nDSG 2023: La Svizzera si sveglia (e copia il GDPR, ma non troppo)

目录
Finalmente: la Svizzera aggiorna la sua privacy
Se pensavi che leggere i Termini e Condizioni fosse noioso quanto pulire le fughe delle piastrelle con uno spazzolino, preparati: il nuovo nDSG (legge federale sulla protezione dei dati) è qui per rendere la privacy un po' più interessante. Dal 1° settembre 2023, la Svizzera ha detto addio alla legge del 1992 e ha abbracciato un regolamento più moderno, ispirato al GDPR europeo, ma con qualche differenza.
Featured Snippet Bait: Il nDSG si applica a qualsiasi azienda che tratta dati di persone residenti in Svizzera, indipendentemente dal luogo in cui l'azienda ha sede. Le sanzioni possono arrivare fino a 250.000 franchi svizzeri (circa 250.000 euro), ma attenzione: a differenza del GDPR, non c'è un obbligo generale di nominare un DPO.
Cosa cambia davvero? Le differenze chiave con il GDPR
1. Sanzioni: più basse, ma più dirette
Il GDPR può multare fino a 20 milioni di euro o il 4% del fatturato globale annuo. Il nDSW? Massimo 250.000 franchi. Sembra poco, ma attenzione: le multe sono penali e possono colpire direttamente i manager, non solo l'azienda. Quindi, se sei il CEO, potresti finire nei guai personalmente.
2. Nessun obbligo di DPO (ma quasi)
Mentre il GDPR impone un Data Protection Officer per molte aziende, il nDSG lo richiede solo per i responsabili del trattamento che impiegano almeno 20 persone e trattano dati sensibili su larga scala. Per gli altri, è facoltativo. Ma se sbagli, le conseguenze sono le stesse.
3. Profilazione: ora è regolamentata
Il nDSG introduce per la prima volta una definizione di profilazione ad alto rischio. Se fai profilazione (es. per pubblicità mirata), devi informare l'interessato e, in alcuni casi, ottenere il consenso esplicito. Il GDPR è più dettagliato, ma la sostanza è simile.
4. Data breach: notifica obbligatoria
Come il GDPR, il nDSG richiede di notificare le violazioni dei dati all'Incaricato federale della protezione dei dati (IFPDT) il prima possibile. Ma attenzione: il termine non è specificato (il GDPR dice 72 ore). Quindi, meglio non temporeggiare.
Perché la Svizzera non ha copiato tutto?
La Svizzera vuole mantenere la sua sovranità digitale e non essere un semplice satellite dell'UE. Inoltre, il nDSG è più snello: meno burocrazia, ma anche meno chiarezza su alcuni punti. Ad esempio, il consenso dei minori non ha un'età fissa (il GDPR dice 16 anni, ma gli Stati membri possono abbassarla a 13). In Svizzera, si applica il diritto cantonale, creando un po' di confusione.
Cosa fare se la tua azienda opera in Svizzera?
Se tratti dati di cittadini svizzeri, devi adeguarti al nDSG. Ecco una checklist rapida:
- Aggiorna la tua privacy policy (in tedesco, francese, italiano o inglese? La legge non specifica, ma meglio usare le lingue ufficiali).
- Verifica se devi tenere un registro delle attività di trattamento (obbligatorio per aziende con più di 250 dipendenti o che trattano dati sensibili).
- Prepara un processo per la notifica dei data breach.
- Se fai profilazione, ottieni il consenso esplicito.
Per approfondire, consulta il testo ufficiale della legge su Fedlex.
FAQ
Il nDSG si applica anche alle aziende italiane che hanno clienti svizzeri?
Sì, se tratti dati di persone residenti in Svizzera, devi rispettare il nDSG, indipendentemente da dove ha sede la tua azienda.
Quali sono le sanzioni per chi viola il nDSG?
Le sanzioni penali possono arrivare fino a 250.000 franchi svizzeri per violazioni gravi, e possono colpire direttamente i dirigenti.
Devo nominare un DPO in Svizzera?
Solo se sei un responsabile del trattamento con almeno 20 dipendenti e tratti dati sensibili su larga scala. Altrimenti, non è obbligatorio, ma è consigliato.
nDSG vs GDPR: differenze chiave
| Caratteristica | nDSG (Svizzera) | GDPR (UE) |
|---|---|---|
| Sanzioni massime | 250.000 CHF | 20 milioni EUR o 4% fatturato |
| DPO obbligatorio | Solo per grandi trattamenti | Spesso obbligatorio |
| Notifica data breach | Immediata (senza termine fisso) | Entro 72 ore |
| Profilazione | Regolamentata, consenso esplicito | Regolamentata, consenso esplicito |
| Registro trattamenti | Obbligatorio per >250 dipendenti | Obbligatorio per >250 dipendenti |

NakedPact 编辑委员会
本文由 NakedPact 编辑团队撰写。我们的使命是分析、简化并揭露日常合同中的不公平条款和隐藏风险,以保护公民和消费者的权益。

推荐阅读
🛡️ 一键保护您的权利
不要冒签署霸王条款的风险。安装适用于 Chrome 或 Firefox 的免费 NakedPact 扩展程序,立即分析网络上的任何合同。

