Di cosa si tratta: la protezione dei dati del futuro
La digitalizzazione non comporta solamente un aumento della quantità di dati, ma anche le possibilità tecnologiche di analizzare ed elaborare i dati a disposizione con Big Data, Machine Learning e intelligenza artificiale. La nuova Legge federale sulla protezione dei dati, approvata nell’autunno 2020 dal Parlamento svizzero, tiene conto di questi sviluppi. Sostituisce una legge formulata nel 1992, un tempo in cui internet muoveva ancora i suoi primi passi. «La nuova Legge federale sulla protezione dei dati interviene ora su tutti gli aspetti connessi al trattamento dei dati personali. In una banca, le cui attività sono basate sui dati e gestite con l’IT, sono dunque numerosi gli ambiti coinvolti», spiega Jürg Frei, che dirige il progetto quadro sulla protezione dei dati presso PostFinance. I punti centrali della nuova Legge federale sulla protezione dei dati sono in particolare i seguenti:
- La nuova Legge sulla protezione dei dati si limita soltanto alla protezione delle persone fisiche, andando così ad allinearsi alle norme internazionali in materia.
- Gli obblighi di informare le persone interessate sono molto più estesi e comprendono dati minimi.
- Altri dati personali sono considerati degni di particolare protezione, come ad esempio i dati genetici e biometrici che consentono di identificare in modo univoco una persona.
- Le imprese con più di 250 collaboratori sono obbligate a tenere un registro delle loro attività di trattamento dei dati.
- Il trattamento dei dati personali deve essere pianificato e implementato in modo tale da risultare fin dall’inizio conforme ai requisiti di protezione dei dati (privacy by design).
- Ora sussiste un diritto alla portabilità dei dati: chiunque può richiedere di farsi consegnare i propri dati personali in un formato elettronico usuale.
- Sono state definite sanzioni chiare che prevedono la responsabilità penale individuale dei titolari del trattamento. Si presuppone che potrebbero esserne interessati soprattutto gli organi direttivi come i membri del Consiglio di amministrazione o del comitato di direzione e, in caso di azioni improprie, eventualmente anche il consulente per la protezione dei dati, come è stato ora ridenominato l’incaricato della protezione dei dati.