Lexipedia

AS 2013 4359

Ordinanza sui sistemi d'informazione del Servizio delle attività informative della Confederazione

Ordinanza sui sistemi d’informazione del Servizio delle attività informative della Confederazione (OSI-SIC)

Modifica del 29 novembre 2013

Il Consiglio federale svizzero ordina:

I L’ordinanza del 4 dicembre 20091 sui sistemi d’informazione del Servizio delle attività informative della Confederazione è modificata come segue:

Ingresso visto l’articolo 5 capoverso 4 della legge federale del 3 ottobre 20082 sul servizio informazioni civile (LSIC); visti gli articoli 10a capoverso 5, 15 capoversi 3 e 5 nonché 30 della legge federale del 21 marzo 19973 sulle misure per la salvaguardia della sicurezza interna (LMSI); visto l’articolo 17a della legge federale del 19 giugno 19924 sulla protezione dei dati (LPD),

Art. 1 Oggetto La presente ordinanza disciplina la gestione, il contenuto e l’utilizzazione dei seguenti sistemi d’informazione del Servizio delle attività informative della Confe- derazione (SIC): a. Sistema d’informazione Sicurezza esterna (ISAS); b. Sistema d’informazione Sicurezza interna (ISIS); c. Presentazione elettronica della situazione (PES); d. Modulo informatico P4 (modulo P4; e. Sistema di gestione elettronica degli affari e dei mandati (Gever SIC).

2013-1380 4359

Sistemi d’informazione del SIC. O RU 2013

Art. 2 Definizioni Nella presente ordinanza s’intende per: a. dati: informazioni memorizzate nei sistemi d’informazione del SIC; b. oggetti: compilazioni di dati relative a una persona, un’organizzazione, una cosa o un evento; c. metadocumenti: prodotti della registrazione strutturata di dati; d. relazioni: connessioni tra singoli oggetti e singoli metadocumenti; e. record di dati: tutti i metadocumenti concernenti un determinato oggetto; f. tecnica OCR: riconoscimento ottico dei caratteri; g. documenti originali: singole entrate informative iniziali; h. terzi: persone o organizzazioni che sono rilevanti ai fini della protezione dello Stato unicamente in virtù di un legame con un oggetto; i. consultazioni brevi: consultazioni online limitate, eseguite da organi esterni nei sistemi ISIS e ISAS per il tramite dell’indice, volte a verificare se una persona o organizzazione sono registrate; j. consultazioni SIC: consultazioni online illimitate, eseguite dai collaboratori del SIC nei sistemi ISIS e ISAS; k. consultazioni SI cant: consultazioni online limitate, eseguite da organi esterni nei sistemi ISIS e ISAS per il tramite dell’indice, volte a verificare se una persona o organizzazione sono registrate e a leggere i metadocumenti allestiti sulla base di documenti originali degli organi di sicurezza dei Can- toni nell’ambito dell’esecuzione della LMSI.

Art. 5 Visualizzazione Gli oggetti e i metadocumenti possono essere visualizzati e le visualizzazioni pos- sono essere memorizzate.

Art. 6 Consultazione trasversale Gli utenti dei sistemi d’informazione del SIC possono, nel quadro delle rispettive autorizzazioni d’accesso, accedere contemporaneamente a tutti i sistemi d’informa- zione del SIC. A tal fine è a loro disposizione un’apposita funzionalità di ricerca e distribuzione.

Art. 7 Rete SiLAN 1 Il SIC gestisce una rete informatica protetta (rete SiLAN) separata da altre reti informatiche.

2 La rete SiLAN serve al trattamento di dati classificati.

4360

Sistemi d’informazione del SIC. O RU 2013

3 La rete SiLAN è a disposizione esclusivamente dei collaboratori del SIC, della

Vigilanza sulle attività informative in seno al DDPS, del servizio informazioni dell’esercito e del fornitore di prestazioni informatiche secondo l’articolo 15 capo- verso 5 che dispongono delle corrispondenti autorizzazioni. Il diritto di utilizzazione si applica per analogia ai mandatari che hanno ricevuto da detti organi la corrispon- dente autorizzazione.

Art. 8 Intranet SIC 1 L’Intranet SIC è gestito nella rete SiLAN. Esso serve all’informazione dei collabo- ratori del SIC. 2 È a disposizione esclusivamente dei collaboratori del SIC e della Vigilanza sulle attività informative in seno al DDPS.

Art. 8a Indice 1 Esternamente alla rete SiLAN, il SIC gestisce, in un ambiente protetto, una piatta- forma d’informazione (indice) comprendente dati classificati sino al livello di classi- ficazione CONFIDENZIALE. 2 Il SIC assicura che tutte le persone e organizzazioni rilevanti per l’adempimento dei compiti degli utenti esterni dei sistemi ISIS e ISAS figurino nell’indice nella misura consentita dalle esigenze in materia di protezione delle fonti. 3 Gli utenti esterni dei sistemi ISIS e ISAS possono consultare l’indice nel quadro delle rispettive autorizzazioni d’accesso.

Art. 10 cpv. 6 Abrogato

Art. 12 Cancellazione dei dati 1 I dati sono cancellati entro tre mesi dalla scadenza della corrispondente durata di conservazione secondo gli articoli 24, 33, 35f, 35k e 35q.

2 Con la cancellazione dell’ultimo metadocumento è cancellato l’intero record di

dati. 3 I dati destinati alla cancellazione sono trasferiti nel modulo di archiviazione; è fatto salvo l’articolo 13 capoverso 2.

Art. 14 cpv. 3 3 Se dati del SIC sono trasmessi esternamente alla rete SiLAN, l’intero processo ha luogo in forma criptata.

Art. 17 cpv. 1 1 Il sistema ISAS è gestito nel quadro di un esercizio pilota a tempo determinato ai sensi dell’articolo 17a LPD.

4361

Sistemi d’informazione del SIC. O RU 2013

Art. 17a Struttura del sistema ISAS

1 Il sistema ISAS si compone di:

a. un archivio di documenti per la registrazione e la consultazione dei dati secondo l’articolo 18 capoverso 1; b. un sistema di analisi e di aggiornamento della situazione per la registrazione nonché per il trattamento e la valutazione trasversali dei dati (IASA SIC); c. un indice per verificare se il SIC tratta, riguardo a persone o organizzazioni, dati secondo l’articolo 1 lettera a LSIC.

2 Il DDPS definisce i campi di dati.

Art. 18 Dati nel sistema ISAS 1 Il sistema ISAS contiene dati concernenti l’estero rilevanti sotto il profilo della politica di sicurezza.

2 Sono trattati i dati seguenti:

a. dati concernenti l’identità di persone o organizzazioni registrate; b. riprese visive o sonore; c. dati alfanumerici concernenti eventi e persone, quali targhe d’immatrico- lazione dei veicoli e dati su collegamenti di telecomunicazione.

3 I dati sono suddivisi in oggetti, metadocumenti e documenti originali.

4 I dati disponibili in forma elettronica dell’ex Servizio informazioni strategico concernenti le tematiche del terrorismo e della non proliferazione sono trasferiti nel sistema ISAS.

Art. 20 Diritti d’accesso 1 Per quanto necessario all’adempimento dei loro compiti legali, i collaboratori del SIC competenti per l’esercizio pilota hanno accesso mediante procedura di richiamo ai dati del sistema ISAS e dell’indice.

2 Hanno accesso all’indice mediante procedura di richiamo i collaboratori compe-

tenti per l’esercizio pilota presso le autorità seguenti: a. l’organo di sicurezza dei Cantoni designato dal capo del DDPS, per l’esecuzione dei propri compiti secondo la LMSI; b. gli organi federali competenti per i controlli di sicurezza relativi alle per- sone, per lo svolgimento di detti controlli.

Art. 21 Immissione dei dati e controllo della qualità 1 Nel sistema ISAS possono essere trattate soltanto informazioni corrispondenti agli scopi di cui all’articolo 3.

2 I collaboratori del SIC competenti per lo smistamento archiviano i documenti

originali nell’archivio di documenti.

4362

Sistemi d’informazione del SIC. O RU 2013

3 I collaboratori del SIC competenti per lo svolgimento dell’esercizio pilota immet- tono i dati nel sistema ISAS sulla base dei documenti originali. 4 Il direttore del SIC o il suo sostituto può incaricare l’organo del SIC competente per il controllo della qualità (organo di controllo della qualità) di verificare i dati del sistema ISAS.

5 L’organo di controllo della qualità cancella i dati non più necessari.

Art. 22 Archivio di documenti 1 L’archivio di documenti deve garantire una gestione e un’archiviazione corrette dei documenti.

2 I documenti originali possono essere registrati mediante la tecnica OCR.

3 Se i documenti originali sono registrati elettronicamente, si può rinunciare

all’archiviazione dei documenti originali in forma cartacea.

Art. 23 Diritto d’essere informati delle persone interessate Il diritto d’essere informati è retto dalle disposizioni della LPD.

Art. 24 Durata di conservazione dei dati 1 È consentito conservare gli oggetti e i metadocumenti per 30 anni al massimo dalla data del loro ultimo trattamento. Per «trattamento» si intende la modifica o l’ampli- amento di un record di dati.

2 Il termine di conservazione massimo dei dati del sistema ISAS è di 45 anni.

Art. 25 Struttura del sistema ISIS

1 Il sistema ISIS si compone di:

a. un archivio di documenti per la registrazione e la consultazione dei dati secondo l’articolo 26 capoverso 1; b. un sistema di analisi e di aggiornamento della situazione per la registrazione nonché per il trattamento e la valutazione trasversali dei dati; c. un indice per verificare se il SIC tratta, riguardo a persone o organizzazioni, dati secondo l’articolo 1 lettera b LSIC.

2 Il DDPS definisce i campi di dati.

Art. 26 Dati nel sistema ISIS 1 Il sistema ISIS contiene dati su persone ed eventi e dati documentari concernenti la Svizzera provenienti dalle attività preventive di protezione dello Stato nonché dati provenienti da fonti pubblicamente accessibili secondo l’articolo 9.

4363

Sistemi d’informazione del SIC. O RU 2013

2 Sono trattati i dati seguenti:

a. dati concernenti l’identità di persone o organizzazioni registrate; b. riprese visive o sonore; c. dati alfanumerici concernenti eventi e persone, quali targhe d’immatricolazione dei veicoli e dati su collegamenti di telecomunicazione.

3 I dati sono suddivisi in oggetti, metadocumenti e documenti originali.

4 Qualora sia opportuno per la gestione dell’accesso, i dati sono attribuiti a un ambito specifico e suddivisi in categorie.

Art. 27 Controllo della qualità 1 L’organo di controllo della qualità verifica i dati contrassegnati con la lettera «p», segnatamente l’indicazione delle fonti, la valutazione dell’informazione e la data della successiva valutazione globale. 2 Conferma la registrazione definitiva dei dati contrassegnandoli con la lettera «k».

3 Cancella i dati non più necessari.

Art. 27a Diritti d’accesso 1 I collaboratori del SIC hanno accesso mediante procedura di richiamo ai dati del sistema ISIS e dell’indice.

2 Hanno accesso all’indice mediante procedura di richiamo le autorità seguenti:

a. gli organi di sicurezza dei Cantoni, per l’esecuzione dei propri compiti secondo la LMSI; b. fedpol, per l’adempimento di compiti di polizia giudiziaria e di polizia di sicurezza nonché per l’esame di casi di sospetto riciclaggio di denaro e di finanziamento del terrorismo qualora si tratti di comunicazioni di istituti finanziari svizzeri (consultazione breve); c. gli organi federali competenti per i controlli di sicurezza relativi alle per- sone, per lo svolgimento di detti controlli (consultazione breve). 3 In via supplementare e nella misura in cui la consultazione serva all’esecuzione dei propri compiti secondo la LMSI, gli organi di sicurezza dei Cantoni hanno accesso mediante procedura di richiamo all’indice per visionare i metadocumenti allestiti sulla base di documenti originali dei suddetti organi nell’ambito dell’esecuzione della LMSI.

Art. 28 Requisiti tecnici per il collegamento di esterni 1 Il DDPS stabilisce i requisiti tecnici per il collegamento di autorità esterne.

2 Le autorità esterne sono collegate all’indice soltanto se soddisfano detti requisiti.

4364

Sistemi d’informazione del SIC. O RU 2013

Art. 29 Trattamento dei dati 1 Nel sistema ISIS possono essere trattate soltanto informazioni corrispondenti agli scopi di cui all’articolo 3. 2 I collaboratori competenti per la registrazione dei dati valutano se un’informazione consente di trarre conclusioni sulla rilevanza ai fini della protezione dello Stato della persona o organizzazione a cui l’informazione si riferisce. Se ciò è il caso, immet- tono nel sistema ISIS i pertinenti dati.

3 I dati sono registrati provvisoriamente e contrassegnati con la lettera «p».

4 I collaboratori competenti per la registrazione dei dati valutano, sulla base della provenienza, della modalità di trasmissione, del contenuto e delle conoscenze già disponibili, se si tratta di metadocumenti attendibili o poco attendibili. 5 I collaboratori competenti per la registrazione dei dati contrassegnano i metadocu- menti attendibili con la lettera «g» e i metadocumenti poco attendibili con la lettera «u». 6 I dati su persone e organizzazioni contenuti nei documenti originali possono essere ulteriormente utilizzati soltanto dopo l’allestimento di un corrispondente oggetto.

7 I metadocumenti contrassegnati con la lettera «u» da oltre tre anni dalla loro

registrazione possono essere ulteriormente utilizzati soltanto se ciò è necessario per l’adempimento dei compiti legali e il direttore del SIC o il suo sostituto ne ha auto- rizzato l’ulteriore utilizzazione. L’autorizzazione è valevole sino alla successiva valutazione globale.

Art. 30 Archivio di documenti 1 L’archivio di documenti deve garantire una gestione e un’archiviazione corrette dei documenti.

2 I documenti originali possono essere registrati mediante la tecnica OCR.

3 Se i documenti originali sono registrati elettronicamente, si può rinunciare

all’archiviazione dei documenti originali in forma cartacea.

Art. 31 cpv. 2 Abrogato

Art. 32 Valutazione globale periodica dei dati nel sistema ISIS 1 L’organo di controllo della qualità procede a una valutazione globale di un record di dati al più tardi entro cinque anni dalla registrazione del primo metadocumento. Dopodiché provvede a una valutazione globale del record di dati almeno ogni tre anni. 2 L’organo di controllo della qualità valuta, tenendo conto dei pericoli e rischi attuali, se le informazioni registrate in un record di dati sono ancora necessarie relativamente al rischio per la sicurezza interna e in funzione delle attività di prote- zione dello Stato. I dati non più necessari sono cancellati.

4365

Sistemi d’informazione del SIC. O RU 2013

3 I metadocumenti contrassegnati con la lettera «u» da oltre tre anni dalla loro

registrazione possono essere ulteriormente utilizzati fino alla successiva valutazione globale soltanto se: a. sono necessari per l’adempimento dei compiti legali; e b. il direttore del SIC o il suo sostituto ne ha autorizzato l’ulteriore utilizza- zione. 4 L’organo di controllo della qualità annota l’avvenuta esecuzione della valutazione globale per i dati di cui è autorizzata l’ulteriore utilizzazione. 5 Gli oggetti contrassegnati da oltre tre anni come dati concernenti terzi sono cancel- lati in occasione della valutazione globale.

Art. 33 Durata di conservazione dei dati 1 Per quanto concerne i dati del sistema ISIS si applicano le seguenti durate massime di conservazione: a. per i dati preventivi: 15 anni; b. per i dati dei programmi di ricerca preventiva in corso: 20 anni; c. per i dati concernenti divieti d’entrata: fino a dieci anni a decorrere dalla rispettiva data di scadenza, al massimo 35 anni; d. per i dati provenienti dal settore dello spionaggio: 45 anni; e. per i dati documentari provenienti dalle attività preventive di protezione dello Stato e per i dati provenienti da fonti pubblicamente accessibili:

45 anni.

2 Per quanto concerne i documenti originali, la durata massima di conservazione è di

45 anni.

Titolo prima dell’art. 35a

Sezione 4a: Presentazione elettronica della situazione (PES)

Art. 35a Base e contenuto del sistema PES 1 La Presentazione elettronica della situazione (PES) è un sistema d’informazione basato sul web. 2 Il sistema PES contiene dati su persone ed eventi per la rappresentazione, la valu- tazione e l’analisi della situazione in materia di sicurezza interna e di misure in materia di politica di sicurezza.

4366

Sistemi d’informazione del SIC. O RU 2013

3 Sono trattati i dati seguenti:

a. dati descrittivi di eventi; b. informazioni concernenti la gestione e l’attuazione di misure in materia di politica di sicurezza nonché informazioni concernenti misure per la salva- guardia della sicurezza interna ed esterna.

Art. 35b Struttura del sistema PES Il sistema PES si compone delle seguenti cartelle con i contenuti sottoindicati: a. cartella «Eventi»: dati provenienti da reti informative integrate relativi a eventi; b. cartella «Centro federale di situazione»: rapporti periodici sulla situazione, aggiornamenti della situazione e documentazioni; c. cartella «SIC»: dati concernenti la tenuta dei giornali dei servizi di picchetto del SIC.

Art. 35c Diritti d’accesso 1 Le autorità e gli uffici secondo l’allegato 3 O-SIC5 hanno accesso al sistema PES per gli scopi menzionati e alle condizioni stabilite in detto allegato. 2 Il direttore del SIC può concedere a servizi privati nonché ad autorità di sicurezza e di polizia estere, in caso di eventi che comportano un aggravamento del pericolo per la sicurezza, un accesso al sistema PES limitato nel tempo e nei contenuti, se tali servizi e autorità: a. sono direttamente o indirettamente interessati da un evento; b. possono contribuire, con le proprie informazioni o conoscenze, a una migliore presentazione e valutazione della situazione; o c. partecipano alla gestione o all’attuazione di misure in materia di politica di sicurezza. 3 Il SIC può esigere dalle autorità e dagli uffici secondo il capoverso 1 informazioni sull’utilizzazione dei dati.

Art. 35d Controllo della qualità L’organo di controllo della qualità controlla per campionamento la legalità, l’adeguatezza, l’efficacia e l’esattezza del trattamento dei dati nel sistema PES.

Art. 35e Diritto d’essere informati delle persone interessate Il diritto d’essere informati è retto dalle disposizioni della LPD.

5 RS 121.1

4367

Sistemi d’informazione del SIC. O RU 2013

Art. 35f Durata di conservazione La durata massima di conservazione dei dati nel sistema PES e dei relativi docu- menti originali è di tre anni.

Titolo prima dell’art. 35g Sezione 4b: Modulo informatico P4 (modulo P4

Art. 35g Contenuto, scopo e struttura del modulo P4 1 Il modulo informatico P4 (modulo P4 contiene i seguenti dati su persone ed eventi per il trattamento e l’analisi di informazioni concernenti i passaggi del confine da parte di cittadini stranieri di determinati Paesi: a. identità delle persone interessate; b. fotografia e indicazioni relative al documento d’identità; c. indicazioni relative al controllo alla frontiera.

2 Il modulo P4 si compone di un archivio di documenti per la registrazione e la

consultazione dei dati trasmessi al SIC dagli organi di controllo alla frontiera.

Art. 35h Diritti d’accesso 1 Per quanto necessario all’adempimento dei loro compiti legali, i collaboratori del SIC competenti dell’esecuzione del programma di ricerca volto a trattare e analiz- zare i passaggi del confine da parte di cittadini stranieri di determinati Paesi possono consultare, registrare, modificare e cancellare dati del modulo P4. 2 Per quanto necessario all’adempimento dei loro compiti legali, i collaboratori del SIC possono consultare i dati del modulo P4.

Art. 35i Controllo della qualità L’organo di controllo della qualità controlla per campionamento la legalità, l’adeguatezza, l’efficacia e l’esattezza del trattamento dei dati nel modulo P4.

Art. 35j Diritto d’essere informati delle persone interessate Il diritto d’essere informati è retto dalle disposizioni della LPD.

Art. 35k Durata di conservazione La durata massima di conservazione dei dati nel modulo P4 e dei relativi documenti originali è di cinque anni.

4368

Sistemi d’informazione del SIC. O RU 2013

Titolo prima dell’art. 35l Sezione 4c: Sistema di gestione elettronica degli affari e dei mandati (Gever SIC)

Art. 35l Gestione e scopo del sistema Gever SIC

1 Il SIC gestisce nella rete SiLAN un sistema d’informazione per la gestione,

l’elaborazione e il controllo degli affari (Gever SIC).

2 In deroga all’articolo 12 capoverso 2 dell’ordinanza GEVER del 30 novembre

20126, i dati classificati CONFIDENZIALE sono archiviati nel sistema Gever SIC senza essere criptati. 3 In deroga all’articolo 12 capoverso 3 dell’ordinanza GEVER, i dati classificati SEGRETO possono essere archiviati nel sistema Gever SIC.

Art. 35m Contenuto del sistema Gever SIC Il sistema Gever SIC contiene: a. dati relativi alla gestione amministrativa degli affari; b. informazioni necessarie per il controllo degli affari nel settore dei controlli di sicurezza relativi alle persone; c. tutti i prodotti informativi in uscita dal SIC; d. i dati impiegati per allestire i contenuti secondo le lettere a–c, sempre che sia garantita la protezione delle fonti.

Art. 35n Diritti d’accesso Per quanto necessario all’adempimento dei loro compiti legali, i collaboratori del SIC possono registrare, modificare, cancellare e consultare dati nel sistema Gever SIC.

Art. 35o Controllo della qualità L’organo di controllo della qualità controlla per campionamento la legalità, l’adeguatezza, l’efficacia e l’esattezza del trattamento dei dati nel sistema Gever SIC.

Art. 35p Diritto d’essere informati delle persone interessate Il diritto d’essere informati è retto dalle disposizioni della LPD.

Art. 35q Durata di conservazione La durata massima di conservazione dei dati nel sistema Gever SIC è di 45 anni.

6 RS 172.010.441

4369

Sistemi d’informazione del SIC. O RU 2013

II L’ordinanza del 4 dicembre 20097 sul Servizio delle attività informative della Con- federazione è modificata come segue:

Art. 19 cpv. 3 3 I dati sono archiviati in due collezioni di dati logicamente separate in funzione della relazione del loro contenuto con la Svizzera.

III La presente ordinanza entra in vigore il 1° gennaio 2014.

29 novembre 2013 In nome del Consiglio federale svizzero: Il presidente della Confederazione, Ueli Maurer La cancelliera della Confederazione, Corina Casanova

7 RS 121.1

4370