Ecco cosa devi sapere sulla nuova legge svizzera sulla protezione dei dati

Produci dati quasi senza sosta: quando devi mostrare il tuo SwissPass mentre vai al lavoro, quando a pranzo in mensa paghi con la carta e, se attivi il monitoraggio del sonno sullo smartwatch, anche quando dormi.

Molti dei tuoi dati vengono elaborati dalle aziende per svariati scopi. Di per sé non è vietato, ma esistono regole chiare su quali dati possono essere trattati per quali scopi e quali dati non possono essere trattati del tutto. Ciò è regolato dalla legge sulla protezione dei dati. Tuttavia, l'attuale legge risale al 1992, quindi prima ancora che il CERN rese disponibile il World Wide Web al pubblico.

Il 25 settembre 2020, il Parlamento ha approvato la revisione totale della legge federale sulla protezione dei dati (LPD). Il 31 agosto 2022, il Parlamento ha deciso che la legge sarebbe entrata in vigore il 1° settembre 2023: questo lungo periodo di transizione dovrebbe aver consentito alle aziende di attuare le nuove direttive.

Cosa dice la legge sulla protezione dei dati?

In sintesi, la LPD regola tre aspetti: i diritti che hai quando qualcuno tratta i tuoi dati personali, gli obblighi di chi tratta i tuoi dati personali e le conseguenze per chi non rispetta gli obblighi, sia intenzionalmente che per errore.

La LPD protegge quindi la personalità e i diritti fondamentali delle persone delle quali vengono trattati i dati.

Perché la legge sulla protezione dei dati è necessaria?

In Svizzera hai il diritto fondamentale all'«autodeterminazione informativa». Ciò significa che hai la libertà di decidere come vengono utilizzati i tuoi dati, almeno quelli che si riferiscono concretamente a te. Lo definisce la Costituzione federale nell'articolo 13, capoverso 2.

Hai questo diritto in relazione ai dati che lo Stato o le aziende raccolgono su di te ed elaborano. Lo Stato ha il compito di garantire questo diritto. La nuova legge sulla protezione dei dati è lo strumento con cui lo Stato adempie a questo compito e garantisce i tuoi diritti.

Qual è l'obiettivo della revisione?

Al centro della nuova LPD c'è il miglioramento della protezione dei dati e una maggiore trasparenza su ciò che accade con i tuoi dati, soprattutto a livello digitale. Devi sapere che i tuoi dati sono al sicuro e che terzi non possono farne ciò che vogliono. Inoltre, avrai la possibilità di verificare facilmente cosa succede ai tuoi dati in singoli casi. Hai anche il diritto di sapere chi possiede quali dati e dove li ha ottenuti.

Per gli organi che raccolgono i dati, la legge specifica come devono trattarli: cosa possono o non possono farci e come devono comportarsi se dovesse succedere qualcosa di contrario alla LPD. Sono inoltre specificate le possibili sanzioni.

Infine, ma non per importanza, viene definito il ruolo dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT), che riceve competenze più ampie e una maggiore autonomia nel settore della protezione dei dati.

Con la nuova legge, la protezione dei dati è generalmente gestita in modo molto più rigoroso e le violazioni sono sanzionate in modo più severo. Le ragioni principali di questa revisione sono due. In primo luogo, l'attuale LPD è piuttosto vecchia. Oggi nel settore online ci sono problemi di protezione dei dati che non sono stati regolamentati o non a sufficienza.

In secondo luogo, la revisione è necessaria per la cooperazione con l'UE. Dopo la revisione totale la Svizzera continua a essere riconosciuta come «Paese terzo con un livello adeguato di protezione dei dati». In questo modo, entrambe le parti possono continuare a lavorare insieme senza alcuna condizione.

Questo rafforza la protezione della tua privacy per i dati all'estero e viceversa. Ciò è stabilito dalla convenzione 108 del Consiglio d’Europa sulla protezione dei dati, di cui la Svizzera è cofirmataria.

Qual è la differenza con l'RGPD?

Il regolamento europeo sulla protezione dei dati è la legge sulla protezione dei dati dell’Unione Europea. In un certo senso, è la controparte della legge federale sulla protezione dei dati (LPD).

Anche le aziende svizzere sono tenute ad attenersi al regolamento in determinate circostanze. Ad esempio Galaxus, perché vendiamo prodotti nell'UE e trattiamo dati personali nell’UE. Qui puoi trovare tutti i dettagli sull'RGPD (in tedesco).

Quali dati vengono protetti e come?

Sono protetti i dati personali, ad esempio il nome, l'indirizzo di casa o di posta elettronica, il numero di telefono e altre informazioni che si riferiscono in modo specifico a te (LPD art. 5).

La protezione segue le norme stabilite nella LPD, che possono essere suddivise in due parti. Da un lato, le regole che un'azienda deve seguire quando ottiene e tratta i tuoi dati. Dall'altro lato, i requisiti tecnici e organizzativi che deve soddisfare per farlo.

Quali misure di protezione sono già in atto?

Alcune delle disposizioni relative all'acquisizione e al trattamento dei dati erano già contenute nella vecchia LPD. Ad esempio, il principio della proporzionalità e la limitazione dello scopo nell'acquisizione dei dati. Ti fornisco un esempio ciascuno per aiutarti a capire:

• LPD art. 6 cpv. 2: i tuoi dati possono essere trattati da un'azienda solo se il trattamento è conforme al «principio della proporzionalità». Ad esempio, se ordini una pizza online, il fattorino può chiederti il nome e l'indirizzo perché deve consegnare la pizza, ma non ha bisogno di sapere la tua attinenza o la tua data di nascita.
• L'LPD art. 6 cpv. 3 afferma che «i dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata». Supponiamo che piaci al fattorino della pizza. Se ti chiama (prendendo il numero dall'ordinazione) per chiederti di uscire, si tratta di una violazione. Trovi ulteriori dettagli sulla pagina web corrispondente.

Quali misure di protezione sono nuove?

Nella revisione sono state aggiunte alcune misure che tengono conto dei tempi odierni. Qui elenco le più importanti; se vuoi conoscere tutti i dettagli, ti consiglio la pagina FAQ dell'IFPDT.

Per software, hardware e tutti i servizi valgono i principi di «Privacy by Design» e «Privacy by Default». «Privacy by Design» significa che i requisiti di protezione dei dati devono già essere integrati durante lo sviluppo di un sistema. Ad esempio l'autenticazione a due fattori, la trasmissione criptata, l'accesso controllato e così via. «Privacy by Default», invece, assicura che il produttore garantisca tutte le misure necessarie per la protezione dei dati e le restrizioni all'uso dei dati già prima di offrire il prodotto o il servizio.

L'obbligo di informare sulla raccolta di dati personali viene esteso (LPD, art. 19). Ciò significa che un'azienda deve sempre informarti in anticipo quando raccoglie dati che ti riguardano. Deve anche esserti comunicato chi tratta i tuoi dati e per quale scopo. Inoltre, ti viene fornito il nome di una persona che puoi contattare. Nella pratica, questo viene spesso indicato nelle CGC di una procedura d'ordine.

Le aziende hanno l'obbligo di accesso (LPD art. 25). Ciò significa che puoi chiedere da dove un'azienda ha ottenuto i tuoi dati, quali dati possiede e da quanto tempo. Se, ad esempio, ricevi opuscoli pubblicitari da un'azienda che non conosci, hai il diritto di chiedere dove hanno preso l'indirizzo. Hai anche il diritto di chiedere informazioni se un'azienda non ti permette di ordinare articoli su fattura perché non saresti solvibile. Puoi chiedere quale sia il motivo di questa decisione e da dove hanno preso questi dati. Qui l'IFPDT ha riassunto le formalità riguardo a come procedere.

Valutazione d'impatto sulla protezione dei dati: supponiamo che un'azienda intenda trattare dati riferiti a te degni di particolare protezione. In questo caso deve effettuare una valutazione d'impatto sulla protezione dei dati (LPD art.22) nella quale deve descrivere le modalità di trattamento e le misure di protezione previste. Deve inoltre valutare se esiste un rischio per la tua persona o per i tuoi diritti fondamentali. Se l'azienda risponde in modo affermativo all'ultima domanda, deve prima ottenere un parere dell'IFPDT sulla fattibilità.

Registro delle attività di trattamento (LPD art. 12): ora le aziende sono obbligate a tenere un cosiddetto «registro delle attività di trattamento». Si tratta di un protocollo in cui vengono registrate tutte le indicazioni in merito al trattamento dei dati. Tuttavia, questo vale solo per le aziende con più di 250 collaboratori e collaboratrici e solo se vengono trattati dati sensibili.

Obbligo di notifica di violazioni della sicurezza dei dati (LPD art.24): supponiamo che un ospedale subisca un attacco informatico. In questo caso deve attivarsi. I responsabili devono determinare immediatamente quali dati sono stati colpiti dall'attacco. Se si accorgono che i dati hackerati sono sensibili in merito alla persona o ai diritti fondamentali, ad esempio le cartelle cliniche, devono informare l'IFPDT il prima possibile.

Multe più alte (LPD art. 60): se un'azienda viola l'obbligo di informare, di concedere l’accesso e di collaborare ai sensi della LPD, sarà punita con una multa. Era così già finora. Tuttavia, la multa massima possibile è stata aumentata a 250 000 franchi. Prima erano solo 10 000 franchi. Per un'azienda si tratta un importo ridicolmente basso. Le multe più alte hanno lo scopo di contribuire a migliorare l'osservanza della legge.

Cosa sono i dati «degni di particolare protezione»?

I «dati degni di particolare protezione» (LPD art. 5c) sono dati che ti riguardano e che sono particolarmente sensibili. Ad esempio, dati sulla tua salute, sulle tue misure di assistenza sociale e sui tuoi precedenti penali, ma anche sulla tua appartenenza religiosa o etnica e sulle tue opinioni politiche.

Se un'azienda intende raccogliere e trattare tali dati su di te, deve chiederti esplicitamente il permesso prima di farlo. Non è sufficiente che ti informino, come per gli altri dati.

Siti web per associazioni: cosa devi fare?

In qualità di persona privata non hai praticamente alcun obbligo con la nuova LPD. Approfitti solo di misure moderne di protezione dei dati e hai quindi dei vantaggi. La situazione è diversa se, ad esempio, nel tempo libero gestisci il sito web di un'associazione. Infatti, anche un'associazione ha degli obblighi in materia di protezione dei dati, ad esempio per quanto riguarda i dati personali dei suoi membri. Oltre agli obblighi che già avevi in precedenza, ora se ne aggiungono due essenziali.

In primo luogo, sul tuo sito web devi disporre di un'informativa sulla privacy, nella quale devi spiegare chi potrà vedere i dati raccolti e cosa ne verrà fatto. Questo vale anche per il modulo digitale che si usa per iscriversi alla grigliata del club di bowling. Anche in questo caso ricevi dei dati. Anche se utilizzi altri servizi esterni, come ad esempio gli strumenti di newsletter, devi indicarlo. Ma anche la diffusione di dati attraverso i social media o l'uso dei cookie devono essere chiariti nell'informativa sulla privacy. La cosa migliore da fare è contattare il tuo fornitore di servizi di hosting e chiedere consigli. Altrimenti, qui trovi un esempio di informativa sulla privacy (in tedesco).

In secondo luogo, se vuoi condividere i dati dei soci con terze parti esterne, devi chiedere esplicitamente l'autorizzazione per farlo. Ad esempio, se vuoi visitare il museo FIFA a Zurigo con il club, la FIFA richiede sempre un elenco completo di persone. In questo caso devi avere l'autorizzazione esplicita di ogni membro.

Altri dettagli sono previsti su base opzionale in ciascun caso. L'IFPDT ha creato una buona pagina panoramica a riguardo.