Revisione della Legge federale sulla protezione dei dati

Il 25 settembre 2020 entrambi i Consigli hanno approvato la bozza di revisione totale della Legge sulla protezione dei dati (nLPD). La nLPD entrerà in vigore probabilmente non prima dell'inizio del 2022. Terrà conto del progresso tecnologico e rafforzerà la protezione dei dati personali delle persone fisiche. Infatti, a parte qualche adattamento legislativo, dall'entrata i vigore nel 1992 non vi sono state revisioni rilevanti.

Con la nLPD, la legge punta tutt'ora a proteggere la personalità e i diritti di base di persone i cui dati sono oggetto di trattamento. La protezione dei dati comprende, quindi, il diritto di ognuno di decidere autonomamente a chi, quando e quali dati personali rendere accessibili. Ai sensi della legge vigente l'ambito della protezione contempla anche le persone giuridiche. La nLPD, tuttavia, esclude le persone giuridiche.

Contrariamente alla LPD in vigore, la nLPD prevede chiare sanzioni. In questo modo le violazioni possono essere sanzionate con ammende pecuniarie fino a CHF 250 000!

Cosa sono i dati personali?

Secondo la LPD i dati personali sono qualsiasi informazione concernente una persona fisica identificata o identificabile. Ai sensi della LPD in vigore, i dati personali particolarmente sensibili sono i dati sulle opinioni o attività religiose, ideologiche, politiche o sindacali, dati sulla salute, la privacy o le origini razziali, ma anche i dati su perseguimenti e sanzioni amministrativi e penali. La nLPD amplia la lista di dati che rientrano nella categoria «Dati personali particolarmente sensibili». Quindi ora vengono considerati anche i dati genetici e biometrici (ad es. impronta digitale), che identificano in modo univoco una persona fisica. Le condizioni per il trattamento dei dati particolarmente sensibili sono più severi rispetto ai dati personali. In genere i dossier personali contengono dati particolarmente sensibili, come malattie, sanzioni amministrative o penali, ecc.

Che cosa si deve tenere presente in relazione al trattamento dei dati personali?

I dati personali di ogni azienda devono essere protetti dall'eventuale trattamento e utilizzo non autorizzato mediante misure tecniche e organizzative adeguate. La nLPD introduce per la prima volta nel diritto svizzero un obbligo di comunicazione per violazioni della sicurezza dei dati. Ogni caso di accesso non autorizzato di terzi al sistema informatico di un'azienda (virus, trojan, ecc.) deve pertanto essere comunicato alle autorità. Il responsabile nella rispettiva azienda deve comunicare all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) qualsiasi violazione della sicurezza dei dati che comporta presumibilmente un rischio elevato per i diritti della personalità delle persone interessate. È necessario procedere con una comunicazione rapida.

La LPD in vigore e la nLPD parlano sempre di «trattamento» di dati. Con il termine trattamento si intende qualsiasi operazione relativa ai dati personali, indipendentemente dai mezzi e dalle procedure impiegati, nello specifico la raccolta, la conservazione, l'utilizzo, la modifica, la comunicazione, l'archiviazione o la distruzione di dati.

Durante il trattamento dei dati personali si devono rispettare sempre i principi disciplinati dalla LPD. Quindi il trattamento dei dati personali deve essere lecito, ovvero occorre ottenere il consenso della persona interessata. Inoltre, non è consentito raccogliere dati personali a insaputa e contro la volontà della persona interessata. Possono essere trattati, quindi, solo i dati che sono necessari e idonei ad adempiere lo scopo previsto. La raccolta di dati personali e, in particolare, la finalità del loro trattamento devono essere riconoscibili da parte della persona interessata.

In larga parte i principi del trattamento dei dati rimangono sostanzialmente invariati nella nLDP. Nella nuova edizione, tuttavia, viene specificato esplicitamente che i dati devono essere distrutti o anonimizzati appena non sono più necessari per le finalità del trattamento.

Sebbene la nLPD entrerà presumibilmente in vigore solo nel 2022, le aziende devono essere previdenti e adottare sin da ora misure per rispettare le future disposizioni di legge (in particolare misure tecniche e organizzative). Si consiglia agli impresari edili di controllare la conformità dei processi di trattamento dei dati e, se necessario, di revisionare e adattare la documentazione (ad es. norme sulla privacy, contratti di lavoro, dossier personali, contratti e dati sui partner commerciali, inventari, ecc.) per garantire la protezione dei dati.

Come citato all'inizio di questo articolo, per eventuali violazioni possono essere comminate sanzioni fino a CHF 250 000. Le aziende che hanno già maturato un'esperienza professionale nell'UE, sanno che questi importi sono comunque modesti rispetto a quanto previsto dalle norme del diritto europeo in materia di protezione dei dati. Le sanzioni a livello europeo possono arrivare a 20 milioni di euro o toccare importi pari al 4% del fatturato.

La Società Svizzera degli Impresari-Costruttori (SSIC) continuerà a informare e fornire consulenza ai propri membri nel corso del 2021 circa l'applicazione concreta di questa nuova legge.

Vladan Lazic, servizio giuridico della SSIC