La legge federale sulla protezione dei dati ha lo scopo di proteggere la personalità e i diritti fondamentali delle persone, i cui dati sono oggetto di trattamento. In particolare, la raccolta, la registrazione, la conservazione, l'utilizzo, la modifica, la comunicazione, l'archiviazione, la cancellazione e la distruzione dei dati sono operazioni di trattamento dei dati ai sensi della protezione dei dati.

Novità per gli organi federali e per i privati

Diversi cambiamenti riguardanti i dati personali e l'obbligo di informazione si applicano alle autorità federali e ai privati, oltre che alle aziende.

  • Estensione dell'obbligo d'informazione: una dichiarazione sulla protezione dei dati deve contenere almeno le seguenti quattro informazioni:
    • scopo del trattamento
    • identità e dati di contatto della persona responsabile. Il responsabile è un privato o un ente federale che decide le finalità e i mezzi del trattamento (da solo o congiuntamente ad altri)
    • indicazione delle persone a cui vengono trasmessi i dati personali
    • in caso di comunicazione, o messa a disposizione, dei dati all'estero: indicazione del Paese e, se del caso, delle garanzie di protezione dei dati personali.
  • Registro delle attività di trattamento: i privati e gli organi federali sono ora obbligati a tenere un registro delle attività di trattamento dei dati (eccezioni per le aziende: attività che coinvolgono meno di 250 dipendenti e se il trattamento dei dati comporta un basso rischio di danno alla personalità). Ai sensi della legge sulla protezione dei dati, le informazioni minime richieste nel registro del trattamento dei dati sono leggermente più complete di quelle richieste nella dichiarazione di protezione dei dati. Ad esempio, deve essere indicato il periodo di conservazione dei dati personali. L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) redige un elenco delle informazioni che devono essere inserite nel registro dei trattamenti.
  • Aumento delle sanzioni: sono state introdotte nuove sanzioni, tra cui multe fino a CHF 250'000. È ancora più importante rispondere correttamente alle richieste di accesso e rispettare le regole relative sulla comunicazione dei dati all'estero, quando i dati vengono esternalizzati.
  • Notifica di una violazione della sicurezza dei dati: in caso di violazione della sicurezza dei dati, che potrebbe comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata (ad esempio, se i dati personali sono resi accessibili a persone non autorizzate), l'IFPDT deve essere informato il prima possibile. Esiste anche l'obbligo d'informare le persone interessate. Un rischio viene valutato in base alle sue cause, ai pericoli, alle misure adottate, o previste, per ridurlo e alla probabilità, o alla gravità, di una violazione della sicurezza dei dati, nonostante le misure adottate o previste.
  • Valutazione d'impatto sulla protezione dei dati personali (DPIA): una DPIA dev'essere redatta prima di qualsiasi trattamento dei dati, che possa comportare un rischio elevato per la personalità o i diritti fondamentali degli interessati. La DPIA è uno strumento per identificare e valutare i rischi potenziali e indicare le misure da adottare. L'IFPDT fornisce informazioni dettagliate e una lista di controllo sulla DPIA.
  • Esternalizzazione: se le aziende, o le autorità federali, ricorrono ai servizi di terzi (ad esempio, esternalizzazione nel cloud), il fornitore deve essere in grado di garantire la sicurezza dei dati allo stesso modo del responsabile del trattamento. Se necessario, deve essere stipulato un contratto di subappalto.

Importante distinzione tra legge federale e cantonale in materia di protezione dei dati

La nuova legge federale sulla protezione dei dati si applica – come la precedente legge sulla protezione dei dati – solo al trattamento dei dati da parte delle autorità federali e dei privati, ad esclusione degli enti cantonali e comunali. Nel caso delle scuole pubbliche, si applicherà come prima la legge cantonale sulla protezione dei dati. Abbiamo anche esaminato le conseguenze per le scuole pubbliche della nuova legge sulla protezione dei dati.

Articoli correlati

La convenzione esistente con Microsoft (in precedenza chiamata «contratto quadro») è stata prolungata fino alla fine di luglio 2025. Un parere legale esterno constata che le convenzioni quadro precedenti non costituiscono una base per la legge sugli appalti pubblici.

Il progetto IDENTI del Cantone di Lucerna si occupa dell'identità digitale delle allieve e degli allievi ed esamina le condizioni quadro dei materiali didattici digitali e delle applicazioni. Karin Weber e Reto Buchmann, responsabili della direzione del progetto, hanno delineato per noi le prime soluzioni alle sfide individuate.

La collaborazione con progetti di utilizzo dei dati ci permette di far luce sull'ecosistema dei «dati dell'educazione», sulla base di casi concreti tratti dalla pratica, e di testare delle soluzioni per le diverse parti interessate. Le esperienze fatte finora lo dimostrano: malgrado l'eterogeneità, le problematiche da affrontare sono le stesse.

La nostra nuova serie di podcast (disponibile in tedesco e in francese) è dedicata al tema «I dati nello spazio formativo digitale». Il primo episodio di questa serie risponde alle seguenti domande: che cosa sono i flussi di dati, perché sono importanti e che cosa possono insegnarci?