Il nuovo diritto in materia di protezione dei dati prevede alcuni requisiti particolari per gli organi federali. Pertanto vari documenti sono a disposizione degli organi federali per fornire indicazioni utili di carattere generale e specifico, segnatamente quando si tratta di predisporre le basi legali per il trattamento dei dati.
Documentazione generale
La "Guida di legislazione – Protezione dei dati" illustra gli effetti della nuova legge sulla protezione dei dati (LPD) sull’elaborazione delle basi legali. Questa guida contiene in particolare un elenco di domande da porsi quando si elaborano nuove basi legali per permettere il trattamento di dati personali:
-
Guida di legislazione – Protezione dei dati (PDF, 571 kB, 22.04.2024)
(prima versione, la Guida sarà costantemente aggiornata)
Un documento di carattere generale presenta le principali modifiche introdotte con la nuova legge sulla protezione dei dati al fine di consentire la corretta elaborazione delle basi legali concernenti il trattamento dei dati:
Documentazione concernente la valutazione d’impatto sulla protezione dei dati personali (VIPD)
Tra i nuovi compiti attribuiti agli organi federali vi è l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali (VIPD) se il trattamento dei dati previsto può comportare un rischio elevato per i diritti fondamentali della persona interessata.
Direttive VIPD
Le "Direttive del Consiglio federale per l’esame preliminare dei rischi e la valutazione d’impatto sulla protezione dei dati in caso di trattamento di dati personali da parte dell’Amministrazione federale" (Direttive VIPD), adottate il 28 giugno 2023, prevedono l'integrazione della VIPD nella procedura legislativa, oltre a prevedere norme di coordinamento con HERMES, se il progetto in questione è realizzato secondo questo metodo di gestione. Le Direttive VIPD sono entrate in vigore il 1° settembre 2023 insieme alle nuove norme riguardo la protezione dei dati (legge federale del 25 settembre 2020 sulla protezione dei dati (LPD); ordinanza sulla protezione dei dati (OPDa) e ordinanza sulle certificazioni in materia di protezione dei dati (OCPD), entrambe del 31 agosto 2022).
Le Direttive VIPD si applicano alle unità dell’Amministrazione federale centrale (ai sensi dell’art. 7 dell’ordinanza sull’organizzazione del Governo e dell’Amministrazione (OLOGA)).
Sebbene non siano soggette alle Direttive VIPD, le unità dell’Amministrazione federale decentralizzata (ai sensi dell’art. 7a OLOGA) – così come le persone a cui è affidato un compito pubblico della Confederazione – sono tenute ugualmente a rispettare la legge sulla protezione dei dati (LPD) nella misura in cui sono considerate organi federali (v. art. 5 lett. i nuova LPD, che definisce l’organo federale come "autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali"). Se sono soddisfatte le condizioni dell'articolo 22 della nuova LPD, questi diversi enti devono dunque effettuare una VIPD. A tal fine sono liberi di applicare le prescrizioni delle Direttive VIPD. Ciò può essere particolarmente utile se applicano il metodo di gestione dei progetti HERMES, poiché queste norme di coordinamento permettono di evitare doppioni. Infatti, determinati elementi di HERMES sono parte integrante della VIPD. Inoltre, i documenti ausiliari dell’UFG (indicati qui di seguito) forniscono informazioni pratiche e utili per effettuare la VIPD.
Allo stesso modo, anche i titolari privati del trattamento – soggetti come gli organi federali alla nuova LPD e tenuti a effettuare una VIPD se sono soddisfatte le condizioni della LPD – possono usare gli strumenti messi a disposizione su questo sito, se lo desiderano.
Esame preliminare dei rischi
Per sapere se è necessaria una VIPD, l’unità amministrativa federale responsabile deve determinare se il trattamento previsto può comportare un rischio elevato per i diritti fondamentali della persona interessata, segnatamente per il suo diritto all’autodeterminazione informativa e il suo diritto alla sfera privata. Si può partire dal presupposto di un rischio elevato se il trattamento previsto potrebbe implicare una limitazione incisiva della libertà della persona interessata di disporre dei propri dati personali. Per valutare questo rischio, l’Ufficio federale di giustizia ha elaborato uno strumento per l’esame preliminare dei rischi, che può essere scaricato qui:
Questo strumento permette all’unità amministrativa federale responsabile di determinare la natura, la portata, le circostanze e lo scopo del trattamento previsto in modo da poter valutare il rischio per i diritti fondamentali della persona interessata.
Le Direttive VIPD disciplinano il coordinamento dell’esame preliminare dei rischi con la procedura legislativa e la realizzazione di un progetto secondo il metodo HERMES:
- Coordinamento con la procedura legislativa (n. 4.1 delle Direttive VIPD):
In caso di procedura legislativa, ossia se il trattamento dei dati personali richiede l’emanazione o la modifica di un atto normativo (legge, ordinanza), lo strumento per l’esame preliminare dei rischi, debitamente compilato, deve essere allegato all’incarto per la consultazione degli uffici. Se ci sono più consultazioni degli uffici, segnatamente a causa di una procedura di consultazione esterna (art. 3 cpv. 1 o 2 della legge sulla consultazione (LCo)), l’esame preliminare dei rischi deve essere effettuato prima della prima consultazione degli uffici o, perlomeno, prima della consultazione degli uffici che precede l’apertura della procedura di consultazione esterna. Se l’esame preliminare dei rischi giunge alla conclusione che è necessario effettuare una VIPD, non sarà lo strumento per l’esame preliminare dei rischi dovutamente compilato a essere allegato all’incarto per la consultazione degli uffici, bensì i risultati della VIPD.
- Coordinamento con HERMES (n. 5.1 delle Direttive VIPD):
Se un progetto è realizzato con il metodo HERMES, l’esame preliminare dei rischi deve essere effettuato contemporaneamente all'analisi delle basi legali e all'analisi del bisogno di protezione. L’esame preliminare dei rischi viene effettuato utilizzando lo strumento per l’analisi preliminare dei rischi. In futuro si prevede di integrare l’esame preliminare dei rischi nell'analisi del bisogno di protezione, in modo da poter analizzare i rischi dovuti a un trattamento dei dati in un unico documento.
Valutazione d’impatto sulla protezione dei dati personali (VIPD)
Se esiste un rischio elevato per i diritti fondamentali della persona interessata, l’unità amministrativa federale responsabile deve effettuare una VIPD. Una guida per la realizzazione dell'VIPD può essere scaricata qui:
La Guida VIPD fornisce informazioni utili sul metodo da applicare per effettuare una VIPD nonché sugli elementi che deve contenere. L'Incaricato federale della protezione dei dati e della transparenza è responsabile delle questioni di attuazione e supervisione relative alla VIPD. L'UFG non fornisce consulenza in questo ambito.
Le Direttive VIPD disciplinano il coordinamento della VIPD con la procedura legislativa e la realizzazione di un progetto con il metodo HERMES:
- Coordinamento con la procedura legislativa (n. 4.2 delle Direttive VIPD):
In caso di procedura legislativa, ossia se il trattamento dei dati personali richiede l’emanazione o la modifica di un atto normativo (legge, ordinanza), i risultati della VIPD devono essere allegati all’incarto per la consultazione degli uffici. Se ci sono più consultazioni degli uffici, segnatamente a causa di una procedura di consultazione esterna (art. 3 cpv. 1 o 2 della legge sulla consultazione (LCo)), la VIPD deve essere effettuata prima della prima consultazione degli uffici o, perlomeno, prima della consultazione degli uffici che precede l’apertura della procedura di consultazione esterna.
I risultati indicano in particolare i rischi identificati, i provvedimenti adottati e i rischi residui.
Se il trattamento previsto dei dati personali richiede una procedura legislativa e avviene nel quadro di un progetto condotto secondo il metodo HERMES (v. qui sotto), è possibile allegare i risultati o in un documento a sé stante (prima opzione qui sotto) o in un estratto del documento elaborato dal Centro nazionale per la cybersicurezza NCSC (seconda opzione qui sotto).
- Coordinamento con HERMES (n. 5.2 delle Direttive VIPD):
Se un progetto è realizzato secondo il metodo HERMES (senza procedura legislativa) e l’esame preliminare dei rischi o l’analisi del bisogno di protezione giunge alla conclusione che esiste un rischio elevato per i diritti fondamentali della persona interessata, questo significa che sussiste un bisogno di protezione elevato ai sensi dell’analisi del bisogno di protezione secondo la procedura di sicurezza dell’Amministrazione federale.
Nel quadro di un progetto HERMES, la VIPD può essere documentata in due modi diversi:
- o attraverso diversi documenti (n. 5.2 cpv. 5 delle Direttive) e precisamente: l’analisi delle basi legali, gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 3 delle Direttive) e un documento complementare che illustra i rischi che non sono stati valutati con gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 4 delle Direttive);
- o in un solo documento elaborato dal NCSC, che include l’analisi delle basi legali, gli strumenti allestiti in caso di bisogno di protezione elevato nonché i rischi che non sono stati valutati con gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 3, 4 e 5 delle Direttive);
- o attraverso diversi documenti (n. 5.2 cpv. 5 delle Direttive) e precisamente: l’analisi delle basi legali, gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 3 delle Direttive) e un documento complementare che illustra i rischi che non sono stati valutati con gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 4 delle Direttive);
Documenti
-
Guida di legislazione – Protezione dei dati (PDF, 571 kB, 22.04.2024)
(prima versione, la Guida sarà costantemente aggiornata)
- Revisione totale della legge sulla protezione dei dati (LPD). Elaborazione di basi legali per il trattamento dei dati da parte di organi federali: sinossi delle modifiche principali (PDF, 707 kB, 07.08.2023)
- Strumento per l’esame preliminare dei rischi (XLSX, 72 kB, 30.11.2023)
Link
- Incaricato federale della protezione dei dati e della trasparenza (IFPDT)
- Procedura di sicurezza (NCSC)
-
Direttive del Consiglio federale per l’esame preliminare dei rischi e la valutazione d’impatto sulla protezione dei dati in caso di trattamento di dati personali da parte dell’Amministrazione federale
(FF 2023 1882)
Ultima modifica 03.06.2024