IT
Copia di Big Cover (7) (1) (1)
IDEAS

La nuova legge svizzera sulla protezione dei dati (nLPD)

Technology Advisory

Multicloud, Cyber security, Governance e Compliance per il business dei nostri Clienti

Scopri di più

In base alla recente decisione del Consiglio federale, la revisione totale della legge sulla protezione dei dati (nLPD) e le relative disposizioni esecutive entreranno in vigore il 1° settembre 2023.

La comunità economica e l'Amministrazione federale dispongono, quindi, di un anno per adottare le misure necessarie per l'attuazione della nuova legge.

Vediamo cosa cambia per le aziende e come Lutech può supportarle nel percorso di adeguamento richiesto dalla nuova normativa.

Tra obiettivi di adeguamento ed eurocompatibility

Come chiarito dall’Incaricato federale della protezione dei dati e della trasparenza (IFTP), il corrispondente svizzero dell’italiana Autorità Garante per la Protezione dei dati, la prima legge svizzera sulla protezione dei dati è entrata in vigore nel lontano 1993, «quando Internet non era ancora usato a scopi commerciali e non era possibile prevedere una realtà digitale caratterizzata dall’onnipresenza degli smartphone». Dopo una revisione parziale nel 2008, si è quindi reso necessario apportare ulteriori adeguamenti per stare al passo con il repentino sviluppo tecnologico e garantire una protezione dei dati moderna alla popolazione che usa quotidianamente strumenti digitali quali il cloud computing, i big data e i social network.

La compatibilità del diritto svizzero con quello europeo, e in particolare con il Regolamento europeo sulla protezione dei dati (GDPR), costituisce un altro tema principale della nuova legge. La nLPD, infatti, si pone l’obiettivo di preservare la libera circolazione dei dati con l’Unione europea ed evitare, così, la perdita di competitività delle imprese svizzere.

Nei settori che non riguardano la cooperazione istituita da Schengen, infatti, la Svizzera è considerata uno Stato terzo. Lo scambio di dati tra uno Stato terzo e gli Stati membri dell’Unione europea può essere effettuato soltanto se lo Stato terzo garantisce un livello di protezione adeguato. Tale livello di protezione è verificato periodicamente dalla Commissione europea che, nell’ultima decisione di adeguatezza (26 luglio 2000), ha confermato che la Svizzera dispone di una protezione adeguata dei dati. Tuttavia, l’entrata in vigore del GDPR ha reso necessario per quest’ultima disporre di una legislazione conforme ai requisiti del Regolamento (UE) 2016/679.

La strategia europea per la cybersecurity

Un piano di azioni progettato per migliorare la sicurezza e la resilienza informatica delle infrastrutture e dei servizi nazionali

Big Cover - 2021-03-11T124805.787 (1) Vai all'ideas

Come cambia la normativa e quali sono in nuovi obblighi per le aziende?

Data Breach: i nuovi scenari

Come reagire correttamente e tempestivamente alla violazione della sicurezza in azienda?

data breach_landscape image Vai all'ideas

La nLPD, rispetto alla precedente versione della legge sulla protezione dei dati, introduce principalmente i seguenti cambiamenti:

  • È cambiato il perimetro del concetto di “dato personale” e di “trattamento”: solo i dati delle persone fisiche sono oggetto di tutela e i dati genetici e biometrici entrano nella definizione dei dati sensibili;
  • Assume valore il la nozione di profilazione (cioè il trattamento automatizzato dei dati personali);
  • Le aziende devono:
    • seguire i principi di "Privacy by Design" e di "Privacy by Default";
    • effettuare delle analisi d’impatto in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate;
    • fornire obbligatoriamente l’informativa alla raccolta di tutti i dati personali – e non più unicamente di quelli “sensibili";
    • mantenere un registro delle attività di trattamento;
    • notificare tempestivamente i casi di violazione della sicurezza dei dati all’IFTP.

Campo di applicazione personale e territoriale

La nuova LPD mira a soddisfare l’esigenza di rafforzare e garantire il più a lungo possibile l’autodeterminazione informativa dei cittadini e la loro sfera privata. Per tale motivo, la nLPD – come sopra accennato –  ha esclusivamente lo scopo di proteggere la personalità delle persone fisiche di cui vengono trattati i dati, mentre non tratta più i dati di persone giuridiche quali società commerciali, associazioni o fondazioni, rendendo così il suo ambito di applicazione conforme al GDPR (art.2).

Per quanto riguarda il campo di applicazione territoriale, l’art. 3 specifica che la nuova LPD si applica alle fattispecie che generano effetti in Svizzera, anche se si verificano all’estero.

Il Consiglio Federale, in attuazione dell’art. 8, definirà i requisiti minimi in materia di sicurezza. In attesa di ulteriori disposizioni, le aziende svizzere saranno comunque tenute a controllare la conformità dei processi di trattamento dei dati e ad adeguarsi alle previsioni della nLPD. Per quanto riguarda, invece, quelle europee, in alcuni casi si renderà necessario nominare un Rappresentante che funga da interlocutore per le persone interessate e per l’IFPDT.

La proposta europea per la direttiva NIS2

L’UE ha presentato la proposta di direttiva in materia di misure per un livello comune di sicurezza informatica

Big Cover - 2021-03-24T115356.816 (1) Vai all'ideas

Sanzioni

La DPIA nell’IoT

Quali sono i principali rischi nell’utilizzo di tecnologie e sistemi IoT e come comportarsi per ridurli il più possibile?

Big Cover - 2021-12-09T174133.773 (1) Vai all'ideas

Le organizzazioni sono chiamate a rispettare nuovi principi e tale richiesta viene corredata da una serie di sanzioni di tipo pecuniario particolarmente importanti comminate direttamente dalle autorità di perseguimento cantonali. L’IFPDT, infatti, continuerà a non avere la facoltà di pronunciare sanzioni, ma potrà comunque interagire nel processo come “accusatore privato” (art. 65 cpv. 2).

Nella nuova LPD, infatti, sono previste multe per privati fino a 250.000 franchi (art. 60). Alcuni obblighi, se non rispettati, possono essere perseguiti a querela di parte, mentre altri d’ufficio.  

Se, per ora, sono punibili con multa solo le persone fisiche operanti all’interno dell’organizzazione, in considerazione della loro attività illecita, potranno esserlo anche le imprese fino a 50.000 franchi, se la ricerca della persona fisica all’interno dell’organizzazione esige un onere sproporzionato.

Affidati a un esperto

Il Team Cybersecurity & Data Protection Advisory di Lutech è un team multidisciplinare composto da esperti di processo, avvocati ed ingegneri che supporta da anni le aziende

  • nell’assessment sullo stato di adeguamento al GDPR e alle normative privacy di settore applicabili;
  • con piani di rimedio strutturati e soppesati in base alla obbligatorietà e alla fattibilità;
  • accompagnando il Chief Executive Officer, i Chief Cyber Security Officer e i Privacy Manager nella compliance normativa con consulenza strategica e tattica;
  • eseguendo se necessario il day by day implementativo.

In particolare, il Team Cybersecurity & Data Protection Advisory di Lutech offre consulenza specifica nei seguenti ambiti:

  • implementazione dei principi di "Privacy by Design" e di "Privacy by Default";
  • redazione di analisi d’impatto privacy e cybersecurity in caso di rischio elevato per i diritti fondamentali delle persone interessate;
  • redazione di tutti i tipi di informativa, con o senza raccolta di consenso, cartacee o tramite moduli online;
  • redazione e mantenimento del registro delle attività di trattamento;
  • notifica dei casi di violazione della sicurezza dei dati.

Data Loss Prevention e sicurezza dei dati aziendali

La soluzione è disporre di misure di sicurezza sufficienti per evitare una perdita o divulgazione dei dati

data loss prevention Vai all'ideas
Contatta il Team Advisory di Lutech

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

Case history

ideas

Vision & Trends sulla Digital Transformation