* INSIGHT / DIGITAL STRATEGY/ 01
Nuova legge sulla protezione dei dati (nLPD)
La Svizzera si dota di una nuova legge per meglio proteggere i dati dei propri abitanti. Le imprese del Paese devono adeguarsi a partire dal 1° settembre 2023.
* nLPD / Privacy Policy/ 02
Una nuova legge necessaria
La prima legge federale sulla protezione dei dati risale al 1992. Nel frattempo la popolazione svizzera ha introdotto l’uso di internet e degli smartphone nel suo quotidiano e ricorre sempre più frequentemente alle reti sociali, ai cloud o all’internet delle cose. In questo contesto, un rimaneggiamento completo della legge sulla protezione dei dati – e non più solo parziale come nel 2009 e 2019 – è indispensabile per assicurare alla popolazione una protezione dei suoi dati adeguata e adattata alle evoluzioni tecnologiche e sociali della nostra epoca.
Quali sono i cambiamenti principali?
La nLPD introduce i seguenti otto cambiamenti principali per le imprese.
1. Solo i dati delle persone fisiche saranno da ora in poi coperti, e non più quelli delle persone giuridiche.
2. I dati genetici e biometrici entrano nella definizione dei dati sensibili.
3. Vengono introdotti i principi di "Privacy by Design" e di "Privacy by Default". Come indicato dal nome, il principio di "Privacy by Design" (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il principio di "Privacy by Default" (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti.
4. Devono essere condotte delle analisi d’impatto, in caso si rischio elevato per la personalità o per i diritti fondamentali delle persone interessate.
5. Viene esteso il diritto di informare: la raccolta di tutti i dati personali – e non più unicamente di quelli detti sensibili – deve portare all’informazione preventiva della persona interessata.
6. Diventa obbligatorio allestire un registro delle attività di trattamento.
7. È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT).
8. La nozione di profilazione (cioè il trattamento automatizzato dei dati personali) entra a far parte della legge.
2. I dati genetici e biometrici entrano nella definizione dei dati sensibili.
3. Vengono introdotti i principi di "Privacy by Design" e di "Privacy by Default". Come indicato dal nome, il principio di "Privacy by Design" (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il principio di "Privacy by Default" (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti.
4. Devono essere condotte delle analisi d’impatto, in caso si rischio elevato per la personalità o per i diritti fondamentali delle persone interessate.
5. Viene esteso il diritto di informare: la raccolta di tutti i dati personali – e non più unicamente di quelli detti sensibili – deve portare all’informazione preventiva della persona interessata.
6. Diventa obbligatorio allestire un registro delle attività di trattamento.
7. È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT).
8. La nozione di profilazione (cioè il trattamento automatizzato dei dati personali) entra a far parte della legge.