nLPD svizzera: cosa deve cambiare sul tuo sito web

Il 1 settembre 2023, la nuova Legge federale sulla protezione dei dati (nLPD) ha sostituito la vecchia legge del 1992 in Svizzera. Se gestisci un sito web per un'azienda svizzera, questa legge ti riguarda, e ha cambiato diverse cose che influiscono direttamente su come il tuo sito gestisce i dati personali.

Non e una preoccupazione teorica. Le sanzioni sono personali: le persone responsabili delle violazioni possono essere multate fino a CHF 250.000. Non l'azienda. La persona. Potrebbe essere il titolare dell'azienda, l'amministratore delegato o il responsabile della protezione dei dati all'interno dell'organizzazione.

Questo articolo tratta cosa significa la nLPD specificamente per il tuo sito web. Non l'intero ambito della legge, ma i requisiti specifici per i siti web che la maggior parte delle aziende svizzere deve affrontare.

Cosa e cambiato rispetto alla vecchia legge

La legge del 1992 e stata scritta prima che internet diventasse una piattaforma commerciale. Era obsoleta e insufficiente per come i dati personali vengono trattati oggi. La nLPD avvicina il quadro di protezione dei dati della Svizzera al GDPR dell'UE, con alcune differenze notevoli.

Cambiamenti principali

• Ambito: La legge ora protegge solo i dati delle persone fisiche, non delle persone giuridiche. La vecchia legge proteggeva anche i dati aziendali.
• Dati genetici e biometrici: Ora classificati come "dati personali degni di particolare protezione".
• Privacy by design e by default: Questi principi sono ora obbligatori per legge.
• Notifica violazione dati: Devi segnalare le violazioni di dati all'IFPDT (Incaricato federale della protezione dei dati e della trasparenza) il piu rapidamente possibile.
• Valutazione d'impatto sulla protezione dei dati: Richiesta quando le attivita di trattamento presentano un rischio elevato per la personalita o i diritti fondamentali degli interessati.
• Trasparenza: Dovere esteso di informare gli interessati sulla raccolta e sul trattamento dei dati. Questo influisce direttamente sulla privacy policy del tuo sito.
• Profilazione: La legge affronta specificamente la profilazione, con regole piu severe per la "profilazione a rischio elevato".
• Sanzioni penali: Le violazioni possono comportare multe fino a CHF 250.000 imposte alla persona fisica responsabile.

nLPD vs GDPR: differenze chiave

Molte aziende svizzere pensano che se sono conformi al GDPR, sono automaticamente conformi alla nLPD. Non e del tutto corretto.

Aspetto	GDPR	nLPD
Destinatario sanzioni	L'organizzazione (fino al 4% del fatturato globale o EUR 20M)	La persona fisica responsabile (fino a CHF 250.000)
Consenso al trattamento	Il consenso e una delle sei basi giuridiche	Il trattamento e permesso salvo assenza di giustificazione; consenso necessario per dati sensibili
Notifica violazione dati	72 ore all'autorita di controllo	"Il piu rapidamente possibile" all'IFPDT
DPO	Richiesto in molti casi	Volontario (ma raccomandato), chiamato "consulente per la protezione dei dati"
Trasferimenti transfrontalieri	Decisioni di adeguatezza, SCC, BCR	Quadro simile; lista svizzera specifica di paesi adeguati

L'aspetto della responsabilita personale e la differenza pratica piu significativa. Sotto il GDPR, una multa e un costo aziendale. Sotto la nLPD, e una questione penale personale.

Requisiti specifici per i siti web

Privacy policy

Il tuo sito deve avere una privacy policy che soddisfi i requisiti di trasparenza della nLPD (Articoli 19-21). La tua privacy policy deve includere:

• Identita e dati di contatto del titolare del trattamento.
• Finalita del trattamento: Perche raccogli ogni tipo di dato. Sii specifico.
• Categorie di dati raccolti: Quali dati personali raccogli attraverso il sito.
• Destinatari o categorie di destinatari: Con chi condividi i dati. Questo include ogni servizio di terze parti.
• Trasferimenti dati transfrontalieri: Se i dati vengono trasferiti fuori dalla Svizzera, devi indicarlo, nominare i paesi e specificare le garanzie in atto.
• Periodi di conservazione: Per quanto tempo conservi ogni tipo di dato.
• Diritti degli interessati: I diritti che le persone hanno riguardo ai loro dati.
• Processo decisionale automatizzato: Se usi processi decisionali automatizzati o profilazione.

Cosa sbagliano la maggior parte delle privacy policy svizzere

• Sono modelli generici che non riflettono il trattamento dati effettivo del sito specifico.
• Non menzionano i servizi di terze parti per nome.
• Non dichiarano i trasferimenti transfrontalieri.
• Non specificano i periodi di conservazione.
• Sono disponibili in una sola lingua nonostante il sito si rivolga a piu regioni linguistiche.

Consenso cookie

La nLPD non ha una specifica "legge sui cookie" come la Direttiva ePrivacy dell'UE. Tuttavia, i cookie che trattano dati personali ricadono sotto i requisiti di trasparenza e consenso della nLPD. In pratica:

• Cookie tecnicamente necessari possono essere impostati senza consenso, ma devono essere dichiarati nella privacy policy.
• Cookie di analytics (Google Analytics, Hotjar, ecc.) raccolgono dati personali e richiedono consenso o anonimizzazione.
• Cookie di marketing/pubblicita (Facebook Pixel, Google Ads remarketing) richiedono consenso.

L'approccio piu sicuro e implementare una soluzione di gestione del consenso simile a quella richiesta dal GDPR. Per saperne di piu sull'implementazione del consenso cookie, leggi il nostro articolo sugli errori legali comuni nel consenso cookie.

Moduli di contatto

Ogni modulo di contatto sul tuo sito raccoglie dati personali. Sotto la nLPD:

• Devi informare gli utenti su cosa succedera con i loro dati prima che inviino il modulo.
• I dati raccolti devono essere trattati solo per lo scopo dichiarato.
• Devi avere una politica di conservazione chiara.
• Se i dati vengono inviati a servizi di terze parti, questo deve essere dichiarato.

Analytics

Google Analytics e lo strumento di analytics piu comune sui siti svizzeri, e solleva diverse questioni nLPD:

• Trasferimento dati transfrontaliero: Google Analytics invia dati ai server di Google, che possono trovarsi negli USA.
• Trattamento dati personali: Indirizzi IP e dati di comportamento utente sono dati personali sotto la nLPD.
• Requisito di consenso: Dato il trasferimento transfrontaliero e gli aspetti di profilazione, ottenere il consenso prima di caricare Google Analytics e l'approccio piu sicuro.

Alternative

Strumenti di analytics orientati alla privacy come Plausible, Umami o Fathom offrono un'alternativa conforme. Non usano cookie, non tracciano utenti individuali e possono essere ospitati in Svizzera.

Trasferimenti dati transfrontalieri

Questa e una delle aree dove i siti svizzeri falliscono piu frequentemente.

Servizi che trasferiscono dati all'estero

• Google Analytics: Dati inviati ai server Google (USA).
• Google Tag Manager: Dati inviati ai server Google (USA).
• Mailchimp: Dati di email marketing su server USA.
• Facebook/Meta Pixel: Dati visitatori inviati ai server Meta (USA).
• HubSpot: Dati CRM e marketing su server USA.
• Stripe: Dati di pagamento inviati a server USA.

Quali garanzie sono necessarie

Sotto la nLPD, i dati possono essere trasferiti a paesi che offrono un livello adeguato di protezione dei dati (il Consiglio federale mantiene una lista). Per i paesi non nella lista (inclusi gli USA in molti scenari), servono: Clausole contrattuali standard (SCC), consenso esplicito dell'interessato, o un altro meccanismo di garanzia riconosciuto.

Notifica violazione dati

Se il tuo sito viene violato e i dati personali vengono compromessi, la nLPD ti obbliga a notificare l'IFPDT il piu rapidamente possibile. Devi anche notificare le persone interessate se necessario per proteggerle.

Cosa costituisce una violazione dati

• Il database del tuo sito viene acceduto da soggetti non autorizzati.
• I dati dei clienti vengono accidentalmente resi accessibili pubblicamente.
• Le sottomissioni dei moduli di contatto vengono intercettate.
• Un servizio di terze parti che usi viene violato e i dati dei tuoi clienti ne sono coinvolti.
• Il malware sul tuo sito raccoglie dati dei visitatori.

Sanzioni: responsabilita personale

Sotto la nLPD, le violazioni sono punibili con multe fino a CHF 250.000 imposte alla persona fisica responsabile. Non l'azienda. L'individuo.

Chi e a rischio

• Il titolare dell'azienda o l'amministratore delegato.
• La persona designata come responsabile della protezione dei dati.
• Chiunque violi intenzionalmente le disposizioni della nLPD.

Cosa puo far scattare le sanzioni

• Mancata fornitura di informazioni adeguate agli interessati (privacy policy carente).
• Mancata implementazione di misure tecniche e organizzative adeguate per proteggere i dati personali.
• Trasferimenti dati transfrontalieri non autorizzati senza garanzie adeguate.
• Mancata segnalazione di violazioni dati all'IFPDT.

Checklist pratica di conformita per il sito web

Privacy policy

1. Avere una privacy policy che soddisfi tutti i requisiti nLPD.
2. Elencare ogni servizio di terze parti per nome.
3. Dichiarare tutti i trasferimenti dati transfrontalieri con paesi e garanzie.
4. Specificare i periodi di conservazione per ogni tipo di dato.
5. Rendere la privacy policy accessibile da ogni pagina.
6. Fornire la privacy policy in tutte le lingue supportate dal sito.

Consenso cookie

1. Implementare un meccanismo di consenso cookie che blocchi i cookie non essenziali fino al consenso.
2. Categorizzare i cookie in necessari, analytics e marketing.
3. Permettere il consenso granulare.
4. Permettere agli utenti di revocare il consenso in qualsiasi momento.
5. Documentare il consenso.
6. Testare che i cookie siano effettivamente bloccati prima del consenso.

Moduli e raccolta dati

1. Aggiungere un avviso privacy vicino a ogni modulo che raccoglie dati personali.
2. Collegare la privacy policy da ogni modulo.
3. Implementare il double opt-in per le iscrizioni alla newsletter.
4. Definire e implementare periodi di conservazione per le sottomissioni dei moduli.
5. Garantire che i dati dei moduli siano trasmessi in modo sicuro (HTTPS).

Sicurezza

1. HTTPS su tutte le pagine.
2. Header di sicurezza forti (CSP, HSTS, X-Frame-Options, ecc.).
3. Aggiornamenti software regolari.
4. Archiviazione sicura di tutti i dati personali raccolti.
5. Backup regolari con procedure di ripristino testate.
6. Un piano di risposta alle violazioni dati.

Violazioni comuni sui siti svizzeri adesso

• Google Analytics caricato senza consenso: La maggior parte dei siti svizzeri carica ancora Google Analytics prima che l'utente abbia dato il consenso.
• Privacy policy che non menzionano i trasferimenti transfrontalieri.
• Nessun meccanismo di consenso cookie.
• Privacy policy generiche: Modelli copia-incollati che non riflettono le attivita di trattamento dati effettive.
• Accordi di trattamento dati mancanti.
• Nessuna politica di conservazione.
• HTTPS non applicato: Alcune pagine ancora accessibili via HTTP.

Prossimi passi

Se non sei sicuro che il tuo sito sia conforme alla nLPD, probabilmente hai del lavoro da fare. La maggior parte dei siti svizzeri che valutiamo presenta molteplici lacune di conformita.

In Envestis eseguiamo audit di conformita dei siti web che coprono sia gli aspetti tecnici sia quelli legali della conformita nLPD. Per una prospettiva piu ampia sulla conformita GDPR, leggi il nostro articolo sulla conformita GDPR per siti web.

Contattaci per programmare un audit di conformita. Le sanzioni sono personali. Il momento di agire e adesso.