Che cos’è il DSG?
La legge svizzera sulla protezione dei dati (DSG) è ora una versione riveduta della prima DSG, entrata in vigore nel 1992. Dal 1 settembre 2023, la nuova legge entrerà in vigore con le modifiche riviste e aggiornate per riflettere le attuali esigenze dell’ambiente Internet odierno. Lo scopo di questo regolamento è proteggere la privacy e i diritti fondamentali delle persone i cui dati sono trattati.
“Questa legge mira a proteggere la privacy e i diritti fondamentali delle persone fisiche di cui vengono trattati i dati personali”.
I principali cambiamenti rispetto alla prima pubblicazione sono che le aziende devono ora spiegare perché raccolgono dati personali dai loro clienti e devono indicare chiaramente quali terze parti sono coinvolte nella condivisione dei loro dati personali. Gli individui ora hanno anche il diritto di sapere per quanto tempo i loro dati saranno conservati e per quale scopo.
A chi si applica il DSG?
Il DSG si applica alle persone fisiche (ex persone giuridiche) e alle organizzazioni commerciali e non commerciali che trattano dati personali di cittadini svizzeri.
L’ambito geografico del DSG funziona in modo simile a quello del GDPR. La definizione esatta qui è che questa ordinanza si applica a questioni di protezione dei dati che “hanno effetti in Svizzera, anche se sono causati all’estero”.
…”che hanno effetto in Svizzera, anche se avviati all’estero”.
Obblighi secondo il DSG
Obblighi dei titolari e dei responsabili
Analogamente ai requisiti del GDPR, il DSG ora richiede alle aziende di creare un “registro delle attività di trattamento” (art. 12 DSG). La persona responsabile e l’elaboratore dell’ordine sono i principali responsabili di questo. Questo deve contenere quanto segue:
- Identità dei responsabili
- finalità del trattamento dei dati
- Descrizione delle categorie di interessati e dei dati personali
- categoria di destinatari
- se possibile, il periodo di conservazione dei dati personali oppure i criteri utilizzati per determinare tale periodo;
- se possibile, una descrizione generale delle misure adottate per garantire la sicurezza dei dati
- se i dati sono trasferiti all’estero, indicazione del Paese e delle garanzie che assicurino un’adeguata protezione dei dati.
diritti dell’interessato
Come già accennato, questa legge si concentra sulla protezione dei dati personali dell’interessato. Pertanto, l’interessato è tutelato con i seguenti diritti:
- il diritto di ricevere informazioni sul trattamento dei tuoi dati personali (articoli 25-27 revDSG),
- il diritto di chiedere al responsabile di consegnare i propri dati personali o di trasmetterli in forma leggibile da una macchina a un altro responsabile gratuitamente. (Articoli 28 e 29 revDSG),
- il diritto che i suoi dati non vengano utilizzati per decisioni individuali automatizzate in cui vengono utilizzati algoritmi senza l’intervento umano nel processo (art. 21 revDSG),
- Qualora vengano trattati dati personali sensibili o vengano creati profili della personalità, il consenso deve essere espresso espressamente. E’ richiesto il consenso dell’interessato.
Applicazione del DSG
Il ruolo dell’Incaricato federale della protezione dei dati e della informazione (IFPDT)
L’IFPDT è responsabile dell’applicazione e del rispetto della LPD. È inoltre responsabile dei chiarimenti, della consulenza e della protezione dei dati personali in Svizzera. L’agenzia è nominata dal Bundesrat (l’organo esecutivo del governo federale svizzero).
Sanzioni e multe per violazioni di legge
Se una persona viola le leggi del DSG, verrà multata fino a CHF 250’000. Come per il GDPR, la sanzione non è legata all’azienda, ma alla persona fisica responsabile.
Cosa dovresti fare per rispettare il DSG
Inizia ora e assicurati di essere pronto prima che la LPD entri in vigore nel settembre 2023. Le aziende con sede in Svizzera, o se fai affari in Svizzera, dovrebbero adottare le seguenti misure:
- Registra tutte le tue attività di trattamento dei dati rilevanti per la legge.
- Disporre di un’informativa sulla privacy valida che soddisfi tutti i requisiti del GDPR.
- Assicurati di nominare un responsabile della protezione dei dati (RPD) che stabilisca politiche e procedure in linea con l’IFPDT.
- Se è necessario ottenere il consenso per il trattamento dei dati personali, assicurarsi di utilizzare una CMP che consenta l’acquisizione e l’archiviazione di un consenso valido. Il consenso che deve essere ottenuto può essere visualizzato sotto forma di un banner di consenso che dovrebbe apparire alla prima visita dell’utente al tuo negozio online o al sito web aziendale.
Conclusione
Non sorprende che l’attuale versione del DSG sia stata riprogettata per stare al passo con gli sviluppi tecnologici. E anche se sei già conforme al GDPR, potresti comunque dover intraprendere qualche azione. Assicurati che la tua organizzazione sia conforme e disponga di uno strumento di consenso legalmente conforme.
Non sei del tutto sicuro che la tua azienda soddisfi i requisiti imminenti del DSG? Parla con uno dei nostri esperti o verifica con il nostro strumento di gestione del consenso qui .