La Svizzera e la protezione dei dati digitali

Sono quasi 3 anni che il nuovo Regolamento Europeo sulla protezione dei dati è stato approvato, eppure in Svizzera la situazione sembra non essere ancora chiara per tutti. In che modo il GDPR (General Data Protection Regulation, conosciuto in Svizzera anche con l’acronimo RGPD) riguarda le aziende svizzere? Perché è importante adattare la protezione dei dati digitali svizzera alle regole dell’Unione Europea?  

Abbiamo cercato di fare chiarezza rispondendo ai dubbi più comuni che ci sono stati rivolti in questi mesi.  

Il GDPR vale anche per le aziende che hanno sede in Svizzera?

Sì, se si rivolgono (anche) al mercato europeo. 

Anche se la vostra azienda è Svizzera, deve sottostare alle regole sulla protezione dei dati del suo più grande partner commerciale: l’Unione Europea. Vale infatti il Diritto del Consumatore, per cui è necessario fare riferimento al Paese in cui risiede l’acquirente di beni o servizi, non l’azienda che li offre. In parole povere: non conta se la sede dell’azienda è in Svizzera. Se si rivolge al mercato europeo (indipendentemente dal tipo di pubblico) allora deve sottostare al GDPR

Per essere ancora più chiari, il GDPR interessa la vostra azienda basicamente in 3 casi: 

  1. La vostra azienda ha una succursale in un Paese UE 
  2. Il vostro sito e i vostri servizi sono disponibili in Paesi UE 
  3. Tra il vostro target (a cui per esempio indirizzate degli annunci profilati) ci sono utenti in Paesi UE.

È compito dell’azienda stessa verificare che le proprie condizioni generali contrattuali, le dichiarazioni sulla protezione dei dati, i contratti e le impostazioni del sito web soddisfino i requisiti del GDPR.  

Leggi anche GDPR e Cookie Policy

Facciamo un esempio: se un’impresa, con sede in Svizzera, ha un’e-commerce e la sua vendita online comprende persone domiciliate in Italia, Francia o Germania, la società dovrà adeguarsi al Regolamento Europeo poiché vende beni o servizi a persone che si trovano nell’UE. 

Ma in Svizzera non esisteva già una Legge sulla Protezione dei Dati?

Sì. Ed è appena stata aggiornata. 

In Svizzera esisteva già una tutela per la protezione dei dati personali: l’LPD (Legge Protezione dei Dati – del 19 giugno 1992) che in parte anticipava lo spirito di molte risoluzioni contenute nel GDPR.  

Il Regolamento Europeo, una volta entrato in vigore in Europa, è diventato obbligatorio per le imprese svizzere che si rivolgono al pubblico europeo; le imprese svizzere che si rivolgono solo ad altre imprese svizzere possono invece continuare a fare affidamento all’LPD. Attenzione però, perché recentemente l’LPD è cambiato! Il 20 settembre 2020 le Camere Federali hanno approvato una sua revisione che, di fatto, accoglie molti spunti del GDPR. La nuova LPD (o nLPD) contiene diverse novità tra cui un ruolo rafforzato per l’Incaricato Federale per la Protezione dei Dati e della Trasparenza (IFPDT, l’equivalente svizzero del Garante della Privacy), la nuova figura del Consulente per la protezione dei dati e un nuovo sistema di sanzioni per le imprese che non rispetteranno i nuovi termini.

Ci sarà tempo per adeguarsi fino al 2022, ma come si dice… chi ha tempo non aspetti tempo! 

In sintesi: tutte le aziende svizzere devono adeguarsi a un nuovo sistema di trattamento e protezione dei dati: 

  • quelle che si rivolgono al mercato europeo, nel rispetto del GDPR; 
  • quelle che si rivolgono solo al mercato interno, nel rispetto della nLPD (che però è, di fatto, la versione svizzera del GDPR). 

La mia azienda si rivolge principalmente la mercato svizzero, ma non ci precludiamo ad eventuali clienti europei. Come dobbiamo comportarci? 

Viste le recenti normative, la mossa più saggia è andare sul sicuro e adeguarsi subito al GDPR. In passato, in caso di controversie, i consulenti giuridici analizzavano la comunicazione online dell’azienda (sito, canali social etc.) per verificare se ci fosse o meno un’intenzione manifesta di rivolgersi al mercato europeo (esempi: prezzi indicati anche in euro, riferimenti a spedizioni internazionali etc.). Ma con l’introduzione della nuova LPD, di fatto questa distinzione decade. Meglio uscire dalla zona grigia e adeguarsi subito. 

La mia azienda ha un sito web raggiungibile dall’Europa ma non vende prodotti o servizi online, né chiede agli utenti di rilasciare i propri dati. Devo comunque adeguarmi? 

Quasi certamente sì. Ecco perché: la maggior parte dei siti web è dotata di software che tracciano il comportamento degli utenti. A seconda di come è stato implementato il codice di tracciamento, potrebbe trattarsi di un tracciamento anonimo e non riconducibile a un singolo individuo, ma che è utile all’azienda per avere informazioni sulle performance del sito.

Un esempio classico è quello di Google Analytics, che permette di ottenere informazioni su quanti utenti hanno visitato il nostro sito, da quale area geografica, quali pagine hanno visitato di più e così via. Questi software funzionano sfruttando una tecnologia chiamata “cookie”, di cui recentemente si è molto parlato. I cookie sono semplicemente delle piccole righe di codice che vengono scaricate nel browser di chi naviga il sito e conservati in locale, rendendo possibili, tra l’altro, la creazione di una cronologia di navigazione e il mantenimento in memoria dei dati di login nei siti che lo richiedono.

Analizzate però con cura le parole che abbiamo scelto: i cookie vengono “scaricati in locale”, quindi di fatto entrano nel territorio in cui l’utente risiede e tracciano la sua attività. Ecco perché l’adeguamento è necessario! 

Leggi anche GDPR compliance per i siti WordPress

Quindi per adeguarci alla normativa dovremo anche inserire il banner di accettazione dei cookie? 

Sì. I cookie sono l’esempio per eccellenza che chiama in causa il GDPR. Ed è importante che venga eseguito nel modo corretto. 

Per entrare maggiormente nel dettaglio, distinguiamo tre tipi di cookie: 

  1. Cookie tecnici, ovvero quelli necessari al corretto funzionamento del sito web; 
  2. Cookie di profilazione, ovvero quelli che forniscono dati utili ai fini marketing e danno forma ai profili degli utenti con lo scopo di creare messaggi pubblicitari su misura; 
  3. Cookie di terze parti, ovvero che non riguardano direttamente il sito ma alcune sue componenti o integrazioni (ad esempio se esiste un form integrato con il CRM aziendale o il programma utilizzato per inviare la newsletter). 

Il regolamento GDPR concerne tutte le aziende che gestiscono qualsiasi tipologia di dato personale degli utenti. Per essere compliance, un sito web dovrebbe bloccare di default tutti i cookies non tecnici: in altre parole, i cookies che prevedono un utilizzo di marketing e profilazione devono essere opzionali e profilati dall’utente stesso.  L’utente deve poter esprimere liberamente il consenso a tutti e tre. Se sceglie di negarlo, deve comunque poter navigare il sito senza che i cookie si attivino. Non basta inserire un banner informativo: è necessario che la scelta sia effettiva. Questo implica un enorme lavoro informatico “dietro le quinte” per adeguare tutto il funzionamento del sito.  

Mi affido a un’agenzia (o a un collaboratore esterno) per la gestione del sito. In questo caso, chi è responsabile dei dati raccolti e del loro trattamento? 

In questo caso, la responsabilità è condivisa, ma con pesi diversi. Il principale responsabile è sempre l’azienda, considerata titolare dei dati. Ma anche i suoi collaboratori esterni sono coinvolti da un punto di vista legale. Il Regolamento, infatti, prevede che i dati possano essere trattati dalle seguenti figure:

  • dal titolare, ovvero l’azienda (ovviamente)
  • da un designato del titolare ovvero un soggetto che appartiene all’assetto organizzativo ed è sotto la responsabilità dal titolare (ad esempio, un impiegato dell’azienda);
  • da un responsabile esterno; (ad esempio, l’agenzia di comunicazione)
  • da un designato del responsabile esterno ovvero da un soggetto che appartiene all’assetto organizzativo del titolare e sotto la sua responsabilità (ad esempio un collaboratore freelance dell’agenzia)

Questi soggetti sono anch’essi chiamati ad osservare il Regolamento. In che modo? Molto dipende dal tipo di progetto per cui si collabora, che può prevedere diversi livelli di trattamento dei dati. Nel caso di una web agency, generalmente si distinguono due tipi di dati:

  • i dati dell’azienda cliente (ad esempio, un’azienda di abbigliamento che vende online);
  • i dati dei clienti aziendali (gli utenti che si sono registrati alla newsletter dell’azienda di abbigliamento).

Nel primo caso, la web agency è titolare del trattamento. Nel secondo caso assume la qualifica di responsabile.

Attenzione però: dinanzi alla Legge, la prima responsabile del rispetto della normativa è sempre e comunque l’azienda cliente, anche se a compiere una leggerezza è l’agenzia: ogni violazione, anche se commessa da soggetti delegati, potrebbe ricadere anche su di voi.

Assicuratevi di chiarire bene questi aspetti in ambito contrattuale e fatevi spiegare in dettaglio come i vostri collaboratori tratteranno i dati raccolti (come verranno gestiti, conservati, le misure di sicurezza atti a tutelarli etc.)

Cosa rischio se non mi adeguo al GDPR?  

Molto. Le sanzioni previste dalla legge svizzera per chi viola il regolamento GDPR arrivano fino a 20 milioni di euro o con una multa equivalente al 4% del fatturato mondiale annuo dell’azienda. Con l’applicazione della nLPD verrà definito e chiarito anche un più preciso quadro sanzionatorio.  

Quindi, non bisogna assolutamente prendere sottogamba questo cambiamento. 

In caso abbiate ulteriori dubbi o domande sulla protezione dei dati online e l’adeguamento alle nuove normative, contatteci: saremo lieti di parlarne con voi. 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *