In quali casi il GDPR si applica in Svizzera (e in Ticino) PolyPlus Lab Lugano

In quali casi il GDPR si applica in Svizzera (e in Ticino)

Sembra ieri. Era il 25 maggio 2018 quando, sulla scia degli scandali culminati col caso Cambridge Analytica, l’Unione Europea dava piena applicazione al General Data Protection Regulation (GDPR).

L’intento era quello di disciplinare il trattamento dei dati personali dei cittadini UE da parte di aziende private, amministrazioni pubbliche e altre organizzazioni. Il contenuto del GDPR è qui per restare e in Europa è già in discussione la proposta di affiancarlo, integrarlo e potenziarlo con uno specifico regolamento sull’ePrivacy.

Oltre che ai soggetti residenti nei 28 paesi dell’Unione Europea, ci sono casi in cui il regolamento GDPR si applica alle aziende al di fuori dell’UE (per esempio in Svizzera). E si tratta di casi molto comuni, soprattutto per le aziende del Canton Ticino che hanno relazioni strette con i paesi confinanti come l’Italia.

Cosa prevede legge federale sulla protezione dei dati (LPD)

La norma di riferimento per le aziende svizzere in materia di privacy è la Legge federale sulla protezione dei dati che tocca già molti degli aspetti trattati nel regolamento europeo.

In casi normali, la fedele applicazione della legge federale è una misura più che sufficiente per garantire la legittimità del trattamento dei dati all’interno delle aziende svizzere. I principi base sono sempre la trasparenza del modo e dello scopo del trattamento dei dati e l’adeguatezza delle soluzioni tecniche volte a proteggere i dati raccolti.

Il GDPR però entra maggiormente nello specifico e stabilisce vincoli più precisi riguardo la privacy online (delle persone fisiche) e stabilisce (pur non sempre in modo chiaro e netto) limiti, procedure e responsabilità.

Vediamo allora in quali casi un’azienda svizzera deve tenere presente il GDPR nel progettare un sito web, un modulo di contatti, una campagna di marketing online o comunque nel trattare i dati dei propri clienti.

Quando un’azienda svizzera è interessata dal GDPR: 3 casi

Ci sono 3 casi particolari (ma molto comuni) in cui un’azienda in Svizzera deve adeguarsi al regolamento europeo:

1. L’azienda ha una succursale nell’Unione Europea

Questo è il caso più scontato. Un’azienda sul territorio dell’Unione Europea che tratta dati personali per conto di un’impresa svizzera è soggetta al GDPR indipendentemente dal fatto che tratti dati di interessati che si trovano in Svizzera o nell’UE. Questo include quindi tutti i casi di filiali o succursali europee di aziende svizzere.

Può sembrare banale ma non si può trascurare il numero di aziende del Canton Ticino che hanno una sede distaccata per esempio in Italia!

2. L’azienda vende beni o servizi nell’Unione Europea

Pensiamo al commercio online. È naturale, se non comune, per un’azienda svizzera avere clienti aldilà della frontiera. Soprattutto nel caso in cui la vendita può avvenire su internet.

Nel caso in cui la vostra azienda sia attiva nel grande mercato dell’Unione Europea e quindi i vostri clienti acquistano online merci e servizi dagli stati UE, siete soggetti al GDPR.

Occorrerà quindi prendere le corrette misure di informazione, raccolta e gestione del consenso, attribuzione delle responsabilità e conservazione dei dati dei clienti che si registrano o accedono al vostro e-commerce.

3. L’azienda fa marketing online per i clienti nell’UE

Questo riguarda tutte le attività di marketing e di web tracking per seguire, profilare e targetizzare clienti all’interno dell’Unione Europea.

Se hai dato uno sguardo alla pagina dedicata al Web Marketing Serio, sai già quanto è importante selezionare e profilare il segmento di clientela su cui concentrare l’investimento marketing. Questo avviene gradualmente attraverso la raccolta di dati sul comportamento, gli interessi, il profilo personale e demografico dei visitatori del tuo sito e dei destinatari dei tuoi post. Tutti questi dati sono considerati personali e nel caso di campagne e strategie che includono soggetti dell’UE, vanno trattati conformemente al GDPR.

Cosa succede se non si rispetta il GDPR

Il regolamento attribuisce alle autorità di controllo il potere di infliggere sanzioni amministrative pecuniarie. Ogni autorità di
controllo provvede affinché le sanzioni inflitte per le violazioni del GDPR siano effettive, proporzionate e dissuasive.

Il regolamento infatti mette a disposizione una serie di mezzi dissuasivi come l’ingiunzione. Dunque la sanzione pecuniaria è solo una delle possibili misure a cui si va incontro. Ma non bisogna dimenticare l’eventuale risarcimento di danni subiti in seguito a un’azione legale.

Nonostante siano sorti dubbi sulle possibilità di controllo da parte delle autorità, nel caso in cui si rientra nei 3 casi sopra, vale la pena di “stare dalla parte della ragione” e adeguarsi al regolamento prima che sorgano problemi.

Per questo motivo noi di PolyPlus Lab offriamo sempre un pacchetto completo di conformità al GDPR.
Lo stesso pacchetto che è sempre incluso con un Sito Web Strategico.

PolyBlog Polyplus Lab Lugano