Se non lo avete ancora fatto, prima di proseguire vi consigliamo di leggere l’articolo nLPD 2023: come cambia la protezione dei dati in Svizzera in cui vengono richiamati gli aspetti normativi. In questo articolo ci concentreremo soprattutto sul lato pratico. E cominciamo ricordando 3 punti essenziali: 

1. La nLPD di fatto recepisce il GDPR (Regolamento Generale sulla Protezione dei Dati) e lo armonizza secondo la normativa Svizzera; i principi-cardine, quindi, restano gli stessi;
2. Le imprese e le organizzazioni che si rivolgono anche al pubblico UE avrebbero già dovuto adeguarsi al GDPR, quindi partono avvantaggiate; chi non aveva l’obbligo di farlo erano le imprese svizzere che si rivolgevano solo al pubblico nazionale. E adesso, tocca anche a loro! 
3. Questo importante cambiamento legislativo è accompagnato da una serie di obblighi per le imprese (considerate “titolari del trattamento” dei dati) ma anche per le agenzie e i professionisti che collaborano sui progetti digitali aziendali (considerati “responsabili del trattamento”). Quindi, nessuno può dirsi escluso: la nuova legge riguarda TUTTI coloro che svolgono un’attività in cui si raccolgono dati. E quale attività, oggi, non lo prevede?

Tuttavia, la normativa specifica determinati obblighi per i titolari del trattamento. Per approfondirli, clicca sulla freccia!

Compliance

• I programmi e processi implementati devono proteggere i diritti fondamentali delle persone fisiche (dipendenti, clienti, fornitori, utenti online) i cui dati sono oggetti di trattamento.
• Le misure tecniche e organizzative devono essere appropriate a garantire sicurezza per i dati.

Obbligo di informare (trasparenza come principio cardine)

• I dati personali possono essere raccolti solo per uno scopo determinato e riconoscibile per la persona interessata.
• Lo scopo è riconoscibile se la persona interessata è stata informata, se il trattamento è previsto dalla legge o quando lo si evince chiaramente dalle circostanze.
• I dati devono essere trattati in conformità con gli scopi iniziali, dunque un ulteriore tipo di trattamento non è ammissibile se la persona interessata può legittimamente considerarlo inatteso, inappropriato e contestabile.
• Per adempiere all’obbligo, l’interessato deve poter prendere effettivamente atto delle informazioni in modo facilmente accessibile. 

Misure tecnico-organizzative

• Allo scopo di prevenire e mitigare i rischi per i diritti fondamentali delle persone interessate, i titolari/responsabili del trattamento devono comprovare, documentare e illustrare l’implementazione di un processo adeguato a proteggere le persone interessate. 

Ora che abbiamo ripassato i pilastri della nLPD, vediamo come applicarli al sito web aziendale.

È uno dei punti più controversi ed è anche quello che rischia di portare più confusione: Privacy Policy e Cookie Policy infatti sono spesso trattate come sinonimi ma non lo sono. Entrambi sono concetti e documenti importanti che qualsiasi sito web deve avere per informare gli utenti sull’utilizzo dei propri dati personali e dei cookie. Ma restano due entità diverse. Vediamole meglio:

La privacy policy è un documento che spiega come un sito web raccoglie, utilizza e protegge i dati personali degli utenti. Deve includere informazioni su:

• Quali dati personali vengono raccolti (nome, cognome, e-mail, preferenze,…)
• Come vengono raccolti i dati personali
• Come vengono utilizzati i dati personali
• Come gli utenti possono accedere e modificare i propri dati personali
• Come gli utenti possono opporsi al trattamento dei loro dati personali

La cookie policy, invece, è un documento che spiega come un sito web utilizza i cookie. I cookie sono piccoli file di testo che vengono memorizzati sul computer dell’utente quando visita un sito web. Possono essere utilizzati per diversi scopi, tra cui:

• Salvare le preferenze dell’utente
• Rilevare il traffico del sito web
• Personalizzare la pubblicità

La cookie policy deve includere informazioni su:

• Quali cookie vengono utilizzati dal sito web
• A cosa servono i cookie
• Come gli utenti possono controllare i cookie

Nelle impostazioni del browser l’utente può controllare e modificare l’utilizzo dei cookie: bloccarli, consentire solo i cookie di prima parte o chiedere il permesso prima di salvare un cookie.

La principale differenza tra privacy policy e cookie policy è che la prima riguarda tutti i dati personali raccolti dal sito web, e quindi deve essere più dettagliata e specifica (completa di tutte le informazioni su come i dati personali vengono raccolti, utilizzati e protetti).

Ci sono diversi aspetti da tenere in considerazione affinché il vostro sito sia compliant con la nLPD:

1. Aggiornare la Cookie Policy: come accennato in precedenza, è fondamentale avere una cookie policy chiara e completa che rispetti le nuove regole sulla protezione dei dati.
2. Ottenere il consenso: i siti web devono ottenere il consenso esplicito degli utenti per l’uso dei cookie. Questo può essere fatto attraverso banner o pop-up che chiedono all’utente di accettare o rifiutare l’uso dei cookie.
3. Archiviazione sicura dei dati: i dati personali degli utenti devono essere archiviati in modo sicuro e protetto da accessi non autorizzati.
4. Rispondere alle richieste degli utenti: la nLPD dà agli utenti il diritto di richiedere l’accesso ai propri dati personali e di chiederne la cancellazione. I siti web devono essere pronti a rispondere a tali richieste in modo tempestivo.
5. Privacy by Design: il sito web deve rispondere al principio di Privacy by Design, quindi è indispensabile che gli aspetti di tutela dei dati personali vengano presi in considerazione già in fase di progettazione.
6. Valutazione dei rischi: è importante condurre una valutazione dei rischi per identificare potenziali vulnerabilità nella gestione dei dati del sito e prendere misure preventive. Ricordiamo infatti che in caso di data-breach è indispensabile poter dimostrare di aver fatto tutto il possibile per evitarlo. E questo include anche il punto 7.
7. Formazione del personale: il personale coinvolto nella gestione dei dati deve essere adeguatamente formato per comprendere e rispettare le leggi sulla protezione dei dati. E questo include anche l’utilizzo del sito web. Spesso infatti chi aggiorna i contenuti del sito o scarica i contatti raccolti non è un webmaster ma una persona interna all’azienda, che spesso svolge anche altre mansioni. È indispensabile quindi che possa conoscere in dettaglio ciò la legge prevede nel trattamento dei dati anche sul fronte del sito web.