Protezione dei dati
Un anno di legge sulla protezione dei dati e il suo impatto sul settore auto svizzero
9 agosto 2024 agvs-upsa.ch - La nuova legge sulla protezione dei dati è stata introdotta circa dodici mesi fa. Si è resa necessaria perché la legge precedente risaliva al 1992 e non era più in grado di tenere il passo con gli ultimi cambiamenti. Tuttavia, i nuovi paragrafi hanno portato con sé cambiamenti di vasta portata, anche per i membri dell'UPSA. Mirco Baumann
Foto: iStock
Molte cose sono cambiate nel settore auto svizzero dopo l'introduzione della nuova legge sulla protezione dei dati (LPD) nel settembre 2023. La protezione dei dati personali è diventata più importante e gli importatori, le officine e i fornitori devono adeguarsi alle nuove norme. La nuova multa, molto più elevata, fino a 250.000 franchi svizzeri, ha avuto un impatto: la legge sulla protezione dei dati, in vigore da decenni, viene ora presa sul serio. In questo articolo vengono illustrati gli sviluppi e i cambiamenti più importanti del primo anno di applicazione della DPA.
I clienti critici vogliono informazioni e chiedono la cancellazione dei dati
Uno dei cambiamenti più evidenti dall'introduzione della DPA è l'aumento delle richieste di informazioni da parte dei clienti ai proprietari di garage in merito ai loro diritti di protezione dei dati. Molti clienti chiedono informazioni sui dati memorizzati o chiedono la cancellazione dei loro dati. Questo sviluppo dimostra che la consapevolezza della protezione dei dati è aumentata e che i clienti esercitano sempre più i loro diritti. Rispetto al periodo precedente al settembre 2023, queste richieste sono diventate molto più frequenti. Tuttavia, nella maggior parte dei casi, i clienti non hanno ancora il diritto alla cancellazione, come dimostra l'esempio seguente.
I clienti possono richiedere la cancellazione dei dati che li riguardano. Tuttavia, come officina, siete obbligati a soddisfare la richiesta del cliente solo se nessun periodo di conservazione legale vieta la cancellazione, se non ci sono interessi prevalenti o se la richiesta di cancellazione è manifestamente infondata.
Implementazione del DSG e sicurezza dei dati
L'attuazione della LPD è accompagnata anche dall'obbligo di aumentare la sicurezza dei dati. Dall'introduzione della nuova LPD, la violazione o l'omissione intenzionale di adeguate misure di sicurezza dei dati è anche un reato penale. Oltre alla protezione dei dati, un'adeguata sicurezza dei dati serve anche all'azienda, in particolare proteggendo i dati dei clienti come segreto aziendale da attacchi informatici. Inoltre, è molto importante che le PMI si assicurino che i backup funzionino correttamente e che li verifichino regolarmente mediante test di ripristino.
Il webinar Impunix Live su "Sicurezza informatica - 10 misure immediate per le officine" si è svolto all'inizio di luglio 2024 in collaborazione con l'UPSA. In questo webinar, Felix Wyss, presidente di carrosserie suisse e amministratore delegato e presidente del consiglio di amministrazione di Aarauer Carrosserie Werke, ha raccontato in modo impressionante le sue esperienze con un attacco hacker in cui i dati sono stati criptati ed è stato chiesto un riscatto. Ha sottolineato in particolare quanto sia importante prendersi cura della propria sicurezza informatica. Micha Strässler e Leo Krähenbühl hanno inoltre presentato dieci misure immediate per aumentare la sicurezza informatica (vedi box per il link al webinar).
AI - Attenzione a ciò che si scrive nel prompt
L'influenza dell'intelligenza artificiale (AI) si è fatta strada anche nei garage. L'IA cambierà tutte le nostre vite. In particolare, i sistemi di intelligenza artificiale come ChatGPT hanno un enorme potenziale per aumentare l'efficienza. Per il nostro Paese, con un'alta percentuale di creazione di valore basata sulla conoscenza, la società di consulenza PwC prevede che l'IA possa aumentare il prodotto interno lordo (PIL) dello 0,5-0,8% o di 50 miliardi di franchi all'anno. La Svizzera è quindi uno dei Paesi al mondo che può trarre i maggiori benefici da un maggiore utilizzo dell'intelligenza artificiale.
Cosa bisogna considerare in materia di protezione dei dati e dei segreti commerciali? I prompt sono i comandi che vengono inseriti quando si utilizza un sistema di intelligenza artificiale, paragonabili alla maschera di ricerca di Google. Prestate attenzione a ciò che inserite, perché il testo dei prompt viene condiviso nella maggior parte delle versioni gratuite o a pagamento e utilizzato per addestrare l'IA. L'inserimento di dati personali costituisce un trattamento di dati personali (art. 5 lett. d LADP). Se i dati dei clienti o dei dipendenti vengono inseriti in ChatGPT, le aziende sono quindi obbligate a rispettare le disposizioni della FADP. Ciò significa che l'AI deve essere qualificata come incaricato del trattamento; la mancata osservanza di ciò è punibile per legge.
Requisiti degli importatori per le officine - spesso unilaterali e per lo più EU GDPR
Con l'introduzione del DPA, i requisiti degli importatori per le officine sono aumentati. Tuttavia, gli importatori spesso trasmettono le normative UE sulla protezione dei dati (GDPR) uno a uno, cosa che non sarebbe del tutto necessaria per la Svizzera. Anche mesi dopo l'introduzione del GDPR in Svizzera, molti importatori continuano a imporre ai concessionari svizzeri le norme UE. Questa pratica comporta ulteriore lavoro e incertezza per i proprietari di autofficine, che devono conformarsi alle specifiche normative svizzere. L'armonizzazione dei requisiti di protezione dei dati a livello nazionale e la prevenzione di inutili oneri burocratici sono quindi questioni importanti che devono continuare a essere affrontate, preferibilmente con le associazioni dei concessionari.
Conclusioni e prospettive
Il primo anno di applicazione della nuova legge sulla protezione dei dati ha portato a numerosi cambiamenti nel settore auto svizzero. La maggiore sensibilità ai temi della protezione dei dati, il riconoscimento della LPD da parte dell'UE e la maggiore collaborazione con i fornitori di servizi di protezione e sicurezza dei dati sono chiari segni che il settore è sulla strada giusta. I proprietari di autofficine devono continuare a essere vigili e ad affrontare le sfide della protezione dei dati per mantenere la fiducia dei loro clienti ed evitare multe.
I prossimi anni mostreranno come la DPA continuerà a influenzare il settore auto e quali ulteriori misure saranno necessarie per migliorare la protezione dei dati. Per quanto riguarda i produttori e gli importatori, è prevedibile che in futuro la protezione dei dati presso le concessionarie sarà maggiormente richiesta a causa della loro struttura aziendale globale. La formazione continua dei dipendenti, l'adattamento dei processi interni e la stretta collaborazione con gli esperti di protezione dei dati sono fattori importanti per una gestione efficace dei dati nel settore.
Foto: iStock
Molte cose sono cambiate nel settore auto svizzero dopo l'introduzione della nuova legge sulla protezione dei dati (LPD) nel settembre 2023. La protezione dei dati personali è diventata più importante e gli importatori, le officine e i fornitori devono adeguarsi alle nuove norme. La nuova multa, molto più elevata, fino a 250.000 franchi svizzeri, ha avuto un impatto: la legge sulla protezione dei dati, in vigore da decenni, viene ora presa sul serio. In questo articolo vengono illustrati gli sviluppi e i cambiamenti più importanti del primo anno di applicazione della DPA.
I clienti critici vogliono informazioni e chiedono la cancellazione dei dati
Uno dei cambiamenti più evidenti dall'introduzione della DPA è l'aumento delle richieste di informazioni da parte dei clienti ai proprietari di garage in merito ai loro diritti di protezione dei dati. Molti clienti chiedono informazioni sui dati memorizzati o chiedono la cancellazione dei loro dati. Questo sviluppo dimostra che la consapevolezza della protezione dei dati è aumentata e che i clienti esercitano sempre più i loro diritti. Rispetto al periodo precedente al settembre 2023, queste richieste sono diventate molto più frequenti. Tuttavia, nella maggior parte dei casi, i clienti non hanno ancora il diritto alla cancellazione, come dimostra l'esempio seguente.
I clienti possono richiedere la cancellazione dei dati che li riguardano. Tuttavia, come officina, siete obbligati a soddisfare la richiesta del cliente solo se nessun periodo di conservazione legale vieta la cancellazione, se non ci sono interessi prevalenti o se la richiesta di cancellazione è manifestamente infondata.
Esempio: il cliente richiede la cancellazione di tutti i suoi dati perché insoddisfatto delle prestazioni dell'officina. Potete cancellare le fatture solo dopo 11 anni (10 anni dopo la stipula del contratto), in quanto l'obbligo di tenuta dei libri e della contabilità (OR Art. 957) lo impedisce. Tuttavia, è possibile 1. impostare il cliente come inattivo nel CRM, 2. disattivare la pubblicità come le newsletter e 3. cancellare tutte le informazioni di marketing memorizzate sugli interessi.
Implementazione del DSG e sicurezza dei dati
L'attuazione della LPD è accompagnata anche dall'obbligo di aumentare la sicurezza dei dati. Dall'introduzione della nuova LPD, la violazione o l'omissione intenzionale di adeguate misure di sicurezza dei dati è anche un reato penale. Oltre alla protezione dei dati, un'adeguata sicurezza dei dati serve anche all'azienda, in particolare proteggendo i dati dei clienti come segreto aziendale da attacchi informatici. Inoltre, è molto importante che le PMI si assicurino che i backup funzionino correttamente e che li verifichino regolarmente mediante test di ripristino.
Il webinar Impunix Live su "Sicurezza informatica - 10 misure immediate per le officine" si è svolto all'inizio di luglio 2024 in collaborazione con l'UPSA. In questo webinar, Felix Wyss, presidente di carrosserie suisse e amministratore delegato e presidente del consiglio di amministrazione di Aarauer Carrosserie Werke, ha raccontato in modo impressionante le sue esperienze con un attacco hacker in cui i dati sono stati criptati ed è stato chiesto un riscatto. Ha sottolineato in particolare quanto sia importante prendersi cura della propria sicurezza informatica. Micha Strässler e Leo Krähenbühl hanno inoltre presentato dieci misure immediate per aumentare la sicurezza informatica (vedi box per il link al webinar).
Verificate i 5 argomenti principali per la protezione dei dati: 1. assegnare correttamente l'accesso e l'autenticazione, 2. creare e rispettare linee guida e protocolli di sicurezza, 3. proteggere la sicurezza della rete con firewall e reti private virtuali (VPN), 4. eseguire aggiornamenti regolari del software, 5. definire strategie di disaster recovery e backup. (Un elenco dettagliato è disponibile sul sito web, vedi riquadro).
AI - Attenzione a ciò che si scrive nel prompt
L'influenza dell'intelligenza artificiale (AI) si è fatta strada anche nei garage. L'IA cambierà tutte le nostre vite. In particolare, i sistemi di intelligenza artificiale come ChatGPT hanno un enorme potenziale per aumentare l'efficienza. Per il nostro Paese, con un'alta percentuale di creazione di valore basata sulla conoscenza, la società di consulenza PwC prevede che l'IA possa aumentare il prodotto interno lordo (PIL) dello 0,5-0,8% o di 50 miliardi di franchi all'anno. La Svizzera è quindi uno dei Paesi al mondo che può trarre i maggiori benefici da un maggiore utilizzo dell'intelligenza artificiale.
Cosa bisogna considerare in materia di protezione dei dati e dei segreti commerciali? I prompt sono i comandi che vengono inseriti quando si utilizza un sistema di intelligenza artificiale, paragonabili alla maschera di ricerca di Google. Prestate attenzione a ciò che inserite, perché il testo dei prompt viene condiviso nella maggior parte delle versioni gratuite o a pagamento e utilizzato per addestrare l'IA. L'inserimento di dati personali costituisce un trattamento di dati personali (art. 5 lett. d LADP). Se i dati dei clienti o dei dipendenti vengono inseriti in ChatGPT, le aziende sono quindi obbligate a rispettare le disposizioni della FADP. Ciò significa che l'AI deve essere qualificata come incaricato del trattamento; la mancata osservanza di ciò è punibile per legge.
Cosa fare: Istruire i dipendenti a non inserire dati personali e segreti aziendali nel prompt, passare eventualmente alla versione Team o Enterprise, che garantisce la protezione dei dati, con la possibilità di stipulare un accordo di elaborazione degli ordini.
Requisiti degli importatori per le officine - spesso unilaterali e per lo più EU GDPR
Con l'introduzione del DPA, i requisiti degli importatori per le officine sono aumentati. Tuttavia, gli importatori spesso trasmettono le normative UE sulla protezione dei dati (GDPR) uno a uno, cosa che non sarebbe del tutto necessaria per la Svizzera. Anche mesi dopo l'introduzione del GDPR in Svizzera, molti importatori continuano a imporre ai concessionari svizzeri le norme UE. Questa pratica comporta ulteriore lavoro e incertezza per i proprietari di autofficine, che devono conformarsi alle specifiche normative svizzere. L'armonizzazione dei requisiti di protezione dei dati a livello nazionale e la prevenzione di inutili oneri burocratici sono quindi questioni importanti che devono continuare a essere affrontate, preferibilmente con le associazioni dei concessionari.
Conclusioni e prospettive
Il primo anno di applicazione della nuova legge sulla protezione dei dati ha portato a numerosi cambiamenti nel settore auto svizzero. La maggiore sensibilità ai temi della protezione dei dati, il riconoscimento della LPD da parte dell'UE e la maggiore collaborazione con i fornitori di servizi di protezione e sicurezza dei dati sono chiari segni che il settore è sulla strada giusta. I proprietari di autofficine devono continuare a essere vigili e ad affrontare le sfide della protezione dei dati per mantenere la fiducia dei loro clienti ed evitare multe.
I prossimi anni mostreranno come la DPA continuerà a influenzare il settore auto e quali ulteriori misure saranno necessarie per migliorare la protezione dei dati. Per quanto riguarda i produttori e gli importatori, è prevedibile che in futuro la protezione dei dati presso le concessionarie sarà maggiormente richiesta a causa della loro struttura aziendale globale. La formazione continua dei dipendenti, l'adattamento dei processi interni e la stretta collaborazione con gli esperti di protezione dei dati sono fattori importanti per una gestione efficace dei dati nel settore.
Materiale informativo sulla legge sulla protezione dei dati
Modelli ed esempi per l'implementazione e l'adattamento indipendente all'interno della propria organizzazione
10 passi per la revisione della legge sulla protezione dei dati
10 Misure immediate per la protezione dei dati
Impunix-Live, webinar mensili con il partner UPSA su argomenti relativi alla protezione dei dati, sono disponibili qui (incluso l'archivio).
Podcast (n. 6) sulla protezione dei dati nel settore auto svizzero
Documentazione sulla protezione dei dati da AUTOINSIDE giugno 2023
Lista di controllo sulla protezione dei dati per l'utilizzo dell'intelligenza artificiale (IA) in azienda
Per saperne di più sul servizio completo di protezione dei dati e sulle consulenze gratuite di Impunix, cliccate qui.
Modelli ed esempi per l'implementazione e l'adattamento indipendente all'interno della propria organizzazione
10 passi per la revisione della legge sulla protezione dei dati
10 Misure immediate per la protezione dei dati
Impunix-Live, webinar mensili con il partner UPSA su argomenti relativi alla protezione dei dati, sono disponibili qui (incluso l'archivio).
Podcast (n. 6) sulla protezione dei dati nel settore auto svizzero
Documentazione sulla protezione dei dati da AUTOINSIDE giugno 2023
Lista di controllo sulla protezione dei dati per l'utilizzo dell'intelligenza artificiale (IA) in azienda
Per saperne di più sul servizio completo di protezione dei dati e sulle consulenze gratuite di Impunix, cliccate qui.
Aggiungi commento
Commenti