Domande e risposte sulla revisione della legge sulla protezione dei dati (nLPD), che entrerà in vigore il 1o settembre 2023.
1. Come è regolamentata la protezione dei dati nelle newsletter Fairgate, nell’app Hitobito e nell’app Konzertmeister?
L’ABS non ha alcuna relazione con la newsletter Fairgate e con l’app Konzertmeister. Se siete interessati, dovete contattare direttamente l’editore. Le questioni che riguardano Hitobito sono trattate nelle risposte alle domande numero 3, 4, 11, 16, 18, 19 e 20.
2. Esiste un modello di informativa sulla protezione dei dati dell’ABS disponibile per le federazioni cantonali e per tutte le società?
All’indirizzo web datenschutzmuster.ch degli avvocati Wicki Partners AG sono disponibili maggiori informazioni e link a modelli e presentazioni, nonché un’informativa sulla protezione dei dati standard.
3. Dove vengono memorizzati i dati di Hitobito? (luogo, operatore)
Hitobito AG, con sede a Berna, esibisce sul suo sito web il label «swiss made software + swiss hosting». Questo può essere utilizzato solo dai software sviluppati e ospitati in Svizzera (swissmadesoftware.org)
4. Come sono salvati i dati in Hitobito, e come sono protetti da eventuali attacchi?
Secondo le informazioni diffuse da Hitobito AG, ci sono provvedimenti di sicurezza dei dati e misure per garantire un livello adeguato di protezione in termini di riservatezza, integrità, disponibilità e carico dei sistemi. Vengono presi in considerazione lo stato della tecnica, costi e modalità, la portata e le finalità dell’elaborazione. I provvedimenti garantiscono in particolare l’identificazione tempestiva delle violazioni della sicurezza e della protezione dei dati.
In particolare, il contraente garantisce che i dati trattati nell’ambito di quest’ordine sono rigorosamente separati da altri database. I provvedimenti tecnici e organizzativi sono soggetti al progresso tecnico e all’ulteriore sviluppo. Il contraente è pertanto autorizzato ad attuare misure alternative adeguate. Il livello di sicurezza dei provvedimenti stabiliti non deve essere inferiore.
5. In che modo vengono rispettate le normative GDPR e come sono trattate le richieste di cancellazione dei dati personali?
Se si applica il GDPR, la richiesta deve essere risolta per iscritto o elettronicamente. In caso di richiesta di informazioni ai sensi della LPD, le informazioni devono essere fornite per iscritto o nella forma in cui sono disponibili i dati (art. 16 cpv. 2 OPDa). Nella sezione «Diritto d’accesso» (admin.ch) c’è un modello per le richieste di informazioni.
6. Il principio di proporzionalità consente solo il trattamento dei dati dei membri effettivamente necessari per raggiungere lo scopo previsto; questo cosa include?
La società può memorizzare tutti i dati necessari per la realizzazione dei suoi scopi sociali. Oltre ai dati di contatto (p.es. nome, numero di telefono, indirizzo postale, e-mail, data di entrata e uscita, data di nascita), ce ne possono essere anche altri. Gli scopi sono contenuti nello statuto.
7. Quali dati dei membri sono degni di particolare protezione?
L’art. 5 della nLPD contiene una buona spiegazione del concetto: «dati personali degni di particolare protezione» sono, ad esempio, i dati personali relativi ad attività religiose, filosofiche, politiche o sindacali, dati sulla salute, la sfera intima, l’appartenenza a una razza o etnia, dati genetici, dati biometrici, dati relativi a procedimenti amministrativi e penali o misure di assistenza sociale.
La categoria «dati particolarmente degni di protezione» esisteva già, ma p.es. i dati genetici e biometrici vi sono stati aggiunti solo ultimamente. Per il trattamento di questa categoria di dati, a causa dell’elevato livello di protezione, è necessario il rispetto di requisiti più elevati, p.es. il previo consenso esplicito.
Nota: i dati raccolti dall’ABS sono esclusivamente dati che non fanno parte della categoria «degno di particolare protezione».
Suggerimento
Per un corretto funzionamento e per l’organizzazione, nella maggior parte delle società il trattamento di «dati personali degni di particolare protezione» non è necessario. Alla luce dell’aumento dei requisiti legali si consiglia pertanto, per quanto possibile, di rinunciare al trattamento di questa categoria.
8. È necessario che i nuovi membri attivi e i suonatori firmino dei fogli informativi sulla protezione dei dati per poter p.es. caricare sul sito web o sull’account social media della società delle immagini che li ritraggono, o per poterli elencare come membri?
Dipende: se i dati personali «normali» (e non i dati personali degni di particolare protezione) dei membri vengono pubblicati su un sito web, i membri devono esserne adeguatamente informati, p.es. attraverso un’informativa sulla protezione dei dati sul sito web o nel vademecum dei membri. I dati personali sono tutti i dati che si riferiscono a una persona identificata o identificabile, p.es. nome, indirizzo, numero di conto, numero AVS, targa del veicolo, indirizzo IP, ma anche persone nelle foto.
Inoltre, quando si utilizzano immagini che ritraggono persone, è necessario rispettare il loro diritto alla personalità, il cosiddetto «diritto sulla propria immagine». Per essere assolutamente sicuri: dei punti colorati sul bavero dei visitatori (verde per il consenso, rosso per il mancato consenso) possono indicare se si acconsente alla pubblicazione della propria immagine.
9. Sarebbe utile menzionare nello statuto che la società può elaborare tutti i dati dei membri «effettivamente necessari per raggiungere lo scopo previsto»? Questo ci permetterebbe di non dover far firmare ai membri accordi sulla protezione dei dati («in quanto membro accetti lo statuto»)?
Una menzione non è legalmente necessaria, poiché la legge sulla protezione dei dati si applica in ogni caso. Per motivi di trasparenza, tuttavia, questa può essere inclusa nello statuto, così come le regole per l’invio di e-mail non crittografate.
Suggerimento
Gli statuti della società dovrebbero essere aggiornati digitalmente. Pertanto, oltre a una clausola di trasparenza sulla protezione dei dati, è del tutto appropriato avere negli statuti delle disposizioni per l’invio di e-mail non crittografati e comunicazioni o per assemblee e votazioni digitali.
10. I dati dei membri veterani che non sono più attivi rimangono nei nostri sistemi… questo è un problema?
A meno che non abbiate il consenso dei veterani, sì. Per la memorizzazione di questi «dati dei veterani» deve esserci uno scopo. Il «puro desiderio di conservare i dati» non è uno scopo ammissibile, in quanto non è necessario. Secondo i principi di protezione dei dati come da art. 6 cpv. 3 della nLPD, i dati personali possono essere raccolti e trattati solo per uno scopo specifico e comprensibile alla persona. Questo «vincolo di scopo» esisteva già ai sensi della legge precedente.
Un’ulteriore elaborazione o memorizzazione non è consentita se ciò può essere inaspettato, inappropriato o discutibile per la persona. Se i dati personali vengono trattati in violazione dei principi di cui all’art. 6 o 8 LPD (sicurezza dei dati), si è in presenza di una violazione della personalità.
Suggerimento
I «cimiteri di dati» non sono solo problematici dal punto di vista della protezione dei dati, non sono proprio necessari. Se sussistono dei dati non più utili, come p.es. per la fatturazione, devono essere eliminati definitivamente. Se i dati devono essere conservati per dimostrare la (precedente) affiliazione, (i) è necessario verificare se sono memorizzati tutti i dati o solo una parte, e (ii) è necessario ottenere il consenso del membro uscente.
11. Il caricamento dei dati dei membri su hitobito o sul sito web della federazione (p.es. Musikverband der Stadt Winterthur, zhbv.ch) rappresenta per noi un rischio nel quadro della protezione dei dati?
In teoria, al giorno d’oggi qualsiasi elaborazione dei dati rappresenta un «rischio». Tuttavia, l’uso di un software di gestione della società o di un sito web della federazione è consentito senza problemi, purché nel rispetto dei principi di protezione dei dati (art. 6 nLPD) e garantendo la sicurezza dei dati (art. 8 nLPD).
Suggerimento
I fornitori di software per società o il provider mostrano spesso sul loro sito web come viene garantita la sicurezza dei dati. Se è presente una cosiddetta elaborazione dell’ordine, deve essere stipulato un contratto per l’elaborazione dei dati. Il fatto che questo possa essere stipulato tramite il sito web o il portale utenti per i clienti depone a favore di un fornitore.
12. Dovremmo scegliere un provider cloud svizzero per i nostri dati online invece del Dropbox americano?
Gli Stati Uniti attualmente non garantiscono un livello di protezione dei dati adeguato a quello della Svizzera, quindi il trasferimento di dati negli Stati Uniti è attualmente consentito solo a determinate condizioni. In Svizzera e nell’Unione Europea esistono buoni servizi di cloud storage che garantiscono il rispetto della protezione dei dati e pubblicizzano la cosa.
Suggerimento
Per la protezione dei dati personali è preferibile spendere qualche spicciolo in più piuttosto che risparmiare sulla cosa sbagliata. In questo senso, meglio risparmiarsi una multa ai sensi della nLPD, piuttosto che dover a un certo punto giustificare il motivo per cui si è scelto il provider online più economico.
13. Dovrebbe esserci una nota sulla protezione dei dati nel formulario di registrazione per i nuovi membri passivi? Se sì, avete un modello di testo?
Ai sensi dell’art. 19 cpv. 1 LPD, la persona interessata deve essere adeguatamente informata sulla raccolta di dati personali, anche se i dati non sono raccolti presso la persona interessata. Inoltre, il titolare del trattamento è tenuto a fornire alla persona interessata determinate informazioni minime (p.es. sull’identità del titolare del trattamento), art. 19 comma 2 LPD. La legge sulla protezione dei dati non specifica le modalità con cui l’informazione deve essere fornita. Il titolare del trattamento deve garantire che la persona interessata possa effettivamente prendere conoscenza delle informazioni e possa informarsi in modo facilmente accessibile. Nella sua motivazione, il messaggio sulla LPD indica a titolo esemplificativo un’informativa sulla protezione dei dati sul sito web, ma anche simboli e pittogrammi, nella misura in cui questi riportano le informazioni necessarie.
Suggerimento
Per motivi di trasparenza, includere una nota sul modulo di iscrizione: «La nostra informativa sulla protezione dei dati è disponibile all’indirizzo www.abcxyz.ch.» Questa è anche una buona pubblicità per il proprio sito web.
14. Se abbiamo membri attivi e/o passivi residenti in paesi europei siamo soggetti anche alle disposizioni del RGPD europeo? Dovremmo quindi nominare un responsabile della protezione dei dati?
Per l’ambito di applicazione del GDPR, secondo l’art. 3 cpv. 2 a), a essere determinante è se i dati personali di persone sono trattati nell’UE e se questo è correlato all’offerta di beni o servizi. In questo caso, a essere decisivo è il termine «offrire». Se la società/federazione orienta la sua offerta in modo riconoscibile solo al territorio della Svizzera, anche se eventualmente dei cittadini dell’UE visitano il sito web o diventano membri, la cosa non rientra nell’ambito di applicazione territoriale dell’art. 3 GDPR.
Se il GDPR non è da applicarsi (vedi sopra), non è necessario nominare un responsabile della protezione dei dati. Per le società, inoltre, di norma non dovrebbe essere nominato un responsabile della protezione dei dati se l’attività non è conforme al catalogo di cui all’art. 37 cpv. 1 GDPR o se con il trattamento dei dati sono registrati meno di 20 dipendenti.
Suggerimento
Per essere chiaramente soggetti solo al diritto svizzero sulla protezione dei dati, molto meno restrittivo, l’offerta dovrebbe essere chiaramente orientata alla Svizzera.
15. Come dobbiamo procedere se scattiamo delle foto durante concerti, presentazioni di strumenti eccetera nelle quali si vedono anche dei visitatori, e in seguito vogliamo pubblicare tali foto sul nostro sito web, sul giornale o simili?
Vedi le osservazioni alla domanda 8.
Suggerimento
Anche l’IFPDT fornisce ottime informazioni:
Le regole da seguire quando si scattano e pubblicano fotografie –
Il diritto alla propria immagine
16. Come procederebbe l’ABS nel caso in cui Hitobito fosse hackerato?
L’organo pubblico responsabile del trattamento dei dati deve segnalare l’accaduto al responsabile della protezione dei dati. Se è coinvolto un contraente o un partner di outsourcing, questo deve informare immediatamente l’organo pubblico responsabile della violazione, che segnala l’incidente al responsabile della protezione dei dati. Un incidente relativo alla protezione dei dati deve essere segnalato al responsabile della protezione dei dati del Canton Argovia. Nella notifica devono essere indicati i possibili effetti in più cantoni.
17. Quali sono le misure di sicurezza dell’ABS?
Per motivi di sicurezza, queste non sono qui specificate in dettaglio, ma l’ABS adotta provvedimenti tecnici e organizzativi adeguati per garantire una sicurezza dei dati commisurata al rispettivo rischio. L’accesso al nostro sito web avviene tramite crittografia di trasporto (in particolare con Hypertext Transfer Protocol Secure, abbreviato in HTTPS). La maggior parte dei browser contrassegna la crittografia del trasporto con un lucchetto nella barra degli indirizzi.
18. Come bisogna trattare i dati dei membri uscenti e deceduti?
Le società cancellano i dati dei membri deceduti dal loro registro nominativo in Hitobito; devono anche segnalare la cosa all’ABS, affinché quest’ultima possa cancellare completamente tali dati.
19. Ogni membro della società può gestire autonomamente i propri dati (tutti hanno accesso a Hitobito)?
Su richiesta, ogni membro della società può avere accesso ai propri dati in Hitobito. La persona interessata vede solo i propri dati e non quelli degli altri membri della società.
20. È sensato dare l’accesso ai dati solo a un numero limitato di persone per società?
Si consiglia di concedere il pieno accesso a Hitobito solo a un numero ristretto di persone (amministratori). Questi includono i presidenti delle società, i responsabili SUISA, i presidenti della CM, i segretariati e, se necessario, anche i direttori.
Suggerimento
È altamente consigliabile che queste persone frequentino anche i corsi di formazione Hitobito nei rispettivi cantoni, per essere preparate al meglio a queste responsabilità.
Fonti: Avv. e avv. specializzato in diritto informatico (DE) Sven Kohlmeier; Avv. Dr. Roman Baumann Lorant; Informativa sulla protezione dei dati ABS; Accordo sulla protezione dei dati con Hitobito AG.