Area membri – Protezione dei dati e cybersecurity

Anche se il cliente del fiduciario acconsente, il fiduciario rimane comunque responsabile di garantire che i dati siano adeguatamente protetti con l'aiuto di misure tecniche e organizzative. Ciò riguarda principalmente i dati personali che il cliente tratta (ad esempio, i dati dei dipendenti) e che devono essere protetti di conseguenza. Non tutti i dati personali sono degni di particolare protezione. Lo sono solo quelli relativi a opinioni o attività religiose, ideologiche, politiche o sindacali, alla salute fisica, alla privacy o all'origine razziale ed etnica, ai dati genetici e biometrici, alle misure di assistenza sociale e alle azioni e sanzioni amministrative o penali.

I conteggi salariali, generalmente, non contengono dati degni di particolare protezione. Vi sono casi in cui i dati personali sensibili possono essere visibili sui conteggi, ad esempio nel caso di attività sindacali. Tuttavia, si consiglia di inviare i conteggi salariali attraverso un portale dedicato (che, ovviamente, deve essere conforme alla legge sulla protezione dei dati).

Sì, esiste un rischio per la protezione dei dati, come per l'uso di tutti i prodotti Microsoft Office, poiché non si può escludere con certezza che i dati personali vengano trasferiti negli Stati Uniti. Microsoft offre diverse opzioni tecniche per il funzionamento di Outlook. A seconda della soluzione utilizzata, il rischio di protezione dei dati è maggiore o minore. È meglio informarsi presso il proprio fornitore di servizi informatici.

A condizione che i dati del cloud provider siano adeguatamente protetti e che anche il recupero dei dati sia dotato di un meccanismo di protezione sufficiente (password, autenticazione in due fasi o simili), questa procedura soddisfa attualmente i requisiti della legge sulla protezione dei dati.

Sì, l'utilizzo di Microsoft Teams (e dell'intera suite Office 365), può comportare rischi per la protezione dei dati, soprattutto se i dati personali vengono archiviati su server in Paesi che non dispongono di un livello adeguato di protezione dei dati (ad esempio, gli Stati Uniti). I dati possono essere divulgati all'estero solo se ciò garantisce un livello di protezione adeguato o se la protezione dei dati è garantita in altro modo (ad esempio, da clausole contrattuali corrispondenti e dal consenso esplicito dell'interessato).

Sì, l'utilizzo dei conosciuti provider di cloud hosting può comportare rischi per la protezione dei dati, soprattutto se si tratta di dati personali. I provider citati sono provider statunitensi con server negli Stati Uniti. Consultare anche la risposta alla domanda sull'uso di Microsoft Teams.

Dropbox e altri prodotti e servizi simili, sono soluzioni cloud. Il loro utilizzo deve essere conforme alle normative sulla protezione dei dati e vale quanto detto per le soluzioni cloud. Al momento, i dati degli interessati non possono essere archiviati su Dropbox in modo conforme alla protezione dei dati.

In questo caso, il fiduciario è un incaricato del trattamento degli ordini e può trattare i dati solo nello stesso modo in cui il cliente può e deve farlo lui stesso. In particolare, deve garantire che i dati del cliente siano sicuri e protetti da accessi non autorizzati.

Ciò dipende dalle informazioni o dai dati contenuti nel documento. Se i dati personali sono particolarmente sensibili, non dovrebbero essere inviati in forma non criptata. In caso di dubbio, si consiglia di inviare il PDF in forma criptata.

Dal punto di vista della protezione dei dati, è necessario garantire che l'elaborazione (trasmissione) dei dati sia effettuata al destinatario corretto e in modo sicuro. Quando si utilizzano i portali ufficiali delle autorità fiscali, si può generalmente presumere che essi rispettino i requisiti di protezione dei dati.

Sì. I dati per la dichiarazione dei redditi contengono dati personali (ad esempio, nome e data di nascita). Possono anche essere dati personali che richiedono una protezione speciale, come la confessione religiosa.

Le società sono solitamente tenute a rispettare sia l'obbligo di cancellare i dati personali su richiesta del cliente, sia l'obbligo di conservarli. Se un cliente richiede la cancellazione dei propri dati personali, questi devono essere consegnati al cliente (ad esempio, i dati fiscali o i dati relativi ai salari) e cancellati. Per motivi di sicurezza, è consigliabile che la consegna dei dati e l'ordine di cancellazione siano confermati per iscritto. Il cliente è ora responsabile della conservazione dei dati in conformità alla legge. I contratti o la corrispondenza commerciale con il cliente, invece, non devono essere cancellati, anche se contengono dati personali (obbligo di conservazione).

La certificazione ISO 27001 è una buona indicazione del fatto che un fornitore di servizi informatici disponga di un sistema di gestione della sicurezza delle informazioni (ISMS) sistematico e completo, che viene regolarmente rivisto e migliorato. Tale certificazione dimostra che l'azienda rispetta determinati processi e procedure relativi alla sicurezza delle informazioni. Tuttavia, è importante notare che la certificazione non significa che un provider IT sia esente da vulnerabilità. La criminalità informatica e le minacce alla sicurezza delle informazioni sono in continua evoluzione. Anche in questo caso, è consigliabile un audit esterno, soprattutto perché controlla anche altre aree, come le regole sulle password o la gestione dei portali online e delle e-mail.

L'attuale legge sulla protezione dei dati (LPD) non prevede ancora l'obbligo di notifica all'IFPDT e alle persone interessate in caso di attacco hacker. Tuttavia, con la nuova legge sulla protezione dei dati, la situazione cambierà a partire dal 1° settembre 2023. Ad ogni modo, i clienti interessati dovranno essere informati solo se ciò è necessario per la loro protezione o se l'IFPDT lo richiede. Il 14 dicembre 2022, l'IFPDT ha annunciato di aver aperto un'indagine preliminare sull'incidente Winbiz. TREUHAND|SUISSE ha ora inviato una richiesta di informazioni all'FDPIC su quanto emerso dall'indagine preliminare. Verranno fornite informazioni sulla risposta.

I fiduciari hanno già stipulato un contratto con tutti i fornitori di servizi. La nuova legge sulla protezione dei dati non specifica quali requisiti debba soddisfare questo contratto. Tuttavia, è vostro compito verificare se il contratto esistente soddisfi i requisiti della nLPD. Questi contratti sono spesso standardizzati e vengono chiamati “accordi sul trattamento dei dati personali”.

I fiduciari hanno già un contratto con tutti i fornitori di servizi che regolano il servizio (consultare la domanda precedente "I fiduciari devono stipulare un contratto con tutti i loro fornitori di servizi....").

Sì, deve informare il cliente se memorizza i suoi dati su un server all'estero. Nell'informativa sulla privacy deve indicare in quale paese si trova il server. Se la protezione dei dati nel paese di destinazione non soddisfa gli standard svizzeri, è necessario adottare ulteriori misure di protezione per garantire la sicurezza dei dati.

Questo non può essere detto in termini generali. La nLPD non conosce il termine "dati sensibili". Le società fiduciarie trattano dati personali e sono, quindi, interessate dalla nLPD. Se trattano dati personali che richiedono una protezione speciale (come i dati sanitari), ad esempio nel contesto dell'amministrazione del personale per il loro cliente, è necessario tenere conto delle norme corrispondenti.

In linea di principio, il cliente deve essere adeguatamente informato al momento dell'acquisizione dei dati, non solo al momento della fatturazione dei servizi. Si può fare riferimento alla dichiarazione sulla protezione dei dati ovunque, anche al momento della fatturazione. Tuttavia, è più importante che sia indicata già all'inizio del mandato, per esempio nel relativo contratto.

Da es sich bei diesen Personendaten um besonders schützenswerte Daten handelt, sollten sie nicht unverschlüsselt per E-Mail verschickt werden. Eine Alternative zu E-Mail kann auch der Down-/Upload auf einem geschützten Portal sein.

Falls es sich um die Personendaten des Kunden handelt (nicht um diejenigen seiner Mitarbeitenden) kann eine Einverständniserklärung für den unverschlüsselten E-Mailversand eingeholt werden.
 

Falls es sich um Dokumente handelt, die zur Belegung der Steuererklärung benötigen, können diese archiviert werden. Das elektronische Archiv muss aber entsprechend geschützt werden (Zugriffsrechte, Passwortschutz etc.) 

Der Vermerk der Kirchensteuerpflicht ist ein Hinweis auf die entsprechende Religionszugehörigkeit (christlich); das Fehlen der Konfession (reformiert/katholisch) tut da nichts zur Sache. Solche Quellensteuerabrechnungen sollten daher nur verschlüsselt per E-Mail verschickt oder über ein gesichertes Portal zum Download bereitgestellt werden.

Personalstammblätter können besonders schützenswerte Personendaten enthalten, wie beispielsweise die Religion und/oder Konfession. Sie sollten diese Dokumente entsprechend schützen (nur eingeschränkter Zugang des Ablageorts/-Ordners) und nicht unverschlüsselt per E-Mail verschicken. Wir empfehlen, auch Kunden darauf hinzuweisen, dass diese Daten besonders geschützt werden müssen.