Dietro le quinte
Pianificazione finanziaria ottimizzata grazie al nuovo modello di demand forecasting
di Florian Schwarb
È arrivata la nuova legge sulla protezione dei dati
1.2.2023
Traduzione: Leandra Amato
La nuova legge sulla protezione dei dati entrerà in vigore in Svizzera il 1° settembre 2023. Abbiamo voluto sapere dall'avvocato ed esperto di protezione dei dati David Vasella cosa cambierà per i consumatori e le consumatrici e come le aziende devono prepararsi.
Nel maggio 2018, l'Unione Europea ha introdotto il nuovo Regolamento generale sulla protezione dei dati (GDPR). Più di cinque anni dopo, il «caso speciale della Svizzera» segue ora con la sua versione aggiornata della legge sulla protezione dei dati (LPD). David Vasella, che ha conseguito un dottorato in legge ed è partner dello studio legale Walder Wyss AG, si occupa da molti anni di tutti gli aspetti che riguardano la protezione dei dati. Conosce le nuove leggi e i regolamenti che le amministrazioni di Bruxelles e Berna hanno emanato dopo anni di dibattiti.
Perché la Svizzera ha bisogno di una nuova legge sulla protezione dei dati?
La prima legge federale sulla protezione dei dati risale al 1992. Questo è stato l'anno in cui è nato Neymar, è stato rilasciato Windows 3.0, Kurt Cobain ha sconvolto il mondo musicale con i Nirvana e il presidente degli Stati Uniti si chiamava Bill Clinton. Solo tre anni prima era stato sviluppato il World Wide Web. In breve, è stato un bel po' di tempo fa. Da allora è cambiato molto. La nuova legge sulla protezione dei dati intende tenere conto degli sviluppi tecnici e sociali intervenuti da allora. Allo stesso tempo, deve essere compatibile con il diritto dell'UE, ovvero con il Regolamento generale sulla protezione dei dati (GDPR) e con una convenzione rivista che la Svizzera deve attuare. Garantire il libero flusso di dati con i nostri vicini europei è sicuramente nel nostro interesse.
Che cosa c'è di nuovo nella «nuova» legge?
Per quanto riguarda i principi di elaborazione, tutto rimane invariato. In linea di massima, non è richiesto alcun consenso o altra giustificazione per l'utilizzo dei dati personali. Almeno fino a quando l'utilizzo dei dati personali segue i principi di trasparenza e non si verifica un'appropriazione indebita. Tuttavia, la nuova legge prevede una seconda, terza e quarta linea di difesa per garantire una protezione completa dei dati – una sorta di principio a strati per la protezione dei dati.
Che aspetto hanno esattamente questi «strati di cipolla»?
Il secondo livello consiste in misure di accompagnamento, ad esempio nella documentazione o nella valutazione dei rischi. Il terzo strato è formato dai consumatori stessi. Hanno diritti chiaramente definiti e devono essere informati attivamente sulla maggior parte dei trattamenti dei dati. Possono inoltre revocare il consenso e richiedere informazioni sul trattamento dei loro dati.
Rimane la quarta linea: l'applicazione della legge. Oggi l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) può solo formulare raccomandazioni e successivamente adire il Tribunale amministrativo federale se ritiene che la legge sulla protezione dei dati sia stata violata. Le procedure richiedono anni. L'IFPDT può ora emettere sentenze dirette e, ad esempio, richiedere l'adeguamento di un'operazione di elaborazione dati. Se un'azienda non è d'accordo, deve fare ricorso al Tribunale amministrativo federale.
Cosa succede quando le aziende non rispettano la legge sulla protezione dei dati?
Sono già state comminate multe per alcune violazioni. In pratica, però, non vengono praticamente mai pronunciate. Con la nuova legge le cose cambiano. Ad esempio, se qualcuno viola l'obbligo di informazione, fornisce informazioni incomplete o false sulla protezione dei dati o trasferisce dati personali all'estero senza autorizzazione, può essere comminata una multa fino a 250 000 franchi. È importante notare che la multa non colpisce l'azienda in sé, ma soprattutto la persona che è effettivamente responsabile della violazione della legge sulla protezione dei dati. Chiunque tratti dati personali ha quindi un grande interesse a prendere sul serio il proprio lavoro.
Cosa devo sapere come consumatore sul nuovo LPD?
Fondamentalmente, non molto. Sono le aziende che hanno il dovere di gestire i dati in modo corretto. Posso fare affidamento su questo. In caso di sensazione negativa, ho i necessari diritti di accesso per scoprire come l'azienda gestisce i miei dati personali.
E come fa la nuova LPD a proteggere i dati dei consumatori?
In primo luogo, si rafforzano i diritti dei consumatori e si aumenta la trasparenza. Ad esempio, tutte le aziende devono pubblicare nuove dichiarazioni sulla protezione dei dati. Sembra una buona idea, ma è piuttosto una soluzione fasulla. Persino io, come avvocato, non ho né il tempo né la voglia di leggere tutte le dichiarazioni sulla protezione dei dati. Fondamentalmente positivo, tuttavia, è il fatto che le aziende devono adottare maggiori misure di accompagnamento per gestire i dati personali in modo consapevole e responsabile. Poi ci sono i meccanismi di applicazione. Come già detto, l'IFPDT può ora intervenire direttamente se ritiene che la protezione dei dati sia violata.
La nuova LPD adotta quindi un approccio differenziato. La protezione dei consumatori è completa e poggia su diversi pilastri che si intersecano tra loro. Se questo ha l'effetto di migliorare effettivamente la protezione dei dati e di proteggere la fiducia dei consumatori, è ovviamente una cosa positiva.
Quali obblighi devono essere presi in considerazione da parte dell'azienda?
La legge sulla protezione dei dati impone molti obblighi diversi alle aziende, e ancora di più agli organi federali. Spiegarlo in dettaglio qui forse annoierebbe gli utenti. La mia idea è quindi la seguente: le aziende devono innanzitutto rispettare una serie di misure procedurali volte a garantire la protezione dei dati. Tuttavia, il legislatore non pretende di investire troppo tempo nella protezione dei dati, ma di gestire i rischi in modo pragmatico. Nell'era della digitalizzazione, questo è comunque essenziale.
In che modo la nuova LPD influenzerà o dovrebbe influenzare la protezione dei dati di un rivenditore online come Digitec Galaxus?
Molti rivenditori online hanno già un'ottima consapevolezza della protezione dei dati. Soprattutto nel settore online, i dati valgono oro. Nella maggior parte dei casi sono gestiti in modo responsabile. Ciò è dovuto anche al fatto che il diritto dell'UE, come il GDPR, si applica anche ai rivenditori online svizzeri che operano in Europa. Nell'ambito dei cookie e del marketing online in generale, spesso si applicano anche le norme del diritto dell'UE. Per questo motivo molti negozi svizzeri conoscono già i cookie banner e chiedono alla clientela se sono autorizzati ad attivare i cookie. Secondo la legge svizzera, questo non sarebbe affatto necessario. In questo caso, la prassi dell'UE interessa la Svizzera da molto tempo.
Il continuo clic del banner dei cookie è davvero fastidioso. Cosa c'entra questo con la protezione dei dati?
Si tratta di consentire ai clienti di determinare autonomamente cosa accade ai loro dati nell'area online. La preoccupazione ha senso, anche se i banner dei cookie sono effettivamente fastidiosi. Tuttavia, i negozi online si basano molto sulla fiducia dei clienti perché spesso trattano dati sensibili. È quindi vantaggioso spiegare ai clienti cosa succede ai loro dati. La nuova LPD è quindi anche un'opportunità per trattare i dati in modo più trasparente verso l'esterno e più strutturato verso l'interno. Nessuna domanda: questo avrà un impatto positivo sulla protezione dei dati.
La nuova LPD comporta anche progressi in termini di sicurezza informatica?
Sì e no. La nuova LPD non contiene quasi nessun requisito specifico sulla sicurezza informatica. Anche questo non è assolutamente necessario. Questo perché, in base alla legge attuale e futura, le aziende sono generalmente obbligate ad adottare misure tecniche e organizzative per garantire una «sicurezza adeguata dei dati». La legge non elenca alcuna misura concreta al riguardo. Anche questo sarebbe quasi impossibile. Tuttavia, la nuova LPD prevede l'obbligo di segnalazione in caso di violazione della sicurezza dei dati. Se un'azienda viene violata, può essere costretta a segnalarlo all'IFPDT. Anche le persone interessate da una violazione della sicurezza devono essere informate, almeno se ciò è necessario per la loro protezione.
Il Parlamento sta rimuginando sulla nuova LPD da quattro anni, nonostante la nuova legge sulla protezione dei dati (GDPR) sia in vigore da tempo nell'UE? Perché la Svizzera ha bisogno di una soluzione speciale?
Ottima domanda. Si sarebbe potuto anche adottare semplicemente il GDPR. Ma la legislazione europea è plasmata da una cultura completamente diversa rispetto alla legge sulla protezione dei dati in Svizzera. L'UE respira lo spirito di una cultura del divieto. Alcuni regolamenti sono insignificanti e molto dettagliati, il che porta a un'enorme quantità di documentazione. Tutto questo si sposa male con la Svizzera più liberale. Inoltre, un GDPR svizzero non sarebbe stato in grado di ottenere la maggioranza in parlamento. Tematiche come la profilazione o il nuovo diritto alla portabilità dei dati hanno già suscitato discussioni infinite. Alla fine, il legislatore ha scelto una via di mezzo.
Ci sono anche differenze di contenuto tra la nuova legge svizzera sulla protezione dei dati e il GDPR europeo?
Sì, molte. Descriverei la nuova LPD in termini semplificati come GDPR light. Un esempio tipico è l'obbligo di segnalare le violazioni della sicurezza. È stato adottato in linea di principio, ma nella sua attuazione è più pragmatico dai colleghi di Bruxelles. Gli infortuni minori, ad esempio, non devono essere denunciati in Svizzera. Lo stesso vale per altri punti.
Ma ci sono anche casi in cui la LPD è più severa del GDPR – ad esempio, nel caso di trattamenti particolarmente rischiosi, c'è l'obbligo di redigere un regolamento sul trattamento.
Grazie per l'intervista.
Tobias Billeter
Head of Corporate Communications
Tobias.Billeter@digitecgalaxus.chIl mio lavoro? Informare il nostro personale e la stampa su tutte le novità di Digitec Galaxus. Ma senza una boccata d'aria fresca e un bel po' di movimento, smetto di funzionare. La natura mi rigenera e mi permette di essere sempre aggiornato. Il jazz mi dà la pace necessaria per ammansire i miei figli, ormai adolescenti.
36 commenti
later