Lexipedia

AS 2023 738

Ordinanza sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione (OIAM)

Preambolo

Il Consiglio federale svizzero

ordina:

I

L’ordinanza del 19 ottobre 20161 sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione è modificata come segue:

Ingresso

visti gli articoli 26 e 84 capoverso 1 della legge del 18 dicembre 20202 sulla sicurezza delle informazioni (LSIn);
vista la legge federale del 17 marzo 20233 concernente l’impiego di mezzi elettronici per l’adempimento dei compiti delle autorità (LMeCA);
vista la legge del 21 marzo 19974 sull’organizzazione del Governo e dell’Amministrazione (LOGA);
visto l’articolo 27 capoversi 5 e 6 della legge del 24 marzo 20005 sul personale federale;
visto l’articolo 186 della legge federale del 3 ottobre 20086 sui sistemi d’informazione militari e su altri sistemi d’informazione nel DDPS,

Art. 2 Campo d’applicazione

1 Gli articoli 24 e 25 LSIn e la presente ordinanza si applicano:

  • a. alle unità amministrative dell’Amministrazione federale centrale secondo l’articolo 7 dell’ordinanza del 25 novembre 19987 sull’organizzazione del Governo e dell’Amministrazione (OLOGA);

  • b. all’esercito.

2 L’applicabilità della presente ordinanza alle unità amministrative dell’Amministrazione federale decentralizzata secondo l’articolo 2 capoverso 3 LOGA e alle organizzazioni secondo l’articolo 2 capoverso 4 LOGA si fonda sull’articolo 2 capoverso 2 lettera b e 3 dell’ordinanza dell’8 novembre 20238 sulla sicurezza delle informazioni (OSIn).

Art. 5 Sistemi IAM

1 I seguenti organi federali sono responsabili dei sottostanti sistemi IAM dell’Amministrazione federale centrale:

  • a. il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT della CaF) per:

    1. tutti i sistemi IAM offerti come servizi standard o esplicitamente attribuiti al settore TDT della CaF inclusa la relativa messa a disposizione dei Cantoni e dei Comuni nonché delle organizzazioni e delle persone di diritto pubblico o privato conformemente all’articolo 11 capoverso 3 LMeCA,

    2. tutti i sistemi IAM dei processi di supporto legati a finanze, acquisti, immobili e logistica, compresi i collegamenti cloud;

  • b. la Direzione delle risorse del Dipartimento federale degli affari esteri (DFAE) per il sistema IAM gestito dall’unità Informatica DFAE;

  • c. la Segreteria generale del Dipartimento federale della difesa, della protezione della popolazione e dello sport per i sistemi IAM gestiti dall’Aggruppamento Difesa (Aggruppamento D);

  • d. l’Amministrazione federale delle finanze per il sistema IAM gestito in seno all’Ufficio centrale di compensazione per il trattamento dei sistemi di assicurazioni sociali del 1° pilastro e il relativo supporto ai processi;

  • e. la Segreteria generale del Dipartimento federale dell’economia, della formazione e della ricerca (DEFR) per il sistema IAM gestito presso il Centro servizi informatici DEFR (CSIeco);

  • f. l’Ufficio federale delle strade per il suo sistema IAM destinato all’esercizio degli equipaggiamenti di esercizio e sicurezza delle strade nazionali.

2 Provvedono affinché la liceità del trattamento dei dati personali nei sistemi IAM dei quali sono responsabili sia verificata almeno ogni quattro anni da un servizio esterno.

3 I seguenti organi federali sono responsabili dei sottostanti sistemi IAM:

  • a. l’Aggruppamento D per i sistemi IAM dell’esercito;

  • b. le rispettive unità amministrative per i sistemi IAM dell’Amministrazione federale decentralizzata;

  • c. le rispettive organizzazioni per i sistemi IAM delle organizzazioni secondo l’articolo 2 capoverso 4 LOGA.

4 Le autorità assoggettate secondo l’articolo 2 capoverso 1 lettere a e c–e LSIn, alle quali la presente ordinanza si applica secondo l’articolo 84 capoverso 3 LSIn, stabiliscono quali sono gli organi federali responsabili nel loro settore.

5 La responsabilità del sistema a valle, in particolare dell’accesso ad esso, rimane al servizio tecnico cui spetta la relativa competenza.

Art. 6 lett. b n. 3

Gli organi federali responsabili dei servizi di elenchi esterni ai sistemi IAM sono:

  • b. per gli altri elenchi, i fornitori di prestazioni informatiche che gestiscono tali sistemi, più precisamente:

    1. l’Aggruppamento D,

Art. 7 lett. b

Le persone interessate fanno valere i propri diritti relativi ai sistemi IAM e ai servizi di elenchi presso i seguenti servizi:

  • b. diritto di correzione e cancellazione dei dati:

    1. presso il servizio del personale della loro unità amministrativa od organizzazione oppure presso il servizio competente per l’aggiornamento dei loro dati,

    2. nel caso di cui all’articolo 9 lettera b: presso gli organi responsabili.

Art. 9 lett. b

Oltre ai dati di cui all’articolo 8, nei sistemi IAM possono essere trattati dati delle persone seguenti:

  • b. privati e rappresentanti di organizzazioni che accedono a sistemi informatici, come le applicazioni per il Governo elettronico, messi a disposizione dalla Confederazione o, per l’esecuzione del diritto cantonale, dai Cantoni e dai Comuni nonché dalle organizzazioni e dalle persone di diritto pubblico o privato.

Art. 11 cpv. 2 e 3

2 In questi sistemi non può essere effettuata alcuna profilazione secondo l’articolo 5 lettere f e g della legge federale del 25 settembre 20209 sulla protezione dei dati.

3 In assenza di una base legale specifica in materia, in questi sistemi non possono essere trattati dati personali degni di particolare protezione. È fatto salvo il trattamento di dati biometrici con sistemi IAM per l’identificazione delle persone in funzione dei rischi secondo gli articoli 8 e 9 lettera a (art. 20 cpv. 2 LSIn).

Art. 12 cpv. 4

4 Possono ottenere automaticamente dati di persone esterne dai sistemi IAM esterni collegati ai sistemi IAM della Confederazione secondo gli articoli 21–24.

Art. 13 cpv. 4 lett. a

4 I dati possono essere automaticamente messi a disposizione di altri sistemi d’informazione interni alla Confederazione per essere ripresi e armonizzati a condizione che il sistema interessato:

  • a. sia dotato di una base legale che prevede il trattamento dei dati da mettere a disposizione e di un regolamento per il trattamento secondo l’articolo 6 dell’ordinanza del 31 agosto 202210 sulla protezione dei dati (OPDa); e

Art. 14 cpv. 2

2 Sono fatte salve le disposizioni sulla distruzione dei dati biometrici secondo l’articolo 20 capoverso 2 LSIn.

Titolo prima dell’art. 18

Sezione 6: Misure di protezione dei sistemi IAM e dei servizi di elenchi

Art. 18 cpv. 1 e 2

1 I gestori interni ed esterni di componenti di un sistema IAM e di un servizio di elenchi devono disporre di direttive scritte sulla sicurezza delle informazioni e sulla gestione dei rischi. In particolare, ogni organo responsabile secondo la presente ordinanza di un sistema o di un servizio di elenchi emana un regolamento per il trattamento secondo l’articolo 6 OPDa11.

2 I sistemi IAM e i servizi di elenchi che non sono gestiti da servizi secondo l’articolo 2 o su loro mandato, possono essere collegati a sistemi IAM o servizi di elenchi interni alla Confederazione soltanto se soddisfano i requisiti minimi in materia di sicurezza delle informazioni.

Art. 20 Sistema globale IAM

I sistemi IAM della Confederazione possono essere collegati tra loro e con i sistemi IAM esterni di cui all’articolo 21 al fine di costituire un sistema globale.

Art. 21, frase introduttiva e lett. a

I seguenti sistemi esterni IAM possono essere collegati ai sistemi IAM della Confederazione per consentire l’accesso delle persone ivi registrate alle risorse della Confederazione, sempre che siano soddisfatte le condizioni e le procedure secondo gli articoli 22 e 23 e i loro gestori s’impegnino a rispettare la presente ordinanza e le direttive emanate in virtù della stessa oppure, nel caso dei Cantoni, tali sistemi garantiscano una sicurezza delle informazioni almeno equivalente:

  • a. sistemi IAM comprendenti collaboratori cantonali e comunali secondo l’articolo 9 lettera a e i sistemi IAM del Principato del Liechtenstein;

Art. 24 cpv. 1 lett. a

1 I sistemi IAM della Confederazione possono essere collegati, in qualità di fornitori di informazioni inerenti all’identificazione e all’autenticazione, a un sistema IAM esterno o a una rete esterna per le identificazioni alle seguenti condizioni:

  • a. il collegamento serve a concedere alle persone di cui agli articoli 8 o 9 l’accesso:

    1. ai sistemi d’informazione gestiti da un gestore esterno su mandato della Confederazione o a sistemi d’informazione terzi ai quali devono accedere per poter eseguire i loro compiti legali, oppure

    2. ai sistemi d’informazione, come le applicazioni per il Governo elettronico, messi a disposizione per l’esecuzione del diritto cantonale dai Cantoni e dai Comuni nonché dalle organizzazioni e dalle persone di diritto pubblico o privato;

II

L’allegato è sostituito dalla versione qui annessa.

III

La presente ordinanza entra in vigore il 1° gennaio 2024.

8 novembre 2023

In nome del Consiglio federale svizzero:

Il presidente della Confederazione, Alain Berset
Il cancelliere della Confederazione, Walter Thurnherr

Allegato

(art. 11 e 13 cpv. 1 e 2)

Categorie di dati

Osservazione preliminare: per il significato degli asterischi (*) si veda l’articolo 11 capoverso 4.

Servizi di elenchi

Sistemi IAM con persone secondo gli art. 8 e 9 lett. a

Sistemi IAM con persone secondo l’art. 9 lett. b

  • a. Dati personali

  1. Cognome*

x

x

x

  1. Nomi*

x

x

x

  1. Data di nascita

x

x

  1. Luogo di nascita

x

  1. Nazionalità

x

  1. Sesso

x

x

  1. Appellativo*

x

x

x

  1. Titolo*

x

x

x

  1. Iniziali*

x

x

x

  1. Identificativi personali locali

x

x

x

  1. Denominazione della professione*

x

x

x

  1. Lingua per la corrispondenza*

x

x

x

  1. Particolari caratteristiche biometriche personali, segnatamente scansione dell’iride, retina, scansione delle vene, impronte digitali, impronta della mano, caratteristiche della forma del viso e profilo vocale

x

  1. Immagine del viso

x

x

x

  1. Numero AVS

x

x

x

  • b. Dati relativi al rapporto con il datore di lavoro/mandante

  1. Rapporto di lavoro (interno/esterno)*

x

x

  1. Informazioni concernenti l’organizzazione e i posti in organico*

x

x

x

  1. Futura attribuzione a un’unità organizzativa

x

x

  1. Categoria di personale

x

  1. Numero personale (anche cantonale)

x

x

  1. Funzione*

x

x

  1. Designazione del posto*

x

x

  1. Identificazione del sistema d’informazione concernente il personale (fonte)

x

x

  1. Data di entrata / data di partenza

x

x

  1. Numero del documento d’identità e/o del badge

x

x

x

  • c. Dati di contatto

  1. Luogo di lavoro e indirizzo postale professionale*

x

x

x

  1. Indirizzo postale privato

x

  1. Numero dell’ufficio*

x

x

  1. Elementi dell’indirizzo professionale* come indirizzo di posta elettronica*, numeri di telefono*, numero di fax*, indirizzo VOIP*

x

x

x

  1. Elementi dell’indirizzo esterno* (per collaboratori e incaricati*) o elementi dell’indirizzo privato

x

x

x

  • d. Dati sulle funzioni professionali

  1. Iscrizioni registrate in albi professionali ufficiali (medico, pubblico ufficiale rogatore, avvocato ecc.)

x

x

  1. Funzioni secondo il registro di commercio e altri registri di rappresentanza

x

x

  • e. Dati tecnici

  1. Dispositivi, collegamenti, sistemi, applicazioni ecc. attribuiti

x

x

x

  1. Elementi dell’indirizzo, numeri d’identificazione ecc.

x

  1. Linguaggio di sistema dei dispositivi, dei collegamenti ecc.

x

x

x

  1. Chiave pubblica dei certificati digitali*

x

x

x

  1. Gruppi di autorizzazioni

x

x

x

  1. Nomi per la registrazione nei sistemi IT

x

x

x

  1. Password (protette crittograficamente)

x

x

  1. Ultimo login

x

x

  1. Tentativi di login falliti

x

x

  1. Status (attivo/passivo)

x

x

  1. Qualità dell’autenticazione

x

x

  • f. Dati sui controlli di sicurezza relativi alle persone, se l’esito di quest’ultimi è una dichiarazione di sicurezza senza riserve o se l’autorità decisionale ha emanato una decisione positiva.

  1. Livello di controllo

x

  1. Durata di validità della dichiarazione di sicurezza

x