La nuova Legge federale sulla protezione dei dati (LPD) è il frutto di una revisione completa della precedente Legge svizzera sulla protezione dei dati. Approvata il 25 settembre 2020, è entrata in vigore a settembre 2023.
La LPD contiene disposizioni simili al GDPR, con alcune differenze riguardanti le basi giuridiche e le sanzioni.
Il Parlamento svizzero ha quindi adottato una versione completamente rivista della legge per essere più in linea con il GDPR. L’intento è di mantenere una qualità della protezione e della sicurezza paragonabile a quella del resto dell’UE, anche se la legge manterrà i concetti originali e differirà leggermente sotto alcuni aspetti.
Nella versione aggiornata della LPD, viene introdotta la protezione dei dati sin dalla progettazione, con conseguenti obblighi di due diligence più stringenti per i responsabili del trattamento e per le aziende che conservano dati privati. Le aziende ormai devono progettare le proprie procedure tenendo presente la compliance.
Assicurati che la tua azienda sia in linea con le principali normative internazionali. Puoi generare e gestire facilmente i tuoi documenti con il Generatore di Privacy e Cookie Policydi iubenda.
| LPD | GDPR | |
|---|---|---|
| Applicabilità | La LPD si applica nel tuo caso se la tua organizzazione ha sede in Svizzera o al di fuori della Svizzera e tratti dati di persone interessate svizzere (eccetto il trattamento eseguito per attività personali). | Il GDPR si applica nel tuo caso se la tua organizzazione ha sede nell’UE o tratta dati di dati di interessati dell’UE (ad eccezione del trattamento eseguito per attività personali o domestiche) |
| Dati sensibili | Secondo la LPD, i dati sensibili comprendono:
|
Secondo il GDPR, i dati sensibili comprendono:
|
| Titolare del Trattamento/Responsabile del Trattamento | Il Titolare del Trattamento e il Responsabile del Trattamento possono stipulare un accordo per disciplinare il trattamento dei dati. | È necessario un accordo sul trattamento dei dati |
| Condizioni del trattamento | Per quanto riguarda i privati, l’espresso consenso è richiesto solo per:
|
Principio di opt-in. |
| Obblighi di informativa | Il titolare del trattamento deve fornire le seguenti informazioni entro 30 giorni dalla richiesta di accesso della persona interessata (relativamente al trattamento dei dati personali della persona interessata):
|
Il GDPR contiene tutti gli stessi elementi della LPD, ma include anche l’obbligo di comunicare la base giuridica del trattamento, nonché i diritti concessi all’interessato come il diritto a una copia dei dati, il diritto di proporre reclamo e il diritto di revocare il consenso al trattamento dei dati. |
| Trasferimento dei dati personali all’estero | I dati personali possono essere trasferiti solo verso Stati esteri o organismi internazionali ritenuti in grado di garantire una protezione adeguata dei dati, come constatato dal Consiglio federale. In assenza di tale decisione di adeguatezza, i dati personali possono essere trasferiti all’estero in virtù di: un trattato internazionale; clausole contrattuali tra il titolare o il responsabile del trattamento e l’altro contraente, previamente comunicate all’IFPDT; garanzie specifiche stabilite dall’organo federale competente, previamente comunicate all’IFPDT; clausole tipo di protezione dei dati previamente approvate dall’IFPDT; e norme interne dell’impresa vincolanti sulla protezione dei dati previamente approvate dall’IFPDT. La LPD prevede inoltre diverse eccezioni al trasferimento di dati personali all’estero, ossia: l’espresso consenso della persona interessata al trasferimento dei dati personali; il trasferimento dei dati personali è correlato all’esecuzione o alla conclusione di un contratto tra il titolare e la persona interessata o il titolare e un altro contraente nell’interesse della persona interessata; il trasferimento è necessario per tutelare un interesse pubblico preponderante, far valere un diritto dinanzi a un giudice, proteggere la vita della persona interessata o di un terzo laddove non sia possibile ottenere il consenso preventivo della persona interessata entro un termine ragionevole; la persona interessata ha concesso l’accesso ai dati e non si è opposta espressamente al loro trattamento; i dati provengono da un registro previsto dalla legge accessibile al pubblico o alle persone con un interesse degno di protezione. |
|
| Consulente per la protezione dei dati | La LPD non impone un consulente per la protezione dei dati, la sua presenza è facoltativa. | Il GDPR richiede la nomina di un responsabile della protezione dei dati per le aziende private |
| Notifiche di violazioni dei dati | È necessario notificare quanto prima esclusivamente all’IFPDT ogni violazione della sicurezza che comporta un rischio elevato. La persona interessata viene informata solo se ciò è necessario per proteggerla o se lo esige l’IFPDT. | Le violazioni dei dati devono essere segnalate all’autorità per la protezione dei dati entro 72 ore. L’interessato deve essere informato in caso di rischio elevato. |
| Sanzioni per mancato rispetto | Multe fino a 250.000 CHF per le persone fisiche o giuridiche responsabili. | Sanzioni pecuniarie fino a 10/20 milioni di EUR o fino al 2/4% del fatturato mondiale annuo dell’organizzazione. |
Questa legge si applica al trattamento di dati personali concernenti persone fisiche da parte di:
👉 privati;
👉 organi federali.
Non si applica al trattamento di dati personali da parte di persone fisiche per uso esclusivamente personale.
iubenda continuerà ad aggiornarti sulle modifiche apportate alla LPD; nel frattempo, se non lo hai già fatto, assicurati di avere privacy policy e cookie policy aggiornate e conformi.
La nuova Legge federale svizzera sulla protezione dei dati (LPD) entrerà in vigore a settembre 2023.. È importante prepararsi ai cambiamenti.
👉 Consulta la nostra guidaCome prepararsi alla LPD per scoprire cosa puoi fare già oggi!
