La nuova legge sulla protezione dei dati (LPD) entrerà in vigore il 1° settembre 2023 e porterà con sé numerosi cambiamenti e condizioni da osservare. L'Unione grigionese delle arti e mestieri ha raccolto le informazioni e i modelli più importanti per i suoi membri. L'opuscolo dell'Unione svizzera delle arti e mestieri e altri preziosi consigli e documenti hanno lo scopo di preparare la vostra azienda in modo ottimale al cambiamento della legge. Vediamo alcuni punti essenziali.

Che cos'è la protezione dei dati?
Già oggi esistono disposizioni sulla protezione dei dati che si applicano anche alle aziende. Lo scopo principale della protezione dei dati è quello di proteggere la personalità e i diritti fondamentali delle persone. Essa regolamenta ciò che deve essere osservato nel trattamento dei dati personali. Per dati personali si intendono tutte le informazioni che possono essere attribuite a una persona, come i dati di contatto, le impronte digitali, gli spostamenti, ma anche le registrazioni di video e immagini. La protezione dei dati tutela le persone dall'acquisizione, dall'archiviazione, dall'elaborazione e dall'utilizzo ingiustificati dei dati. Ciò significa che possono essere trattati solo i dati idonei e necessari allo scopo del trattamento specifico. Il consenso della persona è fondamentale, soprattutto in caso di trasmissione dei dati, così come è imprescindibile un'informazione trasparente su quali dati vengono raccolti e per quale scopo. I dati possono essere trasmessi se la persona stessa ha dato il proprio consenso, se i dati sono accessibili al pubblico o se una legge ne consente la trasmissione. Inoltre, la sicurezza dei dati è un principio compreso nella protezione dei dati. I dati devono essere gestiti con attenzione e rispettando precise regole di sicurezza. I dati personali devono essere distrutti o resi anonimi non appena non sono più necessari ai fini del trattamento. Ciò vale anche per i dipendenti e gli ex dipendenti delle aziende. Tutte le persone hanno il diritto di chiedere a qualsiasi azienda se e quali dati vengono conservati su di loro. Questo concerne ovviamente anche per i dipendenti.
I dati non personali, come le cifre o i dati sui prodotti, non sono soggetti alla protezione dei dati. Allo stesso modo, i dati anonimi dei clienti valutati a fini statistici non sono soggetti alla protezione dei dati. Tuttavia, tali dati possono essere protetti in altri modi, ad esempio attraverso le regole sul segreto commerciale o dal diritto d'autore.

Cosa cambierà con la nuova legge sulla protezione dei dati?
In un'intervista rilasciata a "Bündner Gewerbe", Thomas Casanova sottolinea che la nuova legge sulla protezione dei dati cambierà a partire dal 1° settembre 2023, soprattutto per quanto riguarda la trasparenza e l'informazione. L’Incaricato per la protezione dei dati del Cantone dei Grigioni afferma: "I principi rimangono gli stessi. Tuttavia, la trasparenza avrà un peso maggiore. Per questo motivo le disposizioni sulla protezione dei dati devono essere elencate sul sito web e deve essere spiegato cosa viene fatto con i dati".
Con le nuove disposizioni, le aziende sono ora tenute a segnalare all’Incaricato federale per la protezione dei dati gli episodi in cui vi sia stato un utilizzo abusivo dei dati. Anche il trasferimento dei dati a fornitori e partner deve essere regolato contrattualmente, per cui è importante che le aziende valutino eventuali adattamenti delle basi contrattuali dei loro rapporti commerciali.
Con la nuova legge, la dichiarazione sulla protezione dei dati che deve figurare sul sito web aziendale assume ancora maggiore importanza. Infatti, essa è ora obbligatoria per tutti e deve informare su quali dati vengono raccolti e conservati, su quali programmi vengono utilizzati e su chi contattare per ottenere informazioni. La novità è anche che le impostazioni di base dei moduli, delle app e dei siti web devono essere impostate ovunque al minimo, in modo da raccogliere o comunicare solo i dati necessari.
Anche l'obbligo di fornire informazioni è stato inasprito. Se una persona chiede di sapere se e quali dati che la riguardano vengono elaborati, tali informazioni devono essere fornite in conformità alle norme di legge, salvo eccezioni. Devono inoltre essere fornite informazioni sulle condizioni in cui i dati sono stati trasmessi a terzi.
La legge sulla protezione dei dati ora distingue tra aziende più piccole e più grandi. Alle aziende con più di 250 dipendenti o a quelle con dati sensibili (ad esempio, gli studi medici) si applicano disposizioni aggiuntive, soprattutto per quanto riguarda la documentazione sulla protezione dei dati.
Di seguito sono elencati i punti più importanti da implementare nella nuova legge sulla protezione dei dati. Per le PMI, i punti da 1 a 4 sono particolarmente importanti.
1. Controllare l'informativa sulla privacy sul sito web e, se necessario, adattatarla.
2. Stabilire le linee guida per il trattamento dei dati all'interno dell'azienda.
3. Stabilire in forma scritta accordi e contratti con fornitori e aziende partner. È obbligatorio registrare il tipo di archiviazione dei dati e la notifica delle violazioni della protezione dei dati.
4. Nominare un responsabile della protezione dei dati in azienda.
5. le obbligo se non vi è un rischio elevato di lesioni dei diritti personali.
6. Definire la procedura per ottemperare all'obbligo di fornire informazioni e di richiesta di cancellazione dei dati.
7. Definire la procedura di segnalazione delle violazioni della protezione dei dati.
8. Creare un processo per le valutazioni d'impatto necessarie se l'azienda assume un rischio elevato nel trattamento dei dati.
9. Verificare se i dati vengono trasmessi ad altri Paesi. In tal caso, verificare se questi paesi sono registrati come paesi riconosciuti dal Consiglio federale. In caso contrario, si applicano requisiti più severi in materia di protezione dei dati.

Sicurezza dei dati
La sicurezza dei dati è una base importante per la protezione dei dati. Ad esempio, le aziende devono garantire la sicurezza dei dati personali e proteggerli da accessi non autorizzati e illegali. Se si utilizzano strumenti esterni per la gestione dei dati personali (ad esempio, software di gestione online dei soci), la protezione dei dati deve essere stipulata contrattualmente con il fornitore. L’azienda è tenuta a verificare la sicurezza dei dati del partner contrattuale. Se i dati personali vengono trasferiti all'estero, anche se ciò è dovuto solo al fatto che il server del servizio cloud in cui sono memorizzati i dati si trova all'estero, devono essere soddisfatti i requisiti legali.

Sanzioni e ammende
Le multe possono essere comminate sulla base della legge sulla protezione dei dati. Chiunque non informi correttamente una persona interessata al momento della raccolta dei dati o successivamente non le fornisca, su richiesta, informazioni sufficienti sui dati raccolti, come previsto dalla LPD, può incorrere in multe fino a 250.000 franchi svizzeri. L'importo delle multe sarà stabilito dal tribunale competente nel corso del procedimento. Le multe sono comminate solo in caso di gravi violazioni della LPD e di questo ne è certo l’Incaricato grigionese per la protezione dei dati. Nell'Unione europea sono possibili multe fino al quattro per cento del fatturato o a cinque milioni di euro. Nel caso di un incidente riguardante l’utilizzo abusivo di dati, il danno reputazionale dell'azienda presso i clienti, i fornitori, i dipendenti e l'opinione pubblica è di solito maggiore di una multa.