Nuova legge sulla protezione dei dati in Svizzera. Come affrontare il cambiamento ed essere conformi

See the English version of this article

I cittadini svizzeri saranno protetti da nuovi regolamenti di protezione dei dati, più severi e più mirati, a partire da settembre 2023. Qualsiasi impresa o organizzazione in grado di raccogliere, archiviare, gestire e trasferire i dati personali dovrà rispettare il nuovo regolamento o - se dichiarato colpevole di colpa di Conformità mancante -  potrà affrontare pesanti multe fino a CHF 250.000.

In sintesi

La nuova Legge sulla protezione dei dati (nLPD) è un'estensione della LPD esistente che allinea il regolamento svizzero al GDPR dell'UE. Le principali modifiche sono:

• Sono ora coperti solo i dati delle persone naturali, e non quelle delle persone legali
• I dati genetici e biometrici rientrano nella definizione di dati sensibili.
• Vengono introdotti i principi di "Privacy by Design" e "Privacy by Default". Come suggerisce il nome, il principio della "Privacy by Design" (quindi dalla fase di progettazione)  richiede agli sviluppatori di integrare la protezione e il rispetto della privacy degli utenti nella struttura stessa dei prodotti o servizi che raccolgono dati personali.
• Il principio di "privacy by default" garantisce il massimo livello di sicurezza non appena i prodotti o i servizi vengono rilasciati, attivando per impostazione predefinita, ovvero senza alcun intervento da parte degli utenti, tutte le misure necessarie per proteggere i dati e limitarne l'uso. In altre parole, tutti i software, hardware e servizi devono essere configurati per proteggere i dati e rispettare la privacy degli utenti.
• Mantenere un registro delle attività di elaborazione è ora obbligatorio. Tuttavia, l'ordinanza consente esenzioni per le PMI la cui elaborazione dei dati presenta un rischio limitato di danno al soggetto dei dati.
• È richiesta una pronta notifica al Commissario federale per la protezione e le informazioni sui dati (FDPIC) in caso di violazione della sicurezza dei dati.
• Il concetto di profilazione (ovvero l'elaborazione automatizzata dei dati personali) fa ora parte della legge.

L'impatto della protezione dei dati sulle aziende

La maggior parte delle aziende raccoglie e gestisce dati relativi all'attività degli utenti che includono informazioni personali e rientrano nell'ambito del nuovo atto federale sulla protezione dei dati (nLPD) che entrerà in vigore a Settembre 2023. In effetti, anche il sito Web aziendale più semplice produce file di log o utilizza strumenti di analisi che sono normalmente in grado di raccogliere indirizzi IP e dati di interazione utente.

Inoltre, le aziende che consentono la registrazione degli utenti, di creare profili e che tracciano attività, preferenze, acquisti e/o comportamenti passati finalizzati a fornire raccomandazioni o di ottimizzare la propria offerta, ora dovranno iniziare a porre attenzione alla tecnologia alla base dei loro sistemi e verificare dove i dati sono conservati e gestiti per assicurare la completa conformità con la nuova normativa.

Il monitoraggio del sito Web o delle interazioni email, utilizzando strumenti di re-marketing per espandere il pubblico, aggiungendo librerie di analytics ad un'applicazione mobile o web, sono tutte sezioni delle attività online svolte da aziende che ora dovranno essere attentamente esaminate ai fini della protezione e conformità nella gestione dei dati.

I principi di "Privacy by Design" e "Privacy by Default" ora dovranno essere considerati in qualsiasi decisione di software e infrastruttura e le aziende dovranno favorire i fornitori che si allineano con questi principi e offrono strumenti e progetti specifici che possono garantire la piena conformità.

Creare un sito Web,  un’applicazione o  una campagna di marketing utilizzando gli strumenti gratuiti più comuni utilizzati in passato, non è più un’opzione. Le aziende statunitensi offrono strumenti di protezione dei dati molto limitati e alcuni di questi non sono conformi al GDPR e al nLPD.

In particolare, le aziende che gestiscono grandi quantità di dati personali - e in particolare quelle del settore finanziario, assicurativo, sanitario o che gestiscono dati sensibili - dovrebbero iniziare a valutare ciascun componente assicurandosi che la protezione dei dati sia garantita.

Il regolatore ha introdotto servizi dedicati per ottenere consulenza e ha introdotto il concetto di consulenza sui dati: le società private possono nominare un consulente per la protezione dei dati. Questo consulente può essere un dipendente dell'azienda, ma non deve necessariamente esserlo. In entrambi i casi, i consigli sulla protezione dei dati dovrebbero essere forniti in modo indipendente e non essere influenzati da altre attività dell'azienda.

Le modifiche all'infrastruttura software potrebbero comportare lunghi processi e cambiamenti complessi che hanno maggiori probabilità di impiegare mesi per essere completati e per entrare a regime. Questo è solo un motivo convincente per iniziare a esaminare ogni parte della propria infrastruttura tecnologica per verificarne la conformità ed agire subito.

Iniziare a valutare uno storage dei dati sicuro e fornitori di servizi che rispettano la normativa, renderà più semplice lo sforzo di diventare conforme.

Conformità con GDPR e nLPD nel Digital Marketing

La conformità al GDPR e al nLPD viene raggiunta esaminando attentamente ciascun componente software per offrire la sicurezza dei dati, le funzionalità richieste e la conformità normativa del fornitore.

Esistono diverse sezioni che richiedono un'attenzione e un'azione immediata e ti consigliamo di confrontare la nuova legge federale sulla protezione dei dati (nLPD) per verificare l'intero elenco di raccomandazioni e azioni a livello personalizzato.

Privacy by Design e Privacy by Default

Privacy by Design richiede agli sviluppatori di integrare la protezione e il rispetto della privacy degli utenti nella struttura stessa dei prodotti o servizi che raccolgono dati personali. Il principio di Privacy by Default garantisce il massimo livello di sicurezza non appena i prodotti o i servizi vengono rilasciati, attivando per impostazione predefinita, ovvero senza alcun intervento da parte degli utenti, tutte le misure necessarie per proteggere i dati e limitarne l'uso.

Questi principi impongono che quando si implementano campagne di marketing, vengano prese in considerazione tutte le misure necessarie per proteggere la privacy dei dati. Ciò include una minimizzazione della quantità di dati dell'utente raccolti in modo da tracciare e memorizzare solo le informazioni pertinenti. Inoltre, è necessario fornire una cancellazione automatica e su richiesta, al fine di eliminare i vecchi dati che non sono rilevanti per inviare comunicazioni e svolgere attività.

Dal punto di vista tecnico, l'attività di raccolta dei dati dovrebbe essere eseguita da sistemi sicuri conformi al regolamento ed evitare la trasmissione a entità esterne che non sono conformi. L'archiviazione e l'analisi dei dati devono essere eseguiti all'interno dei confini di un'organizzazione conforme e fornire una forte protezione dall'accesso di terze parti non autorizzato. Ciò può includere la crittografia del database at rest, e per i dati in transito, forti politiche di sicurezza per prevenire le violazioni dei dati e il monitoraggio dell'integrità dei dati, nonché il rilevamento delle intrusioni.

ReachOut app offre un'infrastruttura di dati sicura e dedicata per ogni cliente, nonché un’opzione per le soluzioni enterprise che consente la gestione dei database di marketing in locale dal cliente non trasmettendo in nessun caso i dati raccolti a terzi. Inoltre, tutti i dati degli utenti sono archiviati nel data center a Zurigo, che è già conforme con la nuova legge sulla protezione dei dati (nLPD).

Conservare e trasmettere dati al di fuori della Svizzera

Se è prevista la divulgazione transfrontaliera di dati personali, che include anche archiviazione su sistemi esteri (cloud), i titolari dei dati devono essere informati dei paesi interessati, indipendentemente dal fatto che offrano un'adeguata protezione dei dati. A questo punto, la nLPD va oltre il GDPR. Bisogna inoltre affermare quali garanzie di protezione dei dati, se presenti, vengono utilizzate (ad es. clausole contrattuali standard dell'UE) o quali eccezioni, se presenti, il controller si riferisce; Anche qui la nLPD si discosta dal GDPR.

In termini più pratici, l'utilizzo di strumenti come Google Analytics e altri strumenti di marketing di società con sede negli Stati Uniti potrebbero non essere considerati conformi nel nuovo quadro normativo. L'UE ha stabilito che Google Analytics non è conforme a GDPR e Google ha pubblicato una guida su come limitare la raccolta dei dati eseguita dalla sua libreria di analisi in modo che la conformità del GDPR possa essere raggiunta.

Il database di analytics di ReachOut app lavora su un database PostgreSQL locale e crittografato.

I cookie e il monitoraggio di terze parti delle attività degli utenti stanno attraversando un’incredibile trasformazione, e un interessante studio rilasciato dalla società di consulenza McKinsey illustra la scena dei cambiamenti nel monitoraggio degli utenti, l'uso di script e cookie di monitoraggio di terze parti e quali cambiamenti stanno sfidando il Industria del marketing digitale.

Il monitoraggio delle attività degli utenti per scopi di marketing e personalizzazione nel contesto delle campagne di marketing digitale può essere ottenuto con le biblioteche di monitoraggio solo di prime parti. La libreria Analytics di Reachout app per React e le funzionalità di tracking delle e-mail consente ai proprietari di siti Web di tenere traccia delle attività utente localmente sullo stesso sito Web e di raccogliere tutte le informazioni di interazione in un database di monitoraggio sicuro, dedicato e in Svizzera.

La nostra visione sulla protezione dei dati ed il digital marketing

Mentre i nuovi regolamenti impongono regole più stringenti, limitazioni e procedure di conformità, noi vediamo i cambiamenti come estremamente positivi per il settore e per i consumatori.

Molti servizi internet sono stati creati sulla base che offrire strumenti gratuiti o quasi gratuiti avrebbe rappresentato un mezzo per crescita infinita o quasi, e conseguente guadagno basato sulla raccolta e utilizzo delle informazioni dell'utente senza alcun controllo.

Questo concetto oggi non è più valido ed le nuove normative aprono le porte a nuovi attori del settore che basano il loro business su una proposta di  strumenti e servizi sicuri e protetti “by default”, garantiscono i diritti alla privacy e possono agire a livello locale con competenze e un modello di business sostenibile.

La scomparsa dei cookie di terze parti introdurrà un monitoraggio più limitato degli utenti e una maggiore privacy, con gli utenti finali che iniziano a prendere coscienza dei loro diritti alla privacy e scegliere attentamente i fornitori di servizi che offrono il miglior equilibrio di funzionalità e privacy.

Abbiamo lavorato duramente per costruire una piattaforma di marketing che metta al centro la privacy e la sicurezza.

Le imprese svizzere e internazionali che acquisiscono informazioni sui cittadini svizzeri intensificheranno il loro lavoro nell'adottare i migliori strumenti orientati alla privacy e rivedere attentamente i loro processi per migliorare ulteriormente la loro rinomata attenzione alla privacy.

Ci saranno nuove opportunità nei mercati interni e internazionali attenti alla sicurezza.