Nuova legge sulla protezione dei dati: cosa devono sapere le aziende. La Legge svizzera rivista sulla protezione dei dati entrerà presumibilmente in vigore il 1° settembre 2023. Le aziende dovrebbero cominciare ad adeguarsi sin da oggi. Dominik Buholzer La nuova Legge sulla protezione dei dati (LPD) mette in primo piano la pro- tezione delle cittadine e dei cittadini: le modifiche alla legge puntano a raffor- zare il controllo di ognuno sui propri dati personali. Ora i dati delle persone giuridiche non sono più protetti. In futuro si applicherà un più rigido obbligo d’informazione per l’acquisizione dei dati personali e un obbligo di notifica in caso di violazione della sicurezza dei dati. Allo stesso tempo, le disposi- zioni sono state allineate a quelle della corrispondente legislazione europea. Gli adeguamenti riguardano, tra le altre cose, la decisione automatizzata su sin- goli casi (decisioni prese solamente tra- mite computer) o la stima delle conse- guenze della protezione dei dati (misura atta a identificare i rischi per la privacy dei soggetti interessati e a ridurli con adeguate misure). La nuova LPD preve- de anche un rafforzamento delle san- zioni, con multe fino a 250’000 franchi. Le modifiche più importanti sono: – In futuro le aziende dovranno informa- re in modo adeguato le persone interessate in merito ad ogni acquisi- zione di dati. – La definizione di dati personali partico- larmente sensibili da proteggere è stata estesa e ora comprende anche i dati genetici e biometrici che identifi- cano una persona in modo univoco. – In futuro le aziende dovranno effettua- re una stima delle conseguenze della protezione dei dati nel caso in cui il trattamento dei dati comporti un rischio elevato per la personalità o per i diritti fondamentali della persona coinvolta. – Le aziende hanno l’obbligo di atte- nersi ai principi relativi al trattamento dei dati già in fase di pianificazione e strutturazione delle applicazioni. In particolare, possono avere accesso ai dati solo le persone che ne hanno necessità per svolgere i loro incarichi. E non deve essere possibile, tramite specifiche preimpostazioni, acquisi- re dai soggetti interessati un con- senso che vada oltre il trattamento dei dati strettamente necessario. – Laddove si adottino decisioni indivi- duali in forma automatizzata, ovvero decisioni relative a una persona prese da un computer senza che l’intervento di un essere umano, la persona inte- ressata deve esserne preventivamente informata. Inoltre, alla persona interes- sata viene concesso il diritto di sotto- porre la decisione a un essere umano. – Le aziende sono obbligate a tenere un registro relativo alle attività di tratta- mento dei dati. Costituisce un’ecce- zione il caso di imprese con meno di 250 collaboratori, laddove il loro trattamento dei dati costituisca un rischio ridotto di violazioni dei diritti della persona coinvolta. – In caso di violazione della sicurezza dei dati è necessario inviare tempe- stivamente una notifica all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), se è proba- bile che questa violazione comporti un elevato rischio per le persone interes- sate. Di norma, il titolare del tratta- mento deve inviare una notifica alle persone interessate anche quando ciò sia necessario per la loro protezione oppure venga richiesto dall’IFPDT. – La nuova legislazione sulla prote- zione dei dati si applica, in presenza di determinati requisiti, anche alle aziende estere che operano sul mercato svizzero e trattano dati di persone con domicilio in Svizzera. NUOVA LEGGE SULLA PROTEZIONE DEI DATI 25