La legge federale sulla protezione dei dati ha lo scopo di proteggere la personalità e i diritti fondamentali delle persone, i cui dati sono oggetto di trattamento. La legge attuale risale al 1992, quando internet non era ancora utilizzato a livello commerciale e non si poteva prevedere la realtà digitale di oggi. La nuova legge sulla protezione dei dati tiene conto delle mutate condizioni. Inoltre, la nLPD soddisfa anche l'obiettivo di armonizzare la legge sulla protezione dei dati con il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea. L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) vigila sull'applicazione delle disposizioni federali sulla protezione dei dati.
Importante distinzione tra il diritto federale e il diritto cantonale in materia di protezione dei dati
La nuova legge federale sulla protezione dei dati si applica – come la legge esistente sulla protezione dei dati – solo al trattamento dei dati da parte delle autorità federali e dei privati (comprese le aziende), ma non da parte delle autorità cantonali e comunali. Le scuole pubbliche sono delle istituzioni cantonali o comunali. Pertanto, ad esse si applica la rispettiva legge cantonale sulla protezione dei dati, ad esempio nel Canton Ticino la Legge sulla protezione dei dati (LPDP). Il Consiglio di Stato ticinese, il 17 maggio 2023 ha licenziato il messaggio relativo alla Revisione totale della legge cantonale sulla protezione dei dati personali. Nel Cantone dei Grigioni è in vigore la Legge cantonale sulla protezione dei dati (LCPD).
Misure nelle scuole pubbliche
Di per sé, le scuole pubbliche non sono quindi interessate dalla nuova legge sulla protezione dei dati. Tuttavia, è opportuno prestare sufficiente attenzione alla legge cantonale sulla protezione dei dati applicabile, affrontare le questioni aperte e implementare le soluzioni di conseguenza.
Per la scuola dell'obbligo e il livello secondario II (formazione professionale e liceo), si deve verificare, a livello comunale o cantonale, se è necessario adeguare la protezione dei dati nella scuola. Una possibile misura è, ad esempio, la nomina, da parte della scuola, di un o una consulente per la protezione dei dati.
Trattamento dei dati nelle imprese private
La nuova legge sulla protezione dei dati si applica alle scuole private, alle aziende EdTech e alle istituzioni simili. In questo ambito, ci sono dei considerevoli cambiamenti da effettuare. I più importanti sono:
- Ampliamento del campo d'applicazione: i dati genetici e biometrici sono ora considerati sensibili.
- Maggiore trasparenza: informazioni chiare su ogni raccolta di dati, l'identità e il contatto della persona responsabile del trattamento dei dati, lo scopo del trattamento, le categorie dei destinatari e il paese destinatario, in caso di esportazione di dati all'estero, nonché una chiara comunicazione dei diritti e delle opzioni delle e degli utenti.
- Registro delle attività di trattamento: le aziende sono obbligate a tenere un registro delle attività di trattamento con le informazioni prescritte. In compenso, l'obbligo di tenere un registro delle raccolte dei dati è soppresso.
- Analisi dell'impatto relativo alla protezione dei dati personali: le aziende sono obbligate ad effettuare una valutazione d'impatto (documentata) sulla protezione dei dati personali, se il trattamento dei dati comporta un rischio elevato per la personalità o i diritti fondamentali dell'interessata o dell'interessato.
- Privacy by Design et by Default: gli attuali principi di protezione e trattamento dei dati devono essere integrati, fin dall'inizio, ossia nella pianificazione e nella progettazione delle applicazioni.
- Profilazione: la nLPD regola anche la profilazione, ossia il trattamento automatizzato dei dati per valutare alcuni aspetti personali di una persona, come la situazione economica, la salute, gli interessi, il comportamento, il luogo di residenza, ecc. Contrariamente alla GDPR, la nLPD non prevede l'obbligo generale di ottenere il consenso. Questo esiste solo nel caso di profilazione ad alto rischio.
- Conseguenze più severe: l'IFPDT dispone di maggiori poteri per applicare più rapidamente le sanzioni contro le imprese inadempienti. In generale, si applicano disposizioni sanzionatorie più severe.
- Obbligo di segnalazione: segnalazione tempestiva delle violazioni della protezione dei dati all'IFPDT.
Sanzioni penali
La nuova legge sulla protezione dei dati prevede requisiti più elevati per le norme e le sanzioni penali. Inoltre, le multe sono meno severe rispetto al GDPR dell'UE.
Assistenza concernente i rischi legati alla protezione dei dati
Nell'ambito dello sviluppo di una politica d'utilizzo dei dati, stiamo valutando la necessità di un supporto nel sistema educativo per identificare e valutare i rischi legati alla protezione dei dati. L'obiettivo è di sviluppare degli strumenti che facilitino, ad esempio, la realizzazione di una valutazione d'impatto sulla protezione dei dati personali.
Inoltre, gestiamo uno sportello per le domande relative al trattamento dei dati. Supportiamo le scuole e le amministrazioni dell'educazione nel settore dell'utilizzo e della protezione dei dati. In questo ambito abbiamo già risposto a domande (francese e tedesco) sulla nuova legge sulla protezione dei dati. Inoltre, diversi Cantoni offrono del materiale informativo sulla protezione dei dati.