Revisione Legge federale sulla protezione dei dati

News

17.12.2020

È tempo per le aziende di adeguarsi, come spiega Siro Migliavacca, General Manager di Security Lab Advisory: società che supporta le organizzazioni nell'implementazione di sistemi di gestione della privacy e della protezione dei dati.

La nuova Lpd impone nuovi obblighi per le aziende. Il Management è infatti chiamato a garantire la effettiva sicurezza dei dati delle persone fisiche trattati dall'azienda e a dimo­strare di aver applicato le giu­ste metodologie e le buone pra­tiche per la loro tutela. La privacy e la protezione dei dati devono essere integrate di­rettamente nei processi azien­dali. I nuovi accordi da sotto­scrivere con le diverse contro­parti creano una maglia di re­sponsabilità che coinvolge tutti. È il mercato, oltre alla legge, a pretendere precise garanzie!

Siro Migliavacca, General Manager di Security Lab Advisory.


Siro, quali sono le principali novità della nuova Lpd?

La revisione della legge ha por­tato diverse interessanti novità. Innanzitutto, non si parla più di dati di persone giuridiche, ma soltanto di persone fisiche (di­pendenti, consumatori, utenti internet, ecc.); lo scopo della nuova legge è proteggere la per­sonalità e garantire i diritti fon­damentali delle persone fisiche, i cui dati personali sono oggetto di trattamento. Un'altra novità riguarda la ge­stione dei rischi. Sebbene in Svizzera, in linea di principio, il trattamento dei dati sia au­torizzato a priori purché non vi siano lesioni della personalità, è fondamentale che le organizzazioni garantiscano la sicurezza dei dati in allineamento con il livello di rischio: le misure tec­niche ed organizzative da adot­tare per proteggere i dati de­vono per tanto essere commi­surate al valore del rischio di perdita della sicurezza dei dati stessi (art. 8).

Sempre per rimanere sugli aspetti generali e non sui re­quisiti nuovi più specifici, credo sia importante richiamare il fatto che, quando l'organizza­zione "titolare" affida un trat­tamento di dati ad un terzo (il cosiddetto "responsabile del trattamento"), è necessario che vengano disciplinati chiara­mente gli obblighi delle parti, attraverso una nomina, un con­tratto o un altro atto giuridico vincolante. Come ultimo esempio di no­vità, evidenzierei il rafforza­mento dei poteri conferiti al­l'Incaricato Federale per la Pro­tezione dei Dati e della Tra­sparenza (un lungo capitolo 7) e i provvedimenti amministra­tivi (art.51).

Verso l'Ifpdt dovrà essere ef­fettuata la notifica di ogni vio­lazione di dati che comporti un rischio elevato per la persona­lità o i diritti fondamentali de­gli interessati. In caso di accer­tata violazione delle disposizioni, l'Ifpdt potrà ordinare di adeguare, sospendere o cessare del tutto (o in parte) il tratta­mento dei dati, con ipotetico ri­levante danno per l'azienda, vi­ste le possibili conseguenze fi­nanziarie e reputazionali. La legge prevede che le aziende possano comunque nominare un consulente per la protezione dei dati (art. 10) - interno o esterno - con il compito di for­nire consulenza in materia, par­tecipare all'applicazione del si­stema di gestione della prote­zione dei dati e, dettaglio da non sottovalutare, fungere da punto di riferimento per le autorità competenti e le persone inte­ressate. Questa nomina con­sente di ottenere semplificazioni nella gestione della compliance normativa e, sebbene facolta­tiva, costituisce certamente un'opportunità strategica per tutte le organizzazioni.

Quindi, è fondamentale che le organizzazioni pianifichino per tempo il progetto di ade­guamento alla nuova Legge...

Per essere pronti alla scadenza, il processo di adeguamento alla nuova Lpd deve essere messo in moto quanto prima poiché esso comporta il coinvolgi­mento dell'intera organizza­zione: un impegno non trascu­rabile in termini di implemen­tazione di nuove contromisure, riorganizzazione interna, asse­gnazione di compiti e respon­sabilità, sensibilizzazione e for­mazione del personale, nonché di integrazione di attività di con­trollo nei processi operativi. Il suggerimento è di avviare su­bito la prima fase progettuale di analisi dei gap, valutazione dei rischi e definizione del piano degli interventi(fase di assessment). Quindi, di procedere con la realizzazione del piano e con la formazione del perso­nale. Arrivare all'estate 2021 con il nuovo sistema di gestione della sicurezza dei dati ultimato, con­sentirà di avere qualche mese a fine anno per testare l'efficacia ed efficienza del sistema, per ap­portare le ultime correzioni e presentarsi perfettamente pronti alla scadenza del 2022.

Il management, "garante" della sicurezza dei dati, ha l'onere di provare l'effettivo avvenuto ade­guamento alla normativa e deve dimostrare in concreto il com­portamento diligente, verso l'Autorità di controllo, la pro­prietà dell'azienda e il mercato.

Heading 1

Heading 2

Heading 3

Heading 4

Heading 5
Heading 6

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.

Block quote

Ordered list

  1. Item 1
  2. Item 2
  3. Item 3

Unordered list

  • Item A
  • Item B
  • Item C
Text link

Bold text

Emphasis

Superscript

Subscript

Scarica l'articolo in PDF
FILTRO RICERCA
News
Eventi
FILTRO RICERCA
News
Eventi