La nuova Legge Federale sulla Protezione dei Dati LPDLa Nuova Legge Federale sulla Protezione dei Dati LPD

La Legge Federale sulla Protezione dei Dati ovvero LPD è stata approvata e pubblicata, il 25 settembre 2020 più precisamente.

Questa legge consentirà alla Confederazione Elvetica di affiancarsi ai criteri europei Reg. UE 2016/679 conosciuta come GDPR e di richiedere finalmente il riconoscimento di adeguatezza.

La Legge è ancora soggetta a possibilità di referendum per i 100 giorni successivi alla pubblicazione ma entro l’inizio del 2022 entrerà in vigore.

Quali sono le principali novità previste da questa Legge?

La legge si applica a tutte le attività che in qualunque modo trattano i dati, sia in Svizzera che all’estero

Profilazione

Tra le ultime novità introdotte vi è il principio della profilazione ad alto rischio, applicando maggiori tutele per i cittadini elvetici preservandone la privacy da queste tipologie di profilazione automatizzata e con elevati rischi sulla riservatezza o diritti fondamentali; come al raffronto su larga scala in banche dati estere e distribuite da parte dei colossi informatici.

Richiesta di Consenso

La nuova Legge introduce il consenso obbligatorio da parte degli interessati, quando il trattamento dei dati riguarda:

– Dati particolari e giudiziari per il GDPR;
– La profilazione a rischio elevato sistemica messa in atto da soggetti privati;
– Qualunque profilazione messa in atto da qualunque organo federale.

Sicurezza dei dati personali

E’ fatto obbligo per il Titolare e il Responsabile del trattamento, garantire con le dovute misure tecniche e amministrative, l’adeguamento alla sicurezza di tutti i dati personali raccolti.

La prevenzione in ambito di sicurezza al fine di evitare violazioni e data breach verrà dettagliatamente descritta dal Consiglio Federale con precise disposizioni e misure minime da adottare.

Tra le misure di sicurezza dei dati, diviene necessario per tutte le attività, applicare un piano di backup e disaster recovery, per garantire la salvaguardia delle informazioni in qualunque casistica.

Obbligo di notifica delle violazioni

Diviene obbligo per il Titolare del trattamento, notificare all’IFPDT qualunque violazione della sicurezza dei dati che possa mettere a rischio la privacy .

In alcune circostanze particolarmente gravi sarà necessario comunicare l’evento anche ai soggetti interessati.

Sarà possibile cedere l’affido del trattamento dei dati ad un soggetto terzo; il quale però dovrà comunque garantire al pari tutte le misure richieste per garantirne la sicurezza.

Chi gestirà in affido i dati per conto di terzi non potrà subappaltare tale trattamento senza espressa autorizzazione da parte del Titolare del trattamento.

Privacy Policy e LPDFigure di Consulenza per la protezione dei dati

I titolari del trattamento avranno l’obbligo di nominare dei consulenti per la gestione e protezione dei dati (CPD), il corrispettivo del DPO in ambiente GDPR.

Il CPD è la figura che si interfaccerà con i soggetti trattati e le autorità come l’IFPDT; questa figura è inoltre essenziale per la valutazione di impatto (DPIA)

Gestione del Registro delle attività di Trattamento

Sia il Titolare che il responsabile del trattamento dovranno tenere un registro delle rispettive attività tra cui lo scopo del trattamento, le categorie di persone interessate dal trattamento, la durata ed altre informazioni indicate nell’LPD.

Obbligo di rappresentanza per aziende extra Confederazione

Tutte le aziende esterne alla Confederazione ma che in qualche modo trattano dati di cittadini svizzeri, saranno tenute a designare un rappresentante nella Confederazione

Tuttavia l’obbligo si applica unicamente a quelle aziende che trattano periodicamente beni o servizi e che monitorano attraverso sistemi di dati su larga scala e che comportano quindi un rischio elevato per la privacy degli interessati.

Diritti dei soggetti trattati

I soggetti interessati dal trattamento dei dati, hanno diritto di ottenere tutte le informazioni inerenti alla raccolta dei loro dati, quindi conoscere l’identità del Titolare, lo scopo del trattamento, l’origine, il luogo, la durata e le logiche utilizzate.

La Legge sulla protezione dei dati ha inoltre introdotto il diritto alla portabilità del dato e lasciati inalterati il diritto all’accesso e le relative tempistiche (entro 30 giorni dalla richiesta).

Obbligo di Valutazione d’Impatto

Viene fatto obbligo all’azienda di effettuare una Valutazione d’Impatto sulla protezione dei dati (DPIA) la dove può esserci un rischio elevato per la sicurezza dei dati e diritti fondamentali della persona.

Viene tuttavia concesso l’utilizzo di strumenti, tool e certificazioni come supporto al conseguimento della Valutazione d’Impatto.

Sanzioni Amministrative

Tra le novità vi è la concessione di maggiori poteri per gli incaricati federali che dovranno sorvegliare sulle modalità di trattamento da parte delle aziende.

Infatti gli ufficiali potranno aprire inchieste con ampi poteri; avranno accesso ai luoghi, possibilità di interrogare, eseguire perizie e accedere ai documenti e registri del trattamento.

Le sanzioni potranno essere applicate fino ad un massimo di 250.000 CHF per chi viola la legge.