Regolamento dell’UE sulla protezione dei dati (GDPR)
Nei giorni scorsi avete ricevuto e-mail che facevano riferimento al Regolamento dell’UE sulla protezione dei dati (GDPR), valido dal 25 maggio 2018? Sicuramente. Anche noi dell’USIE prendiamo molto sul serio l’aspetto della protezione dei dati. Cogliamo pertanto l’occasione per darvi alcune informazioni sulla nuova normativa.
Di che cosa si tratta e quali imprese svizzere ne sono interessate?
1. Alle disposizioni del Regolamento, direttamente applicabili, si devono attenere tutti i soggetti che operano sul territorio dell’UE.
2. Il Regolamento prevede un maggior controllo dei cittadini sui loro dati
3. esigendo più responsabilità da parte delle imprese
4. e rafforzando il ruolo delle autorità preposte alla protezione dei dati.
Quali imprese sono interessate?
Le imprese svizzere devono attenersi al GDPR qualora elaborino dati di persone fisiche che si trovano nell’UE e qualora l’elaborazione sia finalizzata a:
1. offrire loro merci o servizi (a pagamento o gratuitamente) o
2. monitorarne il comportamento negli Stati dell’UE.
Per definire se le attività di imprese con sede al di fuori dell’UE rientrano nel campo di applicazione del GDPR, i titolari devono analizzare se esiste l’intenzione di vendere merci o servizi nell’UE. Vari sono gli indizi che possono essere verificati (p. es. il fatto di menzionare clienti che si trovano negli Stati membri o una moneta corrente nell’UE). Ciò che va esaminata è la presenza di una chiara volontà di monitorare il comportamento di persone fisiche nello spazio UE (p. es. l’uso di profiling tool o Google Analytics).
Che cosa si chiede alle imprese svizzere?
Le imprese svizzere interessate dalle disposizioni del nuovo Regolamento devono attenersi a partire dal 25 maggio 2018 ai seguenti obblighi:
1. informare le persone e chiedere l’autorizzazione a elaborarne i dati,
2. garantire la «privacy by design (incorporazione della privacy a partire dalla progettazione di un processo aziendale )» e la «privacy by default (sfera privata come impostazione predefinita)»,
3. designare un rappresentante nell’UE,
4. stilare un elenco delle attività di elaborazione,
5. segnalare violazioni della protezione dei dati all’autorità di vigilanza ed
6. eseguire una valutazione d’impatto della protezione dei dati.
L’ammenda prevista in caso di violazione delle norme può ammontare sino al 4% del fatturato internazionale dell’ultimo anno di esercizio.
Cosa accadrà ora?
Attualmente è in fase di stesura la nuova legge sulla protezione dei dati, di cui ancora non si conosce l’entrata in vigore. Le aziende che si uniformano già oggi al GDPR dovrebbero risultare agevolate.
Per ulteriori informazioni si può consultare il sito dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT)