LPD: cosa sapere sulla nuova legge svizzera per la protezione dei dati – in vigore dal 1° settembre 2023

Dal più celebre GDPR europeo nasce la nuova Legge federale svizzera sulla protezione dei dati (nuova LPD), in vigore dal 1° settembre 2023. Se gestisci un sito web e interagisci con utenti svizzeri, devi ottenere il loro consenso esplicito per il trattamento di dati personali o per la profilazione pubblicitaria con Google, Facebook, Instagram e tutte le altre piattaforme di tracciamento dati. La LPD impone che il sito web fornisca un’informativa sulla privacy aggiornata e user-friendly, e che rinnovi periodicamente i consensi ottenuti dagli utenti.

In questo articolo esamineremo le modifiche fondamentali apportate da questa legge rispetto al passato, quali aziende saranno coinvolte, cosa devono fare per mettersi a normale e le principali differenze rispetto al Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea.

nLPD: perché questa nuova legge?

Prima dell’arrivo nella nuova LPD, l’ultima legge svizzera sulla protezione dei dati era stata istituita 30 anni fa e da allora molte cose nel mondo tecnologico e sociale sono cambiate: all’epoca sarebbe infatti stato molto difficile prevedere l’uso che oggi si fa dei dati raccolti dai canali digitali e quindi, di conseguenza, sarebbe stato impossibile creare norme che tutelassero il trattamento di tali dati.

In aggiunta, la sempre crescente quantità di attacchi informatici ha accresciuto l’esigenza di nuove misure di sicurezza e, infine, con l’introduzione del GDPR da parte dell’UE, anche la Svizzera ha percepito la necessità di rinnovare le sue leggi e allinearsi alle normative europee.

L’attuale revisione completa della legge svizzera sulla protezione dei dati mira infatti a modificare le disposizioni per adeguarle alle nuove condizioni e a renderle conformi al quadro normativo dell’Unione Europea.

LPD e tutela dei dati: quali sono i cambiamenti principali? 

La legge svizzera sulla protezione dei dati del 2023 introduce un insieme di importanti innovazioni volte a rafforzare la tutela dei dati personali. Vediamo le principali:

1. Espansione dei “Dati Personali che Richiedono una Protezione Speciale”
   L’ambito dei “dati personali che richiedono una protezione speciale” si amplia notevolmente con la nuova legge. Fino ad ora, questa categoria comprendeva informazioni come l’origine, la salute, le affiliazioni religiose e le opinioni politiche. Tuttavia, la LPD 2023 estende la protezione anche ai dati genetici, quali l’etnia e i dati biometrici come le impronte digitali e le scansioni della retina, per esempio.
2. Profilazione
   Il concetto di “profilazione” trova ora spazio nella LPD. Con la nuova legge verrà regolamentata la creazione di profili dettagliati basati su informazioni personali.
3. Privacy by Design e by Default
   Due pilastri cruciali della LPD sono la “Privacy by Design” e la “Privacy by Default”. Il primo concetto si concentra sul modo in cui le piattaforme digitali di raccolta dati (come i siti web) vengono create: devono infatti incorporare fin dalla loro progettazione le necessarie misure di protezione dei dati. Il secondo concetto invece implica impostazioni predefinite che favoriscono la protezione dei dati, come il banner dei cookie che consente scelte attive di accettazione o negazione dei cookie, e preimposta le opzioni più sicure per proteggere gli utenti meno esperti.
4. Estensione dell’Obbligo di Informazione
   L’obbligo di informazione è stato notevolmente ampliato, richiedendo che gli interessati siano informati ogni volta che vengono raccolti dati personali. Oltre all’identità e ai dati di contatto del responsabile del trattamento, le informazioni devono includere le finalità del trattamento e i gruppi di destinatari. Questo ampliamento è fondamentale per garantire una maggiore trasparenza.
5. Miglioramenti nella Gestione delle Violazioni dei Dati
   La nuova legge richiede ai titolari del trattamento di notificare tempestivamente all’autorità di controllo e alle persone coinvolte in caso di violazione della protezione dei dati. L’obbligo di notifica mira a garantire una risposta rapida e adeguata in caso di violazioni. È importante ricordare che, se si verifica una violazione dei dati e un furto di informazioni, è necessario informare immediatamente l’autorità federale competente. Quest’ultima, se determina un comportamento intenzionalmente dannoso, ha il potere di divulgare pubblicamente sia la sanzione inflitta che il nome dell’azienda coinvolta, con conseguenze evidenti per la sua reputazione (ricordi il caso Meta?).

Principi su cui si basa il trattamento dei dati con la LPD

Nel momento in cui un’azienda diventa titolare del trattamento dei dati, ovvero quando un business raccoglie dati personali degli utenti, deve ricordarsi di procedere attraverso i principi dettati dalla normativa e gestire i dati secondo quanto segue:

• i dati devono essere trattati in modo lecito, in buona fede e secondo il principio di proporzionalità (ovvero non vanno raccolti più dati di quanto sia necessario);
• il titolare del trattamento deve informare gli interessati in modo adeguato, ovvero conciso e comprensibile, e può utilizzare i dati solo a seguito di un esplicito consenso;
• nel momento in cui i dati non sono più necessari, vanno distrutti o resi anonimi;
• è onere del titolare dei dati accertarsi che questi siano esatti, ad esempio richiedendone l’aggiornamento periodico agli utenti interessati.

A chi si applica la nuova legge?

La nuova LPD si applica a tutte le organizzazioni che raccolgono, elaborano o utilizzano in altro modo dati personali in Svizzera. Questo include aziende private, istituzioni pubbliche e organizzazioni non profit. La legge si estende anche a organizzazioni straniere che offrono beni o servizi ai residenti svizzeri o trattano i loro dati personali.

Cosa cambia rispetto al GDPR dell’UE? 

Sebbene la LPD condivida molte somiglianze con il GDPR dell’UE, ci sono alcune differenze chiave da tenere a mente:

Nuovi diritti per tutelare gli utenti 

Con la nuova LPD, ogni interessato al trattamento ha diritto ad accedere ai propri dati e richiedere dettagli su come questi vengono trattati, per quale scopo, per quanto tempo e se vengono o meno comunicati e condivisi con terze parti.

Gli utenti hanno sui propri dati il diritto di rettifica, cancellazione, possono richiederne la distruzione o possono impedirne l’utilizzo revocando il consenso in qualunque momento. Inoltre, a tali diritti si aggiungono due importanti novità:

Nuovi diritti per tutelare gli utenti

• Diritto di consegna e trasferimento dei dati

Ora è possibile chiedere che i propri dati vengano forniti in formato digitale o trasferiti a un altro servizio. Per esempio, immagina di dover cambiare residenza e di dover consultare un nuovo medico. In questa situazione, hai il diritto di richiedere al tuo precedente medico di inviare tutti i tuoi dati medici al nuovo dottore. Questa operazione può essere eseguita senza che tu debba affrontare costi aggiuntivi.

• Decisione individuale automatizzata

Le persone hanno il diritto di contestare le decisioni prese automaticamente da computer e possono chiedere che queste decisioni siano riesaminate da un essere umano. Un esempio concreto è quando si richiede un prestito: se un algoritmo, basandosi su determinati punteggi, suggerisce di rifiutare la richiesta, la banca non può semplicemente rifiutare. Invece, il richiedente ha il diritto di far esaminare la decisione dall’esperienza di una persona e solo dopo questa valutazione la banca prenderà la decisione finale sul prestito.

I sistemi di tracciamento dati più utilizzati in Svizzera

L’entrata in vigore della LPD in Svizzera ha avuto un impatto significativo sui sistemi di tracciamento dei dati utilizzati nel paese.

Le nuove normative richiedono che il tracciamento degli utenti segua linee guida più stringenti al fine di garantire che i dati vengano trattati in modo sicuro e anonimo. Ciò assicura che le informazioni personali vengano impiegate esclusivamente per gli scopi dichiarati e non in modo improprio.

Per fortuna, ci sono agenzie di web analytics che forniscono soluzioni chiavi in mano che si integrano al sito con poche righe di codice JavaScript per avere un sistema di gestione del consenso a prova di multa.

Tra i venti sistemi di tracciamento impiegati in Svizzera, Google Analytics è al primo posto, utilizzato da oltre +293.000 siti web. Al secondo e terzo posto seguono il Facebook Pixel (utilizzato anche per il tracking della pubblicità su Instagram) e Matomo. Per il dettaglio completo della lista, puoi fare affidamento al grafico sottostante.

To do List: cosa fare per adeguarsi alla LPD

1. Identifica tutti i cookie e i sistemi di tracciamento che stai utilizzando nel tuo sito web (puoi farti aiutare da un’agenzia di web analytics)
2. Valuta l’impatto e il rischio del trattamento dati (col supporto di un legale)
3. Adegua la privacy policy del sito in base ai tracciamenti attivi e alla LPD (col supporto di un legale)
4. Consenti agli utenti di attivare o meno i cookie non necessari (col supporto della agenzia web analytics)
5. Controlla nel tempo che l’implementazione tecnica sia coerente con la tua privacy policy.

Conclusioni

L’entrata in vigore della nuova Legge sulla Protezione dei Dati segna un importante passo avanti per la Svizzera nell’assicurare una maggiore tutela dei dati personali e della privacy dei suoi cittadini.

Le organizzazioni che operano in Svizzera o trattano dati di cittadini svizzeri dovranno adattarsi a questi cambiamenti entro l’1 settembre 2023 e assicurarsi di rispettare le nuove disposizioni per garantire la conformità legale e la protezione dei dati.

Se lavori nel digital marketing, sai bene quanto sia importante essere a norma sulle questioni che concernono il trattamento dei dati. Non esitare a chiedere il supporto dei nostri esperti digital per analizzare la tua situazione.