A partire dal primo settembre 2023, in Svizzera è entrata in vigore la nuova Legge federale sulla protezione dei dati, LPD, che sostituisce la precedente legge del 1992. Questa nuova normativa introduce importanti cambiamenti riguardanti la protezione dei dati personali e l’obbligo di conformità, al fine di garantire un livello di sicurezza simile a quello del GDPR dell’UE.
In base a questa nuova regolamentazione, tutti i siti web che trattano dati personali di utenti ubicati in Svizzera devono rispettare requisiti essenziali sull’uso dei cookie, sul consenso e sul monitoraggio online.
Esamineremo nel dettaglio le novità introdotte dall’LPD, le differenze tra la normativa svizzera e il GDPR europeo e come adeguare definitivamente il tuo sito web senza dover sottoscrivere abbonamenti.
Panoramica sulla LPD: Che cos’è?
La Legge sulla protezione dei dati (LPD) stabilisce i principi fondamentali per il trattamento dei dati personali e rafforza la loro protezione. Uno degli obiettivi principali della recente normativa è quello di allinearsi il più possibile con il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, al fine di garantire il flusso continuo di dati personali dallo Spazio Economico Europeo (SEE) alla Svizzera.
In particolare, per quanto riguarda i siti web, se vengono trattati ed elaborati dati personali sensibili, la LPD richiede di ottenere il consenso libero, informato e volontario da parte degli utenti situati in Svizzera, nonché di fornire un’informativa sulla privacy. La LPD definisce i dati personali come qualsiasi informazione relativa a una persona identificata o identificabile, come ad esempio gli indirizzi IP dei visitatori.
Per quanto riguarda i dati sensibili, la LPD include informazioni sulla razza, sulla salute, sulle convinzioni religiose o politiche, i dati genetici e biometrici, la sicurezza sociale e la vita sessuale di tutti gli utenti che visitano un sito web. La direttiva deve essere rispettata sia dai siti web operanti nel settore privato che in quello pubblico e si applica a qualsiasi portale che elabora dati di persone ubicate in Svizzera, indipendentemente dalla loro posizione geografica nel mondo. Per i trasgressori, ossia per tutti i siti non conformi, sono previste multe salate fino a 250.000 CHF.
Le principali modifiche apportate dalla nuova legge
La nuova Legge sulla Protezione dei Dati Personali (LPD) introduce alcune modifiche rispetto alla legge precedente, tra le più significative troviamo:
- Privacy by Design: è necessario adottare misure tecniche fin dalla fase iniziale di pianificazione di un progetto web al fine di garantire la sicurezza dei dati;
- Requisiti di consenso rafforzati: la nuova legge presta maggiore attenzione alla consapevolezza e alla formazione delle persone interessate riguardo alla raccolta e all’utilizzo dei loro dati personali. Le aziende devono comunicare in modo esplicito sul proprio sito web la tipologia di dati raccolti, le finalità e altro ancora, nonché i diritti degli utenti e le opzioni per esercitarli.
- Maggiore facilità nell’esercizio dei diritti delle persone interessate: gli utenti devono poter accedere ed esercitare i loro diritti in modo più rapido, chiedendo alle aziende informazioni sull’uso dei propri dati personali in modo semplice.
Quali sono gli aspetti su cui è necessario intervenire per rendere un sito web o un e-commerce conforme alla LPD e al GDPR?
È evidente che tutti i siti web e gli shop online che gestiscono informazioni personali degli utenti svizzeri devono conformarsi alle nuove normative.
In particolare, quali sono le misure necessarie da adottare per essere conformi?
È necessario inserire un banner dei cookie conforme: lo stesso deve contenere informazioni chiare sulle impostazioni dei cookie del tuo sito web e sulle pratiche di trattamento dei dati personali. Come il GDPR dell’UE, anche la LPD svizzera richiede che il consenso ai cookie da parte dell’utente finale sia specifico, ovvero deve essere richiesto per ciascun tipo di finalità perseguita. Un banner di consenso corretto non deve avere caselle di controllo preselezionate, ossia cookie abilitati di default, non deve spingere o costringere gli utenti a dare il consenso e non deve interpretare come consenso attività come lo scorrimento o la continuazione della navigazione nel dominio. Nel caso in cui un visitatore rifiuti un cookie che richiede il consenso, non può essere negato l’accesso al sito web.
È importante mettere a disposizione degli utenti una Privacy Policy e una Cookie Policy, all’interno delle quali non possono mancare informazioni sull’identità e sui dati di contatto del titolare del trattamento (proprio o di terze parti), sulle finalità dei cookie che verranno depositati e/o letti, sui destinatari o sulle categorie di destinatari dei dati.
Quali sono le differenze principali tra la LPD e il GDPR?
La LPD svizzera e il GDPR europeo presentano alcune differenze significative. Mentre la LPD è più severa in alcuni aspetti, richiedendo meno requisiti in altri, il GDPR è più rigido in generale.
Una delle differenze principali è che la LPD punisce le persone fisiche, non solo le aziende, con sanzioni, a differenza del GDPR. Inoltre, la LPD non richiede una giustificazione per il trattamento dei dati personali, a differenza del GDPR.
Un’altra differenza riguarda l’ambito di applicazione. Secondo la legge svizzera, la LPD copre tutti i trattamenti dei dati, sia manuali che automatizzati, mentre il GDPR si applica solo al trattamento manuale dei dati.
Inoltre, mentre il GDPR richiede la nomina di un responsabile del trattamento dei dati, la LPD svizzera lo consiglia ma non lo rende obbligatorio. La legge svizzera pone invece l’accento sul coinvolgimento dei collaboratori nel processo di gestione dei dati, richiedendo che tutte le persone che entrano in contatto con i dati siano informate sulla natura dei dati, sul loro scopo e su come verranno trattati.
Per conformarsi alle leggi sulla protezione dei dati, è fondamentale che tutti abbiano una piena consapevolezza dei rischi, degli obblighi e dei diritti legati alla protezione dei dati.
Ecco un riassunto delle principali differenze tra le due normative:
| LPD | GDPR |
| Vincoli di informazione | Le informazioni richieste per la privacy policy sono inferiori rispetto alle normative europee. È essenziale includere l’elenco dei paesi con cui verranno condivisi i dati personali. | Le disposizioni e i requisiti minimi per l’inclusione delle informazioni all’interno dell’informativa sulla privacy sono dettagliati nell’articolo 13. |
| Condivisione dei dati | Il consiglio federale svizzero valuta se i partner con cuicondividere i dati sono idonei. Condizioni contrattuali regolari dell’Unione Europea o altre leggi aziendali vincolanti sono considerate. | La commissione europea valuta l’idoneità dei partner con cui condividere i dati, tenendo conto delle condizioni contrattuali regolari o di altre leggi aziendali vincolanti. |
| Sanzioni | Fino a 250.000 franchi svizzeri nei confronti del responsabile o fino a 50.000 franchi svizzeri nei confronti dell’azienda. | Per le prime violazioni o per quelle meno gravi, l’importo da pagare sarà pari al 2% del fatturato totale annuo o a 10 milioni di euro. |
| Notifica di violazione dei dati | Imposto “quanto prima” | Imposto “entro 72 ore” |
| Responsabile della protezione dei dati | Suggerito | Imposto |
| Registri delle attività di trattamento | È necessario includere un elenco dei paesi in cui vengono divulgati i dati. | L’Art.30 del GDPR disciplina tutte le informazioni che devono essere incluse nell’informativa sulla privacy. |
| Valutazioni d’impatto della protezione dei dati | In caso di rischio significativo, è possibile rivolgersi al responsabile della protezione dei dati anziché all’incaricato federale della protezione dei dati e della trasparenza. | In caso di rischio significativo, è necessario consultare l’autorità di controllo competente. |
Perché è essenziale conformare il proprio sito web alla nuova LPD?
È fondamentale adeguarsi alla nuova legge perché solo così ogni sito web aziendale sarà in grado di garantire un trattamento sicuro e responsabile dei dati.
Oggi, la trasparenza e la fiducia rappresentano un vantaggio competitivo per le aziende. Non conformarsi e non garantire la giusta protezione potrebbe danneggiare gravemente la reputazione del brand. Inoltre, un altro motivo da non sottovalutare è la necessità di competere adeguatamente con l’Unione Europea. Solo così sarà possibile trasferire dati a livello internazionale e continuare a fare affari nel mercato europeo.
