La mia ditta 3/2021
La rivista di AXA al servizio delle aziende vi informa tre volte all'anno su temi che interessano i piccoli imprenditori.
La rivista di AXA al servizio delle aziende vi informa tre volte all'anno su temi che interessano i piccoli imprenditori.
- No tags were found...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
PROTEZIONE-DEI-DATI
Note biografiche
formazioni tra l’UE e la Svizzera e scongiurare uno
svantaggio competitivo per le aziende elvetiche.
Chi è interessato?
Pur tenendo conto di alcune peculiarità svizzere, la
revisione si prefigge l’obiettivo di recepire il Regolamento
generale sulla protezione dei dati (RGPD)
dell’UE. Pertanto, le PMI che hanno provveduto a
adeguare i propri processi alle regole europee hanno
già fatto il grosso del lavoro. A tutte le altre si raccomanda
invece di affrontare la questione e di individuare
gli ambiti dell’azienda in cui vengono trattati i
dati personali. Si tratta esclusivamente di quelli delle
persone fisiche, giacché la nuova normativa non fa
più riferimento a quelle giuridiche. Sono interessate
soprattutto le PMI che trattano grandi quantità di
dati personali o di dati personali degni di particolare
protezione, che effettuano profilazioni, gestiscono
shop online, generano decisioni individuali automatizzate
o trasmettono dati personali all’estero (al di
fuori dell’UE).
In pratica, che cosa cambia per le aziende?
• La nLPD prevede obblighi d’informazione più
ampi per le aziende, che dovranno quindi informare
le persone interessate in maniera adeguata
su ogni raccolta di dati, non come finora solo in
presenza di dati degni di particolare protezione;
tale obbligo vale anche nel caso in cui i dati non
vengano raccolti presso la persona interessata.
• In futuro le aziende saranno tenute a documentare
i processi di trattamento dei dati. In compenso
viene meno l’obbligo di tenere un registro
delle raccolte di dati.
• Le aziende avranno l’obbligo di
Heinz Suter, avvocato e
responsabile Legal,
Compliance & Risk
Management dell’assicurazione
di protezione
giuridica AXA-ARAG,
oltre ad essere Legal
Counsel e responsabile
di Compliace & Risk
Management, gestisce il
Sistema di controllo
interno dell’azienda
(SCI) ed è incaricato
della protezione dei
dati.
eseguire una valutazione d’impatto
sulla protezione dei dati se un
trattamento dei dati comporta un
elevato rischio per la personalità o
i diritti fondamentali delle persone
interessate.
• D’ora in poi le violazioni della
sicurezza dei dati dovranno essere
notificate all’incaricato federale
della protezione dei dati e della
trasparenza (IFPDT).
• Le aziende sono tenute a prendere
in considerazione i principi generali
del trattamento dei dati fin dalla
fase di progettazione e sviluppo
delle applicazioni (è il caso di un
sito Internet) e, ad esempio, a non
ottenere attraverso impostazioni
predefinite i consensi delle persone
interessate per trattamenti di dati
che vanno oltre lo stretto necessario.
Quando entra in vigore la nuova
legge?
La nuova LPD entrerà in vigore verso la
metà del 2022 insieme all’Ordinanza
Le misure che le PMI
devono attuare
▶ Verificare ed eventualmente
adeguare la dichiarazione di
protezione dei dati su Internet e
nei documenti pubblicitari e
contrattuali.
▶ Redigere o modificare le
direttive interne relative al
trattamento dei dati. Implementare
un processo interno
che garantisca il trattamento
entro i termini dei diritti delle
persone interessate (ad es.
richieste di accesso o di
cancellazione). Garantire che i
dati personali vengano
cancellati o anonimizzati non
appena non sono più necessari.
▶ Allestire un registro del
trattamento dei dati e implementare
un processo per la
valutazione d’impatto sulla
protezione dei dati, in particolare
se avviene un trattamento
su larga scala di dati degni di
particolare protezione o se
vengono impiegate nuove
tecnologie di trattamento a
rischio elevato.
▶ Verificare i contratti con i
responsabili del trattamento
(terzi). Si consiglia in particolare
di inserire un obbligo di notifica
in caso di violazioni della
sicurezza dei dati e di trasmissione
a submandatari. Accertarsi
che la sicurezza dei dati sia
garantita.
▶ Chiarire in quali paesi sono
comunicati i dati personali e
sincerarsi che la comunicazione
avvenga solo in quelli che
garantiscono una protezione
adeguata. È considerata
comunicazione anche la
registrazione di dati su sistemi
informatici all’estero (cloud).
▶ Implementare un processo per
notificare violazioni della
protezione dei dati.
relativa alla legge federale sulla protezione dei dati
(OLPD) che il Consiglio federale deve ancora emanare.
Entro tale data le aziende dovranno attuare tutte le
prescrizioni in materia di protezione dei dati. Quelle
che non possiedono al loro interno le competenze
necessarie dovrebbero avvalersi di un’assistenza
esterna e richiedere assolutamente una consulenza.
A quali conseguenze si va incontro in caso di inosservanza
della legge?
In caso di violazioni intenzionali della nLPD si rischiano
sanzioni fino a un massimo di 250 000 franchi
nonché un’iscrizione nel casellario giudiziale,
una misura che non riguarda innanzitutto l’azienda,
ma la persona fisica responsabile.
03/2021 15
La mia DITTA