Il Regolamento generale sulla protezione dei dati (RGPD/GDPR) dell’UE e la Legge federale sulla protezione dei dati (nLPD) svizzera obbligano le aziende che trattano dati personali ad adottare misure tecniche e organizzative adeguate. Il principio e chiaro: la protezione dei dati senza sicurezza informatica non e possibile. Chi tratta dati personali deve anche proteggerli tecnicamente.
Il RGPD vi riguarda?
In quanto azienda svizzera, siete soggetti al RGPD se:
- Trattate dati personali di persone che si trovano nell’UE
- Offrite beni o servizi a persone nell’UE
- Monitorate il comportamento di persone nell’UE (ad es. tracciamento web, profilazione)
Dal settembre 2023 e inoltre in vigore la nuova Legge federale sulla protezione dei dati (nLPD). Essa impone requisiti comparabili per la protezione dei dati personali e si applica a tutte le attivita di trattamento con effetto in Svizzera. Le aziende con attivita nell’UE devono rispettare entrambe le normative.
Requisiti tecnici
Sia il RGPD (Art. 32) che la nLPD (Art. 8) richiedono «misure tecniche e organizzative adeguate» per la protezione dei dati personali. In concreto, questo significa:
- Verifiche periodiche della sicurezza – I sistemi che trattano dati personali devono essere testati regolarmente per individuare vulnerabilita
- Gestione delle vulnerabilita e delle patch – Le vulnerabilita note devono essere identificate e corrette tempestivamente
- Controllo degli accessi e crittografia – Solo le persone autorizzate possono accedere ai dati personali; i dati devono essere crittografati in transito e a riposo
- Obbligo di notifica delle violazioni – Il RGPD richiede la notifica all’autorita di controllo entro 72 ore; la nLPD richiede la segnalazione «il piu rapidamente possibile» all’IFPDT
- Valutazione d’impatto sulla protezione dei dati (VIPD) – Le attivita di trattamento che presentano un rischio elevato per le persone interessate richiedono un’analisi preventiva dei rischi
Come Zerberos vi supporta
Vi aiutiamo a soddisfare in modo dimostrabile i requisiti tecnici del RGPD e della nLPD:
- Penetration Testing – Identifichiamo le vulnerabilita nei vostri sistemi prima che lo facciano gli aggressori. I risultati documentano contemporaneamente il rispetto dei vostri obblighi di verifica.
- Vulnerability Scanning – Scansioni automatizzate regolari con interpretazione esperta e prioritizzazione dei risultati.
- Security Audit – Revisione completa della vostra infrastruttura, dei processi e delle configurazioni.
- Consulenza sulla conformita – Gap analysis delle vostre misure tecniche rispetto ai requisiti del RGPD e della nLPD.
- Incident Response – Supporto in caso di violazione dei dati, quando e necessario agire rapidamente.
Il nostro focus e sul lato tecnico della conformita. Per questioni legali e organizzative — come la creazione del registro delle attivita di trattamento, le informative sulla privacy o la nomina di un responsabile della protezione dei dati — collaboriamo con partner esperti e siamo lieti di facilitare il contatto.
Sanzioni e conseguenze
I rischi finanziari e reputazionali in caso di violazione sono considerevoli:
- RGPD – Sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale, a seconda di quale importo sia superiore
- nLPD – Sanzioni fino a CHF 250’000, sotto forma di responsabilita personale delle persone responsabili — non dell’azienda
- Danno reputazionale – Le violazioni dei dati diventano pubbliche, gli obblighi di notifica garantiscono trasparenza e i clienti perdono la fiducia
- Interruzione dell’attivita – Le autorita di controllo possono vietare le attivita di trattamento fino alla risoluzione delle carenze
L’investimento in misure di sicurezza adeguate e trascurabile rispetto alle potenziali conseguenze di una violazione.
Contattateci per una consulenza senza impegno. Vi mostreremo a che punto siete e quali misure sono piu indicate per la vostra organizzazione.