Ultima chiamata per le imprese

Ci siamo. Dal 1. settembre entrerà in vigore la nuova Legge sulla protezione dei dati (LPD). L’attuale legislazione risale al 1992, quando Internet era ancora un fenomeno quasi sconosciuto. Ora le aziende, che hanno avuto un anno di tempo per prepararsi alle novità, sono chiamate ad adeguarsi il più rapidamente possibile. Vediamo di cosa si tratta.

Le aziende, da venerdì, dovranno osservare regole più severe in materia di protezione dei dati: ogni impresa dovrà informare in maniera adeguata su ogni raccolta di informazioni. Finora, invece, solo in presenza di dati degni di particolare protezione. Lo scopo della legge è di «proteggere la personalità e i diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento». La LPD, rispetto a oggi, non tratterà più i dati di persone giuridiche.

I dati sono tutto ciò che permettono di identificare una persona: nome, cognome, numero di telefono, indirizzo e-mail, dati di geolocalizzazione e altre informazioni sensibili. Ora, anche le informazioni genetiche e biometriche devono essere maggiormente protette, così come quelle che riguardano la sfera intima e le attività religiose, politiche o sindacali. I dati raccolti dovranno essere trattati in modo più trasparente, per evitare un loro utilizzo ingiustificato.

La legge si applica a tutte le aziende che trattano dati personali nella Confederazione, indipendentemente dalla sede legale dell’impresa. Pertanto, anche le aziende straniere avranno obblighi specifici. Dovranno ad esempio designare un rappresentante in Svizzera. Non solo: pure gli organi federali sono tenuti a rispettare le nuove disposizioni.

Non c’è uno standard unico: ogni azienda dovrà stabilire delle linee guida per il trattamento dei dati, ad esempio nominando un responsabile o un consulente. Dovrà anche creare un registro delle attività di trattamento dei dati. Inoltre, per istituire una nuova banca dati, dovrà adeguarsi alle disposizioni sin dalla progettazione. È necessario comunicare in modo trasparente quali dati vengono raccolti, come vengono gestiti (e conservati) e per quale scopo sono utilizzati. In alcuni casi, in particolare per le informazioni sensibili che necessitano di una particolare protezione (ad esempio negli studi medici), sarà necessario l’espresso consenso. Sul proprio sito web, le aziende sono chiamate a inserire un’informativa sul trattamento dei dati. Le imprese che subiscono una violazione dei dati personali (ad esempio perdita, cancellazione o furto) devono notificarla immediatamente alle autorità di controllo, in particolare all’Incaricato federale della protezione dei dati e della trasparenza.

La revisione totale della Legge sulla protezione dei dati è stata adottata dal Parlamento nel 2020 dopo tre anni di dibattiti. Il Consiglio federale - dopo la consultazione nel 2021 – ha deciso il 31 agosto 2022 di far entrare in vigore la LPD dopo un anno: ovvero il primo settembre 2023. L’obiettivo del Governo era di lasciare un lasso di tempo sufficiente per permettere all’economia di adeguarsi. La nuova legge, infatti, non prevede termini di transizione. Chi non ha ancora agito, dovrà insomma farlo in questi giorni.

In Svizzera, l’attuale Legge federale sulla protezione dei dati risale al 1992 (da allora è stata modificata più volte). Gli sviluppi tecnologici nel corso degli anni sono stati importanti e con l’avvento della digitalizzazione il quadro è mutato completamente. È pertanto necessario adeguarsi, anche perché i dati raccolti in rete sono sempre più numerosi e sempre più specifici (detto in altri termini: profilazione). Nel maggio 2018, l’Unione Europea ha introdotto il nuovo Regolamento generale sulla protezione dei dati (GDPR). Ora, a cinque anni di distanza, anche la Svizzera si appresta a farlo. Le nuove disposizioni saranno inoltre compatibili proprio con il diritto dell’UE: si tratta di un passo necessario per garantire che Bruxelles continui a riconoscere la Confederazione come Stato terzo con un adeguato livello di protezione dei dati.

Sì. È punibile chi viola l’obbligo di informazione, oppure chi fornisce informazioni incomplete o sbagliate sulla protezione dei dati, così come coloro che trasferiscono dati all’estero senza le necessarie autorizzazioni. In caso di violazioni, possono essere inflitte multe fino a un massimo di 250 mila franchi. Solo le persone fisiche potranno essere sanzionate. Le aziende solo in casi ben definiti (ad esempio, se l’identificazione delle persone punibili nelle aziende dovesse comportare un onere sproporzionato). Senza contare il danno d’immagine. A titolo di confronto, l’UE infligge multe fino a 10 milioni di euro per violazioni del diritto europeo e fino a 20 milioni di euro per le imprese.

La legge, inoltre, rafforza i poteri dell’Incaricato federale della protezione dei dati e della trasparenza. Da settembre potrà infatti avviare un’indagine, d’ufficio o su segnalazione, contro un’azienda ed emanare misure: tra queste, anche imporre la cancellazione dei dati. 

L’entrata in vigore della LPD ha messo sul chi vive tutte le aziende in Svizzera. L’applicazione della legge, dal lato pratico, pone ancora molti quesiti. «L’impostazione è abbastanza complessa. Molti concetti, anche per i giuristi, non sono molto chiari», ci spiega Luca Albertoni, direttore della Camera di commercio, dell’industria, dell’artigianato e dei servizi del Cantone Ticino (Cc-Ti). A suo avviso, «all’interno delle nuove disposizioni ci sono molte zone grigie, che possono variare da caso a caso». «La fase critica è adesso che c’è l’implementazione. Poi ci sarà un aggiornamento costante che prenderà sempre meno tempo. Confrontandomi con i colleghi delle Camere di commercio di altri cantoni ci siamo resi conto che c’è ancora tanto lavoro da fare per adeguarsi completamente. Ma non credo che inizieranno controlli draconiani già al due di settembre», aggiunge Albertoni. 

In Ticino non tutti sono pronti

Il cambiamento è imminente, Ma com’è la situazione in Ticino? «Al momento notiamo che c’è grande attenzione. Siamo sulla buona strada, ma non tutti sono pronti. Tra le aziende c’è preoccupazione e sarà sicuramente necessario un periodo di adattamento», sostiene il direttore della Cc-Ti, aggiungendo che non sono solo le piccole aziende a chiedere aiuto. «Abbiamo notato che anche alcune grandi imprese sono in difficoltà». L’importante, tuttavia, è non restare fermi. «Bisogna dimostrare di essersi attivati e di aver implementato le prime misure, anche se non sono perfette. Quest’anno servirà a calibrare bene il nuovo sistema». Per tutti sarà tuttavia necessario adottare alcune misure di base: «Bisogna essere consapevoli di quali dati - e in che modo - vengono trattati, ma anche chi li gestisce. Ciò è fondamentale e vale per tutti, poi ci sono le varie declinazioni a seconda dell’azienda».

Corsi e serate informative

Da circa un anno la Camera di commercio organizza corsi di formazione per aiutare le aziende ad adeguarsi alle nuove disposizioni. «Nei prossimi giorni ci saranno ancora alcuni momenti informativi (giovedì sera è in programma l’evento «LPDomani!» al Casinò di Lugano, ndr) e sono già previsti corsi di formazione nei prossimi mesi». 

Ruolo di accompagnamento

Il lavoro, di certo, non manca. «Stiamo seguendo molte aziende in questo processo e cerchiamo di dare una mano. Abbiamo in particolare un ruolo di accompagnamento attraverso la consulenza: c’è un grande lavoro d’analisi per valutare la situazione di ogni singola azienda. Inoltre, abbiamo preparato dei modelli da utilizzare e da declinare a seconda delle rispettive realtà aziendali. Stiamo cercando di dare tutti gli strumenti possibili per cominciare ad avere una base sulla quale poter lavorare e che verrà adattata con il passare dei mesi e degli anni». Il Consiglio federale ha lasciato un anno di tempo all’economia per adeguarsi alle nuove disposizioni. Troppo poco? «Questo sarà da valutare a posteriori. Alcune aziende sono arrivate un po’ all’ultimo, ma credo sia normale». 

Costi non trascurabili

A preoccupare non è solo la complessità, ma anche il costo. «Sicuramente - conferma Albertoni - ci sono costi aggiuntivi che non sono trascurabili. In particolare per le aziende più piccole: meno risorse si hanno all’interno dell’impresa e meno tempo si ha da dedicare a questi aspetti».