Lexipedia

AS 2022 568

Ordinanza sulla protezione dei dati (OPDa)

Preambolo

Il Consiglio federale svizzero,

visti gli articoli 8 capoverso 3, 10 capoverso 4, 12 capoverso 5, 16 capoverso 3, 25 capoverso 6, 28 capoverso 3, 33, 59 capoversi 2 e 3 della legge federale del 25 settembre 20201 sulla protezione dei dati (LPD),

ordina:

Capitolo 1 Disposizioni generali

Sezione 1 Sicurezza dei dati

Art. 1 Principi

Al fine di garantire una sicurezza dei dati adeguata, il titolare del trattamento e il responsabile del trattamento definiscono la necessità di protezione dei dati personali e stabiliscono i provvedimenti tecnici e organizzativi adeguati in considerazione del rischio.

La necessità di protezione dei dati personali è valutata sulla base dei seguenti criteri:

  • a. tipo di dati trattati;

  • b. scopo, tipo, portata e circostanze del trattamento.

Il rischio per la personalità o i diritti fondamentali della persona interessata è valutato sulla base dei seguenti criteri:

  • a. cause del rischio;

  • b. pericolo sostanziale;

  • c. provvedimenti adottati o previsti per minimizzare il rischio;

  • d. probabilità e gravità di una violazione della sicurezza dei dati nonostante i provvedimenti adottati o previsti.

Nello stabilire i provvedimenti tecnici e organizzativi si applicano inoltre i seguenti criteri:

  • a. lo stato della tecnica;

  • b. le spese di implementazione.

La necessità di protezione dei dati personali, il rischio e i provvedimenti tecnici e organizzativi sono verificati durante l’intera durata del trattamento. Se necessario, i provvedimenti sono aggiornati.

Art. 2 Obiettivi

Conformemente alla necessità di protezione, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti tecnici e organizzativi affinché i dati trattati:

  • a. siano accessibili solo alle persone autorizzate (confidenzialità);

  • b. siano disponibili quando necessario (disponibilità);

  • c. non siano modificati indebitamente o inavvertitamente (integrità);

  • d. siano trattati in modo tracciabile (tracciabilità).

Art. 3 Provvedimenti tecnici e organizzativi

Per garantire la confidenzialità, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti adeguati affinché:

  • a. le persone autorizzate abbiano accesso solo ai dati personali di cui abbisognano al fine di adempiere i loro compiti (controllo dell’accesso ai dati);

  • b. solo le persone autorizzate abbiano accesso ai locali e agli impianti utilizzati per il trattamento dei dati personali (controllo dell’accesso ai locali e agli impianti);

  • c. le persone non autorizzate non possano utilizzare i sistemi di trattamento automatizzato di dati personali con l’ausilio di impianti di trasmissione (controllo degli utenti);

Per garantire la disponibilità e l’integrità, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti adeguati affinché:

  • a. le persone non autorizzate non possano leggere, copiare, modificare, spostare, cancellare o distruggere supporti di dati (controllo dei supporti di dati);

  • b. le persone non autorizzate non possano salvare, leggere, modificare, cancellare o distruggere dati personali nella memoria (controllo di memoria);

  • c. le persone non autorizzate non possano leggere, copiare, modificare, cancellare o distruggere dati personali in occasione della comunicazione degli stessi o del trasporto di supporti di dati (controllo del trasporto);

  • d. la disponibilità e l’accesso ai dati personali possano essere rapidamente ripristinati in caso di incidente fisico o tecnico (ripristino);

  • e. siano disponibili tutte le funzioni del sistema di trattamento automatizzato dei dati (disponibilità), siano segnalati eventuali malfunzionamenti (affidabilità) e i dati personali registrati non siano danneggiati da malfunzionamenti del sistema (integrità dei dati);

  • f. sia sempre aggiornato il livello di sicurezza dei sistemi operativi e delle applicazioni e siano colmate le lacune critiche riscontrate (sicurezza del sistema).

Per garantire la tracciabilità, il titolare del trattamento e il responsabile del trattamento adottano provvedimenti adeguati affinché:

  • a. si possa verificare quali dati personali sono stati introdotti o modificati nel sistema di trattamento automatizzato dei dati, in quale momento e da chi (controllo dell’introduzione);

  • b. si possa verificare a chi sono stati comunicati dati personali con l’ausilio di impianti di trasmissione (controllo di comunicazione);

  • c. si possano individuare rapidamente le violazioni della sicurezza dei dati (individuazione) e adottare provvedimenti per ridurre o eliminare le conseguenze (eliminazione).

Art. 4 Verbalizzazione

Se dati personali degni di particolare protezione sono trattati automaticamente su grande scala o se si esegue una profilazione a rischio elevato e i provvedimenti preventivi possono non garantire la protezione dei dati, il titolare privato del trattamento e il suo responsabile privato del trattamento verbalizzano almeno la registrazione, modificazione, lettura, comunicazione, cancellazione e distruzione dei dati. In particolare, la verbalizzazione deve avere luogo quando non è possibile stabilire a posteriori se i dati sono stati trattati ai fini per i quali sono stati raccolti o comunicati.

Nel caso di trattamento automatico dei dati personali l’organo federale titolare del trattamento e il suo responsabile del trattamento verbalizzano almeno la registrazione, modificazione, lettura, comunicazione, cancellazione e distruzione dei dati.

Nel caso di dati personali accessibili in modo generalizzato al pubblico sono verbalizzati almeno la registrazione, modificazione, cancellazione e distruzione dei dati.

I verbali riportano informazioni sull’identità della persona che ha effettuato il trattamento, sul tipo, la data e l’ora del trattamento nonché, all’occorrenza, sull’identità del destinatario dei dati.

I verbali sono conservati per almeno un anno separatamente dal sistema in cui sono trattati i dati personali. Sono accessibili esclusivamente agli organi e alle persone incaricate di verificare l’applicazione delle disposizioni in materia di protezione dei dati o di salvaguardare o ripristinare la confidenzialità, l’integrità, la disponibilità e la tracciabilità dei dati e sono utilizzati soltanto a tale fine.

Art. 5 Regolamento dei privati sul trattamento

Il titolare privato del trattamento e il suo responsabile privato stabiliscono un regolamento per i trattamenti automatizzati se:

  • a. trattano su grande scala dati personali degni di particolare protezione; o

  • b. eseguono una profilazione a rischio elevato.

Il regolamento contiene in particolare indicazioni sull’organizzazione interna, sulla procedura di trattamento e di controllo dei dati nonché sui provvedimenti per garantire la sicurezza dei dati.

Il titolare privato del trattamento e il suo responsabile privato aggiornano periodicamente il regolamento. Se è stato designato un consulente per la protezione dei dati, il regolamento è messo a sua disposizione.

Art. 6 Regolamento degli organi federali sul trattamento

L’organo federale titolare del trattamento e il suo responsabile stabiliscono un regolamento per i trattamenti automatizzati se:

  • a. trattano dati personali degni di particolare protezione;

  • b. effettuano una profilazione;

  • c. trattano dati personali ai sensi dell’articolo 34 capoverso 2 lettera c LPD;

  • d. concedono l’accesso a dati personali a Cantoni, autorità estere, organizzazioni internazionali o privati;

  • e. connettono tra loro raccolte di dati; o

  • f. gestiscono insieme ad altri organi federali un sistema d’informazione o raccolte di dati.

Il regolamento contiene in particolare indicazioni sull’organizzazione interna, sulla procedura di trattamento e di controllo dei dati nonché sui provvedimenti per garantire la sicurezza dei dati.

L’organo federale titolare del trattamento e il suo responsabile aggiornano periodicamente il regolamento e lo mettono a disposizione del consulente per la protezione dei dati.

Sezione 2: Trattamento da parte del responsabile del trattamento

Art. 7

La previa autorizzazione del titolare del trattamento, che permette al responsabile del trattamento di trasferire il trattamento dei dati a un terzo, può essere di natura specifica o generale.

Se l’autorizzazione è di natura generale, il responsabile del trattamento informa il titolare del trattamento su qualsiasi modifica prevista per quanto riguarda il coinvolgimento o la sostituzione di altri terzi. Il titolare del trattamento può opporsi a tale modifica.

Sezione 3: Comunicazione di dati personali all’estero

Art. 8 Valutazione dell’adeguatezza della protezione dei dati di uno Stato, un territorio, un determinato settore di uno Stato o un organismo internazionale

Gli Stati, i territori, determinati settori di uno Stato e gli organismi internazionali con una protezione adeguata dei dati sono elencati nell’allegato 1.

Per valutare se uno Stato, un territorio, un determinato settore di uno Stato o un organismo internazionale garantisce una protezione adeguata dei dati, vanno segnatamente presi in considerazione i seguenti criteri:

  • a. gli impegni internazionali dello Stato o dell’organismo internazionale, in particolare nel settore della protezione dei dati;

  • b. lo Stato di diritto e il rispetto dei diritti dell’uomo;

  • c. la legislazione vigente in particolare in materia di protezione dei dati, la sua attuazione e la giurisprudenza pertinente;

  • d. l’effettiva garanzia dei diritti delle persone interessate e della tutela giurisdizionale;

  • e. l’effettivo funzionamento di una o più autorità indipendenti responsabili della protezione dei dati nello Stato in questione o alle quali è assoggettato un organismo internazionale e dotate di poteri e competenze sufficienti.

L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) viene consultato al momento di ogni valutazione. Possono essere presi in considerazione i pareri di organismi internazionali o autorità estere competenti per la protezione dei dati.

L’adeguatezza della protezione dei dati è periodicamente oggetto di una nuova valutazione.

Le valutazioni vengono pubblicate.

Se dalla valutazione secondo il capoverso 4 o da altre informazioni si evince che non è più garantita una protezione adeguata dei dati, l’allegato 1 è modificato; tale modifica non ha alcuna ripercussione sulle comunicazioni di dati già avvenute.

Art. 9 Clausole contrattuali di protezione dei dati e garanzie specifiche

Le clausole contrattuali di protezione dei dati di un contratto secondo l’articolo 16 capoverso 2 lettera b LPD e le garanzie specifiche secondo l’articolo 16 capoverso 2 lettera c LPD contengono almeno i seguenti punti:

  • a. l’applicazione dei principi della liceità, della buona fede, della proporzionalità, della trasparenza, della finalità e dell’esattezza;

  • b. le categorie dei dati personali comunicati e delle persone interessate;

  • c. il tipo e lo scopo della comunicazione dei dati personali;

  • d. all’occorrenza, il nome degli Stati o degli organismi internazionali cui sono comunicati dati personali nonché i requisiti della comunicazione;

  • e. i requisiti della conservazione, della cancellazione e della distruzione di dati personali;

  • f. i destinatari o le categorie dei destinatari;

  • g. i provvedimenti per garantire la sicurezza dei dati;

  • h. l’obbligo di comunicare le violazioni della sicurezza dei dati;

  • i. se i destinatari sono titolari del trattamento, l’obbligo di informare le persone interessate dal trattamento;

  • j. i diritti della persona interessata, segnatamente:

    1. il diritto d’accesso e il diritto alla consegna o alla trasmissione dei dati,

    2. il diritto di opporsi alla comunicazione dei dati,

    3. il diritto di chiedere la rettifica, la cancellazione o la distruzione dei dati che la concernono,

    4. il diritto di chiedere tutela giurisdizionale a un’autorità indipendente.

Il titolare del trattamento e, nel caso di clausole contrattuali sulla protezione dei dati, il responsabile del trattamento prendono misure adeguate per garantire che il destinatario rispetti dette clausole o le garanzie specifiche.

Se l’IFPDT è stato informato sulle clausole contrattuali di protezione dei dati o sulle garanzie specifiche, l’obbligo di informare è considerato adempiuto per tutte le ulteriori comunicazioni che:

  • a. si basano sulle medesime clausole contrattuali o garanzie, sempre che le categorie dei destinatari, la finalità del trattamento o le categorie di dati rimangano sostanzialmente immutate; o

  • b. sono effettuate in seno alla medesima persona giuridica o società o tra imprese che appartengono allo stesso gruppo.

Art. 10 Clausole tipo di protezione dei dati

Se comunica dati personali all’estero mediante clausole tipo di protezione dei dati secondo l’articolo 16 capoverso 2 lettera d LPD, il titolare o il responsabile del trattamento adotta provvedimenti adeguati per garantire che il destinatario le rispetti.

L’IFPDT pubblica un elenco di clausole tipo di protezione dei dati che ha approvato, emanato o riconosciuto. Comunica i risultati dell’esame delle clausole tipo di protezione dei dati che gli sono state sottoposte entro 90 giorni dalla loro ricezione.

Art. 11 Norme interne dell’impresa vincolanti sulla protezione dei dati

Le norme interne dell’impresa vincolanti sulla protezione dei dati secondo l’articolo 16 capoverso 2 lettera e LPD valgono per tutte le imprese che appartengono allo stesso gruppo.

Comprendono almeno i punti menzionati nell’articolo 9 capoverso 1 e le seguenti indicazioni:

  • a. l’organizzazione e i dati di contatto del gruppo e delle sue imprese;

  • b. le misure adottate in seno al gruppo per il rispetto delle norme interne dell’impresa vincolanti sulla protezione dei dati.

L’IFPDT comunica i risultati dell’esame delle norme interne dell’impresa vincolanti sulla protezione dei dati che gli sono state sottoposte entro 90 giorni dalla loro ricezione.

Art. 12 Codici di condotta e certificazioni

I dati personali possono essere comunicati all’estero, se un codice di condotta o una certificazione garantisce una protezione adeguata dei dati.

Il codice di condotta deve essere previamente sottoposto all’IFPDT per approvazione.

Il codice di condotta o la certificazione deve essere corredato dall’impegno vincolante ed esecutorio del titolare del trattamento o del responsabile del trattamento nello Stato terzo di applicare le misure contenutevi.

Capitolo 2: Obblighi del titolare del trattamento

Art. 13 Modalità dell’obbligo di informare

Il titolare del trattamento comunica alla persona interessata le informazioni sull’ottenimento di dati personali in forma precisa, trasparente, comprensibile e facilmente accessibile.

Art. 14 Conservazione della valutazione d’impatto sulla protezione dei dati

Il titolare del trattamento conserva la valutazione d’impatto sulla protezione dei dati per almeno due anni dopo la fine del trattamento.

Art. 15 Notifica di violazioni della sicurezza dei dati

La notifica all’IFPDT di una violazione della sicurezza dei dati riporta le seguenti informazioni:

  • a. il tipo di violazione;

  • b. se possibile, il momento e la durata;

  • c. se possibile le categorie e il numero approssimativo dei dati personali interessati;

  • d. se possibile, le categorie e il numero approssimativo delle persone interessate;

  • e. le conseguenze, compresi eventuali rischi, per le persone interessate;

  • f. le misure adottate o previste per eliminare il difetto e ridurne le conseguenze, inclusi gli eventuali rischi;

  • g. i nomi e i dati di una persona di contatto.

Se non è in grado di comunicare contemporaneamente tutte le informazioni, il titolare del trattamento fornisce quanto prima le informazioni mancanti.

Se è tenuto a informare la persona interessata, il titolare del trattamento le comunica in una lingua semplice e comprensibile almeno le informazioni di cui al capoverso 1 lettere a ed e–g.

Il titolare del trattamento documenta le violazioni. La documentazione illustra i fatti legati agli eventi, le loro conseguenze e i provvedimenti adottati. Deve essere conservata per almeno due anni dalla notifica secondo il capoverso 1.

Capitolo 3: Diritti della persona interessata

Sezione 1: Diritto d’accesso

Art. 16 Modalità

Chi domanda informazioni in merito al trattamento dei propri dati personali al titolare del trattamento deve farlo per scritto. Se il titolare del trattamento è d’accordo, la domanda può anche essere presentata in forma orale.

Le informazioni sono fornite per scritto o nella forma in cui sono disponibili i dati. D’intesa con il titolare del trattamento, la persona interessata può consultare i suoi dati sul posto. Le informazioni possono essere fornite in forma orale se la persona interessata è d’accordo.

Le informazioni possono essere domandate e comunicate per via elettronica.

Le informazioni devono essere comunicate in una forma comprensibile per la persona interessata.

Il titolare del trattamento adotta misure adeguate per identificare la persona interessata. Quest’ultima ha l’obbligo di collaborare.

Art. 17 Competenza

Se più titolari del trattamento trattano congiuntamente dati personali, la persona interessata può esercitare il suo diritto d’accesso presso ciascuno di essi.

Se la domanda riguarda dati trattati da un responsabile del trattamento, quest’ultimo aiuta il titolare del trattamento a comunicare le informazioni, a meno che non risponda egli stesso alla domanda per conto del titolare del trattamento.

Art. 18 Termine

Le informazioni sono fornite entro 30 giorni dalla ricezione della domanda.

Se le informazioni non possono essere fornite entro 30 giorni, il titolare del trattamento ne informa la persona interessata e le comunica il termine entro il quale le informazioni saranno fornite.

Se il titolare del trattamento rifiuta, limita o differisce l’informazione, deve comunicarlo entro il suddetto termine.

Art. 19 Eccezioni alla gratuità

Se la comunicazione delle informazioni comporta un onere sproporzionato, il titolare del trattamento può richiedere alla persona interessata un’adeguata partecipazione alle spese.

La partecipazione ammonta al massimo a 300 franchi.

Il titolare del trattamento informa la persona interessata in merito all’entità della partecipazione prima che le siano comunicate le informazioni. Se la persona interessata non conferma la domanda entro dieci giorni, quest’ultima è considerata ritirata senza spese. Il termine di cui all’articolo 18 capoverso 1 decorre dalla fine del periodo di riflessione di dieci giorni.

Sezione 2: Diritto alla consegna o alla trasmissione dei dati

Art. 20 Portata del diritto

Per dati personali che la persona interessata ha comunicato al titolare del trattamento si intendono:

  • a. i dati che la persona ha messo a disposizione del titolare del trattamento consapevolmente e volutamente;

  • b. i dati che il titolare del trattamento ha rilevato sulla persona interessata e sul suo comportamento nel quadro dell’utilizzo di un servizio o di un apparecchio.

I dati personali che il titolare del trattamento ha prodotto in un’analisi separata dei dati personali messi a disposizione o osservati non sono considerati dati personali che la persona interessata ha comunicato al titolare del trattamento.

Art. 21 Requisiti tecnici per l’attuazione

Per formato elettronico usuale si intendono i formati che permettono che i dati personali siano trasmessi con un onere proporzionato e riutilizzati dalla persona interessata o da un altro titolare del trattamento.

Il diritto alla consegna o alla trasmissione dei dati non obbliga il titolare del trattamento a adottare o conservare sistemi di trattamento dei dati tecnicamente compatibili.

L’onere è sproporzionato se la trasmissione di dati personali a un altro titolare del trattamento non è possibile per ragioni tecniche.

Art. 22 Termine, modalità e competenza

Gli articoli 16 capoversi 1 e 5 nonché 17–19 sono applicabili per analogia al diritto alla consegna o alla trasmissione dei dati.

Capitolo 4 Disposizioni particolari sul trattamento di dati da parte di persone private

Art. 23 Consulente per la protezione dei dati

Il titolare del trattamento:

  • a. mette a disposizione del consulente per la protezione dei dati le risorse necessarie;

  • b. concede al consulente per la protezione dei dati l’accesso a qualsiasi informazione, documento, registro delle attività di trattamento e dato personale necessario all’adempimento dei suoi compiti;

  • c. concede al consulente per la protezione dei dati il diritto di informare i massimi organi dirigenti o amministrativi in casi importanti.

Art. 24 Eccezione all’obbligo di tenere un registro delle attività di trattamento

Le imprese e le altre organizzazioni di diritto privato che al 1° gennaio di un anno impiegano meno di 250 collaboratori e le persone fisiche sono esentate dall’obbligo di tenere un registro delle attività di trattamento, salvo che sia adempiuta una delle seguenti condizioni:

  • a. sono trattati su vasta scala dati personali degni di particolare protezione;

  • b. viene eseguita una profilazione ad alto rischio.

Capitolo 5 Disposizioni particolari sul trattamento di dati da parte di organi federali

Sezione 1: Consulente per la protezione dei dati

Art. 25 Nomina

Ciascun organo federale nomina un consulente per la protezione dei dati. Più organi federali possono nominare congiuntamente un consulente per la protezione dei dati.

Art. 26 Requisiti e compiti

Il consulente per la protezione dei dati:

  • a. dispone delle conoscenze tecniche necessarie;

  • b. esercita la sua funzione in modo indipendente dall’organo federale e senza ricevere da questi istruzioni.

Ha i seguenti compiti:

  • a. contribuire all’applicazione delle norme sulla protezione dei dati, in particolare:

    1. verificando il trattamento di dati personali e raccomandando provvedimenti correttivi se si constata una violazione delle prescrizioni in materia di protezione dei dati,

    2. fornendo consulenza al titolare del trattamento nell’allestimento della valutazione d’impatto sulla protezione dei dati e verificandone l’esecuzione;

  • b. fungere da interlocutore per le persone interessate;

  • c. formare e fornire consulenza in materia di protezione dei dati ai collaboratori dell’organo federale.

Art. 27 Obblighi dell’organo federale

L’organo federale ha i seguenti obblighi nei confronti del consulente per la protezione dei dati:

  • a. gli concede l’accesso alle informazioni, ai documenti, ai registri delle attività di trattamento e ai dati personali che gli sono necessari all’adempimento dei suoi compiti;

  • b. provvede affinché sia informato su qualsiasi violazione della sicurezza dei dati.

Pubblica i dati di contatto del consulente della protezione dei dati in Internet e li comunica all’IFPDT.

Art. 28 Servizio di contatto dell’IFPDT

Il consulente per la protezione dei dati è il servizio di contatto dell’IFPDT per le questioni riguardanti il trattamento di dati personali da parte dell’organo federale in questione.

Sezione 2: Obbligo di informare

Art. 29 Obbligo di informare in occasione della comunicazione di dati personali

L’organo federale informa il destinatario sull’attualità, l’affidabilità e la completezza dei dati personali comunicati, nella misura in cui tali informazioni non risultino dai dati medesimi o dalle circostanze.

Art. 30 Obbligo di informare in occasione del trattamento automatizzato di dati personali

Se la persona interessata non è obbligata a fornire informazioni, l’organo federale titolare del trattamento che raccoglie sistematicamente dati personali la informa in merito.

Sezione 3 Notifica di progetti di trattamento automatizzato di dati personali all’IFPDT

Art. 31

L’organo federale titolare del trattamento notifica all’IFPDT le previste attività di trattamento automatizzato al momento dell’autorizzazione del progetto o della decisione sullo sviluppo del progetto.

La notifica contiene le indicazioni di cui all’articolo 12 capoverso 2 lettere a–d LPD e la probabile data di inizio delle attività di trattamento.

L’IFPDT inserisce tale notifica nel registro delle attività di trattamento.

L’organo federale responsabile del trattamento aggiorna la notifica con il passaggio all’esercizio produttivo o alla sospensione del progetto.

Sezione 4: Sistemi pilota

Art. 32 Carattere imprescindibile del sistema pilota

Un sistema pilota è imprescindibile se è adempiuta una delle seguenti condizioni:

  • a. l’adempimento di un compito richiede innovazioni tecniche di cui devono dapprima essere valutati gli effetti;

  • b. l’adempimento di un compito richiede importanti misure organizzative o tecniche la cui efficacia deve dapprima essere esaminata, in particolare in caso di collaborazione tra organi della Confederazione e dei Cantoni;

  • c. l’adempimento di un compito richiede che i dati personali siano accessibili mediante procedura di richiamo.

Art. 33 Procedura di autorizzazione del sistema pilota

Prima di consultare le unità amministrative interessate, l’organo federale competente per il sistema pilota illustra come s’intende garantire il rispetto delle condizioni di cui all’articolo 35 LPD e invita l’IFPDT a presentare un parere.

L’IFPDT presenta un parere sul rispetto delle condizioni di autorizzazione di cui all’articolo 35 LPD. A tal fine, l’organo federale gli mette a disposizione tutti i documenti necessari, in particolare:

  • a. una descrizione generale del sistema pilota;

  • b. un rapporto attestante che l’adempimento dei compiti legali necessita un trattamento secondo l’articolo 34 capoverso 2 LPD e che una fase sperimentale prima dell’entrata in vigore della legge formale è imprescindibile;

  • c. una descrizione dell’organizzazione interna e delle procedure di trattamento e di controllo dei dati;

  • d. una descrizione dei provvedimenti di sicurezza e di protezione dei dati;

  • e. un progetto di ordinanza che disciplini le modalità di trattamento o le grandi linee di tale atto normativo;

  • f. la pianificazione delle diverse fasi del sistema pilota.

L’IFPDT può esigere altri documenti e procedere a verifiche complementari.

L’organo federale informa l’IFPDT di ogni modifica importante che concerne il rispetto delle condizioni di cui all’articolo 35 LPD. Se necessario, l’IFPDT presenta nuovamente un parere.

Il parere dell’IFPDT è allegato alla proposta al Consiglio federale.

Il trattamento automatizzato dei dati è disciplinato in un’ordinanza.

Art. 34 Rapporto di valutazione

L’organo federale competente sottopone per parere all’IFPDT il progetto di rapporto di valutazione destinato al Consiglio federale.

Sottopone il rapporto di valutazione al Consiglio federale accompagnato dal parere dell’IFPDT.

Sezione 5: Trattamento di dati per scopi impersonali

Art. 35

Se dati personali sono trattati per scopi impersonali, in particolare per la ricerca, la pianificazione e la statistica, e nel contempo per un altro scopo, le eccezioni di cui all’articolo 39 capoverso 2 LPD sono applicabili soltanto al trattamento per scopi impersonali.

Capitolo 6 Incaricato federale della protezione dei dati e della trasparenza

Art. 36 Sede e segretariato permanente

La sede dell’IFPDT è a Berna.

Ai rapporti di lavoro degli impiegati del segretariato permanente dell’IFPDT si applica la legislazione sul personale federale. Gli impiegati sono assicurati nell’ambito della Cassa di previdenza della Confederazione presso la Cassa pensioni della Confederazione.

Art. 37 Canale di comunicazione

L’IFPDT comunica con il Consiglio federale per il tramite del cancelliere della Confederazione. Questi trasmette al Consiglio federale proposte, pareri e rapporti senza modificarli.

L’IFPDT presenta rapporti all’attenzione dell’Assemblea federale tramite i servizi del Parlamento.

Art. 38 Comunicazione di decisioni, direttive e progetti

Nell’ambito della protezione dei dati i dipartimenti e la Cancelleria federale comunicano all’IFPDT le loro decisioni in forma anonimizzata nonché le loro direttive.

Gli organi federali presentano all’IFPDT tutti i progetti di atti normativi che riguardano il trattamento di dati personali, la protezione dei dati e l’accesso ai documenti ufficiali.

Art. 39 Trattamento di dati personali

L’IFPT può trattare dati personali compresi i dati particolarmente degni di protezione, in particolare per:

  • a. esercitare le sue attività di vigilanza;

  • b. esercitare le sue attività di consulenza;

  • c. collaborare con autorità federali, cantonali ed estere;

  • d. adempiere compiti nel quadro delle disposizioni penali secondo la LPD;

  • e. eseguire procedure di mediazione ed emanare raccomandazioni secondo la legge del 17 dicembre 20042 sulla trasparenza (LTras);

  • f. eseguire valutazioni secondo la LTras;

  • g. eseguire procedure per l’accesso a documenti ufficiali secondo la LTras;

  • h. informare la vigilanza parlamentare;

  • i. informare il pubblico;

  • j. esercitare le sue attività di formazione.

Art. 40 Autocontrollo

L’IFPDT elabora un regolamento sul trattamento per tutti i trattamenti automatizzati; l’articolo 6 capoverso 1 non è applicabile.

Art. 41 Cooperazione con il NCSC

Con il consenso del titolare del trattamento soggetto all’obbligo di notifica, l’IFPDT può inoltrare la notifica di una violazione della sicurezza dei dati per un esame dell’evento al Centro nazionale per la cibersicurezza (NCSC). La comunicazione può contenere dati personali.

L’IFPDT invita il NCSC a prendere posizione prima di ordinare a un organo federale di adottare i provvedimenti di cui all’articolo 8 LPD.

Art. 42 Registro delle attività di trattamento degli organi federali

Il registro delle attività di trattamento degli organi federali contiene le indicazioni degli organi federali di cui agli articoli 12 capoversi 2 LPD e 31 capoverso 2 della presente ordinanza.

È pubblicato su Internet. Non sono pubblicate le iscrizioni nel registro sulle previste attività di trattamento automatizzate secondo l’articolo 31.

Art. 43 Codice di condotta

Se gli è presentato un codice di condotta, l’IFPDT comunica nel suo parere se tale codice soddisfa le condizioni dell’articolo 22 capoverso 5 lettere a e b LPD.

Art. 44 Emolumenti

Gli emolumenti fatturati dall’IFPDT sono calcolati in funzione del tempo impiegato.

La tariffa oraria va da 150 a 250 franchi, a seconda della funzione della persona competente.

In caso di prestazioni di portata straordinaria oppure di difficoltà o urgenza particolari possono essere riscossi supplementi fino al 50 per cento dell’emolumento di cui al capoverso 2.

Se la persona soggetta a emolumento può utilizzare la prestazione dell’IFPDT a scopi commerciali, possono essere riscossi supplementi fino al 100 per cento dell’emolumento di cui al capoverso 2.

Per il resto si applica l’ordinanza generale dell’8 settembre 20043 sugli emolumenti.

Capitolo 7: Disposizioni finali

Art. 45 Abrogazione e modifica di altri atti normativi

L’abrogazione e la modifica di altri atti normativi sono disciplinati nell’allegato 2.

Art. 46 Disposizioni transitorie

Ai trattamenti di dati che non rientrano nel campo d’applicazione della direttiva (UE) 2016/6804, l’articolo 4 capoverso 2 si applica entro tre anni dall’entrata in vigore della presente ordinanza o al più tardi alla fine del ciclo di vita del sistema. Fino ad allora tali trattamenti sottostanno all’articolo 4 capoverso 1.

L’articolo 8 capoverso 5 non si applica alle valutazioni eseguite prima dell’entrata in vigore della presente ordinanza.

L’articolo 31 non si applica alle previste attività di trattamento automatizzato per le quali all’entrata in vigore della presente ordinanza è già stato autorizzato il progetto o è già stata presa la decisione sullo sviluppo del progetto.

Art. 47 Entrata in vigore

La presente ordinanza entra in vigore il 1° settembre 2023

31 agosto 2022

In nome del Consiglio federale:

Il presidente della Confederazione, Ignazio Cassis
Il cancelliere della Confederazione, Walter Thurnherr

(art. 8 cpv. 1)

Stati, territori, determinati settori di uno Stato e organismi internazionali in cui è garantita una protezione adeguata dei dati

1

Germania*

2

Andorra***

3

Argentina***

4

Austria*

5

Belgio*

6

Bulgaria***

7

Canada***

Un adeguato livello di protezione dei dati è garantito se si applica la legge federale canadese «Loi sur la protection des renseignements personnels et les documents électroniques», del 13 aprile 20005 nella sfera privata o una legge sostanzialmente simile di una provincia canadese. La legge federale si applica ai dati personali raccolti, trattati o comunicati nell’ambito di attività commerciali, a prescindere dal fatto che si tratti di organizzazioni quali associazioni, società di persone, singole persone o organizzazioni sindacali oppure di imprese disciplinate dal diritto federale quali installazioni, opere, imprese o attività imprenditoriali che ricadono sotto la competenza legislativa del Parlamento canadese. Le province Québec, British Columbia e Alberta hanno emanato una legge sostanzialmente simile alla legge federale; le province Ontario, New Brunswick, Terranova, Labrador e Nuova Scozia hanno emanato una legge sostanzialmente simile alla legge federale nell’ambito dei dati sanitari. In tutte le province canadesi la legge federale si applica ai dati personali ottenuti, trattati o comunicati alle imprese disciplinate dal diritto federale, compresi i dati sugli impiegati di queste imprese. La legge federale si applica anche ai dati personali trasmessi in un’altra provincia o in un altro Paese nell’ambito di attività commerciali.

8

Cipro***

9

Croazia***

10

Danimarca*

11

Spagna*

12

Estonia*

13

Finlandia*

14

Francia*

15

Gibilterra***

16

Grecia*

17

Guernsey***

18

Ungheria*

19

Isola di Man***

20

Isole Färöer***

21

Irlanda***

22

Islanda*

23

Israele***

24

Italia*

25

Jersey***

26

Lettonia*

27

Liechtenstein*

28

Lituania*

29

Lussemburgo*

30

Malta*

31

Principato di Monaco***

32

Norvegia*

33

Nuova Zelanda***

34

Paesi Bassi*

35

Polonia*

36

Portogallo*

37

Cechia*

38

Romania***

39

Regno Unito**

40

Slovacchia*

41

Slovenia*

42

Svezia*

43

Uruguay***

  • * La valutazione dell’adeguatezza della protezione dei dati include la comunicazione di dati personali secondo la direttiva (UE) 2016/6806.

  • ** La valutazione dell’adeguatezza della protezione dei dati include la comunicazione di dati personali in base a una decisione di esecuzione della Commissione europea che constata l’adeguatezza della protezione dei dati secondo la direttiva (UE) 2016/680.

  • *** La valutazione dell’adeguatezza della protezione dei dati non include la comunicazione di dati personali nel quadro della cooperazione prevista dalla direttiva (UE) 2016/680.

(art. 45)

Abrogazione e modifica di altri atti normativi

I

L’ordinanza del 14 giugno 19937 relativa alla legge federale sulla protezione dei dati (OLPD) è abrogata.

II

Gli atti normativi qui appresso sono modificati come segue:

1. Ordinanza del 4 marzo 2011 sui controlli di sicurezza relativi alle persone8

Art. 12 cpv. 1 lett. e nonché 2 lett. a n. 2

1 Il servizio specializzato CSP DDPS sottopone a un controllo di sicurezza ampliato con audizione le persone che:

  • e. Abrogata

2 Il servizio specializzato CSP CaF sottopone a un controllo di sicurezza ampliato con audizione le persone che:

a. sono nominate dal Consiglio federale, eccettuati:

  1. Abrogato

Art. 21 cpv. 2

2 La persona interessata può visionare in qualsiasi momento il fascicolo relativo al controllo; sono fatti salvi l’articolo 26 della legge federale del 25 settembre 20209 sulla protezione dei dati nonché gli articoli 27 e 28 della legge federale del 20 dicembre 196810 sulla procedura amministrativa.

Allegato 1 N. 2.1, riga 2

Unità amministrative

Funzioni

Tutte le funzioni in seno all’Incaricato federale della protezione dei dati e della trasparenza, eccetto il suo direttore

2. Ordinanza del 4 dicembre 2009 sulle misure di polizia amministrativa dell’Ufficio federale di polizia e sul sistema d’informazione HOOGAN11

Art. 9 cpv. 1 lett. a n. 3 e cpv. 4 lett. b

1 Le seguenti autorità possono accedere a HOOGAN esclusivamente per gli scopi seguenti:

  • a. i servizi seguenti di fedpol:

    1. il consulente per la protezione dei dati di fedpol: per trattare le richieste d’informazione e di cancellazione dei dati registrati in HOOGAN;

4 Beneficiano dell’accesso limitato:

  • b. il consulente per la protezione dei dati di fedpol;

Art. 13 cpv. 1 lett. a

1 La sicurezza dei dati è retta:

  • a. dagli articoli 1–4 e 6 dell’ordinanza del 31 agosto 202212 sulla protezione dei dati;

3. Ordinanza del 16 agosto 2017 sui sistemi d’informazione e di memorizzazione del Servizio delle attività informative della Confederazione13

Art. 13 cpv. 1 lett. a

1 La sicurezza dei dati è retta:

  • a. dagli articoli 1–4 e 6 dell’ordinanza del 31 agosto 202214 sulla protezione dei dati;

Art. 17 cpv. 3

3 IASA SIC può contenere dati personali, degni di particolare protezione o no, compresi dati personali che permettono di valutare il grado di pericolosità di una persona.

Art. 23 cpv. 3

3 IASA-GEX SIC può contenere dati personali, degni di particolare protezione o no, compresi dati personali che permettono di valutare il grado di pericolosità di una persona.

Art. 30 cpv. 3

3 INDEX SIC può contenere dati personali, degni di particolare protezione o no, compresi dati personali che permettono di valutare il grado di pericolosità di una persona.

Art. 38 cpv. 1

1 I collaboratori del SIC competenti per i dossier in GEVER verificano annualmente, tenendo conto della situazione attuale, se i dati dei dossier sono ancora necessari per il trattamento e il controllo degli affari nonché per garantire processi di lavoro efficienti in seno al SIC.

Art. 44 cpv. 1

1 I collaboratori del SIC competenti per l’archiviazione e il trattamento dei dati in PES verificano annualmente, tenendo conto della situazione attuale, se i dati dei dossier in PES sono ancora necessari per l’adempimento dei compiti secondo l’articolo 6 LAIn. Sono esclusi da tale verifica i dati archiviati secondo il capoverso 4.

Art. 59 cpv. 1

1 I collaboratori del SIC competenti per l’archiviazione dei dati in ISCO verificano annualmente, tenendo conto della situazione attuale, se i dati dei dossier in ISCO sono ancora necessari per dirigere i mezzi d’esplorazione, procedere a verifiche e redigere rapporti.

Art. 67 cpv. 2

2 Possono contenere dati personali, degni di particolare protezione o no, compresi dati personali che permettono di valutare il grado di pericolosità di una persona.

4. Ordinanza del 24 ottobre 2007 sull’ammissione, il soggiorno e l’attività lucrativa15

Art. 89a Comunicazione di dati personali a uno Stato non vincolato da alcun accordo di associazione alla normativa di Schengen

È data una protezione adeguata dei dati dell’interessato ai sensi dell’articolo 111d capoverso 3 LStrI se le garanzie adeguate adempiono i requisiti degli articoli 9–12 dell’ordinanza del 31 agosto 202216 sulla protezione dei dati.

5. Ordinanza del 10 novembre 2021 sul sistema di ingressi/uscite17

Art. 18 cpv. 1

1 Il diritto di accesso è retto dalla legge federale del 25 settembre 202018 sulla protezione dei dati.

Art. 20 cpv. 2 lett. a

2 La sicurezza dei dati per le autorità federali è inoltre retta:

  • a. dall’ordinanza del 31 agosto 202219 sulla protezione dei dati;

6. Ordinanza 3 dell’11 agosto 1999 sull’asilo20

Art. 1b cpv. 2, primo periodo

2 Non vi figurano dati personali particolarmente degni di protezione. …

Art. 6a Comunicazione di dati personali a uno Stato non vincolato da alcun accordo di associazione alla normativa di Schengen

(art. 102c cpv. 3 e 4 LAsi)

È data una protezione adeguata dei dati della persona interessata ai sensi dell’articolo 102c capoverso 3 LAsi se le garanzie adeguate adempiono i requisiti degli articoli 9–12 dell’ordinanza del 31 agosto 202221 sulla protezione dei dati (OPDa).

Art. 12 lett. a

La sicurezza dei dati è retta:

  • a. dall’OPDa22;

7. Ordinanza VIS del 18 dicembre 201323

Art. 31 cpv. 1

1 Se una persona fa valere il proprio diritto d’accesso ai dati registrati in ORBIS o nel C-VIS deve presentare alla SEM una domanda nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 202224 sulla protezione dei dati (OPDa). La pretesa di altri diritti da parte della persona interessata è retta dall’articolo 41 della legge federale del 25 settembre 202025 sulla protezione dei dati.

Art. 32 cpv. 1, frase introduttiva e lett. a e c

1 Al momento di rilevare i dati personali del richiedente, compresi i dati biometrici, questi è informato per scritto:

  • a. dell’identità e dei dati di contatto del titolare del trattamento;

  • c. dei destinatari o delle categorie di destinatari ai quali sono comunicati dati personali;

Art. 34 lett. a

La sicurezza dei dati è retta da:

  • a. dall’OPDa26;

8. Ordinanza SIMIC del 12 aprile 200627

Art. 13 cpv. 1, frase introduttiva e cpv. 4

Concerne soltanto il testo francese

Art. 14 cpv. 2

Abrogato

Art. 17 cpv. 1 lett. a

1 La sicurezza dei dati è retta:

  • a. dall’ordinanza del 31 agosto 202228 sulla protezione dei dati (OPDa);

Art. 19 cpv. 1 e 2

1 I diritti degli interessati, segnatamente il diritto d’accesso, il diritto di essere informati in merito alla raccolta dei dati personali e il diritto alla rettifica e alla distruzione dei dati, sono retti dalle disposizioni della legge federale del 25 settembre 202029 sulla protezione dei dati (LPD) e della legge federale del 20 dicembre 196830 sulla procedura amministrativa, nonché dagli articoli 111e–111g LStrI31.

2 L’interessato che intende far valere i propri diritti deve presentare alla SEM una domanda nella forma prevista dall’articolo 16 OPDa32.

9. Ordinanza del 20 settembre 2002 sui documenti d’identità33

Art. 40 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 42 cpv. 1 e 3

1 Chiunque può domandare all’Ufficio federale nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 202234 sulla protezione dei dati se sono elaborati dati a suo riguardo.

3 Al rifiuto, alla limitazione o al differimento dell’informazione è applicabile l’articolo 26 della legge federale del 25 settembre 202035 sulla protezione dei dati (LPD).

Art. 43 Altri diritti delle persone interessate

Gli altri diritti delle persone interessate sono retti dall’articolo 41 LPD.

10. Ordinanza del 14 novembre 2012 concernente il rilascio di documenti di viaggio per stranieri36

Art. 30 cpv. 1, 3 e 5

1 Ogni straniero può domandare alla SEM nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 202237 sulla protezione dei dati se nell’ISR sono elaborati dati che lo riguardano.

3 Il rifiuto, la limitazione e il differimento dell’informazione richiesta sono retti dall’articolo 26 della legge federale del 25 giugno 202038 sulla protezione dei dati (LPD).

5 Le altre pretese degli interessati sono rette dall’articolo 41 LPD.

11. Ordinanza del 2 novembre 2016 concernente la legge federale relativa alla Convenzione internazionale per la protezione di tutte le persone dalla sparizione forzata39

Art. 10 cpv. 2

2 L’archiviazione dei dati si basa sull’articolo 38 della legge federale del 25 settembre 202040 sulla protezione dei dati e sulle disposizioni della legge federale del 26 giugno 199841 sull’archiviazione.

12. Ordinanza dell’8 settembre 1999 sull’archiviazione42

Art. 12 cpv. 3, primo periodo

3 I mezzi di ricerca contenenti come tali dati personali degni di particolare protezione possono essere pubblicati soltanto dopo la scadenza del termine di protezione. …

Art. 14 cpv. 1

1 Per gli archivi classificati in base a nomi di persona e contenenti dati personali degni di particolare protezione si applica il termine di protezione prorogato a 50 anni di cui all’articolo 11 della legge, che nel caso particolare può essere raccorciato conformemente agli articoli 11 e 13 della legge o prorogato conformemente all’articolo 12 capoverso 2 della legge.

Art. 26 cpv. 2

Abrogato

13. Ordinanza del 24 maggio 2006 sulla trasparenza43

Art. 12 cpv. 1, 2 primo e secondo periodo e 3

1 L’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) esamina se l’autorità ha agito in modo lecito e opportuno nel trattare la domanda.

2 Ascolta i partecipanti alla procedura di mediazione e tenta di giungere a un compromesso. Se necessario, sottopone delle proposte. …

3 L’IFPDT constata il risultato della procedura di mediazione e lo comunica per scritto ai partecipanti.

Art. 12a cpv. 1, frase introduttiva e 2

1 Una domanda di mediazione richiede un trattamento particolarmente dispendioso da parte dellʼIFPDT in particolare se:

2 Se una domanda di mediazione richiede un trattamento particolarmente dispendioso da parte dellʼIFPDT, questi può concedere una proroga ragionevole per portare a termine la mediazione o per emanare la raccomandazione.

Art. 12b cpv. 1, frase introduttiva, lett. b e c nonché 4

1 Non appena è stata presentata una domanda di mediazione, lʼIFPDT ne informa lʼautorità e le impartisce un termine per:

  • b. Concerne soltanto il testo tedesco

  • c. Concerne soltanto il testo tedesco

4 Se le parti rifiutano di partecipare alla ricerca di un accordo o se ritardano la procedura di mediazione in modo abusivo, lʼIFPDT può constatare lʼinsuccesso della mediazione.

Art. 13 cpv. 1, 3 e 4

1 Nella raccomandazione l’IFPDT menziona in particolare il diritto dei partecipanti alla procedura di mediazione di chiedere all’autorità responsabile l’emanazione di una decisione secondo l’articolo 15 LTras e li informa del termine a loro disposizione.

3 L’IFPDT pubblica le raccomandazioni e prende gli opportuni provvedimenti per garantire la protezione dei dati delle persone fisiche e giuridiche che partecipano alla procedura di mediazione.

4 Se la protezione di dati di cui al capoverso 3 non è possibile, l’IFPDT rinuncia a pubblicare la raccomandazione.

Art. 13a Informazione dell’IFPDT da parte dell’autorità

(art. 15 e 16 LTrans)

Le unità amministrative dellʼAmministrazione federale centrale trasmettono allʼIFPDT una copia della propria decisione ed eventuali decisioni delle autorità di ricorso.

Art. 21, frase introduttiva

Ogni autorità comunica annualmente all’IFPDT:

14. Ordinanza del 25 novembre 1998 sull’organizzazione del Governo e dell’Amministrazione44

Art. 27i Protezione dei dati personali

Ogni servizio amministrativo invitato dall’organo d’inchiesta a rendere noti dati personali è tenuto, nella propria sfera di competenza, a garantire l’osservanza delle disposizioni della legge federale del 25 settembre 2020 sulla protezione dei dati.

15. Ordinanza GEVER del 3 aprile 201945

Ingresso

visto l’articolo 57hter della legge del 21 marzo 199746 sull’organizzazione del Governo e dell’Amministrazione (LOGA),

Art. 2 cpv. 3

3 È considerato sistema di gestione degli affari ogni sistema informatico che, ai sensi dell’articolo 57h LOGA, serve al trattamento degli affari e alla gestione di documenti, inclusa la corrispondenza.

16. Ordinanza del 22 febbraio 2012 sul trattamento di dati personali derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione47

Titolo

Ordinanza
sul trattamento di dati personali e di dati di persone giuridiche derivanti dall’utilizzazione dell’infrastruttura elettronica della Confederazione
(OTUIC)

Art. 1 lett. a e b

Ai sensi della presente ordinanza s’intende per:

  • a. dati amministrati: dati personali e dati di persone giuridiche che sono registrati e regolarmente utilizzati, analizzati o volontariamente eliminati nell’ambito dell’utilizzazione dell’infrastruttura elettronica della Confederazione;

  • b. dati non amministrati: dati personali e dati di persone giuridiche che sono registrati, ma non utilizzati, analizzati o volontariamente eliminati, o per lo meno non regolarmente, nell’ambito dell’utilizzazione dell’infrastruttura elettronica della Confederazione;

Art. 10 cpv. 3

3 Il consulente per la protezione dei dati dell’organo federale responsabile riceve una copia dell’incarico.

Art. 14 Nessun diritto degli utenti all’analisi

Gli utenti dell’infrastruttura elettronica della Confederazione non hanno alcun diritto all’analisi dei loro dati ai sensi della presente ordinanza.

17. Ordinanza del 25 novembre 2020 sulla trasformazione digitale e l’informatica48

Art. 26 cpv. 2

2 Nel sistema GDB non possono essere gestiti dati personali degni di particolare protezione.

18. Ordinanza del 19 ottobre 2016 sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione49

Art. 11 cpv. 2

Abrogato

Art. 13 cpv. 4

4 I dati possono essere messi a disposizione automaticamente di altri sistemi d’informazione interni alla Confederazione per essere ripresi e armonizzati a condizione che il sistema interessato:

  • a. disponga di una base legale e di un regolamento per il trattamento secondo l’articolo 6 dell’ordinanza del 31 agosto 202250 sulla protezione dei dati (OPDa); e

  • b. sia notificato all’Incaricato federale della protezione dei dati e della trasparenza secondo l’articolo 12 capoverso 4 della legge federale del 25 settembre 202051 sulla protezione dei dati (LPD).

Art. 17 cpv. 2

2 A tal fine il servizio competente del sistema d’informazione gestito esternamente o che necessita l’accesso al sistema d’informazione esterno formula una richiesta scritta, specificando le persone interessate, e la invia tramite il consulente per la protezione dei dati competente all’organo federale responsabile del sistema d’informazione che fornisce i dati richiesti.

Art. 18 cpv. 1, secondo periodo

1 … In particolare, ogni organo responsabile di un sistema secondo la presente ordinanza emana un regolamento per il trattamento secondo l’articolo 6 OPDa52.

Art. 25 cpv. 2

2 I dati verbalizzati sono conservati separatamente dal sistema in cui sono trattati i dati personali e distrutti entro due anni. Essi non sono archiviati.

Art. 26 cpv. 2

2 A tal fine, tramite il consulente per la protezione dei dati, deve essere inviata all’organo responsabile del sistema IAM una richiesta scritta in cui vengono indicati lo scopo e la base legale. La trasmissione può essere concordata in maniera analoga anche nell’accordo di gestione stipulato tra l’organo responsabile e il gestore del sistema IAM.

19. Ordinanza del 20 giugno 2018 concernente il trattamento dei dati nel sistema di gestione dei mandati del Servizio linguistico DFAE53

Ingresso

visto l’articolo 57hter della legge del 21 marzo 199754 sull’organizzazione del Governo e dell’Amministrazione (LOGA),

Art. 13 cpv. 2

2 I verbali sono conservati al massimo per un anno separatamente dal sistema in cui sono trattati i dati personali.

20. Ordinanza del 4 maggio 2016 sugli emolumenti di fedpol55

Art. 1 cpv. 1 lett. d

1 L’Ufficio federale di polizia (fedpol) riscuote emolumenti per:

  • d. le decisioni e le prestazioni ai sensi dell’articolo 19 capoverso 1 dell’ordinanza del 30 agosto 202256 sulla protezione dei dati;

21. Ordinanza del 12 febbraio 2020 sugli appalti pubblici57

Art. 24 cpv. 2, secondo periodo

2 … Nel caso di un offerente estero o di subappaltatori esteri, il competente servizio di revisione interna o il CDF può chiedere al servizio estero competente di eseguire la verifica se è assicurata una protezione adeguata ai sensi della legge federale del 25 settembre 202058 sulla protezione dei dati.

22. Ordinanza del 29 ottobre 2008 sull’organizzazione della Cancelleria federale59

Art. 5a cpv. 3 lett. c

3 Su proposta della Cancelleria federale, la Conferenza dei segretari generali stabilisce quante persone abbiano accesso a EXE-BRC mediante procedura di richiamo:

  • c. presso l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT);

Art. 10 cpv. 1

1 L’IFPDT è aggregato amministrativamente alla Cancelleria federale.

23. Ordinanza SSVIP del 18 novembre 201560

Art. 11 cpv. 1 lett. a

1 La sicurezza dei dati e la sicurezza informatica sono rette:

  • a. dall’ordinanza del 31 agosto 202261 sulla protezione dei dati;

24. Ordinanza del 25 novembre 1998 concernente lo Stato maggiore Presa d’ostaggi e ricatto62

Art. 14, rubrica e cpv. 1 (concerne soltanto i testi tedesco e francese) nonché 2 primo periodo

2 Il DFGP è titolare della banca dati. …

25. Ordinanza del 22 novembre 2017 sulla protezione dei dati personali del personale federale63

Art. 2 Informazione degli impiegati

Gli impiegati sono informati prima dell’introduzione o della modifica di un sistema d’informazione o di una banca dati.

Art. 9 cpv. 1

Il dossier di candidatura può contenere dati personali degni di particolare protezione, in particolare nel curriculum vitae.

Art. 16 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 28 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 34 cpv. 1 lett. b

I dati contenuti nel SIGDP, compresi i dati personali degni di particolare protezione, possono essere trasmessi ad altri sistemi d’informazione a condizione che:

  • b. il sistema d’informazione sia stato notificato all’Incaricato federale della protezione dei dati e della trasparenza secondo l’articolo 12 capoverso 4 della legge federale del 25 settembre 202064 sulla protezione dei dati (LPD);

Art. 37 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 44 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 51 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 57 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 65 cpv. 2

I verbali sono conservati dall’UFPER per un anno separatamente dal sistema in cui sono trattati i dati personali.

26. Ordinanza Web DFAE del 5 novembre 201465

Ingresso

visti l’articolo 57hter della legge del 21 marzo 199766 sull’organizzazione del Governo e dell’Amministrazione (LOGA);

visto l’articolo 27 capoverso 2 lettera c della legge del 24 marzo 200067 sul personale federale (LPers),

Art. 12 cpv. 1 lett. a

1 La sicurezza dei dati e la sicurezza informatica sono disciplinate:

  • a. dall’ordinanza del 31 agosto 202268 sulla protezione dei dati;

Art. 13 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

27. Ordinanza del 28 aprile 2004 sullo stato civile69

Art. 83 cpv. 2–4

2 Prima di adottare un provvedimento riguardante le questioni della protezione dei dati e della sicurezza dei dati, l’UFSC invita l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) a presentare un parere.

3 Consulta il Centro nazionale per la cibersicurezza.

4 L’IFPDT, nell’ambito della sua vigilanza, si coordina con l’UFSC e se necessario con le autorità cantonali della protezione dei dati.

28. Ordinanza del 18 novembre 1992 concernente la misurazione ufficiale70

Art. 40 cpv. 5

5 In collaborazione con i servizi cantonali di vigilanza sulle misurazioni, essa è autorizzata, nell’adempimento del suo compito, a trattare dati concernenti i differenti lavori di misurazione e i relativi assuntori responsabili.

29. Ordinanza del 17 ottobre 2007 sul registro di commercio71

Art. 12c cpv. 2

2 L’UFRC può disciplinare lo svolgimento e l’automazione della comunicazione elettronica, segnatamente in riferimento a moduli, formato delle banche dati, struttura dei dati, processi operativi e procedure di trasmissione alternative.

30. Ordinanza Ordipro del 22 marzo 201972

Art. 15 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

31. Ordinanza E-VERA del 17 agosto 201673

Art. 9, rubrica e cpv. 1, frase introduttiva

Distruzione di dati

1 I dati relativi a una persona vengono distrutti dopo cinque anni dalla registrazione di una delle informazioni elencate di seguito, o al più tardi al compimento del 115° anno di età:

Art. 14 cpv. 1 lett. a

1 La sicurezza informatica è retta:

  • a. dall’ordinanza del 31 agosto 202274 sulla protezione dei dati;

Art. 15 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

32. Ordinanza CV DFAE del 26 aprile 201775

Art. 6, rubrica

Concerne soltanto il testo tedesco

Art. 11 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

33. Ordinanza «e-vent» del 17 ottobre 201876

Ingresso

visto l’articolo 57hter della legge del 21 marzo 199777 sull’organizzazione del Governo e dell’Amministrazione (LOGA),

Art. 13 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

34. Ordinanza Plato del 25 settembre 202078

Ingresso

visto l’articolo 29 della legge federale del 18 dicembre 200079 sul trattamento dei dati personali da parte del Dipartimento federale degli affari esteri;
visto l’articolo 57hter della legge del 21 marzo 199780 sull’organizzazione del Governo e dell’Amministrazione (LOGA),

Art. 14 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

35. Ordinanza del 26 giugno 2013 sulla commissione peritale federale incaricata di valutare l’idoneità alla terapia dei criminali internati a vita81

Art. 13 cpv. 1

1 Se necessario per l’adempimento dei propri compiti, la Commissione peritale può trattare dati personali, compresi quelli degni di particolare protezione secondo la legge federale del 25 settembre 202082 sulla protezione dei dati.

36. Ordinanza del 7 novembre 2012 sulla protezione extraprocessuale dei testimoni83

Art. 13 cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 15 cpv. 1 lett. a

1 Per garantire la sicurezza dei dati si applicano:

  • a. l’ordinanza del 31 agosto 202284 sulla protezione dei dati;

37. Ordinanza del 20 settembre 2013 sul sistema d’informazione in materia penale dell’Ufficio federale della dogana e della sicurezza dei confini85

Art. 3 Regolamento per il trattamento

L’UDSC emana un regolamento per il trattamento ai sensi dell’articolo 6 dell’ordinanza del 31 agosto 2022 sulla protezione dei dati (OPDa).

Art. 14 cpv. 1 e 2

In caso di procedimenti penali non pendenti, i diritti delle persone interessate, in particolare i diritti d’informazione, di rettifica e di distruzione dei dati, sono retti dalle disposizioni della legge del 25 settembre 202086 sulla protezione dei dati e del DPA.

In caso di procedimenti penali pendenti, tali diritti sono retti dagli articoli 18d e 36 DPA.

Art. 18 cpv. 1

Per garantire la sicurezza dei dati sono applicabili gli articoli 1–4 e 6 OPDa87 e le disposizioni dell’ordinanza del 27 maggio 202088 sui ciber-rischi.

38. Ordinanza VOSTRA del 29 settembre 200689

Art. 18 cpv. 5

5 I dati del casellario giudiziale di cui all’articolo 366 capoversi 2–4 CP possono essere isolati in una nuova banca dati mediante registrazione o conservazione unicamente se questo è necessario per motivare una decisione presa o una pratica procedurale avviata.

Art. 26 cpv. 1, secondo periodo, 2 e 4

1 … All’occorrenza può consultare l’iscrizione completa che la concerne; sono fatte salve le restrizioni del diritto d’accesso secondo l’articolo 26 della legge federale del 25 settembre 202090 sulla protezione dei dati (LPD).

2 Chi intende far valere il proprio diritto all’informazione deve presentare una domanda nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 202291 sulla protezione dei dati (OPDa).

4 Se la persona in questione constata che l’estratto integrale contiene dati errati, può fare valere le sue pretese secondo l’articolo 41 LPD.

Art. 27 cpv. 1 lett. b

1 Per garantire la sicurezza dei dati si applicano in particolare:

  • b. l’OPDa92;

Art. 32 Diritto applicabile

Il trattamento di dati personali rilevati da VOSTRA per scopi impersonali, in particolare di ricerca, pianificazione e statistica è retto dall’articolo 39 della LPD.

39. Ordinanza EGPAP del 23 settembre 201693

Ingresso

visti l’articolo 57hter della legge del 21 marzo 199794 sull’organizzazione del Governo e dell’Amministrazione (LOGA);
visto l’articolo 11a capoverso 4 dell’assistenza in materia penale del 20 marzo 198195 (AIMP),

Art. 14 cpv. 1, frase introduttiva e lett. a

1 La sicurezza dei dati è retta:

  • a. dall’ordinanza del 31 agosto 202296 sulla protezione dei dati;

Art. 15 cpv. 2

2 I verbali sono conservati per due anni separatamente dal sistema in cui sono trattati i dati personali.

Art. 17 cpv. 1

1 L’utilizzazione dei dati personali rilevati nel sistema per scopi statistici è retto dall’articolo 39 della legge federale del 25 settembre 202097 sulla protezione dei dati.

40. Ordinanza del 30 novembre 2001 sull’adempimento di compiti di polizia giudiziaria in seno all’Ufficio federale di polizia98

Art. 6 cpv. 1 lett. c e d nonché 2 lett. b e c

1 Per ottenere le informazioni di cui necessita e per motivare le sue domande d’assistenza amministrativa, la Polizia giudiziaria federale può comunicare i dati personali ai seguenti altri destinatari:

  • c. autorità di altri Paesi che svolgono funzioni di perseguimento penale e di polizia, conformemente all’articolo 13 capoverso 2 LUC;

  • d. organizzazioni internazionali che svolgono compiti in materia di perseguimento penale e di polizia (segnatamente EUROPOL e INTERPOL), conformemente all’articolo 13 capoverso 2 LUC;

2 La Polizia giudiziaria federale può inoltre comunicare spontaneamente i dati personali alle seguenti autorità, affinché possano adempiere i loro compiti legali:

  • b. autorità di altri Paesi, che svolgono funzioni di perseguimento penale, per le loro investigazioni di polizia giudiziaria, conformemente all’articolo 13 capoverso 2 LUC;

  • c. organizzazioni internazionali che svolgono compiti in materia di perseguimento penale e di polizia (segnatamente EUROPOL e INTERPOL), conformemente all’articolo 13 capoverso 2 LUC;

41. Ordinanza JANUS del 15 ottobre 200899

Art. 19 cpv. 1 lett. a e b nonché 2 lett. a e b

1 Nella misura in cui sia indispensabile per ottenere le informazioni di cui necessita e per motivare le sue domande d’assistenza amministrativa, la Polizia giudiziaria federale può comunicare i dati personali registrati in JANUS ai seguenti destinatari:

  • a. autorità di altri Paesi che svolgono funzioni di perseguimento penale e di polizia, conformemente all’articolo 13 capoverso 2 LUC;

  • b. tribunali internazionali e organizzazioni internazionali che svolgono compiti in materia di perseguimento penale e di polizia (segnatamente EUROPOL e INTERPOL), conformemente all’articolo 13 capoverso 2 LUC;

2 La Polizia giudiziaria federale può inoltre comunicare previa richiesta i dati personali registrati in JANUS alle seguenti autorità, nella misura in cui i dati servano all’adempimento dei compiti legali dell’autorità richiedente:

  • a. autorità di altri Paesi che svolgono funzioni di perseguimento penale, per le loro indagini di polizia giudiziaria, conformemente all’articolo 13 capoverso 2 LUC;

  • b. tribunali e organizzazioni internazionali che svolgono compiti in materia di perseguimento penale e di polizia (segnatamente Europol e Interpol), per il trattamento di casi concreti, conformemente all’articolo 13 capoverso 2 LUC;

Art. 24 cpv. 1

1 La consegna all’Archivio federale di dati contenuti nel sistema d’informazione è retta dall’articolo 38 della legge federale del 25 settembre 2020100 sulla protezione dei dati (LPD) e dalla legge federale del 26 giugno 1998101 sull’archiviazione.

Art. 26 lett. a

Per garantire la sicurezza dei dati si applicano:

  • a. l’ordinanza del 31 agosto 2022102 sulla protezione dei dati (OPDa);

Art. 27 cpv. 1, secondo periodo

1 ... I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 29i cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 29l cpv. 1, secondo periodo

1 ... Le restrizioni sono rette dall’articolo 26 LPD103.

Art. 29n cpv. 1 lett. a

1 Per garantire la sicurezza dei dati si applicano:

  • a. l’OPDa104;

Art. 29t cpv. 2

2 I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 29v cpv. 1, secondo periodo

1 ... Le restrizioni sono rette dall’articolo 26 LPD105.

Art. 29w cpv. 1 lett. a

1 Per garantire la sicurezza dei dati si applicano:

  • a. l’OPDa106;

Allegato 2 n. 4.1, riga 1, colonna 2 (titolo)

Banca dati terrorismo

42. Ordinanza RIPOL del 26 ottobre 2016107

Art. 2 cpv. 1, frase introduttiva e lett. f

1 L’Ufficio federale di polizia (fedpol) è l’organo federale responsabile del RIPOL. Assolve i compiti seguenti:

  • f. emana un regolamento sul trattamento dei dati ai sensi dell’articolo 6 dell’ordinanza del 31 agosto 2022108 sulla protezione dei dati (OPDa).

Art. 13 cpv. 1, 1bis e 2, primo periodo

1 I diritti degli interessati, segnatamente il diritto di accesso, rettifica e distruzione, sono retti dalle disposizioni della legge federale del 25 settembre 2020109 sulla protezione dei dati.

1bis Le domande d’informazioni sulla segnalazione di una persona interessata per l’arresto a scopo di estradizione sono rette dall’articolo 8a LSIP110.

2 La persona interessata che intende far valere i propri diritti deve presentare a fedpol o a un’autorità di polizia del Cantone una domanda nella forma prevista dall’articolo 16 ODPa111. ...

Art. 14 cpv. 2 lett. a

2 La sicurezza dei dati è disciplinata:

  • a. dall’OPDa112;

Art. 15 cpv. 1, secondo periodo e 2

1 … Il verbale è conservato per un anno separatamente dal sistema in cui sono trattati i dati personali.

2 Le consultazioni relative a persone e a danneggiati sono registrate costantemente. I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

43. Ordinanza IPAS del 15 ottobre 2008113

Art. 9a Verbalizzazione delle cancellazioni

I verbali delle cancellazioni sono conservati per un anno, a partire dal momento della cancellazione dei dati, separatamente dal sistema in cui sono trattati i dati personali. I verbali sono accessibili esclusivamente al consulente per la protezione dei dati dell’Ufficio e possono essere utilizzati unicamente per sorvegliare il rispetto delle disposizioni in materia di protezione dei dati.

Art. 10 Archiviazione

La consegna all’Archivio federale di dati contenuti nel sistema d’informazione è retta dall’articolo 38 della legge federale del 25 settembre 2020 sulla protezione dei dati (LPD) e dalla legge federale del 26 giugno 1998114 sull’archiviazione.

Art. 12 lett. a

La sicurezza dei dati è garantita:

  • a. dall’ordinanza del 31 agosto 2022115 sulla protezione dei dati;

Art. 13, secondo periodo

… I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

44. Ordinanza del 6 dicembre 2013 sul trattamento dei dati segnaletici di natura biometrica116

Art. 3 cpv. 1 lett. b e d

1 I servizi competenti di fedpol trattano dati segnaletici nell’ambito dei seguenti compiti:

  • b. amministrazione dei registri delle impronte digitali e delle fotografie loro trasmesse;

  • d. confronto dei dati segnaletici loro forniti con quelli dei propri registri;

Art. 3a, secondo periodo

... La persona interessata è informata sull’utilizzazione di questi dati conformemente agli articoli 19 e 20 della legge federale del 25 settembre 2020117 sulla protezione dei dati (LPD).

Art. 5 cpv. 2

2 La persona interessata che intende far valere i propri diritti deve presentare a fedpol una domanda nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022118 sulla protezione dei dati (OPDa).

Art. 6 Archiviazione dei dati

La consegna all’Archivio federale di dati contenuti nei sistemi d’informazione è retta dall’articolo 38 LPD e dalla legge federale del 26 giugno 1998119 sull’archiviazione.

Art. 14 lett. a

La sicurezza dei dati è retta da:

  • a. l’OPDa120;

45. Ordinanza del 15 ottobre 2008 sul Registro nazionale di polizia121

Art. 7 cpv. 1

1 La consegna all’Archivio federale di dati provenienti dai sistemi d’informazione di cui all’articolo 2 capoverso 2 lettere a–c è retta dall’articolo 38 della legge federale del 25 settembre 2020122 sulla protezione dei dati e dalla legge federale del 26 giugno 1998123 sull’archiviazione.

Art. 8 cpv. 1, frase introduttiva e lett. c e d

1 Il diritto delle persone iscritte nel Registro all’accesso, alla rettifica e alla distruzione dei dati è retto:

  • c. per le registrazioni del sistema RIPOL, dall’articolo 13 dell’ordinanza RIPOL del 26 ottobre 2016124;

  • d. per le registrazioni del sistema N-SIS, dall’articolo 50 dell’ordinanza N-SIS dell’8 marzo 2013125;

Art. 11 cpv. 1, secondo periodo, 2, frase introduttiva e 3

1 Concerne soltanto il testo tedesco e francese

2 Concerne soltanto il testo tedesco

3 I verbali sono conservati per un anno, separatamente dal sistema in cui sono trattati i dati personali.

Art. 12 cpv. 1 lett. a

1 Per la salvaguardia della sicurezza dei dati si applicano:

  • a. l’ordinanza del 31 agosto 2022126 sulla protezione dei dati;

46. Ordinanza N-SIS dell’8 marzo 2013127

Art. 50 rubrica (concerne soltanto il testo tedesco), cpv. 1 e 6

1 Una persona che intende esercitare il proprio diritto d’accesso presenta una richiesta a fedpol nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022128 sulla protezione dei dati (OPDa). La pretesa di altri diritti della persona interessata è retta dall’articolo 41 della legge federale del 25 settembre 2020129 sulla protezione dei dati (LPD).

6 È fatto salvo l’articolo 8a LSIP per la restrizione del diritto d’accesso in caso di segnalazioni per l’arresto a scopo di estradizione.

Art. 51 cpv. 1 e 2 lett. c

1 I cittadini di Stati terzi oggetto di una segnalazione ai fini della non ammissione e del divieto di soggiorno ricevono d’ufficio le informazioni di cui all’articolo 25 LPD130.

2 È consentito rinunciare a informare la persona interessata conformemente al capoverso 1 se:

  • c. è prevista una limitazione del diritto di informazione ai sensi dell’articolo 26 LPD.

Art. 53 cpv. 1 lett. a

1 La sicurezza dei dati è retta da:

  • a. l’OPDa131;

47. Ordinanza del 3 dicembre 2004 sui profili del DNA132

Art. 8 cpv. 1

1 Fedpol è l’organo federale titolare del sistema d’informazione.

Art. 17 cpv. 1 e 3, primo periodo

1 Il trattamento dei dati in base alla presente ordinanza è retto dalle disposizioni della legge federale del 25 settembre 2020133 sulla protezione dei dati (LPD).

3 Alla violazione dell’obbligo professionale al segreto dei collaboratori dei laboratori si applica l’articolo 62 LPD. ...

Art. 19 cpv. 1 lett. a

1 La sicurezza dei dati è disciplinata:

  • a. dagli articoli 1–4 e 6 dell’ordinanza del 31 agosto 2022134 sulla protezione dei dati;

48. Ordinanza Interpol del 21 giugno 2013135

Art. 4 cpv. 1 lett. f

1 Le autorità seguenti possono accedere ai dati del sistema d’informazione di polizia di Interpol tramite una procedura di richiamo:

  • f. il consulente per la protezione dei dati di fedpol, per adempiere i suoi compiti di controllo;

Art. 11 cpv. 4, terzo periodo

4 ... Il consulente per la protezione dei dati di fedpol deve essere previamente consultato.

Art. 12 cpv. 2, secondo periodo

2 ... Il consulente per la protezione dei dati di fedpol deve essere previamente consultato.

Art. 16 cpv. 1 e 7

1 Chi intende richiedere informazioni su dati che lo concernono deve presentare al consulente per la protezione dei dati di fedpol una domanda nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022136 sulla protezione dei dati.

7 La pretesa di altri diritti della persona interessata è retta dall’articolo 41 della legge federale del 25 settembre 2020137 sulla protezione dei dati.

Art. 17 cpv. 1

1 Il consulente per la protezione dei dati di fedpol vigila sul trattamento dei dati personali presso l’UCN.

49. Ordinanza del 15 settembre 2017 concernente i sistemi d’informazione nella formazione professionale e nel settore universitario138

Art. 20 Diritti delle persone interessate

I diritti delle persone interessate, in particolare il diritto d’accesso e il diritto alla rettifica o alla distruzione dei dati, sono disciplinati dalla legge federale del 25 settembre 2020 sulla protezione dei dati e le sue disposizioni esecutive.

Art. 21 cpv. 1 lett. a

La sicurezza dei dati e la sicurezza informatica sono disciplinate:

  • a. dalla legge federale del 25 settembre 2020139 sulla protezione dei dati e dalle sue disposizioni esecutive;

50. Ordinanza del 29 novembre 2013 sulla promozione della ricerca e dell’innovazione140

Art. 41a cpv. 3

3 La procedura di richiamo non rende accessibili dati personali degni di particolare protezione ai sensi dell’articolo 5 lettera c della legge federale del 25 settembre 2020141 sulla protezione dei dati.

51. Ordinanza del 30 giugno 1993 sull’organizzazione della statistica federale142

Art. 9 cpv. 1, secondo periodo e 4

1 ... L’Ufficio federale dev’essere anche consultato prima di creare, modificare sostanzialmente e sopprimere insiemi di dati amministrativi e registri della Confederazione idonei agli scopi della statistica federale.

4 L’Ufficio federale allestisce un inventario dei lavori statistici secondo l’articolo 3 capoverso 2 lettere a–c, degli insiemi di dati amministrativi e dei registri della Confederazione idonei agli scopi della statistica federale, nonché delle reti di osservazione e di misura. L’inventario viene aggiornato annualmente.

Art. 10 Protezione e sicurezza dei dati

La protezione dei dati personali è assicurata dalle disposizioni della legge e dell’ordinanza del 30 giugno 1993143 sull’esecuzione di rilevazioni statistiche federali, nonché da quelle della legge federale del 25 settembre 2020144 sulla protezione dei dati e dell’ordinanza del 31 agosto 2022145 sulla protezione dei dati (OPDa).

La sicurezza dei dati personali dei dati delle persone giuridiche è garantita dalle disposizioni della legge nonché da quelle dell’ordinanza del 27 maggio 2020146 sui ciber-rischi e dell’OPDa. Le disposizioni dell’OPDa si applicano per analogia ai dati delle persone giuridiche.

52. Ordinanza del 30 giugno 1993 sulle rilevazioni statistiche147

Art. 5 cpv. 2, frase introduttiva e 3

2 Diritti e doveri di questi istituti e organizzazioni sono disciplinati in contratti speciali. Riguardo all’utilizzazione di dati personali e di dati di persone giuridiche, gli organi di rilevazione impegnano gli istituti e le organizzazioni segnatamente a:

3 Gli organi di rilevazione si accertano che le organizzazioni e gli istituti di sondaggio privati abbiano preso le necessarie misure tecniche e organizzative per l’elaborazione di questi dati conformemente all’ordinanza del 31 agosto 2022148 sulla protezione dei dati (OPDa). Le disposizioni dell’OPDa si applicano per analogia ai dati delle persone giuridiche.

Art. 13m cpv. 1

1 Se contengono dati degni di particolare protezione o dal collegamento risultano le caratteristiche essenziali di una persona fisica o giuridica, al termine dei lavori di elaborazione statistica i dati collegati devono essere distrutti.

L’allegato è modificato secondo la versione qui annessa.

53. Ordinanza del 26 gennaio 2011 sul numero d’identificazione delle imprese149

Art. 3 cpv. 1 lett. b e d

1 Per la notifica all’UST delle unità IDI e dei dati IDI sono determinanti i registri dei servizi IDI ai sensi degli articoli 5 capoverso 1 e 9 capoverso 1 LIDI, nell’ordine di priorità seguente:

  • b. registri settoriali: registri cantonali dell’agricoltura, banche dati degli uffici cantonali di veterinaria, banche dati dei chimici o dei laboratori cantonali, registro dell’Ufficio federale dell’agricoltura, registro delle professioni mediche (MedReg), registro delle professioni sanitarie (GesReg), registro nazionale delle professioni sanitarie (NAREG), registri cantonali degli avvocati, albi cantonali dei notai;

  • d. altri registri: registro delle imprese e degli stabilimenti dell’UST, banche dati dell’’Ufficio federale della dogana e della sicurezza dei confini relative alle imprese attive in ambito di esportazione o importazione, sistema d’informazione centrale sulla migrazione (SIMIC), registri dell’Istituto nazionale svizzero di assicurazione contro gli infortuni (Suva) e degli assicuratori di cui all’articolo 68 della legge federale del 20 marzo 1981150 sull’assicurazione contro gli infortuni, registro delle imprese del Principato del Liechtenstein.

Art. 8 cpv. 4

4 L’iscrizione del complemento IDI nelle banche dati dei servizi IDI è facoltativa.

Art. 20 cpv. 3

3 Le interrogazioni collettive di IDI da parte di privati sono ammesse unicamente se questi ultimi gestiscono già le unità IDI nelle proprie banche dati.

54. Ordinanza del 25 giugno 2003 sugli emolumenti e le indennità per le prestazioni di servizi statistici delle unità amministrative della Confederazione151

Art. 1 lett. d

La presente ordinanza disciplina gli emolumenti e le indennità dell’Ufficio federale di statistica e delle altre unità amministrative della Confederazione secondo l’articolo 2 capoverso 1 LStat (unità amministrative) per le prestazioni seguenti di servizi statistici e amministrativi:

  • d. comunicazione di dati personali e di dati di persone giuridiche anonimizzati, nonché di dati anonimizzati del Registro delle imprese e degli stabilimenti e del Registro federale degli edifici e delle abitazioni dell’Ufficio federale di statistica (art. 19 cpv. 2 LStat);

55. Ordinanza del 9 giugno 2017 sul Registro federale degli edifici e delle abitazioni152

Art. 9 cpv. 2 lett. f

2 Per l’aggiornamento delle informazioni registrate nel REA possono essere utilizzate in particolare le fonti seguenti:

  • f. banche dati della Posta, dei servizi di telecomunicazione, dei fornitori di elettricità e di gas nonché dei gestori delle reti di riscaldamento a distanza;

Art. 18 cpv. 1 lett. a e 2

1 La sicurezza dei dati è disciplinata:

  • a. nell’ordinanza del 31 agosto 2022153 sulla protezione dei dati (OPDa);

2 L’OPDa si applica per analogia alla sicurezza dei dati delle persone giuridiche.

56. Ordinanza del 30 giugno 1993 sul Registro delle imprese e degli stabilimenti154

Art. 9a cpv. 2

2 L’elaborazione dei dati è disciplinata dalle disposizioni della legge federale del 25 settembre 2020155 sulla protezione dei dati (LPD).

Art. 10 cpv. 3

3 L’elaborazione dei dati è disciplinata dalle disposizioni della LPD156.

Art. 14 cpv. 1

1 I diritti degli interessati, segnatamente il diritto di accesso, rettifica e distruzione, sono retti dalle disposizioni della LPD157.

Art. 15 cpv. 1 lett. a e 2

1 La sicurezza dei dati è disciplinata:

  • a. dall’ordinanza del 31 agosto 2022158 sulla protezione dei dati (OPDa);

2 La sicurezza dei dati di persone giuridiche è disciplinata per analogia dall’OPDa.

57. Ordinanza del 4 settembre 2013 sulla circolazione delle specie di fauna e di flora protette159

Art. 54 Diritti delle persone interessate

I diritti delle persone i cui dati sono trattati nel sistema d’informazione, in particolare i diritti d’accesso, di rettifica e di distruzione dei dati, sono retti dalla legge federale del 25 settembre 2020160 sulla protezione dei dati.

Se la persona interessata intende far valere i suoi diritti, deve presentare una domanda all’USAV nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022161 sulla protezione dei dati.

58. Ordinanza animex‑ch del 1° settembre 2010162

Art. 18 cpv. 1 e 2

1 I diritti delle persone i cui dati sono trattati in animex‑ch, in particolare i diritti d’accesso, di rettifica e di distruzione dei dati, sono retti dalla legge federale del 25 settembre 2020163 sulla protezione dei dati.

2 Se un interessato intende far valere i suoi diritti, deve presentare una domanda all’autorità di esecuzione del Cantone in cui è domiciliato o all’USAV nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022164 sulla protezione dei dati.

59. Ordinanza del 4 dicembre 2009 sul Servizio informazioni dell’esercito165

Art. 8, rubrica e frase introduttiva

Trattamento di dati personali

Il SIEs può trattare i dati personali necessari in vista di un impiego dell’esercito, compresi i dati personali che permettono di valutare il grado di pericolosità di una persona, indipendentemente dal fatto che si tratti di dati personali degni di particolare protezione o no:

Art. 9 Deroga all’obbligo di notificare le attività di trattamento all’IFPDT

Le attività di trattamento di dati eseguite nel quadro della ricerca di informazioni giusta l’articolo 99 capoverso 2 LM non devono essere notificate all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), qualora ciò dovesse pregiudicare la ricerca di informazioni.

Il SIEs informa in maniera generale l’IFPDT su tali attività di trattamento dati.

Art. 10 cpv. 2

Con i dati personali non è consentito allestire banche dati indipendenti.

60. Ordinanza del 17 ottobre 2012 sulla condotta della guerra elettronica e sull’esplorazione radio166

Art. 4 cpv. 5

5 La notifica dei registri delle attività di trattamento di dati, il diritto di informazione e di accesso nonché l’archiviazione sono retti dalle disposizioni legali applicabili al rispettivo mandante.

61. Ordinanza del 4 luglio 2007 sulla protezione delle informazioni167

Art. 3 lett. h

Nella presente ordinanza si intende per:

  • h. sistemi informatici e di telecomunicazione: i sistemi nonché le applicazioni e le raccolte di dati presenti nei sistemi;

62. Ordinanza del 21 maggio 2008 sulla geoinformazione168

Sostituzione di espressioni in tutta l’ordinanza

Concerne soltanto il testo tedesco

Inserire prima del titolo della sezione 2

Art. 3a Elenco delle attività di trattamento

Se le raccolte di geodati di base secondo l’Allegato 1 costituiscono dati personali ai sensi della legislazione sulla protezione dei dati, il trattamento di tali dati non è assoggettato all’obbligo di tenere un elenco delle attività di trattamento.

63. Ordinanza del 16 dicembre 2009 sui sistemi d’informazione militari169

Art. 2a Organi titolari dei sistemi d’informazione dell’Aggruppamento Difesa

(art. 186 cpv. 1 lett. a LSIM)

Per i sistemi d’informazione gestiti, conformemente alle disposizioni della LSIM o della presente ordinanza, dall’Aggruppamento Difesa, l’organo federale titolare della protezione dei dati è di volta in volta l’unità amministrativa indicata nell’allegato 1.

Art. 2b lett. b

Più sistemi d’informazione possono essere tecnicamente raggruppati e gestiti per mezzo delle medesime piattaforme, infrastrutture, applicazioni o banche dati tecniche se:

  • b. per tutti i sistemi d’informazione interessati, l’organo federale titolare della protezione dei dati è la medesima unità amministrativa;

Titolo prima dell’art. 72h

Sezione 5: Banche dati ausiliarie

Art. 72h Scopo e organo responsabile

Per la gestione di indirizzi, corsi di formazione e risorse le unità amministrative dell’Aggruppamento Difesa e i comandi militari possono trattare, nelle banche dati ausiliarie necessarie al riguardo, dati personali che non sono degni di particolare protezione, sempre che il trattamento avvenga per scopi interni. Queste banche dati servono all’organizzazione dei processi lavorativi nonché alla pianificazione e alla gestione di scuole, corsi e manifestazioni e non necessitano di basi specifiche.

Art. 72hbis Dati

Nelle banche dati ausiliarie possono essere trattati esclusivamente i dati necessari all’adempimento del rispettivo compito secondo l’allegato 35d.

Art. 72hquater Comunicazione dei dati

I dati delle banche dati ausiliarie possono essere resi accessibili, mediante procedura di richiamo, alle persone competenti dell’Aggruppamento Difesa e ai comandi militari autorizzati.

Art. 72hquinquies Conservazione dei dati

I dati in banche dati ausiliarie possono essere conservati per due anni al massimo a decorrere dalla conclusione della scuola, del corso o della manifestazione o dalla risoluzione del rapporto con il fornitore e del rapporto di lavoro.

Allegato 1, Titolo

Organo titolare della protezione dei dati presso i sistemi d’informazione dell’Aggruppamento Difesa

Allegato 1, riga 1, colonna 4 (titolo)

Organo titolare della protezione dei dati

Allegato 35d, Titolo

Dati delle banche dati ausiliarie

64. Ordinanza del 21 novembre 2018 sulla sicurezza militare170

Art. 4 cpv. 3

3 Del rimanente, sono applicabili le disposizioni della legge federale del 21 marzo 1997171 sulle misure per la salvaguardia della sicurezza interna, della procedura penale militare del 23 marzo 1979172 e della legge federale del 25 settembre 2020173 sulla protezione dei dati.

Art. 5 Deroga all’obbligo di notificare le attività di trattamento all’IFPDT

Le attività di trattamento di dati eseguite nel quadro di un servizio d’appoggio o di un servizio attivo non devono essere notificate all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), se ciò può pregiudicare l’acquisizione d’informazioni e l’adempimento dei compiti secondo la presente ordinanza.

Gli organi della sicurezza militare informano in maniera generale l’IFPDT su tali attività di trattamento di dati.

65. Ordinanza del 2 luglio 2008 sulle armi174

Art. 58 cpv. 1 lett. h, 59 cpv. 1, frase introduttiva, 59a cpv. 1, frase introduttiva e 60, rubrica

Concerne soltanto il testo francese

Art. 64 Comunicazione di dati a uno Stato non vincolato da un accordo di associazione alla normativa di Schengen

(art. 32e LArm)

È data un’adeguata protezione dei dati della persona interessata ai sensi dell’articolo 32e capoverso 3 LArm, se le garanzie adeguate soddisfano i requisiti degli articoli 9–12 dell’ordinanza del 31 agosto 2022175 sulla protezione dei dati (OPDa).

Art. 65 Diritti degli interessati

I diritti degli interessati sono retti dalle legge federale del 25 settembre 2020 sulla protezione dei dati (LPD).

Art. 66a

Il trattamento dei dati contenuti nelle banche dati di cui all’articolo 32a capoverso 1 LArm e all’articolo 59a della presente ordinanza è verbalizzato. I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 66b Archiviazione

L’offerta di dati personali della banca dati di cui all’articolo 59a all’Archivio federale è retta dall’articolo 38 della LPD176 e dall’articolo 6 della legge del 26 giugno 1998177 sull’archiviazione.

Art. 66c cpv. 1 lett. a

La sicurezza dei dati è disciplinata:

  • a. dall’OPDa178;

Art. 66d, 68 cpv. 2 lett. c, 69 lett. c, 70 cpv. 1 lett. c e 2 lett. c

Concerne soltanto il testo francese

66. Ordinanza dell’11 novembre 2020 sulla protezione civile179

Art. 37 cpv. 3

3 Titolare dei dati contenuti nel PISA è il comando Istruzione (art. 2a e allegato 1 OSIM). L’UFPP è titolare dei dati contenuti nel PISA per il settore protezione civile.

67. Ordinanza del 12 agosto 2015 sul centro di notifica per i medicamenti a uso umano d’importanza vitale180

Art. 8 cpv. 2 lett. a

2 Per il resto si applicano:

  • a. l’ordinanza del 31 agosto 2022181 sulla protezione dei dati;

68. Ordinanza del 5 aprile 2006 sulle finanze della Confederazione182

Art. 1 cpv. 1 lett. g e 2

1 Sempre che la legge e l’ordinanza non dispongano altrimenti, le disposizioni della presente ordinanza riguardanti le unità amministrative si applicano per analogia:

  • g. all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

2 È fatta salva la posizione speciale dell’Assemblea federale, dei tribunali della Confederazione, del Controllo federale delle finanze (Controllo delle finanze), del Ministero pubblico della Confederazione, dell’autorità di vigilanza sul Ministero pubblico della Confederazione e dell’IFPDT di cui all’articolo 142 capoversi 2 e 3 della legge del 13 dicembre 2002183 sul Parlamento (LParl).

Art. 26 cpv. 2

2 Il Consiglio federale riprende immutate le proposte dell’Assemblea federale, dei tribunali della Confederazione, del Controllo delle finanze, del Ministero pubblico della Confederazione, dell’autorità di vigilanza sul Ministero pubblico della Confederazione e dell’IFPDT concernenti il riporto dei crediti stanziati con i loro preventivi.

69. Ordinanza del 1° novembre 2006 sulle dogane184

Art. 226 cpv. 3 lett. b

3 L’AFD può accertare o completare i dati concernenti l’identità di una persona fotografandola o rilevandone dati biometrici se:

  • b. nei casi previsti dall’articolo 103 capoverso 1 lettera a LD mediante le immagini del viso; il trattamento dei dati è disciplinato dall’ordinanza del 23 agosto 2017185 sul trattamento dei dati nell’UDSC.

70. Ordinanza del 4 aprile 2007 sull’impiego di telecamere, videoregistratori e altri apparecchi di sorveglianza da parte dell’Ufficio federale della dogana e della sicurezza dei confini186

Art. 10 cpv. 1

1 I diritti delle persone interessate dalle registrazioni, segnatamente il diritto d’accesso e di distruzione, sono retti dalla legge federale del 25 settembre 2020187 sulla protezione dei dati e sulle relative disposizioni d’esecuzione.

71. Ordinanza del 23 agosto 2017 sul trattamento dei dati nell’UDSC188

Ingresso

visti gli articoli 2 capoverso 2, 110 capoverso 3 e 112 capoverso 5 della legge del 18 marzo 2005189 sulle dogane (LD);
visto l’articolo 57hter della legge del 21 marzo 1997190 sull’organizzazione del Governo e dell’Amministrazione (LOGA);
visto l’articolo 27 capoverso 2 della legge del 24 marzo 2000191
sul personale federale;
visto l’articolo 19 della legge del 20 giugno 1933192 sul controllo dei metalli preziosi;
in esecuzione della Convenzione del 20 maggio 1987193 relativa ad un regime comune di transito,

Art. 8 Diritti delle persone interessate

I diritti delle persone interessate, in particolare i diritti d’accesso, di rettifica e di distruzione, si fondano sulla legge federale del 25 settembre 2020 sulla protezione dei dati e sulle sue disposizioni d’esecuzione.

Art. 12 cpv. 1

Per garantire la sicurezza dei dati sono applicabili gli articoli 1–4 e 6 dell’ordinanza del 31 agosto 2022194 sulla protezione dei dati nonché l’ordinanza del 27 maggio 2020 sui ciber-rischi195.

In tutto l’allegato 73, l’espressione «collezione ausiliaria di dati» è sostituita con «banca dati ausiliaria».

72. Ordinanza del 12 ottobre 2011 sulla statistica del commercio esterno196

Art. 13

Concerne soltanto il testo tedesco

73. Ordinanza del 27 novembre 2009 concernente l’imposta sul valore aggiunto197

Art. 135 cpv. 2

2 L’AFC può comunicare dati, a fini statistici, alle autorità federali e cantonali nonché ad altre persone interessate, sempre che tali dati siano resi anonimi e non contengano indicazioni che permettono di risalire alle persone interessate. Sono fatti salvi gli articoli 10 capoversi 4 e 5 della legge del 9 ottobre 1992198 sulla statistica federale e 14 capoverso 3 della legge del 3 ottobre 2003199 sulla Banca nazionale.

74. Ordinanza del 1° novembre 2017 sull’energia200

Art. 70 Trattamento di dati personali e di dati di persone giuridiche

I dati personali e i dati di persone giuridiche, inclusi i dati degni di particolare protezione concernenti perseguimenti e sanzioni amministrativi e penali, possono essere conservati al massimo per dieci anni.

75. Ordinanza del 9 giugno 2006 sulle esigenze per il personale degli impianti nucleari201

Art. 39 cpv. 1, frase introduttiva

1 L’IFSN può trattare dati personali del personale importante per la sicurezza nucleare, in particolare anche dati personali degni di particolare protezione secondo l’articolo 5 lettera c della legge federale del 25 settembre 2020202 sulla protezione dei dati, a condizione che ne abbia bisogno per adempiere i suoi compiti secondo la presente ordinanza, allo scopo di verificare se:

76. Ordinanza del 9 giugno 2006 concernente i corpi di guardia degli impianti nucleari203

Art. 18 cpv. 1

1 L’IFSN può trattare dati personali dei congiunti dei membri dei corpi di guardia, in particolare anche dati degni di particolare protezione ai sensi dell’articolo 5 lettere c della legge federale del 25 settembre 2020204 sulla protezione dei dati, nella misura in cui tali dati risultino necessari all’adempimento dei compiti assegnati dalla presente ordinanza, per verificare se i congiunti dei membri dei corpi di guardia adempiono i requisiti richiesti.

77. Ordinanza del 14 marzo 2008 sull’approvvigionamento elettrico205

Art. 8d cpv. 1, 2 lett. a, 3 e 5, secondo e terzo periodo

1 Senza il consenso delle persone interessate, i gestori di rete possono trattare i dati provenienti dall’impiego di sistemi di misurazione, di controllo e di regolazione intelligenti per i seguenti scopi:

  • a. dati personali e dati di persone giuridiche in forma pseudonimizzata, compresi i profili di carico con periodi di misurazione di 15 minuti e oltre: per la misurazione, il controllo e la regolazione, per l’impiego di sistemi tariffari, nonché per un esercizio sicuro, performante ed efficiente della rete, nonché per il suo bilanciamento e la sua pianificazione;

  • b. dati personali e dati di persone giuridiche in forma non pseudonimizzata, compresi i profili di carico con periodi di misurazione di 15 minuti e oltre: per la fatturazione della fornitura di energia, dei corrispettivi per l’utilizzazione della rete e della rimunerazione per l’impiego di sistemi di controllo e di regolazione.

2 Senza il consenso delle persone interessate, i gestori di rete possono trasmettere i dati provenienti dall’impiego di sistemi di misurazione alle seguenti persone:

  • a. dati personali e dati di persone giuridiche in forma pseudonimizzata o adeguatamente aggregata: ai partecipanti di cui all’articolo 8 capoverso 3;

3 I dati personali e i dati di persone giuridiche vengono distrutti dopo 12 mesi sempre che non siano rilevanti ai fini della fatturazione o anonimizzati.

5 ... A tale fine tiene conto in particolare degli articoli 1–5 dell’ordinanza del 31 agosto 2022206 sulla protezione dei dati (OPDa), nonché di eventuali norme e raccomandazioni internazionali emanate da organizzazioni specializzate riconosciute. Applica gli articoli 1–5 OPDa per analogia quando tratta i dati delle persone giuridiche.

78. Ordinanza del 30 novembre 2018 concernente il sistema d’informazione sugli incidenti stradali207

Ingresso

visti gli articoli 89i capoverso 4, 89l capoverso 3 e 89n della legge federale
del 19 dicembre 1958208 sulla circolazione stradale (LCStr);
visti gli articoli 5 capoverso 1 e 7 capoverso 1 della legge del 9 ottobre 1992209 sulla statistica federale (LStat);
visti gli articoli 8 capoverso 3 e 33 della legge federale del 25 settembre 2020210 sulla protezione dei dati (LPD),

Art. 17 cpv. 4

4 La comunicazione dei dati a fini statistici o di ricerca è retta dalla LPD e dall’ordinanza del 31 agosto 2022211 sulla protezione dei dati, nonché dalla LStat nonché dall’ordinanza del 30 giugno 1993212 sulle rilevazioni statistiche.

79. Ordinanza del 30 novembre 2018 concernente il sistema d’informazione sull’ammissione alla circolazione213

Ingresso

visti gli articoli 89g capoverso 2, 89h e 106 capoverso 1 della legge federale del 19 dicembre 1958214 sulla circolazione stradale (LCStr);
visti gli articoli 8 capoverso 3 e 33 della legge federale del 25 settembre 2020215 sulla protezione dei dati (LPD),

Art. 18 cpv. 5

5 La comunicazione dei dati a fini statistici o di ricerca è retta dalla LPD e dall’ordinanza del 31 agosto 2022216 sulla protezione dei dati, nonché dalla LStat e dall’ordinanza del 30 giugno 1993217 sulle rilevazioni statistiche.

80. Ordinanza del 4 novembre 2009 sulla videosorveglianza TP218

Art. 6 cpv. 2

2 Per il resto si applicano le disposizioni della legge federale del 25 settembre 2020219 sulla protezione dei dati, in particolare gli articoli 33–42.

81. Ordinanza del 17 dicembre 2014 concernente le inchieste sulla sicurezza in caso di eventi imprevisti nei trasporti220

Art. 19 Notifica alle autorità estere

Se un’impresa estera è coinvolta in un evento imprevisto avvenuto sul territorio svizzero, il SISI lo notifica alle autorità competenti dello Stato in cui ha sede l’impresa.

La notifica non può contenere dati personali degni di particolare protezione secondo l’articolo 5 lettera c della legge federale del 25 settembre 2020221 sulla protezione dei dati.

82. Ordinanza del 2 settembre 2015 concernente l’accesso alle professioni di trasportatore di viaggiatori e di merci su strada222

Art. 14 Diritto d’accesso e di rettifica

Se una persona chiede l’accesso ai propri dati, deve presentare una domanda all’UFT nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022 sulla protezione dei dati. La pretesa del diritto alla rettifica è retta dall’articolo 41 della legge federale del 25 settembre 2020223 sulla protezione dei dati.

83. Ordinanza del 4 novembre 2009 sul trasporto di viaggiatori224

Art. 58b cpv. 1

1 Se una persona chiede l’accesso ai propri dati contenuti in un sistema d’informazione sui viaggiatori senza titolo di trasporto valido, deve presentare una domanda al gestore del sistema d’informazione nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022225 sulla protezione dei dati. La pretesa del diritto alla rettifica è retta dall’articolo 41 della legge federale del 25 settembre 2020226 sulla protezione dei dati.

84. Ordinanza del 18 dicembre 1995 concernente il servizio della sicurezza aerea227

Art. 40a cpv. 1 e 2

1 Concerne soltanto il testo tedesco e il testo francese

2 Esso gestisce la banca dati allestita con l’AVRE ed è il servizio responsabile della protezione dei dati.

85. Ordinanza del 15 novembre 2017 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni228

Art. 8 cpv. 2

2 Eventuali valutazioni delle registrazioni sono eseguite dal consulente per la protezione dei dati del Servizio SCPT.

86. Ordinanza del 15 novembre 2017 sul sistema di trattamento per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni229

Art. 7 cpv. 4

4 I diritti di accesso al sistema di trattamento sono disciplinati nell’allegato. Il Servizio SCPT precisa tali diritti in un regolamento per il trattamento dei dati (art. 6 dell’ordinanza del 31 agosto 2022230 sulla protezione dei dati).

Art. 8 cpv. 2, primo periodo

2 Le persone interessate secondo l’articolo 279 del Codice di procedura penale231 o l’articolo 70j della procedura penale militare del 23 marzo 1979232, l’articolo 33 della legge federale del 25 settembre 2015233 sulle attività informative, gli articoli 35 e 36 LSCPT e la legge federale del 25 settembre 2020234 sulla protezione dei dati, nonché i relativi rappresentanti legali possono trasmettere una domanda di accesso ai dati delle sorveglianze all’autorità competente secondo l’articolo 10 capoversi 1–3 LSCPT. ...

87. Ordinanza del 9 marzo 2007 sui servizi di telecomunicazione235

Art. 48 cpv. 3, secondo periodo

3 ... Può in particolare chiedergli informazioni riguardanti perseguimenti e sanzioni amministrativi e penali nei confronti di un fornitore di servizi di telecomunicazione o di servizi a valore aggiunto.

Art. 89 Legislazione sulla protezione dei dati

Per quanto la presente ordinanza non disponga altrimenti, è applicabile la legge federale del 25 settembre 2020 sulla protezione dei dati.

88. Ordinanza del 6 ottobre 1997 concernente gli elementi d’indirizzo nel settore delle telecomunicazioni236

Art. 13l cpv. 2

2 Per il rimanente il trattamento delle informazioni da parte dei delegati e la vigilanza esercitata su di essi sono disciplinati dalle disposizioni applicabili agli organi federali della legge federale del 25 settembre 2020237 sulla protezione dei dati.

89. Ordinanza del 5 novembre 2014 sui domini Internet238

Art. 17 cpv. 2 lett. f

2 Il gestore del registro ha l’obbligo di concludere un contratto di centro di registrazione se il richiedente soddisfa le condizioni seguenti:

  • f. dispone degli strumenti e dei software informatici necessari a garantire la sicurezza dei dati personali forniti dai richiedenti dei nomi di dominio e li conserva nel rispetto delle disposizioni della legge federale del 25 settembre 2020239 sulla protezione dei dati;

90. Ordinanza del 4 dicembre 2000 sulla medicina della procreazione240

Art. 19a cpv. 2, secondo periodo

2 ... L’articolo 9 della legge federale del 25 settembre 2020241 sulla protezione dei dati è applicabile per analogia.

91. Ordinanza del 14 febbraio 2007 sugli esami genetici sull’essere umano242

Art. 21 cpv. 3

3 Per la trasmissione di dati relativi ai pazienti a un laboratorio estero si applicano le condizioni di cui agli articoli 16 e 17 della legge federale del 25 settembre 2020243 sulla protezione dei dati.

92. Ordinanza del 16 marzo 2007 sui trapianti244

Art. 48 cpv. 3

3 Tutti i trattamenti di dati nonché i diritti delle persone i cui dati sono trattati sono retti dalla legge federale del 25 settembre 2020245 sulla protezione dei dati.

Art. 49, secondo periodo

… Essi emanano segnatamente i regolamenti necessari per il trattamento dei dati secondo l’ordinanza del 31 agosto 2022246 sulla protezione dei dati.

Art. 49c cpv. 1, primo periodo

1 Il servizio dei controlli postdonazione, in qualità di detentore della raccolta di dati, è titolare del registro. ...

93. Ordinanza del 18 ottobre 2017 sul trapianto incrociato tra vivi247

Art. 21 cpv. 1, primo periodo

1 L’UFSP è titolare di SwissKiPaDoS. …

94. Ordinanza del 16 marzo 2007 sull’attribuzione di organi248

Art. 34c cpv. 1, primo periodo

1 L’UFSP è titolare di SOAS. …

Art. 34i cpv. 1 lett. a

1 La sicurezza dei dati è disciplinata:

  • a. dagli articoli 1–4 e 6 dell’ordinanza del 31 agosto 2022249 sulla protezione dei dati;

95. Ordinanza del 20 settembre 2013 sulla ricerca umana250

Art. 26 cpv. 2

2 Il codice deve essere conservato da una persona designata nella domanda che non partecipa al progetto di ricerca, separatamente dal materiale biologico o dai dati personali e conformemente ai principi di cui all’articolo 5 capoverso 1.

96. Ordinanza del 20 settembre 2013 sull’organizzazione relativa alla LRUm251

Art. 11 cpv. 2 lett. a e b

2 Gli obblighi secondo il capoverso 1 vengono meno se:

  • a. la persona interessata dispone già delle informazioni in questione;

  • b. Abrogata

Art. 12 Scambio di dati con autorità e istituzioni estere

Sono autorizzati allo scambio di dati confidenziali con autorità e istituzioni estere nonché con organizzazioni internazionali:

  • a. la commissione d’etica competente;

  • b. l’autorità cantonale di vigilanza;

  • c. l’Istituto svizzero per gli agenti terapeutici; e

  • d. l’UFSP.

I dati personali possono essere comunicati all’estero se il Consiglio federale ha constatato che la legislazione dello Stato o dell’organo internazionale interessato garantisce una protezione adeguata secondo l’articolo 16 capoverso 1 della legge federale del 25 settembre 2020252 sulla protezione dei dati (LPD). In assenza di una valutazione del Consiglio federale, i dati personali possono essere comunicati all’estero se sussistono garanzie sufficienti, in particolare contrattuali, che garantiscono una protezione adeguata all’estero.

In deroga all’articolo 16 capoversi 1 e 2 LPD, i dati personali possono essere comunicati all’’estero nei seguenti casi:

  • a. la comunicazione è necessaria per proteggere la vita o l’integrità fisica della persona interessata o di un terzo e non è possibile ottenere il consenso della persona interessata entro un termine adeguato;

  • b. la comunicazione è indispensabile per sventare un pericolo incombente per la salute pubblica;

  • c. la persona interessata ha espressamente acconsentito alla comunicazione.

Se i dati personali sono comunicati all’estero, l’autorità di esecuzione comunica alla persona interessata a quale Stato od organo internazionale e se del caso le garanzie secondo l’articolo 16 capoverso 2 della LPD o l’applicazione di un’eccezione secondo l’articolo 17 LPD.

97. Ordinanza del 26 novembre 2008 sugli esami LPMed253

Art. 26 cpv. 2

2 A tale scopo devono presentare una domanda per scritto alla MEBEKO, sezione «Formazione». La domanda può essere presentata per via elettronica.

98. Ordinanza del 14 novembre 2018 sulle autorizzazioni nel settore dei medicamenti254

Art. 66 lett. b

Gli organi competenti per l’esecuzione sono autorizzati a trattare i dati personali di cui necessitano per adempiere tutti i compiti loro attribuiti dalla presente ordinanza, ivi compresi:

  • b. i dati concernenti perseguimenti e sanzioni amministrativi e penali essenziali per esaminare domande di autorizzazione, segnatamente per valutare se un responsabile tecnico è adatto a questo compito specifico.

Art. 68 cpv. 2

2 Gli accessi ai sistemi d’informazione sono verbalizzati. I dati verbalizzati sono conservati per al massimo due anni separatamente dal sistema in cui sono trattati i dati personali.

99. Ordinanza del 21 settembre 2018 sui medicamenti255

Art. 76 cpv. 2, secondo periodo

2 … I dati verbalizzati sono conservati per due anni separatamente dal sistema in cui sono trattati i dati personali.

100. Ordinanza del 18 agosto 2004 sui medicamenti veterinari256

Art. 36, rubrica e cpv. 5

Trattamento di dati

5 Tutti i trattamenti sottostanno alla legge federale del 25 settembre 2020257 sulla protezione dei dati.

101. Ordinanza del 1° luglio 2020 relativa ai dispositivi medici258

Art. 84 cpv. 1 e 2

1 Swissmedic emana un regolamento per il trattamento di cui all’articolo 6 dell’ordinanza del 31 agosto 2022259 sulla protezione dei dati (OPDa).

2 Al fine di garantire la sicurezza dei dati si applicano gli articoli 1–4 e 6 OPDa.

Art. 92 Applicabilità della legge federale sulla protezione dei dati

Qualsiasi trattamento dei dati effettuato nel sistema d’informazione sui dispositivi medici deve essere conforme alla legge federale del 25 settembre 2020 sulla protezione dei dati.

Allegato 3, n. 2 (Diritto svizzero), n. 13, seconda colonna

Legge federale del 25 settembre 2020 sulla protezione dei dati

102. Ordinanza del 31 ottobre 2018 concernente il sistema d’informazione sugli antibiotici nella medicina veterinaria260

Art. 13 Diritti delle persone interessate

I diritti delle persone i cui dati sono trattati nel SI AMV, in particolare il diritto d’accesso, di rettifica e di distruzione, sono disciplinati dalla legge federale del 25 settembre 2020261 sulla protezione dei dati.

Se una persona intende far valere i suoi diritti, deve presentare una domanda all’USAV nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022262 sulla protezione dei dati.

103. Ordinanza del 4 maggio 2022 relativa ai dispositivi medico‑diagnostici in vitro263

Allegato 2, n. 2 (Diritto svizzero), n. 7, seconda colonna

Legge federale del 25 settembre 2020264 sulla protezione dei dati

104. Ordinanza del 27 febbraio 1991 sulla protezione contro gli incidenti rilevanti

Art. 17, rubrica

Concerne soltanto il testo tedesco

105. Ordinanza del 20 ottobre 2021 concernente la restituzione, la ripresa e lo smaltimento degli apparecchi elettrici ed elettronici266

Art. 8 Protezione dei dati

Chi è soggetto all’obbligo di ripresa, i gestori di centri pubblici di raccolta nonché le imprese di smaltimento devono, per i dispositivi di archiviazione a loro consegnati nei quali sono salvati dati personali, rispettare le disposizioni della legge federale del 25 settembre 2020 sulla protezione dei dati o le rispettive disposizioni cantonali.

106. Ordinanza del 22 marzo 2017 sulla cartella informatizzata del paziente267

Art. 12 cpv. 1 lett. b

1 Le comunità devono dotarsi di un sistema di gestione della protezione e della sicurezza dei dati adeguato ai rischi. Tale sistema deve in particolare comprendere i seguenti elementi:

b. un registro dei mezzi informatici e delle attività di trattamento;

107. Ordinanza del 27 maggio 2020 sull’esecuzione della legislazione sulle derrate alimentari268

Art. 97 cpv. 1–3

1 e 2 Abrogati

3 I dati concernenti perseguimenti e sanzioni amministrativi o penali sono trattati in modo confidenziale, fatti salvi i casi in cui una base legale ne richieda la comunicazione.

Art. 98 cpv. 4

4 Le autorità e i terzi scambiano soltanto i dati personali che sono necessari per il destinatario. Se un documento contiene più dati personali, i dati non necessari per il destinatario sono cancellati o resi illeggibili.

108. Ordinanza del 29 aprile 2015 sulle epidemie269

Art. 90, rubrica

Struttura e contenuto del sistema d’informazione

Art. 96 Sicurezza dei dati

Per garantire la sicurezza dei dati si applicano gli articoli 1–4 e 6 dell’ordinanza del 31 agosto 2022 sulla protezione dei dati.

Art. 97, secondo periodo

… Le verbalizzazioni sono conservate per un anno separatamente dal sistema in cui sono trattati i dati personali.

109. Ordinanza del 29 aprile 2015 concernente i laboratori di microbiologia270

Art. 23 cpv. 1, secondo periodo

Concerne soltanto il testo francese

110. Ordinanza 1 del 10 maggio 2000 concernente la legge sul lavoro271

Ingresso

visto l’articolo 40 della legge del 13 marzo 1964272 sul lavoro (legge, LL);
visto l’articolo 83 capoverso 2 della legge federale del 20 marzo 1981273 sull’assicurazione contro gli infortuni (LAINF);
visto l’articolo 33 della legge federale del 25 settembre 2020274 sulla protezione dei dati (LPD),

Art. 89 Protezione dei dati

(art. 33 LPD, 44–46 LL)

I diritti delle persone interessate, segnatamente il diritto di accesso, rettifica e distruzione, sono retti dalle disposizioni della LPD, nella misura in cui la LL non contiene disposizioni contrarie.

Art. 90 Disposizione penale

Il perseguimento penale per violazioni della protezione dei dati e dell’obbligo di accesso è disciplinato dalla LPD.

111. Ordinanza del 19 giugno 1995 per gli autisti275

Art. 18 cpv. 6

6 Le informazioni a fini statistici o di ricerca sono rette dalle disposizioni della legge federale del 25 settembre 2020276 sulla protezione dei dati, dell’ordinanza del 31 agosto 2022277 sulla protezione dei dati e della legge federale del 9 ottobre 1992278 sulla statistica federale.

112. Ordinanza del 6 settembre 2006 contro il lavoro nero279

Art. 9, rubrica e cpv. 1

Protezione dei dati personali

1 L’organo cantonale di controllo di cui all’articolo 17 capoverso 1 LLN e le autorità cantonali di cui all’articolo 17 capoverso 2 LLN sono autorizzati a consultare, registrare, modificare e distruggere i dati personali menzionati in tali disposizioni.

Art. 9a Protezione dei dati di persone giuridiche

(art. 17a LLN)

L’organo cantonale di controllo e le autorità cantonali di cui all’articolo 17a capoversi 1 e 2 LLN sono autorizzati a consultare, registrare, modificare e distruggere i dati di persone giuridiche menzionati in tali disposizioni.

L’articolo 9 capoversi 2–4 si applica per analogia ai dati delle persone giuridiche.

113. Ordinanza del 16 gennaio 1991 sul collocamento280

Art. 58, rubrica e cpv. 1

Diritti delle persone interessate

(art. 34a, 34b e 35 LC)

1 Le persone in cerca di lavoro e i datori di lavoro che si annunciano alle autorità preposte al mercato del lavoro sono informati su:

  • a. l’identità e i dati di contatto del titolare;

  • b. lo scopo del sistema d’informazione;

  • c. i dati trattati;

  • d. se del caso, i destinatari o le categorie di destinatari i cui dati personali sono comunicati;

  • e. i loro diritti.

Art. 59a

Concerne soltanto il testo francese

114. Ordinanza dell’11 settembre 1996 sul servizio civile281

Art. 110, rubrica, cpv. 1 e 2, frase introduttiva

Banca dati del CIVI per la valutazione di giornate d’introduzione, corsi di formazione e impieghi

(art. 32, 36 cpv. 3 e 45 lett. c LSC)

1 Il CIVI gestisce una banca dati per la valutazione di giornate d’introduzione, corsi di formazione e impieghi.

2 La banca dati contiene i dati rilevati tramite questionari in occasione di tali giornate, corsi o impieghi da:

115. Ordinanza del 20 agosto 2014 sul sistema d’informazione del servizio civile282

Art. 11 cpv. 1 lett. a e 4

1 La sicurezza dei dati si fonda su:

  • a. gli articoli 1–6 dell’ordinanza del 31 agosto 2022283 sulla protezione dei dati;

4 Ogni trattamento di dati è verbalizzato in E-ZIVI. I verbali sono conservati per un anno separatamente dal sistema in cui sono trattati i dati personali.

Art. 13 cpv. 1

1 Dopo la scadenza della durata di conservazione, l’autorità esecutiva trasmette tutti i dati all’Archivio federale, li anonimizza o li distrugge, secondo l’articolo 38 della legge federale del 25 settembre 2020284 sulla protezione dei dati.

116. Ordinanza dell’11 settembre 2002 sulla parte generale del diritto delle assicurazioni sociali285

Art. 8b cpv. 2, terzo periodo

2 ... Sono fatti salvi gli articoli 47 capoverso 2 LPDA e 16 capoverso 2 dell’ordinanza del 31 agosto 2022286 sulla protezione dei dati (OPDa).

Art. 9 cpv. 2, secondo periodo

2 ... È fatto salvo l’articolo 19 OPDa287.

117. Ordinanza del 31 ottobre 1947 sull’assicurazione per la vecchiaia e per i superstiti288

Art. 144, secondo periodo

Concerne soltanto il testo francese

118. Ordinanza del 17 gennaio 1961 sull’assicurazione per l’invalidità289

Art. 79quater cpv. 1 e 3

Concerne soltanto il testo francese

119. Ordinanza del 27 giugno 1995 sull’assicurazione malattie290

Art. 30c, primo periodo

Per la rilevazione, il trattamento e la trasmissione dei dati secondo l’articolo 59a LAMal, l’UST, in collaborazione con l’UFSP, appronta un regolamento per il trattamento ai sensi dell’articolo 6 dell’ordinanza del 31 agosto 2022291 sulla protezione dei dati (OPDa). ...

Art. 59a cpv. 1, 3, primo periodo, 6, secondo periodo e 7

1 Concerne soltanto il testo francese

3 Concerne soltanto il testo francese

6 ... Quest’ultimo deve essere certificato ai sensi dell’articolo 13 della legge federale del 25 settembre 2020292 sulla protezione dei dati (LPD).

7 L’assicuratore informa spontaneamente l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ai sensi dell’articolo 43 LPD della certificazione o del rinnovo della certificazione del suo servizio di ricezione dei dati. L’IFPDT può esigere in ogni momento dal servizio di ricezione dei dati o dall’organismo di certificazione i documenti rilevanti per la certificazione o il rinnovo della certificazione. Esso pubblica un elenco dei servizi di ricezione dei dati certificati.

Art. 59ater cpv. 1

1 Per l’elaborazione delle indicazioni mediche ai sensi dell’articolo 59 capoverso 1, gli assicuratori prendono le misure tecniche e organizzative atte a proteggere i dati, in particolare quelle secondo gli articoli 1–4 e 6 OPDa293.

120. Ordinanza del 20 dicembre 1982 sull’assicurazione contro gli infortuni294

Art. 72a cpv. 2, secondo periodo

2 ... È salvo l’articolo 19 dell’ordinanza del 31 agosto 2022295 sulla protezione dei dati.

121. Ordinanza del 31 ottobre 2007 sugli assegni familiari296

Art. 18h cpv. 1 lett. a

1 La protezione dei dati e la sicurezza informatica sono retti:

  • a. dall’ordinanza del 31 agosto 2022297 sulla protezione dei dati;

122. Ordinanza del 31 agosto 1983 sull’assicurazione contro la disoccupazione298

Art. 126 cpv. 1

1 Le persone interessate, quando s’annunciano o fanno valere i loro diritti, devono essere informate su:

  • a. l’identità e i dati di contatto del titolare;

  • b. lo scopo dei sistemi d’informazione;

  • c. i dati trattati;

  • d. se del caso, i destinatari o le categorie di destinatari i cui dati personali sono comunicati;

  • e. i loro diritti.

123. Ordinanza del 26 maggio 2021 sui sistemi d’informazione AD299

Art. 2 cpv. 2

2 L’ufficio di compensazione dell’assicurazione contro la disoccupazione vigila sull’osservanza delle prescrizioni della legge federale del 25 settembre 2020300 sulla protezione dei dati e può effettuare o far effettuare regolarmente controlli a tal fine.

124. Ordinanza del 18 giugno 2021 sui sistemi d’informazione consolare del Dipartimento federale degli affari esteri301

Ingresso

visti l’articolo 6 della legge federale del 24 marzo 2000302 sul trattamento di dati personali in seno al Dipartimento federale degli affari esteri;
visto l’articolo 57hter della legge del 21 marzo 1997303 sull’organizzazione del Governo e dell’Amministrazione,

Art. 25 cpv. 2

2 I verbali sono conservati per per un anno, separatamente dal sistema in cui sono trattati i dati personali.

125. Ordinanza DOP/IGP del 28 maggio 1997304

Art. 19 cpv. 2 lett. d n. 4

2 L’UFAG rilascia loro su richiesta l’autorizzazione se:

  • d. dispongono di una procedura e di modelli scritti che applicano per i compiti seguenti:

    1. rispetto delle disposizioni della legge federale del 25 settembre 2020305 sulla protezione dei dati.

Art. 21b cpv. 2 lett. d

2 Verifica in particolare se l’organismo di certificazione dispone di procedure e modelli scritti e se li applica per i compiti seguenti:

  • d. rispetto delle disposizioni della legge federale del 25 settembre 2020306 sulla protezione dei dati.

126. Ordinanza del 22 settembre 1997 sull’agricoltura biologica307

Art. 33 lett. c n. 6

L’UFAG ispeziona annualmente gli enti di certificazione ammessi in Svizzera secondo gli articoli 28 e 29, se ciò non è garantito nel quadro dell’accreditamento. In tale occasione verifica in particolare se:

  • c. l’ente di certificazione dispone di procedure e modelli scritti e li applica per i seguenti compiti:

    1. rispetto delle disposizioni della legge federale del 25 settembre 2020308 sulla protezione dei dati.

127. Ordinanza del 25 maggio 2011 sulle designazioni «montagna» e «alpe»309

Art. 11 cpv. 1 lett. d n. 4

1 Gli enti di certificazione devono essere autorizzati, su richiesta, dall’Ufficio federale dell’agricoltura (UFAG) per la loro attività ai sensi della presente ordinanza. Per l’autorizzazione gli enti di certificazione devono:

  • d. disporre di procedure e modelli scritti per i seguenti compiti e applicarli:

    1. rispetto delle disposizioni della legge federale del 25 settembre 2020310 sulla protezione dei dati.

128. Ordinanza del 3 novembre 2021 concernente Identitas AG e la banca dati sul traffico di animali311

Art. 4, rubrica e cpv. 4

Hardware, software, raccolte di dati

4 La Confederazione è responsabile delle raccolte di dati generate dallo svolgimento dei compiti di cui all’articolo 3.

129. Ordinanza del 27 aprile 2022 concernente i sistemi d’informazione dell’USAV per la filiera agroalimentare312

Art. 25 lett. a

I diritti delle persone i cui dati sono trattati in ASAN, in ARES o in Fleko, in particolare i diritti in materia di comunicazione dei loro dati, di rettifica e distruzione di dati nonché di acquisizione degli stessi, sono retti:

  • a. dalla legge federale del 25 settembre 2020313 sulla protezione dei dati se fanno valere i propri diritti nei confronti dell’USAV;

130. Ordinanza del 18 novembre 2015 concernente l’importazione, il transito e l’esportazione di animali e prodotti animali nel traffico con Paesi terzi314

Art. 102d, secondo periodo

… L’USAV emana un regolamento sul trattamento per le necessarie misure organizzative e tecniche.

Art. 102e Diritti delle persone interessate

I diritti delle persone i cui dati sono trattati nel sistema d’informazione EDAV, in particolare i diritti d’accesso, di rettifica e di distruzione dei dati, sono retti dalla legge federale del 25 settembre 2020315 sulla protezione dei dati.

Se una persona interessata intende far valere i suoi diritti, deve presentare una domanda all’USAV nella forma prevista dall’articolo 16 dell’ordinanza del 31 agosto 2022316 sulla protezione dei dati.

131. Ordinanza del 26 giugno 2013 sull’obbligo di dichiarazione e sulla verifica delle qualifiche professionali dei prestatori di servizi in professioni regolamentate317

Titolo prima dell’art. 9