News
17.12.2020
La nuova Lpd impone nuovi obblighi per le aziende. Il Management è infatti chiamato a garantire la effettiva sicurezza dei dati delle persone fisiche trattati dall'azienda e a dimostrare di aver applicato le giuste metodologie e le buone pratiche per la loro tutela. La privacy e la protezione dei dati devono essere integrate direttamente nei processi aziendali. I nuovi accordi da sottoscrivere con le diverse controparti creano una maglia di responsabilità che coinvolge tutti. È il mercato, oltre alla legge, a pretendere precise garanzie!
La revisione della legge ha portato diverse interessanti novità. Innanzitutto, non si parla più di dati di persone giuridiche, ma soltanto di persone fisiche (dipendenti, consumatori, utenti internet, ecc.); lo scopo della nuova legge è proteggere la personalità e garantire i diritti fondamentali delle persone fisiche, i cui dati personali sono oggetto di trattamento. Un'altra novità riguarda la gestione dei rischi. Sebbene in Svizzera, in linea di principio, il trattamento dei dati sia autorizzato a priori purché non vi siano lesioni della personalità, è fondamentale che le organizzazioni garantiscano la sicurezza dei dati in allineamento con il livello di rischio: le misure tecniche ed organizzative da adottare per proteggere i dati devono per tanto essere commisurate al valore del rischio di perdita della sicurezza dei dati stessi (art. 8).
Sempre per rimanere sugli aspetti generali e non sui requisiti nuovi più specifici, credo sia importante richiamare il fatto che, quando l'organizzazione "titolare" affida un trattamento di dati ad un terzo (il cosiddetto "responsabile del trattamento"), è necessario che vengano disciplinati chiaramente gli obblighi delle parti, attraverso una nomina, un contratto o un altro atto giuridico vincolante. Come ultimo esempio di novità, evidenzierei il rafforzamento dei poteri conferiti all'Incaricato Federale per la Protezione dei Dati e della Trasparenza (un lungo capitolo 7) e i provvedimenti amministrativi (art.51).
Verso l'Ifpdt dovrà essere effettuata la notifica di ogni violazione di dati che comporti un rischio elevato per la personalità o i diritti fondamentali degli interessati. In caso di accertata violazione delle disposizioni, l'Ifpdt potrà ordinare di adeguare, sospendere o cessare del tutto (o in parte) il trattamento dei dati, con ipotetico rilevante danno per l'azienda, viste le possibili conseguenze finanziarie e reputazionali. La legge prevede che le aziende possano comunque nominare un consulente per la protezione dei dati (art. 10) - interno o esterno - con il compito di fornire consulenza in materia, partecipare all'applicazione del sistema di gestione della protezione dei dati e, dettaglio da non sottovalutare, fungere da punto di riferimento per le autorità competenti e le persone interessate. Questa nomina consente di ottenere semplificazioni nella gestione della compliance normativa e, sebbene facoltativa, costituisce certamente un'opportunità strategica per tutte le organizzazioni.
Per essere pronti alla scadenza, il processo di adeguamento alla nuova Lpd deve essere messo in moto quanto prima poiché esso comporta il coinvolgimento dell'intera organizzazione: un impegno non trascurabile in termini di implementazione di nuove contromisure, riorganizzazione interna, assegnazione di compiti e responsabilità, sensibilizzazione e formazione del personale, nonché di integrazione di attività di controllo nei processi operativi. Il suggerimento è di avviare subito la prima fase progettuale di analisi dei gap, valutazione dei rischi e definizione del piano degli interventi(fase di assessment). Quindi, di procedere con la realizzazione del piano e con la formazione del personale. Arrivare all'estate 2021 con il nuovo sistema di gestione della sicurezza dei dati ultimato, consentirà di avere qualche mese a fine anno per testare l'efficacia ed efficienza del sistema, per apportare le ultime correzioni e presentarsi perfettamente pronti alla scadenza del 2022.
Il management, "garante" della sicurezza dei dati, ha l'onere di provare l'effettivo avvenuto adeguamento alla normativa e deve dimostrare in concreto il comportamento diligente, verso l'Autorità di controllo, la proprietà dell'azienda e il mercato.
