AS 2007 4993
Ordinanza relativa alla legge federale sulla protezione dei dati
Ordinanza relativa alla legge federale sulla protezione dei dati (OLPD)
Modifica del 28 settembre 2007
Il Consiglio federale svizzero ordina:
I L’ordinanza del 14 giugno 19931 relativa alla legge federale sulla protezione dei dati è modificata come segue:
Ingresso visti gli articoli 6 capoverso 3, 7 capoverso 2, 8, 11a capoverso 6, 16 capoverso 2, 17a e 36 capoversi 1, 4 e 6 della legge federale del 19 giugno 19922 sulla protezione dei dati (LPD); visto l’articolo 46a della legge del 21 marzo 19973 sull’organizzazione del Governo e dell’Amministrazione (LOGA),
Sostituzione di un termine In tutta l’ordinanza il termine «dichiarazione» è sostituito con «notifica».
Art. 1 cpv. 2 e 6
2 La domanda d’informazione e la comunicazione delle informazioni richieste pos-
sono avvenire per via elettronica purché il detentore della collezione di dati lo pre- veda esplicitamente e prenda misure adeguate al fine di: a. assicurare l’identificazione della persona interessata; e b. proteggere i dati della persona interessata dall’accesso di terzi non autoriz- zati in occasione della comunicazione delle informazioni. 6 Se il trattamento dei dati richiesti è effettuato da un terzo per conto del detentore della collezione di dati e se quest’ultimo non è in grado di fornire l’informazione richiesta, la domanda è trasmessa al terzo per il disbrigo.
2007-1825 4993
O relativa alla LF sulla protezione dei dati RU 2007
Art. 3 cpv. 1, primo periodo, e cpv. 2, secondo periodo 1 Le collezioni di dati (art. 11a cpv. 3 LPD) sono notificate all’Incaricato federale della protezione dei dati e della trasparenza (Incaricato) prima di essere rese ope- rative. …
2 ... Abrogato
Art. 4 Eccezioni all’obbligo di notifica 1 Non sono sottoposte a notifica le collezioni di dati di cui all’articolo 11a capo- verso 5 lettere a e c–f LPD, come pure le seguenti collezioni (art. 11a cpv. 5 lett. b LPD): a. le collezioni di dati di fornitori o di clienti, sempreché non contengano dati personali degni di particolare protezione o profili della personalità; b. le collezioni i cui dati sono utilizzati esclusivamente per scopi impersonali, segnatamente nell’ambito della ricerca, della pianificazione o della statistica; c. le collezioni archiviate i cui dati sono conservati unicamente a scopi storici o scientifici; d. le collezioni che contengono esclusivamente dati pubblicati o dati che la per- sona interessata ha reso accessibili al pubblico senza opporsi formalmente al loro trattamento; e. le collezioni i cui dati sono trattati unicamente al fine di adempiere le condi- zioni di cui all’articolo 10; f. i documenti contabili; g. le collezioni ausiliarie concernenti la gestione del personale del detentore della collezione di dati, sempreché non contengano dati personali degni di particolare protezione o profili della personalità. 2 Il detentore della collezione di dati prende le misure necessarie per poter comuni- care, su richiesta, all’Incaricato o alle persone interessate le informazioni relative alle collezioni di dati non sottoposte all’obbligo di notifica (art. 3 cpv. 1).
Art. 5 Pubblicazione in forma elettronica La pubblicazione di dati personali mediante servizi automatizzati di informazione e comunicazione al fine di informare il pubblico non è assimilata a una comunicazione di dati all'estero.
Art. 6 Obbligo di informare 1 Il detentore della collezione di dati informa l’Incaricato, prima della comuni- cazione all’estero, sulle garanzie e sulle regole di protezione dei dati di cui all’articolo 6 capoverso 2 lettere a e g LPD. Se non è in grado di informare anticipa- tamente l’Incaricato, l’informazione ha luogo subito dopo la comunicazione.
4994
O relativa alla LF sulla protezione dei dati RU 2007
2 Se le garanzie e le regole di protezione dei dati sono state comunicate
all’Incaricato, l’obbligo di informare del detentore della collezione di dati è pure considerato adempito per tutte le comunicazioni che: a. si fondano sulle stesse garanzie, sempreché le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano analoghi; o b. hanno luogo all’interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché le regole sulla protezione dei dati fornite consentano di garantire una prote- zione adeguata.
3 L’obbligo di informare è altresì considerato adempito se i dati sono trasmessi
mediante contratti modello o clausole standard allestiti o riconosciuti dall’Incaricato e se il detentore della collezione di dati informa in modo generale l’Incaricato dell’impiego di tali contratti modello o clausole standard. L’Incaricato pubblica un elenco dei contratti modello o delle clausole standard da lui allestiti o riconosciuti. 4 Il detentore della collezione di dati prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati. 5 L’Incaricato esamina le garanzie e le regole sulla protezione dei dati che gli sono state comunicate (art. 31 cpv. 1. lett. e LPD) e comunica il risultato del suo esame al detentore della collezione di dati entro un termine di 30 giorni dalla ricezione dell’informazione.
Art. 7 Elenco degli Stati che dispongono di una legislazione che assicuri una protezione adeguata dei dati L’Incaricato pubblica un elenco degli Stati che dispongono di una legislazione che assicuri una protezione adeguata dei dati.
Art. 8 cpv. 1, primo periodo, e cpv. 4 1 Il privato che tratta dati personali o che mette a disposizione una rete telematica assicura il carattere confidenziale, la disponibilità e l’integrità dei dati allo scopo di garantirne in modo appropriato la protezione. …
4 Abrogato
Art. 10 cpv. 1 1 Il detentore di una collezione di dati aggiorna i trattamenti automatizzati di dati personali degni di particolare protezione o di profili della personalità se le misure preventive non sono sufficienti a garantire la protezione dei dati. Un aggiornamento deve avere luogo in particolare qualora, senza tale misura, non fosse possibile veri- ficare a posteriori se il trattamento dei dati è avvenuto in conformità con gli scopi per cui questi sono stati collezionati o comunicati. L’Incaricato può raccomandare l’aggiornamento per altri trattamenti.
4995
O relativa alla LF sulla protezione dei dati RU 2007
Art. 11 Regolamento per il trattamento 1 Il detentore di una collezione di dati automatizzata sottoposta a notifica (art. 11a cpv. 3 LPD), che è esonerato dall’obbligo di notifica in virtù dell’articolo 11a capo- verso 5 lettere b–d LPD, elabora un regolamento che descrive in particolare l’organizzazione interna e le procedure di trattamento e di controllo dei dati e com- prende i documenti relativi alla pianificazione, elaborazione e gestione della colle- zione e dei mezzi informatici. 2 Il detentore della collezione di dati aggiorna regolarmente il regolamento. Su richie- sta, lo mette a disposizione dell’Incaricato o del responsabile della protezione dei dati ai sensi dell’articolo 11a capoverso 5 lettera e LPD in una forma a lui comprensibile.
Titolo prima del capitolo 2
Sezione 5: Responsabile della protezione dei dati
Art. 12a Designazione del responsabile della protezione dei dati e comunicazione all’Incaricato 1 Se il detentore della collezione di dati vuole essere esonerato dall’obbligo di noti- fica conformemente all’articolo 11a capoverso 5 lettera e LPD, deve: a. designare un responsabile della protezione dei dati che soddisfi le condizioni del capoverso 2 e dell’articolo 12b; e b. informarne l’Incaricato. 2 Il detentore della collezione di dati può designare un collaboratore o un terzo quale responsabile della protezione dei dati. Quest’ultimo non può esercitare attività inconciliabili con la sua funzione di responsabile della protezione dei dati e deve disporre delle conoscenze tecniche necessarie.
Art. 12b Compiti e statuto del responsabile della protezione dei dati
1 Il responsabile della protezione dei dati ha segnatamente i seguenti compiti:
a. controlla i trattamenti di dati personali e propone provvedimenti correttivi, se risulta che sono state violate prescrizioni sulla protezione dei dati; b. allestisce un inventario delle collezioni di dati gestite dal detentore della col- lezione di dati secondo l’articolo 11a capoverso 3 LPD e lo mette a disposi- zione dell’Incaricato o delle persone interessate che ne fanno richiesta.
2 Il responsabile della protezione dei dati:
a. esercita la sua funzione in modo indipendente e senza ricevere istruzioni dal detentore della collezione di dati; b. dispone delle risorse necessarie all’adempimento del suo compito; c. ha accesso a tutte le collezioni e trattamenti di dati così come a tutte le in- formazioni necessarie all’adempimento del suo compito.
4996
O relativa alla LF sulla protezione dei dati RU 2007
Art. 14 cpv. 2 2 L’ordinanza del 10 dicembre 20044 sui controlli militari resta applicabile alle domande d’informazione relative ai controlli militari all’estero.
Art. 16, rubrica, nonché cpv. 1 lett. h e cpv. 2 Notifica
1 ... La notifica contiene le seguenti informazioni:
h. Abrogata
2 L’organo federale responsabile aggiorna regolarmente tali informazioni.
Art. 17 Abrogato
Art. 18 Eccezioni all’obbligo di notifica 1 Le seguenti collezioni di dati non sottostanno all’obbligo di notifica, sempreché gli organi federali li utilizzino esclusivamente a scopi amministrativi interni: a. le collezioni di dati usuali di registrazione della corrispondenza; b. le collezioni di dati di fornitori o di clienti, sempreché non contengano dati personali degni di particolare protezione o profili della personalità; c. le collezioni d’indirizzi che servono unicamente all’invio della corrispon- denza, sempreché non contengano dati personali degni di particolare pro- tezione o profili della personalità; d. gli elenchi destinati al pagamento d’indennità; e. i documenti contabili; f. le collezioni ausiliarie concernenti la gestione del personale della Confe- derazione, sempreché non contengano dati personali degni di particolare protezione o profili della personalità; g. le collezioni di dati di biblioteche (cataloghi, elenchi di prestiti e di utenti).
2 Non sono parimenti soggette all’obbligo di notifica:
a. le collezioni di dati depositate presso l’Archivio federale; b. le collezioni di dati resi accessibili al pubblico in forma di annuari; c. le collezioni i cui dati sono utilizzati esclusivamente per scopi impersonali, segnatamente nell’ambito della ricerca, della pianificazione o della statistica. 3 L’organo federale responsabile prende le misure necessarie per poter comunicare, su richiesta, all’Incaricato o alle persone interessate le informazioni relative alle collezioni di dati non sottoposte all’obbligo di notifica (art. 16 cpv. 1).
4 RS 511.22
4997
O relativa alla LF sulla protezione dei dati RU 2007
Art. 19 Se un organo federale comunica dati personali all’estero fondandosi sull’articolo 6 capoverso 2 lettera a LPD, si applica l’articolo 5.
Art. 20 cpv. 2 e 4 2 Gli organi federali responsabili annunciano senza indugio al responsabile della protezione dei dati secondo l’articolo 11a capoverso 5 lettera e LPD o, in mancanza di tale responsabile, all’Incaricato ogni progetto di trattamento automatizzato di dati personali affinché le esigenze della protezione dei dati siano immediatamente prese in considerazione. L’annuncio all’Incaricato si svolge per il tramite dell’OSIC quando un progetto deve essere annunciato anche a quest’ultimo. 4 Per il resto si applicano le istruzioni emanate dagli organi federali responsabili in virtù dell’ordinanza del 26 settembre 20035 sull’informatica nell’Amministrazione federale (OIAF).
Art. 22 cpv. 1 Abrogato
Art. 23 Consulente per la protezione dei dati 1 La Cancelleria federale e i dipartimenti designano ciascuno almeno un consulente per la protezione dei dati. Il consulente ha i seguenti compiti: a. fornire consulenza agli organi responsabili e agli utenti; b. promuovere l’informazione e la formazione dei collaboratori; c. contribuire all’applicazione delle prescrizioni sulla protezione dei dati. 2 Se gli organi federali vogliono essere esonerati dall’obbligo di notifica delle loro collezioni di dati conformemente all’articolo 11a capoverso 5 lettera e LPD, si applicano gli articoli 12a e 12b. 3 Gli organi federali comunicano con l’Incaricato per il tramite del loro consulente per la protezione dei dati.
Art. 27 Procedura d’autorizzazione di sistemi pilota 1 Prima di consultare le unità amministrative interessate, l’organo federale compe- tente del sistema pilota comunica all’Incaricato come viene garantito il rispetto delle esigenze di cui all’articolo 17a LPD e lo invita a esprimere un preavviso. 2 L’Incaricato esprime un preavviso sul rispetto delle condizioni di cui all’artico- lo 17a capoversi 1 e 2 LPD. A tal fine, l’organo federale competente gli mette a disposizione tutti i documenti necessari, e in particolare:
5 RS 172.010.58
4998
O relativa alla LF sulla protezione dei dati RU 2007
a. una descrizione generale del sistema pilota; b. un rapporto attestante che l’adempimento dei compiti previsti dalla legge richiede il trattamento di dati degni di particolare protezione o profili della personalità e rende imperativa una fase sperimentale prima dell’entrata in vigore della legge in senso formale (art. 17a cpv. 1 lett. c LPD); c. una descrizione dell’organizzazione interna e delle procedure di trattamento e di controllo dei dati (art. 21); d. una descrizione delle misure di sicurezza e di protezione dei dati; e. un progetto di ordinanza che disciplini le modalità di trattamento o le grandi linee di tale atto legislativo; f. le informazioni concernenti la pianificazione delle diverse fasi del sistema pilota. 3 L’Incaricato può esigere altri documenti e procedere a verifiche complementari.
4 L’organo federale competente informa l’Incaricato di ogni modifica importante che concerne il rispetto delle condizioni poste dall’articolo 17a LPD. Se necessario, l’Incaricato esprime un nuovo preavviso. 5 Il preavviso dell’Incaricato è allegato alla proposta indirizzata al Consiglio fede- rale.
Art. 27a Rapporto di valutazione sul sistema pilota L’organo federale competente sottopone per parere all’Incaricato il progetto di rapporto di valutazione destinato al Consiglio federale (art. 17a cpv. 4 LPD). Il preavviso dell’Incaricato è comunicato al Consiglio federale.
Art. 28 Registro delle collezioni di dati 1 Il registro delle collezioni di dati gestito dall’Incaricato contiene le informazioni di cui agli articoli 3 e 16. 2 Il registro è accessibile al pubblico online. Su richiesta, l’Incaricato allestisce estratti gratuitamente. 3 L’incaricato stila un elenco dei detentori di collezioni di dati esonerati dall’obbligo di notifica secondo l’articolo 11a capoverso 5 lettere e ed f LPD. Questo elenco è accessibile al pubblico online. 4 Se il detentore della collezione di dati non notifica la collezione o lo fa incompiu- tamente, l’Incaricato lo invita a rimediare entro un determinato termine. Trascorso il termine e sulla base delle informazioni di cui dispone, l’Incaricato può procedere d’ufficio alla registrazione della collezione o raccomandare la cessazione del tratta- mento dei dati.
Art. 29 Abrogato
4999
O relativa alla LF sulla protezione dei dati RU 2007
Art. 30 cpv. 2 e 3 2I rapporti di lavoro del segretariato dell’Incaricato sono retti dalla legge del 24 marzo 20006 sul personale federale e dalle relative disposizioni esecutive. 3 Il budget dell’Incaricato figura in una voce specifica del budget della Cancelleria federale.
Art. 31 cpv. 1, primo periodo 1 L’Incaricato comunica con il Consiglio federale per il tramite del cancelliere della Confederazione. …
Art. 32 cpv. 1, primo periodo, e cpv. 2 1 Gli organi federali comunicano all’Incaricato tutti i disegni di atti legislativi con- cernenti il trattamento di dati personali, la protezione dei dati e l’accesso a documen- ti ufficiali. … 2 L’Incaricato deve disporre della documentazione necessaria per la sua attività. Gestisce un sistema d’informazioni e di documentazione autonomo per la registra- zione, la gestione, l’indicizzazione e il controllo della corrispondenza e delle prati- che, così come per la pubblicazione online di informazioni d’interesse generale e del registro delle collezioni di dati.
Art. 33 cpv. 1 1 I pareri dell’Incaricato (art. 28 LPD) sono sottoposti a emolumento. Si applicano le disposizioni dell’ordinanza generale dell’8 settembre 20047 sugli emolumenti.
II La presente modifica entra in vigore il 1° gennaio 2008.
28 settembre 2007 In nome del Consiglio federale svizzero: La presidente della Confederazione, Micheline Calmy-Rey La cancelliera della Confederazione, Annemarie Huber-Hotz
6 RS 172.220.1 7 RS 172.041.1
5000
O relativa alla LF sulla protezione dei dati RU 2007
Per mantenere il parallelismo d’impaginazione tra le edizioni italiana, francese e tedesca della RU, questa pagina rimane vuota.
5001
O relativa alla LF sulla protezione dei dati RU 2007
5002