Il 1° settembre 2023 è entrata in vigore la nuova legge sulla protezione dei dati (LPD), che comporterà i seguenti cambiamenti significativi per le aziende e le altre organizzazioni di diritto privato (comprese le associazioni):
1. Solo i dati delle persone fisiche saranno da ora in poi coperti, e non più quelli delle persone giuridiche.
2. I dati genetici e biometrici (art. 5 lett. c LPD) entrano nella definizione dei dati sensibili.
3. Vengono introdotti i principi di "Privacy by Design" e di "Privacy by Default" (art. 7 LPD): Come indicato dal nome, ilprincipio di "Privacy by Design" (protezione dei dati sin dalla concezione) implica che gli sviluppatori integrino la protezione e ilrispetto della vita privata degli utenti nella struttura stessa del prodotto o del servizio chiamato a raccogliere i dati personali. Il principio di "Privacy by Default" (protezione dei dati per impostazione predefinita) assicura invece il livello di sicurezza piùelevato dalla messa in circolazione del prodotto o del servizio, attivando automaticamente, ovvero senza intervento da parte degli utenti, tutte le misure necessarie alla protezione dei dati e alla limitazione del loro utilizzo. In altre parole, tutti i software, il materiale e i servizi devono essere configurati in modo da proteggere i dati e da rispettare la vita privata degli utenti. POLARIS è configurato in modo tale da poter rispettare questi principi.
4. Delle analisi d’impatto (art. 22 LPD) devono essere effettuate dal titolare del trattamento, ossia la persona che da sola o insieme ad altri decide le finalità e i mezzi del trattamento dei dati, se, ad esempio, i dati personali sono trattati in occasionedell'utilizzo di nuovi processi o tecnologie e vi è un rischio elevato per la personalità o i diritti fondamentali delle persone interessaste. Dal punto di vista dei Rotary club, non risulta necessario intervenire.
5. Il diritto di informare viene esteso (art. 19 LPD): ogni volta che si raccolgono dati personali - e non più solo i cosiddettidati che richiedono una protezione speciale - la persona interessata deve essere informata in anticipo. Nel Rotary, ciò avviene informando in modo appropriato i nuovi soci sulla registrazione dei loro dati personali in POLARIS e sull'informativasulla privacy su rotary.ch o sul sito web del club.
6. Diventa obbligatorio allestire un registro delle attività di trattamento (art. 12 LPD): Tuttavia, l'ordinanza della leggeprevede un'eccezione per le aziende e le altre organizzazioni di diritto privato che impiegano meno di 250 persone e il cui trattamento dei dati comporta solo un basso rischio di violazione della privacy degli interessati. Di conseguenza, i Rotary clubCH/FL non sono, in generale, obbligati a creare un elenco di questo tipo.
7. È richiesto l’annuncio rapido (art. 24 LPD) in caso di violazione della sicurezza dei dati che comporta un rischio elevato per la personalità o i diritti fondamentali della persona interessata. L’annuncio deve essere indirizzato all'Incaricato federaledella protezione dei dati e per la trasparenza (IDT). In caso di sospetta o effettiva violazione della sicurezza dei dati ("dataleak"), si raccomanda al CICO di contattare immediatamente il DICO, che coordinerà ulteriori misure (tra cui la segnalazione all'IDT (l'IDT ha messo in piedi una piattaforma di segnalazione online corrispondente) con il team POLARIS.
8. La nozione di profilazione (art. 5 lett. f LPD): il trattamento automatizzato dei dati personali è stato inserito nella legge. Tale trattamento automatizzato dei dati non avviene nell’ambito di POLARIS.
9. Le disposizioni del diritto penale sono state inasprite (art. 60 e segg. LDP): in particolare, la violazione degli obblighi di informazione o di diligenza (ad esempio in relazione alla divulgazione di dati personali all'estero, all'utilizzo di incaricati deltrattamento o a questioni di sicurezza dei dati) può comportare una multa fino a 250.000 franchi svizzeri (la violazione dei principi di protezione dei dati, tuttavia, non è punibile). Viene punita la persona fisica che ha commesso la violazione.
Per il resto, i principi di protezione dei dati sono stati adottati senza modifiche e la LPD prevede solo piccoli aggiustamenti in relazioneai temi della divulgazione dei dati all'estero, del coinvolgimento dei responsabili del trattamento e dei diritti degli interessati. A differenza del GDPR dell'UE, il DPA non prevede la funzione del responsabile della protezione dei dati (DPO).
Cosa comporta la nuova LPD in particolare per l'utilizzo dei dati dei soci su POLARIS? Come indicato nella dichiarazione sulla protezione dei dati (https://polaris.rotary.ch/it/privacy-policy), il rispettivo distretto/club Rotary è responsabile del trattamento dei datipersonali all'interno della propria area di accesso a POLARIS e stabilisce quali dati personali vengono raccolti.
Nello sviluppo di POLARIS, il VRM ha adottato adeguate misure tecniche (ad es. limitazione dell'accesso, backup dei dati, ecc.) e organizzative (ad es. istruzioni per gli amministratori, accordi di riservatezza, monitoraggio, ecc.) per garantire la sicurezza dei dati raccolti ed elaborati e per proteggerli da accessi non autorizzati, uso improprio, perdita, falsificazione o distruzione. L'accesso ai dati èconsentito solo alle persone (ad es. CICO/DICO) che lo richiedono per lo svolgimento delle loro funzioni.
In caso di domande sulla protezione dei dati, si prega di inoltrare la richiesta al seguente indirizzo: dataprotection@rotary.ch
Scarica questa lettera in formato PDF
