
Come rendere conforme il tuo sito web alla Legge federale Svizzera sulla protezione dei dati LPD e al GDPR dell’Unione Europea?
Negli ultimi anni il tema della sicurezza e della privacy è sempre più rilevante.
Se in Europa a proteggere i dati ci pensa il GDPR, in Svizzera dal primo settembre 2023 è entrata in vigore la nuova Legge federale sulla protezione dei dati, LPD, che va a sostituire la precedente legge del 1992.
La nuova normativa introduce importanti cambiamenti che riguardano la protezione dei dati personali e l’obbligo di conformità, con il fine di raggiungere un livello di sicurezza simile a quello del GDPR dell’UE.
Alla luce della nuova regolamentazione entrata in vigore, tutti i siti web che trattano dati personali di utenti ubicati in Svizzera devono rispettare dei requisiti essenziali sull’uso dei cookie, sul consenso e sul monitoraggio online.
Analizziamo nel dettaglio quali sono le novità introdotto dall’LPD, che cosa differenzia la normativa svizzera da quella europea del GDPR e come adeguare il tuo sito web definitivamente, senza abbonamenti.
Cos’è la LPD, panoramica
La LPD stabilisce i principi fondamentali per il trattamento dei dati personali e ne rafforza la protezione.
Uno degli obiettivi principali della recente normativa è quello di allinearsi quanto più possibile con il GDPR dell’UE per garantire il flusso continuo di dati personali dallo Spazio Economico Europeo (SEE) alla Svizzera.
Nello specifico per quanto riguarda i siti web, se vengono trattati ed elaborati dati personali sensibili, la LPD richiede di ottenere il consenso liberamente dato ed informato da parte degli utenti situati in Svizzera e al tempo stesso è necessaria un’informativa sulla privacy.
Per dati personali la LPD intende qualsiasi tipo di informazione riguardante una persona identificata o identificabile, come ad esempio gli indirizzi IP dei visitatori. Parlando di dati sensibili, la LPD include le informazioni sulla razza, sulla salute, sulle convinzioni religiose o politiche, i dati genetici e biometrici, la sicurezza sociale e la vita sessuale di tutti gli utenti che visitano un sito web.
La direttiva deve essere rispettata sia nei siti web operanti nel settore privato che in quello pubblico e si applica a qualsiasi portale che elabora dati di persone ubicate in Svizzera, a prescindere da dove si trova il sito web nel mondo.
Per i trasgressori, ossia per tutti i siti non conformi sono previste multe salate fino a 250.000 CHF.
Cosa cambia con la nuova legge: le principali modifiche
La nuova LPD, rispetto alla legge precedente inserisce alcuni cambiamenti, tra i più importanti troviamo:
- Privacy by Design: bisogna adottare misure tecniche sin dalla prima fase di pianificazione di un progetto web allo scopo di garantire la sicurezza dei dati;
- Requisiti di consenso rafforzati: La nuova legge presta maggiore attenzione alla consapevolezza e alla formazione degli interessati in merito alla raccolta e all’utilizzo dei loro dati personali. Le aziende devono comunicare sul proprio sito web in maniera esplicita la tipologia di dati raccolti, le finalità e altro ancora, nonché i diritti degli utenti e le opzioni per esercitarli.
- Maggior facilità di esercizio dei diritti degli interessati: Gli utenti devono poter e possono accedere ed esercitare più rapidamente i loro diritti, chiedendo in maniera facile alle aziende informazioni in merito all’uso dei propri dati personali.
Su quali aspetti bisogna intervenire per rendere un sito web o un e-commerce compliant alla LPD e al GDPR?
E’ chiaro che tutti i siti web e gli shop online che trattano dati personali di utenti svizzeri devono adeguarsi alle nuove regole.
Nello specifico quali sono le azioni necessarie da intraprendere per essere in regola?
- Inserire un banner dei cookie conforme: lo stesso deve contenere informazioni di semplice comprensione sulle impostazioni dei cookie del tuo sito web e sulle pratiche di trattamento dei dati personali. Così come il GDPR dell’UE, la LPD svizzera richiede che il consenso ai cookie da parte dell’utente finale sia specifico, ovvero deve essere richiesto per ciascun tipo di finalità perseguita. Un banner di consenso in regola non presenta caselle di controllo preselezionate ossia cookie abilitati di default, non spinge o costringe gli utenti a dare il consenso e non interpreta come consenso attività quali lo scorrimento o la continuazione della navigazione nel dominio. Nel caso in cui un visitatore rifiuta un cookie che necessita del consenso non può essergli negato l’accesso al sito web.
- Mettere a disposizione degli utenti una Privacy Policy e Cookie Policy, all’interno della quale non possono mancare informazioni relative all’identità e ai dati di contatto del titolare del trattamento (proprio o di terze parti), le finalità dei cookie che verranno depositati e/o letti, i destinatari o le categorie di destinatari dei dati.
Le differenze tra LPD vs. GDPR
Se il tuo sito web situato in Svizzera tratta dati personali di utenti nell’UE, si applica il Regolamento generale sulla protezione dei dati (GDPR).
Quali sono le principali differenza tra la LPD svizzera e il GPDR europeo?
La LPD rispetto al GDPR per alcuni aspetti risulta più severa per altri richiede meno requisiti.
Ad esempio, a differenza della legge europea, la LPD punta a colpire con le sanzioni le persone fisiche e non solo le aziende o ancora non è necessaria una giustificazione per trattare i dati personali.
Su altri aspetti invece risulta decisamente più rigida. Secondo la legge svizzera l’ambito materiale copre tutti i trattamenti dei dati sia manuali che automatizzati, mentre il GDPR viene applicato solo per ciò che riguarda il trattamento manuale.
Altra differenza riguarda la nomina di un responsabile del trattamento dei dati. Se mentre per il GDPR è obbligatoria, con la LPD è consigliata. Per la legge Svizzera l’obiettivo è quello di porre il ruolo dei collaboratori al centro del processo di gestione dei dati. Tutte le persone che entrano in contatto con i dati devono essere informate sulla natura dei dati stessi, sul loro scopo e su come verranno trattati. Per adeguarsi alla nuova legge è quindi fondamentale per tutti avere piena consapevolezza in materia di protezione dei dati, conoscendo i rischi, gli obblighi e i diritti.
Riassumiamo le principali diversità tra le due normative:
REQUISITO | LPD | GDPR |
Vincoli di informazione | Le informazioni obbligatorie da inserire nella privacy policy sono inferiori rispetto alla normativa europea. E’ fondamentale inserire la lista dei paesi con i quali si condivideranno i dati personali | Le indicazioni e i contenuti minimi da inserire all’interno dell’informativa sulla privacy sono esplicate nell’art.13 |
Condivisione dei dati | Il consiglio federale svizzero determina se i partner con cui condividere i dati sono idonei. Condizioni contrattuali regolari dell’UE o altre leggi aziendali vincolanti | La commissione europea determina se i partner con cui condividere i dati sono idonei.
Condizioni contrattuali regolari o altre leggi aziendali vincolanti |
Sanzioni | Fino a 250.000 franchi verso il responsabile o fino a 50.000 franchi svizzeri verso l’azienda | 2% del fatturato totale annuo o 10 milioni di euro per le prime trasgressioni o per quelle meno gravi |
Notifica di violazione dei dati | Imposto “quanto prima” | Imposto “entro 72 ore” |
Responsabile della protezione dei dati | Suggerito | Imposto |
Registri delle attività di trattamento | Deve comprendere una lista dei paesi in cui i dati vengono diffusi | Tutte le informazioni che devono essere inserite all’interno dell’informativa sulla privacy sono regolamentate dall’Art.30 del GDPR |
Valutazioni d’impatto della protezione dei dati | In presenza di rischio notevole, il responsabile della protezione dei dati può essere interpellato al posto dell’incaricato federale della protezione dei dati e della trasparenza | In presenza di rischio notevole, è obbligatorio interpellare l’autorità di controllo competente |
Perché è fondamentale rendere conforme il proprio sito web alla nuova LPD?
Perché adeguarsi alla nuova legge? Perché solo così, ogni sito web aziendale sarà in grado di garantire un trattamento dei dati sicuro e responsabile.
Oggi Trasparenza e Fiducia rappresentano un vantaggio competitivo per le aziende, non adeguarsi e non garantire la giusta protezione potrebbe danneggiare gravemente la reputazione di un brand. Infine, altro motivo da non sottovalutare è la giusta competizione con l’Unione Europea, poiché solo così si potranno trasferire dati a livello internazionale e continuare di conseguenza a fare affari nel mercato europeo.
Il tuo sito web è conforme alla nuova legge?
Se ancora non hai adeguato il tuo sito o se stai per aprirne uno nuovo ed hai bisogno di supporto per renderlo compliant alla normativa LPD e GPDR, non esitare a contattarci. In Manthea siamo pronti ad aiutarti a garantire la conformità: proteggendo la tua azienda e i dati del tuo pubblico con la nostra soluzione Manthea E-Privacy.