Nuova legge sulla protezione dei dati
La nuova legge sulla protezione dei dati si applica alle imprese con sede legale in Svizzera e a quelle con sede legale all'estero che trattano dati personali con un impatto sulla Svizzera. Le imprese che non hanno sede legale in Svizzera possono venire obbligate a designare un rappresentante nella Confederazione, quando trattano dati personali di persone residenti in Svizzera. Non si sa ancora quando la nuova legge entrerà in vigore.
Nuovo registro delle attività di trattamento
Il cambiamento più importante per la maggior parte delle imprese è l'obbligo di tenere un registro del trattamento dei dati personali. Tutte le attività di trattamento dei dati dell'impresa devono essere registrate, aggiornate e dettagliate. Almeno devono essere registrate le persone responsabili del trattamento, lo scopo del trattamento, le categorie delle persone interessate, le categorie dei destinatari e il periodo di archiviazione. Devono anche essere registrate, se possibile, tutte le misure atte a garantire la sicurezza dei dati. Se ulteriori dati vengono trasmessi all'estero, devono essere indicati il rispettivo Stato e le garanzie per la protezione dei dati.
Profilazione
Per il trattamento automatizzato dei dati personali, allo scopo di analizzare e prevedere interessi e comportamenti delle persone fisiche, le disposizioni attuali sono più severe. Anche se il consenso, o altra giustificazione, per la cosiddetta "profilazione" è richiesto solo in caso di trattamento dei dati che violi i diritti personali e visto che spesso sussiste grande incertezza sulla giustificazione dell'interesse prevalente, ottenere il consenso è rigorosamente raccomandato. Nel caso di profilazione ad alto rischio per la personalità, o per i diritti fondamentali con la connessione di dati sostanziali, come giustificazione (ev. richiesta) è sufficiente il consenso esplicito.
Dovere di fornire informazioni
In relazione al registro, anche il dovere di fornire informazioni è stato notevolmente ampliato. Al momento della raccolta dei dati, l'interessato deve essere informato in merito alle persone responsabili del trattamento, gli scopi del trattamento, i destinatari - o le categorie di destinatari - in caso di divulgazione dei dati, le categorie dei dati personali trattati in caso di raccolta indiretta dei dati, così come lo svolgimento di decisioni individuali automatizzate, se sono associate a una conseguenza legale per l'interessato o lo riguardano in modo significativo. Se i dati vengono divulgati all'estero deve essere indicato nuovamente il rispettivo Stato o l'organismo internazionale ricevente. Eventualmente deve essere fornita anche la garanzia di un'adeguata protezione dei dati o la circostanza eccezionale, se tali garanzie non esistono.
L'elenco non è esaustivo. In casi individuali si deve verificare quali informazioni supplementari siano necessarie. Gli interessati possono richiedere che i dati da loro divulgati siano rilasciati in un formato elettronico comune o trasmessi a altri fornitori. Inoltre, nel caso di decisioni individuali automatizzate, hanno un diritto di opposizione secondo il quale possono richiedere che la suddetta decisione sia rivista da una persona fisica.
Verifica della solvibilità
Per lo svolgimento di una verifica della solvibilità verranno statuite nuove e più severe condizioni per l'accettazione dell'interesse prevalente. La verifica della solvibilità è di conseguenza giustificata quando:
- non vengono trattati dati personali particolarmente sensibili e non si tratta di una profilazione ad alto rischio;
- i dati vengono comunicati a terzi solo se questi ultimi necessitano dei dati per la conclusione o l'esecuzione di un contratto con la persona interessata;
- i dati non hanno più di dieci anni;
- la persona interessata è maggiorenne.
Inasprimento delle sanzioni
In caso di violazione la nuova LPD prevede multe fino a CHF 250’000. Inoltre l'incaricato federale della protezione dei dati (IFPDT) può avviare una procedura d'inchiesta amministrativa e emanare provvedimenti.
In caso di infrazioni per le quali è prevista una multa non superiore a CHF 50'000 e il dispendio richiesto per identificare il trasgressore all'interno dell'attività aziendale sarebbe sproporzionata, l'impresa può essere condannata a pagare la multa al posto della persona fisica.