00800 24 800 800 DE EN FR IT Notifica di sinistro Documenti LPP Officine partner Trovare consulente e ubicazioni Condizioni della Banca Jobs Assicurazione protezione giuridica Assicurazione cyber Assicurazione responsabilità civile
Servizio clientela
24h Hotline 00800 24 800 800
Dall'estero: +41 58 285 28 28
Clienti privati e aziendali myBaloise E-Banking Link öffnet in einem neuen Tab Il mio conto Altri Login E-Banking Link öffnet in einem neuen Tab Logout
Costituire un’azienda: scoprite come è facile in Svizzera Nuova legge svizzera sulla protezione dei dati: una sintesi

La legge sulla protezione dei dati svizzera del 2023 prevede pene più severe. Qui trovate le principali informazioni su: 

  • Modifiche generali
  • Nuovi obblighi per le aziende
  • Nuovi diritti per le persone interessate
Alexandra Toscanelli, Team Marketing PMI 4 settembre 2023 Dopo la costituzione
La nuova legge svizzera sulla protezione dei dati è entrata in vigore il 1° settembre 2023. Abbiamo riepilogato per voi in forma chiara i principali cambiamenti per aziende e privati, così saprete quali sono gli obblighi per la vostra azienda e a quali sanzioni andrete incontro in caso di violazione.
Ecco cosa troverete nel nostro articolo

Al fine di ottenere una panoramica veloce sulle novità della legge svizzera sulla protezione dei dati (LPD), affronteremo i seguenti punti e li renderemo più concreti con esempi semplici:

Perché è stata adeguata la legge sulla protezione dei dati?

La vecchia legge sulla protezione dei dati in Svizzera risaliva al 1992. Negli ultimi trent’anni le condizioni generali a livello tecnologico e sociale sono costantemente cambiate. Inoltre, con il regolamento generale sulla protezione dei dati (GDPR), l’UE ha rafforzato la protezione dei dati. Con la revisione totale della legge svizzera sulla protezione dei dati, la legge è stata adattata alla mutata situazione generale ed è stata resa compatibile con il diritto UE.

Cosa tutela la nuova legge sulla protezione dei dati?

La nuova legge sulla protezione dei dati della Svizzera protegge due cose: la personalità e i diritti fondamentali delle singole persone (persone fisiche), e lo fa quando privati o istituzioni statali trattano i loro dati. La legge presta particolare attenzione al modo in cui i dati vengono trattati, a come vengono informate le persone interessate e a come queste possono influire su tale trattamento. La revisione migliora in particolare la trasparenza dei trattamenti dei dati e rafforza l’autodeterminazione delle persone interessate in merito ai loro dati. Il cosiddetto diritto all’autodeterminazione informativa indica il diritto del singolo a decidere autonomamente in merito alla consegna e all’utilizzo dei suoi dati personali. Ciò significa che ogni persona ha un livello minimo di controllo in merito alle informazioni raccolte e trattate su di lei.

Da quando è in vigore la nuova legge sulla protezione dei dati in Svizzera?

La nuova legge sulla protezione dei dati (LPD) è entrata in vigore il 1° settembre 2023. Poiché la legge non prevedeva periodi di transizione, a partire dall’entrata in vigore sono stati subito applicati tutti gli obblighi e i diritti. Al contempo sono entrate in vigore anche le disposizioni di esecuzione nella nuova ordinanza sulla protezione dei dati (OPDa) e la nuova ordinanza sulle certificazioni in materia di protezione dei dati (OCPD).

Chi è interessato dalla nuova legge sulla protezione dei dati?

La nuova LPD riguarda tutte le aziende e organizzazioni che trattano dati personali. Secondo la LPD, esse devono ad esempio garantire la sicurezza dei dati mediante misure tecniche e organizzative adeguate per evitare violazioni della sicurezza dei dati (ad esempio tramite attacchi hacker). Soprattutto considerando che il numero di attacchi hacker in Svizzera è in rapidissimo aumento e rimane alto, come dimostrano gli incidenti segnalati all'Ufficio federale della cibersicurezza: questo mostra la situazione di criticità in cui si trovano le aziende in Svizzera.

Con l’assicurazione cyber per PMI di Baloise, la vostra azienda usufruisce di una protezione completa in caso di sinistro. Saremo lieti di fornirvi una consulenza personale. Potete anche stipulare la vostra assicurazione cyber per PMI direttamente online con pochi clic.

Per saperne di più
Modifiche principali: cosa cambia con la nuova legge sulla protezione dei dati?

La revisione della LPD svizzera si basa sul GDPR dell’Unione europea, ma presenta alcune particolarità. Le modifiche principali nella nuova LPD si possono suddividere in tre aree: in primo luogo in modifiche generali, poi in nuovi obblighi per le aziende e in terzo luogo in nuovi diritti per le persone.

Modifiche generali

Nuovo ambito di applicazione

La legge rivista riguarda solo i dati di persone fisiche. I dati di persone giuridiche, come quelli di una SA o di una Sagl, non rientrano più nella LPD.

Nuovi dati personali degni di particolare protezione

La nuova legge sulla protezione dei dati va oltre quella precedentemente in vigore e comprende ulteriori dati personali, considerati degni di particolare protezione. Tra questi rientrano ora i dati relativi all’etnia, i dati genetici e biometrici. I dati genetici comprendono informazioni sul patrimonio genetico di una persona, acquisiti ad esempio tramite test genetici. Esempi di dati biometrici sono la scansione dell’impronta digitale o della retina. I dati relativi a salute, opinioni religiose, ideologiche o politiche, sui procedimenti penali o sull’appartenenza a una razza rimangono come nella vecchia LPD dati personali degni di particolare protezione.

Applicabilità anche all’estero

La nuova legge trova applicazione principalmente per aziende e organizzazioni in Svizzera. Essa si applica però anche quando vengono trattati dati personali all’estero e questo trattamento dei dati ha ripercussioni in Svizzera. Inoltre, la legge riguarda aziende all’estero che offrono servizi in Svizzera e che devono ora nominare una rappresentanza in Svizzera.

Profilazione

la LPD disciplina ora anche la profilazione. In tal senso si distingue tra profilazione da un lato e profilazione a rischio elevato dall’altro.

  • La profilazione è qualsiasi tipo di trattamento automatizzato di dati personali con l’obiettivo di collegare determinati aspetti personali di una persona ad esempio situazione economica, salute, interessi, comportamenti, residenza ecc. Un esempio in tal senso sono i negozi online, che analizzano in modo automatizzato il comportamento di navigazione degli utenti e raccomandano loro prodotti adeguati in acquisto.
  • La profilazione a rischio elevato si svolge se i dati personali vengono trattati automaticamente e il collegamento dei dati permette una valutazione di aspetti essenziali della personalità, quindi ad esempio se il gestore di un negozio online analizza in modo esteso le preferenze della sua clientela e risale al suo stato di salute. Questo può tradursi in un rischio elevato per la personalità dei suoi clienti.

Al contrario del GDPR dell’Unione europea, nella nuova LPD non è prescritto che le persone interessate debbano acconsentire alla profilazione.

Nuovi obblighi per aziende

Privacy by design e privacy by default

Quando le aziende pianificano di trattare dati personali, esse devono adottare misure tecniche e organizzative adeguate per rispettare i principi del trattamento dei dati (privacy by design). Esempi di queste misure sono la cancellazione regolare dei dati o la loro anonimizzazione standardizzata.

Inoltre, le aziende devono selezionare impostazioni predefinite a scopo vincolato (privacy by default). Ciò significa che i dati personali possono essere trattati solo in misura limitata o per le finalità indicate. Non è quindi possibile raccogliere dati a stock. I clienti di negozi online non dovrebbero indicare altri dati, oltre al loro nome e indirizzo, che permettono di risalire alle loro preferenze personali.

Elenco del trattamento dei dati

Le aziende devono tenere un elenco dove documentano tutti i trattamenti dei dati. Le aziende che impiegano meno di 250 persone ne sono esentate, ma solo se non trattano dati personali degni di particolare protezione su larga scala e non svolgono profilazione a rischio elevato.

Obbligo di notifica in caso di violazione della protezione dei dati

Una violazione della sicurezza dei dati può presumibilmente portare a un rischio elevato per i diritti della personalità e fondamentali delle persone interessate. Se questo è il caso, le aziende devono comunicare immediatamente tale violazione all’Incaricata/all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Devono anche informare le persone coinvolte, se ciò è necessario per la loro protezione o se richiesto dall’IFPDT. Avviene una violazione della sicurezza dei dati, ad esempio, se i dati vengono rubati, hackerati o resi noti o accessibili a persone non autorizzate nell’azienda.

Obbligo di informazione ampliato

L’obbligo di informazione è stato notevolmente ampliato rispetto alla LPD precedente. Non appena le aziende raccolgono dati personali, devono comunicarlo. Le persone interessate devono ottenere tutte le informazioni rilevanti, così che possano esercitare i propri diritti derivanti dalla LPD e sia garantito un trattamento dei dati trasparente. La nuova LPD tuttavia non definisce in che modo le aziende devono implementare tale obbligo, ma solo quali informazioni devono mettere a disposizione, ovvero:

  • identità e dati di contatto della/del responsabile per il trattamento dei dati
  • scopo del trattamento
  • destinatario, paese destinatario ed eventualmente garanzie in materia di diritto sulla protezione dei dati, se i dati personali vengono trasmessi all’estero

L’ultimo punto è importante se le aziende ad esempio commercializzano offerte del loro webshop anche tramite Amazon.

Valutazione d’impatto sulla protezione dei dati

Le aziende possono riconoscere e valutare i rischi per la protezione dei dati con l’aiuto di una valutazione d’impatto sulla protezione dei dati. Esse sono tenute a svolgere questa analisi se il trattamento dei dati comporta presumibilmente un elevato rischio per i diritti della personalità e fondamentali delle persone interessate. Esempi di questi trattamenti dei dati “delicati” sono:

  • il trattamento di dati personali degni di particolare protezione come dati riguardanti lo stato di salute
  • la sorveglianza estesa e sistematica di aree pubbliche, ad esempio la sorveglianza dell’ingresso di una stazione

Quanto più esteso è il trattamento di dati personali degni di particolare protezione, quanto più sensibili sono i dati trattati e più ampio è lo scopo del trattamento, tanto più è probabile incorrere in un rischio. Le aziende devono eseguire la valutazione d’impatto sulla protezione dei dati prima di trattare effettivamente i dati e devono inoltre documentare questa analisi.

Nuovi diritti per le persone interessate

Diritto di consegna e trasferimento dei dati

Una persona può ora richiedere che i suoi dati vengano consegnati dall’ufficio responsabile per il trattamento dei dati in un formato elettronico corrente oppure trasferiti a un altro fornitore. Se ad esempio un paziente si trasferisce, può richiedere al suo vecchio medico di famiglia di trasferire la sua cartella medica al nuovo medico. Il medico di famiglia non può addebitare al paziente i costi per questo onere.

Decisione individuale automatizzata

Le persone hanno il diritto di opporsi a una cosiddetta decisione individuale automatizzata e possono inoltre richiedere che la decisione venga verificata da una persona. Un esempio in merito è la concessione di un credito: una banca non può semplicemente rifiutare una richiesta di credito se un algoritmo lo consiglia sulla base di determinati valori di scoring. Il richiedente o la richiedente hanno il diritto di far verificare la raccomandazione dell’algoritmo a un esperto e solo su questa base la banca può approvare o rifiutare la richiesta di credito.

Pene più severe

Se le aziende violano la nuova legge sulla protezione dei dati, rischiano multe fino a CHF 250'000. Non vengono tuttavia punite le aziende, ma le persone fisiche responsabili a differenza del GDPR, che punisce le ditte in errore e con multe molto più elevate.

In che modo l’economia beneficia della revisione totale?

Dal 1992, anno in cui entrava in vigore in Svizzera la prima legge sulla protezione dei dati, con la digitalizzazione sono stati raccolti e utilizzati sempre più dati. La protezione dei dati è stata inoltre ampliata, nello specifico nell’UE con il GDPR entrato in vigore il 25 maggio 2018. Per rafforzare la protezione dei datila Svizzera ha dovuto quindi adeguare la vecchia legge alle nuove circostanze:

  • al nuovo comportamento di consumo (ad esempio shopping online, social media)
  • agli sviluppi tecnologici (ad esempio big data, cloud computing)
  • agli standard internazionali come il GDPR

Secondo il GDPR, i dati dall’UE possono essere trasmessi solo in paesi che hanno una protezione dei dati adeguata. Poiché l’economia svizzera è fortemente collegata allo Spazio economico europeo, è di centrale importanza una protezione dei dati “riconosciuta” dall’UE per continuare a garantire un flusso di dati senza problemi. Secondo il Consiglio federale, il nuovo diritto sulla protezione dei dati garantisce la compatibilità con il diritto europeo.

Questo potrebbe interessarti anche
Condizioni generali: come redigere correttamente le CG Le CG razionalizzano le formalità nel commercio con beni e servizi. Vi mostriamo in cosa si differenziano e qual è la miglior procedura da seguire.
Diritti d’immagine: cosa dovreste sapere Su Internet trovate miriadi di immagini. Tuttavia non dovreste usarle senza pensarci due volte. Tre regole ferree vi aiutano a fare la scelta giusta.