Vai al contenuto
Avanet
Nuova Legge svizzera sulla protezione dei dati (nDSG) – Che cosa è estremamente importante dal 01.09.2023?

Nuova Legge svizzera sulla protezione dei dati (nDSG) – Che cosa è estremamente importante dal 01.09.2023?

La nuova Legge sulla protezione dei dati (nDSG) e le relative ordinanze sono entrate in vigore in Svizzera il 1° settembre 2023. La modifica legislativa adegua la protezione dei dati alla tecnologia e alla società attuali. Le persone devono poter comprendere e controllare meglio come vengono utilizzati i loro dati. Era anche ora, se si considera che la vecchia Legge sulla protezione dei dati risaliva al 1992. Google è stata fondata nel 1998 e Facebook (Meta) è andata online nel 2004. Al più tardi da quel momento è iniziata la raccolta di dati su larga scala 🐙. Anche il GDPR è in vigore da maggio 2018 e ora la Svizzera ha recuperato terreno, seppure con una differenza sostanziale per quanto riguarda le sanzioni.

Spiegherò ora perché la sicurezza IT è diventata ancora più importante e perché molti stanno reagendo solo ora.

Perché era necessaria una nuova legge?

La nuova Legge svizzera sulla protezione dei dati ha due obiettivi principali:

  • Aggiorna le regole per adattarle alle tecnologie attuali come cloud, social media, AI, Big Data e IoT. Ciò mira a dare alle persone un maggiore controllo sui propri dati.
  • Garantisce che la protezione dei dati in Svizzera sia portata al livello dell’UE. Ciò è importante affinché lo scambio di dati tra la Svizzera 🇨🇭 e l’UE 🇪🇺 possa continuare senza problemi. La legge tiene conto anche dei regolamenti UE e degli accordi internazionali sulla protezione dei dati.

Dati personali? Non mi riguarda!

Riguarda tutti coloro che hanno a che fare con dati personali. Sia sul lavoro che in un’associazione o nella vita privata (esclusi amici e familiari). Non appena le informazioni si riferiscono direttamente o indirettamente a una persona fisica specifica, esse sono considerate dati personali. Ciò include non solo nome e indirizzo, ma anche elementi come l’indirizzo IP o l’indirizzo e-mail. Se tali dati vengono raccolti, archiviati, utilizzati, modificati o cancellati, si parla di trattamento e si applica la Legge sulla Protezione dei Dati aggiornata.

Privacy by Design e Privacy by Default

Privacy by Default” e “Privacy by Design” significano che le aziende devono integrare la protezione dei dati nella tecnologia e nelle impostazioni fin dall’inizio. Questo vuol dire che, nello sviluppo di app o siti web, le regole di protezione dei dati devono essere considerate già in fase di pianificazione. Inoltre, le impostazioni predefinite dovrebbero sempre essere l’opzione più rispettosa della privacy. Ad esempio, se un sito web ha un’area membri, il nome dell’utente non dovrebbe essere visibile per impostazione predefinita.

Minimizzare la raccolta dei dati allo stretto necessario

Quando si costruisce qualcosa di nuovo (Privacy by Default), è naturalmente più facile tenerne conto; in seguito, è sempre un po’ più complesso. È importante che i dati vengano utilizzati solo per lo scopo per cui sono stati originariamente raccolti. Possono essere utilizzati per altri scopi solo se esiste un motivo valido, come l’adempimento di un contratto, o se la persona interessata acconsente esplicitamente.

Se i dati non sono più necessari per lo scopo originale, devono essere immediatamente cancellati o resi anonimi.

Cookie 🍪

La cosa fastidiosa dei cookie e dei relativi banner di cookie.

I cookie sono piccoli file di testo che vengono memorizzati dai siti web sul computer o dispositivo mobile dell’utente. Vengono spesso utilizzati per migliorare l’esperienza dell’utente, salvando le impostazioni o tracciando il comportamento dell’utente. Nella nuova Legge sulla Protezione dei Dati, i cookie sono rilevanti perché spesso raccolgono dati personali. La legge richiede quindi che gli utenti siano informati in modo chiaro e distinto su quali cookie vengono utilizzati e per quale scopo. Inoltre, gli utenti devono dare il proprio consenso prima che i cookie possano essere impostati. Le impostazioni predefinite che possono essere visualizzate nel banner dei cookie devono essere rispettose della privacy. Ciò significa che solo i cookie assolutamente necessari dovrebbero essere attivati automaticamente.

Tuttavia, gestire un sito web senza cookie che raccolgono dati utente non è più difficile. Grazie al GDPR, sono disponibili diversi nuovi strumenti alternativi che prendono sul serio la protezione dei dati. Il nostro sito web non utilizza cookie.

Informativa sulla privacy

L’Informativa sulla privacy è un documento essenziale che dovrebbe essere presente su ogni sito web aziendale. Informa i visitatori e i clienti su quali dati personali vengono raccolti, come questi dati vengono utilizzati e archiviati e quali diritti hanno gli interessati in relazione ai loro dati. Inoltre, un’informativa sulla privacy chiara e comprensibile non è solo una buona pratica aziendale, ma anche un requisito legale, soprattutto alla luce delle nuove leggi sulla protezione dei dati. Deve essere regolarmente aggiornata per riflettere i nuovi requisiti legali o le modifiche nelle pratiche di trattamento dei dati.

Il diritto di accesso ai propri dati

Ogni persona ha il diritto di ottenere informazioni sui dati memorizzati che la riguardano. Di norma queste informazioni devono essere fornite entro 30 giorni e senza costi per la persona interessata. Le persone hanno il diritto di far correggere dati errati o di richiedere la cancellazione dei dati. Questi diritti, tuttavia, non sono assoluti e possono essere soggetti a limitazioni, ad esempio per obblighi di conservazione.

Sicurezza IT

Veniamo ora all’argomento principale di questo articolo: come proteggere i dati. Come si può vedere, ci sono diversi punti in un’azienda in cui i dati vengono raccolti e quindi archiviati. Tutto ciò che è memorizzato da qualche parte può essere rubato, crittografato, modificato o cancellato. Con i mezzi tecnici necessari, si ha ora la possibilità di prevenire modifiche indesiderate.

L’introduzione della nuova Legge sulla Protezione dei Dati (nDSG) in Svizzera ha aumentato significativamente l’importanza della sicurezza IT nelle aziende, in particolare nelle piccole e medie imprese (PMI). Sebbene la sicurezza IT sia sempre stata un fattore critico, la nDSG ha ulteriormente intensificato l’urgenza di questo problema. Dal 1° settembre 2023, data di entrata in vigore della legge, abbiamo ricevuto un aumento significativo di richieste da parte di PMI che desiderano rafforzare le proprie misure di sicurezza IT.

Qualcun altro dovrebbe occuparsene

Molte delle richieste che abbiamo ricevuto erano finalizzate al servizio Managed Detection and Response (MDR). Le aziende vogliono delegare la responsabilità e riconoscono che la sicurezza IT non è semplicemente risolta con l’installazione di un firewall e del Windows Defender già esistente.

È quindi ovvio affidare questo compito a fornitori di servizi esterni che si occupano a tempo pieno dell’argomento e si dedicano alla caccia alle minacce, che non fanno altro e conoscono estremamente bene l’ambiente. Questa è una decisione saggia, poiché MDR offre un monitoraggio e una risposta proattivi agli incidenti di sicurezza, in linea con i requisiti della nDSG. Se ora l’azienda dispone di altri sistemi, è possibile anche inviare questi dati di telemetria di terze parti a Sophos. Ciò significa che anche questi dati possono essere presi in considerazione per un’analisi di sicurezza completa.

Tuttavia, si sente ancora parlare di persone che pensano di poterlo fare da sole e sottovalutano la portata di questo argomento. Qui posso consigliare questo articolo con i video e cambierete rapidamente idea: Il documentario sul Ransomware

Parlo qui principalmente dell’endpoint, ma lo stesso vale ovviamente anche per il firewall. Configurazione, manutenzione, audit e pentest dovrebbero essere eseguiti da personale qualificato o, se non disponibile, esternalizzati a un fornitore di servizi esterno come noi.

Security Audit - Testare regolarmente

Mentre la maggior parte delle persone considera normali le ispezioni e le manutenzioni regolari per le proprie auto, come previsto dalla legge, la sicurezza IT viene spesso trascurata. Eppure, proprio oggi, in un panorama delle minacce in continua crescita e cambiamento, è indispensabile sottoporre continuamente a verifica i sistemi IT.

Un passo importante verso una solida sicurezza IT sono gli audit e i pentest regolari. Mentre gli audit verificano la conformità alle direttive di sicurezza, i pentest simulano attacchi informatici per identificare le vulnerabilità nel sistema. Entrambi i metodi sono importanti per garantire che le misure di sicurezza soddisfino i requisiti attuali.

Alcune Cybersecurity Best Practices

Nel nostro blogpost recentemente pubblicato “Raccomandazioni Sophos – Best Practices di Cybersecurity” abbiamo evidenziato diversi punti importanti per la sicurezza IT. Molti di questi punti potrebbero rientrare nella categoria “negligenza” se non osservati, soprattutto alla luce della nuova nDSG.

Obbligo di notifica

Il PFPDT è l’Incaricato federale della protezione dei dati e della trasparenza in Svizzera. È un’autorità indipendente che sorveglia e applica la protezione dei dati a livello federale. Nella nuova Legge sulla Protezione dei Dati (nDSG), il PFPDT svolge un ruolo importante in quanto è responsabile del monitoraggio del rispetto della legge. In caso di violazioni della protezione dei dati che comportano un rischio elevato per i diritti personali o i diritti fondamentali degli interessati, queste devono essere notificate al PFPDT. Può anche impartire istruzioni e imporre sanzioni se le disposizioni sulla protezione dei dati non vengono rispettate.

Centro Nazionale per la Cibersicurezza (NCSC) Segnalare un incidente
report.ncsc.admin.ch

Nel contesto della nDSG, gli attacchi informatici che comportano una violazione della sicurezza dei dati devono essere segnalati al PFPDT. Ciò avviene in particolare se l’attacco rappresenta un rischio elevato per i diritti della personalità o i diritti fondamentali delle persone interessate.

Una violazione della sicurezza dei dati si verifica quando i dati personali vengono persi, cancellati, distrutti, modificati o resi accessibili a persone non autorizzate in modo involontario o illecito. Questo deve essere segnalato al PFPDT senza indugio. La segnalazione deve avvenire il prima possibile, di solito entro 72 ore dalla scoperta dell’attacco. Il PFPDT è l’autorità competente per la ricezione di tali segnalazioni e per l’ulteriore monitoraggio della situazione. L’incidente deve però essere segnalato anche al NCSC: Segnalare un incidente al Centro Nazionale per la Cibersicurezza (NCSC)

Uno scenario di questo tipo dovrebbe essere pensato in anticipo e non solo quando si verifica l’emergenza.

Responsabilità penale

In caso di violazioni intenzionali della nDSG, come la violazione degli obblighi di informazione, accesso, collaborazione o diligenza, le persone fisiche possono essere sanzionate con multe fino a 250.000 CHF. In caso di violazioni all’interno di aziende, l’impresa può essere multata fino a 50.000 CHF se l’identificazione delle persone responsabili richiederebbe uno sforzo sproporzionato e per tali persone sarebbe ipotizzabile una multa massima di 50.000 CHF.

Questa è anche la differenza essenziale rispetto al GDPR. Per quanto riguarda la punibilità, va in particolare considerato che a partire dal 1° settembre 2023, la violazione di determinati obblighi comporta una punibilità che non colpisce l’azienda, ma la persona fisica responsabile. Le persone responsabili possono essere membri della direzione, così come altre persone con potere decisionale in azienda o anche quelle persone che hanno commesso una violazione di un dovere (ad esempio, violazione della riservatezza). Nel diritto svizzero, tuttavia, è punibile solo l’atto consapevole.

In Svizzera può essere imposta una multa fino a 250.000 CHF per varie violazioni della protezione dei dati, tra cui:

  • Mancanza di trasparenza o informativa sulla privacy mancante
  • Assenza di accordi contrattuali con i responsabili del trattamento dei dati
  • Mancanze nella sicurezza dei dati, come misure tecniche e organizzative (TOM) insufficienti
  • Trasferimento di dati personali a paesi senza un’adeguata protezione dei dati, senza precauzioni di sicurezza aggiuntive o senza un’eccezione valida, come ad esempio un consenso
  • Mancato adempimento dell’obbligo di fornire informazioni
  • Mancato rispetto del cosiddetto “piccolo segreto professionale”

La Legge svizzera sulla protezione dei dati rivista prevede quindi anche conseguenze penali per le persone fisiche responsabili di tali violazioni.

FAQ sulla nuova nDSG

Cos'è la nuova Legge Svizzera sulla Protezione dei Dati?

È una revisione della Legge sulla Protezione dei Dati del 1992, entrata in vigore il 1° settembre 2023, per rafforzare la protezione dei dati in Svizzera e adeguarla al Regolamento Generale sulla Protezione dei Dati dell’UE.

Quali sono le sanzioni per le violazioni della nDSG?

Le sanzioni possono ammontare fino a 250.000 CHF, con possibili sanzioni penali anche contro singoli individui.

Cosa significa "Privacy by Design"?

È un principio in base al quale la protezione e la sicurezza dei dati vengono integrate fin dall’inizio nella pianificazione e nello sviluppo dei progetti.

Le aziende devono informare gli utenti sul trattamento dei loro dati?

Sì, le aziende devono informare i loro utenti in modo chiaro e conciso su quali dati vengono raccolti e per quale scopo.

La nDSG si applica anche alle aziende al di fuori della Svizzera?

Sì, la legge ha un ambito di applicazione transfrontaliero e si applica a qualsiasi sito web che elabora dati personali di individui in Svizzera, indipendentemente dalla sua ubicazione.

Quali requisiti pone la nuova nDSG al consenso?

Il consenso deve essere specifico, informato e volontario, e gli utenti dovrebbero avere la possibilità di dare il proprio consenso per diverse categorie di cookie.

Chi è interessato dalla nuova Legge sulla Protezione dei Dati?

Chiunque lavori con dati personali è interessato dalla legge. Ciò vale per aziende, associazioni, ma anche per privati, a condizione che l’uso dei dati vada oltre l’ambito privato come famiglia e amici.

Disclaimer ⚖️

Si prega di notare che questo blogpost è solo un breve riassunto di aspetti della nuova Legge sulla Protezione dei Dati che riteniamo importanti. Non siamo esperti legali o avvocati. Per una consulenza legale completa, si consiglia di rivolgersi a un avvocato qualificato per assicurarsi di rispettare tutti i requisiti legali. La nostra fonte principale qui è stata Admin.ch :: Comunicato stampa :: Nuova legge sulla protezione dei dati dal 1° settembre 2023

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.