La vecchia Legge Federale sulla Protezione dei Dati (LPD) è ormai prossima alla pensione. Quindi, tutte le organizzazioni, siano esse aziende, liberi professionisti, negozi, studi professionali e associazioni devono adeguarsi alla nuova normativa, che entrerà in vigore nel settembre 2023. Si tratta di una revisione totale che si è resa necessaria a causa della rapida evoluzione tecnologica e sociale, poiché si pone l’obiettivo di aumentare la trasparenza del trattamento dei dati e migliorarne il controllo da parte delle persone interessate.

Come osserva Siro Migliavacca, Direttore e Partner di Security Lab Advisory Sagl: “Non c’è più tempo da perdere! Le azioni da intraprendere sono molteplici e impattano su più livelli di un’organizzazione: tecnologico, legale, di sicurezza, di governance. E quindi tutti e soprattutto le organizzazioni che trattano dati di maggiore criticità e quelle che non hanno ancora adottato le nuove misure organizzative e tecnologiche di sicurezza richieste, devono avviare l’adeguamento al più presto, per affrontare il progetto nei tempi e modi più adeguati, non rischiare di arrivare impreparati alla scadenza ed essere soggetti a sanzioni quando la legge entrerà in vigore”.

E proprio per aiutare le aziende e i professionisti preposti a seguire tali adeguamenti, ated-ICT Ticino promuove un evento per il 26 aprile 2022 dalle 14:00 alle 17:00, che si terrà presso il Campus Est USI-SUPSI, ma con possibilità di seguirlo anche online. Sarà condotto da Siro Migliavacca, Direttore e Partner di Security Lab Advisory Sagl, da Francesca Colombo, Legal Counsel & Advisor di Security Lab Advisory Sagl e da Rocco Talleri, fondatore dello Studio Talleri law e co-fondatore di Associazione Privacy Ticino. Per capire meglio quali sono le “cose da fare”, con uno sguardo pratico rivolto agli aspetti concreti che devono essere considerati in un efficace piano di adeguamento, abbiamo incontrato Siro Migliavacca e gli abbiamo chiesto qualche indicazione nel merito.

Signor Migliavacca, la nuova Legge Federale sulla Protezione dei Dati (LPD) entrerà in vigore nel settembre 2023. Quali sono le principali azioni da intraprendere per le organizzazioni coinvolte?

Tra le principali novità della nuova LPD credo sia fondamentale evidenziare la maggiore importanza che viene data alla cybersecurity. Al passo coi tempi, il legislatore ha dedicato specifici articoli della legge per orientare tutte le organizzazioni ad adottare adeguate misure tecnologiche e organizzative di sicurezza, nell’ottica di evitare il più possibile le violazioni ai dati personali.

Non è stata comunque dimenticata la privacy, il rispetto dei diritti fondamentali dell’individuo per ciò che riguarda il trattamento dei suoi dati. Tutte le organizzazioni hanno, quindi, la necessità di impegnarsi in diverse aree: gli aspetti formali e contrattuali (come la gestione di informative, consensi, privacy policy, cookie, accordi coi fornitori che trattano dati personali), le soluzioni e misure tecnologiche e organizzative per la sicurezza dei dati e dei sistemi informativi, la sensibilizzazione e formazione del personale sulla cybersecurity.

Mettendoci nei panni del titolare di un'impresa di medie dimensioni, ubicata qui in Ticino, quali sono a suo modo di vedere le "cose da fare" in ordine prioritario?

Suggerisco di solito ai titolari delle imprese di considerare queste due priorità: l’adeguamento degli aspetti formali e contrattuali e la gestione dei rischi. Il legislatore chiede all’organizzazione di valutare i rischi presenti e, di conseguenza, di adottare opportune contromisure per ridurre quelli più rilevanti. Il titolare è coinvolto in prima persona; deve dimostrare di essersi impegnato effettivamente per raggiungere l’obiettivo della sicurezza dei dati e in caso di violazione dei requisiti di legge potrebbero esserci sanzioni particolarmente onerose.

L'adeguamento va completato nei prossimi mesi, così da non incorrere, per l’appunto, in sanzioni. Quali sono gli aspetti più complessi su cui è opportuno prestare bene attenzione? Quando è opportuno richiedere supporto a un consulente esterno?

Per rispettare compiutamente i requisiti della nuova LPD è necessario affrontare in modo coordinato tematiche che richiedono diverse competenze: tecnologiche, legali, organizzative e gestionali. La complessità del percorso di adeguamento alla nuova normativa è legata, oltre che a questo, anche alla necessità di costruire un vero e proprio sistema di gestione della sicurezza dei dati, soprattutto nel caso di organizzazioni che presentano alti rischi; suggerisco di fare riferimento allo standard ISO 27001.

Le organizzazioni che non dispongono al loro interno delle competenze e risorse necessarie, trovano efficace ed efficiente farsi supportare da società di consulenza qualificate e sempre aggiornate rispetto all’evoluzione delle normative. A volte, anche le organizzazioni che hanno già avviato il progetto di adeguamento al loro interno valutano utile un supporto esterno, per verificare che quanto hanno già realizzato sia adeguato e completo.

Per capire meglio quali sono le “cose da fare”, ated-ICT Ticino in collaborazione con Security Lab promuove per il 26 aprile 2022 dalle 14:00 alle 17:00 un appuntamento, che si terrà presso il Campus Est USI-SUPSI, ma con possibilità di seguirlo anche online. Il titolo è: “Nuova LPD: sarà vigente dal 2023… voi siete pronti?” e ci si iscrive a questo link

