Da oggi, 1° settembre 2023, la nuova Legge federale sulla Protezione dei Dati (nLPD / nDSG) è in vigore in Svizzera. Non è più tempo di prepararsi: è tempo di essere conformi.

I pilastri della nuova legge

Privacy by design e by default

La protezione dei dati deve essere incorporata nei sistemi e nei processi fin dalla loro progettazione, non aggiunta come ripensamento. Le impostazioni predefinite devono garantire il trattamento minimo necessario.

Registro dei trattamenti

La maggior parte delle aziende deve tenere un registro che documenti quali dati personali trattano, per quali finalità, dove li conservano, per quanto tempo e chi vi ha accesso. Le piccole imprese con meno di 250 dipendenti hanno requisiti semplificati, ma il registro resta raccomandato.

Notifica delle violazioni

In caso di violazione della sicurezza dei dati che comporta un rischio elevato per gli interessati, l’azienda deve notificare l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) il prima possibile.

Diritti degli interessati rafforzati

I clienti, dipendenti e qualsiasi persona i cui dati vengono trattati hanno diritti più ampi: accesso alle proprie informazioni, rettifica, cancellazione e portabilità.

Le sanzioni

La nLPD prevede sanzioni penali fino a CHF 250.000 per le persone fisiche (non le aziende) responsabili di violazioni gravi. Diversamente dal GDPR europeo, le sanzioni in Svizzera si applicano agli individui, non alle organizzazioni.

Allineamento al GDPR

La nuova legge porta la Svizzera in linea con il GDPR europeo — una buona notizia per le aziende che operano con clienti o fornitori nell’UE: un solo framework di riferimento invece di due.

Da dove partire se non siete ancora conformi

  1. Inventario dei dati — mappare quali dati personali trattate e dove si trovano
  2. Registro dei trattamenti — documentare ogni trattamento con finalità, base giuridica e tempi di conservazione
  3. Privacy policy — aggiornare le informative verso clienti, dipendenti e fornitori
  4. Procedure di risposta — definire chi fa cosa in caso di violazione dei dati
  5. Contratti con fornitori — verificare che i contratti con i responsabili del trattamento (cloud, software, consulenti) rispettino la nuova legge

DB Studio può supportare le aziende nell’adeguamento dei processi documentali e nell’impostazione del registro dei trattamenti.


Fonti