Immagine simbolica RGPD

Protezione dei dati Nuova LPD: novità per i commercianti
Con la nuova Legge federale sulla protezione dei dati, cambiano importanti regole anche per il commercio. D’ora in poi una mancata osservanza potrà rivelarsi costosa, ecco perché le aziende dovrebbero prendere gli opportuni provvedimenti.
La nuova Legge federale sulla protezione dei dati (LPD) dovrebbe entrare in vigore il 1º settembre 2023. I commercianti dovranno così confrontarsi maggiormente con il tema della protezione e della sicurezza dei dati, proprio come accade già nel resto d’Europa. La LPD è orientata al regolamento generale europeo sulla protezione dei dati (RGPD) in vigore da tempo.
Cosa prevede la legge
In breve, la nuova legge prevede quanto segue:
- Le aziende devono adottare misure tecniche e organizzative per garantire una sicurezza dei dati proporzionata al rischio. Lo scopo è assicurare la riservatezza, l’integrità e la disponibilità dei dati personali. Il significato di «proporzionato» dipende dalla probabilità che si verifichi una violazione e dall’entità del danno arrecato all’interessato. In generale, si può affermare che i requisiti per le misure aumentano quanto più sensibili sono le informazioni trattate.
- Poiché i tentativi di attacco da parte di criminali e il panorama IT sono in continua evoluzione, le misure devono essere verificate regolarmente e, se necessario, adattate.
- I principi di «privacy by design» e «privacy by default» sono ripresi dal RGPD. Ciò significa che quando si sviluppano o acquistano soluzioni tecniche, occorre assicurarsi che vengano elaborati il minor numero possibile di dati personali e che questi siano tutelati secondo l’attuale stato dell’arte.
- Se si prevede che un interessato subirà gravi danni in caso di violazione, l’azienda deve effettuare e documentare una valutazione dell’impatto sulla protezione dei dati prima di avviare il trattamento dei dati personali. Si tratta ad es. di dati sulla salute o sulla situazione finanziaria. Occorre dimostrare quali misure di protezione vengono adottate per escludere il rischio. Tutto questo va documentato.
- In caso di violazione dei dati e se vi è il pericolo che i dati personali siano stati o siano messi a repentaglio, con l’implicazione di un rischio per gli interessati, la legge stabilisce che l’azienda debba segnalarlo quanto prima all’incaricato federale della protezione dei dati e della trasparenza (IFPDT). In caso di dubbio, è meglio fare una segnalazione in più anziché una in meno. Inoltre le aziende devono informare gli interessati dalla violazione. Se terzi non autorizzati riescono ad accedere ad es. a password e dati dei clienti, incluse le informazioni di pagamento, ciò costituisce un caso con obbligo di notifica, indipendentemente dal fatto che si tratti di un attacco o di una negligenza da parte dell’azienda.
Minaccia di sanzioni severe
Le violazioni della protezione e della sicurezza dei dati implicano da sempre dei costi. L’arresto dell’attività di uno shop online a causa di un attacco grava sul fatturato. E se il caso viene reso noto, la reputazione dell’azienda ne risulta danneggiata, traducendosi anche in perdite di fatturato. Contrariamente a quanto previsto dalla legge finora, le violazioni intenzionali (inclusa l’accettazione negligente) della sicurezza dei dati sono soggette a sanzioni penali fino a 250’000 franchi. Particolarità tutta elvetica: le multe non sono dirette all’azienda. Il più delle volte si tratta di sanzioni penali dirette contro il responsabile della violazione.
È proprio in termini di responsabilità penale che le società commerciali dovrebbero prendere provvedimenti più incisivi.
Occhio all’outsourcing e all’esportazione dati!
Per attuare le misure tecniche e organizzative citate, è opportuno redigere un elenco dell’«inventario dei dati». La LPD lo prevede esplicitamente. Qui verrà precisato dove vengono salvati ed elaborati i dati relativi a una persona.
La maggior parte degli shop online accede a elementi tecnici forniti da terzi (ad es. tool per la gestione delle newsletter, sistemi di pagamento, ecc.). Il trattamento e l’archiviazione dei dati non avvengono quindi presso l’azienda stessa. Tuttavia, il commerciante resta responsabile della sicurezza dei dati. Si dovrebbero pertanto stipulare contratti relativamente al «trattamento degli ordini» con tutti i fornitori esterni. A tal fine, si può ricorrere a un contratto standardizzato basato sul modello europeo, noto anche come «Data Processing Agreement» (DPA) in inglese. Tutti i fornitori rispettabili dovrebbero già disporre di tali contratti.
Se i sistemi del fornitore si trovano all’estero, ossia il servizio di newsletter ha sede al di fuori della Svizzera, il trattamento dei dati è un’esportazione. In tal caso è importante assicurarsi che l’IFPDT possieda una lista dei Paesi la cui legislazione consente un livello adeguato di protezione dei dati. Questi sono ad es. gli Stati membri dello Spazio economico europeo (SEE), Gran Bretagna, Canada, Israele e Nuova Zelanda. In linea di principio, ciò significa: se non è possibile far elaborare i dati su un server situato in uno di questi Stati, si dovrebbe rinunciare al trattamento in quanto l’esportazione non è consentita in quel Paese.