Sicurezza IT e legge sulla protezione dei dati

Avete bisogno di una dichiarazione sulla privacy per il vostro sito web o per i contratti con i clienti? Sì, perché dal momento in cui trattate dati personali, avete l'obbligo di informare. Alla luce della nuova legge, la redazione di una dichiarazione sulla privacy è quindi un compito importante.

Si veda ad esempio la nostra dichiarazione sulla privacy. Questo vi darà alcune idee su come creare una dichiarazione sulla privacy adatta alle vostre esigenze.

Definire i vostri standard per il trattamento dei dati vi aiuta all'interno, ma anche all'esterno (richieste ufficiali, procedimenti legali). In questo modo chiarite questioni rilevanti come

• Quali dati raccogliamo?
• Chi ha accesso a quali dati?
• Dove devono essere conservati i dati?
• Quali dati possono essere inviati solo in forma criptata?

Tenere un registro del trattamento dei dati in modo da poter risalire a quali categorie di dati sono stati trattati, quando, da chi e come.

Per saperne di più, consultare l'elenco di controllo delle attività di trattamento.

Dati che richiedono una protezione speciale
Esistono diversi tipi di dati particolarmente sensibili. Si tratta di informazioni sulla salute, sulla religione, sui procedimenti penali, sull'appartenenza ai sindacati, sull'orientamento sessuale e sui dati biometrici. Questi dati devono essere protetti in modo particolare.

Quando devono essere cancellati i dati?
I dati personali non più necessari e il cui trattamento non può essere giustificato devono essere cancellati dall'azienda. Dovete prevederlo nelle vostre procedure.

Le persone interessate (clienti, utenti del sito web) possono presentare una richiesta di informazioni o di cancellazione. Poiché le scadenze sono brevi, è consigliabile avere un modello pronto.

Per sapere quali dati dovete fornire, consultate la "Lista di controllo degli obblighi informativi ai sensi della legge sulla protezione dei dati".

Una violazione dei dati si verifica quando i dati personali vengono persi, cancellati, distrutti o alterati inavvertitamente o illegalmente, oppure divulgati o resi accessibili a persone non autorizzate.

In questo contesto esistono obblighi di segnalazione per i quali occorre essere preparati dal punto di vista organizzativo e tecnico. La violazione dei dati deve essere segnalata all'Incaricato federale della protezione dei dati e delle informazioni (IFPDT).

Per molte funzioni vengono utilizzati servizi di terze parti (invio di e-mail e newsletter, software nel cloud, videoconferenze, ecc.) La maggior parte di questi fornitori ha server al di fuori della Svizzera.

Sul sito web del Commissario federale per la protezione dei dati è disponibile un elenco di "Paesi terzi sicuri" che non presentano problemi. Per tutti gli altri, e anche per gli Stati Uniti, sono necessarie clausole contrattuali aggiuntive e specifiche.

Fate controllare la vostra infrastruttura IT. Dove sono necessarie ulteriori precauzioni in relazione alla nuova legge sulla protezione dei dati? Ma non dimenticate: la tecnologia da sola non risolve il problema, il punto debole della criminalità informatica è spesso l'essere umano. È qui che bisogna iniziare con le misure informative e organizzative (ad esempio, la gestione delle password).