Richiedi consulenza
  1. home
  2. Consulenza Aziendale
  3. Nuova legge federale protezione dei dati (nLPD)

Violazione della LPD: quali sono i rischi?

Sanzioni pecuniarie

fino a CHF 250'000 a carico delle persone che ricoprono la funzione dirigenziale, in caso di violazione intenzionale di determinati obblighi (di informare, di diligenza, del rispetto dei requisiti minimi di sicurezza ecc.).

Fermo dell'operatività

l’IFPTD può ordinare all’azienda di sospendere o cessare del tutto o in parte il trattamento dei dati, nonché di cancellare o distruggere del tutto o in parte i dati personali.

Danno reputazionale

Inadempienze e incidenti informatici possono portare a un grave danno d'immagine per il business e alla conseguente perdita della fiducia da parte dei clienti.

Gruppo Fidinam: un unico partner per una consulenza a 360°

La LPD stabilisce principi fondamentali per il trattamento dei dati e impone obblighi più rigidi alle aziende. Introduce un approccio basato sul rischio, misure preventive e sanzioni per le violazioni.

Gli esperti di Fidinam & Partners SA possono supportarti nella redazione di questi documenti:

  • informative e linee guida per i dipendenti;
  • aggiornamento informative privacy sul sito web;
  • registro per mappare i dati e i trattamenti

La legge sulla protezione dei dati richiede un’attenta analisi dell'infrastruttura IT per:

  • identificare eventuali vulnerabilità a falle di sicurezza (data breach) e cyber attacchi
  • rivedere criticamente le procedure in essere di prevenzione e di risposta.

Gli esperti di Fidigit SA possono aiutarti per:

  • adeguare la strategia IT agli obblighi della LDP
  • rafforzare la sicurezza dei dati e dell'infrastruttura
  • formare il personale su come evitare e gestire eventuali incidenti


Scarica il prospetto

L'inasprimento normativo e l'uso diffuso di strumenti digitali aumentano il rischio di violazione dei dati aziendali. 

Le polizze assicurative possono trasferire efficacemente il rischio agli assicuratori, garantendo protezione in questi casi:

  • incidenti o attacchi informatici
  • interruzione di attività aziendale
  • RC per pretese avanzate da terzi in merito al danneggiamento o alla violazione dei dati.

Gli esperti di RVA Associati SA forniscono consulenza specialistica per analizzare rischi e offrire soluzioni mirate.

Scarica il prospetto

Isabel Costa, Manager Privacy di Fidinam & Partners SA

Isa_BN_tondo
Fidinam & Partners SA fornisce a persone fisiche e giuridiche servizi altamente specializzati negli ambiti di consulenza fiscale svizzera, consulenza fiscale internazionale, family office, asset protection, corporate service.

Mattia Minotti, Direttore di Fidigit SA

Mattia_Minotti_430x500_BN_tondo
Fidigit SA è il ramo informatico del Gruppo Fidinam. Supporta le PMI nel loro percorso 
di digitalizzazione tramite l’implementazione di progetti su base Abacus e l’offerta di soluzioni cloud per la gestione contabile e amministrativa.

Simone Schianchi, Direttore di RVA Associati SA

Simone_schianchi_tondo
RVA Associati SA offre consulenza assicurativa ad aziende, istituzioni e privati dal 1996. 
I suoi servizi di brokeraggio assicurativo comprendono analisi dei rischi assicurativi, gestione dei portafogli assicurativi, ottimizzazione delle soluzioni assicurative e previdenziali e molto altro.

Lascia che Fidinam si prenda cura di tutti gli adempimenti necessari e concentrati solo sul tuo core business.

 

I 3 passi per la conformità alla LPD

1. Audit

Analizziamo lo status quo dell’azienda: mappiamo i dati, i documenti e i processi in atto in ambito di protezione dei dati.

2. Gap Analisys

Mettiamo in luce le differenze tra le pratiche attuali dell'organizzazione e i requisiti della LPD svizzera.

3. Remediation Plan

Individuiamo le priorità di intervento per l’azienda e implementiamo il piano per la messa in conformità. 

Domande e risposte sulla LPD

Qual è lo scopo della legge federale sulla protezione dei dati?

La LPD ha lo scopo di “proteggere la personalità e diritti fondamentali delle persone fisiche i cui dati personali sono oggetto di trattamento” (Art. 1).

Quali aziende sono tenute a rispettare la LPD?

La LPD si applica ai trattamenti di dati personali effettuati sia dai privati che dagli organi federali, quali le amministrazioni pubbliche a livello federale, oltre che a privati delegatari di compiti pubblici federali. Per "privati" si intendono le aziende svizzere e le aziende estere che operano sul mercato svizzero o il cui trattamento ha effetti in Svizzera.

Quali sono gli obblighi principali della LPD?

La LPD introduce diversi nuovi obblighi per le aziende e istituzioni:

  • Obbligo d’informazione generalizzato (principio di trasparenza);
  • Notifica e comunicazione di Data Breach in presenza di rischio elevato per la personalità e i diritti fondamentali delle persone interessate;
  • Rispetto delle condizioni di trasferimento dei dati all’estero;
  • Sottoscrizione di un accordo sul trattamento dei dati con un responsabile del trattamento (fornitore che trattata dati personali per il conto del titolare del trattamento);
  • Rispetto di standard minimi di sicurezza;
  • Protezione dei dati sin la progettazione del trattamento (privacy by design) e per impostazione predefinita (privacy by default);
  • Necessità di effettuare un Data Protection Impact Assessment (DPIA), ossia un processo inteso a descrivere il trattamento dei dati, valutarne la necessità e la proporzionalità ed i relativi rischi per i diritti e libertà delle persone interessate.
  • Allestimento di un registro delle attività di trattamento (eccezione previste). Questo è un elemento fondamentale di accountability del Titolare del Trattamento nonché uno strumento utile a mappare i trattamenti ed individuare eventuali mancanze e lacune da colmare.

 

Che sanzioni sono previste in caso di violazione degli obblighi previsti dalla LPD?

In caso di violazione intenzionale di alcuni obblighi previsti dalla LPD (informare, diligenza, inosservanza di una decisione), potresti essere passabile di sanzioni penali (multe fino a CHF 250’000). Inoltre, dal 1° settembre 2023, in caso di violazione, l’IFPDT può imporre alle aziende dei provvedimenti amministrativi come, ad esempio, la sospensione o la cessazione del tutto o in parte del trattamento dei dati. È importante specificare che, a differenza del GDPR - che istituisce pesanti sanzioni amministrative pecuniarie a carico delle aziende (persona giuridica) - la LPD punta sulla responsabilizzazione dei detentori del potere decisionale, ossia i dirigenti e membri del CDA, considerando questi i responsabili del rispetto della protezione dei dati. 

Cosa devono fare in concreto le aziende per essere a norma?

Le aziende sono chiamate a predisporre ed attuare tutte le misure organizzative (formalizzate in linee guida, policy interne, documentazioni di vario genere, processi IT e infrastruttura a prova di attacchi cyber) affinché il trattamento dei dati avvenga in un ambiente IT sicuro e da parte dei soli utenti autorizzati. Nello specifico, le aziende devono attuare tutti i provvedimenti tecnici e organizzativi per prevenire e mitigare il rischio per la personalità e per i diritti fondamentali delle persone fisiche i cui dati vengono trattati, durante tutto il ciclo del trattamento (ecco perché viene definito "approccio basato sul rischio"). Le aziende devono inoltre garantire la trasparenza nei confronti delle persone interessate (gli utenti del sito web, i dipendenti, i candidati, i clienti, i fornitori, ecc.) rilasciando le informative su ogni attività di trattamento e permettendo agli interessati di accedere ai dati personali che li riguardano (il "diritto di accesso" è un elemento chiave della LPD; per un approfondimento leggi l'articolo sul nostro blog Svizzera - Diritto di accesso: elemento chiave della protezione dati). In definitiva, chiunque tratti dati personali deve rispettare una serie di principi cardine introdotti dalla LPD; questi sono: i principi di liceità, finalità, proporzionalità, buona fede, trasparenza, esattezza del dato, sicurezza, privacy by design e privacy by default. Questi principi devono essere rispettati in ogni fase di trattamento.

Quando è entrata in vigore la LPD?

La LPD è entrata in vigore il primo settembre del 2023 e non prevede un tempo di adeguamento; pertanto, le aziende private e gli organi federali devono già essere a norma.

Che differenza c'è fra LPD e GDPR?

La LPD svizzera e il GDPR europeo sono due normative equiparabili ma che per molti aspetti presentano delle differenze sostanziali. Per un approfondimento leggi l'articolo sul nostro blog: Legge sulla protezione dei dati: nLPD e GDPR a confronto.

Ho l'impressione che conformarsi alla LPD possa essere troppo costoso per il mio business.

L’adeguamento alla LPD non dev’essere considerato un costo, ma un investimento per la tua azienda. I dati personali, infatti, sono un asset aziendale al pari di qualsiasi altro (software gestionale di contabilità, impianto elettrico, rete internet, ecc.) e in caso di malfunzionamenti o di interruzione imprevista del loro funzionamento, rischi di incorrere in un fermo di produzione e di avere un danno sia reputazionale che economico. Dal punto di vista informatico, la messa in conformità ti aiuta a proteggere il tuo business dal rischio di cyber attacchi e data breach. Infine, non bisogna dimenticare che adottare uno standard minimo di sicurezza è un obbligo normativo (art8 LPD e art. 1 a 3 OPDa), la cui violazione può comportare una sanzione penale a carico dei dirigenti e dei membri del CdA.

Ho paura che l’adeguamento alla LPD possa causare un aumento di burocrazia troppo grande per la mia azienda.

Sebbene possa comportare alcuni adattamenti e procedure aggiuntive, la conformità alla LPD è cruciale per mantenere la fiducia dei tuoi stakeholder garantendo loro un trattamento responsabile dei loro dati personali, oltre ad evitare sanzioni e fermi di produzione nonché danni reputazionali. In Fidinam troverai un partner competente, efficiente e attento alle tue esigenze, in grado di minimizzare l’impatto della LPD sulla operatività quotidiana e assicurandoti che le nuove procedure siano chiare e gestibili per i dipendenti.

Brochure: nuova legge federale sulla protezione dei dati