FF 2023 www.fedlex.admin.ch La versione elettronica firmata è quella determinante
Direttive sugli altri criteri in materia di protezione dei dati per l'esame dei requisiti per la certificazione di prodotti, servizi e processi del 31 agosto 2023
L'Incaricato federale della protezione dei dati e della trasparenza, visto l'articolo 7 capoverso 2 dell'ordinanza del 31 agosto 20221 sulle certificazioni in materia di protezione dei dati (OCPD), emana le seguenti direttive:
1. Scopo Le presenti linee guida definiscono gli altri criteri di protezione dei dati per l'esame dei requisiti per la certificazione di prodotti, servizi e processi, affinché i prodotti, i servizi e i processi possano essere certificati ai sensi dell'articolo 7 della OCPD.
1
Hanno lo scopo di mostrare i principi secondo l'articolo 6 della LPD e gli ulteriori requisiti della LPD e della OPDa.
2
Assicurano che i prodotti, i servizi e i processi certificati siano conformi ai requisiti dell'articolo 7, capoverso 1, della OCPD.
3
2. Obiettivi e misure Al momento dell'elaborazione del programma di certificazione, oltre ai requisiti degli articoli 5 e 7 della OCPD, gli obiettivi e le misure2 seguenti devono essere realizzati: a.
1 2
liceità (art. 6 cpv. 1 LPD): 1. motivi giustificativi (art. 31 LPD), 2. fondamenti giuridici (art. 34 e 36 LPD), 3. trattamento di dati personali da parte di un responsabile (art. 9 LPD in combinato disposto con art. 7 OPDa);
RS 235.13 Gli obiettivi e le misure elencati non sono esaustivi e un'organizzazione è libera di prendere in considerazione ulteriori obiettivi o misure. Gli obiettivi e le misure del presente catalogo devono essere selezionati come parte del processo di implementazione de programma di certificazione.
2023-2422
FF 2023 2000
Direttive sugli altri criteri in materia di protezione dei dati per l'esame dei requisiti per la certificazione di prodotti, servizi e processi
FF 2023 2000
b.
trasparenza: 1. buona fede (art. 6 cpv. 2 LPD), 2. riconoscibilità (art. 6 cpv. 3 LPD), 3. obbligo di informare (art. 19 21 LPD in combinato disposto con art. 13 OPDa), 4. registro delle attività di trattamento (art. 12 LPD in combinato disposto con art. 24 OPDa), 5. valutazione d'impatto sulla protezione dei dati (art. 22 LPD in combinato disposto con art. 14 OPDa), 6. notifica di violazioni della sicurezza dei dati (art. 24 LPD in combinato disposto con art. 15 OPDa);
c.
proporzionalità: 1. trattamento proporzionale (art. 6 cpv. 2 LPD), 2. protezione dei dati personali sin dalla progettazione e per impostazione predefinita (art. 7 LPD);
d.
scopo (art. 6 cpv. 3 LPD);
e.
esattezza dei dati (art. 6 cpv. 5 LPD);
f.
Comunicazione di dati personali all'estero (art. 16 LPD in combinato disposto con art. 8 12 OPDa);
g.
sicurezza dei dati (art. 8 LPD in combinato disposto con art. 1 6 OPDa)
h.
diritti e procedura: 1. diritto d'accesso (art. 25 LPD in combinato disposto con art. 16 19 OPDa), 2. diritto di farsi consegnare dati o di esigerne la trasmissione a terzi (art. 28 LPD in combinato disposto con art. 20 22 OPDa), 3. azioni e procedura (art. 32 e 41s. OPDa).
3. Disposizione transitoria Le procedure di certificazione pendenti al momento dell'entrata in vigore di queste direttive sono rette dal diritto anteriore. Tali procedure devono essere concluse entro il 1° marzo 2024.3
3
2/4
Le altre disposizioni transitorie saranno pubblicate dal Servizio di accreditamento svizzero (SAS).
Direttive sugli altri criteri in materia di protezione dei dati per l'esame dei requisiti per la certificazione di prodotti, servizi e processi
FF 2023 2000
4. Entrata in vigore Le presenti direttive entrano in vigore il 1° settembre 2023.
31 agosto 2023
L'Incaricato federale della protezione dei dati e della trasparenza: Adrian Lobsiger
3/4
Direttive sugli altri criteri in materia di protezione dei dati per l'esame dei requisiti per la certificazione di prodotti, servizi e processi
4/4
FF 2023 2000