Legge sulla protezione dei dati
Pesanti multe incombono
9 marzo 2023 agvs-upsa.ch – Il tempo stringe: Il 1° settembre dell'anno in corso entrerà in vigore la nuova legge sulla protezione dei dati. I membri dell'associazione e l'ufficio stesso stanno lavorando alla sua attuazione. Non tutte le aziende sono ancora in regola, per questo l'associazione consiglia loro di prendere sul serio l'argomento e di attuare le misure necessarie entro la fine di agosto.
Foto: Istock/Teaser Shutterstock
Kro. "La nostra azienda è ancora in fase di preparazione e di chiarimento con le autorità e le persone responsabili", afferma Beat Salzmann, proprietario e amministratore delegato di Forellensee-Garage AG a Zweisimmen BE. "Le informazioni sull'attuazione non sono ancora chiare", osserva. Beat Salzmann non è solo in questa sfida. La nuova legge sulla protezione dei dati, che entrerà in vigore il 1° settembre di quest'anno, è ancora un libro chiuso per molti imprenditori e dirigenti. Ciò riguarda non solo le imprese più piccole, ma anche quelle medie e grandi. "Stiamo compilando il tutto e lo stiamo mettendo a punto internamente", afferma ad esempio Marc Weber, proprietario e amministratore delegato di Ausee-Garage AG a Au-Wädenswil ZH. Anche il Gruppo Binelli sta attualmente rivedendo i propri processi interni "per garantire che siano conformi alla protezione dei dati", come conferma Julian Dubacher, responsabile marketing e comunicazione, su richiesta di AUTOINSIDE. Il tempo stringe, ed è per questo che anche la maggior parte delle aziende del settore automobilistico si sta impegnando in tal senso, come ha affermato Cornelia Stengel nel numero di febbraio di AUTOINSIDE. L'amministratore delegato dell'Associazione svizzera di leasing ha descritto la base più importante come "un inventario del trattamento dei dati personali per prepararsi all'entrata in vigore della nuova legge".
"Il know-how necessario per implementare i requisiti della legge sulla protezione dei dati e gli importatori o i produttori è grande", afferma Volker Dohr, avvocato e CEO di Impunix, società specializzata nella protezione dei dati (vedi riquadro). "Solo imparare le basi e la terminologia e poi comunicarle ai propri dipendenti è una sfida per il management", afferma. A ciò si aggiungono, tra l'altro, compiti obbligatori completi e sanzionabili come la documentazione, le dichiarazioni sulla protezione dei dati, le misure tecniche e organizzative, il piccolo segreto professionale, che ora riguarda tutti i dipendenti, la verifica dei contratti di protezione dei dati con tutti i fornitori di servizi, l'osservazione dei trasferimenti all'estero e la corretta risposta alle richieste di informazioni. A questi si aggiungono altri obblighi non punitivi, come l'elenco dei trattamenti, le linee guida, la formazione, la notifica della perdita di dati, la valutazione dell'impatto sulla protezione dei dati, il concetto di cancellazione, la privacy-by-default.
"Per i rappresentanti di marca le cose sono un po' più complicate: oltre alla nuova protezione dei dati, gli agenti di marca devono rispettare i requisiti degli importatori, che sono diversi e si basano per lo più sul diritto dell'UE e non su quello svizzero". L'ex responsabile del servizio legale di Amag richiama l'attenzione anche su un altro aspetto non trascurabile: "Bisogna tenere conto del fatto che la protezione dei dati avviene continuamente e che le conoscenze devono essere aggiornate". E questo, a sua volta, vale per tutte le aziende associate.
In sostanza, è necessario rispondere a una serie di domande, principalmente tre. Primo: dobbiamo fare qualcosa? In secondo luogo, cosa dobbiamo fare? E probabilmente la domanda più importante: quali sono i pericoli se non mi adeguo ai requisiti di protezione dei dati nel settembre 2023? "Consigliamo di prendere sul serio la questione e di attuare le misure necessarie entro la fine di agosto", afferma Markus Aegerter, direttore esecutivo dell'UPSA. "Altrimenti, c'è la minaccia di multe salate". Come proprietario di un'autofficina, avete accesso a dati sensibili, ad esempio nei contratti di locazione.
L'UPSA vuole dare il buon esempio anche in questo campo e si sta già occupando della corretta attuazione tecnica della legge sulla protezione dei dati con l'aiuto di casi di studio. Tra l'altro, questo viene fatto con richieste di informazioni fittizie che sono state messe in pratica. "Sulla base dei risultati di questi casi d'uso, è stato sviluppato un concetto di sicurezza delle informazioni e di protezione dei dati (ISDS). Questo documento è stato concepito in modo tale da servire anche come opera di riferimento per i dipendenti e viene regolarmente rivisto e ampliato", spiega Markus Aegerter. Questo concetto ISDS sarà ora analizzato in dettaglio da una società esterna e integrato, se necessario.
L'associazione sostiene i suoi membri con le parole e con i fatti: i proprietari di officine possono trovare un'ampia gamma di liste di controllo e numerosi rapporti e consigli sul sito web dell'UPSA. Inoltre, l'UPSA offre webinar con Cornelia Stengel, una specialista di comprovata esperienza sul tema della legge sulla protezione dei dati (vedi riquadro). "E naturalmente il nostro team di avvocati è a disposizione per rispondere alle domande", sottolinea Markus Aegerter, sottolineando il supporto fornito dall'associazione.
Tahir Pardhan, del servizio legale dell'UPSA, è infatti esperto in materia di legge sulla protezione dei dati. Le richieste dei membri dell'associazione sono in aumento, soprattutto negli ultimi tempi.
Foto: Istock/Teaser Shutterstock
Kro. "La nostra azienda è ancora in fase di preparazione e di chiarimento con le autorità e le persone responsabili", afferma Beat Salzmann, proprietario e amministratore delegato di Forellensee-Garage AG a Zweisimmen BE. "Le informazioni sull'attuazione non sono ancora chiare", osserva. Beat Salzmann non è solo in questa sfida. La nuova legge sulla protezione dei dati, che entrerà in vigore il 1° settembre di quest'anno, è ancora un libro chiuso per molti imprenditori e dirigenti. Ciò riguarda non solo le imprese più piccole, ma anche quelle medie e grandi. "Stiamo compilando il tutto e lo stiamo mettendo a punto internamente", afferma ad esempio Marc Weber, proprietario e amministratore delegato di Ausee-Garage AG a Au-Wädenswil ZH. Anche il Gruppo Binelli sta attualmente rivedendo i propri processi interni "per garantire che siano conformi alla protezione dei dati", come conferma Julian Dubacher, responsabile marketing e comunicazione, su richiesta di AUTOINSIDE. Il tempo stringe, ed è per questo che anche la maggior parte delle aziende del settore automobilistico si sta impegnando in tal senso, come ha affermato Cornelia Stengel nel numero di febbraio di AUTOINSIDE. L'amministratore delegato dell'Associazione svizzera di leasing ha descritto la base più importante come "un inventario del trattamento dei dati personali per prepararsi all'entrata in vigore della nuova legge".
"Il know-how necessario per implementare i requisiti della legge sulla protezione dei dati e gli importatori o i produttori è grande", afferma Volker Dohr, avvocato e CEO di Impunix, società specializzata nella protezione dei dati (vedi riquadro). "Solo imparare le basi e la terminologia e poi comunicarle ai propri dipendenti è una sfida per il management", afferma. A ciò si aggiungono, tra l'altro, compiti obbligatori completi e sanzionabili come la documentazione, le dichiarazioni sulla protezione dei dati, le misure tecniche e organizzative, il piccolo segreto professionale, che ora riguarda tutti i dipendenti, la verifica dei contratti di protezione dei dati con tutti i fornitori di servizi, l'osservazione dei trasferimenti all'estero e la corretta risposta alle richieste di informazioni. A questi si aggiungono altri obblighi non punitivi, come l'elenco dei trattamenti, le linee guida, la formazione, la notifica della perdita di dati, la valutazione dell'impatto sulla protezione dei dati, il concetto di cancellazione, la privacy-by-default.
Un buon consiglio: rivolgersi a un professionista
Alla domanda su quali conclusioni tragga il servizio legale dell'UPSA dalle domande che gli sono state poste, Tahir Pardhan risponde: "L'attuazione concreta del nuovo DPA è molto complessa e diversa per ogni azienda. È quindi difficile trovare una soluzione unica che valga per tutte le aziende". Soprattutto perché c'è la minaccia di conseguenze penali sotto forma di multe, è altamente consigliabile rivolgersi a un professionista per l'attuazione.
Ecco ulteriori informazioni
Insieme all'Associazione svizzera di leasing, l'UPSA ha raccolto diverse informazioni che forniscono un'utile panoramica sull'argomento. I link pertinenti sono disponibili sul sito web dell'UPSA. Nei prossimi mesi, i media dell'AGVS pubblicheranno regolarmente articoli sulla nuova legge sulla protezione dei dati.
L'UPSA organizza anche un webinar sul tema della legge sulla protezione dei dati. Interverranno Cornelia Stengel, direttrice dell'Associazione svizzera di leasing e docente in diverse università, Luca Stäuble, avvocato e docente all'Università di Scienze Applicate di Zurigo, e Gaspare Loderer, avvocato nel campo della protezione dei dati. Il webinar durerà mezza giornata. Le prossime date: Mercoledì 10 maggio e Mercoledì 14 giugno 2023. Tutte le informazioni sono disponibili nella Business Academy di UPSA.
Aiuto esterno grazie all'UPSA
L'ufficio UPSA sta facendo controllare i preparativi interni per l'attuazione della nuova legge sulla protezione dei dati dalla società esterna Impunix. L'azienda ha sviluppato un "pacchetto completo" di protezione dei dati per il settore automobilistico. In collaborazione con le UPSA e gli importatori, Impunix garantisce un'implementazione olistica a un prezzo fisso e assicura l'esclusione di multe e violazioni. In vista della data di entrata in vigore della nuova legge sulla protezione dei dati, diverse officine stanno già lavorando con Impunix. Patrick Burkhardt di Schönegg Garage AG a Spiez BE, ad esempio, afferma: "Non avrei mai pensato che qualcuno in Svizzera ci avrebbe tolto la protezione dei dati".
Alla domanda su quali conclusioni tragga il servizio legale dell'UPSA dalle domande che gli sono state poste, Tahir Pardhan risponde: "L'attuazione concreta del nuovo DPA è molto complessa e diversa per ogni azienda. È quindi difficile trovare una soluzione unica che valga per tutte le aziende". Soprattutto perché c'è la minaccia di conseguenze penali sotto forma di multe, è altamente consigliabile rivolgersi a un professionista per l'attuazione.
Ecco ulteriori informazioni
Insieme all'Associazione svizzera di leasing, l'UPSA ha raccolto diverse informazioni che forniscono un'utile panoramica sull'argomento. I link pertinenti sono disponibili sul sito web dell'UPSA. Nei prossimi mesi, i media dell'AGVS pubblicheranno regolarmente articoli sulla nuova legge sulla protezione dei dati.
L'UPSA organizza anche un webinar sul tema della legge sulla protezione dei dati. Interverranno Cornelia Stengel, direttrice dell'Associazione svizzera di leasing e docente in diverse università, Luca Stäuble, avvocato e docente all'Università di Scienze Applicate di Zurigo, e Gaspare Loderer, avvocato nel campo della protezione dei dati. Il webinar durerà mezza giornata. Le prossime date: Mercoledì 10 maggio e Mercoledì 14 giugno 2023. Tutte le informazioni sono disponibili nella Business Academy di UPSA.
Aiuto esterno grazie all'UPSA
L'ufficio UPSA sta facendo controllare i preparativi interni per l'attuazione della nuova legge sulla protezione dei dati dalla società esterna Impunix. L'azienda ha sviluppato un "pacchetto completo" di protezione dei dati per il settore automobilistico. In collaborazione con le UPSA e gli importatori, Impunix garantisce un'implementazione olistica a un prezzo fisso e assicura l'esclusione di multe e violazioni. In vista della data di entrata in vigore della nuova legge sulla protezione dei dati, diverse officine stanno già lavorando con Impunix. Patrick Burkhardt di Schönegg Garage AG a Spiez BE, ad esempio, afferma: "Non avrei mai pensato che qualcuno in Svizzera ci avrebbe tolto la protezione dei dati".
"Per i rappresentanti di marca le cose sono un po' più complicate: oltre alla nuova protezione dei dati, gli agenti di marca devono rispettare i requisiti degli importatori, che sono diversi e si basano per lo più sul diritto dell'UE e non su quello svizzero". L'ex responsabile del servizio legale di Amag richiama l'attenzione anche su un altro aspetto non trascurabile: "Bisogna tenere conto del fatto che la protezione dei dati avviene continuamente e che le conoscenze devono essere aggiornate". E questo, a sua volta, vale per tutte le aziende associate.
In sostanza, è necessario rispondere a una serie di domande, principalmente tre. Primo: dobbiamo fare qualcosa? In secondo luogo, cosa dobbiamo fare? E probabilmente la domanda più importante: quali sono i pericoli se non mi adeguo ai requisiti di protezione dei dati nel settembre 2023? "Consigliamo di prendere sul serio la questione e di attuare le misure necessarie entro la fine di agosto", afferma Markus Aegerter, direttore esecutivo dell'UPSA. "Altrimenti, c'è la minaccia di multe salate". Come proprietario di un'autofficina, avete accesso a dati sensibili, ad esempio nei contratti di locazione.
L'UPSA vuole dare il buon esempio anche in questo campo e si sta già occupando della corretta attuazione tecnica della legge sulla protezione dei dati con l'aiuto di casi di studio. Tra l'altro, questo viene fatto con richieste di informazioni fittizie che sono state messe in pratica. "Sulla base dei risultati di questi casi d'uso, è stato sviluppato un concetto di sicurezza delle informazioni e di protezione dei dati (ISDS). Questo documento è stato concepito in modo tale da servire anche come opera di riferimento per i dipendenti e viene regolarmente rivisto e ampliato", spiega Markus Aegerter. Questo concetto ISDS sarà ora analizzato in dettaglio da una società esterna e integrato, se necessario.
L'associazione sostiene i suoi membri con le parole e con i fatti: i proprietari di officine possono trovare un'ampia gamma di liste di controllo e numerosi rapporti e consigli sul sito web dell'UPSA. Inoltre, l'UPSA offre webinar con Cornelia Stengel, una specialista di comprovata esperienza sul tema della legge sulla protezione dei dati (vedi riquadro). "E naturalmente il nostro team di avvocati è a disposizione per rispondere alle domande", sottolinea Markus Aegerter, sottolineando il supporto fornito dall'associazione.
Tahir Pardhan, del servizio legale dell'UPSA, è infatti esperto in materia di legge sulla protezione dei dati. Le richieste dei membri dell'associazione sono in aumento, soprattutto negli ultimi tempi.
Il servizio legale di UPSA sulla nuova legge sulla protezione dei dati: le domande più importanti
Con la nuova legge sulla protezione dei dati, il trattamento e quindi l'utilizzo dei dati dei clienti è regolamentato in modo più chiaro. In alcuni casi, ciò ha comportato cambiamenti significativi. Tahir Pardhan del servizio legale dell'UPSA risponde alle cinque domande più frequenti.
Tahir Pardhan, cosa dovete fare in relazione alla nuova legge sulla protezione dei dati?
Tahir Pardhan: La nuova legge sulla protezione dei dati impone nuovi requisiti per il trattamento dei dati personali, alcuni dei quali sono punibili per legge. Per soddisfare i requisiti, le aziende devono innanzitutto rivedere i dati personali che raccolgono, elaborano e conservano e documentare le procedure di elaborazione dei dati. È inoltre importante che le persone interessate siano informate in modo appropriato sul trattamento dei loro dati, ad esempio tramite una dichiarazione sulla protezione dei dati. Tuttavia, questo da solo non basta, perché la legge contiene anche altre norme.
Si può copiare la dichiarazione sulla privacy dell'importatore?
È fortemente sconsigliato copiare l'informativa sulla privacy di un'altra azienda, soprattutto quella dell'importatore. L'importatore è un fornitore e non ha processi per i clienti finali, come vendite, finanziamenti e post-vendita, che non sono quindi documentati nella sua informativa sulla privacy. È importante che ogni azienda valuti la propria situazione e i propri processi interni per garantire la conformità al nuovo DPA. La dichiarazione sulla privacy deve quindi essere specifica per le operazioni e le procedure di trattamento dei dati dell'azienda.
La legge sulla protezione dei dati dell'UE deve essere rispettata?
Di norma, no. Solo se i servizi e i veicoli sono esplicitamente offerti nell'area dell'UE, se le persone provenienti dall'UE sono specificamente monitorate con l'analisi del sito web, ad esempio con i cookie, o se una filiale è gestita nell'area dell'UE o nel Liechtenstein, il GDPR dell'UE deve essere rispettato."
Dovete utilizzare un banner per i cookie?
Dipende da come e quando vengono utilizzati i cookie sul sito web. Se vengono utilizzati solo i cookie tecnicamente necessari, non è richiesto alcun banner. Nella maggior parte dei casi, tuttavia, vengono utilizzati cookie di tracciamento web come Google Analytics, che possono essere attivati solo dopo aver fornito informazioni trasparenti e adeguate sul trattamento dei dati. Questo può essere risolto con un banner sui cookie con una breve spiegazione e un link all'informativa sulla privacy, nonché con un pulsante "chiudi", che rilascia i cookie di tracciamento web. Presumibilmente non sarà necessario un banner sui cookie con le scelte che conosciamo dai siti web dell'UE. In questo caso siamo ancora in attesa delle raccomandazioni delle autorità e dei tribunali.
Qual è la minaccia se i requisiti del nuovo DPA non saranno attuati entro settembre 2023?
C'è il rischio di denunce penali da parte delle persone da cui vengono elaborati i dati personali e anche di minacce da parte degli importatori per violazione del contratto in caso di mancata attuazione della nuova DPA. Ciò può comportare multe personali per il responsabile della protezione dei dati. Per questi motivi, è essenziale che i proprietari di garage si familiarizzino con i requisiti della DPA il prima possibile e, idealmente, prendano in considerazione un aiuto professionale per l'implementazione.
Con la nuova legge sulla protezione dei dati, il trattamento e quindi l'utilizzo dei dati dei clienti è regolamentato in modo più chiaro. In alcuni casi, ciò ha comportato cambiamenti significativi. Tahir Pardhan del servizio legale dell'UPSA risponde alle cinque domande più frequenti.
Tahir Pardhan: La nuova legge sulla protezione dei dati impone nuovi requisiti per il trattamento dei dati personali, alcuni dei quali sono punibili per legge. Per soddisfare i requisiti, le aziende devono innanzitutto rivedere i dati personali che raccolgono, elaborano e conservano e documentare le procedure di elaborazione dei dati. È inoltre importante che le persone interessate siano informate in modo appropriato sul trattamento dei loro dati, ad esempio tramite una dichiarazione sulla protezione dei dati. Tuttavia, questo da solo non basta, perché la legge contiene anche altre norme.
Si può copiare la dichiarazione sulla privacy dell'importatore?
È fortemente sconsigliato copiare l'informativa sulla privacy di un'altra azienda, soprattutto quella dell'importatore. L'importatore è un fornitore e non ha processi per i clienti finali, come vendite, finanziamenti e post-vendita, che non sono quindi documentati nella sua informativa sulla privacy. È importante che ogni azienda valuti la propria situazione e i propri processi interni per garantire la conformità al nuovo DPA. La dichiarazione sulla privacy deve quindi essere specifica per le operazioni e le procedure di trattamento dei dati dell'azienda.
La legge sulla protezione dei dati dell'UE deve essere rispettata?
Di norma, no. Solo se i servizi e i veicoli sono esplicitamente offerti nell'area dell'UE, se le persone provenienti dall'UE sono specificamente monitorate con l'analisi del sito web, ad esempio con i cookie, o se una filiale è gestita nell'area dell'UE o nel Liechtenstein, il GDPR dell'UE deve essere rispettato."
Dovete utilizzare un banner per i cookie?
Dipende da come e quando vengono utilizzati i cookie sul sito web. Se vengono utilizzati solo i cookie tecnicamente necessari, non è richiesto alcun banner. Nella maggior parte dei casi, tuttavia, vengono utilizzati cookie di tracciamento web come Google Analytics, che possono essere attivati solo dopo aver fornito informazioni trasparenti e adeguate sul trattamento dei dati. Questo può essere risolto con un banner sui cookie con una breve spiegazione e un link all'informativa sulla privacy, nonché con un pulsante "chiudi", che rilascia i cookie di tracciamento web. Presumibilmente non sarà necessario un banner sui cookie con le scelte che conosciamo dai siti web dell'UE. In questo caso siamo ancora in attesa delle raccomandazioni delle autorità e dei tribunali.
Qual è la minaccia se i requisiti del nuovo DPA non saranno attuati entro settembre 2023?
C'è il rischio di denunce penali da parte delle persone da cui vengono elaborati i dati personali e anche di minacce da parte degli importatori per violazione del contratto in caso di mancata attuazione della nuova DPA. Ciò può comportare multe personali per il responsabile della protezione dei dati. Per questi motivi, è essenziale che i proprietari di garage si familiarizzino con i requisiti della DPA il prima possibile e, idealmente, prendano in considerazione un aiuto professionale per l'implementazione.
Aggiungi commento
Commenti