A settembre 2023 entrerà in vigore la nuova legge sulla protezione dei dati. Cosa c’è da sapere
Ruolo e funzioni del Data Protection Officer, nume tutelare dei dati personali
In base alla normativa italiana, il DPO (Data Protection Officer) è una figura prevista dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, che si applica anche in Italia. Il DPO ha il compito di supervisionare e garantire la conformità alle disposizioni in materia di protezione dei dati personali all’interno di un’organizzazione. Le principali funzioni del DPO secondo la legge italiana includono:
- Consulenza e supporto: Il DPO fornisce consulenza e supporto all’organizzazione e ai suoi dipendenti riguardo alla protezione dei dati personali e alle responsabilità connesse.
- Monitoraggio della conformità: Il DPO monitora la conformità dell’organizzazione alle normative sulla protezione dei dati personali, compreso il GDPR. Questo coinvolge l’analisi dei processi e delle operazioni aziendali per assicurarsi che siano allineati alle disposizioni normative.
- Valutazione degli impatti sulla protezione dei dati: Il DPO valuta gli impatti sulla protezione dei dati personali derivanti dalle attività dell’organizzazione, ad esempio dalla gestione di dati sensibili o dall’implementazione di nuovi sistemi informativi.
- Collaborazione con l’autorità di controllo: Il DPO funge da punto di contatto tra l’organizzazione e l’autorità di controllo competente in materia di protezione dei dati. Questo include la comunicazione di violazioni dei dati personali e la cooperazione con l’autorità di controllo durante le indagini.
- Sensibilizzazione e formazione: Il DPO promuove la consapevolezza sulla protezione dei dati personali all’interno dell’organizzazione. Ciò può includere la realizzazione di programmi di formazione per i dipendenti sull’importanza della protezione dei dati e sulle migliori pratiche da seguire.
- Audit e revisione: Il DPO esegue audit interni per verificare la conformità alle politiche e alle procedure di protezione dei dati personali. Inoltre, può svolgere revisioni periodiche dei sistemi e dei processi aziendali per garantire che siano adeguatamente protetti.
- Risposta alle richieste degli interessati: Il DPO gestisce le richieste degli interessati, come l’esercizio dei diritti degli interessati (ad esempio, l’accesso, la rettifica o la cancellazione dei dati personali) e fornisce le informazioni necessarie.
È importante sottolineare che le funzioni specifiche del DPO possono variare a seconda delle esigenze e delle dimensioni dell’organizzazione. Tuttavia, queste sono le principali funzioni che un DPO deve svolgere secondo la legge italiana in conformità con il GDPR.
Normativa in evolzione: nuove regole in arrivo a settembre 2023
Il 1° settembre 2023 entreranno in vigore la nuova legge e la nuova ordinanza sulla protezione dei dati. Nel frattempo, sarà importante iniziare a informarsi in merito.
- A chi si applica la nuova legge?
- Cosa si intende per “dati personali” e per “trattamento”?
- E ora?
- Punibilità
- Come applicare tutto ciò?
Ecco cosa accadrà l’anno prossimo: il 1° settembre 2023 entrerà in vigore la revisione completa della legge federale sulla protezione dei dati (LPD) e dell’ordinanza sulla protezione dei dati (OPDa), già approvata dal Parlamento nel settembre del 2020. Inizialmente, la Confederazione aveva previsto l’entrata in vigore di questi ordinamenti giuridici già nella seconda metà del 2022, salvo poi decidere di andare incontro alle aziende e ai relativi responsabili della protezione dei dati e di concedere loro il tempo sufficiente per prepararsi. A partire da settembre del prossimo anno, però, si fa sul serio. Fino ad allora, sarà ancora possibile analizzare criticamente le proprie attività di trattamento dei dati e prepararsi al meglio alla nuova legge.
A chi si applica la nuova legge?
La legge sulla protezione dei dati e la relativa ordinanza si applicano al trattamento dei dati personali da parte di privati (e organi federali). Di conseguenza, a essere interessate sono le aziende private, le associazioni e, in linea generale, anche le persone private. Mentre di norma le aziende e le associazioni non possono eludere l’osservanza della legge sulla protezione dei dati, le persone private sono esentate dal rispetto dei requisiti in materia di protezione dei dati, purché trattino i dati personali esclusivamente per scopi privati. Tuttavia, la deroga “per uso personale” si applica solo alle attività di trattamento dei dati nell’ambito della vita privata e familiare (famiglia ristretta e amici), nel quale normalmente non rientra un sito web pubblico. Di conseguenza, i gestori privati di siti web, al pari di quelli commerciali, sono di regola interessati dalla nuova LPD e OPDa.
Cosa si intende per “dati personali” e per “trattamento”?
Per “dati personali” si intendono tutti i dati relativi a una persona fisica identificata o identificabile. A livello pratico, questa definizione può assumere contorni molto ampi e, a seconda delle circostanze, può includere persino un semplice indirizzo IP.
Anche il termine “trattamento” può avere un’accezione ampia, arrivando a comprendere, in realtà, quasi tutte le attività immaginabili al riguardo. Tra queste rientrano, ad esempio, l’acquisizione, la memorizzazione, la conservazione, l’utilizzo, la modifica, la divulgazione, l’archiviazione, la cancellazione o la distruzione dei dati. A tal proposito, non sono previste variazioni rispetto alla legge attualmente in vigore. La revisione introduce piuttosto una semplificazione, in quanto ora la LPD e la OPDa non sono più applicabili in caso di trattamento di dati relativi a persone giuridiche. Attenzione, però: i collaboratori di un’azienda continuano a essere protetti dalla LPD anche con la nuova legge.
E ora?
La legge sulla protezione dei dati impone ai titolari del trattamento numerosi obblighi, alcuni nuovi, altri già previsti dalla versione attuale. Di seguito è riportata una panoramica degli obblighi più importanti per i titolari.
Principi del trattamento dei dati
La revisione non prevede variazioni significative in merito ai principi del trattamento, pertanto le attività di trattamento dei dati attualmente consentite dovrebbero di regola restare tali anche con la nuova legge. Il trattamento dei dati personali può avvenire soltanto in modo lecito, in buona fede e secondo il principio di proporzionalità. È importante che i dati vengano trattati solo per le finalità per cui sono stati raccolti e che queste siano riconoscibili anche dalla persona interessata (destinazione vincolata). Qualora i dati personali vengano trattati in modo non conforme ai principi in materia di protezione dei dati (ad es. per finalità diverse), si può incorrere in una violazione della personalità della persona interessata. Tuttavia, un’azione di questo genere può essere giustificata da un interesse privato o pubblico preponderante (ad es. il trattamento dei dati strettamente correlato a un contratto) o dal consenso della persona interessata.
Cancellazione dei dati personali
I dati personali devono essere cancellati o resi anonimi quando non sono più necessari per le finalità del trattamento.
Registro delle attività di trattamento
Le aziende e le organizzazioni con almeno 250 collaboratori sono obbligate a tenere un registro di tutte le attività di trattamento. In linea generale, le aziende con meno di 250 collaboratori sono esonerate da tale obbligo, a meno che non vengano trattati su vasta scala dati personali che necessitano di particolare protezione o vengano effettuate profilazioni ad alto rischio.
Obblighi di informazione e informativa sulla privacy
In caso di trattamento dei dati personali, le persone interessate devono essere informate in merito all’estensione e alle finalità del trattamento. Solitamente ciò avviene attraverso un’informativa sulla privacy. A tal fine, è consigliabile tener conto dei seguenti suggerimenti:
- Si dovrebbero fornire informazioni su tutte le attività di trattamento dei dati, non solo sul trattamento dei dati all’interno del sito web.
- L’informativa sulla privacy dovrebbe essere facilmente accessibile in un sito web e dovrebbe trovarsi preferibilmente nel footer di ogni pagina.
- Le informative sulla privacy non dovrebbero richiedere l’accettazione da parte dell’utente (ad es. nel caso di formulari); si dovrebbe piuttosto indicare dove è possibile trovarle.
- Tenere presente che, a causa dei nuovi e più severi obblighi di informazione, potrebbe essere necessario adattare le informative sulla privacy esistenti.
Ulteriori informazioni:
In un precedente articolo pubblicato sul blog di Hostpoint, lo studio legale VISCHER aveva raccolto consigli importanti e utili per redigere un’informativa sulla privacy per il proprio sito web:
Come scrivere una buona informativa sulla privacy per il proprio sito web
Responsabile del trattamento
Con provider come Hostpoint, che trattano i dati personali per conto del titolare, si dovrebbe stipulare un contratto di nomina a responsabile del trattamento dei dati (chiamato anche Data Processing Agreement o DPA). Anche in questo caso è consigliabile tener conto dei seguenti suggerimenti:
- Tale contratto dovrebbe contenere misure tecniche e organizzative che il provider IT è tenuto a rispettare (cfr. anche il paragrafo relativo alla sicurezza dei dati di seguito e sull’art. 32 del RGPD.
- In linea generale, un DPA conforme al Regolamento europeo sulla protezione dei dati (RGPD) è sufficiente anche in Svizzera, ma deve fare esplicito riferimento alla LPD.
- Si dovrebbe regolamentare il coinvolgimento di altri soggetti terzi da parte del responsabile del trattamento.
Info:
I clienti di Hostpoint possono stipulare un accordo DPA direttamente nel Pannello di controllo Hostpoint alla voce “ADMIN” e “Contratti”.
Sicurezza dei dati
L’accesso ai dati personali dovrebbe essere consentito solo alle persone (come collaboratori o membri di associazioni) che ne hanno realmente bisogno, ad esempio per l’esercizio delle proprie funzioni. L’osservanza di tali disposizioni dovrebbe essere garantita tramite l’adozione di misure tecniche e organizzative (TOMs). Tra le misure tecniche si annoverano, ad esempio, diritti di accesso limitati o firewall, mentre tra quelle organizzative rientrano corsi di formazione e direttive. I siti web e gli altri sistemi IT dovrebbero essere tenuti aggiornati da un punto di vista tecnico, in modo da evitare lacune nella sicurezza che potrebbero avere conseguenze devastanti.
Tuttavia, qualora venga violata la riservatezza, l’integrità o la disponibilità dei dati personali, con conseguente rischio elevato per le persone interessate, tale violazione deve essere segnalata all’incaricato federale della protezione dei dati e della trasparenza (IFPDT). Il Consiglio federale prevede inoltre di introdurre l’obbligo di segnalare ciberattacchi a infrastrutture critiche. In questi casi, si dovrebbe informare anche il Centro nazionale per la cibersicurezza (NCSC) e sarebbe bene farsi consigliare per agire correttamente.
Divulgazione dei dati all’estero
Qualora i dati vengano divulgati all’estero, il Paese deve disporre di un livello adeguato di protezione dei dati oppure è necessario adottare misure aggiuntive. Tale requisito è già previsto dalla legge attualmente in vigore. Con “divulgazione all’estero” non si intende solo una trasmissione attiva dei dati, ma anche un accesso remoto, ad esempio. Il termine “divulgazione” può quindi assumere contorni più ampi rispetto a quanto inizialmente ipotizzato. Tra le misure che si dovrebbero adottare si annoverano la stipula di clausole contrattuali standard (“EU SCC”) e le integrazioni necessarie per la Svizzera (“Swiss amendments”).
Verificare i fornitori di servizi e i provider impiegati per il proprio sito web e per altre offerte. Qualora si trovino all’estero, accertarsi che il rispettivo Paese disponga di un’adeguata protezione dei dati e, in caso contrario, di aver adottato le misure aggiuntive necessarie.
Con l’entrata in vigore della legge sulla protezione dei dati completamente rivista, anche i gestori di siti web dovranno prestare attenzione ad alcuni aspetti. (Fonte immagine: unsplash.com)
Diritti delle persone interessate
Le persone i cui dati personali sono oggetto di trattamento hanno il diritto di ottenere informazioni sui propri dati. Queste dovrebbero essere fornite, di norma, entro 30 giorni e senza alcun costo per il soggetto interessato. Inoltre, le persone possono avvalersi del diritto di richiedere la correzione di dati errati o la cancellazione di dati. Si tratta tuttavia di diritti non assoluti e per i quali sono previste delle restrizioni.
Consenso
Qualora sia richiesto un consenso per il trattamento dei dati, la persona interessata deve essere informata delle conseguenze del consenso, il quale deve essere fornito spontaneamente. Nel caso di dati personali che necessitano di particolare protezione (ad es. dati sanitari) o di profilazioni ad alto rischio, il consenso deve essere prestato esplicitamente.
“Privacy by Default” e “Privacy by Design”
Con questi concetti si intendono la protezione per impostazione predefinita e la protezione dei dati a partire dalla progettazione. Nella nuova legge viene introdotto l’obbligo di adottare i provvedimenti tecnici e organizzativi necessari affinché le attività di trattamento dei dati rispettino la legge sulla protezione dei dati e affinché le impostazioni predefinite siano il più possibile compatibili con la protezione dei dati. Qualora i gestori di siti web, app o altri software offrano impostazioni diverse per la protezione dei dati, deve essere definita come impostazione standard sempre l’opzione più compatibile con la protezione dei dati. Ad esempio, su un sito web con un’area membri in cui gli utenti registrati possono decidere se consentire agli altri utenti di visualizzare o meno il proprio nome, la visibilità del nome deve essere disattivata nelle impostazioni standard.
Segreto professionale minore
Ai segreti professionali generalmente noti (ad es. segreto professionale degli avvocati o segreto medico) si è aggiunto quello relativo alla legge sulla protezione dei dati. I dati personali segreti che sono stati affidati nell’ambito di un’attività professionale devono essere mantenuti tali. Se si sceglie di non garantire la segretezza dei dati, è necessario chiarirlo in anticipo o rivelare i soggetti con i quali si potrebbero condividere i dati. Si parla di dati personali segreti quando questi non sono comunemente noti e la persona interessata desidera tutelare la segretezza degli stessi. Ciò non significa, però, che i dati personali non segreti possano essere divulgati senza restrizioni. Anche per questi ultimi la divulgazione è consentita solo nel rispetto della legge sulla protezione dei dati.
Valutazione d’impatto sulla protezione dei dati
Qualora siano previste nuove attività di trattamento dei dati che potrebbero comportare un rischio elevato per le persone interessate, è necessario condurre una valutazione d’impatto sulla protezione dei dati nella quale documentare sia le intenzioni precise, sia le misure appropriate per tutelare le persone interessate.
Consulente per la protezione dei dati e rappresentante in Svizzera
La nuova legge sulla protezione dei dati prevede la possibilità di nominare un consulente per la protezione dei dati all’interno dell’azienda. Tuttavia, non vi è alcun obbligo in tal senso. Occorre fare una distinzione tra consulente facoltativo per la protezione dei dati ai sensi del diritto svizzero e responsabile della protezione dei dati ai sensi del RGPD. In determinate circostanze, quest’ultimo è addirittura obbligatorio ove sia applicabile il RGPD.
A talune condizioni, i titolari con sede all’estero che trattano dati personali in Svizzera devono nominare un rappresentante in Svizzera. Ciò accade nei seguenti casi:
- Quando il trattamento dei dati è correlato all’offerta di beni e servizi o al monitoraggio del comportamento di persone in Svizzera.
- Quando il trattamento avviene regolarmente e su ampia scala.
- Quando il trattamento dei dati comporta un rischio elevato per la persona interessata.
Punibilità
In relazione alla punibilità, si deve tener conto in particolare del fatto che, a partire dal 1° settembre 2023, la violazione di alcuni obblighi comporterà una punibilità che, a differenza del RGPD, non riguarda l’azienda, ma la persona fisica responsabile. Le persone responsabili possono essere membri della direzione o altre persone con poteri decisionali all’interno dell’azienda, ma anche persone che hanno commesso una violazione degli obblighi (ad es. violazione della segretezza). Secondo il diritto svizzero, però, è punibile solo la violazione dolosa.
In particolare, sono punibili con una multa fino a CHF 250 000.– le seguenti fattispecie:
- Violazione degli obblighi di informazione (ad es. informativa sulla privacy assente o insufficiente)
- Assenza di contratto con il responsabile del trattamento
- Violazione della sicurezza dei dati (violazione di riservatezza, disponibilità o integrità dei dati, TOMs)
- Divulgazione di dati personali in Paesi che non dispongono di un livello adeguato di protezione dei dati, senza l’adozione di misure di protezione aggiuntive o la possibilità di applicare una deroga (ad es. consenso)
- Violazione degli obblighi di informazione
- Violazione del “segreto professionale minore”
Come applicare tutto ciò?
È consigliabile nominare una persona che, all’interno dell’azienda, dell’organizzazione o anche di un’associazione, si occupi alla protezione dei dati. Non si tratta di un consulente per la protezione dei dati ai sensi della legge (vedere sopra), ma di una persona che, all’interno dell’azienda o dell’associazione, acquisisce conoscenze di base in materia di protezione dei dati e che, in caso di domande in merito, funge anche da referente all’interno dell’azienda. Può acquisire le competenze di base necessarie attraverso fonti pubbliche o corsi di perfezionamento e, se necessario, può ricorrere a un supporto esterno.