che com­por­ta­no la fuga, la per­di­ta o l’u­ti­liz­zo abu­si­vo di dati per­so­na­li, oc­cor­re sta­bi­li­re pro­ce­du­re in­ter­ne adat­ta­te alla strut­tu­ra di ogni im­pre­sa. Se­con­do l’in­ci­den­te, que­ste pro­ce­du­re de­vo­no de­fi­ni­re quale col­la­bo­ra­to­re (sup­plen­ti in­clu­si) deve adot­ta­re quale mi­su­ra entro quale ter­mi­ne. Esem­pio: nel caso di una vio­la­zio­ne della si­cu­rez­za dei dati, le pro­ce­du­re de­vo­no sta­bi­li­re le si­tua­zio­ni e i cri­te­ri che per­met­to­no di va­lu­ta­re se un in­ci­den­te debba es­se­re se­gna­la­to alle au­to­ri­tà. Que­ste pro­ce­du­re de­vo­no inol­tre com­por­ta­re spie­ga­zio­ni chia­re che in­di­chi­no quale col­la­bo­ra­to­re deve se­gna­la­re l’in­ci­den­te, entro quale ter­mi­ne, sotto quale forma e a quale au­to­ri­tà. Que­sto ge­ne­re di pro­ce­du­re può as­su­me­re la forma di liste di con­trol­lo (check-list).
  7. Sta­bi­li­re un re­gi­stro delle at­ti­vi­tà
    La nuova LPD pre­ve­de che sia il re­spon­sa­bi­le del trat­ta­men­to che l’in­ca­ri­ca­to deb­ba­no te­ne­re un re­gi­stro delle loro at­ti­vi­tà. Que­sto ob­bli­go con­cer­ne tutte le im­pre­se. Il Con­si­glio fe­de­ra­le può però pre­ve­de­re delle ec­ce­zio­ni per le im­pre­se con meno di 250 col­la­bo­ra­to­ri (art. 12, cpv. 2 nuova LPD). Que­ste ec­ce­zio­ni sa­ran­no pre­ci­sa­te nel­l’or­di­nan­za, il cui pro­get­to è an­co­ra in fase di ela­bo­ra­zio­ne. L’al­le­sti­men­to di tali re­gi­stri pre­sup­po­ne che tutti i trat­ta­men­ti di dati per­so­na­li in seno ad un’im­pre­sa siano iden­ti­fi­ca­ti e com­pi­la­ti si­ste­ma­ti­ca­men­te. So­prat­tut­to nei casi in cui non si ten­go­no an­co­ra elen­chi cor­ri­spon­den­ti e si ef­fet­tua­no molte ela­bo­ra­zio­ni di­ver­se, que­sto pro­ces­so com­por­ta uno sfor­zo con­si­de­re­vo­le e do­vreb­be quin­di es­se­re af­fron­ta­to in una fase ini­zia­le.
  8. Re­vi­sio­ne dei con­trat­ti 
    Con­si­de­ra­ti i cam­bia­men­ti che si ope­re­ran­no con la nuova legge ed entro la sua en­tra­ta in vi­go­re, le im­pre­se do­vreb­be­ro esa­mi­na­re – e se ne­ces­sa­rio, adat­ta­re – i con­trat­ti sti­pu­la­ti con i loro clien­ti, for­ni­to­ri, ope­ra­to­ri di ser­vi­zi ma anche con i loro col­la­bo­ra­to­ri. Ciò ri­chie­de del tempo. È op­por­tu­na anche una at­tua­zio­ne ra­pi­da, poi­ché bi­so­gna at­ten­der­si che nu­me­ro­si part­ner con­trat­tua­li esi­ga­no nei mesi fu­tu­ri dei con­trat­ti – o adat­ta­men­ti ai con­trat­ti già esi­sten­ti – che in­clu­da­no clau­so­le con­for­mi alla nuova legge sulla pro­te­zio­ne dei dati.
  9. Re­sta­re in­for­ma­ti
    Per com­pren­de­re il tema della con­for­mi­tà alla pro­te­zio­ne dei dati, se­con­do la nuova LPD, è ne­ces­sa­rio es­se­re in grado di ca­pi­re l'im­pat­to spe­ci­fi­co della nuova legge sulle pro­prie ope­ra­zio­ni di trat­ta­men­to dei dati. In­for­ma­te­vi con­sul­tan­do i siti delle au­to­ri­tà di pro­te­zio­ne dei dati (IFPDT), i blog e le ri­vi­ste spe­cia­liz­za­te e par­te­ci­pa­te alle di­ver­se for­ma­zio­ni (pro­po­ste, ad esem­pio, dalle Ca­me­re di com­mer­cio).