nLPD
La legge svizzera sulla protezione dei dati riveduta (nLPD) è in vigore dal 1° settembre 2023. Allinea ampiamente il diritto svizzero al GDPR e riguarda ogni gestore di campeggio che tratta dati personali — cioè praticamente tutti. CampOne è progettato per essere conforme alla nLPD dalle fondamenta; questa pagina descrive come adempiere agli obblighi nel quotidiano.
Trattamento per conto
Sezione intitolata “Trattamento per conto”CampOne tratta i Suoi dati come responsabile del trattamento per conto. Il contratto di trattamento dati (CTD) è parte del contratto CampOne e disciplina:
- finalità e perimetro del trattamento
- hosting in Svizzera (Swiss Hosted)
- sub-fornitori (elenco in Impostazioni → Conformità → CTD)
- misure tecniche e organizzative (MTO)
- restituzione e cancellazione dei dati a fine contratto
Una versione aggiornata del CTD è consultabile in qualsiasi momento nelle impostazioni CampOne. Le modifiche sostanziali sono comunicate con 60 giorni di anticipo.
Diritti dell’interessato
Sezione intitolata “Diritti dell’interessato”Verso di Lei — in qualità di titolare del trattamento — gli ospiti hanno i seguenti diritti:
| Diritto | Cosa deve fare |
|---|---|
| Accesso | Panoramica dei dati conservati entro 30 giorni |
| Rettifica | Correggere o completare dati errati |
| Cancellazione | Cancellare se non vi è obbligo di conservazione |
| Portabilità | Esportare in formato leggibile da macchina |
| Opposizione | Cessare determinati trattamenti (es. marketing) |
In Conformità → Richieste degli interessati crea una richiesta per ospite. Il sistema raccoglie automaticamente tutti i dati pertinenti da prenotazioni, fatture, audit trail e attività portale, e produce un report completo.
Durate di conservazione
Sezione intitolata “Durate di conservazione”I dati personali non vengono conservati più del necessario:
| Tipo di dato | Durata | Base |
|---|---|---|
| Dati di prenotazione | 10 anni | CO (libri commerciali) |
| Fatture | 10 anni | LIVA |
| Scansioni documenti | 12 mesi | proporzionalità |
| Consenso marketing | fino alla revoca | nLPD |
| Login portale | 24 mesi inattivo | sicurezza |
| Dati di polizia | 5 anni | cantonale |
La cancellazione è automatica. Lo stato per tipo è visibile nella vista Conformità.
Registro delle attività di trattamento
Sezione intitolata “Registro delle attività di trattamento”La nLPD richiede al titolare un registro delle attività di trattamento (art. 12 nLPD). CampOne fornisce un modello pre-compilato per le funzioni standard:
- finalità del trattamento
- categorie di dati
- destinatari (TWINT, banca, HESTA, …)
- durate di conservazione
- misure di sicurezza
Il modello è disponibile come PDF in Conformità → Registro attività. Le aggiunte proprie (es. sistema marketing aggiuntivo) si aggiungono direttamente nel modello.
Misure tecniche e organizzative
Sezione intitolata “Misure tecniche e organizzative”CampOne implementa tra l’altro:
- Cifratura in transito (TLS 1.3) e at rest (AES-256)
- Controllo accessi con ruoli, 2FA per amministratori, log di login
- Isolamento dei tenant tramite multi-tenancy stretta
- Backup quotidiani, geo-ridondanti in Svizzera, conservazione 30 giorni
- Penetration test almeno annuali da specialista esterno
- Risposta agli incidenti con escalation definita e notifica entro 72 ore
Il dettaglio è nel CTD.
Violazione di dati
Sezione intitolata “Violazione di dati”In caso di violazione presso di Lei o presso CampOne (es. perdita di una tablet di reception senza blocco):
- CampOne La avvisa entro 24 ore di qualsiasi incidente che riguarda il Suo tenant.
- Lei notifica l’incidente — se rilevante — entro 72 ore all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
- In caso di rischio elevato per gli interessati, deve informarli anche.
Un modello di notifica IFPDT vive in Conformità → Notifica incidente.
Informativa privacy
Sezione intitolata “Informativa privacy”È tenuta a informare gli ospiti sul trattamento dei loro dati — tipicamente tramite un’informativa privacy sul Suo sito. CampOne fornisce un blocco-modello che può integrare nella Sua informativa — descrive i flussi verso CampOne e i suoi sub-fornitori.
Consigli
Sezione intitolata “Consigli”- Aggiornare l’informativa. Quando attiva il portale ospiti o il channel manager, estenda l’informativa — i nuovi flussi sono soggetti a notifica.
- Prendere sul serio le richieste. Una richiesta di accesso va evasa entro 30 giorni — anche in alta stagione.
- Rivedere il registro annualmente. Blocchi un orario a fine stagione per rileggere e completare il modello.