“I nostri diritti non sono altro che i doveri degli altri nei nostri confronti.” 

Questa citazione di Norberto Bobbio si applica perfettamente all’entrata in vigore della nuova Legge federale sulla protezione dei dati (nLDP) svizzera, che è entrata pienamente in vigore dal 1 settembre 2023. 

Se sei un’azienda che opera nel mondo digitale, i cambiamenti nella normativa sulla privacy possono avere un impatto significativo sul tuo business. Tracciare i dati della propria attività digitale è fondamentale: ma è altrettanto fondamentale farlo in modo da essere inattaccabili dal punto di vista legale. Il che è più facile a dirsi che a farsi. 

In questo articolo (primo di una serie), esploreremo l’introduzione del concetto di privacy by design e privacy by default e vedremo come queste regole influenzano il trattamento dei dati personali e dei dati particolari (dati sensibili) da parte delle aziende.

Cos’è la nLPD in Svizzera? 

La nuova nLPD in Svizzera rappresenta un passo avanti significativo nella protezione dei dati personali nel contesto digitale, con l’obiettivo di garantire un’adeguata protezione dei dati nel contesto tecnologico sociale attuale. Questa nuova legge mira a rafforzare la privacy dei cittadini svizzeri e regolare il trattamento dei dati da parte delle aziende, solidificando la compatibilità del diritto svizzero con quello europeo (pensiamo soprattutto al RGPD o GDPR) e favorendo quindi la libera circolazione dei dati all’interno e con l’Unione Europea. 

Dati personali e dati particolari (dati sensibili)

Si parla di protezione dei dati, ma cosa si intende per dato? Il dato personale è qualsiasi informazione riguardante una persona fisica che ne permette l’identificazione. Ecco alcuni esempi:

• Nome e cognome,
• Indirizzo E-Mail,
• L’indirizzo IP dal quale mi collego col PC per accedere a internet,
• L’età,
• Indirizzo di residenza o domicilio

eccetera. 

Alcuni dati personali entrano maggiormente nella sfera privata dell’individuo. Ad esempio, 

• Sesso 
• orientamento sessuale,
• dati relativi alla posizione giudiziaria o economica,
• Religione,
• Orientamento politico
• Stato di salute

In questo caso, assumono il nome di “dati particolari”; che un tempo venivano chiamati anche “dati sensibili”. Rientrano in questa categoria anche i dati biometrici, ovvero quelle rilevazioni del volto o dell’impronta digitale che attivano particolari funzionalità (come lo sblocco dell’iPhone). 

Privacy by Design e Privacy by Default: due nuovi concetti

La privacy by design è un principio che pone la protezione dei dati personali al centro di ogni fase di sviluppo di un prodotto, di un servizio o di un sistema. In altre parole, la privacy non è un’aggiunta dopo il “fatto”, ma un elemento intrinseco fin dall’inizio. Questo approccio implica una revisione completa dei processi aziendali, delle politiche e delle tecnologie per garantire la conformità alle leggi sulla privacy come la nLPD.

In termini pratici, ciò significa che le imprese devono considerare la protezione dei dati già in fase di progettazione di un nuovo progetto, pensando a come proteggere i dati personali in modo proattivo, piuttosto che adottare misure di protezione dei dati dopo che gli stessi sono stati già raccolti o utilizzati (che sia tramite un sito web, un’e-mail promozionale, l’uso dei canali social, applicazioni, ecc.). 

Alcuni esempi di come adottare il concetto di Privacy by Design sono:

• Utilizzare la crittografia per proteggere i dati personali quando vengono trasmessi o memorizzati.
• Utilizzare l’autenticazione a due fattori per limitare l’accesso ai dati personali.
• Progettare i sistemi e i processi in modo che i dati personali non siano raccolti o utilizzati inutilmente.
• Fornire ai dipendenti formazione sulla protezione dei dati personali.

Per intenderci, se stai sviluppando un’applicazione, dove sicuramente si trattano dati personali, dovresti incorporare il concetto di privacy fin dalla progettazione e progettare l’app o sito web in modo tale da raccogliere solo le informazioni necessarie, garantendo che i dati siano criptati e protetti da accessi non autorizzati fin dall’inizio.

Un altro aspetto importante introdotto dalla nuova nLPD è la privacy by default. Questo concetto richiede che, di default, le impostazioni e le configurazioni dei sistemi siano progettate per massimizzare la privacy degli utenti. Gli utenti non dovrebbero dover fare nulla di speciale per proteggere la propria privacy, che dovrebbe essere garantita automaticamente.

Per le aziende, ciò significa che è necessario fornire opzioni di privacy ottimali come impostazione predefinita e informare in modo adeguato gli utenti. Ad esempio, se stai offrendo un servizio online, le impostazioni dovrebbero essere configurate in modo da massimizzare la privacy dell’utente fin dall’inizio,  con la possibilità di apportare modifiche alle impostazioni secondo le proprie preferenze.

Ecco alcuni esempi di come il Privacy by Design e il Privacy by Default possono essere combinati per migliorare la protezione dei dati personali:

• Un’organizzazione potrebbe progettare un sistema di autorizzazione in modo che gli utenti siano in grado di accedere solo ai dati personali di cui hanno bisogno per svolgere il proprio lavoro.
• Un’organizzazione potrebbe impostare l’impostazione predefinita di condivisione dei dati su “non condividere”.
• Un’organizzazione potrebbe fornire ai propri dipendenti formazione sulla privacy dei dati e sulle loro responsabilità in materia di protezione dei dati.

Se presi e rispettati insieme, questi due concetti, aiutano le organizzazioni a garantire un elevato livello di protezione dei dati personali. 

Multa per non conformità 

Al fine di essere conformi alla nuova nLPD non è sufficiente “aggiungere il banner dei cookie” per non incorrere in sanzioni (anche molto salate). A questo proposito è importante sapere, che a differenza della regolamentazione precedente, non sarà più l’azienda stessa a essere oggetto di un procedimento penale, ma anche i responsabili (proprietari e dipendenti) con un’ammenda che può arrivare fino a 250.000 franchi svizzeri. 

Pertanto, è nell’interesse delle aziende assicurarsi di essere conformi alla nuova nLPD, non solo per questioni di vincolo legale ma perché rappresenta un’opportunità per dimostrare l’impegno aziendale verso la trasparenza e l’etica. L’utente prediligerà un’impresa che rispetta i suoi diritti e si prende cura dei suoi dati nel modo migliore. 

Conclusioni

La nuova nLPD in Svizzera rappresenta un importante passo avanti nella protezione dei dati personali e nella promozione di una cultura della privacy nel mondo digitale. Le aziende devono adottare un approccio proattivo alla protezione dei dati, implementando misure di privacy by design e privacy by default in tutti i loro processi e sistemi.

In particolare, i dati particolari e sensibili richiedono un’attenzione speciale, con restrizioni più rigorose sul loro trattamento. Le aziende che non rispettano la nuova normativa possono affrontare multe significative e danni alla loro reputazione.

In conclusione, la privacy dei dati è diventata un elemento chiave nel mondo degli affari digitali, e le aziende devono adattarsi immediatamente alle nuove regole per rimanere conformi e competitivi sul mercato.