LPD - Nuova legge svizzera sulla protezione dei dati

Legge federale
sulla protezione dei dati
(LPD)

Cosa c’è da sapere

🎯 La nuova Legge federale sulla protezione dei dati (LPD) è il frutto di una revisione completa della precedente Legge svizzera sulla protezione dei dati. Approvata il 25 settembre 2020, è entrata in vigore a settembre 2023.

La LPD contiene disposizioni simili al GDPR, con alcune differenze riguardanti le basi giuridiche e le sanzioni.

🎯 In Svizzera esiste una legge che disciplina la protezione dei dati chiamata “Legge federale sulla protezione dei dati”, che risale al 1992 e che è stata parzialmente aggiornata nel 2019.

Il Parlamento svizzero ha quindi adottato una versione completamente rivista della legge per essere più in linea con il GDPR. L’intento è di mantenere una qualità della protezione e della sicurezza paragonabile a quella del resto dell’UE, anche se la legge manterrà i concetti originali e differirà leggermente sotto alcuni aspetti.

Aggiornamenti alla LPD

Nella versione aggiornata della LPD, viene introdotta la protezione dei dati sin dalla progettazione, con conseguenti obblighi di due diligence più stringenti per i responsabili del trattamento e per le aziende che conservano dati privati. Le aziende ormai devono progettare le proprie procedure tenendo presente la compliance.

Qui i principali cambiamenti previsti per le aziende:

Le informazioni biometriche e genetiche ora sono considerate dati sensibili.
Se esiste un rischio significativo per i diritti o la privacy delle persone interessate, devono essere effettuate valutazioni d’impatto.
L’obbligo di comunicazione delle informazioni è stato esteso.
Ora è necessario tenere un registro delle attività di trattamento. Tuttavia, la normativa prevede delle esclusioni per le PMI i cui trattamenti di dati personali comportano soltanto un rischio limitato di violazione nei confronti delle persone interessate.
In caso di violazione della sicurezza dei dati, occorre informare tempestivamente l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
La profilazione, ovvero il trattamento automatizzato dei dati personali, ora è una nozione giuridica riconosciuta.
La LPD non richiede una base legale per il trattamento dei dati personali secondo il principio generale della legge, in base al quale l’attività di trattamento dei dati è lecita in linea di massima ed è necessaria una base giuridica solo nel caso in cui il titolare del trattamento debba giustificare il trattamento.
Il meccanismo di opt-in funziona in modo diverso, poiché il consenso (preventivo) può essere necessario in un minor numero di situazioni.
- il trattamento di dati personali degni di particolare protezione,
- la profilazione a rischio elevato da parte di privati,
- la profilazione da parte di un organo federale.
Le sanzioni sono rivolte direttamente alle persone fisiche anche all’interno delle organizzazioni.
Infine, la LPD contiene più categorie di dati sensibili.

IMPORTANTE: Per essere ricontattato, inserisci il tuo nome, cognome, natel, ragione sociale completa, e nazione di riferimento.

LPD e GDPR: le differenze

Presentiamo in modo schematico le principali differenze tra il Sistema Svizzero (LPD) ed Europeo (GDPR), in particolare:

Applicabilità

LPD – La LPD si applica nel tuo caso se la tua organizzazione ha sede in Svizzera o al di fuori della Svizzera e tratti dati di persone interessate svizzere (eccetto il trattamento eseguito per attività personali).

GDPR – Il GDPR si applica nel tuo caso se la tua organizzazione ha sede nell’UE o tratta dati di dati di interessati dell’UE (ad eccezione del trattamento eseguito per attività personali o domestiche)

Dati sensibili

LPD – Secondo la LPD, i dati sensibili comprendono:

i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali;
i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia;
i dati genetici;
i dati biometrici che identificano in modo univoco una persona fisica;
le azioni e le sanzioni amministrative e penali;
i dati relativi alle misure di assistenza sociale.

GDPR – Secondo il GDPR, i dati sensibili comprendono:

i dati relativi a convinzioni religiose o filosofiche, opinioni politiche o sindacali;
i dati relativi alla salute, all’orientamento sessuale, all’origine razziale o etnica;
i dati genetici;
i dati biometrici

Titolare/Responsabile del Trattamento

LPD – Il Titolare del Trattamento e il Responsabile del Trattamento possono stipulare un accordo per disciplinare il trattamento dei dati.

GDPR – È necessario un accordo sul trattamento dei dati

Condizioni del trattamento

LPD – Per quanto riguarda i privati, l’espresso consenso è richiesto solo per:

il trattamento di dati personali degni di particolare protezione;
il trattamento dei dati personali sensibili;
la profilazione a rischio elevato da parte di privati;
la profilazione da parte di un organo federale.

Gli organi federali hanno il diritto di trattare dati personali soltanto se lo prevede una base legale, ossia:

i dati trattati sono costituiti da dati personali sensibili
viene effettuata la profilazione;
lo scopo del trattamento o il tipo di trattamento può comportare una grave ingerenza nei diritti fondamentali della persona interessata.

GDPR – Principio di opt-in.

Obblighi di informativa

LPD – Il titolare del trattamento deve fornire le seguenti informazioni entro 30 giorni dalla richiesta di accesso della persona interessata (relativamente al trattamento dei dati personali della persona interessata):

l’identità e i dati di contatto del titolare del trattamento;
le categorie di dati personali oggetto del trattamento;
gli scopi del trattamento;
la durata di conservazione dei dati personali o, se ciò non è possibile, i criteri per stabilire tale durata;
la fonte dei dati personali se questi non sono stati raccolti direttamente presso la persona interessata;

GDPR – Il GDPR contiene tutti gli stessi elementi della LPD, ma include anche l’obbligo di comunicare la base giuridica del trattamento, nonché i diritti concessi all’interessato come il diritto a una copia dei dati, il diritto di proporre reclamo e il diritto di revocare il consenso al trattamento dei dati.

Trasferimento dei dati personali all’estero

LPD – I dati personali possono essere trasferiti solo verso Stati esteri o organismi internazionali ritenuti in grado di garantire una protezione adeguata dei dati, come constatato dal Consiglio federale. In assenza di tale decisione di adeguatezza, i dati personali possono essere trasferiti all’estero in virtù di: un trattato internazionale; clausole contrattuali tra il titolare o il responsabile del trattamento e l’altro contraente, previamente comunicate all’IFPDT; garanzie specifiche stabilite dall’organo federale competente, previamente comunicate all’IFPDT; clausole tipo di protezione dei dati previamente approvate dall’IFPDT; e norme interne dell’impresa vincolanti sulla protezione dei dati previamente approvate dall’IFPDT. La LPD prevede inoltre diverse eccezioni al trasferimento di dati personali all’estero, ossia: l’espresso consenso della persona interessata al trasferimento dei dati personali; il trasferimento dei dati personali è correlato all’esecuzione o alla conclusione di un contratto tra il titolare e la persona interessata o il titolare e un altro contraente nell’interesse della persona interessata; il trasferimento è necessario per tutelare un interesse pubblico preponderante, far valere un diritto dinanzi a un giudice, proteggere la vita della persona interessata o di un terzo laddove non sia possibile ottenere il consenso preventivo della persona interessata entro un termine ragionevole; la persona interessata ha concesso l’accesso ai dati e non si è opposta espressamente al loro trattamento; i dati provengono da un registro previsto dalla legge accessibile al pubblico o alle persone con un interesse degno di protezione.

GDPR – Il GDPR si prevede:

Decisioni di adeguatezza della Commissione Europea;
Clausole contrattuali tipo; e
Norme vincolanti d’impresa.

Consulente per la protezione dei dati

LPD – La LPD non impone un consulente per la protezione dei dati, la sua presenza è facoltativa.

GDPR – Il GDPR richiede la nomina di un responsabile della protezione dei dati per le aziende private

Notifiche di violazioni dei dati

LPD – È necessario notificare quanto prima esclusivamente all’IFPDT ogni violazione della sicurezza che comporta un rischio elevato. La persona interessata viene informata solo se ciò è necessario per proteggerla o se lo esige l’IFPDT.

GDPR – Le violazioni dei dati devono essere segnalate all’autorità per la protezione dei dati entro 72 ore. L’interessato deve essere informato in caso di rischio elevato.

Sanzioni per mancato rispetto

LPD – Multe fino a 250.000 CHF per le persone fisiche o giuridiche responsabili.

GDPR – Sanzioni pecuniarie fino a 10/20 milioni di EUR o fino al 2/4% del fatturato mondiale annuo dell’organizzazione.

...e per la mia azienda?

Questa legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
👉 privati;
👉 organi federali.

Non si applica al trattamento di dati personali da parte di persone fisiche per uso esclusivamente personale.

VPRM.ch continuerà ad aggiornarti sulle modifiche apportate alla LPD; nel frattempo, se non lo hai già fatto, assicurati di avere privacy policy e cookie policy aggiornate e conformi.

La nostra strategia

Virtual & Physical Risk Management è in grado di fornire un servizio professionale di consulenza in conformità sia con la nuova LPD, sia con il Regolamento Europeo 2016/679 (GDPR). Operiamo a vari livelli, in base alla tue specifiche esigneze, come:

👉 Servizio di Analisi delle Discrepanze LPD / GDPR
👉 Valutazione del Rischio LPD / GDPR
👉 Rimedi LPD / GDPR>
👉 Consulenza Privacy
👉 Responsabile della Protezione dei Dati (DPO)
👉 Formazione sulla LPD / GDPR

👉 Servizio di Analisi delle Discrepanze LPD / GDPR

Il nostro servizio di “Analisi delle Discrepanze LPD / GDPR” si concentra sulla valutazione dell’efficacia del sistema aziendale attuale per la gestione della privacy e la protezione dei dati personali.

Iniziamo con un’analisi dettagliata dei processi aziendali e dei servizi offerti, oltre che dei fornitori coinvolti, al fine di identificare, analizzare e mappare i dati personali trattati. Questo include una valutazione delle modalità di trattamento, nonché dei sistemi e delle tecnologie utilizzate per la conservazione, l’elaborazione e la trasmissione dei dati personali. Successivamente, esaminiamo le attuali misure e i controlli organizzativi e tecnologici adottati per garantire la sicurezza dei dati personali. Questi includono aspetti come la sicurezza dell’ambiente informatico e dei dispositivi, la gestione degli accessi ai sistemi informatici, la sicurezza delle reti, lo scambio di dati e le comunicazioni, nonché la sicurezza nell’utilizzo e nella movimentazione degli strumenti informatici e dei supporti di memorizzazione dati.

Infine, valutiamo il livello di adeguatezza del sistema aziendale attuale per la gestione della privacy e la protezione dei dati personali, confrontandolo con le migliori pratiche e gli standard di settore, come ISO, NIST, eccetera, nonché con i requisiti normativi previsti dalla LPD e dal GDPR. In base a questa valutazione, forniamo raccomandazioni per colmare eventuali lacune identificate.

👉 Valutazione del Rischio LPD / GDPR

Il nostro servizio di “Valutazione del Rischio LPD / GDPR” si concentra sull’analisi dei potenziali danni che potrebbero subire le persone cui appartengono i dati personali in caso di violazioni della sicurezza dei dati. Queste violazioni possono compromettere la riservatezza, l’integrità e la disponibilità dei dati personali trattati dall’organizzazione.

Iniziamo con un’analisi dettagliata della probabilità di accadimento di tali violazioni della sicurezza dei dati personali. Successivamente, valutiamo i livelli di rischio associati a queste potenziali violazioni, che devono essere gestiti dall’organizzazione. Per i rischi considerati eccessivamente elevati, forniamo suggerimenti e linee guida per contrastarli e ridurli efficacemente.

👉 Rimedi LPD / GDPR

Il nostro servizio di “Rimedio LPD / GDPR” si propone di individuare e pianificare gli interventi necessari per garantire la piena conformità normativa alla LPD / GDPR e assicurare un adeguato livello di sicurezza dei dati personali trattati. Supportiamo l’organizzazione nell’implementazione del Piano di Rimedio.

Gli interventi possono includere, ma non sono limitati a:

La creazione di informative sulla privacy
L’elaborazione di politiche sulla privacy e sui cookie
La redazione di dichiarazioni di consenso
La stipula di contratti con il responsabile del trattamento
La nomina di soggetti autorizzati
La redazione di accordi di riservatezza (Non-Disclosure Agreement)
L’elaborazione di Regole Corporate Vincolanti (Binding Corporate Rules)
La creazione di un Manuale sulla Privacy
La definizione di politiche e procedure operative per garantire la conformità normativa e la sicurezza dei dati.

Il nostro obiettivo è assistere l’organizzazione nell’attuazione di queste misure per garantire una gestione completa e sicura dei dati personali, conformemente alle normative vigenti.

👉 Consulenza Privacy

Il nostro servizio di “Consulenza Privacy” offre al management dell’organizzazione l’opportunità di avere accesso a un consulente fidato di Virtual & Physical Risk Management per ricevere supporto specialistico in materia di gestione della privacy, protezione dei dati personali e conformità alla LPD / GDPR. Il consulente è disponibile per fornire assistenza su misura, adattandosi alle esigenze specifiche del cliente e intervenendo quando necessario. Siamo qui per garantire un supporto competente e professionale per affrontare le sfide legate alla privacy e alla protezione dei dati personali.

👉 Responsabile della Protezione dei Dati (DPO)

Il nostro team di esperti presso Virtual & Physical Risk Management è pronto a svolgere il ruolo di “Responsabile della Protezione dei Dati” (DPO), come previsto dal Regolamento Europeo 2016/679 (“GDPR”) e dalla nuova Legge sulla Protezione dei Dati (LPD). Il nostro team è coordinato da un consulente di riferimento altamente qualificato.

Tra i compiti assegnati al DPO vi sono:

Monitorare e garantire il rispetto delle normative e delle politiche generali sulla protezione dei dati personali da parte del management dell’organizzazione.
Pianificare ed eseguire attività di audit specifiche e preparare relazioni dettagliate per il management e, se richiesto, per l’Autorità di Controllo competente (come ad esempio l’Incaricato Federale per la Protezione dei Dati e della Trasparenza in Svizzera).
Essere il punto di contatto primario per l’Autorità di Controllo su tutte le questioni relative al trattamento dei dati personali da parte dell’organizzazione. Facilitare l’accesso dell’Autorità di Controllo ai documenti e alle informazioni necessarie per adempiere ai propri compiti, nonché agevolare l’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi.
Raccogliere le richieste degli interessati e analizzarle per definire una risposta adeguata alle loro domande relative al trattamento dei loro dati personali e all’esercizio dei loro diritti.

Il nostro obiettivo è fornire un supporto completo e professionale per garantire il pieno rispetto delle normative sulla protezione dei dati e la gestione efficace delle richieste degli interessati.

👉 Formazione sulla LPD / GDPR

Il nostro team di esperti presso Virtual & Physical Risk Management offre servizi di formazione dedicati alla privacy e alla protezione dei dati personali, conformemente alla LPD / GDPR. Siamo in grado di fornire formazione sia in aula che tramite webinar online o corsi in modalità e-learning, adattandoci alle esigenze specifiche dell’organizzazione. Se sei interessato, ti invitiamo a esplorare la nostra offerta formativa.