5 Gennaio 2023

Svizzera, nuova legge sulla protezione dei dati (nLPD)

Il 25 settembre 2020 è stata introdotta dal Parlamento la nuova legge federale sulla protezione dei dati (nLPD) con lo scopo principale di tutelare la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento (art. 1 nLPD).

La nLPD prevede il cambiamento di alcune importanti disposizioni sul trattamento dei dati personali, alle quali le aziende svizzere dovranno adeguarsi entro il 1° settembre 2023, data di entrata in vigore della legge.

La prima LPD emanata nel 1992 è stata parzialmente rivista negli anni, ma una rielaborazione completa della stessa era necessaria per assicurare una maggiore sicurezza davanti al contesto tecnologico in costante evoluzione, nonché per garantire la compatibilità con il regolamento europeo sulla protezione dei dati (RGPD) in vigore nel territorio UE, al fine di evitare svantaggi concorrenziali per le imprese svizzere.

Quali sono i principali cambiamenti introdotti dalla nLPD?

  • La legge considera solo i dati trattati di persone fisiche e non riguarda le persone giuridiche, le quali possono continuare ad appellarsi alla protezione della personalità (art. 28 CC) e alla protezione del segreto di fabbrica o commerciale (art. 162 CP).
  • Tra i dati sensibili di una persona vengono classificati anche i dati genetici e biomedici
  • Viene applicato il principio di “privacy by design”, il quale richiede che la tutela dei dati trattati comporti la messa in atto di adeguate misure tecniche e organizzative al momento sia della progettazione che dell'esecuzione del trattamento stesso
  • Viene applicato il principio di “privacy by default”, il quale assicura che solo i dati strettamente necessari per ogni specifica finalità del trattamento siano trattati per impostazione predefinita (senza l'intervento dell'utente).
  • Viene introdotto l’obbligo di valutazione d’impatto quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata.
  • Le aziende devono tenere un registro delle attività di trattamento costantemente aggiornato
  • Per la comunicazione dei dati personali all’estero è necessario che il Consiglio Federale abbia constatato una protezione adeguata dei dati da parte dello Stato destinatario.
  • In caso di violazione della sicurezza dei dati è richiesto l’annuncio rapido da inoltrare all’incaricato federale per la protezione dei dati e per la trasparenza
  • È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza

Quali sanzioni sono previste?

In caso di inosservanza intenzionale degli obblighi previsti dalla nLPD sono previste multe fino a 250.000 a carico dei soggetti privati inadempienti. Le aziende sono punibili soltanto nella misura in cui la multa applicabile non superi i 50 000 franchi e la determinazione delle persone punibili richieda provvedimenti d’inchiesta sproporzionati all’entità della pena.

 

Nel caso doveste avere necessità di ricevere ulteriori informazioni, vi invitiamo a contattare i nostri consulenti dell'ufficio di Lugano