La legge rivista riguarda solo i dati di persone fisiche. I dati di persone giuridiche, come quelli di una SA o di una Sagl, non rientrano più nella LPD.

La nuova legge sulla protezione dei dati va oltre quella precedentemente in vigore e comprende ulteriori dati personali, considerati degni di particolare protezione. Tra questi rientrano ora i dati relativi all’etnia, i dati genetici e biometrici. I dati genetici comprendono informazioni sul patrimonio genetico di una persona, acquisiti ad esempio tramite test genetici. Esempi di dati biometrici sono la scansione dell’impronta digitale o della retina. I dati relativi a salute, opinioni religiose, ideologiche o politiche, sui procedimenti penali o sull’appartenenza a una razza rimangono come nella vecchia LPD dati personali degni di particolare protezione.

La nuova legge trova applicazione principalmente per aziende e organizzazioni in Svizzera. Essa si applica però anche quando vengono trattati dati personali all’estero e questo trattamento dei dati ha ripercussioni in Svizzera. Inoltre, la legge riguarda aziende all’estero che offrono servizi in Svizzera e che devono ora nominare una rappresentanza in Svizzera.

la LPD disciplina ora anche la profilazione. In tal senso si distingue tra profilazione da un lato e profilazione a rischio elevato dall’altro.

• La profilazione è qualsiasi tipo di trattamento automatizzato di dati personali con l’obiettivo di collegare determinati aspetti personali di una persona ad esempio situazione economica, salute, interessi, comportamenti, residenza ecc. Un esempio in tal senso sono i negozi online, che analizzano in modo automatizzato il comportamento di navigazione degli utenti e raccomandano loro prodotti adeguati in acquisto.
• La profilazione a rischio elevato si svolge se i dati personali vengono trattati automaticamente e il collegamento dei dati permette una valutazione di aspetti essenziali della personalità, quindi ad esempio se il gestore di un negozio online analizza in modo esteso le preferenze della sua clientela e risale al suo stato di salute. Questo può tradursi in un rischio elevato per la personalità dei suoi clienti.

Al contrario del GDPR dell’Unione europea, nella nuova LPD non è prescritto che le persone interessate debbano acconsentire alla profilazione.

Quando le aziende pianificano di trattare dati personali, esse devono adottare misure tecniche e organizzative adeguate per rispettare i principi del trattamento dei dati (privacy by design). Esempi di queste misure sono la cancellazione regolare dei dati o la loro anonimizzazione standardizzata.

Inoltre, le aziende devono selezionare impostazioni predefinite a scopo vincolato (privacy by default). Ciò significa che i dati personali possono essere trattati solo in misura limitata o per le finalità indicate. Non è quindi possibile raccogliere dati a stock. I clienti di negozi online non dovrebbero indicare altri dati, oltre al loro nome e indirizzo, che permettono di risalire alle loro preferenze personali.

Le aziende devono tenere un elenco dove documentano tutti i trattamenti dei dati. Le aziende che impiegano meno di 250 persone ne sono esentate, ma solo se non trattano dati personali degni di particolare protezione su larga scala e non svolgono profilazione a rischio elevato.

Una violazione della sicurezza dei dati può presumibilmente portare a un rischio elevato per i diritti della personalità e fondamentali delle persone interessate. Se questo è il caso, le aziende devono comunicare immediatamente tale violazione all’Incaricata/all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Devono anche informare le persone coinvolte, se ciò è necessario per la loro protezione o se richiesto dall’IFPDT. Avviene una violazione della sicurezza dei dati, ad esempio, se i dati vengono rubati, hackerati o resi noti o accessibili a persone non autorizzate nell’azienda.

L’obbligo di informazione è stato notevolmente ampliato rispetto alla LPD precedente. Non appena le aziende raccolgono dati personali, devono comunicarlo. Le persone interessate devono ottenere tutte le informazioni rilevanti, così che possano esercitare i propri diritti derivanti dalla LPD e sia garantito un trattamento dei dati trasparente. La nuova LPD tuttavia non definisce in che modo le aziende devono implementare tale obbligo, ma solo quali informazioni devono mettere a disposizione, ovvero:

• identità e dati di contatto della/del responsabile per il trattamento dei dati
• scopo del trattamento
• destinatario, paese destinatario ed eventualmente garanzie in materia di diritto sulla protezione dei dati, se i dati personali vengono trasmessi all’estero

L’ultimo punto è importante se le aziende ad esempio commercializzano offerte del loro webshop anche tramite Amazon.

Le aziende possono riconoscere e valutare i rischi per la protezione dei dati con l’aiuto di una valutazione d’impatto sulla protezione dei dati. Esse sono tenute a svolgere questa analisi se il trattamento dei dati comporta presumibilmente un elevato rischio per i diritti della personalità e fondamentali delle persone interessate. Esempi di questi trattamenti dei dati “delicati” sono:

• il trattamento di dati personali degni di particolare protezione come dati riguardanti lo stato di salute
• la sorveglianza estesa e sistematica di aree pubbliche, ad esempio la sorveglianza dell’ingresso di una stazione

Quanto più esteso è il trattamento di dati personali degni di particolare protezione, quanto più sensibili sono i dati trattati e più ampio è lo scopo del trattamento, tanto più è probabile incorrere in un rischio. Le aziende devono eseguire la valutazione d’impatto sulla protezione dei dati prima di trattare effettivamente i dati e devono inoltre documentare questa analisi.