AS 2023 738
Ordinanza sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione (OIAM)
Preambolo
Il Consiglio federale svizzero
ordina:
I
L’ordinanza del 19 ottobre 20161 sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione è modificata come segue:
Ingresso
visti gli articoli 26 e 84 capoverso 1 della legge del 18 dicembre 20202 sulla sicurezza delle informazioni (LSIn);
vista la legge federale del 17 marzo 20233 concernente l’impiego di mezzi elettronici per l’adempimento dei compiti delle autorità (LMeCA);
vista la legge del 21 marzo 19974 sull’organizzazione del Governo e dell’Amministrazione (LOGA);
visto l’articolo 27 capoversi 5 e 6 della legge del 24 marzo 20005 sul personale federale;
visto l’articolo 186 della legge federale del 3 ottobre 20086 sui sistemi d’informazione militari e su altri sistemi d’informazione nel DDPS,
Art. 2 Campo d’applicazione
1 Gli articoli 24 e 25 LSIn e la presente ordinanza si applicano:
a. alle unità amministrative dell’Amministrazione federale centrale secondo l’articolo 7 dell’ordinanza del 25 novembre 19987 sull’organizzazione del Governo e dell’Amministrazione (OLOGA);
b. all’esercito.
2 L’applicabilità della presente ordinanza alle unità amministrative dell’Amministrazione federale decentralizzata secondo l’articolo 2 capoverso 3 LOGA e alle organizzazioni secondo l’articolo 2 capoverso 4 LOGA si fonda sull’articolo 2 capoverso 2 lettera b e 3 dell’ordinanza dell’8 novembre 20238 sulla sicurezza delle informazioni (OSIn).
Art. 5 Sistemi IAM
1 I seguenti organi federali sono responsabili dei sottostanti sistemi IAM dell’Amministrazione federale centrale:
a. il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT della CaF) per:
tutti i sistemi IAM offerti come servizi standard o esplicitamente attribuiti al settore TDT della CaF inclusa la relativa messa a disposizione dei Cantoni e dei Comuni nonché delle organizzazioni e delle persone di diritto pubblico o privato conformemente all’articolo 11 capoverso 3 LMeCA,
tutti i sistemi IAM dei processi di supporto legati a finanze, acquisti, immobili e logistica, compresi i collegamenti cloud;
b. la Direzione delle risorse del Dipartimento federale degli affari esteri (DFAE) per il sistema IAM gestito dall’unità Informatica DFAE;
c. la Segreteria generale del Dipartimento federale della difesa, della protezione della popolazione e dello sport per i sistemi IAM gestiti dall’Aggruppamento Difesa (Aggruppamento D);
d. l’Amministrazione federale delle finanze per il sistema IAM gestito in seno all’Ufficio centrale di compensazione per il trattamento dei sistemi di assicurazioni sociali del 1° pilastro e il relativo supporto ai processi;
e. la Segreteria generale del Dipartimento federale dell’economia, della formazione e della ricerca (DEFR) per il sistema IAM gestito presso il Centro servizi informatici DEFR (CSIeco);
f. l’Ufficio federale delle strade per il suo sistema IAM destinato all’esercizio degli equipaggiamenti di esercizio e sicurezza delle strade nazionali.
2 Provvedono affinché la liceità del trattamento dei dati personali nei sistemi IAM dei quali sono responsabili sia verificata almeno ogni quattro anni da un servizio esterno.
3 I seguenti organi federali sono responsabili dei sottostanti sistemi IAM:
a. l’Aggruppamento D per i sistemi IAM dell’esercito;
b. le rispettive unità amministrative per i sistemi IAM dell’Amministrazione federale decentralizzata;
c. le rispettive organizzazioni per i sistemi IAM delle organizzazioni secondo l’articolo 2 capoverso 4 LOGA.
4 Le autorità assoggettate secondo l’articolo 2 capoverso 1 lettere a e c–e LSIn, alle quali la presente ordinanza si applica secondo l’articolo 84 capoverso 3 LSIn, stabiliscono quali sono gli organi federali responsabili nel loro settore.
5 La responsabilità del sistema a valle, in particolare dell’accesso ad esso, rimane al servizio tecnico cui spetta la relativa competenza.
Art. 6 lett. b n. 3
Gli organi federali responsabili dei servizi di elenchi esterni ai sistemi IAM sono:
b. per gli altri elenchi, i fornitori di prestazioni informatiche che gestiscono tali sistemi, più precisamente:
l’Aggruppamento D,
Art. 7 lett. b
Le persone interessate fanno valere i propri diritti relativi ai sistemi IAM e ai servizi di elenchi presso i seguenti servizi:
b. diritto di correzione e cancellazione dei dati:
presso il servizio del personale della loro unità amministrativa od organizzazione oppure presso il servizio competente per l’aggiornamento dei loro dati,
nel caso di cui all’articolo 9 lettera b: presso gli organi responsabili.
Art. 9 lett. b
Oltre ai dati di cui all’articolo 8, nei sistemi IAM possono essere trattati dati delle persone seguenti:
b. privati e rappresentanti di organizzazioni che accedono a sistemi informatici, come le applicazioni per il Governo elettronico, messi a disposizione dalla Confederazione o, per l’esecuzione del diritto cantonale, dai Cantoni e dai Comuni nonché dalle organizzazioni e dalle persone di diritto pubblico o privato.
Art. 11 cpv. 2 e 3
2 In questi sistemi non può essere effettuata alcuna profilazione secondo l’articolo 5 lettere f e g della legge federale del 25 settembre 20209 sulla protezione dei dati.
3 In assenza di una base legale specifica in materia, in questi sistemi non possono essere trattati dati personali degni di particolare protezione. È fatto salvo il trattamento di dati biometrici con sistemi IAM per l’identificazione delle persone in funzione dei rischi secondo gli articoli 8 e 9 lettera a (art. 20 cpv. 2 LSIn).
Art. 12 cpv. 4
4 Possono ottenere automaticamente dati di persone esterne dai sistemi IAM esterni collegati ai sistemi IAM della Confederazione secondo gli articoli 21–24.
Art. 13 cpv. 4 lett. a
4 I dati possono essere automaticamente messi a disposizione di altri sistemi d’informazione interni alla Confederazione per essere ripresi e armonizzati a condizione che il sistema interessato:
a. sia dotato di una base legale che prevede il trattamento dei dati da mettere a disposizione e di un regolamento per il trattamento secondo l’articolo 6 dell’ordinanza del 31 agosto 202210 sulla protezione dei dati (OPDa); e
Art. 14 cpv. 2
2 Sono fatte salve le disposizioni sulla distruzione dei dati biometrici secondo l’articolo 20 capoverso 2 LSIn.
Titolo prima dell’art. 18
Sezione 6: Misure di protezione dei sistemi IAM e dei servizi di elenchi
Art. 18 cpv. 1 e 2
1 I gestori interni ed esterni di componenti di un sistema IAM e di un servizio di elenchi devono disporre di direttive scritte sulla sicurezza delle informazioni e sulla gestione dei rischi. In particolare, ogni organo responsabile secondo la presente ordinanza di un sistema o di un servizio di elenchi emana un regolamento per il trattamento secondo l’articolo 6 OPDa11.
2 I sistemi IAM e i servizi di elenchi che non sono gestiti da servizi secondo l’articolo 2 o su loro mandato, possono essere collegati a sistemi IAM o servizi di elenchi interni alla Confederazione soltanto se soddisfano i requisiti minimi in materia di sicurezza delle informazioni.
Art. 20 Sistema globale IAM
I sistemi IAM della Confederazione possono essere collegati tra loro e con i sistemi IAM esterni di cui all’articolo 21 al fine di costituire un sistema globale.
Art. 21, frase introduttiva e lett. a
I seguenti sistemi esterni IAM possono essere collegati ai sistemi IAM della Confederazione per consentire l’accesso delle persone ivi registrate alle risorse della Confederazione, sempre che siano soddisfatte le condizioni e le procedure secondo gli articoli 22 e 23 e i loro gestori s’impegnino a rispettare la presente ordinanza e le direttive emanate in virtù della stessa oppure, nel caso dei Cantoni, tali sistemi garantiscano una sicurezza delle informazioni almeno equivalente:
a. sistemi IAM comprendenti collaboratori cantonali e comunali secondo l’articolo 9 lettera a e i sistemi IAM del Principato del Liechtenstein;
Art. 24 cpv. 1 lett. a
1 I sistemi IAM della Confederazione possono essere collegati, in qualità di fornitori di informazioni inerenti all’identificazione e all’autenticazione, a un sistema IAM esterno o a una rete esterna per le identificazioni alle seguenti condizioni:
a. il collegamento serve a concedere alle persone di cui agli articoli 8 o 9 l’accesso:
ai sistemi d’informazione gestiti da un gestore esterno su mandato della Confederazione o a sistemi d’informazione terzi ai quali devono accedere per poter eseguire i loro compiti legali, oppure
ai sistemi d’informazione, come le applicazioni per il Governo elettronico, messi a disposizione per l’esecuzione del diritto cantonale dai Cantoni e dai Comuni nonché dalle organizzazioni e dalle persone di diritto pubblico o privato;
II
L’allegato è sostituito dalla versione qui annessa.
III
La presente ordinanza entra in vigore il 1° gennaio 2024.
8 novembre 2023 | In nome del Consiglio federale svizzero: Il presidente della Confederazione, Alain Berset |
Allegato
(art. 11 e 13 cpv. 1 e 2)
Categorie di dati
Osservazione preliminare: per il significato degli asterischi (*) si veda l’articolo 11 capoverso 4.
Servizi di elenchi | Sistemi IAM con persone secondo gli art. 8 e 9 lett. a | Sistemi IAM con persone secondo l’art. 9 lett. b | |
|---|---|---|---|
| |||
| x | x | x |
| x | x | x |
| x | x | |
| x | ||
| x | ||
| x | x | |
| x | x | x |
| x | x | x |
| x | x | x |
| x | x | x |
| x | x | x |
| x | x | x |
| x | ||
| x | x | x |
| x | x | x |
| |||
| x | x | |
| x | x | x |
| x | x | |
| x | ||
| x | x | |
| x | x | |
| x | x | |
| x | x | |
| x | x | |
| x | x | x |
| |||
| x | x | x |
| x | ||
| x | x | |
| x | x | x |
| x | x | x |
| |||
| x | x | |
| x | x | |
| |||
| x | x | x |
| x | ||
| x | x | x |
| x | x | x |
| x | x | x |
| x | x | x |
| x | x | |
| x | x | |
| x | x | |
| x | x | |
| x | x | |
| |||
| x | ||
| x |