Revisione del regolamento generale sulla protezione dei dati: quali adeguamenti si applicano alla Svizzera?
L'imminente attuazione del regolamento generale europeo sulla protezione dei dati sta mettendo alla prova le imprese svizzere. In quali aree ci saranno cambiamenti significativi e quali sono i contenuti più importanti che le imprese svizzere dovranno prendere in considerazione a partire da maggio 2018?
Dal 25 maggio 2018, il regolamento generale sulla protezione dei dati dell'UE (GDPR) sarà applicabile con effetto diretto per le aziende svizzere. La legge svizzera sulla protezione dei dati è attualmente in fase di consultazione e anche la revisione della DPA entrerà in vigore nell'autunno 2018 - c'è pressione e necessità per le aziende svizzere di adattarsi.
Questo articolo evidenzia alcuni aspetti chiave della legge europea sulla protezione dei dati per la Svizzera.
Protezione della persona giuridica
Molti nuovi aggiustamenti sono stati formulati nel Parlamento europeo per armonizzare il GDPR con tutti i paesi europei, compreso il posto di lavoro svizzero (considerando 137). Così, in futuro, tutti i trattamenti diretti ai cittadini dell'UE e che coinvolgono i dati personali dei cittadini dell'UE o dei dipendenti devono essere conformi al GDPR.
L'introduzione della legge europea mette quindi sotto pressione non solo le imprese tedesche, ma anche gli esportatori svizzeri, le società di vendita per corrispondenza, gli operatori di siti online e in generale i settori dell'industria svizzera dell'ICT, delle comunicazioni, del diritto/controllo, della pubblicità e dell'economia dei dati. Tuttavia, la protezione delle persone giuridiche deve essere disaggregata.
L'effettiva valutazione dei rischi passerà al personale addetto al trattamento dei dati o ai responsabili della protezione dei dati dal 2018.
Diritti degli interessati
Il principio di "autodeterminazione informativa" rimane valido. Significa che i diritti e gli obblighi degli interessati sono migliorati. Questi obblighi sono elencati nell'articolo 7 del GDPR dell'UE. Tuttavia, la persona interessata ha il diritto di revocare il consenso in qualsiasi momento.
Da un lato, tuttavia, alla luce di possibili sanzioni e procedimenti penali, gli individui o le imprese individuali potrebbero essere confrontati con più handicap organizzativi in termini di termini e condizioni generali, contratti standard, politiche e processi di protezione dei dati che devono essere rispettati.
Allo stesso modo, le indagini penali dell'Incaricato federale della protezione dei dati IFPDT saranno chiamate più spesso. Il catalogo dei compiti dell'IFPDT è stato notevolmente ampliato (tra l'altro art. 37, art. 5, art. 7, art. 16, art. 17), il che potrebbe portare a una "burocratizzazione" dell'autorità (fonte: Management & Quality 06/2017).
Obblighi del controllore e del processore
La novità è che alcune violazioni della protezione dei dati devono essere segnalate all'autorità di vigilanza competente entro 72 ore dal momento in cui se ne viene a conoscenza, e la persona interessata deve essere informata senza indugio. La messa a disposizione di un responsabile della protezione dei dati (interno o esterno) sarà quindi anche una questione importante per i datori di lavoro svizzeri.
Il responsabile del trattamento (dei dati) deve essere in grado di presentare i dati a chiunque, o di correggerli - e deve essere in grado di informare immediatamente il responsabile della protezione dei dati se si teme una manipolazione o perdita di dati personali (art. 17). Esiste ora un diritto permanente di accesso a tutti i file di dati e alle azioni riguardanti le modifiche dei dati (art. 20). Questo diritto si riferisce anche esplicitamente al periodo di conservazione.
Così, la FADP prevede anche esplicitamente il diritto alla cancellazione, che potrebbe essere esercitato anche dagli eredi della persona interessata ("morte digitale", art. 12).
Attenzione: processi automatizzati
Un'innovazione significativa riguarda la considerazione delle nuove tecniche che si sono affermate su Internet negli ultimi anni. Questo include, per esempio, il cosiddetto profiling (art. 3(1)(f)), cioè la generazione di profili di personalità sulla base di dati pubblicamente disponibili (parte dei "big data").
Di grande importanza sono anche le cosiddette decisioni automatiche o autonome (art. 15). Si tratta di decisioni online che vengono prese sulla base di processi automatici (nessuna interazione da parte di un essere umano, come i controlli di credito completamente automatizzati). Quest'area non include dati personali come indagini genetiche, biometriche o penali.
In generale, la regolamentazione del trattamento dei dati degli ordini - con riserva di adeguamenti contrattuali e tecnici - riceverà presto una maggiore attenzione anche in Svizzera.
Analisi dei rischi, test e certificazione
Il regolamento generale sulla protezione dei dati a livello europeo obbliga anche le aziende svizzere ad essere più orientate al rischio. Le aziende dovrebbero conoscere ogni minimo dettaglio del GDPR UE entro il 25 maggio 2018, a quali diritti e obblighi sono soggetti gli "interessati" nel trattamento transnazionale dei dati. L'audit ufficiale, chiamato valutazione d'impatto sulla protezione dei dati (art. 16), è richiesto anche in caso di omissioni negligenti nel trattamento della protezione dei dati. L'incaricato federale della protezione dei dati ha tre mesi di tempo per valutare il rispetto della legge. Inoltre, le procedure di certificazione specifiche per la protezione dei dati potrebbero diventare più rilevanti come prova di conformità al GDPR. (mm)
http://www.edoeb.admin.ch