Newsletter, Database, Internet of Things: tutti elementi che, quando la confederazione ha introdotto la legge sulla protezione dei dati nel 1992 non esistevano, o perlomeno, non erano entrati a far parte della nostra quotidianità.
L’evoluzione delle tecnologie e i cambiamenti nelle abitudini dei cittadini impongono al Parlamento svizzero una riconsiderazione relativamente l’adeguatezza della LPD in vigore: nasce così l’esigenza, già nella primavera del 2015, di realizzare una revisione totale della legge sulla protezione dei dati. Viene così adottata la cosiddetta nLPD il 25 settembre 2020. Le aziende avranno poi modo di adeguarsi entro l’1 settembre 2023 alla legge.
Quali sono i benefici della revisione totale della legge? Le conseguenze all’introduzione della nLPD sono principalmente due:
- Maggiore tutela dei cittadini, accordando loro nuovi diritti;
- Uniformità con la GDPR, la normativa dell’Unione Europea in tema di protezione dei dati personali.
Maggiori diritti per i cittadini
Con l’entrata in vigore della normativa, all’individuo verrà data maggior trasparenza relativamente al trattamento dei dati personali trasmessi. Oltre a questo, il controllo da parte delle persone interessate sui propri dati sarà rafforzato.
Uniformità alla normativa Europea
Uno dei temi rilevanti a livello internazionale è la trasmissibilità dei dati da un paese all’altro: per farlo, il trattamento adottato dai diversi paesi deve essere uniforme, rispettando ovviamente dei requisiti minimi. La Svizzera quindi, con la revisione della legge, si pone l’obiettivo di adeguarsi al regolamento europeo. In questo modo, la libera circolazione dei dati tra l’Unione Europea e la Svizzera non subirà alcun impatto negativo, e la comunicazione transfrontaliera dei dati non vedrà ostacoli all’orizzonte. Le imprese svizzere, grazie a questo adeguamento, continueranno a mantenere la loro competitività su scala internazionale.
Introduzione dei concetti Privacy by Design e Privacy by Default
Con l’introduzione della nLPD vengono ereditati, tra i diversi elementi, due principi dalla normativa europea: Privacy by Design e Privacy by Default. Possono essere tradotti nella “protezione dei dati fin dal momento della progettazione”, e nella “protezione dei dati per impostazione predefinita”.
L’impresa deve approcciarsi sistematicamente a questi due concetti in ambito di trattamento dei dati personali: ogni volta che quest’ultima disegna un processo che tocca la sfera della privacy, deve individuare a priori delle misure che garantiscano la sicurezza dei dati personali, oltre ai rischi che potrebbero sorgere nel trattamento di questi.
I principi appena citati possono essere considerati complementari e sequenziali: il primo è, per ordine, Privacy by Design (protezione dei dati fin dalla progettazione): in questa fase l’azienda ha il compito di identificare e formalizzare le misure di protezione, in linea con i rischi identificati. Questo avviene in fase di progettazione, mirata alla prevenzione.
Il secondo è quindi il principio di Privacy by Default (protezione dei dati per impostazione predefinita): l’azienda in questa fase ha già avviato il progetto che richiedeva un’analisi, e adotta di default delle soluzioni, informatiche o organizzative ad esempio, che assicurano il livello di protezione della privacy elaborato durante la fase di progettazione, oltre che garantire l’utilizzo dei dati esclusivamente per lo scopo perseguito.
In cosa si traduce operativamente tutto ciò? Un esempio può essere quello dei sistemi di sorveglianza: ci si assicura che i video vengano distrutti secondo una procedura prestabilita, nei termini massimi previsti per legge? I dati raccolti dai clienti vengono distrutti alla scadenza dei termini? O ancora: vengono inviate mail promozionali esclusivamente a coloro che ne hanno dato il consenso? e quando è necessario richiedere il consenso, e quando è sufficiente dare informativa agli stakeholders? Qualora l’azienda ne fosse dotata, la figura del Data Protection Officer – DPO – gioca sicuramente un ruolo fondamentale in termini di disegno e controllo dei processi.
Le soluzioni adottabili da parte dell’impresa per essere compliant alla normativa sono diverse. Come anticipato precedentemente, possono essere sia procedure organizzative che misure tecniche.
Tra le misure tecniche abbiamo, ad esempio, soluzioni di gestione delle password, il controllo degli accessi ai dati, soluzioni di crittografia, da utilizzare, ad esempio, per i dati di pagamento. Altre soluzioni sono dispositivi o strumenti che consentano di distruggere in modo sicuro archivi cartacei e hard-disk.
Tra le procedure organizzative, la definizione di una policy e una conseguente definizione dei ruoli supporta l’azienda nell’identificazione degli addetti e dei loro compiti. Forse la più importante tra le procedure organizzative è proprio la formazione degli addetti al trattamento: informare il personale dei potenziali rischi in cui potrebbero incorrere utilizzando in modo sbagliato i dati in loro possesso, e sensibilizzarli rispetto all’utilizzo delle informazioni raccolte, è un elemento imprescindibile, essendo le aziende in fin dei conti, le loro persone.
