FF 2023 www.fedlex.admin.ch La versione elettronica firmata è quella determinante
Direttive del Consiglio federale per l'esame preliminare dei rischi e la valutazione d'impatto sulla protezione dei dati in caso di trattamento di dati personali da parte dell'Amministrazione federale (Direttive VIPD) del 28 giugno 2023
Il Consiglio federale svizzero emana le direttive seguenti:
1 1.1
Disposizioni generali Oggetto
Le presenti direttive disciplinano la realizzazione da parte dell'Amministrazione federale dell'esame preliminare dei rischi e della valutazione d'impatto sulla protezione dei dati (VIPD) ai sensi degli articoli 22 e 23 della legge federale del 25 settembre 20201 sulla protezione dei dati (LPD), nonché la loro integrazione nella procedura legislativa della Confederazione e il coordinamento con il metodo di gestione dei progetti HERMES (metodo HERMES)2.
1.2
Campo d'applicazione
Le presenti direttive si applicano alle unità amministrative dell'Amministrazione federale centrale secondo l'articolo 7 dell'ordinanza del 25 novembre 19983 sull'organizzazione del Governo e dell'Amministrazione.
1.3
Modo di procedere
Per ogni trattamento di dati personali previsto, l'unità amministrativa responsabile verifica, in un primo tempo, se il trattamento può implicare un rischio elevato per i diritti fondamentali della persona interessata (esame preliminare dei rischi, n. 2). Consulta il consulente per la protezione dei dati.
1
1 2 3
RS 235.1 www.hermes.admin.ch RS 172.010.1
2023-1966
FF 2023 1882
Direttive del Consiglio federale sulla valutazione d'impatto sulla protezione dei dati
FF 2023 1882
Se dall'esame preliminare risulta un rischio elevato per i diritti fondamentali della persona interessata, l'unità amministrativa effettua, in un secondo tempo, una VIPD (n. 3). Consulta il consulente per la protezione dei dati.
2
3
Alle procedure legislative si applica il numero 4.
4
Ai progetti realizzati con il metodo HERMES si applica il numero 5.
2
Esame preliminare dei rischi
L'unità amministrativa responsabile effettua, per tutti i trattamenti previsti, l'esame preliminare dei rischi con l'ausilio dell'apposito strumento messo a disposizione dall'Ufficio federale di giustizia (UFG)4 (strumento per l'esame preliminare dei rischi). Se un progetto è realizzato con il metodo HERMES, l'esame preliminare dei rischi può essere eseguito anche nel quadro dell'analisi del bisogno di protezione (n. 5.1 cpv. 2).
1
Se i rischi cambiano o se sorgono nuovi rischi, l'unità amministrativa responsabile verifica le indicazioni e le aggiorna se necessario. Se ha già effettuato una VIPD, la adegua (n. 3 cpv. 2); le indicazioni fornite nel quadro dell'esame preliminare dei rischi non devono essere adeguate.
2
3 1
VIPD La VIPD comprende le fasi seguenti: a.
descrizione del trattamento previsto;
b.
valutazione dei rischi per i diritti fondamentali della persona interessata;
c.
identificazione delle misure previste a tutela dei diritti fondamentali;
d.
valutazione degli effetti delle misure previste, per determinare se permane un rischio residuo elevato.
Se i rischi cambiano o se sorgono nuovi rischi, l'unità amministrativa responsabile verifica la VIPD effettuata e la adegua se necessario.
2
3
La procedura e il contenuto della VIPD si fondano sulla guida VIPD dell'UFG5.
4
www.bj.admin.ch > Stato & cittadino > Protezione dei dati > Informazioni destinate agli organi federali www.bj.admin.ch > Stato & cittadino > Protezione dei dati > Informazioni destinate agli organi federali
5
2/4
Direttive del Consiglio federale sulla valutazione d'impatto sulla protezione dei dati
4 4.1
FF 2023 1882
Coordinamento con la procedura legislativa Esame preliminare dei rischi
Se il trattamento di dati personali previsto richiede l'emanazione o la modifica di un atto normativo, l'esame preliminare dei rischi e, se necessario, la VIPD devono essere effettuati prima della consultazione degli uffici.
1
Lo strumento per l'esame preliminare dei rischi, debitamente compilato, è allegato all'incarto per la consultazione degli uffici, tranne se è necessaria una VIPD. Se un progetto è realizzato con il metodo HERMES, all'incarto può essere allegato anche un estratto dell'analisi del bisogno di protezione.
2
Se occorre adeguare le indicazioni dopo la consultazione degli uffici, lo strumento aggiornato per l'esame preliminare dei rischi o l'estratto aggiornato dell'analisi del bisogno di protezione è allegato all'incarto per la seguente consultazione degli uffici o la procedura di corapporto, tranne se è necessaria una VIPD.
3
Il dipartimento responsabile e la Cancelleria federale comunicano i risultati dell'esame preliminare dei rischi illustrandoli in particolare nella proposta al Consiglio federale, nel rapporto esplicativo e nel messaggio e spiegano se ed eventualmente perché i diritti fondamentali delle persone interessate sono esposti a un rischio elevato.
4
Le spiegazioni fornite nel rapporto esplicativo e nel messaggio sono presentate in conformità con la guida alla redazione dei messaggi del Consiglio federale6.
5
4.2
VIPD
I risultati della VIPD e, in caso di rischio residuo elevato secondo l'articolo 23 LPD7, il parere dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) sono allegati all'incarto per la consultazione degli uffici. I risultati comprendono in particolare i rischi identificati, le misure previste e i rischi residui. Se un progetto è realizzato con il metodo HERMES, all'incarto può essere allegato anche un estratto del documento di cui al numero 5.2 capoverso 3.
1
Se la necessità di effettuare o adeguare una VIPD emerge dopo la consultazione degli uffici, i risultati della VIPD o un estratto dello strumento di cui al numero 5.2 capoverso 3 e, se necessario, il parere dell'IFPDT sono allegati all'incarto per la seguente consultazione degli uffici o la procedura di corapporto.
2
Il dipartimento responsabile e la Cancelleria federale comunicano i risultati della VIPD e, se necessario, il parere dell'IFPDT illustrandoli in particolare nella proposta al Consiglio federale, nel rapporto esplicativo, nel messaggio e nelle spiegazioni di voto del Consiglio federale.
3
Le spiegazioni fornite nel rapporto esplicativo e nel messaggio sono presentate in conformità con la guida alla redazione dei messaggi del Consiglio federale8.
4
6 7 8
www.bk.admin.ch > Documentazione > Lingue > Strumenti per la redazione e traduzione RS 235.1 www.bk.admin.ch > Documentazione > Lingue > Strumenti per la redazione e traduzione
3/4
Direttive del Consiglio federale sulla valutazione d'impatto sulla protezione dei dati
5 5.1
FF 2023 1882
Coordinamento con HERMES Esame preliminare dei rischi
Se un progetto è realizzato con il metodo HERMES, l'unità amministrativa responsabile effettua l'esame preliminare dei rischi contemporaneamente all'analisi delle basi legali e all'analisi del bisogno di protezione.
1
L'esame preliminare dei rischi è effettuato con lo strumento per l'esame preliminare dei rischi o nel quadro dell'analisi del bisogno di protezione.
2
5.2 1
VIPD
L'unità amministrativa responsabile effettua la VIPD durante la fase concettuale.
Se dall'esame preliminare dei rischi risulta la necessità di una VIPD, il bisogno di protezione è considerato elevato ai sensi della corrispondente analisi prevista dalla procedura di sicurezza dell'Amministrazione federale9.
2
L'analisi delle basi legali e gli strumenti allestiti in caso di bisogno di protezione elevato10 fanno parte della VIPD.
3
L'unità amministrativa responsabile valuta inoltre, nel quadro della VIPD, i rischi non ancora valutati mediante gli strumenti di cui al capoverso 3.
4
La VIPD è documentata separatamente o insieme agli strumenti di cui al capoverso 3.
5
6
Entrata in vigore
Le presenti direttive entrano in vigore il 1° settembre 2023.
28 giugno 2023
In nome del Consiglio federale svizzero: Il presidente della Confederazione, Alain Berset Il cancelliere della Confederazione, Walter Thurnherr
9 10
4/4
www.ncsc.admin.ch > Documentazione > Direttive sulla sicurezza TIC > Procedura di sicurezza > Valutazione del bisogno di protezione www.ncsc.admin.ch > Documentazione > Direttive sulla sicurezza TIC > Procedura di sicurezza > Protezione elevata