La versione svizzera della legge sulla protezione dei dati presenta alcune importanti novità. Tutto ciò che riguarda la nuova legge svizzera sulla protezione dei dati (nDSG o revDSG) che interessa il marketing. In questo articolo spieghiamo le modifiche più importanti nel modo più semplice e conciso possibile.
La nuova legge è composta da 92 pagine ed è ufficialmente denominata Legge federale sulla protezione dei dati (Data Protection Act, DSG BBl 2020 7639). Per semplicità, qui ci riferiamo alla revDSG, cioè alla nuova legge sulla protezione dei dati.
La Svizzera ha rivisto radicalmente la sua legge sulla protezione dei dati. La nuova legge sulla protezione dei dati (revDSG) entrerà in vigore il 1° settembre 2023. Non siamo avvocati e non possiamo fornire alcuna consulenza legale vincolante. Tuttavia, abbiamo riassunto i cambiamenti più importanti della nuova legge sulla protezione dei dati, in particolare per quanto riguarda l’automazione del marketing e la raccolta dei dati dei clienti, e spieghiamo in questo articolo cosa dovete implementare nella pratica.
Controllo della protezione dei dati.
Compilate il nostro questionario e scoprite direttamente con il controllo della protezione dei dati come è la vostra protezione dei dati.
Indice dei contenuti
Chi è interessato dalla nuova legge svizzera sulla protezione dei dati (revDSG)?
La nuova legge svizzera sulla protezione dei dati (revDSG) interessa tutte le aziende con sede in Svizzera e le aziende straniere che operano in Svizzera o il cui trattamento dei dati ha un impatto in Svizzera. La nuova legge non definisce in modo più dettagliato quando il trattamento dei dati ha un “impatto” sulla Svizzera – ma se applichiamo i criteri del Regolamento generale sulla protezione dei dati dell’UE, dovrebbe essere sufficiente che un’azienda straniera consegni merci in Svizzera, ad esempio.
Poiché la nuova legge svizzera si basa sulRegolamento generale sulla protezione dei dati(GDPR) europeo, dovete presumere di avere una maggiore necessità di intervento, soprattutto se la vostra azienda non è ancora conforme al GDPR.
Legge svizzera sulla protezione dei dati: cosa contiene la legge e perché è stata rivista?
L’attuale “Legge federale sulla protezione dei dati” risale al 1992 – da allora, la raccolta e l’utilizzo dei dati personali sono aumentati in modo significativo. Da un lato, la nuova legge intende rafforzare l’autodeterminazione degli interessati in merito ai propri dati e, dall’altro, la nuova DPA impone nuovi obblighi alle aziende, in particolare per quanto riguarda la raccolta, la perdita o l’uso improprio dei dati personali.
D’altro canto, la revisione mira a garantire l’armonizzazione della legge svizzera sulla protezione dei dati con ilRegolamento generale sulla protezione dei dati(GDPR) introdotto dall’Unione europea nel 2018. Le aziende svizzere rischiano di subire evidenti svantaggi competitivi se l’UE non riconoscerà più la Svizzera come Paese terzo con un livello adeguato di protezione dei dati.
Quali sono le modifiche più importanti alla legge svizzera sulla protezione dei dati?
Ambito e portata: come il GDPR, il nuovo DPA si limita alla protezione dei dati delle persone fisiche. Finora la legge sulla protezione dei dati ha incluso anche le persone giuridiche. Un’altra novità: i dati genetici e biometrici sono considerati particolarmente degni di protezione.
Trasparenza: le aziende sono tenute a informare adeguatamente gli interessati su ogni raccolta di dati. Non solo nel caso di dati particolarmente sensibili, ma anche se i dati non sono raccolti dall’interessato stesso. Deve essere nominato un responsabile del trattamento dei dati. Devono essere trasmessi lo scopo del trattamento, il destinatario e il paese di destinazione, se i dati vengono esportati all’estero.
Registro delle attività di trattamento: Le aziende con 250 o più dipendenti sono obbligate a tenere questo registro. In cambio, l’obbligo di tenere un registro delle raccolte di dati non si applica più.
Valutazione dell’impatto sulla protezione dei dati: Le aziende devono effettuare una valutazione documentata dell’impatto sulla protezione dei dati se il trattamento dei dati comporta un rischio elevato per la privacy o i diritti fondamentali degli interessati.
Profilazione: l’ ottenimento del consenso è obbligatorio solo se “porta a una combinazione di dati che consente di valutare aspetti significativi della personalità di una persona fisica” (articolo 5, paragrafo g della FADP). La legge parla di “profilazione ad alto rischio”.
Privacy-by-design / privacy-by-default (protezione dei dati attraverso la tecnologia e impostazioni predefinite favorevoli alla protezione dei dati): Le aziende sono obbligate a prendere in considerazione le normative durante la pianificazione e la progettazione delle applicazioni e, ad esempio, a richiedere esplicitamente il consenso dell’utente per il trattamento dei dati che va oltre lo stretto necessario e a non ottenerlo attraverso impostazioni predefinite appropriate.
Attuazione pratica della revisione della legge sulla protezione dei dati
Cosa devo tenere presente per adempiere alle nuove norme sulla protezione dei dati in Svizzera?
Le aziende con sede in Svizzera e quelle coinvolte in trasferimenti di dati da e verso la Svizzera devono effettuare un inventario del trattamento dei dati personali all’interno dell’azienda: Quali dati personali vengono raccolti, per quale scopo e come. I dati personali sono “qualsiasi informazione relativa a una persona fisica identificata o identificabile”. (Art. 5 lit. un DSG). In realtà è più facile pensare che tutti i dati siano anche dati personali. Una valutazione dei rischi può essere utilizzata per verificare i requisiti di conformità alla protezione dei dati. Nell’ambito di un’analisi del divario (confronto tra lo stato effettivo e quello obiettivo), gli imprenditori possono quindi identificare i passi necessari.
Dovete assicurarvi di avere un contratto corrispondente per ogni fornitore terzo. Esiste un accordo standardizzato per l’elaborazione degli ordini (AVV) o dei dati (DPA) basato sul modello europeo.
I dati obbligatori della persona responsabile e i suoi recapiti costituiscono un obbligo di imprinting ai sensi della legge sulla protezione dei dati. Ulteriori informazioni e suggerimenti per l’attuazione pratica sono disponibili nella lista di controllo sulla protezione dei dati.
I fatti più importanti in breve.
Lista di controllo per la protezione dei dati Svizzera.
Cosa devo considerare? I punti più importanti della nuova legge sulla protezione dei dati sono riassunti in una lista di controllo.
Lista di controllo per la protezione dei dati
Cos’altro devo considerare per quanto riguarda le attività di marketing digitale e l’uso di strumenti di marketing automation?
Registrazioni alla newsletter via e-mail e co – “Leads”
Se avete un modulo speciale per la newsletter via e-mail sul vostro sito web, se raccogliete indirizzi e-mail, numeri di telefono ecc. nel vostro modulo di contatto o se scrivete i dati di contatto dei visitatori su carta durante una fiera. Chiedere alle persone un consenso esplicito (opt-in). Dovete dichiarare chiaramente che desiderate comunicare per scopi di marketing o pubblicitari. L’utente:in dà il proprio consenso facendo clic su di esso. Far confermare nuovamente questo consenso(double opt-in) inviando un’e-mail con un link corrispondente o tramite messaggistica istantanea o SMS chiedendo una risposta specifica (SI) come conferma.
In qualità di mittente, tuttavia, dovete dimostrare che ogni destinatario ha dato il proprio consenso. La procedura di double opt-in è già integrata nel nostro strumento di marketing automation Aivie. I dati devono essere memorizzati su un server sicuro. Molti servizi memorizzano i vostri dati negli Stati Uniti, ad esempio, ed è prevedibile che, come nel caso del GDPR dell’UE, questo venga dichiarato un paese non sicuro. Aivie memorizza i propri dati su server in Svizzera.
Pubblicità mirata, come ad esempio le campagne di remarketing
I dati dei clienti non possono essere memorizzati per campagne di remarketing senza un esplicito consenso. Alcuni fornitori, come Google o Facebook, utilizzano i cookie per riconoscere gli utenti su diversi siti web (denominati “pixel”). Anche se non state ancora conducendo campagne di remarketing, dovete ottenere il consenso dei vostri utenti prima di utilizzare i pixel di tracciamento.
Cosa devo considerare in caso di richieste di informazioni e di violazioni della sicurezza dei dati?
In qualità di gestori di siti web, dovete assicurarvi di non perdere nessuna richiesta da parte di soggetti interessati o autorità come l’FDPIC e di rispondere prontamente. Ad esempio, dovete rispondere a una richiesta di informazioni da parte di una persona interessata entro 30 giorni (art. 25 FADP). Importante: controllate attentamente ogni richiesta e valutate come rispondere in ogni singolo caso. Va notato che i diritti degli interessati non sono mai assoluti. Esempio: un’azienda non può cancellare i dati personali per i quali è soggetta a un obbligo di conservazione legale, nemmeno su richiesta.
Dovete inoltre reagire rapidamente e con attenzione in caso di violazione della sicurezza dei dati e verificare se è necessario segnalare l’incidente all’IFPDT e direttamente alle persone interessate. Ciò dipende dal rischio associato alla violazione della sicurezza dei dati per le persone interessate (art. 24 FADP). Deve essere alto e concreto. Ad esempio, la richiesta di cambiare la password dopo una cosiddetta “violazione dei dati” è comune.
Conclusione
È da tempo che la Svizzera si adegua agli standard internazionali in materia di protezione dei dati. Tuttavia, alcuni dettagli del DPA sono ancora aperti, così come la questione di quando esattamente la legge entrerà in vigore e di come verrà attuata nella pratica. Tuttavia, il principio è chiaro: informate i vostri utenti su quali dati raccogliete, come, dove, perché e per quanto tempo. È inoltre importante sapere che ogni visitatore del vostro sito web ha il diritto di richiedere informazioni sui dati raccolti e, se necessario, di chiederne la cancellazione.
Il vostro sito web non ha ancora un banner sui cookie conforme alla DSGVO e alla revDSG?
Con la nuova legge svizzera sulla protezione dei dati (revDSG), un banner di cookie correttamente impostato diventa sempre più importante.
Abbiamo il servizio giusto per questo. Con il nostro servizio, il vostro sito web è rapidamente pronto e voi potete tranquillamente sedervi e rilassarvi.