Piattaforma per acqua, gas e calore
La nuova Legge sulla protezione dei dati (LPD) (RS 235.1) è in vigore dal 1° settembre 2023. Per le aziende dell’acqua potabile che svolgono esclusivamente il compito pubblico di fornire acqua potabile come compito delegato dai Cantoni, continuano ad applicarsi le precedenti disposizioni cantonali sulla protezione dei dati. Per le aziende dell’acqua potabile con attività aggiuntive, in concorrenza economica (ad esempio la vendita di articoli sanitari o di servizi di laboratorio) o per le aziende che operano in reti trasversali, con l'introduzione della nuova legge sulla protezione dei dati possono sorgere nuovi obblighi e compiti.
La nuova LPD protegge solo i dati personali, cioè i dati relativi alle persone fisiche. Non si applica più la protezione per le persone giuridiche, il che facilita le transazioni business-to-business. Le persone giuridiche continuano a essere protette da altre leggi (come il Codice civile svizzero, il Codice penale svizzero, la Legge sui cartelli e la Legge federale contro la concorrenza sleale). Anche se la LPD è limitata ai dati personali, i dati aziendali non personali devono essere protetti in modo altrettanto adeguato. La protezione dei dati personali e la sicurezza generale delle informazioni devono quindi essere affrontate insieme. Le aziende dell’acqua potabile devono quindi adottare misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita o furto. Queste includono misure quali le restrizioni di accesso, la crittografia dei dati, la revisione regolare dei processi e la formazione dei dipendenti.
La sicurezza dei dati è quindi una condizione fondamentale per garantire il corretto trattamento dei dati personali all'interno dell'azienda. Le condizioni quadro relative alla sicurezza nell'ambito delle tecnologie dell'informazione e della comunicazione (TIC) sono definite per le aziende di acqua potabile nella Raccomandazione di settore W1018. È quindi consigliabile consultare e implementare lo standard minimo per la sicurezza delle TIC nell’approvvigionamento idrico (W1018) come requisito di base per garantire la sicurezza dei dati in relazione alla nuova LPD.
In vista dell'obbligo di segnalazione dei ciberattacchi che entrerà in vigore il 1° gennaio 2025 (come parte della legge sulla sicurezza delle informazioni entrata in vigore il 1° gennaio 2024), ha senso occuparsi intensamente del tema degli standard minimi delle TIC e della sicurezza delle informazioni per poter individuare tempestivamente eventuali ciberattacchi. Con l'obbligo di segnalare i ciberattacchi, il governo federale intende fare in modo che le aziende che potrebbero essere colpite possano essere avvertite dall'UFCS in una fase precoce e che si possano evitare danni alle infrastrutture o incidenti di protezione dei dati. Le necessarie disposizioni di attuazione saranno pubblicate dalla Confederazione nel corso dell'anno corrente.
Rolf Meier
044 288 33 67
Kommentare (0)