Scocca l'ora della privacy

La nuova legge sulla protezione dei dati entrerà in vigore in Svizzera il 1. settembre 2023. Se ne parla già da qualche tempo. Ma di cosa si tratta? E - soprattutto - cosa cambierà concretamente? Nel maggio 2018, l’Unione europea ha introdotto il nuovo Regolamento generale sulla protezione dei dati (GDPR). Più di cinque anni dopo, la Svizzera segue con la sua versione aggiornata della legge sulla protezione dei dati (LPD). La nuova legge intende tenere conto degli sviluppi tecnici e sociali intervenuti dai tempi della prima legge federale sulla protezione dei dati che risale al 1992. Allo stesso tempo, deve essere compatibile con il diritto dell’UE. «Questa legge risale al 2020», spiega Annamaria Astrologo, professoressa titolare di diritto all’Università della Svizzera italiana. «Il Consiglio federale, dopo che ha preparato anche le ordinanze, quella sulla protezione dati e quella sulla certificazione in materia di protezione dati, ha messo come termine per l’entrata in vigore il 1º settembre del 2023 proprio per dare il tempo alle imprese e all’economia di adeguarsi e rendersi conformi alla nuova legge».

Tuttavia, come osserva l’avvocato Ramona Gallo, che si è specializzata sulla legge per offrire consulenza ai suoi clienti, «mi sono resa conto che molte aziende, mi riferisco più che altro alle PMI (piccole e medie imprese) non si sono ancora attivate nonostante l’ordine perentorio del primo settembre, ovvero tra pochissimo: e un cambiamento del genere sarebbe stato opportuno attuarlo già da tempo». Cosa succede quando le aziende non rispettano la legge sulla protezione dei dati?  Con la nuova legge, ad esempio, se qualcuno viola l’obbligo di informazione, oppure fornisce informazioni incomplete o false sulla protezione dei dati o addirittura trasferisce dati personali all’estero senza autorizzazione, può essere comminata una multa fino a 250.000 franchi. «Ma oltre alla possibilità di subire provvedimenti amministrativi e  sanzioni penali - interviene Astrologo - non è da sottovalutare il danno di immagine per l’impresa, che potrebbe trasformarsi in perdita economica e perdita di credibilità agli occhi dei propri clienti».  

Una delle questioni principali che introduce la nuova norma implica un vero e proprio sforzo collettivo, per meglio dire «un reale e concreto cambio di mentalità» spiega Astrologo che precisa «all’art. 7 della nuova versione viene introdotto il concetto della «privacy by design. Cosa significa? L’impresa ogni qualvolta si troverà ad esempio a progettare un nuovo software, o una nuova banca dati, dovrà già in fase di progettazione attuare tutte quelle accortezze in tema di protezione dei dati richieste dalla legge. La legge richiede quindi un approccio continuativo, non una tantum, non una messa a norma solo ed esclusivamente per il primo di settembre. Per questo motivo, sottolineo, si richiede un vero e proprio cambio di approccio e cultura aziendale». 

«Da tempo teniamo corsi di formazione su questo tema - spiega Luca Albertoni, direttore Camera di commercio, dell’industria, dell’artigianato e dei servizi del Cantone Ticino - che per noi è molto serio». Tuttavia, c’è da chiedersi, se l’azienda non ha dei legali interni che possono occuparsi dell’adeguamento, a chi rivolgersi? Ma soprattutto, la Camera di commercio può rilasciare un certificato per conformità alla legge? «No - spiega Albertoni - per il momento non sono stati designati organi che controllano la conformità alla legge e rilasciano dei certificati, ma ciò non nega l’importanza della consulenza fatta da professionisti esperti». Anche perché, interviene Annamaria Astrologo, «l’art. 13 della legge parla proprio della questione della certificazione e di come essa potrà essere rilasciata. Inoltre, quanto scritto nella legge va completato con l’ordinanza sulle certificazioni in materia di protezione dati del Consiglio federale che spiega proprio come eventualmente potrebbero avvenire queste certificazioni che sono particolarmente complesse perché sì, è ipotizzabile che ci siano degli organismi che facciano delle certificazioni, ma devono essere accreditati e devono seguire una procedura di accreditamento che ha tutta una serie di step: ma ad oggi nessuno può improvvisarsi un soggetto che emette certificazioni!». 

A questo riguardo, «l’art. 8 dell’ordinanza secondo me - precisa la professoressa -, è importante perché ci dice che la certificazione potrebbe essere eventualmente vincolata a oneri. L’organismo che certifica dovrebbe di anno in anno controllare che permangano tutte le situazioni con la possibilità che revochi questa certificazione qualora queste manchino».

Quello della privacy e del trattamento dei dati è sicuramente un ambito molto specialistico e visto che oggi si va sempre più verso una specializzazione delle competenze è importante che la consulenza per l’azienda sia fatta da un esperto che conosca anche la dimensione svizzera, quindi la legge federale sulla protezione dati. «A pochi mesi dall’entrata in vigore perentoria della normativa esiste molta reticenza - spiega l’avvocato Gallo -, sia perché il cambiamento nel modo di lavorare non è mai ben visto sia perché  per le aziende si tratta di un ulteriore costo a carico del datore di lavoro». Tuttavia, «sono contenta dei risultati ottenuti con varie aziende del territorio: con il servizio di «privacy assessment» valutiamo la conformità delle aziende alla LPD svizzera identificando eventuali lacune e suggerendo soluzioni per adeguarle al nuovo standard. Durante l’assessment viene analizzata l’intera struttura tecnologica dell’azienda, i processi di gestione dati, le politiche e le procedure interne, nonché le attività di formazione e sensibilizzazione del personale».  

E vista l’importanza del tema, «lo studio di questa legge mi ha a tal punto coinvolto che ho deciso - spiega Gallo - assieme al collega Thomas Contin di creare www.easylpd.ch. Un sito facile ed intuitivo che accompagna l’azienda nella procedura di assessment e nella procedura di formazione del personale mettendola a conoscenza dei rischi legati al trattamento dei dati personali e delle misure necessarie per garantirne la sicurezza».