DE
FR
IT
EN
Chi siamo
Blog
Lavori 4
Meet
Support
WEB HOSTING
SERVER
DOMINI
E-MAIL & OFFICE
SITI WEB
WEBSHOP
SEO
CHI SIAMO
BLOG
Lavori4
Support
Login
Nel 2023 arriverà la nuova legge sulla protezione dei dati. Cosa c'è da sapere

Nel 2023 arriverà la nuova legge sulla protezione dei dati. Cosa c’è da sapere

Il 1° settembre 2023 entreranno in vigore la nuova legge e la nuova ordinanza sulla protezione dei dati. Nel frattempo, sarà importante iniziare a informarsi in merito. L’avvocato Lucian Hunger, dello studio legale VISCHER, riporta le principali novità e offre consigli utili a livello pratico.

Know-how
Lucian Hunger Lucian Hunger · Attorney at Law, VISCHER

Ecco cosa accadrà l’anno prossimo: il 1° settembre 2023 entrerà in vigore la revisione completa della legge federale sulla protezione dei dati (LPD) e dell’ordinanza sulla protezione dei dati (OPDa), già approvata dal Parlamento nel settembre del 2020. Inizialmente, la Confederazione aveva previsto l’entrata in vigore di questi ordinamenti giuridici già nella seconda metà del 2022, salvo poi decidere di andare incontro alle aziende e ai relativi responsabili della protezione dei dati e di concedere loro il tempo sufficiente per prepararsi. A partire da settembre del prossimo anno, però, si fa sul serio. Fino ad allora, sarà ancora possibile analizzare criticamente le proprie attività di trattamento dei dati e prepararsi al meglio alla nuova legge.

A chi si applica la nuova legge?

La legge sulla protezione dei dati e la relativa ordinanza si applicano al trattamento dei dati personali da parte di privati (e organi federali). Di conseguenza, a essere interessate sono le aziende private, le associazioni e, in linea generale, anche le persone private. Mentre di norma le aziende e le associazioni non possono eludere l’osservanza della legge sulla protezione dei dati, le persone private sono esentate dal rispetto dei requisiti in materia di protezione dei dati, purché trattino i dati personali esclusivamente per scopi privati. Tuttavia, la deroga “per uso personale” si applica solo alle attività di trattamento dei dati nell’ambito della vita privata e familiare (famiglia ristretta e amici), nel quale normalmente non rientra un sito web pubblico. Di conseguenza, i gestori privati di siti web, al pari di quelli commerciali, sono di regola interessati dalla nuova LPD e OPDa.

Cosa si intende per “dati personali” e per “trattamento”?

Per “dati personali” si intendono tutti i dati relativi a una persona fisica identificata o identificabile. A livello pratico, questa definizione può assumere contorni molto ampi e, a seconda delle circostanze, può includere persino un semplice indirizzo IP.

Anche il termine “trattamento” può avere un’accezione ampia, arrivando a comprendere, in realtà, quasi tutte le attività immaginabili al riguardo. Tra queste rientrano, ad esempio, l’acquisizione, la memorizzazione, la conservazione, l’utilizzo, la modifica, la divulgazione, l’archiviazione, la cancellazione o la distruzione dei dati. A tal proposito, non sono previste variazioni rispetto alla legge attualmente in vigore. La revisione introduce piuttosto una semplificazione, in quanto ora la LPD e la OPDa non sono più applicabili in caso di trattamento di dati relativi a persone giuridiche. Attenzione, però: i collaboratori di un’azienda continuano a essere protetti dalla LPD anche con la nuova legge.

E ora?

La legge sulla protezione dei dati impone ai titolari del trattamento numerosi obblighi, alcuni nuovi, altri già previsti dalla versione attuale. Di seguito è riportata una panoramica degli obblighi più importanti per i titolari.

Principi del trattamento dei dati
La revisione non prevede variazioni significative in merito ai principi del trattamento, pertanto le attività di trattamento dei dati attualmente consentite dovrebbero di regola restare tali anche con la nuova legge. Il trattamento dei dati personali può avvenire soltanto in modo lecito, in buona fede e secondo il principio di proporzionalità. È importante che i dati vengano trattati solo per le finalità per cui sono stati raccolti e che queste siano riconoscibili anche dalla persona interessata (destinazione vincolata). Qualora i dati personali vengano trattati in modo non conforme ai principi in materia di protezione dei dati (ad es. per finalità diverse), si può incorrere in una violazione della personalità della persona interessata. Tuttavia, un’azione di questo genere può essere giustificata da un interesse privato o pubblico preponderante (ad es. il trattamento dei dati strettamente correlato a un contratto) o dal consenso della persona interessata.

Cancellazione dei dati personali
I dati personali devono essere cancellati o resi anonimi quando non sono più necessari per le finalità del trattamento.

Registro delle attività di trattamento
Le aziende e le organizzazioni con almeno 250 collaboratori sono obbligate a tenere un registro di tutte le attività di trattamento. In linea generale, le aziende con meno di 250 collaboratori sono esonerate da tale obbligo, a meno che non vengano trattati su vasta scala dati personali che necessitano di particolare protezione o vengano effettuate profilazioni ad alto rischio.

Obblighi di informazione e informativa sulla privacy
In caso di trattamento dei dati personali, le persone interessate devono essere informate in merito all’estensione e alle finalità del trattamento. Solitamente ciò avviene attraverso un’informativa sulla privacy. A tal fine, è consigliabile tener conto dei seguenti suggerimenti:

Ulteriori informazioni:
In un precedente articolo pubblicato sul blog di Hostpoint, lo studio legale VISCHER aveva raccolto consigli importanti e utili per redigere un’informativa sulla privacy per il proprio sito web:
Come scrivere una buona informativa sulla privacy per il proprio sito web

Responsabile del trattamento
Con provider come Hostpoint, che trattano i dati personali per conto del titolare, si dovrebbe stipulare un contratto di nomina a responsabile del trattamento dei dati (chiamato anche Data Processing Agreement o DPA). Anche in questo caso è consigliabile tener conto dei seguenti suggerimenti:

Sicurezza dei dati
L’accesso ai dati personali dovrebbe essere consentito solo alle persone (come collaboratori o membri di associazioni) che ne hanno realmente bisogno, ad esempio per l’esercizio delle proprie funzioni. L’osservanza di tali disposizioni dovrebbe essere garantita tramite l’adozione di misure tecniche e organizzative (TOMs). Tra le misure tecniche si annoverano, ad esempio, diritti di accesso limitati o firewall, mentre tra quelle organizzative rientrano corsi di formazione e direttive. I siti web e gli altri sistemi IT dovrebbero essere tenuti aggiornati da un punto di vista tecnico, in modo da evitare lacune nella sicurezza che potrebbero avere conseguenze devastanti.

Tuttavia, qualora venga violata la riservatezza, l’integrità o la disponibilità dei dati personali, con conseguente rischio elevato per le persone interessate, tale violazione deve essere segnalata all’incaricato federale della protezione dei dati e della trasparenza (IFPDT). Il Consiglio federale prevede inoltre di introdurre l’obbligo di segnalare ciberattacchi a infrastrutture critiche. In questi casi, si dovrebbe informare anche il Centro nazionale per la cibersicurezza (NCSC) e sarebbe bene farsi consigliare per agire correttamente.

Divulgazione dei dati all’estero
Qualora i dati vengano divulgati all’estero, il Paese deve disporre di un livello adeguato di protezione dei dati oppure è necessario adottare misure aggiuntive. Tale requisito è già previsto dalla legge attualmente in vigore. Con “divulgazione all’estero” non si intende solo una trasmissione attiva dei dati, ma anche un accesso remoto, ad esempio. Il termine “divulgazione” può quindi assumere contorni più ampi rispetto a quanto inizialmente ipotizzato. Tra le misure che si dovrebbero adottare si annoverano la stipula di clausole contrattuali standard (“EU SCC”) e le integrazioni necessarie per la Svizzera (“Swiss amendments”).

Verificare i fornitori di servizi e i provider impiegati per il proprio sito web e per altre offerte. Qualora si trovino all’estero, accertarsi che il rispettivo Paese disponga di un’adeguata protezione dei dati e, in caso contrario, di aver adottato le misure aggiuntive necessarie.

Con l’entrata in vigore della legge sulla protezione dei dati completamente rivista, anche i gestori di siti web dovranno prestare attenzione ad alcuni aspetti. (Fonte immagine: unsplash.com)

Diritti delle persone interessate
Le persone i cui dati personali sono oggetto di trattamento hanno il diritto di ottenere informazioni sui propri dati. Queste dovrebbero essere fornite, di norma, entro 30 giorni e senza alcun costo per il soggetto interessato. Inoltre, le persone possono avvalersi del diritto di richiedere la correzione di dati errati o la cancellazione di dati. Si tratta tuttavia di diritti non assoluti e per i quali sono previste delle restrizioni.

Consenso
Qualora sia richiesto un consenso per il trattamento dei dati, la persona interessata deve essere informata delle conseguenze del consenso, il quale deve essere fornito spontaneamente. Nel caso di dati personali che necessitano di particolare protezione (ad es. dati sanitari) o di profilazioni ad alto rischio, il consenso deve essere prestato esplicitamente.

“Privacy by Default” e “Privacy by Design”
Con questi concetti si intendono la protezione per impostazione predefinita e la protezione dei dati a partire dalla progettazione. Nella nuova legge viene introdotto l’obbligo di adottare i provvedimenti tecnici e organizzativi necessari affinché le attività di trattamento dei dati rispettino la legge sulla protezione dei dati e affinché le impostazioni predefinite siano il più possibile compatibili con la protezione dei dati. Qualora i gestori di siti web, app o altri software offrano impostazioni diverse per la protezione dei dati, deve essere definita come impostazione standard sempre l’opzione più compatibile con la protezione dei dati. Ad esempio, su un sito web con un’area membri in cui gli utenti registrati possono decidere se consentire agli altri utenti di visualizzare o meno il proprio nome, la visibilità del nome deve essere disattivata nelle impostazioni standard.

Segreto professionale minore
Ai segreti professionali generalmente noti (ad es. segreto professionale degli avvocati o segreto medico) si è aggiunto quello relativo alla legge sulla protezione dei dati. I dati personali segreti che sono stati affidati nell’ambito di un’attività professionale devono essere mantenuti tali. Se si sceglie di non garantire la segretezza dei dati, è necessario chiarirlo in anticipo o rivelare i soggetti con i quali si potrebbero condividere i dati. Si parla di dati personali segreti quando questi non sono comunemente noti e la persona interessata desidera tutelare la segretezza degli stessi. Ciò non significa, però, che i dati personali non segreti possano essere divulgati senza restrizioni. Anche per questi ultimi la divulgazione è consentita solo nel rispetto della legge sulla protezione dei dati.

Valutazione d’impatto sulla protezione dei dati
Qualora siano previste nuove attività di trattamento dei dati che potrebbero comportare un rischio elevato per le persone interessate, è necessario condurre una valutazione d’impatto sulla protezione dei dati nella quale documentare sia le intenzioni precise, sia le misure appropriate per tutelare le persone interessate.

Consulente per la protezione dei dati e rappresentante in Svizzera
La nuova legge sulla protezione dei dati prevede la possibilità di nominare un consulente per la protezione dei dati all’interno dell’azienda. Tuttavia, non vi è alcun obbligo in tal senso. Occorre fare una distinzione tra consulente facoltativo per la protezione dei dati ai sensi del diritto svizzero e responsabile della protezione dei dati ai sensi del RGPD. In determinate circostanze, quest’ultimo è addirittura obbligatorio ove sia applicabile il RGPD.

A talune condizioni, i titolari con sede all’estero che trattano dati personali in Svizzera devono nominare un rappresentante in Svizzera. Ciò accade nei seguenti casi:

Punibilità

In relazione alla punibilità, si deve tener conto in particolare del fatto che, a partire dal 1° settembre 2023, la violazione di alcuni obblighi comporterà una punibilità che, a differenza del RGPD, non riguarda l’azienda, ma la persona fisica responsabile. Le persone responsabili possono essere membri della direzione o altre persone con poteri decisionali all’interno dell’azienda, ma anche persone che hanno commesso una violazione degli obblighi (ad es. violazione della segretezza). Secondo il diritto svizzero, però, è punibile solo la violazione dolosa.

In particolare, sono punibili con una multa fino a CHF 250 000.– le seguenti fattispecie:

Come applicare tutto ciò?

È consigliabile nominare una persona che, all’interno dell’azienda, dell’organizzazione o anche di un’associazione, si occupi alla protezione dei dati. Non si tratta di un consulente per la protezione dei dati ai sensi della legge (vedere sopra), ma di una persona che, all’interno dell’azienda o dell’associazione, acquisisce conoscenze di base in materia di protezione dei dati e che, in caso di domande in merito, funge anche da referente all’interno dell’azienda. Può acquisire le competenze di base necessarie attraverso fonti pubbliche o corsi di perfezionamento e, se necessario, può ricorrere a un supporto esterno.

Ulteriori informazioni:
Il team di VISCHER che si occupa di protezione dei dati ha riassunto in un’unica pagina le misure da adottare in una PMI, o in un’associazione, nell’articolo qui.

Know-how
Da zero al digitale: cosa serve alle startup per entrare nel mondo digitale

Da zero al digitale: cosa serve alle startup per entrare nel mondo digitale

Know-how
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Il phishing nell’era dell’intelligenza artificiale

Il phishing nell’era dell’intelligenza artificiale

Sicurezza
Martin Schlatter Martin Schlatter · Abuse Desk Specialist
A breve il dominio .swiss sarà disponibile anche per i privati

A breve il dominio .swiss sarà disponibile anche per i privati

Domini
Sebastian Rosa Sebastian Rosa · Social Media & Content Manager
Come trasferire il Suo sito web a Hostpoint

Come trasferire il Suo sito web a Hostpoint

Hosting & Mail
Claudius Röllin Claudius Röllin · Co-Founder & CPO
L’ottimizzazione? Un gioco da ragazzi! I plugin “must have” per WordPress

L’ottimizzazione? Un gioco da ragazzi! I plugin “must have” per WordPress

Siti web & Shop
Rita Ludwig-Helmchen Rita Ludwig-Helmchen · Technical Consultant
Ecco i migliori trucchi e consigli per uno shop online di successo

Ecco i migliori trucchi e consigli per uno shop online di successo

Siti web & Shop
Sebastian Rosa Sebastian Rosa · Social Media & Content Manager
L’abbattimento dei limiti di genere nel settore ICT: l’influenza della Giornata Nuovo Futuro

L’abbattimento dei limiti di genere nel settore ICT: l’influenza della Giornata Nuovo Futuro

Inside
Sebastian Rosa Sebastian Rosa · Social Media & Content Manager
La nuova LPD e la confusione sui banner dei cookie: cosa si applica effettivamente?

La nuova LPD e la confusione sui banner dei cookie: cosa si applica effettivamente?

Know-how
Lucian Hunger Lucian Hunger · Attorney at Law, VISCHER
SEO per il Suo sito web: le informazioni essenziali sull’ottimizzazione per i motori di ricerca

SEO per il Suo sito web: le informazioni essenziali sull’ottimizzazione per i motori di ricerca

Know-how Siti web & Shop
Nadine Jordan Nadine Jordan · Social Media & Content Manager
Le presentiamo le nuove offerte e-mail di Hostpoint

Le presentiamo le nuove offerte e-mail di Hostpoint

Hosting & Mail
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Anche Chrome dice addio ai cookie di terze parti: cosa significa?

Anche Chrome dice addio ai cookie di terze parti: cosa significa?

Know-how
Claudius Röllin Claudius Röllin · Co-Founder & CPO
È alla ricerca di icone incisive per il Suo sito web? Può trovarle qui

È alla ricerca di icone incisive per il Suo sito web? Può trovarle qui

Know-how
Mauro Landolt Mauro Landolt · Head of Communication
Come scrivere una buona informativa sulla privacy per il proprio sito web

Come scrivere una buona informativa sulla privacy per il proprio sito web

Know-how
Sarah Bischof Sarah Bischof · Attorney at Law, VISCHER
Stime e confronti: l’Internet svizzero in cifre

Stime e confronti: l’Internet svizzero in cifre

Know-how
Mauro Landolt Mauro Landolt · Head of Communication
Garantisca la leggibilità del Suo sito web con questi tipi di carattere

Garantisca la leggibilità del Suo sito web con questi tipi di carattere

Know-how
Mauro Landolt Mauro Landolt · Head of Communication
Come funziona un trasferimento di dominio e cosa bisogna attenzione?

Come funziona un trasferimento di dominio e cosa bisogna attenzione?

Domini
Dario Baumgartner Dario Baumgartner · Head of Domains
“Il mio percorso dall’apprendistato a system engineer presso Hostpoint”

“Il mio percorso dall’apprendistato a system engineer presso Hostpoint”

Inside
Pascal Christen Pascal Christen · Junior System Engineer
WordPress 6.0 è in arrivo! Cosa aspettarsi

WordPress 6.0 è in arrivo! Cosa aspettarsi

Siti web & Shop
Rita Ludwig-Helmchen Rita Ludwig-Helmchen · Technical Consultant
Cerca immagini per il Suo sito web? Ecco le offerte imperdibili

Cerca immagini per il Suo sito web? Ecco le offerte imperdibili

Know-how
Mauro Landolt Mauro Landolt · Head of Communication
Focus hacker (2): A cosa puntano gli hacker attaccando il mio sito web

Focus hacker (2): A cosa puntano gli hacker attaccando il mio sito web

Sicurezza
Martin Schlatter Martin Schlatter · Abuse Desk Specialist
Focus hacker (1): Cosa fare se il proprio sito web subisce un attacco hacker?

Focus hacker (1): Cosa fare se il proprio sito web subisce un attacco hacker?

Sicurezza
Martin Schlatter Martin Schlatter · Abuse Desk Specialist
L'importanza del Core Web Vitals nel ranking di Google

L’importanza del Core Web Vitals nel ranking di Google

Know-how
Claudius Röllin Claudius Röllin · Co-Founder & CPO
«Siamo un team ben affiatato e molto collegiale»

«Siamo un team ben affiatato e molto collegiale»

Inside
Michèle Bücheler Michèle Bücheler · Head of Human Resources
Webshop di Hostpoint: panoramica delle funzioni principali

Webshop di Hostpoint: panoramica delle funzioni principali

Siti web & Shop
Boban Lapcevic Boban Lapcevic · Technical Consultant
«Abbiamo identificato la necessità di un’assistenza telefonica nel fine settimana»

«Abbiamo identificato la necessità di un’assistenza telefonica nel fine settimana»

Inside
Mauro Landolt Mauro Landolt · Head of Communication
Che cos’è WordPress? Una breve introduzione

Che cos’è WordPress? Una breve introduzione

Siti web & Shop
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Oltre i tipici .ch e .com: la vasta gamma di domini di primo livello

Oltre i tipici .ch e .com: la vasta gamma di domini di primo livello

Domini
Dario Baumgartner Dario Baumgartner · Head of Domains
Phishing: lo spinoso problema delle truffe per e-mail

Phishing: lo spinoso problema delle truffe per e-mail

Sicurezza
Mauro Landolt Mauro Landolt · Head of Communication
Ora Zurigo ha il proprio dominio di primo livello: .zuerich!

Ora Zurigo ha il proprio dominio di primo livello: .zuerich!

Domini
Mauro Landolt Mauro Landolt · Head of Communication
Il proprio dominio: prezioso, indispensabile e da proteggere!

Il proprio dominio: prezioso, indispensabile e da proteggere!

Domini
Mauro Landolt Mauro Landolt · Head of Communication
Performance migliorata grazie a DNS Anycast

Performance migliorata grazie a DNS Anycast

Domini
Mauro Landolt Mauro Landolt · Head of Communication
Nginx. Il server web per standard elevati

Nginx. Il server web per standard elevati

Hosting & Mail
Mauro Landolt Mauro Landolt · Head of Communication
Rendere Internet un po’ più sicuro con le DNSSEC

Rendere Internet un po’ più sicuro con le DNSSEC

Domini Sicurezza
Mauro Landolt Mauro Landolt · Head of Communication
Pieno controllo grazie al Managed Flex Server di Hostpoint

Pieno controllo grazie al Managed Flex Server di Hostpoint

Hosting & Mail
Mauro Landolt Mauro Landolt · Head of Communication
Più sicurezza e più prestazioni con il nuovo PHP 7.4

Più sicurezza e più prestazioni con il nuovo PHP 7.4

Hosting & Mail
Mauro Landolt Mauro Landolt · Head of Communication
Ora Google vuole solo siti https. Sei pronto?

Ora Google vuole solo siti https. Sei pronto?

Sicurezza
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Il nuovo GDPR europeo: quali sono le novità più importanti per i gestori di siti Web?

Il nuovo GDPR europeo: quali sono le novità più importanti per i gestori di siti Web?

Know-how
Claudius Röllin Claudius Röllin · Co-Founder & CPO
Siti Web alla velocità della luce con HTTP/2

Siti Web alla velocità della luce con HTTP/2

Hosting & Mail
Hostpoint Hostpoint
Il nostro impegno quotidiano per un’innovazione

Il nostro impegno quotidiano per un’innovazione

Inside
Hostpoint Hostpoint
Ransomware: arrivano i ricattatori!

Ransomware: arrivano i ricattatori!

Sicurezza
Hostpoint Hostpoint
E-mail: la lunga strada verso il destinatario

E-mail: la lunga strada verso il destinatario

Hosting & Mail
Hostpoint Hostpoint
Suggerimenti per scegliere il nome di dominio giusto

Suggerimenti per scegliere il nome di dominio giusto

Domini
Hostpoint Hostpoint
Certificati SSL: nessuno scampo per i siti Web truffaldini

Certificati SSL: nessuno scampo per i siti Web truffaldini

Sicurezza
Hostpoint Hostpoint
Come rendere più sicuri i siti Web

Come rendere più sicuri i siti Web

Sicurezza
Hostpoint Hostpoint
Sicurezza carente dei siti Web svizzeri

Sicurezza carente dei siti Web svizzeri

Sicurezza
Hostpoint Hostpoint
Ora .swiss è disponibile per tutti (o quasi)!

Ora .swiss è disponibile per tutti (o quasi)!

Domini
Hostpoint Hostpoint
PHP 7 – Il PHP più veloce di tutti i tempi!

PHP 7 – Il PHP più veloce di tutti i tempi!

Hosting & Mail
Hostpoint Hostpoint
FreeSSL: ora la critto­grafia SSL è gratuita pe tutti!

FreeSSL: ora la critto­grafia SSL è gratuita pe tutti!

Sicurezza
Hostpoint Hostpoint
Negozi online svizzeri: nuovo regolamento IVA con l’UE

Negozi online svizzeri: nuovo regolamento IVA con l’UE

Siti web & Shop
Hostpoint Hostpoint
Hosting: gratuito non è sempre gratis.

Hosting: gratuito non è sempre gratis.

Hosting & Mail
Hostpoint Hostpoint
Cambiare l’e-mail: non sempre è così semplice

Cambiare l’e-mail: non sempre è così semplice

Hosting & Mail
Hostpoint Hostpoint
Google ama i backlink

Google ama i backlink

Know-how
Hostpoint Hostpoint
Obbligo di impressum da primavera anche in Svizzera

Obbligo di impressum da primavera anche in Svizzera

Know-how
Martin Steiger Martin Steiger · Medienrechtsanwalt
Mostra altri articoli
Visualizzazione di una casella di posta elettronica sullo schermo di un computer portatile con l'icona di Cloud Office. Visualizzazione di una casella di posta elettronica sullo schermo di un computer portatile con l'icona di Cloud Office.

Il Suo indirizzo e-mail con il proprio dominio

Scopra le nuove offerte di e-mail con Cloud Office di Hostpoint. Il dominio da Lei desiderato per i Suoi indirizzi e-mail, molto spazio di archiviazione per le e-mail e su Drive, diversi strumenti di Office e molto altro.

Crea un indirizzo e-mail