È tempo per le aziende di adeguarsi, come spiega Siro Migliavacca, General Manager di Security Lab Advisory: società che supporta le organizzazioni nell'implementazione di sistemi di gestione della privacy e della protezione dei dati.

‍

La nuova Lpd impone nuovi obblighi per le aziende. Il Management è infatti chiamato a garantire la effettiva sicurezza dei dati delle persone fisiche trattati dall'azienda e a dimo­strare di aver applicato le giu­ste metodologie e le buone pra­tiche per la loro tutela. La privacy e la protezione dei dati devono essere integrate di­rettamente nei processi azien­dali. I nuovi accordi da sotto­scrivere con le diverse contro­parti creano una maglia di re­sponsabilità che coinvolge tutti. È il mercato, oltre alla legge, a pretendere precise garanzie!

‍

‍
‍Siro, quali sono le principali novità della nuova Lpd?

‍La revisione della legge ha por­tato diverse interessanti novità. Innanzitutto, non si parla più di dati di persone giuridiche, ma soltanto di persone fisiche (di­pendenti, consumatori, utenti internet, ecc.); lo scopo della nuova legge è proteggere la per­sonalità e garantire i diritti fon­damentali delle persone fisiche, i cui dati personali sono oggetto di trattamento. Un'altra novità riguarda la ge­stione dei rischi. Sebbene in Svizzera, in linea di principio, il trattamento dei dati sia au­torizzato a priori purché non vi siano lesioni della personalità, è fondamentale che le organizzazioni garantiscano la sicurezza dei dati in allineamento con il livello di rischio: le misure tec­niche ed organizzative da adot­tare per proteggere i dati de­vono per tanto essere commi­surate al valore del rischio di perdita della sicurezza dei dati stessi (art. 8).

Sempre per rimanere sugli aspetti generali e non sui re­quisiti nuovi più specifici, credo sia importante richiamare il fatto che, quando l'organizza­zione "titolare" affida un trat­tamento di dati ad un terzo (il cosiddetto "responsabile del trattamento"), è necessario che vengano disciplinati chiara­mente gli obblighi delle parti, attraverso una nomina, un con­tratto o un altro atto giuridico vincolante. Come ultimo esempio di no­vità, evidenzierei il rafforza­mento dei poteri conferiti al­l'Incaricato Federale per la Pro­tezione dei Dati e della Tra­sparenza (un lungo capitolo 7) e i provvedimenti amministra­tivi (art.51).

Verso l'Ifpdt dovrà essere ef­fettuata la notifica di ogni vio­lazione di dati che comporti un rischio elevato per la persona­lità o i diritti fondamentali de­gli interessati. In caso di accer­tata violazione delle disposizioni, l'Ifpdt potrà ordinare di adeguare, sospendere o cessare del tutto (o in parte) il tratta­mento dei dati, con ipotetico ri­levante danno per l'azienda, vi­ste le possibili conseguenze fi­nanziarie e reputazionali. La legge prevede che le aziende possano comunque nominare un consulente per la protezione dei dati (art. 10) - interno o esterno - con il compito di for­nire consulenza in materia, par­tecipare all'applicazione del si­stema di gestione della prote­zione dei dati e, dettaglio da non sottovalutare, fungere da punto di riferimento per le autorità competenti e le persone inte­ressate. Questa nomina con­sente di ottenere semplificazioni nella gestione della compliance normativa e, sebbene facolta­tiva, costituisce certamente un'opportunità strategica per tutte le organizzazioni.
‍

‍Quindi, è fondamentale che le organizzazioni pianifichino per tempo il progetto di ade­guamento alla nuova Legge...

‍Per essere pronti alla scadenza, il processo di adeguamento alla nuova Lpd deve essere messo in moto quanto prima poiché esso comporta il coinvolgi­mento dell'intera organizza­zione: un impegno non trascu­rabile in termini di implemen­tazione di nuove contromisure, riorganizzazione interna, asse­gnazione di compiti e respon­sabilità, sensibilizzazione e for­mazione del personale, nonché di integrazione di attività di con­trollo nei processi operativi. Il suggerimento è di avviare su­bito la prima fase progettuale di analisi dei gap, valutazione dei rischi e definizione del piano degli interventi(fase di assessment). Quindi, di procedere con la realizzazione del piano e con la formazione del perso­nale. Arrivare all'estate 2021 con il nuovo sistema di gestione della sicurezza dei dati ultimato, con­sentirà di avere qualche mese a fine anno per testare l'efficacia ed efficienza del sistema, per ap­portare le ultime correzioni e presentarsi perfettamente pronti alla scadenza del 2022.

Il management, "garante" della sicurezza dei dati, ha l'onere di provare l'effettivo avvenuto ade­guamento alla normativa e deve dimostrare in concreto il com­portamento diligente, verso l'Autorità di controllo, la pro­prietà dell'azienda e il mercato.