Come probabilmente già saprete, il 1° settembre 2023 segna l’entrata in vigore della nuova normativa
Svizzera sulla protezione dei dati personali. Si tratta di una serie di misure che inaspriscono le regole sul
trattamento dei dati personali armonizzandole con altre normative internazionali, in particolare il GDPR
della UE.
Cosa cambia per le aziende? Le novità sono numerose, e riguardano principalmente i soggetti indicati
come responsabili e le sanzioni. Per aiutarvi a comprendere come intervenire sul vostro sito e nella vostra
azienda, in questo articolo abbiamo pensato di proporvi un piccolo vademecum.
Nuova LPD: le due novità più importanti
Cambia in primo luogo l’ambito di applicazione della nuova legge, che si concentra principalmente sulla
protezione dei dati delle persone fisiche (non più, quindi, le persone giuridiche come in passato). E
persone fisiche sono anche i destinatari delle sanzioni, perché ad essere considerata responsabile non
sarà più l’azienda, ma anche proprietari e dipendenti.
Rinnovate anche le sanzioni, con l’ammenda massima che passa da 10.000 a 250.000 franchi. Sanzioni che
vanno ad applicarsi non più alle aziende, e non solo agli imprenditori, ma anche, ad esempio, al
collaboratore che abbia violato intenzionalmente la legge, con particolare attenzione ai soggetti che
rivestono posizioni apicali (es. i dirigenti), ritenuti responsabili dell’attuazione del sistema interno di
protezione dei dati aziendali.
Il sistema interno di protezione, inoltre, dovrà avere ad oggetto l’obbligo di informazione, misure tecniche
e organizzative per la raccolta e la conservazione dei dati, nonché le modalità di richiesta di informazioni e trasferimento internazionale dei dati. Importante, però, è notare che la nuova legge reprime solo i
comportamenti dolosi, cioè intenzionali.
La violazione delle norme deve essere intenzionale
Si tratta di un’indicazione di massima, che rende consigliabile prestare sempre la massima attenzione alle
modalità di trattamento dei dati. Ciò che è importante sapere, in ogni caso, è che la legge prevede il cd.
dolo eventuale, un elemento intenzionale che ricorre, però, anche quando i soggetti hanno
“semplicemente” agito in modo negligente pur tenendo conto di una eventuale violazione.
Un esempio è il caso in cui, dopo l’entrata in vigore della LPD, non si prenda conoscenza della nuova
normativa e non si adottino quindi le misure necessarie.
Nuova LPD: come devono comportarsi le aziende?
Dato il costante scambio di dati con altri soggetti professionali operanti sul territorio dell’Unione Europea,
oggi sono già molte le aziende svizzere che hanno aggiornato i loro sistemi di protezione dei dati secondo standard estremamente rigorosi. Questo tuttavia non significa, come abbiamo visto sopra, che sia possibile “ignorare” la nuova legge.
Il consiglio è quello di prenderne conoscenza (e agire conseguentemente) il prima possibile, per evitare di
incorrere nelle sanzioni che scattano con l’entrata in vigore della legge. Una reazione istantanea in linea
con la decisione del Consiglio Federale di diffondere il testo della normativa prima della sua entrata in vigore, ma non concedere un cd. periodo transitorio per dare modo alle aziende di adattare i propri
sistemi.
E quali sono gli obblighi per gli imprenditori?
In mancanza di un periodo transitorio, quindi, è necessario agire subito per “mettersi in regola”. In
particolare:
– Dotarsi di strumenti moderni, conformi allo stato dell’arte tecnologico, per gestire i dati di clienti,
collaboratori e altri soggetti:
– Fornire formazione al personale in materia di protezione e sicurezza dei dati;
– Allestire un registro del trattamento dei dati, riportare le indicazioni relative alla LPD sul proprio
sito web, e soddisfare tutti gli altri obblighi in materia di informazione e documentazione.
Come tutelarsi?
A partire dall’entrata in vigore della LPD, clienti, concorrenti o autorità possono richiedere che sia avviata
un’indagine, o anche sporgere denuncia. L’autorità competente agisce anzitutto con un questionario, ma è possibile anche ricorrere a mezzi coercitivi.
Al fine di evitare che l’indagine conduca a un esito negativo e all’applicazione di sanzioni, il consiglio quindi è quello di adottare tempestivamente tutte le misure previste dalla norma, anche eventualmente
rivolgendosi ad esperti in grado di fornire le istruzioni necessarie perché il sistema di protezione dei dati
aziendali risulti pienamente in regola.