Quali adattamenti per la Svizzera?
(FR) L'imminente attuazione del regolamento generale europeo sulla protezione dei dati metterà alla prova le nostre imprese. Quali settori saranno soggetti a grandi cambiamenti e quali saranno i contenuti più importanti di cui le imprese svizzere dovranno tenere conto?
A partire dal 25 maggio 2018, il regolamento generale sulla protezione dei dati dell'UE (GDPR UE) si applicherà direttamente anche alle imprese svizzere. La legge svizzera sulla protezione dei dati è attualmente in fase di consultazione, e nell'autunno 2018 entrerà in vigore anche la revisione della legge federale sulla protezione dei dati - la pressione sulle aziende svizzere per allinearsi ai requisiti è notevole. Questo articolo spiega alcuni aspetti chiave del regolamento generale sulla protezione dei dati dell'UE dal punto di vista della Svizzera.
Protezione della persona giuridica
Il Parlamento europeo ha formulato una serie di nuovi emendamenti per adeguare il GDPR dell'UE a tutti i paesi europei, compreso, tra l'altro, il mercato del lavoro svizzero (motivo della considerazione 137). Quindi, tutte le procedure che riguardano i cittadini dell'UE e i dati personali dei cittadini dell'UE o dei collaboratori devono essere eseguite in conformità con il GDPR. L'introduzione del regolamento europeo non mette quindi sotto pressione solo le aziende dell'UE, ma anche gli esportatori, le aziende che vendono per corrispondenza, i proprietari di siti online in Svizzera, così come i settori dell'industria ICT svizzera, della comunicazione, del diritto/controllo, il settore pubblico e l'economia dei dati in generale. La protezione delle persone giuridiche sarà comunque raggruppata. La valutazione dei rischi in quanto tale sarà trasmessa ai collaboratori incaricati della protezione dei dati o ai responsabili della protezione dei dati a partire dal 2018.
Diritti delle persone interessate
Il principio di base del "libero accesso all'istruzione" rimane valido. È da notare che i diritti e gli obblighi delle persone interessate sono stati migliorati. Questi obblighi sono menzionati all'art. 7 del GDPR UE. Tuttavia, la persona interessata ha il diritto di ritirare il suo consenso in qualsiasi momento. Da un lato - dal punto di vista delle possibili sanzioni e dei procedimenti penali - alcune persone, cioè gli imprenditori individuali, possono tuttavia trovarsi di fronte a maggiori handicap organizzativi in termini di protezione dei dati, tipi di contratti, politiche e procedure di protezione dei dati. Allo stesso modo, le inchieste giudiziarie del commissario federale per la protezione dei dati PFPDT sono più frequenti. L'elenco dei compiti del PFPDT è stato notevolmente ampliato (tra gli altri, art. 37, art. 5, art. 7, art. 16, art. 17), il che potrebbe portare a una "burocratizzazione" dell'autorità (fonte: Management & Quality 06/2017).
Obblighi delle persone responsabili
La novità è che certe violazioni della legge sulla protezione dei dati devono essere segnalate all'autorità di vigilanza entro 72 ore dalla loro scoperta, e senza ritardo alle persone interessate. Anche la presenza di un responsabile della protezione dei dati (interno o esterno) è una questione importante per i datori di lavoro svizzeri.
Così, il responsabile del trattamento deve essere in grado di presentare, o meglio di rettificare, i dati a chiunque sia e di informare immediatamente il responsabile della protezione dei dati in caso di manipolazione o perdita di dati personali (articolo 17). Esiste ora un diritto permanente all'informazione su tutte le basi di dati e sui fatti relativi alle modifiche dei dati (articolo 20). Questo diritto si applica in modo esplicito anche alla durata della conservazione.
Attenzione: processi automatici
(FR) L'adozione di nuove tecniche che sono state utilizzate su Internet negli ultimi anni è un nuovo e significativo sviluppo. Per esempio, la profilazione (articolo 3, paragrafo 1, lettera f), cioè la generazione di profili personali sulla base di dati pubblici (i cosiddetti "big data").
Également de grande importance, les décisions dites automatiques ou autonomes (art. 15). Si tratta di decisioni online prese sulla base di processi automatizzati (nessuna interazione umana, ad esempio esami di solvibilità completamente automatizzati). I dati personali come quelli genetici, biometrici o le indagini penali non saranno inclusi in quest'area.