Protezione dei dati
Cosa significa la legge per le aziende?
6 febbraio 2023 agvs-upsa.ch – La nuova legge sulla protezione dei dati mira a garantire che le aziende prendano coscienza delle proprie responsabilità e trattino con cura i dati. Cornelia Stengel, direttrice dell’Associazione svizzera delle società di leasing, consiglia alle aziende di fare il punto della situazione e affrontare subito l’argomento.
Foto: Istock
kro. Signora Stengel, tra otto mesi entrerà in vigore la nuova legge sulla protezione dei dati. Il tempo rimanente è sufficiente per preparare tutto al meglio, anche se un’azienda non ha ancora fatto nulla in merito?
Cornelia Stengel: Il tempo rimanente sarà ancora sufficiente per la stragrande maggioranza dei soci dell’UPSA, se affronteranno la questione con una certa serietà, poiché nella maggior parte dei casi non vi sono situazioni complesse, vengono trattati i dati di un numero limitato di collaboratori, fornitori e clienti e difficilmente potrebbero essere interessati dati che necessitano di una particolare protezione. Inoltre, persino coloro che non si sono ancora occupati approfonditamente della revisione totale della legge sulla protezione dei dati possono spesso ricorrere a determinate strutture esistenti, perché molte regole erano già in vigore e molte cose sono già state introdotte dai partner commerciali, ad esempio importatori, società di leasing, ecc., insieme ai garagisti.
Come si prepara al meglio un’azienda? Quali sono i primi passi da compiere?
La base più importante per prepararsi all’entrata in vigore della nuova legge è l’inventario del trattamento dei dati personali, il cosiddetto elenco dei trattamenti. In questo elenco vengono riportati in particolare i dati personali raccolti, memorizzati, modificati, inoltrati, cancellati o trattati in altro modo. Tale elenco non è obbligatorio per ogni azienda, ma facilita la valutazione dei rischi e la definizione delle misure necessarie. Su questa base, ad esempio, può essere formulata o rivista una dichiarazione sulla protezione dei dati. Inoltre, tale elenco indica anche con quali terzi devono essere eventualmente stipulati contratti di elaborazione degli ordini.
La nuova gestione dei dati dei clienti può comportare anche misure organizzative, vale a dire processi interni all’azienda?
Sì, il trattamento dei dati dei clienti e di altri dati personali può comportare misure organizzative all’interno di un’azienda, soprattutto se finora non si è prestata sufficiente attenzione alla protezione dei dati. Le misure organizzative e tecniche necessarie per garantire una protezione dei dati adeguata dipendono in larga misura dalle circostanze dell’azienda. Esempi di tali misure sono l’introduzione di un’infrastruttura IT ordinaria che prevede la conservazione sicura dei dati e controlli degli accessi alle aree in cui vengono trattati i dati personali.
Vale la regola seguente: dall’apprendista al direttore, tutti i collaboratori devono essere sensibilizzati sul tema della protezione dei dati. Qual è il modo migliore per farlo?
Un modo per sensibilizzare tutti i collaboratori sul tema della protezione dei dati è l’organizzazione di corsi di formazione e workshop come quelli offerti dalla Business Academy UPSA. In questo modo i collaboratori possono imparare come garantire la protezione dei dati all’interno dell’azienda e quali sono le loro responsabilità al riguardo. È inoltre utile informare regolarmente sul tema della protezione dei dati e segnalare gli sviluppi e i cambiamenti in corso nel settore della protezione dei dati. Poi può essere utile redigere una direttiva sulla protezione dei dati e assicurarsi che tutti i collaboratori la conoscano e la rispettino. Un altro aspetto importante, se non il più importante, è il fatto che i dirigenti dell’azienda considerino la protezione dei dati fondamentale e si comportino da esempio. Se i dirigenti prendono sul serio la questione e si attengono alle norme vigenti, ciò si ripercuoterà anche sul resto del personale.
Una delle sfide nella gestione dei dati è sapere quanti dati sono effettivamente necessari. Come fa un’azienda a scoprirlo?
Nel diritto della protezione dei dati si applica il principio di proporzionalità, secondo il quale possono essere trattati solo i dati personali necessari e idonei a conseguire lo scopo previsto. Ciò deve essere verificato separatamente e concretamente per ogni attività di trattamento e si deve rinunciare alla raccolta o al trattamento di dati non necessari. Un esempio: per l’invio di una newsletter è spesso necessario un solo indirizzo e-mail. Altri dati, come l’appellativo o il nome, non sono necessari ai fini dell’invio e, di conseguenza, non dovrebbero essere raccolti. Un altro aspetto che riguarda la questione è la durata della conservazione dei dati personali. Anche in questo caso il diritto in materia di protezione dei dati impone che i dati personali vengano cancellati non appena non siano più necessari per il raggiungimento dello scopo del trattamento. Tali obblighi di cancellazione possono tuttavia essere in contrasto con finalità probatorie, altri interessi privati preponderanti o obblighi di conservazione previsti dalla legge. In questo caso può essere opportuno elaborare una direttiva sulla durata di conservazione dei dati personali.
Cornelia Stengel, direttrice dell’Associazione svizzera delle società di leasing.
Foto: Istock
kro. Signora Stengel, tra otto mesi entrerà in vigore la nuova legge sulla protezione dei dati. Il tempo rimanente è sufficiente per preparare tutto al meglio, anche se un’azienda non ha ancora fatto nulla in merito?
Cornelia Stengel: Il tempo rimanente sarà ancora sufficiente per la stragrande maggioranza dei soci dell’UPSA, se affronteranno la questione con una certa serietà, poiché nella maggior parte dei casi non vi sono situazioni complesse, vengono trattati i dati di un numero limitato di collaboratori, fornitori e clienti e difficilmente potrebbero essere interessati dati che necessitano di una particolare protezione. Inoltre, persino coloro che non si sono ancora occupati approfonditamente della revisione totale della legge sulla protezione dei dati possono spesso ricorrere a determinate strutture esistenti, perché molte regole erano già in vigore e molte cose sono già state introdotte dai partner commerciali, ad esempio importatori, società di leasing, ecc., insieme ai garagisti.
Come si prepara al meglio un’azienda? Quali sono i primi passi da compiere?
La base più importante per prepararsi all’entrata in vigore della nuova legge è l’inventario del trattamento dei dati personali, il cosiddetto elenco dei trattamenti. In questo elenco vengono riportati in particolare i dati personali raccolti, memorizzati, modificati, inoltrati, cancellati o trattati in altro modo. Tale elenco non è obbligatorio per ogni azienda, ma facilita la valutazione dei rischi e la definizione delle misure necessarie. Su questa base, ad esempio, può essere formulata o rivista una dichiarazione sulla protezione dei dati. Inoltre, tale elenco indica anche con quali terzi devono essere eventualmente stipulati contratti di elaborazione degli ordini.
La nuova gestione dei dati dei clienti può comportare anche misure organizzative, vale a dire processi interni all’azienda?
Sì, il trattamento dei dati dei clienti e di altri dati personali può comportare misure organizzative all’interno di un’azienda, soprattutto se finora non si è prestata sufficiente attenzione alla protezione dei dati. Le misure organizzative e tecniche necessarie per garantire una protezione dei dati adeguata dipendono in larga misura dalle circostanze dell’azienda. Esempi di tali misure sono l’introduzione di un’infrastruttura IT ordinaria che prevede la conservazione sicura dei dati e controlli degli accessi alle aree in cui vengono trattati i dati personali.
Vale la regola seguente: dall’apprendista al direttore, tutti i collaboratori devono essere sensibilizzati sul tema della protezione dei dati. Qual è il modo migliore per farlo?
Un modo per sensibilizzare tutti i collaboratori sul tema della protezione dei dati è l’organizzazione di corsi di formazione e workshop come quelli offerti dalla Business Academy UPSA. In questo modo i collaboratori possono imparare come garantire la protezione dei dati all’interno dell’azienda e quali sono le loro responsabilità al riguardo. È inoltre utile informare regolarmente sul tema della protezione dei dati e segnalare gli sviluppi e i cambiamenti in corso nel settore della protezione dei dati. Poi può essere utile redigere una direttiva sulla protezione dei dati e assicurarsi che tutti i collaboratori la conoscano e la rispettino. Un altro aspetto importante, se non il più importante, è il fatto che i dirigenti dell’azienda considerino la protezione dei dati fondamentale e si comportino da esempio. Se i dirigenti prendono sul serio la questione e si attengono alle norme vigenti, ciò si ripercuoterà anche sul resto del personale.
Una delle sfide nella gestione dei dati è sapere quanti dati sono effettivamente necessari. Come fa un’azienda a scoprirlo?
Nel diritto della protezione dei dati si applica il principio di proporzionalità, secondo il quale possono essere trattati solo i dati personali necessari e idonei a conseguire lo scopo previsto. Ciò deve essere verificato separatamente e concretamente per ogni attività di trattamento e si deve rinunciare alla raccolta o al trattamento di dati non necessari. Un esempio: per l’invio di una newsletter è spesso necessario un solo indirizzo e-mail. Altri dati, come l’appellativo o il nome, non sono necessari ai fini dell’invio e, di conseguenza, non dovrebbero essere raccolti. Un altro aspetto che riguarda la questione è la durata della conservazione dei dati personali. Anche in questo caso il diritto in materia di protezione dei dati impone che i dati personali vengano cancellati non appena non siano più necessari per il raggiungimento dello scopo del trattamento. Tali obblighi di cancellazione possono tuttavia essere in contrasto con finalità probatorie, altri interessi privati preponderanti o obblighi di conservazione previsti dalla legge. In questo caso può essere opportuno elaborare una direttiva sulla durata di conservazione dei dati personali.
«Il tempo rimanente è sufficiente per prepararsi, se si affronta la questione con una certa serietà»
Cornelia Stengel, direttrice dell’Associazione svizzera delle società di leasing.Ai corsi dell'UPSA Business Academy:
Webinar – La nuova legge sulla protezione dei dati svizzera: ecco cosa dovete sapere
Webinar – La nuova legge sulla protezione dei dati svizzera: ecco cosa dovete sapere
Aggiungi commento
Commenti