Da qualche mese, la sigla “LPD” è diventata molto popolare. LPD rappresenta l’acronimo ufficiale della Legge sulla protezione dei dati, una normativa adottata dall’Assemblea federale dopo un lungo periodo di elaborazione, precisamente il 25 settembre 2020.

Il nuovo modello richiede una rivalutazione di aspetti fondamentali dell’azienda, come l’organizzazione interna, la gestione del personale, la tecnologia utilizzata, i fornitori di beni e servizi, la sicurezza e la trasparenza dei trattamenti. L’intensificazione delle normative è una conseguenza naturale della digitalizzazione e dei rischi sistemici ad essa associati (si pensi ai disastri informatici, ai furti di dati personali e ai casi di estorsione tramite “ransomware”), così come degli abusi emersi in scandali internazionali come “Cambridge Analytica” (profilazione e manipolazione delle masse tramite fake news) o il caso Snowden.

La recente Legge sulla Protezione dei Dati (LPD) ha come obiettivo principale la salvaguardia delle persone fisiche e, di conseguenza, dell’intera comunità, da qualsiasi forma di utilizzo improprio dei dati personali. Il suo scopo è quello di garantire che le informazioni vengano utilizzate nel modo corretto, al fine di creare una società digitale sicura, efficiente e senza discriminazioni. In modo più poetico, potremmo dire che la LPD mira a proteggere il bene più prezioso di tutti: la libertà e la dignità di ogni individuo come essere umano.

Parlando di responsabilità, per dimostrare che l’adeguamento alla LPD non è facoltativo, saranno i membri del consiglio di amministrazione e i dirigenti a essere considerati responsabili penalmente per le violazioni della LPD commesse dalle loro aziende (con multe fino a CHF 250’000.-). Questo includerà anche la mancata implementazione degli standard minimi di sicurezza che saranno stabiliti dal Consiglio federale. A differenza del diritto europeo, che prevede pesanti sanzioni amministrative pecuniarie per le società, il diritto svizzero ha scelto principalmente di responsabilizzare i dirigenti in quanto detentori del potere decisionale. Allo stesso tempo, rimane la responsabilità civile dei dirigenti nei confronti della società, dei suoi azionisti e dei creditori per non aver impedito la diffusione di atti illeciti o per non aver implementato un’organizzazione conforme alla legge, così come la responsabilità civile della società per il pregiudizio alla personalità delle persone interessate.

La data di entrata in vigore della LPD non è ancora stata stabilita, poiché mancano le norme attuative. Nonostante il termine per il referendum sia scaduto senza risultati, non ci sono ostacoli legali alla sua attuazione. Gli esperti del settore ritengono che la data più realistica sia metà 2022. Dato che questa data è ancora lontana, potrebbe essere tentato di rimandare la questione. Tuttavia, sarebbe un grave errore considerando la complessità degli adempimenti, i tempi tecnici necessari e il fatto che la nuova LPD non prevede un termine generale di adeguamento dopo la sua entrata in vigore. È quindi di fondamentale importanza avviare immediatamente il processo di adeguamento.

Essendo in un momento di transizione, è importante evidenziare l’opportunità di attuare fin da ora le previsioni della futura LPD. Infatti, a parte alcune rare eccezioni, tali previsioni non entrano affatto in conflitto con il diritto attuale.

Esaminiamo concretamente come procedere e quali sono i principali compiti da svolgere. È importante sottolineare che non si tratta semplicemente di un esercizio burocratico (come molti credono), ma di una vera e propria ristrutturazione dell’azienda, che comporta una riflessione sul rapporto con le persone coinvolte, i dati personali e la tecnologia, nonché un cambiamento radicale di mentalità che coinvolge tutti, dai dipendenti fino alla dirigenza aziendale.

Prima di tutto, è necessario creare un Team di progetto autorevole, che abbia a disposizione le risorse adeguate, le competenze tecniche, operative e legali necessarie, nonché obiettivi chiari. È fondamentale che il Team abbia il pieno sostegno della Direzione generale e del CdA. Nel caso in cui non si disponga di know-how specialistico interno, è possibile affidare la guida del Team a uno specialista esterno. Tuttavia, è importante evitare soluzioni completamente esterne, in cui lo specialista pretende di mettere a norma l’azienda dopo alcune interviste. Queste soluzioni sono illusorie e pericolose, poiché nessuno conosce l’azienda meglio di chi ci lavora. Pertanto, il coinvolgimento degli interni è imprescindibile in un progetto serio.

Dopo aver formato il Team, è necessario definire il piano di lavoro con il relativo calendario in base alle risorse disponibili, agli obiettivi e alle priorità di intervento. In questa fase, ci sono due questioni preliminari che devono essere affrontate obbligatoriamente.

(i) Dato il tipo di attività svolta dall’azienda, è necessario prendere in considerazione e implementare nel processo anche le normative estere, come ad esempio il GDPR

e

(ii) l’individuazione di attività che richiedono una particolare (e prioritaria) considerazione (ad esempio, a causa delle conseguenti responsabilità penali o di aspetti “visibili” esternamente, come nel caso delle informative sui cookies, o perché i rischi per le persone coinvolte sono elevati)..

La prima azione da compiere consiste nel “mappare” i trattamenti dei dati personali, inserendo in un registro apposito i seguenti dettagli: quali dati vengono trattati, da chi, come, dove, per quali scopi, chi ne è il destinatario e sulla base di quale motivo giustificativo avviene il trattamento (legge, consenso o interesse preponderante pubblico o privato). Per svolgere questa attività, è consigliabile utilizzare un software gestionale informatico (nelle aziende di medie e grandi dimensioni, la scelta è obbligatoria).

Inoltre, è necessario definire i ruoli e le responsabilità di ogni persona che tratta dati personali, sia interna (dirigenti, collaboratori) che esterna (data processor) all’azienda. Questa situazione deve essere rappresentata in un organigramma facilmente comprensibile. Queste persone devono ricevere istruzioni chiare e complete sui trattamenti da effettuare (direttive e regolamenti interni) e, nel caso di fornitori esterni, una volta verificata l’affidabilità dei singoli fornitori e dei loro prodotti e/o servizi, la delega del trattamento deve essere regolamentata tramite una convenzione scritta. Durante questa fase, è necessario valutare se sia opportuno (o obbligatorio, se si è confrontati con il GDPR) nominare un Data Protection Officer (DPO), che può essere interno o esterno all’azienda, al fine di garantire il rispetto delle norme e offrire un supporto costante all’azienda e alle persone interessate attraverso attività informative, ispettive e di consulenza. In base alla nuova LPD, che non richiede la figura obbligatoria del DPO, la nomina comporta (in determinate condizioni) l’esclusione dell’obbligo di consultazione preventiva dell’Incaricato federale in caso di trattamenti ad alto rischio. Infine, è necessario attuare i principi per il trattamento dei dati personali (sicurezza, proporzionalità, correttezza, privacy by design e by default, ecc.) in relazione ai trattamenti effettuati e alla scelta degli strumenti (fisici e informatici) e delle modalità di trattamento, nonché identificare e bloccare eventuali attività illecite (in attesa di adeguamento o distruzione dei dati).

In quarto posto, è necessario rispettare gli obblighi di informare le persone interessate (compresi i dipendenti, gli utenti delle risorse online e i clienti) sui trattamenti effettuati dall’azienda (o delegati a terzi), fornendo tutte le informazioni richieste dalla legge. In quinto posto, è necessario identificare le ragioni che giustificano ogni categoria di trattamento, ottenendo, se necessario, il consenso degli interessati (in modo valido e legalmente riconoscibile), giustificando adeguatamente l’uso dell’interesse pubblico o privato predominante (“LIA”). In sesto posto, è necessario creare un Team e delle regole per gestire in modo efficace e tempestivo le violazioni della sicurezza dei dati (noti come “data breach”), nonché per gestire le richieste delle persone interessate (correzione dei dati, blocco dei trattamenti, revoca del consenso, accesso ai dati, portabilità, ecc.). In settimo posto, è necessario identificare i trattamenti a rischio elevato che richiedono una valutazione dell’impatto sulla protezione dei dati (conosciuta come “DPIA”) e condurre correttamente tale valutazione (di solito con l’ausilio di uno strumento informatico). Se necessario, è necessario consultare preventivamente l’Incaricato federale. In ottavo posto, troviamo un punto fondamentale: le attività di sensibilizzazione e formazione dei dipendenti sui rischi, i diritti e gli obblighi di ciascuno in materia di protezione dei dati personali, nonché sulle responsabilità ad esse collegate.

Ritengo che sia importante sottolineare come le nuove norme non debbano essere considerate come un’imposizione rigida e onerosa, ma come un’opportunità per rafforzare il rapporto di fiducia con clienti e dipendenti, promuovendo un’immagine aziendale positiva, socialmente responsabile e rispettosa delle regole e dei diritti fondamentali delle persone. Investire nella protezione dei dati personali significa operare in un contesto nuovo, consapevoli dei rischi e delle opportunità, sfruttando appieno vantaggi competitivi e strumenti innovativi nel campo della digitalizzazione. Deludere le aspettative sempre più elevate degli utenti riguardo alla tutela della privacy e della sfera personale, come dimostrato nel caso di WhatsApp, è dannoso non solo dal punto di vista legale, ma anche commerciale. In definitiva, la strada è tracciata e non ci resta che intraprenderla con buona volontà, determinazione e con la migliore compagnia possibile verso la meta.