Nuova Legge sulla protezione dei dati

Share
domenica 3 settembre 2023

Verein Rotary Medien CH/FL, aktualisiert am/aggiornato il 02.04.2024

ll 1° settembre 2023 è entrata in vigore la nuova Legge sulla protezione dei dati (LPD), che comporterà i seguenti cambiamenti significativi per le aziende e le altre organizzazioni di diritto privato (comprese le associazioni):

  1. Solo i dati delle persone fisiche saranno da ora in poi coperti, e non più quelli delle persone giuridiche.
  2. I dati genetici e biometrici (art. 5 lett. c LPD) entrano nella definizione dei dati sensibili.
  3. Vengono introdotti i principi di "Privacy by Design" e di "Privacy by Default" (art. 7 LPD): Come indicato dal nome, il principio di "Privacy by Design" (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e il rispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il principio di "Privacy by Default" (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza più elevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti. POLARIS è configurato in modo tale da poter rispettare questi principi.
  4. Delle analisi d’impatto (art. 22 LPD) devono essere effettuate dal titolare del trattamento, ossia la persona che da sola o insieme ad altri decide le finalità e i mezzi del trattamento dei dati, se, ad esempio, i dati personali sono trattati in occasione dell'utilizzo di nuovi processi o tecnologie e vi è un rischio elevato per la personalità o i diritti fondamentali delle persone interessaste. Dal punto di vista dei Rotary club, non risulta necessario intervenire.
  5. Il diritto di informare viene esteso (art. 19 LPD): ogni volta che si raccolgono dati personali - e non più solo i cosiddetti dati che richiedono una protezione speciale - la persona interessata deve essere informata in anticipo. Nel Rotary, ciò avviene informando in modo appropriato i nuovi soci sulla registrazione dei loro dati personali in POLARIS e sull'informativa sulla privacy su rotary.ch o sul sito web del club.
  6. Diventa obbligatorio allestire un registro delle attività di trattamento (art. 12 LPD): Tuttavia, l'ordinanza della legge prevede un'eccezione per le aziende e le altre organizzazioni di diritto privato che impiegano meno di 250 persone e il cui trattamento dei dati comporta solo un basso rischio di violazione della privacy degli interessati. Di conseguenza, i Rotary club CH/FL non sono, in generale, obbligati a creare un elenco di questo tipo.
  7. È richiesto l’annuncio rapido (art. 24 LPD) in caso di violazione della sicurezza dei dati che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata. L’annuncio deve essere indirizzato all'Incaricato federale della protezione dei dati e per la trasparenza (IDT). In caso di sospetta o effettiva violazione della sicurezza dei dati ("data leak"), si raccomanda al CICO di contattare immediatamente il DICO, che coordinerà ulteriori misure (tra cui la segnalazione all'IDT (l'IDT ha messo in piedi una piattaforma di segnalazione online corrispondente) con il team POLARIS.
  8. La nozione di profilazione (art. 5 lett. f LPD): il trattamento automatizzato dei dati personali è stato inserito nella legge. Tale trattamento automatizzato dei dati non avviene nell’ambito di POLARIS.
  9. Le disposizioni del diritto penale sono state inasprite (art. 60 e segg. LDP): in particolare, la violazione degli obblighi di informazione o di diligenza (ad esempio in relazione alla divulgazione di dati personali all'estero, all'utilizzo di incaricati del trattamento o a questioni di sicurezza dei dati) può comportare una multa fino a 250.000 franchi svizzeri (la violazione dei principi di protezione dei dati, tuttavia, non è punibile). Viene punita la persona fisica che ha commesso la violazione.

Per il resto, i principi di protezione dei dati sono stati adottati senza modifiche e la LPD prevede solo piccoli aggiustamenti in relazione ai temi della divulgazione dei dati all'estero, del coinvolgimento dei responsabili del trattamento e dei diritti degli interessati. A differenza del GDPR dell'UE, il DPA non prevede la funzione del responsabile della protezione dei dati (DPO).

Cosa comporta la nuova LPD in particolare per l'utilizzo dei dati dei soci su POLARIS? Come indicato nella dichiarazione sulla protezione dei dati (https://polaris.rotary.ch/it/privacy-policy), il rispettivo distretto/club Rotary è responsabile del trattamento dei dati personali all'interno della propria area di accesso a POLARIS e stabilisce quali dati personali vengono raccolti.

Nello sviluppo di POLARIS, il VRM ha adottato adeguate misure tecniche (ad es. limitazione dell'accesso, backup dei dati, ecc.) e organizzative (ad es. istruzioni per gli amministratori, accordi di riservatezza, monitoraggio, ecc.) per garantire la sicurezza dei dati raccolti ed elaborati e per proteggerli da accessi non autorizzati, uso improprio, perdita, falsificazione o distruzione. L'accesso ai dati è consentito solo alle persone (ad es. CICO/DICO) che lo richiedono per lo svolgimento delle loro funzioni.

In caso di domande sulla protezione dei dati, si prega di inoltrare la richiesta al seguente indirizzo: dataprotection@rotary.ch.

Immagine simbolo di PhotoMIX Company via pexels.com