Protezione dei dati, tecnologia di sicurezza e pianificazione degli edifici
Che impatto ha la revisione della legge svizzera sulla protezione dei dati (revDSG) sulla tecnologia di sicurezza digitale e sulla pianificazione degli edifici? Questo articolo illustra gli aspetti da tenere in considerazione in termini di legge sulla protezione dei dati dal lato del fornitore e del cliente.
Quando il revDSG entrerà in vigore nel 2022, anche le aziende che non erano precedentemente soggette al GDPR dovranno tenere conto di requisiti di protezione dei dati più elevati. Anche le aziende che sono già conformi al GDPR devono implementare i requisiti diversi del GDPR rivisto. Ciò significa che sono interessate tutte le aziende svizzere con punti di contatto con la tecnologia di sicurezza digitale e la pianificazione edilizia, sia dal lato del fornitore che del cliente.
Estensione dei dati personali particolarmente sensibili: L'elenco dei dati personali che richiedono una protezione speciale sarà ampliato per includere i dati genetici e i dati biometrici come le impronte digitali, le scansioni della retina o i modelli di vena. Pertanto, le conseguenze legali qualificate si applicheranno anche qui in futuro, sia nel caso del consenso, della valutazione dell'impatto sulla protezione dei dati o della divulgazione dei dati a terzi. In particolare, i dati biometrici, molto importanti per le soluzioni di sicurezza, in futuro apparterranno sempre per definizione ai dati personali che richiedono una protezione speciale e non, come in passato, al massimo indirettamente (indicazioni sull'origine etnica o sullo stato di salute).
Profilazione e profilazione ad alto rischio: Per profilazione si intende qualsiasi tipo di trattamento automatizzato di dati personali al fine di valutare determinati aspetti personali di una persona fisica. Si parla di profilazione ad alto rischio quando i dati personali sono trattati in modo automatizzato e una combinazione di dati consente di valutare aspetti essenziali della personalità. In caso di profilazione ad alto rischio, il consenso richiesto deve essere esplicito. Dal punto di vista della sicurezza, qualsiasi monitoraggio automatizzato delle persone, sia esso effettuato tramite telecamere, sistemi di controllo degli ingressi o altro, deve essere considerato come minimo una profilazione e, a seconda del progetto, anche una profilazione ad alto rischio.
Elaboratore di ordini: Un rapporto di trattamento contrattuale - ad esempio nel contesto dell'outsourcing come l'archiviazione dei dati nel cloud o il monitoraggio degli edifici - può essere stabilito, tra l'altro, per contratto. L'incaricato del trattamento deve trattare i dati nello stesso modo del responsabile del trattamento. Il titolare del trattamento deve assicurarsi che il subappaltatore sia in grado di garantire la sicurezza dei dati. Il trasferimento a un subappaltatore richiede l'approvazione preventiva del titolare del trattamento. Con i servizi corrispondenti, il fornitore di sicurezza diventa l'incaricato del trattamento degli ordini del cliente ed è tenuto ad attuare le misure legali, tecniche e organizzative corrispondenti.
Protezione dei dati grazie alla tecnologia e alle impostazioni predefinite per la protezione dei dati: Il responsabile del trattamento deve progettare il trattamento dei dati fin dalla fase di pianificazione in modo da rispettare le norme sulla protezione dei dati e in particolare i principi del trattamento (privacy by design). Inoltre, le impostazioni predefinite devono essere effettuate in modo tale che il trattamento dei dati personali sia limitato al minimo necessario per lo scopo dell'utilizzo, a meno che l'interessato non specifichi diversamente (Privacy by Default). Pertanto, la tecnologia di sicurezza e la pianificazione degli edifici devono tenere conto dei requisiti della Privacy by Design e by Default, dalla fase di progettazione all'uso quotidiano.
Requisiti di protezione dei dati sull'applicazione dei sistemi di sicurezza digitale?
In sintesi, è chiaro che tutte le importanti innovazioni del revDSG hanno un impatto sulla moderna tecnologia di sicurezza. L'implementazione di tali soluzioni ha implicazioni dirette sulla protezione dei dati per i fornitori e i clienti, motivo per cui è necessario determinare la necessità di intervenire. Per la progettazione, la realizzazione e l'utilizzo di sistemi di sicurezza multifunzionali e collegati in rete, i fornitori devono quindi già occuparsi in modo approfondito dei nuovi requisiti in materia di protezione dei dati, per poter consigliare adeguatamente i clienti e trovare le migliori soluzioni di implementazione possibili. Questo vale anche nel caso in cui le misure del GDPR siano già state implementate, poiché alcune differenze devono essere prese in considerazione e mappate nel revDSG. Sulla base della necessità di intervento individuata, è possibile determinare le misure di attuazione necessarie, stabilire le priorità e attuarle su base specifica del progetto.
È possibile leggere la relazione tecnica completa nell'edizione stampata di SicherheitsForum 1-2021.
Volete leggere gli articoli di questo numero? Allora chiudete subito qui un abbonamento.
