Consumo & Internet
7 risposte alla nuova legge sulla protezione dei dati
Il Consiglio federale ha stabilito che la nuova legge sulla protezione dei dati entrerà in vigore il 1° settembre 2023.
La revisione dell'attuale legge sulla protezione dei dati era necessaria per due motivi. In primo luogo, dal 1992, data di entrata in vigore della precedente legge sulla protezione dei dati, sono successe molte cose dal punto di vista tecnico e sociale, per cui la legge nella sua forma precedente non poteva più garantire la protezione dei dati. In secondo luogo, il legislatore svizzero ha dovuto strutturare la legge in modo che fosse compatibile con il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR), in vigore dal 2018.
Decisivo per il diritto nella vita di tutti i giorni è innanzitutto che la nuova legge sulla protezione dei dati estende i diritti all'informazione: Chiunque tratti dati personali deve informare le persone interessate in modo esauriente. Questo vale in generale, non solo quando si tratta di dati personali particolarmente sensibili. Inoltre la nuova legge sulla protezione dei dati rafforza le misure da adottare in caso di violazioni della protezione dei dati. Ad esempio il responsabile della protezione dei dati in un'azienda deve segnalare le violazioni della sicurezza dei dati all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) e, infine, si è passibili di multe molto più elevate per le violazioni intenzionali della legge sulla protezione dei dati.
Di seguito, rispondiamo a sette domande pratiche che possono sorgere nella vita di tutti i giorni sulla protezione dei dati.
1. Cosa cambia con la nuova legge sulla protezione dei dati sul posto di lavoro?
La datrice di lavoro deve informare adeguatamente l'interessato sull'acquisizione dei dati personali. In particolare, la datrice di lavoro deve informare l'interessato dello scopo per cui i dati sono necessari e a chi possono essere comunicati.
Se ha più di 250 dipendenti, la datrice di lavoro deve tenere un registro delle collezioni dei dati. In questo registro, la datrice di lavoro deve annotare i dati personali trattati, come ad esempio i documenti di assunzione, le informazioni sulla retribuzione o i documenti di valutazione, e annotare la durata di conservazione dei dati personali.
Attenzione: se l'azienda tratta dati personali particolarmente sensibili su larga scala o effettua profili ad alto rischio, deve tenere un registro delle collezioni dei dati, indipendentemente dalle sue dimensioni.
2. La nuova legge sulla protezione dei dati influisce sul contratto di locazione?
La nuova legge sulla protezione dei dati estende l'obbligo di informazione della locatrice. Secondo la legge precedente, l'obbligo d’informazione esisteva solo quando si ottenevano dati personali particolarmente sensibili. Ora l'obbligo d’informazione si applica indipendentemente a tutti i dati personali. La locatrice deve informare l'inquilino su quali dati sta trattando e per quali finalità e, se del caso, renderli accessibili. Deve fornire all'inquilino queste informazioni «in forma precisa, trasparente e facilmente accessibile». Ad esempio, è possibile fornire informazioni sul sito web e integrare le informazioni nel contratto di locazione.
Attenzione: per i contratti di locazione esistenti, il locatore deve informare l'inquilino solo se utilizza i dati personali dall’entrata in vigore per un altro scopo o se ottiene nuovi dati personali.
3. Un'azienda di trasporto pubblico è autorizzata a raccogliere dati biometrici?
I dati biometrici che identificano in modo univoco una persona, come le impronte digitali, le immagini dell'iride o le registrazioni vocali, sono ora considerati «dati personali particolarmente sensibili». Tuttavia, anche per il trattamento di questi dati, come in precedenza, il consenso non è in generale richiesto. D'altro canto, l'azienda deve informare adeguatamente le persone delle quali tratta i dati biometrici. Ciò, a sua volta, è probabilmente difficile in uno spazio pubblico.
4. L'azienda è tenuta a rilasciare nuovamente i miei dati in formato elettronico?
Sì. La nuova legge sulla protezione dei dati sancisce il diritto alla portabilità dei dati. Un cliente può chiedere la consegna dei propri dati che ha comunicato all'azienda, in un formato elettronico comune. L'azienda deve trasferire i dati direttamente al cliente o a un'azienda (concorrente) richiesta dal cliente.
Ciò è soggetto a due condizioni. L'azienda deve trattare i dati in modo automatico e deve trattarli con il consenso dell'interessato o in diretta connessione con la conclusione o l'esecuzione di un contratto tra il responsabile del trattamento e l'interessato.
In linea di principio, il trasferimento dev’essere effettuato gratuitamente. Se l'emissione comporta uno sforzo sproporzionato, la società può richiedere un contributo ai costi di massimo 300 CHF.
5. Il mio medico è tenuto a segnalarlo se ha perso la mia cartella?
Sì. La nuova legge sulla protezione dei dati obbliga il responsabile a notificare all'IFPDT «quanto prima ogni violazione della sicurezza dei dati che comporta verosimilmente un rischio elevato per la personalità o i diritti fondamentali della persona interessata». Ciò è il caso di uno studio medico che perde una cartella contenente dati sanitari, in quanto si tratta di dati personali che richiedono una protezione speciale. Lo stesso vale se uno studio medico è vittima di un attacco informatico.
6. La nuova legge sulla protezione dei dati si applica anche ad amici e parenti privati?
La legge sulla protezione dei dati si applica, come precedentemente, solo quando i dati escono dalla cerchia privata di amici e familiari.
A differenza del Regolamento generale sulla protezione dei dati dell'UE, la nuova legge sulla protezione dei dati esclude dal suo campo d’applicazione materiale tutti i «dati personali trattati di persone fisiche per uso esclusivamente personale». Pertanto, chi crea dati personali non è tenuto a rispettare i principi della legge sulla protezione dei dati finché non condivide le informazioni con altri. Questo vale anche se prende appunti in un contesto professionale.
Tuttavia, chiunque trasmetta dati al di fuori della cerchia privata di amici o familiari deve rispettare la legge sulla protezione dei dati. Questo vale anche se l'argomento è privato e non professionale.
7. Quali multe sono possibili in base alla nuova legge sulla protezione dei dati?
Mentre la precedente legge sulla protezione dei dati prevedeva una multa massima di 10’000 franchi svizzeri in caso di violazione, ora è possibile una multa massima di 250’000 franchi svizzeri. Sono punibili le violazioni degli obblighi di informare, di concedere l’accesso e di collaborare, dell’obbligo del segreto o l'inosservanza di decisioni dell'IFPDT o di un'autorità di ricorso.
Attenzione: in linea di principio sono responsabili le persone fisiche e non la società.