La revisione della legge sulla protezione dei dati introduce nuovi requisiti per le aziende.
Novità principali:
- la definizione di «dati personali degni di particolare protezione» è estesa ai dati genetici e biometrici. Tuttavia, questa definizione differisce da quella del regolamento generale dell’UE sulla protezione dei dati (GDPR);
- la revisione esige esplicitamente la distruzione o l’anonimizzazione dei dati non più necessari;
- i principi della protezione dei dati sin dalla progettazione («by design») e per impostazione predefinita («by default») sono sanciti nella revisione;
- l’obbligo di informare sulla raccolta dei dati; sono incluse l’adozione di un’informativa sulla privacy e l’indicazione delle informazioni minime seguenti: identità e dati di contatto del titolare del trattamento, scopo del trattamento, destinatari o categorie di destinatari e Stati cui sono comunicati i dati e le garanzie di protezione dei dati personali applicabili;
- la possibilità, ma non l’obbligo, di nominare un consulente per la protezione dei dati («data protection officer», DPO), incaricato di formare, consigliare e garantire l’applicazione delle norme in materia di protezione dei dati personali;
- l’aggiunta dei registri delle attività di trattamento, obbligatoria qualora l’impresa abbia attività di trattamento rischiose o più di 250 collaboratori;
- l’aggiunta di una valutazione d’impatto obbligatoria in caso di rischio elevato;
- l’aggiunta dell’obbligo di notificare le violazioni della sicurezza dei dati in caso di rischio elevato;
- l’aumento delle sanzioni penali con multe fino a 250 000 franchi per le persone fisiche (e fr. 50 000 per le imprese).
Sono invece stati eliminati i seguenti elementi:
- protezione dei dati per le persone giuridiche. La nLPD riguarda solo le persone fisiche;
- obbligo di notificare le collezioni di dati all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).