Ordinanza sulle certificazioni in materia di protezione dei dati (OCPD)

Gli organismi che effettuano certificazioni in materia di protezione dei dati secondo l’articolo 13 LPD (organismi di certificazione) devono essere accreditati. L’accreditamento è retto dall’ordinanza del 17 giugno 1996 ² sull’accreditamento e sulla designazione (OAccD), per quanto la presente ordinanza non disponga altrimenti.

Sono necessari due accreditamenti distinti per certificare:

1. l’organizzazione e la procedura (sistemi di gestione) relative al trattamento dei dati;
2. i prodotti, segnatamente i sistemi e i programmi di trattamento di dati e l’hardware, nonché i servizi e i processi relativi al trattamento dei dati.

Gli organismi di certificazione devono disporre di un’organizzazione e di una procedura di certificazione ben definite (programma di certificazione).

I requisiti minimi concernenti la qualifica del personale addetto alla certificazione sono disciplinati nell’allegato. Gli organismi di certificazione devono dimostrare di impiegare personale qualificato secondo questi criteri.

Il Servizio d’accreditamento svizzero (SAS) consulta l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) in merito alla procedura di accreditamento e ai controlli nonché alla sospensione e alla revoca dell’accreditamento.

Gli organismi di certificazione esteri che desiderano esercitare l’attività sul territorio svizzero devono dimostrare di possedere una qualifica equivalente a quella richiesta in Svizzera, di adempiere i requisiti di cui all’articolo 1 capoversi 3 e 4 e di conoscere sufficientemente la legislazione svizzera sulla protezione dei dati.

L’IFPDT riconosce un organismo di certificazione straniero dopo aver consultato il SAS.

Può rilasciare riconoscimenti limitati nel tempo e vincolarli a oneri.

Revoca il riconoscimento se non sono più adempiuti condizioni o oneri.

È possibile certificare:

1. i sistemi di gestione;
2. i prodotti, i servizi e i processi.

La certificazione dei sistemi di gestione può riguardare l’intero sistema, una parte dell’organizzazione o procedure specifiche.

La certificazione dei prodotti, dei servizi e dei processi può riguardare:

1. i prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali;
2. i servizi o i processi destinati in prevalenza al trattamento di dati personali o generanti dati personali;

Il programma di certificazione deve disciplinare almeno:

1. i criteri di perizia come pure i requisiti che ne conseguono per gli oggetti da certificare;
2. le modalità di svolgimento della procedura, in particolare le misure applicabili in caso di irregolarità.

Nell’elaborare il programma di certificazione occorre tenere conto dei seguenti punti:

1. i dati personali trattati;
2. le infrastrutture elettroniche utilizzate per il trattamento dei dati personali;
3. le misure organizzative relative al trattamento dei dati personali.

I criteri di perizia devono rispettare tutti i principi dell’articolo 6 LPD.

Il programma di certificazione deve essere conforme alle norme applicabili secondo l’allegato 2 dell’OAccD ³ , nonché alle altre norme tecniche applicabili.

La perizia del sistema di gestione riguarda:

1. la politica di protezione dei dati;
2. la documentazione degli obiettivi, dei rischi e delle misure atte a garantire la protezione dei dati e la sicurezza dei dati;
3. i provvedimenti organizzativi e tecnici finalizzati a realizzare gli obiettivi e le misure fissate, in particolare i provvedimenti tesi a eliminare le lacune riscontrate.

L’IFPDT emana direttive sui requisiti minimi che un sistema di gestione deve adempiere. Tiene conto dei requisiti internazionali in materia di installazione, gestione, sorveglianza e ottimizzazione di tali sistemi di gestione e in particolare delle seguenti norme tecniche⁴:

1. UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti;
2. UNI CEI EN ISO/IEC 27001, Tecnologie Informatiche – Tecniche di sicurezza - Sistemi di gestione della sicurezza dell’informazione – Requisiti;
3. UNI CEI EN ISO/IEC 27701, Tecniche di sicurezza – Estensione a ISO/IEC 27001 e ISO/IEC 27002 per la gestione delle informazioni in ambito privacy – Requisiti e linee guida.

La perizia di prodotti, servizi e processi deve permettere di verificare che siano garantiti in particolare i seguenti principi:

1. la riservatezza, l’integrità, la disponibilità e la tracciabilità dei dati personali trattati;
2. la rinuncia a trattare dati personali, per quanto lo scopo d’impiego del prodotto, del servizio o del processo non lo richieda;
3. la trasparenza del trattamento di dati personali;
4. le misure tecniche indispensabili che permettono all’utente di rispettare altri principi o obblighi in materia di protezione dei dati, segnatamente i diritti delle persone interessate.

L’IFPDT emana direttive sui altri criteri in materia di protezione dei dati di cui tenere conto nell’ambito della perizia.

L’organismo di certificazione certifica il sistema di gestione, il prodotto, il servizio o il processo se sono soddisfatti i requisiti legali in materia di protezione dei dati e gli altri requisiti derivanti dalla presente ordinanza e dalle direttive dell’IFPDT o da qualsiasi altra norma equivalente. La certificazione può essere vincolata a oneri.

La certificazione è valida per tre anni. L’organismo di certificazione verifica ogni anno se le condizioni determinanti per la certificazione continuano a essere adempiute.

Dopo aver consultato il SAS, l’IFPDT riconosce le certificazioni estere purché l’adempimento dei requisiti della legislazione svizzera sia garantito.

Il titolare privato del trattamento può rinunciare a una valutazione d’impatto sulla protezione dei dati conformemente all’articolo 22 capoverso 5 LPD soltanto se la certificazione include il trattamento per il quale dovrebbe essere effettuata la valutazione d’impatto.

L’organismo di certificazione può sospendere o revocare una certificazione accordata, in particolare se nell’ambito della verifica constata gravi lacune. Si è in presenza di una grave lacuna in particolare se:

1. le condizioni essenziali della certificazione dei dati non sono più adempiute; o
2. una certificazione è utilizzata in modo ingannevole o abusivo.

Nei casi di controversia in merito alla sospensione o alla revoca, il giudizio e la procedura sono retti dalle disposizioni di diritto civile applicabili al rapporto contrattuale tra l’organismo di certificazione e il fornitore di programmi o sistemi di trattamento dei dati personali, il titolare del trattamento o il responsabile del trattamento certificati.

L’IFPDT informa l’organismo di certificazione se constata gravi lacune presso un fornitore di programmi o sistemi di trattamento di dati personali, un titolare del trattamento o un responsabile del trattamento certificati.

L’organismo di certificazione invita senza indugio il fornitore di programmi o sistemi di trattamento di dati personali, il titolare del trattamento o il responsabile del trattamento certificati a eliminare la lacuna riscontrata entro 30 giorni dalla ricezione della comunicazione dell’IFPDT.

Se la lacuna non è eliminata entro 30 giorni, l’organismo di certificazione sospende la certificazione. La certificazione va revocata se appare improbabile che venga a crearsi o venga ripristinata una situazione conforme al diritto entro un periodo di tempo ragionevole.

Se la lacuna non è eliminata entro il termine previsto dal capoverso 2 e l’organismo di certificazione non ha sospeso o revocato la certificazione, l’IFPDT ordina una misura ai sensi dell’articolo 51 capoverso 1 LPD. Segnatamente, può ordinare la sospensione o la revoca della certificazione. Se indirizza l’ordine all’organismo di certificazione, ne informa il SAS.

L’ordinanza del 28 settembre 2007 ⁵ sulle certificazioni in materia di protezione dei dati è abrogata.

La presente ordinanza entra in vigore il 1° settembre 2023.