Oltre l'economia
Anche le aziende svizzere dovranno adattarsi al nuovo regolamento europeo sulla protezione dei dati. Più diritti per i cittadini, ma non solo... La Camera di commercio organizza una mattinata informativa
Anche la Confederazione si sta muovendo di pari passo con il nuovo regolamento europeo GDPR. È infatti attualmente in corso la revisione della Legge federale sulla protezione dei dati (LPD) per renderla compatibile con il diritto UE
LUGANO - Il Regolamento europeo n. 2016/679 sulla protezione dei dati (GDPR) intende rafforzare e rendere più omogenea la tutela dei dati di carattere personale dei cittadini europei, attuando una serie di misure volte a favorire più trasparenza nella gestione di tali dati e a garantire ai cittadini europei un maggiore controllo sul loro utilizzo. Il GDPR entrerà in vigore il 25 maggio 2018 e sarà direttamente applicabile a tutti gli attori attivi sul territorio dell’Unione europea (UE), ovvero a tutte le imprese che offrono beni o prestazioni di servizi a persone nell’UE (ad esempio tramite il proprio sito di e-commerce o altre piattaforme di vendita online) oppure alle imprese che analizzano il comportamento di queste persone. La portata di tale regolamento è ampia e riguarda anche le aziende non europee che elaborano/trattano dati di cittadini europei (art. 3), tra cui anche le aziende svizzere. Il GDPR non va preso alla leggera: in caso di sua violazione sono infatti previste sanzioni che possono arrivare sino a 20 milioni di euro o al 4% del fatturato annuo globale.

La Camera di commercio organizza Networking business breakfast il 9 aprile alle 8 sul tema: Anche le nostre aziende devono adattarsi al nuovo GDPR

Maggiori diritti per i cittadini

Grazie al nuovo regolamento, i cittadini europei hanno maggiori diritti: innanzitutto devono essere informati in modo preciso, trasparente, completo e semplice sul trattamento previsto per i loro dati, in particolar modo nel caso di informazioni destinate ai minori (artt. 11-14). Essi hanno inoltre diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e di avere accesso a tali dati nonché ad eventuali informazioni complementari (diritto di accesso, art. 15), possono altresì chiedere rettifiche o completamento dei dati (art. 16) nonché la loro cancellazione (“diritto all’oblio”, art.17). In determinati casi, essi possono ottenere una limitazione di trattamento dei loro dati personali (art. 18), nel qual caso questi ultimi possono essere conservati ma non possono più essere adoperati per ulteriori operazioni. Inoltre, ogni rettifica, cancellazione o limitazione del trattamento dei dati deve essere notificata a chi li sta utilizzando (art. 19). I diretti interessati hanno il diritto di ricevere i loro dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmettere tali dati ad altri operatori (diritto alla portabilità dei dati, art. 20). In qualsiasi momento, essi possono opporsi al trattamento dei dati che li riguardano, anche per finalità di marketing diretto (art. 21) e hanno il diritto di non essere sottoposti a processo decisionale automatizzato (art. 22), ivi compresa la profilazione. Infine, ma non meno importante, hanno il diritto ad essere informati in caso di violazione dei loro dati personali (art. 34).

Il ruolo proattivo delle aziende

Dal canto loro, le aziende che operano con dati di cittadini europei, e sono titolari o responsabili del trattamento di tali dati, oltre agli accresciuti obblighi in materia di trasparenza e di informazione di cui sopra e a dover ottenere il loro consenso espresso alla raccolta e al trattamento dei dati (artt. 6-8), hanno ora anche un ruolo più proattivo e degli obblighi più pregnanti, finalizzati non soltanto al rispetto formale delle regole, ma anche all’adozione di misure tecniche e organizzative che garantiscano sia la protezione dei dati (incluse la pseudonimizzazione e la minimizzazione) sin dal momento della progettazione (privacy by design, art. 25) sia l’utilizzo dei soli dati personali necessari per ogni specifica finalità di trattamento (privacy by default, art. 25). Salvo eccezioni (ovvero le imprese con meno di 250 dipendenti, ma solo se non effettuano trattamenti che possano presentare un rischio per gli interessati), le aziende devono anche tenere un registro delle operazioni di trattamento (i cui contenuti sono elencati all’art. 30). Le misure tecniche e organizzative a protezione dei dati devono essere adeguate (art. 32) e volte a garantire che eventuali lacune nella sicurezza vengano scoperte immediatamente e che, in caso di violazione, esse vengano notificate entro 72 ore sia alle autorità di controllo competenti (in Svizzera: l’Incaricato federale della protezione dei dati e della trasparenza) sia al diretto interessato (data breach, artt. 33-34). Laddove il trattamento dei dati possa presumibilmente presentare un rischio elevato, le aziende devono dapprima effettuare una valutazione dei rischi (valutazione d’impatto sulla protezione dei dati, art. 35). In caso di attività di monitoraggio regolare, sistematica e su larga scala oppure in caso di trattamento su larga scala di dati sensibili (artt.- 37-39) le aziende sono obbligate a dotarsi di un responsabile della protezione dei dati (RPD o anche Data Protection Officer, DPO), scegliendo se formare del personale internamente oppure rivolgersi ad agenzie esterne. Le aziende titolari o responsabili del trattamento che non sono stabilite nell’UE, ma comunque soggette al GDPR, devono nominare un rappresentante nell’UE (art. 27). La mancata nomina di tale rappresentante comporta una multa fino a 10 milioni di euro (art 27 e art. 83 par. 4).

E la Svizzera come si adatta?

Anche la Confederazione si sta muovendo di pari passo con il nuovo regolamento europeo GDPR. È infatti attualmente in corso la revisione della Legge federale sulla protezione dei dati (LPD) per renderla compatibile con il diritto UE. La Commissione delle istituzioni politiche del Consiglio nazionale desidera tuttavia che la revisione avvenga per tappe. Si dovranno dapprima effettuare i necessari adeguamenti al diritto europeo e, successivamente, si potrà procedere alla revisione totale della legge sulla protezione dei dati. Dal fronte svizzero bisognerà quindi attendere l’esito dell’iter politico, che richiederà ancora parecchio tempo.

Pubblicato il 01.03.2018 17:38

Guarda anche
Oltre l'economia
La Camera di Commercio ha organizzato una giornata in cui si è parlato del Paese Asiatico. Non è più sinonimo di produzione a basso costo. Importante richiedere informazioni alle aziende locali. Per chi fosse interessato a scoprire questo mondo più da vicino, si parte...
Oltre l'economia
Camera di Commercio con una serie di interviste vuol far conoscere i membri del suo Ufficio Presidenziale. Parla Giorgio Calderari, Presidente di Farma Industria Ticino: "le aziende associate sono 28, i collaboratori 2'900 con una massa salariale di 255 milioni e un fatturato di 2,3 miliardi"
Oltre l'economia
Dopo la serata dedicata ai cloud, in cui è stato simulato un cyber attacco, la Cc-Ti ha deciso di dedicare altri eventi al tema dei big data, "l'oro nero del terzo millennio": come approcciarsi alla trasformazione digitale al processo tecnologico, un vero e proprio rinnovamento culturale
Oltre l'economia
Ieri si è svolto l'evento organizzato dalla Camera di Commercio alla Scuola di Commercio dedicato a cloud, big data e cyber security, a cui hanno partecipato un centinaio di aziende. La comunicazione è sempre più interconnessa a livello digitale: basti pensare a Twitter, Facebook e YouTube...