Sezione 1: Organismi di certificazione |
Art. 1 Requisiti
1 Gli organismi che effettuano certificazioni in materia di protezione dei dati secondo l’articolo 11 LPD (organismi di certificazione) devono essere accreditati. L’accreditamento è retto dall’ordinanza del 17 giugno 19962 sull’accreditamento e sulla designazione, per quanto la presente ordinanza non disponga altrimenti. 2 Sono necessari due accreditamenti distinti per certificare:
b. i prodotti (hardware, software o sistemi per le procedure automatizzate di trattamento di dati). 3 Gli organismi di certificazione devono disporre di un’organizzazione e di una procedura di certificazione ben definite (programma di controllo). Vi sono disciplinati in particolare:
4 I requisiti minimi del programma di controllo sono retti dalle norme e dai principi applicabili conformemente all’allegato 2 dell’ordinanza del 17 giugno 1996 sull’accreditamento e sulla designazione e dagli articoli 4–6. 5 I requisiti minimi concernenti la qualifica del personale addetto alla certificazione sono disciplinati nell’allegato. |
Art. 2 Procedura di accreditamento
Il Servizio d’accreditamento svizzero consulta l’Incaricato federale della protezione dei dati e della trasparenza (l’Incaricato) in merito alla procedura di accreditamento e ai controlli nonché alla sospensione e alla revoca dell’accreditamento. |
Art. 3 Organismi di certificazione esteri
1 Previa consultazione del Servizio d’accreditamento svizzero, l’Incaricato ammette gli organismi di certificazione esteri all’esercizio dell’attività sul territorio svizzero, se gli stessi possono dimostrare di possedere una qualifica equivalente a quella richiesta in Svizzera. 2 Gli organismi di certificazione devono in particolare provare che adempiono i requisiti di cui all’articolo 1 capoversi 3 e 4 e che conoscono sufficientemente la legislazione svizzera sulla protezione dei dati. 3 L’Incaricato può rilasciare riconoscimenti limitati nel tempo o vincolarli a condizioni od oneri. Revoca il riconoscimento se non sono adempiti condizioni od oneri essenziali. |
Sezione 2: Oggetto e procedura |
Art. 4 Certificazione dell’organizzazione e della procedura
1 È possibile certificare:
b. singole procedure di trattamento specifiche. 2 La perizia riguarda il sistema di gestione della protezione dei dati. Tale sistema comprende segnatamente:
3 L’incaricato emana direttive sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere. Tiene conto dei requisiti determinanti a livello internazionale in materia di installazione, gestione, sorveglianza e ottimizzazione dei sistemi di gestione, così come figurano in particolare nelle seguenti norme tecniche3:
4 La deroga all’obbligo di notifica delle collezioni di dati secondo l’articolo 11a capoverso 5 lettera f LPD si applica soltanto a condizione che siano state certificate tutte le procedure di trattamento dei dati cui è destinata una collezione di dati. 3 Le norme menzionate possono essere consultate gratuitamente od ottenute a pagamento presso l’Associazione svizzera di normalizzazione (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. 4 Nuovo testo giusta il n. I dell’O del 30 set. 2016, in vigore dal 1° nov. 2016 (RU 2016 3447). |
Art. 5 Certificazione di prodotti
1 Possono essere certificati i prodotti destinati in prevalenza al trattamento di dati personali o generanti, al momento del loro impiego, dati personali, in particolare relativi all’utente. 2 Si esamina segnatamente se il prodotto stesso garantisce:
3L’incaricato emana direttive sui criteri specifici in materia di protezione dei dati da esaminare nell’ambito della certificazione di un prodotto.5 5 Nuovo testo giusta il n. I dell’O del 12 mar. 2010, in vigore dal 1° apr. 2010 (RU 2010 949). |
Art. 6 Rilascio e validità della certificazione
1 La certificazione è rilasciata se dalla procedura risulta che, in base ai criteri applicati dall’organismo di certificazione per la perizia o la prova dei prodotti, sono soddisfatti i requisiti legali in materia di protezione dei dati e gli altri requisiti derivanti dalla presente ordinanza e dalle direttive dell’Incaricato (art. 4 cpv. 3 e art. 5 cpv. 3). La certificazione può essere vincolata a condizioni od oneri. 2 La certificazione di un sistema di gestione della protezione dei dati è valida tre anni. L’organismo di certificazione verifica ogni anno, in via sommaria, se le condizioni determinanti per la certificazione continuano a essere adempite. 3 La certificazione di un prodotto è valida per due anni. Un prodotto che subisce modifiche essenziali deve essere nuovamente certificato. |
Art. 8 Comunicazione dell’esito della procedura di certificazione
1 L’organismo certificato che comunica all’Incaricato l’esito positivo della certificazione secondo l’articolo 4, per essere esonerato dall’obbligo di notifica della collezione di dati secondo l’articolo 11a capoverso 5 lettera f LPD, deve presentare su richiesta i seguenti documenti:
2 Se svolgendo la propria attività di sorveglianza l’organismo di certificazione riscontra mutamenti sostanziali delle condizioni di certificazione, in particolare per quanto riguarda l’adempimento di condizioni od oneri, l’organismo certificato ne informa l’Incaricato. 3 L’Incaricato pubblica un elenco degli organismi certificati esonerati dall’obbligo di notificare le loro collezioni di dati (art. 28 cpv. 3 dell’O del 14 giu. 19936 relativa alla legge federale sulla protezione dei dati). Tale documento indica segnatamente la durata di validità della certificazione. |
Sezione 4: Entrata in vigore |
Allegato 7
7 Aggiornato dal n. II dell’O del 30 set. 2016, in vigore dal 1° nov. 2016 (RU 2016 3447). |
(art. 1 cpv. 5) |
Requisiti concernenti la qualifica del personale degli organismi di certificazione addetto alla certificazione |
1 Certificazione dei sistemi di gestione della protezione dei dati |
L’organismo di certificazione deve provare che il personale addetto alla certificazione dei sistemi di gestione della protezione dei dati dispone complessivamente delle seguenti qualifiche:
L’organismo di certificazione deve provare di disporre di personale qualificato per i singoli settori. La perizia dei sistemi di gestione della protezione dei dati da parte di un gruppo interdisciplinare è autorizzata. 8 La norma menzionata può essere consultata gratuitamente od ottenuta a pagamento presso l’Associazione svizzera di normalizzazione (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |
2 Certificazione di prodotti |
L’organismo di certificazione deve provare che il personale addetto alla certificazione di prodotti dispone complessivamente delle seguenti qualifiche:
L’organismo di certificazione deve provare di disporre di personale qualificato per i singoli settori. La perizia dei sistemi di gestione della protezione dei dati da parte di un gruppo interdisciplinare è autorizzata. 9 La norma menzionata può essere consultata gratuitamente od ottenuta a pagamento presso l’Associazione svizzera di normalizzazione (SNV), Sulzerallee 70, 8404Winterthur; www.snv.ch. |