Ordinanza della FINMA relativa al trattamento dei dati personali nell’ambito della vigilanza (Ordinanza FINMA sui dati)

La presente ordinanza disciplina i dettagli del trattamento dei dati personali da parte della FINMA nell’ambito della vigilanza ai sensi della LFINMA e delle leggi sui mercati finanziari secondo l’articolo 1 capoverso 1 LFINMA.

La sezione Tecnologie dell’informazione e della comunicazione garantisce la gestione tecnica dei sistemi d’informazione in cui vengono trattati dati personali.

La direzione della FINMA disciplina in un regolamento per il trattamento dei dati:

1. i provvedimenti tecnici e organizzativi per la garanzia della sicurezza dei dati;
2. il controllo del trattamento dei dati;
3. i diritti di accesso delle singole categorie di collaboratori della FINMA.

Le persone interessate possono far valere i loro diritti secondo la legge federale del 25 settembre 2020 ² sulla protezione dei dati presso la sezione Diritto e compliance.

Ogni unità organizzativa della FINMA è competente per i propri dati.

I collaboratori della FINMA hanno accesso ai dati della corrispondente funzione di vigilanza.

I collaboratori della FINMA con mansioni trasversali hanno inoltre accesso ad altri dati, per quanto sia necessario all’adempimento dei loro compiti.

I diritti d’accesso possono essere limitati a singoli collaboratori della FINMA o concessi a ulteriori singoli collaboratori della FINMA, per quanto sia necessario nel caso specifico.

La FINMA tratta i seguenti dati personali:

1. i dati relativi all’identità: cognome, nome, data di nascita, sesso, luogo d’origine, nazionalità, lingua materna, indirizzo, indirizzo e-mail, numero di telefono, numero AVS;
2. i dati relativi alla formazione, all’attività professionale e ai rapporti di lavoro: formazione e formazione continua, qualifiche e attività professionali, situazione e sviluppo professionale, comportamento commerciale, luogo di lavoro, datore di lavoro compreso il suo numero d’identificazione delle imprese (IDI), costituzione, esecuzione e cessazione dei rapporti di lavoro;
3. i dati relativi alla situazione finanziaria, alla situazione patrimoniale e alle assicurazioni;
4. gli estratti del registro di commercio, del registro esecuzioni e fallimenti e del casellario giudiziale;
5. i dati provenienti dagli organi di sorveglianza del commercio;
6. i rapporti, le valutazioni e altri documenti di società di audit e di incaricati della FINMA;
7. i rapporti e le decisioni di organismi di vigilanza, di organismi di autodisciplina e di organizzazioni professionali;
8. gli atti di autorità penali e di altre autorità;
9. le sentenze, le decisioni e altri documenti ufficiali;
10. i dati relativi a provvedimenti di diritto del lavoro, provvedimenti amministrativi e provvedimenti di diritto penale;
11. i rapporti concernenti verifiche e inchieste interne di assoggettati;
12. i dati necessari alla selezione degli incaricati della FINMA e all’adempimento dei compiti da parte degli incaricati;
13. i dati di cui la FINMA giunge in possesso in virtù dell’obbligo legale d’informazione e di notifica;
14. i dati portati all’attenzione della FINMA da terzi; e
15. altri dati di cui la FINMA giunge a conoscenza nel quadro dell’adempimento del suo mandato legale.

Il trattamento di cui al capoverso 1 può comprendere anche i seguenti dati personali degni di particolare protezione:

1. i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali;
2. i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia;
3. i dati concernenti perseguimenti e sanzioni amministrativi e penali;
4. i dati concernenti le misure d’assistenza sociale.

La FINMA può raccogliere dati personali presso:

1. gli assoggettati;
2. i datori di lavoro;
3. la persona interessata;
4. i richiedenti;
5. le autorità svizzere ed estere;
6. le parti di un procedimento;
7. le società di audit e le persone incaricate della FINMA;
8. altre persone soggette all’obbligo d’informazione e di notifica.

Essa può raccogliere anche dati personali a partire da altre fonti pubblicamente non accessibili e da fonti pubblicamente accessibili.

Per quanto sia necessario al raggiungimento dello scopo del trattamento dei dati, la FINMA può raccogliere dati personali senza indicare la propria identità.

La comunicazione dei dati personali, compresi quelli degni di particolare protezione, avviene in forma scritta o elettronica.

I dati personali sono conservati presso la FINMA finché sono utili e necessari ai fini della vigilanza. Dopodiché i dati vengono offerti all’Archivio federale per l’archiviazione e distrutti presso la FINMA.

La FINMA tiene una banca dati per la valutazione delle garanzie per un’attività irreprensibile ai sensi delle leggi sui mercati finanziari. A tale scopo inserisce nella banca dati i dati che sono necessari in caso di una valutazione futura delle garanzie per un’attività irreprensibile.

Hanno accesso alla banca dati:

1. i collaboratori della sezione Diritto e compliance;
2. i collaboratori della FINMA competenti per la valutazione delle garanzie per un’attività irreprensibile.

I collaboratori di cui al capoverso 1 possono, su richiesta, informare altri collaboratori della FINMA in merito ai dati della banca dati, per quanto sia necessario all’adempimento dei loro compiti.

La banca dati contiene i seguenti dati:

1. i dati relativi all’identità: cognome, nome, data di nascita, sesso, luogo d’origine, nazionalità, lingua materna, indirizzo, indirizzo e-mail, numero di telefono, numero AVS;
2. i dati relativi alla formazione e all’attività professionale: formazione e formazione continua, qualifiche e attività professionali, luogo di lavoro, datore di lavoro compreso l’IDI;
3. i dati relativi alla situazione finanziaria, alla situazione patrimoniale e alle assicurazioni;
4. gli estratti del registro di commercio, del registro esecuzioni e fallimenti e del casellario giudiziale;
5. i rapporti, le valutazioni e altri documenti di società di audit e di incaricati della FINMA;
6. i rapporti e le decisioni di organismi di vigilanza, di organismi di autodisciplina e di organizzazioni professionali;
7. le accuse e le denunce penali di autorità;
8. le sentenze, le decisioni e altri documenti ufficiali;
9. i dati relativi a provvedimenti di diritto del lavoro, provvedimenti amministrativi e provvedimenti di diritto penale;
10. i rapporti concernenti verifiche e inchieste interne di assoggettati;
11. l’ammissione scritta, nei confronti di un’autorità, di un comportamento scorretto e l’autodenuncia;
12. i giustificativi da cui risulta che, nonostante sussistano indizi di una violazione del diritto in materia di vigilanza, non può essere condotto alcun procedimento della FINMA nei confronti di una determinata persona in quanto la stessa si sottrae al procedimento;
13. la rinuncia per iscritto, per un periodo di tempo determinato o indeterminato, a operare in un ambito assoggettato alla vigilanza della FINMA.

La persona interessata viene informata una volta avvenuta la prima registrazione nella banca dati. È fatto salvo l’articolo 20 della legge federale del 25 settembre 2020 ³ sulla protezione dei dati.

I dati personali sono conservati nella banca dati:

1. per un periodo di 10 anni dall’ultima registrazione rilevante per la valutazione delle garanzie per un’attività irreprensibile;
2. per un periodo di 20 anni dall’ultima registrazione rilevante per la valutazione delle garanzie per un’attività irreprensibile, se in base a una sentenza penale o a un accertamento definitivo essa riguardava l’esercizio di un’attività in assenza dell’autorizzazione necessaria da parte della FINMA.

Se dalla valutazione delle garanzie per un’attività irreprensibile da parte della FINMA risulta una valutazione positiva, i dati della persona vengono cancellati dalla banca dati prima della scadenza del termine.

L’ordinanza FINMA dell’8 settembre 2011 ⁴ sui dati è abrogata.

La presente ordinanza entra in vigore il 1° settembre 2023.