Lexipedia

171.110

Ordinanza relativa alla legge cantonale sulla protezione dei dati

(Ordinanza cantonale sulla protezione dei dati, OLCPD)

del 16.09.2025 (stato 01.01.2026)

Preambolo

emanata dal Governo il 16 settembre 2025

visti l'art. 45 cpv. 1 della Costituzione cantonale[1] e l'art. 6 cpv. 3 nonché l'art. 23 cpv. 1 della legge cantonale sulla protezione dei dati[2]

1. Disposizioni generali

Art. 1 Comprova del rispetto delle disposizioni sulla protezione dei dati

L'organo pubblico fornisce la comprova del rispetto delle disposizioni sulla protezione dei dati documentando almeno i seguenti punti in relazione alle attività di trattamento:

  1. i processi del trattamento di dati;
  2. i titolari del trattamento;
  3. le basi legali per il trattamento di dati;
  4. i rischi per la protezione dei dati e i provvedimenti adottati.

L'organo pubblico può fornire la comprova in particolare tramite:

  1. regolamenti interni e altre disposizioni generali relative ai processi aziendali e all'organizzazione aziendale;
  2. istruzioni relative ai trattamenti di dati e alla gestione di dati personali, comprese la cancellazione e l'archiviazione;
  3. piani di sicurezza dell'informazione e di protezione dei dati nonché valutazioni d'impatto sulla protezione dei dati;
  4. piani per l'accesso a informazioni e a strumenti informatici;
  5. rapporti relativi alla gestione di violazioni della sicurezza dei dati soggette all'obbligo di notifica;
  6. altra documentazione e altri mezzi ausiliari concernenti il trattamento sicuro di dati.

Art. 2 Provvedimenti tecnici e organizzativi 1. Obiettivi di protezione

Gli organi pubblici garantiscono mediante adeguati provvedimenti organizzativi e tecnici che i dati personali:

  1. siano accessibili solo alle persone autorizzate (confidenzialità);
  2. siano disponibili quando necessario (disponibilità);
  3. non siano modificati indebitamente o inavvertitamente (integrità);
  4. siano trattati in modo tracciabile (tracciabilità).

Art. 3 2. Adeguatezza

L'adeguatezza dei provvedimenti tecnici e organizzativi si orienta in particolare ai criteri seguenti:

  1. alla necessità di protezione dei dati trattati risultante dallo scopo, dal tipo, dall'entità e dalle circostanze del trattamento di dati;
  2. alla valutazione dei possibili rischi per le persone interessate;
  3. allo stato della tecnica.

Lo scopo e la proporzionalità dei provvedimenti devono essere verificati periodicamente ed eventualmente i provvedimenti vanno adeguati.

Art. 4 3. Provvedimenti

Per garantire la sicurezza dei dati possono essere adottati in particolare i provvedimenti tecnici e organizzativi seguenti:

  1. limitazioni dell'accesso a infrastrutture: alle persone non autorizzate deve essere vietato l'accesso alle infrastrutture nelle quali vengono trattati dati fattuali e personali;
  2. controlli degli utenti: alle persone non autorizzate deve essere vietato usare strumenti informatici con i quali vengono trattati dati fattuali e personali;
  3. controlli dei supporti di dati: alle persone non autorizzate deve essere reso impossibile leggere, fotocopiare, modificare o eliminare supporti di dati;
  4. limitazioni dell'accesso ai dati: l'accesso ai dati deve essere limitato ai dati fattuali e personali di cui le persone autorizzate necessitano per adempiere ai loro compiti;
  5. limitazioni del trattamento: viene impedito il trattamento non autorizzato di dati fattuali e personali;
  6. controlli dell’introduzione: in caso di utilizzo di strumenti informatici deve essere possibile verificare a posteriori quali dati fattuali e personali sono stati trattati in quale momento e da quale persona;
  7. identificazione dei destinatari: i destinatari a cui vengono comunicati dati fattuali o personali devono poter essere identificati;
  8. garanzia della continuità: vengono adottati provvedimenti affinché in caso di guasto degli strumenti informatici le funzioni importanti possano essere ripristinate il più rapidamente possibile;
  9. garanzia della continuità dei dati tra sistemi: vengono adottati provvedimenti affinché i dati fattuali e personali possano essere conservati in modo duraturo nonostante i cambiamenti tecnologici nell'uso di strumenti informatici.

Art. 5 4. Verbalizzazione

In caso di trattamento automatizzato di dati personali, gli organi pubblici verbalizzano almeno la registrazione, la modifica, la lettura, la comunicazione, la cancellazione e la distruzione dei dati se i provvedimenti preventivi non garantiscono la protezione dei dati e se un tale sistema è disponibile sul mercato.

I verbali riportano informazioni sull'identità della persona che ha effettuato il trattamento, sul tipo, la data e l'ora del trattamento nonché, all'occorrenza, sull'identità del destinatario dei dati.

2. Trattamento di dati personali

Art. 6 Sistemi pilota 1. Imprescindibilità

Lo svolgimento di una fase sperimentale è imprescindibile per l'attuazione pratica di un trattamento di dati se è adempiuta una delle seguenti condizioni:

  1. l'adempimento di un compito richiede innovazioni tecniche di cui devono dapprima essere valutati gli effetti;
  2. l'adempimento di un compito richiede importanti provvedimenti organizzativi e tecnici la cui efficacia deve dapprima essere esaminata, in particolare in caso di collaborazione con organi di altri enti pubblici e organizzazioni create da enti pubblici;
  3. l'adempimento di un compito richiede che i dati personali siano accessibili mediante procedura di richiamo.

Art. 7 2. Procedura

L'organo pubblico competente per l'attuazione del sistema pilota chiede il parere dell'organo di vigilanza.

Mette a disposizione dell'organo di vigilanza tutti i documenti necessari per valutare se il sistema pilota possa essere autorizzato, in particolare:

  1. una descrizione generale del sistema pilota;
  2. un rapporto attestante che l'adempimento dei compiti legali necessita un trattamento e che una fase sperimentale prima dell'entrata in vigore della legge è imprescindibile;
  3. una descrizione dei provvedimenti di sicurezza e di protezione dei dati;
  4. un progetto di ordinanza che disciplini le modalità di trattamento o le grandi linee di tale atto normativo.

Il parere deve essere presentato al Governo prima che quest'ultimo decida in merito a una domanda di autorizzazione.

Art. 8 Trattamento 1. Contenuto minimo dei contratti

Per quanto la legge non preveda il trattamento da parte di un responsabile del trattamento, occorre disciplinare contrattualmente almeno i punti seguenti:

  1. oggetto e ed entità dei compiti delegati;
  2. salvaguardia del segreto d'ufficio nonché di obblighi particolari di serbare il segreto;
  3. responsabilità;
  4. provvedimenti tecnici e organizzativi per salvaguardare la protezione dei dati e la sicurezza dei dati;
  5. luogo del trattamento di dati;
  6. controllo dell'adempimento dell'incarico;
  7. coinvolgimento di terzi;
  8. sanzioni previste in caso di violazione degli obblighi;
  9. durata del contratto e presupposti per lo scioglimento del contratto nonché le relative conseguenze, in particolare il rimpatrio e la cancellazione dei dati;
  10. diritto applicabile e foro competente.

Art. 9 2. Coinvolgimento di terzi

La previa autorizzazione dell'organo pubblico che permette al responsabile del trattamento di coinvolgere terzi nel trattamento di dati può essere di natura specifica o generale.

Se l'approvazione è di natura generale, il responsabile del trattamento informa l'organo pubblico titolare del trattamento su qualsiasi modifica prevista per quanto riguarda il coinvolgimento o la sostituzione di altri terzi. L'organo pubblico titolare del trattamento può respingere questa modifica.

Art. 10 Comunicazione di dati personali all'estero

Per valutare se la legislazione di uno Stato destinatario garantisca una protezione adeguata, l'organo pubblico può basarsi sulla valutazione effettuata dalla Confederazione relativa all'adeguatezza della protezione dei dati di uno Stato, un territorio, un determinato settore di uno Stato o un organismo internazionale conformemente all'articolo 8 dell'ordinanza sulla protezione dei dati[3].

Se l'organo di vigilanza è stato informato in merito alle garanzie conformemente all'articolo 12 capoverso 3 della legge cantonale sulla protezione dei dati[4], l'obbligo di informazione è considerato adempiuto per tutte le altre comunicazioni effettuate sotto le stesse garanzie, a condizione che le categorie di destinatari, lo scopo del trattamento e le categorie di dati rimangano sostanzialmente invariati.

L'obbligo di informazione è considerato adempiuto anche se i dati vengono trasmessi sulla base di contratti modello o di clausole contrattuali standard che sono stati allestiti o riconosciuti dall'incaricato federale della protezione dei dati e della trasparenza e se l'organo pubblico titolare del trattamento ha informato in forma generale l'organo di vigilanza sull'utilizzo di tali contratti modello o delle clausole contrattuali standard.

Art. 11 Pubblicazione in forma elettronica nell'ambito dell'attività di informazione ufficiale

Se dati personali vengono resi accessibili a chiunque mediante servizi di informazione e comunicazione automatizzati, ciò non è considerato una trasmissione all'estero.

Art. 12 Trattamento di dati per scopi impersonali

Qualora si intenda comunicare dati personali per scopi impersonali, il destinatario deve fornire almeno le informazioni seguenti:

  1. designazione del destinatario;
  2. breve descrizione del progetto;
  3. descrizione dei dati personali necessari;
  4. procedura e tipo del trattamento di dati;
  5. informazioni in merito ai provvedimenti da adottare per la protezione dei dati personali.

L'organo pubblico chiede al destinatario una dichiarazione di impegno attestante il rispetto delle direttive di cui all'articolo 13 capoverso 1 lettera a della legge cantonale sulla protezione dei dati[5]. Esso può vincolare la comunicazione di dati personali a ulteriori condizioni finalizzate alla protezione dei dati personali.

3. Obblighi dell'organo pubblico titolare del trattamento

3.1. Direttive generali

Art. 13 Svolgimento della consultazione preliminare

All'organo di vigilanza devono essere presentati almeno i documenti elaborati nel quadro della valutazione d'impatto sulla protezione dei dati. L'organo di vigilanza può richiedere altri documenti se questi sono necessari per la valutazione del rischio per i diritti fondamentali.

È possibile rinunciare alla consultazione preliminare se la collaborazione dell'organo di vigilanza nell'organizzazione del progetto è garantita in altro modo.

La consultazione preliminare è conclusa quando l'organo di vigilanza ha dichiarato priva di rischi l'applicazione o ha formulato una raccomandazione conformemente all'articolo 36 della legge cantonale sulla protezione dei dati[6].

Art. 14 Conservazione della valutazione d'impatto sulla protezione dei dati e della consultazione preliminare

L'organo pubblico è tenuto a conservare la valutazione d'impatto sulla protezione dei dati e gli esiti della consultazione preliminare per almeno due anni dopo la conclusione dell'attività di trattamento.

Art. 15 Notifica di violazioni della sicurezza dei dati 1. Modalità dell'obbligo di notifica e documentazione

L'organo di vigilanza mette a disposizione un modulo per la notifica di violazioni della sicurezza dei dati.

Se all'organo pubblico non è possibile notificare contemporaneamente tutte le informazioni, fornirà il prima possibile le informazioni mancanti.

L'organo pubblico deve documentare la violazione della sicurezza dei dati. La documentazione deve contenere i fatti relativi agli incidenti, gli effetti e i provvedimenti adottati. Essa deve essere conservata per almeno due anni oltre la notifica.

Art. 16 2. Informazione della persona interessata

Se l'organo pubblico è tenuto a informare la persona interessata in merito alla violazione della sicurezza dei dati, a tale persona viene comunicato in una lingua semplice e comprensibile almeno quanto segue:

  1. il tipo di violazione;
  2. le conseguenze, compresi eventuali rischi, per le persone interessate;
  3. i provvedimenti adottati o previsti per eliminare il difetto e ridurne le conseguenze, inclusi gli eventuali rischi;
  4. il nome e i dati di una persona di contatto.

Se un'informazione individuale sulla violazione della sicurezza dei dati appare sproporzionata a causa del gran numero di persone interessate, può essere pubblicata in forma adeguata.

3.2. Direttive particolari

Art. 17 Organi pubblici interessati

Gli obblighi della presente sezione valgono per gli organi pubblici designati nell'articolo 22 e nell'articolo 23 della legge cantonale sulla protezione dei dati[7] nonché per:

  1. l'Ufficio per l'esecuzione giudiziaria;
  2. la Polizia cantonale;
  3. la Procura pubblica;
  4. la Polizia della Città di Coira.

Altri organi pubblici possono attuare volontariamente le direttive particolari conformemente all'articolo 22 e all'articolo 23 della legge cantonale sulla protezione dei dati. Se lo fanno, devono osservare le disposizioni della presente sezione.

Art. 18 Registro delle attività di trattamento

Gli organi pubblici interessati aggiornano regolarmente il registro delle attività di trattamento.

Eventuali modifiche devono essere notificate all'organo di vigilanza.

Sono esonerati dall'obbligo di notifica gli organi pubblici che tengono il registro delle attività di trattamento su base volontaria.

Art. 19 Consulente per la protezione dei dati

Gli organi pubblici interessati designano almeno una persona quale consulente per la protezione dei dati che disponga delle conoscenze specialistiche necessarie.

Più organi pubblici interessati possono nominare insieme un consulente per la protezione dei dati.

Il nome e i dati di contatto del consulente per la protezione dei dati devono essere comunicati all'organo di vigilanza e pubblicati.

L'organo di vigilanza istruisce periodicamente i consulenti per la protezione dei dati.

4. Diritti delle persone interessate

Art. 20 Modalità di richiesta

La persona interessata può far valere i suoi diritti per iscritto od oralmente innanzi all'organo pubblico titolare del trattamento.

L'organo pubblico titolare del trattamento deve adottare provvedimenti adeguati per identificare la persona interessata. Quest'ultima ha l'obbligo di collaborare.

Art. 21 Conferimento del diritto d'accesso

L'organo pubblico titolare del trattamento rende accessibili i dati personali per quanto possibile nella forma predisposta per l'uso ufficiale. Le informazioni possono essere fornite per via elettronica se la trasmissione è sufficientemente protetta dall'accesso ai dati da parte di terzi non autorizzati.

D'intesa con l'organo pubblico titolare del trattamento, la persona interessata può consultare i suoi dati sul posto. Le informazioni possono essere fornite oralmente se la persona interessata è d'accordo.

Art. 22 Opposizione

L'organo pubblico titolare del trattamento che ha ricevuto l'opposizione conferma in forma adeguata di aver dato seguito all'opposizione. L'organo pubblico provvede affinché altri organi pubblici che ricevono da esso i dati personali interessati vengano informati in merito all'opposizione.

Se la persona interessata richiede la revoca dell'opposizione, lo comunica per iscritto all'organo pubblico titolare del trattamento.

Art. 23 Eccezioni alla gratuità

Si è in presenza di un onere sproporzionato in particolare se:

  1. la persona interessata presenta più volte una richiesta concernente la stessa questione;
  2. nonostante l'invito da parte dell'organo titolare del trattamento, la persona interessata non adempie il suo obbligo di collaborare; oppure
  3. l'evasione della richiesta è associata a un elevato onere materiale o di tempo.

L'organo pubblico titolare del trattamento deve comunicare alla persona interessata l'ammontare delle spese prima di fornire le informazioni. Se la persona interessata non conferma la richiesta entro dieci giorni, essa è considerata ritirata.

5. Disposizioni finali

Art. 24 Disposizioni transitorie

I sistemi informatici esistenti che non prevedono una verbalizzazione conformemente all'articolo 5 possono rimanere in esercizio fino alla fine del loro ciclo di vita. Occorre tenere conto dell'articolo 5 se vengono sostituiti da un nuovo sistema.

Gli accordi esistenti relativi al trattamento degli incarichi rimangono validi fino alla loro scadenza. Essi devono rispettare l'articolo 8 e l'articolo 9 se vengono prorogati o adeguati.

Egress

2025-050

Tabella modifiche - Secondo decisione

Decisione Entrata in vigore Elemento Cambiamento Rimando AGS
16.09.2025 01.01.2026 atto normativo prima versione 2025-050

Tabella modifiche - Secondo articolo

Elemento Decisione Entrata in vigore Cambiamento Rimando AGS
atto normativo 16.09.2025 01.01.2026 prima versione 2025-050