Il 25 settembre 2020 l’Assemblea federale ha approvato la revisione della Legge sulla Protezione dei Dati (LPD) la quale entrerà in vigore a Settembre 2023.
E’ quindi necessario per le Organizzazioni (siano esse un’azienda, un professionista, un associazione, un ente pubblico) mettere in moto quanto prima il processo di adeguamento alla nuova LPD, perché lo stesso comporta un impegno non trascurabile in termini di implementazione di nuove contromisure, riorganizzazione interna, assegnazione di compiti e responsabilità, sensibilizzazione e formazione del personale, integrazione di attività di controllo nei processi operativi e, quindi, il coinvolgimento dell’intera organizzazione.
La nLPD introduce i seguenti otto cambiamenti principali per le imprese.
1) Solo i dati delle persone fisiche saranno da ora in poi coperti e non più quelli delle persone giuridiche
2) I dati genetici e biometrici entrano nella definizione dei dati sensibili
3) Vengono introdotti i principi di “Privacy by Design” (protezione dei dati sin dalla concezione) e di “Privacy by Default” (protezione dei dati per impostazione predefinita)
4) Devono essere condotte delle analisi d’impatto, in caso di rischio elevato per la personalità o per i diritti fondamentali delle persone interessate
5) Viene esteso il diritto di informare: la raccolta di tutti i dati personali – e non più unicamente di quelli detti sensibili – deve portare all’informazione preventiva della persona interessata
6) Diventa obbligatorio allestire un registro delle attività di trattamento
7) È richiesto l’annuncio rapido in caso di violazione della sicurezza dei dati, da inoltrare all’Incaricato federale per la protezione dei dati e per la trasparenza (IDT)
8) La nozione di profilazione (cioè il trattamento automatizzato dei dati personali) entra a far parte della legge.
Considerando la complessità degli adempimenti e l’assenza di un termine generale di adeguamento dopo l’entrata in vigore della nLPD, è auspicabile che il processo di messa in conformità venga avviato il prima possibile con il supporto adeguato. In questo modo, l’azienda oltre a dimostrare la sua compliance alla norma, potrà dimostrare che tratta i dati personali dei suoi clienti, utenti, dipendenti nel rispetto dei loro diritti fondamentali della personalità.