Shopping Cart

Nessun prodotto nel carrello.

Nuova legge svizzera sulla protezione dei dati (nDSG) – Cosa è estremamente importante dal 1.09.2023?

La nuova legge sulla protezione dei dati (nDSG) e le relative ordinanze sono entrate in vigore in Svizzera il 1° settembre 2023. L’emendamento alla legge adatta la protezione dei dati alla tecnologia e alla società di oggi. Le persone dovrebbero essere in grado di comprendere e controllare meglio l’utilizzo dei loro dati. Si tratta di una modifica attesa da tempo, considerando che la vecchia legge sulla protezione dei dati risale al 1992. Google è stato fondato nel 1998 e Facebook (Meta) è andato online nel 2004. È stato allora che la raccolta dei dati 🐙 è iniziata su larga scala. Il GDPR è in vigore dal maggio 2018 e anche la Svizzera ha seguito il suo esempio, anche se con una differenza significativa in termini di sanzioni.

Tra poco spiegherò perché la sicurezza informatica sta diventando ancora più importante e perché molti stanno reagendo solo ora.

Perché c’era bisogno di una nuova legge?

La nuova legge svizzera sulla protezione dei dati ha due obiettivi principali:

  • Aggiorna le regole per adattarle alle tecnologie odierne come il cloud, i social media, l’AI, i Big Data e l’IoT. Questo dovrebbe dare alle persone un maggiore controllo sui propri dati.
  • Garantisce che la protezione dei dati in Svizzera sia innalzata al livello dell’UE. Questo è importante affinché lo scambio di dati tra la Svizzera 🇨🇭 e l’UE 🇪🇺 continui a essere possibile senza problemi. La legge tiene conto anche dei regolamenti dell’UE e degli accordi internazionali sulla protezione dei dati.

Dati personali? Non mi riguarda!

Riguarda tutti coloro che hanno a che fare con i dati personali. Sia al lavoro che in discoteca o nella vita privata (tranne che con gli amici e la famiglia). Le informazioni che si riferiscono direttamente o indirettamente a una persona fisica specifica sono considerate dati personali. Questo include non solo il nome e l’indirizzo, ma anche elementi come l’indirizzo IP o l’indirizzo e-mail. La raccolta, l’archiviazione, l’utilizzo, la modifica o la cancellazione di tali dati viene definita elaborazione e si applica la legge aggiornata sulla protezione dei dati.

Privacy by Design e Privacy by Default

“Privacy by Default” e“Privacy by Design” significano che le aziende devono integrare la protezione dei dati nelle loro tecnologie e impostazioni fin dall’inizio. Ciò significa che quando si sviluppano applicazioni o siti web, le norme sulla protezione dei dati devono essere prese in considerazione già nella fase di progettazione. Inoltre, le impostazioni predefinite dovrebbero sempre essere l’opzione più rispettosa della privacy. Ad esempio, se un sito web ha un’area riservata ai membri, il nome dell’utente non dovrebbe essere visibile nell’impostazione predefinita.

Ridurre la raccolta dei dati al minimo indispensabile

Quando si costruisce qualcosa da zero (privacy by default), è ovviamente più facile tenerne conto, ma in seguito è sempre un po’ più impegnativo. È importante che i dati vengano utilizzati solo per lo scopo per cui sono stati originariamente raccolti. È possibile utilizzarlo per altri scopi solo se esiste un motivo valido, ad esempio per adempiere a un contratto, o se la persona interessata è esplicitamente d’accordo.

Se i dati non sono più necessari per lo scopo originario, devono essere cancellati o resi irriconoscibili senza indugio.

Cookie 🍪

Il fastidioso problema dei cookie e dei relativi banner pubblicitari.

I cookie sono piccoli file di testo che i siti web memorizzano sul computer o sul dispositivo mobile dell’utente. Spesso vengono utilizzati per migliorare l’esperienza dell’utente, memorizzando le impostazioni o tracciandone il comportamento. Nella nuova legge sulla protezione dei dati, i cookie sono rilevanti perché spesso raccolgono dati personali. La legge richiede pertanto che gli utenti siano chiaramente informati su quali cookie vengono utilizzati e per quali scopi. Inoltre, gli utenti devono dare il loro consenso prima di poter impostare i cookie. Le impostazioni predefinite, visibili nel banner dei cookie, devono essere compatibili con la protezione dei dati. Ciò significa che devono essere attivati automaticamente solo i cookie assolutamente necessari.

Tuttavia, gestire un sito web senza cookie che raccolgono i dati degli utenti non è più difficile. Grazie al GDPR, sono disponibili diversi nuovi strumenti alternativi che prendono sul serio la protezione dei dati. Il nostro sito web non utilizza cookie.

Informativa sulla privacy

L’informativa sulla privacy è un documento essenziale che dovrebbe essere presente in ogni sito web aziendale. Informa i visitatori e i clienti su quali dati personali vengono raccolti, come vengono utilizzati e conservati e quali diritti hanno gli interessati in merito ai loro dati. Inoltre, una politica sulla privacy chiara e comprensibile non è solo una buona pratica commerciale, ma è anche richiesta dalla legge, soprattutto alla luce della nuova legislazione sulla protezione dei dati. Dovrebbe essere aggiornata regolarmente per riflettere i nuovi requisiti legali o i cambiamenti nelle pratiche di trattamento dei dati.

Il diritto sui propri dati

Ogni persona ha il diritto di ricevere informazioni sui dati memorizzati. Di norma, queste informazioni devono essere fornite entro 30 giorni e senza alcun costo per l’interessato. Le persone hanno il diritto di far correggere i dati inesatti o di richiederne la cancellazione. Tuttavia, questi diritti non si applicano in modo assoluto e sono soggetti a limitazioni, come l’obbligo di conservare la documentazione.

Sicurezza informatica

Passiamo ora all’argomento vero e proprio di questo articolo: come proteggere i dati. Come potete vedere, in un’azienda ci sono diversi luoghi in cui i dati vengono raccolti e quindi anche memorizzati. Tutto ciò che viene memorizzato da qualche parte può essere rubato, criptato, modificato o cancellato. Con i mezzi tecnici necessari, è ora possibile impedire modifiche indesiderate.

L’introduzione della nuova legge sulla protezione dei dati (nDSG) in Svizzera ha aumentato notevolmente l’importanza della sicurezza informatica nelle aziende, soprattutto nelle piccole e medie imprese (PMI). Sebbene la sicurezza informatica sia sempre stata un fattore critico, l’nDSG ha aumentato l’urgenza di questo problema. Dall’entrata in vigore della legge, il 1° settembre 2023, abbiamo ricevuto un notevole aumento delle richieste da parte delle PMI che desiderano rafforzare le proprie misure di sicurezza informatica.

Lasciate che se ne occupi qualcun altro

Molte delle richieste ricevute riguardano il Managed Detection and Response (MDR ). Le aziende desiderano trasferire la responsabilità e rendersi conto che la sicurezza informatica non si ottiene semplicemente con l’installazione di un firewall e del già esistente Windows Defender.

È quindi ovvio affidare questo compito a fornitori di servizi esterni che si occupano a tempo pieno dell’argomento e della caccia alle minacce, che non fanno altro e che conoscono molto bene la scena. Si tratta di una decisione saggia, in quanto l’MDR fornisce un monitoraggio proattivo e una risposta agli incidenti di sicurezza, in linea con i requisiti dell’NDSG. Se ora avete altri sistemi in azienda, potete inviare a Sophos anche questi dati di telemetria di terze parti. Ciò significa che anche questi dati possono essere presi in considerazione per un’analisi completa della sicurezza.

Tuttavia, si sente spesso parlare di persone che pensano di poterlo fare da sole e sottovalutano la portata di questo problema. Vi consiglio questo articolo con i video e cambierete subito idea: Il documentario sul ransomware

Mi riferisco principalmente all’endpoint, ma ovviamente lo stesso vale per il firewall. La configurazione, la manutenzione, l’audit e il pentest devono essere eseguiti da personale qualificato o, se non disponibile, affidati a un fornitore di servizi esterno come noi.

Audit di sicurezza – Testate più volte

Mentre la maggior parte delle persone dà per scontate le ispezioni e le manutenzioni periodiche delle proprie auto, come previsto dalla legge, la sicurezza informatica viene spesso trascurata. In un’epoca in cui il panorama delle minacce è in costante crescita e cambiamento, è essenziale mettere costantemente alla prova i sistemi informatici.

Audit e pentest regolari sono un passo importante verso una solida sicurezza informatica. Mentre gli audit verificano la conformità alle politiche di sicurezza, i pentest simulano attacchi informatici per identificare le vulnerabilità del sistema. Entrambi i metodi sono importanti per garantire che le misure di sicurezza soddisfino i requisiti attuali.

Alcune buone pratiche di sicurezza informatica

Nel nostro recente post sul blog “Raccomandazioni di Sophos – Le migliori pratiche di cybersecurity”, abbiamo evidenziato diversi punti importanti per la sicurezza informatica. Molti di questi punti potrebbero rientrare nella categoria della “negligenza” se non vengono rispettati, soprattutto alla luce delle nuove NDSG.

Obbligo di segnalazione

L’FDPIC è l’Incaricato federale della protezione dei dati e delle informazioni in Svizzera. È un’autorità indipendente che controlla e fa rispettare la protezione dei dati a livello federale. Nella nuova legge sulla protezione dei dati (nDSG), l’IFPDT svolge un ruolo importante, in quanto è responsabile del controllo della conformità alla legge. In caso di violazioni della protezione dei dati che comportino un rischio elevato per le persone interessate, queste devono essere segnalate all’IFPDT. Può anche dare istruzioni e imporre sanzioni in caso di mancato rispetto delle disposizioni in materia di protezione dei dati.

Secondo l’NDSG, gli attacchi informatici che portano a una violazione della sicurezza dei dati devono essere segnalati all’FDPIC. Questo vale in particolare se l’attacco presenta un rischio elevato per i diritti personali o i diritti fondamentali delle persone interessate.

Una violazione della sicurezza dei dati si verifica quando i dati personali vengono accidentalmente o illegalmente persi, cancellati, distrutti, alterati o resi accessibili a persone non autorizzate. Questo deve essere segnalato senza indugio all’FDPIC. La segnalazione deve essere fatta il prima possibile, di solito entro 72 ore da quando si viene a conoscenza dell’attacco. L’FDPIC è l’autorità competente a ricevere tali segnalazioni e a monitorare ulteriormente la situazione. Tuttavia, l’incidente deve essere segnalato anche all’NCSC: Segnalare l’incidente al Centro nazionale per la sicurezza informatica (NCSC)

Uno scenario del genere deve essere pensato in anticipo e non solo quando si verifica l’emergenza.

Responsabilità penale

In caso di violazioni intenzionali della NDSG, come la violazione degli obblighi di informazione, divulgazione, cooperazione o due diligence, i privati possono essere puniti con multe fino a 250.000 franchi svizzeri. Nel caso di reati in esercizi commerciali, le aziende possono essere multate fino a 50.000 franchi svizzeri se l’identificazione delle persone che hanno commesso l’infrazione comporterebbe uno sforzo sproporzionato – e per loro sarebbe ammissibile una multa non superiore a 50.000 franchi svizzeri.

Questa è anche la principale differenza rispetto al GDPR. Per quanto riguarda la responsabilità penale, si deve tenere conto in particolare del fatto che, a partire dal 1° settembre 2023, la violazione di alcuni obblighi darà luogo a una responsabilità penale che non riguarderà la società, ma la persona fisica che ne è responsabile. Le persone responsabili possono essere i membri della direzione e altre persone autorizzate a prendere decisioni nell’azienda o anche le persone che hanno commesso una violazione dei doveri (ad esempio, una violazione della riservatezza). Secondo la legge svizzera, tuttavia, solo la commissione deliberata è punibile.

In Svizzera è possibile comminare una multa fino a 250.000 franchi svizzeri per diversi reati in materia di protezione dei dati, tra cui:

  • Mancanza di trasparenza o di norme sulla privacy
  • Mancanza di accordi contrattuali con i responsabili del trattamento dei dati
  • Carenze nella sicurezza dei dati, come ad esempio misure tecniche e organizzative inadeguate (TOM)
  • Trasferimento di dati personali in paesi che non dispongono di una protezione sufficiente dei dati, senza garanzie supplementari o senza un’eccezione valida, come il consenso.
  • Mancato rispetto dell’obbligo di informazione
  • Disconoscimento del cosiddetto “segreto professionale minore”.

La nuova legge svizzera sulla protezione dei dati prevede anche sanzioni penali per i responsabili di tali reati.

FAQ sul nuovo nDSG

Che cos’è la nuova legge svizzera sulla protezione dei dati?

Si tratta di una revisione della legge sulla protezione dei dati del 1992, entrata in vigore il 1° settembre 2023, per rafforzare la protezione dei dati in Svizzera e allinearla al Regolamento generale sulla protezione dei dati dell’UE.

Quali sono le sanzioni per le violazioni dell’NDSG?

Le sanzioni possono arrivare fino a 250.000 franchi svizzeri e sono possibili anche sanzioni penali nei confronti di singoli individui.

Cosa significa “Privacy by Design”?

È un principio in cui la protezione e la sicurezza dei dati sono integrate nella pianificazione e nello sviluppo dei progetti fin dall’inizio.

Le aziende devono informare gli utenti sul trattamento dei loro dati?

Sì, le aziende devono informare chiaramente i propri utenti su quali dati vengono raccolti e a quale scopo.

L’NDSG si applica anche alle aziende al di fuori della Svizzera?

Sì, la legge ha un campo di applicazione transfrontaliero e si applica a qualsiasi sito web che tratti dati personali di persone in Svizzera, indipendentemente dalla loro ubicazione.

Quali requisiti pone il nuovo NDSG in materia di consenso?

Il consenso deve essere specifico, informato e volontario e gli utenti devono essere in grado di dare il consenso per diverse categorie di cookie.

Chi è interessato dalla nuova legge sulla protezione dei dati?

Tutti coloro che lavorano con i dati personali sono interessati dalla legge. Questo vale per le aziende, le associazioni, ma anche per i privati, nella misura in cui l’uso dei dati va oltre la sfera privata, come la famiglia e gli amici.

Disclaimer ⚖️

Si noti che questo blogpost è solo un breve riassunto degli aspetti della nuova legge sulla protezione dei dati che riteniamo importanti. Non siamo esperti legali o avvocati. Per una consulenza legale completa, è necessario rivolgersi a un avvocato qualificato per assicurarsi di rispettare tutti i requisiti legali. La nostra fonte principale è stata Admin.ch :: Comunicato stampa :: Nuova legge sulla protezione dei dati dal 1° settembre 2023

Patrizio
Patrizio

Patrizio è un esperto specialista di rete specializzato in firewall, switch e access point Sophos. Supporta i clienti o il loro reparto IT nella configurazione e nella migrazione dei firewall Sophos e garantisce una sicurezza di rete ottimale attraverso una segmentazione pulita e la gestione delle regole del firewall.

Iscrizione alla newsletter

Inviamo una newsletter mensile con tutti i post del blog di quel mese.