Ordinanza
sulle certificazioni in materia di protezione dei dati
(OCPD)

¹ Gli or­ga­ni­smi che ef­fet­tua­no cer­ti­fi­ca­zio­ni in ma­te­ria di pro­te­zio­ne dei da­ti se­con­do l’ar­ti­co­lo 11 LPD (or­ga­ni­smi di cer­ti­fi­ca­zio­ne) de­vo­no es­se­re ac­cre­di­ta­ti. L’ac­cre­di­ta­men­to è ret­to dall’or­di­nan­za del 17 giu­gno 1996² sull’ac­cre­di­ta­men­to e sul­la de­si­gna­zio­ne, per quan­to la pre­sen­te or­di­nan­za non di­spon­ga al­tri­men­ti.

² So­no ne­ces­sa­ri due ac­cre­di­ta­men­ti di­stin­ti per cer­ti­fi­ca­re:

a.

l’or­ga­niz­za­zio­ne e le pro­ce­du­re del­la pro­te­zio­ne dei da­ti;

b. i pro­dot­ti (hard­ware, soft­ware o si­ste­mi per le pro­ce­du­re au­to­ma­tiz­za­te di trat­ta­men­to di da­ti).

³ Gli or­ga­ni­smi di cer­ti­fi­ca­zio­ne de­vo­no di­spor­re di un’or­ga­niz­za­zio­ne e di una pro­ce­du­ra di cer­ti­fi­ca­zio­ne ben de­fi­ni­te (pro­gram­ma di con­trol­lo). Vi so­no di­sci­pli­na­ti in par­ti­co­la­re:

a.

i cri­te­ri di pe­ri­zia o di pro­va, co­me pu­re i re­qui­si­ti che ne con­se­guo­no per gli or­ga­ni­smi o i pro­dot­ti da cer­ti­fi­ca­re (sche­ma di pe­ri­zia e di pro­va); e

b.

le mo­da­li­tà di svol­gi­men­to del­la pro­ce­du­ra, in par­ti­co­la­re le mi­su­re ap­pli­ca­bi­li in ca­so di ir­re­go­la­ri­tà.

⁴ I re­qui­si­ti mi­ni­mi del pro­gram­ma di con­trol­lo so­no ret­ti dal­le nor­me e dai prin­ci­pi ap­pli­ca­bi­li con­for­me­men­te all’al­le­ga­to 2 dell’or­di­nan­za del 17 giu­gno 1996 sull’ac­cre­di­ta­men­to e sul­la de­si­gna­zio­ne e da­gli ar­ti­co­li 4–6.

⁵ I re­qui­si­ti mi­ni­mi con­cer­nen­ti la qua­li­fi­ca del per­so­na­le ad­det­to al­la cer­ti­fi­ca­zio­ne so­no di­sci­pli­na­ti nell’al­le­ga­to.

Il Ser­vi­zio d’ac­cre­di­ta­men­to sviz­ze­ro con­sul­ta l’In­ca­ri­ca­to fe­de­ra­le del­la pro­te­zio­ne dei da­ti e del­la tra­spa­ren­za (l’In­ca­ri­ca­to) in me­ri­to al­la pro­ce­du­ra di ac­cre­di­ta­men­to e ai con­trol­li non­ché al­la so­spen­sio­ne e al­la re­vo­ca dell’ac­cre­di­ta­men­to.

¹ Pre­via con­sul­ta­zio­ne del Ser­vi­zio d’ac­cre­di­ta­men­to sviz­ze­ro, l’In­ca­ri­ca­to am­met­te gli or­ga­ni­smi di cer­ti­fi­ca­zio­ne este­ri all’eser­ci­zio dell’at­ti­vi­tà sul ter­ri­to­rio sviz­ze­ro, se gli stes­si pos­so­no di­mo­stra­re di pos­se­de­re una qua­li­fi­ca equi­va­len­te a quel­la ri­chie­sta in Sviz­ze­ra.

² Gli or­ga­ni­smi di cer­ti­fi­ca­zio­ne de­vo­no in par­ti­co­la­re pro­va­re che adem­pio­no i re­qui­si­ti di cui all’ar­ti­co­lo 1 ca­po­ver­si 3 e 4 e che co­no­sco­no suf­fi­cien­te­men­te la le­gi­sla­zio­ne sviz­ze­ra sul­la pro­te­zio­ne dei da­ti.

³ L’In­ca­ri­ca­to può ri­la­scia­re ri­co­no­sci­men­ti li­mi­ta­ti nel tem­po o vin­co­lar­li a con­di­zio­ni od one­ri. Re­vo­ca il ri­co­no­sci­men­to se non so­no adem­pi­ti con­di­zio­ni od one­ri es­sen­zia­li.

¹ È pos­si­bi­le cer­ti­fi­ca­re:

a.

l’in­sie­me del­le pro­ce­du­re di trat­ta­men­to dei da­ti di cui un or­ga­ni­smo è re­spon­sa­bi­le;

b. sin­go­le pro­ce­du­re di trat­ta­men­to spe­ci­fi­che.

² La pe­ri­zia ri­guar­da il si­ste­ma di ge­stio­ne del­la pro­te­zio­ne dei da­ti. Ta­le si­ste­ma com­pren­de se­gna­ta­men­te:

a.

la po­li­ti­ca di pro­te­zio­ne dei da­ti;

b.

la do­cu­men­ta­zio­ne de­gli obiet­ti­vi e del­le mi­su­re at­te a ga­ran­ti­re la pro­te­zio­ne dei da­ti e la si­cu­rez­za dei da­ti;

c.

i prov­ve­di­men­ti or­ga­niz­za­ti­vi e tec­ni­ci fi­na­liz­za­ti a rea­liz­za­re gli obiet­ti­vi e le mi­su­re fis­sa­te, in par­ti­co­la­re i prov­ve­di­men­ti te­si a eli­mi­na­re le la­cu­ne ri­scon­tra­te.

³ L’in­ca­ri­ca­to ema­na di­ret­ti­ve sui re­qui­si­ti mi­ni­mi che un si­ste­ma di ge­stio­ne del­la pro­te­zio­ne dei da­ti de­ve adem­pie­re. Tie­ne con­to dei re­qui­si­ti de­ter­mi­nan­ti a li­vel­lo in­ter­na­zio­na­le in ma­te­ria di in­stal­la­zio­ne, ge­stio­ne, sor­ve­glian­za e ot­ti­miz­za­zio­ne dei si­ste­mi di ge­stio­ne, co­sì co­me fi­gu­ra­no in par­ti­co­la­re nel­le se­guen­ti nor­me tec­ni­che³:

a.

UNI EN ISO 9001: Si­ste­mi di ge­stio­ne per la qua­li­tà – Re­qui­si­ti;

b.

UNI CEI ISO/IEC 27001: Tec­no­lo­gie in­for­ma­ti­che – Tec­ni­che per la si­cu­rez­za – Si­ste­mi di ge­stio­ne per la si­cu­rez­za del­le in­for­ma­zio­ni – Re­qui­si­ti.⁴

⁴ La de­ro­ga all’ob­bli­go di no­ti­fi­ca del­le col­le­zio­ni di da­ti se­con­do l’ar­ti­co­lo 11a ca­po­ver­so 5 let­te­ra f LPD si ap­pli­ca sol­tan­to a con­di­zio­ne che sia­no sta­te cer­ti­fi­ca­te tut­te le pro­ce­du­re di trat­ta­men­to dei da­ti cui è de­sti­na­ta una col­le­zio­ne di da­ti.

¹ Pos­so­no es­se­re cer­ti­fi­ca­ti i pro­dot­ti de­sti­na­ti in pre­va­len­za al trat­ta­men­to di da­ti per­so­na­li o ge­ne­ran­ti, al mo­men­to del lo­ro im­pie­go, da­ti per­so­na­li, in par­ti­co­la­re re­la­ti­vi all’uten­te.

² Si esa­mi­na se­gna­ta­men­te se il pro­dot­to stes­so ga­ran­ti­sce:

a.

la ri­ser­va­tez­za, l’in­te­gri­tà, la di­spo­ni­bi­li­tà e l’au­ten­ti­ci­tà dei da­ti per­so­na­li trat­ta­ti, in con­si­de­ra­zio­ne del­lo sco­po di im­pie­go del pro­dot­to;

b.

la ri­nun­cia a ge­ne­ra­re, me­mo­riz­za­re o al­tri­men­ti trat­ta­re da­ti per­so­na­li, per quan­to lo sco­po d’im­pie­go del pro­dot­to non lo ri­chie­da;

c.

la tra­spa­ren­za e la ri­pro­du­ci­bi­li­tà dei trat­ta­men­ti au­to­ma­tiz­za­ti di da­ti per­so­na­li nell’am­bi­to del­le fun­zio­na­li­tà sta­bi­li­te dal fab­bri­can­te di un pro­dot­to;

d.

le mi­su­re tec­ni­che in­di­spen­sa­bi­li che per­met­to­no all’uten­te di ri­spet­ta­re al­tri prin­ci­pi o ob­bli­ghi in ma­te­ria di pro­te­zio­ne dei da­ti.

³L’in­ca­ri­ca­to ema­na di­ret­ti­ve sui cri­te­ri spe­ci­fi­ci in ma­te­ria di pro­te­zio­ne dei da­ti da esa­mi­na­re nell’am­bi­to del­la cer­ti­fi­ca­zio­ne di un pro­dot­to.⁵

¹ La cer­ti­fi­ca­zio­ne è ri­la­scia­ta se dal­la pro­ce­du­ra ri­sul­ta che, in ba­se ai cri­te­ri ap­pli­ca­ti dall’or­ga­ni­smo di cer­ti­fi­ca­zio­ne per la pe­ri­zia o la pro­va dei pro­dot­ti, so­no sod­di­sfat­ti i re­qui­si­ti le­ga­li in ma­te­ria di pro­te­zio­ne dei da­ti e gli al­tri re­qui­si­ti de­ri­van­ti dal­la pre­sen­te or­di­nan­za e dal­le di­ret­ti­ve dell’In­ca­ri­ca­to (art. 4 cpv. 3 e art. 5 cpv. 3). La cer­ti­fi­ca­zio­ne può es­se­re vin­co­la­ta a con­di­zio­ni od one­ri.

² La cer­ti­fi­ca­zio­ne di un si­ste­ma di ge­stio­ne del­la pro­te­zio­ne dei da­ti è va­li­da tre an­ni. L’or­ga­ni­smo di cer­ti­fi­ca­zio­ne ve­ri­fi­ca ogni an­no, in via som­ma­ria, se le con­di­zio­ni de­ter­mi­nan­ti per la cer­ti­fi­ca­zio­ne con­ti­nua­no a es­se­re adem­pi­te.

³ La cer­ti­fi­ca­zio­ne di un pro­dot­to è va­li­da per due an­ni. Un pro­dot­to che su­bi­sce mo­di­fi­che es­sen­zia­li de­ve es­se­re nuo­va­men­te cer­ti­fi­ca­to.

Do­po aver con­sul­ta­to il Ser­vi­zio d’ac­cre­di­ta­men­to sviz­ze­ro, l’In­ca­ri­ca­to ri­co­no­sce le cer­ti­fi­ca­zio­ni este­re pur­ché l’adem­pi­men­to dei re­qui­si­ti del­la le­gi­sla­zio­ne sviz­ze­ra sia ga­ran­ti­to.

¹ L’or­ga­ni­smo cer­ti­fi­ca­to che co­mu­ni­ca all’In­ca­ri­ca­to l’esi­to po­si­ti­vo del­la cer­ti­fi­ca­zio­ne se­con­do l’ar­ti­co­lo 4, per es­se­re eso­ne­ra­to dall’ob­bli­go di no­ti­fi­ca del­la col­le­zio­ne di da­ti se­con­do l’ar­ti­co­lo 11a ca­po­ver­so 5 let­te­ra f LPD, de­ve pre­sen­ta­re su ri­chie­sta i se­guen­ti do­cu­men­ti:

a.

rap­por­to di va­lu­ta­zio­ne;

b.

do­cu­men­ti di cer­ti­fi­ca­zio­ne.

² Se svol­gen­do la pro­pria at­ti­vi­tà di sor­ve­glian­za l’or­ga­ni­smo di cer­ti­fi­ca­zio­ne ri­scon­tra mu­ta­men­ti so­stan­zia­li del­le con­di­zio­ni di cer­ti­fi­ca­zio­ne, in par­ti­co­la­re per quan­to ri­guar­da l’adem­pi­men­to di con­di­zio­ni od one­ri, l’or­ga­ni­smo cer­ti­fi­ca­to ne in­for­ma l’In­ca­ri­ca­to.

³ L’In­ca­ri­ca­to pub­bli­ca un elen­co de­gli or­ga­ni­smi cer­ti­fi­ca­ti eso­ne­ra­ti dall’ob­bli­go di no­ti­fi­ca­re le lo­ro col­le­zio­ni di da­ti (art. 28 cpv. 3 dell’O del 14 giu. 1993⁶ re­la­ti­va al­la leg­ge fe­de­ra­le sul­la pro­te­zio­ne dei da­ti). Ta­le do­cu­men­to in­di­ca se­gna­ta­men­te la du­ra­ta di va­li­di­tà del­la cer­ti­fi­ca­zio­ne.

¹L’or­ga­ni­smo di cer­ti­fi­ca­zio­ne può so­spen­de­re o re­vo­ca­re una cer­ti­fi­ca­zio­ne ac­cor­da­ta, se­gna­ta­men­te se nell’am­bi­to del­la ve­ri­fi­ca (art. 6 cpv. 2) con­sta­ta gra­vi la­cu­ne. Si è in pre­sen­za di una gra­ve la­cu­na in par­ti­co­la­re se:

a.

le con­di­zio­ni es­sen­zia­li del­la cer­ti­fi­ca­zio­ne dei da­ti non so­no più adem­piu­te; o

b. una cer­ti­fi­ca­zio­ne è uti­liz­za­ta in mo­do in­gan­ne­vo­le o abu­si­vo.

² Nei ca­si di con­tro­ver­sia in me­ri­to al­la so­spen­sio­ne o al­la re­vo­ca, il giu­di­zio e la pro­ce­du­ra so­no ret­ti dal­le di­spo­si­zio­ni di di­rit­to ci­vi­le ap­pli­ca­bi­li al rap­por­to con­trat­tua­le tra l’or­ga­ni­smo di cer­ti­fi­ca­zio­ne e l’or­ga­ni­smo cer­ti­fi­ca­to.

³ Se la cer­ti­fi­ca­zio­ne di cui all’ar­ti­co­lo 8 ca­po­ver­so 1 era sta­ta co­mu­ni­ca­ta all’In­ca­ri­ca­to, l’or­ga­ni­smo di cer­ti­fi­ca­zio­ne gli co­mu­ni­ca la so­spen­sio­ne o la re­vo­ca.

¹ Se svol­gen­do la pro­pria at­ti­vi­tà di sor­ve­glian­za se­con­do gli ar­ti­co­li 27 o 29 LPD con­sta­ta gra­vi la­cu­ne pres­so l’or­ga­ni­smo cer­ti­fi­ca­to, l’In­ca­ri­ca­to ne in­for­ma l’or­ga­ni­smo di cer­ti­fi­ca­zio­ne.

² L’or­ga­ni­smo di cer­ti­fi­ca­zio­ne in­vi­ta sen­za in­du­gio l’or­ga­ni­smo cer­ti­fi­ca­to a eli­mi­na­re le la­cu­ne ri­scon­tra­te en­tro 30 gior­ni dal­la ri­ce­zio­ne del­la co­mu­ni­ca­zio­ne dell’In­ca­ri­ca­to.

³ Se l’or­ga­ni­smo cer­ti­fi­ca­to non eli­mi­na le la­cu­ne en­tro ta­le ter­mi­ne, l’or­ga­ni­smo di cer­ti­fi­ca­zio­ne so­spen­de la cer­ti­fi­ca­zio­ne. La cer­ti­fi­ca­zio­ne va re­vo­ca­ta se ap­pa­re im­pro­ba­bi­le che ven­ga a crear­si o ven­ga ri­pri­sti­na­ta una si­tua­zio­ne con­for­me al di­rit­to en­tro un pe­rio­do di tem­po ra­gio­ne­vo­le.

⁴ Se l’or­ga­ni­smo cer­ti­fi­ca­to non ha eli­mi­na­to le la­cu­ne en­tro il ter­mi­ne pre­vi­sto dal ca­po­ver­so 2 e l’or­ga­ni­smo di cer­ti­fi­ca­zio­ne non ha so­spe­so o re­vo­ca­to la cer­ti­fi­ca­zio­ne, l’In­ca­ri­ca­to for­mu­la una rac­co­man­da­zio­ne se­con­do l’ar­ti­co­lo 27 ca­po­ver­so 4 o l’ar­ti­co­lo 29 ca­po­ver­so 3 LPD all’in­di­riz­zo dell’or­ga­ni­smo cer­ti­fi­ca­to o dell’or­ga­ni­smo di cer­ti­fi­ca­zio­ne. Può se­gna­ta­men­te rac­co­man­da­re all’or­ga­ni­smo di cer­ti­fi­ca­zio­ne di so­spen­de­re o re­vo­ca­re la cer­ti­fi­ca­zio­ne. Se in­di­riz­za la rac­co­man­da­zio­ne all’or­ga­ni­smo di cer­ti­fi­ca­zio­ne, ne in­for­ma il Ser­vi­zio d’ac­cre­di­ta­men­to sviz­ze­ro.

La pre­sen­te or­di­nan­za en­tra in vi­go­re il 1° gen­na­io 2008.