Legge federale sulla protezione dei dati svizzera (LPD), in breve
Il 25 settembre 2020, la Svizzera ha adottato una nuova versione della Legge federale sulla protezione dei dati (LPD), che sostituisce la legge del 1992 al fine di raggiungere un livello di protezione dei dati simile a quello del GDPR dell’UE.
L’allineamento delle leggi sulla privacy dei dati svizzere con quelle dell’UE – ossia con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE – è stata una forza trainante per la revisione della Legge sulla protezione dei dati del 1992, garantendo il flusso continuo di dati personali in entrata e in uscita dalla Svizzera.
Il risultato – la nuova LPD svizzera – è una legge sulla privacy dei dati che ha delle similarità con il GDPR dell’UE, come la richiesta del consenso in casi specifici.
Se i tuoi utenti sono situati in Svizzera, essere conforme alla nuova LPD svizzera è un obbligo. Ai domini non conformi vengono applicate multe salate. Ma la buona notizia è che, se sei già conforme al GDPR dell’UE, sei quasi certamente conforme anche alla LPD svizzera.
Scansiona il tuo sito web gratuitamente per verificare il tuo livello di conformità al GDPR
Prova Cookiebot CMP gratuitamente per 14 giorni – o per sempre se hai un piccolo sito web.
La legge sulla privacy in Svizzera: panoramica
- La LPD svizzera (Legge federale sulla protezione dei dati) è stata adottata il 25 settembre 2020, sostituisce la precedente legge del 1992 ed entrerà in vigore a settembre 2023. Non prevede un periodo di grazia, il che significa che le imprese dovranno essere conformi già alla data di applicazione.
- La LPD svizzera rafforza la protezione dei dati in Svizzera e la allinea con il GDPR dell’UE per garantire il flusso continuo di dati personali dallo Spazio Economico Europeo (SEE) alla Svizzera.
- La LPD svizzera richiede che un sito web ottenga il consenso degli utenti situati in Svizzera se ad es. elaborano dati personali sensibili o trasferimenti di dati ad un paese terzo senza protezione adeguata. Inoltre, richiede che il tuo sito web abbia un’informativa sulla privacy.
- La LPD svizzera definisce i dati personali come qualsiasi tipo di informazione relativa ad una persona naturale identificata o identificabile, ad es. gli indirizzi IP. Inoltre, la LPD svizzera definisce i dati personali sensibili includendovi informazioni su razza, salute, convinzioni religiose o politiche, dati genetici e biometrici, sicurezza sociale e vita sessuale.
- La LPD svizzera si applica sia al settore privato che a quello pubblico e ha portata extraterritoriale, vale a dire che si applica a qualsiasi sito web che elabora dati personali di persone fisiche situate in Svizzera, indipendentemente da dove si trova il sito web nel mondo.
- La LPD svizzera consente il trasferimento di dati personali dalla Svizzera a paesi terzi se questi hanno un livello adeguato di protezione dei dati.
- La LPD svizzera amplia i poteri d’indagine dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
- La LPD svizzera punisce la mancata conformità con multe fino a 250.000 CHF. Consente inoltre di imporre sanzioni penali a soggetti privati responsabili di una potenziale violazione, ad esempio a titolari e responsabili del trattamento, e non solo alle aziende.
Scansiona il tuo sito web gratuitamente per verificare il tuo livello di conformità al GDPR
Prova Cookiebot CMP gratuitamente per 14 giorni – o per sempre se hai un piccolo sito web.
Diritti degli interessati ai sensi della LPD svizzera
Conformità alla LDP svizzera con Cookiebot CMP
Cookiebot CMP è una soluzione leader a livello mondiale per rendere il tuo sito web conforme alle principali leggi sulla privacy dei dati, tra cui il GDPR dell’UE, la LPD svizzera, il CCPA/CPRA della California, la LGPD del Brasile, il POPIA del Sudafrica e molte altre.
Costruito attorno ad una tecnologia di scansione senza rivali in grado di identificare tutti i cookie e tracker simili in uso sul tuo sito web, Cookiebot CMP offre piena trasparenza e controllo ai tuoi utenti finali, permettendo loro di effettuare una scelta di consenso facile e veloce e assicurando piena conformità al tuo sito web allo stesso tempo.
Assicura un equilibrio tra privacy dei dati e business basato sui dati sul tuo sito web con interfacce di consenso altamente personalizzabili, cookie policy generate automaticamente e rinnovo regolare del consenso dell’utente finale.
La funzione di geotargeting di Cookiebot CMP determina automaticamente dove si trova ciascun utente del tuo sito web nel mondo, ad esempio nell’UE o in Svizzera, e presenta automaticamente la soluzione di conformità corretta.
La legge federale svizzera sulla protezione dei dati – in dettaglio
Diamo un’occhiata più da vicino alla LPD svizzera e ai suoi requisiti rilevanti per il tuo sito web.
LPD svizzera in merito a consenso, caselle preselezionate e cookie wall
Ai sensi della Legge svizzera sulla protezione dei dati (LPD), i siti web che trattano dati personali di utenti situati in Svizzera dovrebbero prima ottenere il loro consenso preventivo, liberamente dato ed informato per poterlo fare.
Ciò include i cookie che non sono strettamente necessari per le funzionalità di base del tuo sito web, ma che invece elaborano dati personali per altri scopi, come analisi o marketing.
Il consenso è richiesto nel caso in cui vengano processati dati personali particolarmente sensibili, nel caso di profilazione ad alto rischio da parte di un privato o di profilazione da parte di un ente federale.
Ulteriore consenso potrebbe essere necessario se i dati sono trasferiti ad un paese senza un livello di protezione adeguato.
Il consenso ai cookie è valido solo se si tratta di una scelta reale, ovvero se l’utente acconsente senza coercizione, pressione o altra influenza esterna. Ciò significa che ad un utente che rifiuta un cookie che necessita del consenso non possono essere negati determinati servizi o vantaggi, come l’accesso al sito web.
Un utente che rifiuta i cookie non dovrebbe essere esposto a conseguenze negative e dovrebbe poter continuare ad accedere al sito web.
Così come il GDPR dell’UE, la LPD svizzera richiede che il consenso ai cookie da parte dell’utente finale sia specifico, ovvero il consenso dell’utente deve essere richiesto per ciascun tipo di finalità perseguita dai cookie.
Non è possibile fornire il consenso per un uso generale di tutti i cookie senza un’ulteriore specificazione di quali dati vengono raccolti tramite tali cookie e per quali scopi. Piuttosto, la LPD svizzera richiede una scelta più articolata rispetto a un semplice “tutto o niente”: prevede infatti il consenso per ciascuna categoria di cookie.
Le informazioni sul consenso devono essere visibili, complete ed evidenti. Devono essere scritte in termini semplici in modo tale che qualsiasi utente possa comprenderle e devono essere disponibili in tutte le lingue del sito web, ad esempio se il sito web è rivolto a un pubblico di lingua francese e tedesca, le informazioni sul banner di consenso dovrebbero essere scritte sia in francese che in tedesco.
Queste informazioni sono solitamente raggruppate nell’informativa sulla privacy o la cookie policy obbligatoria del sito web e devono includere almeno:
- l’identità e i dati di contatto del titolare del trattamento (proprio o di terze parti),
- le finalità dei cookie che verranno depositati e/o letti,
- i destinatari o le categorie di destinatari dei dati
Inoltre, potrebbe essere necessario includere le categorie di dati trattati e i paesi verso i quali i dati vengono trasferiti, nel caso in cui il paese non abbia un livello di sicurezza adeguato o le garanzie sulle quali si basa il trasferimento dei dati.
Ottieni una cookie policy automatica con Cookiebot CMP
Prova Cookiebot CMP gratuitamente per 14 giorni – o per sempre se hai un sito web di piccole dimensioni.
Principali modifiche alla legge svizzera sulla protezione dei dati
Come previsto, la nuova LPD presenta numerose modifiche rispetto alla normativa precedente. Tra le più importanti ricordiamo le seguenti:
Privacy by design: La privacy e la protezione dei dati devono essere parte integrante del processo, a partire dalle fasi di pianificazione dei progetti. Le organizzazioni devono tenere conto della privacy degli interessati in tutte le fasi dello sviluppo di un progetto.
Requisiti di consenso rafforzati: La nuova legge presta maggiore attenzione alla consapevolezza e alla formazione degli interessati in merito alla raccolta e all’utilizzo dei loro dati personali. Le organizzazioni devono comunicare chiaramente la tipologia di dati raccolti, le finalità e altro ancora, nonché i diritti degli utenti e le opzioni per esercitarli. I requisiti di consenso vengono inoltre estesi a un maggior numero di casi.
Maggior facilità di esercizio dei diritti degli interessati: Gli interessati possono presentare più facilmente richieste di accesso per esercitare i loro diritti previsti dalla legge. Infatti, è stato snellito il processo che permette agli individui di richiedere dettagli a qualsiasi organizzazione in merito all’uso dei propri dati personali.
Notifiche di violazione dei dati: Le organizzazioni sono tenute a notificare nel più breve tempo possibile gli utenti e le altre parti interessate in merito ad una violazione dei dati o correlata. Anche l’IFPDT deve essere informato immediatamente. Esistono requisiti chiari e specifici per la comunicazione di informazioni riguardanti la violazione.
Poteri ampliati e sanzioni più severe: Le persone dispongono di diverse opzioni per limitare o rifiutare il trattamento dei loro dati personali. L’IFPDT ha ampliato i poteri di applicazione per le violazioni della legge e le autorità possono emanare sanzioni più severe.
I requisiti di conformità della nuova LPD
La legge svizzera sulla protezione dei dati è extraterritoriale, quindi si applica sia alle organizzazioni con sede in Svizzera sia a quelle al di fuori di essa, se forniscono beni o servizi e trattano dati personali di residenti in Svizzera. Le aziende soggette alla LPD con sede al di fuori della Svizzera devono designare un rappresentante svizzero. Questa persona terrà i contatti con le autorità svizzere e con le persone interessate.
Inoltre, le organizzazioni devono potenzialmente apportare modifiche alle loro operazioni se le loro pratiche di privacy e protezione dei dati non sono sufficientemente solide. Queste includono:
- inserire la “privacy by design” nella pianificazione e nello sviluppo dei progetti
- comprendere pienamente i requisiti di consenso per gli interessati e per il trattamento dei dati personali e attuare le misure necessarie
- garantire che sia chiaro e semplice per gli interessati esercitare i propri diritti e contattare l’organizzazione
- disporre di solide politiche e procedure per le violazioni dei dati e garantire una rapida notifica e altre azioni richieste in caso di violazione
Obblighi per le aziende ai sensi della LPD
Le organizzazioni che trattano i dati personali dei residenti in Svizzera saranno tenute a conformarsi a partire da settembre 2023; non ci sarà un periodo di grazia precedente all’entrata in vigore. Le aziende che sono già conformi al GDPR non dovranno fare molto di più, ma è importante che familiarizzino con i requisiti della LPD. Inoltre, le organizzazioni devono essere a conoscenza delle esenzioni ad alcuni requisiti LPD per le piccole e medie imprese fino a 250 dipendenti.
Gli interessati devono essere informati di tutti i casi di raccolta e utilizzo dei loro dati personali, siano essi raccolti direttamente o indirettamente. Le organizzazioni devono inoltre tenere un registro delle attività di trattamento dei dati. Sia i responsabili che gli incaricati del trattamento hanno responsabilità in materia di privacy e protezione dei dati, in particolare in merito all’accesso ai dati da parte di terzi, ad esempio i venditori.
Perché è così importante essere conformi alla nuova LPD?
Garantire la conformità aiuta le organizzazioni ad assicurarsi che il trattamento dei dati avvenga in modo sicuro e responsabile e che l’uso dei dati personali sia legale. La conformità alla LPD fornisce agli interessati controllo sulla propria privacy e i propri dati personali.
Le multe per le violazioni sono uno dei motivi principali per cui la conformità è importante. Tuttavia, una violazione dei dati o di altro tipo può anche danneggiare la reputazione di un’azienda e far perdere la fiducia degli utenti. Le aziende possono creare un vantaggio competitivo fornendo chiarezza e trasparenza nelle proprie comunicazioni con gli utenti, mostrando rispetto per la privacy dei dati e gestendo i requisiti di consenso in modo conforme.
Il raggiungimento e il mantenimento della conformità alla LPD aiuta inoltre le aziende a competere meglio nell’Unione Europea, poiché soddisfare i rigorosi requisiti di privacy permette il trasferimento internazionale dei dati e altre funzioni importanti per fare affari a livello globale.
GDPR vs. nuova LPD
| Requisito | GDPR | LPD |
|---|---|---|
| Sanzioni | Per le prime violazioni o per violazioni meno gravi: 2% del fatturato globale annuo o 10 milioni di euro | Fino a 250.000 franchi svizzeri nei confronti di una persona responsabile o, se è troppo difficile identificare la persona, fino a 50.000 franchi svizzeri nei confronti dell’azienda. |
| Obblighi di informazione | L’art. 13 del GDPR specifica le informazioni minime che un’informativa sulla privacy deve includere. | L’informativa sulla privacy richiede meno informazioni obbligatorie rispetto al GDPR. Deve elencare tutti i Paesi verso i quali vengono trasferiti i dati personali. |
| Registri delle attività di trattamento | L’art. 30 del GDPR specifica tutte le informazioni che un’informativa sulla privacy deve contenere. | Deve includere un elenco dei Paesi in cui i dati vengono esportati. |
| Valutazioni d’impatto della protezione dei dati (DPIA) | In caso di rischio elevato, è necessario consultare l’autorità di controllo competente. | In caso di rischio elevato, il responsabile della protezione dei dati (DPO) può essere consultato al posto dell’IFPDT. |
| Esportazione dei dati | Adeguatezza dei partner di esportazione determinata dalla Commissione europea. Clausole contrattuali standard o altre norme aziendali vincolanti. | L’adeguatezza dei partner di esportazione è determinata dal Consiglio federale svizzero. Clausole contrattuali standard dell’UE o altre norme aziendali vincolanti. |
| Notifica di violazione dei dati | Obbligatorio entro 72 ore. | Obbligatorio “il prima possibile”. |
| Responsabile della protezione dei dati | Obbligatorio. | Consigliato. |
Raccomandazioni dell’IFPDT sul tracciamento web in Svizzera
In Svizzera, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) è responsabile per il monitoraggio della conformità di aziende e organizzazioni alla Legge federale sulla protezione dei dati (LPD).
L’IFPDT ha pubblicato delle guide su come il tuo sito web può utilizzare gli strumenti di tracciamento web per monitorare l’attività degli utenti sul tuo dominio in modo conforme alla LPD svizzera.
Gli utenti finali del tuo sito web devono essere informati in modo trasparente sul fatto che i loro dati personali vengono raccolti, sullo scopo del trattamento dei dati, sull’analisi dei dati e sulle possibilità date all’utente di opporsi al tracciamento.
Scopri di più su come creare una cookie policy per il tuo sito web
In caso di dati personali sensibili, gli utenti finali devono confermare esplicitamente di essere stati informati e di accettare il tracciamento web, ad es. mediante un click di mouse.
L’IFPDT dichiara che tu, in qualità di proprietario o operatore del sito web, sei responsabile di qualsiasi trattamento di dati personali da parte di individui situati in Svizzera, anche se ti avvali di fornitori di servizi di tracciamento web. Inoltre, l’IFPDT precisa che anche il trattamento dell’indirizzo IP di un utente è soggetto alla Legge federale sulla protezione dei dati, poiché tale indirizzo è considerato un dato personale.
L’IFPDT precisa inoltre che l’operatore di un sito web, quando utilizza i cookie per il tracciamento web, deve tenere conto dei requisiti della Direttiva ePrivacy del Parlamento e del Consiglio europeo relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Trasferimento di dati personali tra UE, USA e Svizzera
Il 16 luglio 2020, la Corte di giustizia dell’Unione europea (CGUE) ha posto fine allo scudo per la privacy (Privacy Shield), che fino ad allora consentiva il trasferimento di dati dall’UE agli Stati Uniti.
La CGUE richiede ai responsabili del trattamento dei dati di valutare il livello di protezione dei dati nel paese del destinatario e di sospendere il trasferimento se tale paese è ritenuto inadeguato. Anche i trasferimenti UE-Svizzera sono soggetti a questi requisiti.
L’8 settembre 2020, a seguito di una valutazione dello scudo UE-USA per la privacy, l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha dichiarato inadeguato anche il regime di trasferimento Svizzera-USA.
In linea con la CGUE, l’IFPDT ha riscontrato che il livello di protezione dei dati negli Stati Uniti era insufficiente e il meccanismo di trasferimento dei dati nell’ambito dello scudo svizzero-statunitense per la privacy è stato invalidato.
Scopri di più sulla decisione in merito allo scudo svizzero-statunitense per la privacy
Modalità di consenso di Google e Cookiebot CMP
Con Google Consent Mode e Cookiebot CMP, puoi fare in modo che tutti i servizi Google del tuo sito web siano eseguiti in base allo stato di consenso dei tuoi utenti finali – piena conformità al GDPR con dati di analisi ottimizzati e entrate pubblicitarie in un’unica semplice soluzione.
Cookiebot CMP gestisce il consenso tra gli utenti del tuo sito web e comunica gli stati di consenso all’API che esegue Google Consent Mode. Quest’ultimo governa tutti i tuoi servizi preferiti (come Google Analytics e Google Ads) in base allo stato di consenso di ogni singolo utente sul tuo sito web.
Un utente non ha acconsentito ai cookie statistici o di marketing? Cookiebot CMP informa la modalità di consenso di Google, la quale si assicurerà che tu continui ad ottenere informazioni aggregate e non identificative sulle prestazioni del tuo sito web e che tu abbia la possibilità di mostrare annunci contestuali e non mirati – rispettando la privacy dell’utente e ottimizzando il tuo sito web.
Con Cookiebot CMP e Google Consent Mode, ottieni immediata e semplice conformità al GDPR oltre a dati di analisi ottimizzati ed entrate pubblicitarie in un’unica soluzione.
Inizia ad usare la modalità di consenso di Google
Scansiona il tuo sito web gratuitamente per visualizzare cookie e tracker in uso
Prova Cookiebot CMP gratuitamente per 14 giorni – o per sempre se hai un piccolo sito web.
Sanzioni per la mancata osservanza della legge svizzera sulla protezione dei dati
Leggi sulla privacy in Svizzera – riassunto
In questo blogpost, abbiamo esaminato la nuova LPD svizzera, che entrerà in vigore nel 2022, e i suoi requisiti per l’utilizzo da parte del tuo sito web di cookie e tracker che elaborano i dati personali degli utenti situati in Svizzera.
Formata sul modello del GDPR dell’UE e adottando molte delle sue definizioni fondamentali, la LPD svizzera è una legge sulla privacy dei dati che richiede al tuo sito web di ottenere il consenso se vengono processati dati personali sensibili di utenti situati in Svizzera o in caso di profilazione da parte di un privato o un’autorità federale.
Così come il GDPR, la LPD presenta determina molti altri requisiti per il tuo sito web, ad es. devi avere un’informativa sulla privacy aggiornata disponibile per i tuoi utenti finali e rinnovare regolarmente i consensi.
Cookiebot CMP è una soluzione plug-and-play che ha automatizzato l’intero processo per te – è sufficiente registrarsi e implementare Cookiebot CMP direttamente dal cloud con poche righe di JavaScript.
LPD svizzera FAQ
Cos’è la legge svizzera sulla protezione dei dati (LPD)?
La LPD è la legge svizzera sulla privacy dei dati che regola il trattamento dei dati personali da parte di individui situati in Svizzera. Richiede che qualsiasi sito web nel mondo con utenti situati in Svizzera ottenga il loro consenso quando processa dati personali sensibili o in caso di profilazione.
Prova Cookiebot CMP gratis per la conformità con la LPD svizzera
Anche la Svizzera deve essere conforme al GDPR?
Sì, se il tuo sito web situato in Svizzera tratta dati personali di utenti nell’UE, si applica il Regolamento generale sulla protezione dei dati (GDPR) e sei tenuto a ottenere previo consenso prima di essere autorizzato legalmente a elaborare o condividere dati personali.
Prova Cookiebot CMP gratis per 14 giorni… o per sempre se hai un piccolo sito web.
La Svizzera dispone di una decisione di adeguatezza dell’UE?
Sì, la Svizzera è tra i paesi a cui l’UE ha concesso una decisione di adeguatezza, il che significa che l’UE ha ritenuto che il livello di protezione dei dati della Svizzera fosse essenzialmente equivalente e che garantisse il libero flusso di dati personali tra le due regioni.
Per saperne di più sulle leggi europee sulla privacy, clicca qui.
Che cos’è un banner dei cookie conforme alla LPD svizzera?
Un banner di consenso sul tuo sito web deve contenere informazioni di facile comprensione sulle impostazioni dei cookie del tuo sito web e sulle pratiche di trattamento dei dati personali. Un banner di consenso valido non presenta caselle di controllo preselezionate (cookie abilitati di default), non spinge o costringe gli utenti a dare il consenso (cookie wall) e non interpreta come consenso attività dell’utente quali lo scorrimento o la continuazione della navigazione nel dominio.
Prova Cookiebot CMP gratuitamente per 14 giorni – o per sempre se hai un piccolo sito web.
I cookie wall sono legali in Svizzera?
In Svizzera non esiste una legislazione speciale sui cookie wall. Tuttavia, poiché molti siti web svizzeri ricevono utenti dall’UE, si raccomanda ai siti web svizzeri di seguire le linee guida del Comitato europeo per la protezione dei dati (EDPB) sul consenso valido nell’UE, le quali stabiliscono che i cookie wall che influenzano il consenso all’accesso a un sito web sono un mezzo illecito per ottenere il consenso. Il consenso deve invece essere granulare e dato liberamente. Gli utenti devono avere la possibilità di scegliere quali specifici cookie autorizzare quando prestano il consenso.
Prova Cookiebot CMP gratuitamente per 14 giorni – o per sempre se hai un piccolo sito web.
Risorse
Linee guida EDPB su cookie e altri tracker (in inglese)
Direttiva ePrivacy (in inglese)
Sito web dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
Spiegazione dell’IFPDT sul tracciamento web (in francese)
Legge federale sulla protezione dei dati (LPD) (in francese)
Linee guida CNIL sull’uso dei cookie in Francia (in francese)