ATTENZIONE: Questa versione non è in vigore! Fare clic qui per vedere la versione in vigore.

01.01.2024 - * / In vigore
01.09.2023 - 31.12.2023
16.10.2012 - 31.08.2023
  DEFRITEN • (html)
  DEFRITEN • (pdf)

01.12.2010 - 15.10.2012
01.01.2008 - 30.11.2010
01.01.2007 - 31.12.2007
01.07.2006 - 31.12.2006
01.04.2000 - 30.06.2006
Fedlex DEFRITRMEN
Confronta le versioni

235.11

Ordinanza
relativa alla legge federale sulla protezione dei dati

(OLPD)

del 14 giugno 1993 (Stato 16 ottobre 2012)

Il Consiglio federale svizzero,

visti gli articoli 6 capoverso 3, 7 capoverso 2, 8, 11a capoverso 6, 16 capoverso 2, 17a e 36 capoversi 1, 4 e 6 della legge federale del 19 giugno 19921 sulla protezione dei dati (LPD);
visto l'articolo 46a della legge del 21 marzo 19972 sull'organizzazione del Governo e dell'Amministrazione (LOGA),3

ordina:

1 RS 235.1

2 RS 172.010

3 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Capitolo 1: Trattamento dei dati personali da parte di privati

Sezione 1: Diritto di accesso

Art. 1 Modalità

1 Di norma ogni persona che domanda al detentore di una collezione di dati se sono trattati dati che la concernono (art. 8 LPD), lo deve fare per scritto e provare la propria identità.

2 La domanda d'informazione e la comunicazione delle informazioni richieste possono avvenire per via elettronica purché il detentore della collezione di dati lo preveda esplicitamente e prenda misure adeguate al fine di:

a.
assicurare l'identificazione della persona interessata; e
b.
proteggere i dati della persona interessata dall'accesso di terzi non autorizzati in occasione della comunicazione delle informazioni.4

3 D'intesa col detentore di una collezione di dati o su proposta di quest'ultimo la persona interessata può anche consultare i dati sul posto. Se la persona interessata è consenziente e l'identità provata, le informazioni possono pure essere fornite a voce.

4 Le informazioni sono fornite entro 30 giorni dopo aver ricevuto la domanda. Lo stesso dicasi di una decisione che limita il diritto d'accesso (art. 9 e 10 LPD), la quale deve essere motivata. Se non è possibile fornire le informazioni entro 30 giorni, il detentore della collezione di dati avverte il richiedente indicandogli il termine entro il quale sarà data la risposta.

5 Se parecchi detentori di collezioni di dati gestiscono in comune una o parecchie collezioni di dati, il diritto d'accesso può essere esercitato presso ognuno di loro, eccetto che uno sia responsabile del trattamento di tutte le domande d'informazioni. Se non è autorizzato a comunicare l'informazione richiesta, il detentore della collezione di dati trasmette la domanda a chi di diritto.

6 Se il trattamento dei dati richiesti è effettuato da un terzo per conto del detentore della collezione di dati e se quest'ultimo non è in grado di fornire l'informazione richiesta, la domanda è trasmessa al terzo per il disbrigo.5

7 Informazioni su dati di persone decedute sono rilasciate se il richiedente prova di avervi interesse e non vi si oppongono interessi preponderanti di congiunti della persona deceduta o di terzi. L'interesse è presunto in caso di stretta parentela o di matrimonio con la persona deceduta.

4 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

5 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 2 Eccezione alla gratuità delle informazioni

1 Un'equa partecipazione alle spese può essere eccezionalmente domandata quando:

a.
le informazioni richieste sono già state comunicate al richiedente nei 12 mesi prima dell'inoltro della domanda, a meno che questi provi un interesse degno di protezione, segnatamente la modificazione dei dati che lo concernono senza che ne sia stato informato;
b.
la comunicazione delle informazioni richieste causa un lavoro considerevole.

2 La partecipazione è di al massimo 300 franchi. Il richiedente è preventivamente informato dell'importo e può ritirare la richiesta entro dieci giorni.

Sezione 2: Notifica6 delle collezioni di dati

6 Nuova espr. giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993). Di detta mod. è stato tenuto conto in tutto il presente testo.

Art. 3 Notifica

1 Le collezioni di dati (art. 11a cpv. 3 LPD) sono notificate all'Incaricato federale della protezione dei dati e della trasparenza (Incaricato) prima di essere rese operative.7 La notifica contiene le informazioni seguenti:

a.
nome e indirizzo del detentore della collezione di dati;
b.
nome e denominazione completa della collezione di dati;
c.
persona presso la quale si può far valere il diritto d'accesso;
d.
scopo della collezione di dati;
e.
categorie di dati personali trattati;
f.
categorie di destinatari dei dati;
g.
categorie di partecipanti alla collezione di dati, vale a dire i terzi autorizzati a introdurre dati nella collezione o a procedere a mutamenti.

2 Ogni detentore di una collezione di dati tiene aggiornate le informazioni. ...8

7 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

8 Per. abrogato dal n. I dell'O del 28 set. 2007, con effetto dal 1° gen. 2008 (RU 2007 4993).

Art. 49 Eccezioni all'obbligo di notifica

1 Non sono sottoposte a notifica le collezioni di dati di cui all'articolo 11a capoverso 5 lettere a e c-f LPD, come pure le seguenti collezioni (art. 11a cpv. 5 lett. b LPD):

a.
le collezioni di dati di fornitori o di clienti, sempreché non contengano dati personali degni di particolare protezione o profili della personalità;
b.
le collezioni i cui dati sono utilizzati esclusivamente per scopi impersonali, segnatamente nell'ambito della ricerca, della pianificazione o della statistica;
c.
le collezioni archiviate i cui dati sono conservati unicamente a scopi storici o scientifici;
d.
le collezioni che contengono esclusivamente dati pubblicati o dati che la persona interessata ha reso accessibili al pubblico senza opporsi formalmente al loro trattamento;
e.
le collezioni i cui dati sono trattati unicamente al fine di adempiere le condizioni di cui all'articolo 10;
f.
i documenti contabili;
g.
le collezioni ausiliarie concernenti la gestione del personale del detentore della collezione di dati, sempreché non contengano dati personali degni di particolare protezione o profili della personalità.
2 Il detentore della collezione di dati prende le misure necessarie per poter comunicare, su richiesta, all'Incaricato o alle persone interessate le informazioni relative alle collezioni di dati non sottoposte all'obbligo di notifica (art. 3 cpv. 1).

9 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Sezione 3: Comunicazione all'estero

Art. 510 Pubblicazione in forma elettronica

La pubblicazione di dati personali mediante servizi automatizzati di informazione e comunicazione al fine di informare il pubblico non è assimilata a una comunicazione di dati all'estero.

10 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 611 Obbligo di informare

1 Il detentore della collezione di dati informa l'Incaricato, prima della comunicazione all'estero, sulle garanzie e sulle regole di protezione dei dati di cui all'articolo 6 capoverso 2 lettere a e g LPD. Se non è in grado di informare anticipatamente l'Incaricato, l'informazione ha luogo subito dopo la comunicazione.

2 Se le garanzie e le regole di protezione dei dati sono state comunicate all'Incaricato, l'obbligo di informare del detentore della collezione di dati è pure considerato adempito per tutte le comunicazioni che:

a.
si fondano sulle stesse garanzie, sempreché le categorie dei destinatari, gli scopi del trattamento e le categorie di dati comunicati siano analoghi; o
b.
hanno luogo all'interno della stessa persona giuridica o società oppure tra persone giuridiche o società sottostanti a una direzione unica, sempreché le regole sulla protezione dei dati fornite consentano di garantire una protezione adeguata.

3 L'obbligo di informare è altresì considerato adempito se i dati sono trasmessi mediante contratti modello o clausole standard allestiti o riconosciuti dall'Incaricato e se il detentore della collezione di dati informa in modo generale l'Incaricato dell'impiego di tali contratti modello o clausole standard. L'Incaricato pubblica un elenco dei contratti modello o delle clausole standard da lui allestiti o riconosciuti.

4 Il detentore della collezione di dati prende misure adeguate per garantire che il destinatario rispetti le garanzie e le regole sulla protezione dei dati.

5 L'Incaricato esamina le garanzie e le regole sulla protezione dei dati che gli sono state comunicate (art. 31 cpv. 1. lett. e LPD) e comunica il risultato del suo esame al detentore della collezione di dati entro un termine di 30 giorni dalla ricezione dell'informazione.

11 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Sezione 4: Misure tecniche e organizzative

Art. 8 Misure generali

1 Il privato che tratta dati personali o che mette a disposizione una rete telematica assicura il carattere confidenziale, la disponibilità e l'integrità dei dati allo scopo di garantirne in modo appropriato la protezione.13 Egli protegge i sistemi segnatamente contro i rischi di:

a.
distruzione accidentale o non autorizzata;
b.
perdita accidentale;
c.
errori tecnici;
d.
falsificazione, furto o uso illecito;
e.
modificazione, copia, accesso o altro trattamento non autorizzati.

2 Le misure tecniche e organizzative devono essere appropriate. In particolare esse tengono conto dei seguenti criteri:

a.
scopo del trattamento dei dati;
b.
natura e estensione del trattamento dei dati;
c.
valutazione dei rischi potenziali per le persone interessate;
d.
sviluppo tecnico.

3 Tali misure sono periodicamente riesaminate.

4 ...14

13 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

14 Abrogato dal n. I dell'O del 28 set. 2007, con effetto dal 1° gen. 2008 (RU 2007 4993).

Art. 9 Misure particolari

1 Il detentore di una collezione di dati adotta, in particolare per i trattamenti automatizzati di dati personali, le misure tecniche e organizzative appropriate alla realizzazione soprattutto dei seguenti obiettivi:

a.
controllo dell'entrata nelle installazioni: le persone non autorizzate non hanno accesso ai locali e alle installazioni utilizzate per il trattamento dei dati personali;
b.
controllo dei supporti di dati personali: le persone non autorizzate non possono leggere, copiare, modificare o rimuovere supporti di dati;
c.
controllo del trasporto: le persone non autorizzate non possono leggere, copiare, modificare o cancellare dati personali al momento della comunicazione o del trasporto di supporti di dati;
d.
controllo di comunicazione: i destinatari ai quali vengono comunicati dati personali con l'ausilio di impianti di trasmissione possono essere identificati;
e.
controllo di memoria: le persone non autorizzate non possono né introdurre dati personali nella memoria né prendere conoscenza di dati memorizzati, modificarli o cancellarli;
f.
controllo di utilizzazione: le persone non autorizzate non possono utilizzare i sistemi di trattamento automatizzato di dati personali con l'ausilio di impianti di trasmissione;
g.
controllo d'accesso: le persone autorizzate hanno accesso soltanto ai dati personali di cui abbisognano per svolgere i loro compiti;
h.
controllo dell'introduzione: è possibile verificare a posteriori le persone che introducono dati personali nel sistema nonché i dati introdotti e il momento dell'introduzione.

2 Le collezioni di dati devono essere organizzate in modo da permettere alla persona interessata di esercitare i diritti d'accesso e di rettifica.

Art. 10 Verbalizzazione15

1 Il detentore di una collezione di dati verbalizza i trattamenti automatizzati di dati personali degni di particolare protezione o di profili della personalità se le misure preventive non sono sufficienti a garantire la protezione dei dati. La verbalizzazione deve avere luogo in particolare qualora, senza tale misura, non fosse possibile verificare a posteriori se il trattamento dei dati è avvenuto in conformità con gli scopi per cui questi sono stati collezionati o comunicati. L'Incaricato può raccomandare la verbalizzazione di altri trattamenti.16

2 I verbali sono conservati per un anno e in forma adeguata alle esigenze della revisione. Sono accessibili ai soli organi o persone incaricati di verificare l'applicazione dei dispositivi di protezione dei dati personali e sono utilizzati soltanto a questo scopo.17

15 RU 2012 5521

16 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993, 2012 5521).

17 RU 2012 5521

Art. 1118 Regolamento per il trattamento

1 Il detentore di una collezione di dati automatizzata sottoposta a notifica (art. 11a cpv. 3 LPD), che è esonerato dall'obbligo di notifica in virtù dell'articolo 11a capoverso 5 lettere b-d LPD, elabora un regolamento che descrive in particolare l'organizzazione interna e le procedure di trattamento e di controllo dei dati e comprende i documenti relativi alla pianificazione, elaborazione e gestione della collezione e dei mezzi informatici.

2 Il detentore della collezione di dati aggiorna regolarmente il regolamento. Su richiesta, lo mette a disposizione dell'Incaricato o del responsabile della protezione dei dati ai sensi dell'articolo 11a capoverso 5 lettera e LPD in una forma a lui comprensibile.

18 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 12 Comunicazione di dati

Al momento di ogni comunicazione il destinatario deve essere informato sull'attualità e l'affidabilità dei dati personali nella misura in cui non risultino da quest'ultimi o dalle circostanze.

Sezione 5:19 Responsabile della protezione dei dati

19 Introdotta dal n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 12a Designazione del responsabile della protezione dei dati e comunicazione all'Incaricato

1 Se il detentore della collezione di dati vuole essere esonerato dall'obbligo di notifica conformemente all'articolo 11a capoverso 5 lettera e LPD, deve:

a.
designare un responsabile della protezione dei dati che soddisfi le condizioni del capoverso 2 e dell'articolo 12b; e
b.
informarne l'Incaricato.

2 Il detentore della collezione di dati può designare un collaboratore o un terzo quale responsabile della protezione dei dati. Quest'ultimo non può esercitare attività inconciliabili con la sua funzione di responsabile della protezione dei dati e deve disporre delle conoscenze tecniche necessarie.

Art. 12b Compiti e statuto del responsabile della protezione dei dati

1 Il responsabile della protezione dei dati ha segnatamente i seguenti compiti:

a.
controlla i trattamenti di dati personali e propone provvedimenti correttivi, se risulta che sono state violate prescrizioni sulla protezione dei dati;
b.
allestisce un inventario delle collezioni di dati gestite dal detentore della collezione di dati secondo l'articolo 11a capoverso 3 LPD e lo mette a disposizione dell'Incaricato o delle persone interessate che ne fanno richiesta.

2 Il responsabile della protezione dei dati:

a.
esercita la sua funzione in modo indipendente e senza ricevere istruzioni dal detentore della collezione di dati;
b.
dispone delle risorse necessarie all'adempimento del suo compito;
c.
ha accesso a tutte le collezioni e trattamenti di dati così come a tutte le informazioni necessarie all'adempimento del suo compito.

Capitolo 2: Trattamento di dati da parte degli organi federali

Sezione 1: Diritto d'accesso

Art. 13 Modalità

Gli articoli 1 e 2 si applicano per analogia anche alle domande d'informazione rivolte agli organi federali.

Art. 14 Domanda d'informazioni alle missioni svizzere all'estero

1 Le rappresentanze svizzere all'estero e le missioni presso le Comunità europee e le organizzazioni internazionali trasmettono le domande di informazioni a loro presentate al servizio competente presso il Dipartimento federale degli affari esteri. Il Dipartimento disciplina le competenze.20

2 L'ordinanza del 10 dicembre 200421 sui controlli militari resta applicabile alle domande d'informazione relative ai controlli militari all'estero.22

20 Nuovo testo giusta il n. 3 dell'all. 2 all'O del 24 mag. 2006 sulla trasparenza, in vigore dal 1° lug. 2006 (RU 2006 2331).

21 RS 511.22

22 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Sezione 2: Notifica delle collezioni di dati

Art. 16 Notifica24

1 Gli organi federali responsabili (art. 16 LPD) notificano all'Incaricato25 le collezioni di dati prima che quest'ultime siano operative. La notifica contiene le seguenti informazioni:

a.
nome e indirizzo dell'organo federale responsabile;
b.
nome e denominazione completa della collezione;
c.
organo presso cui si può far valere il diritto d'accesso;
d.
base giuridica e scopo della collezione;
e.
categorie di dati personali trattati;
f.
categorie di destinatari dei dati;
g.
categorie di partecipanti alla collezione, vale a dire i terzi che hanno il diritto di introdurre dati nella collezione o di procedere a mutazioni;
h.26
...

2 L'organo federale responsabile aggiorna regolarmente tali informazioni.27

24 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

25 Nuova espr. giusta il n. 3 dell'all. 2 all'O del 24 mag. 2006 sulla trasparenza, in vigore dal 1° lug. 2006 (RU 2006 2331). Di tale mod. è tenuto conto in tutto il presente testo.

26 Abrogata dal n. I dell'O del 28 set. 2007, con effetto dal 1° gen. 2008 (RU 2007 4993).

27 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 1829 Eccezioni all'obbligo di notifica

1 Le seguenti collezioni di dati non sottostanno all'obbligo di notifica, sempreché gli organi federali li utilizzino esclusivamente a scopi amministrativi interni:

a.
le collezioni di dati usuali di registrazione della corrispondenza;
b.
le collezioni di dati di fornitori o di clienti, sempreché non contengano dati personali degni di particolare protezione o profili della personalità;
c.
le collezioni d'indirizzi che servono unicamente all'invio della corrispondenza, sempreché non contengano dati personali degni di particolare protezione o profili della personalità;
d.
gli elenchi destinati al pagamento d'indennità;
e.
i documenti contabili;
f.
le collezioni ausiliarie concernenti la gestione del personale della Confederazione, sempreché non contengano dati personali degni di particolare protezione o profili della personalità;
g.
le collezioni di dati di biblioteche (cataloghi, elenchi di prestiti e di utenti).

2 Non sono parimenti soggette all'obbligo di notifica:

a.
le collezioni di dati depositate presso l'Archivio federale;
b.
le collezioni di dati resi accessibili al pubblico in forma di annuari;
c.
le collezioni i cui dati sono utilizzati esclusivamente per scopi impersonali, segnatamente nell'ambito della ricerca, della pianificazione o della statistica.

3 L'organo federale responsabile prende le misure necessarie per poter comunicare, su richiesta, all'Incaricato o alle persone interessate le informazioni relative alle collezioni di dati non sottoposte all'obbligo di notifica (art. 16 cpv. 1).

29 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Sezione 3: Comunicazione all'estero

Art. 1930

Se un organo federale comunica dati personali all'estero fondandosi sull'articolo 6 capoverso 2 lettera a LPD, si applica l'articolo 6.

30 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993, 2008 189).

Sezione 4: Misure tecniche e organizzative

Art. 2031 Principi

1 In conformità agli articoli 8-10, gli organi federali responsabili prendono le misure tecniche e organizzative atte a proteggere la personalità e i diritti fondamentali delle persone di cui vengono trattati i dati. Collaborano con l'Organo strategia informatica della Confederazione (OSIC) se il trattamento dei dati è automatizzato.

2 Gli organi federali responsabili annunciano senza indugio al responsabile della protezione dei dati secondo l'articolo 11a capoverso 5 lettera e LPD o, in mancanza di tale responsabile, all'Incaricato ogni progetto di trattamento automatizzato di dati personali affinché le esigenze della protezione dei dati siano immediatamente prese in considerazione. L'annuncio all'Incaricato si svolge per il tramite dell'OSIC quando un progetto deve essere annunciato anche a quest'ultimo.32

3 L'Incaricato e l'OSIC collaborano nel quadro delle attività relative alle misure tecniche. L'Incaricato consulta l'OSIC prima di raccomandare misure del genere.

4 Per il resto si applicano le istruzioni emanate dagli organi federali responsabili in virtù dell'ordinanza del 26 settembre 200333 sull'informatica nell'Amministrazione federale (OIAF).34

31 Nuovo testo giusta il n. II 7 dell'all. all'O del 23 feb. 2000 sull'informatica nell'Amministrazione federale, in vigore dal 1° apr. 2000 (RU 2000 1227).

32 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

33 RS 172.010.58

34 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 21 Regolamento per il trattamento

1 Gli organi federali responsabili emanano un regolamento per il trattamento delle collezioni di dati automatizzati che presentano una delle seguenti caratteristiche:

a.
contengono dati personali degni di particolare protezione o profili della personalità;
b.
sono utilizzate da parecchi organi federali;
c.
sono accessibili a Cantoni, autorità estere, organizzazioni internazionali o privati;
d.
sono collegate ad altre collezioni di dati.

2 L'organo federale responsabile precisa l'organizzazione interna nel regolamento. In particolare descrive le procedure di trattamento e di controllo dei dati e integra i documenti relativi alla pianificazione, all'elaborazione e alla gestione della collezione di dati. Il regolamento contiene le informazioni necessarie per la notifica delle collezioni (art. 16) e dà indicazioni su:

a.
l'organo responsabile della protezione e della sicurezza dei dati;
b.
la provenienza dei dati;
c.
gli scopi per i quali i dati sono regolarmente comunicati;
d.
le procedure di controllo e in particolare le misure tecniche e organizzative previste dall'articolo 20;
e.
la descrizione dei campi di dati e delle unità organizzative che hanno accesso;
f.
il modo d'accesso degli utenti alla collezione di dati nonché l'estensione dell'accesso;
g.
le procedure di trattamento dei dati, segnatamente le procedure di rettificazione, di blocco, di anonimizzazione, di salvaguardia, di conservazione, di archiviazione e di distruzione dei dati;
h.
la configurazione dei mezzi informatici;
i.
la procedura di esercizio del diritto d'accesso.

3 Il regolamento è aggiornato periodicamente. È messo a disposizione degli organi incaricati del controllo in una forma per loro intelligibile.

Art. 22 Trattamento di dati su mandato

1 ...35

2 L'organo federale che incarica un terzo di trattare dati personali è responsabile della protezione dei medesimi. Sorveglia che i dati siano trattati in conformità del mandato, segnatamente in merito all'utilizzazione e alla comunicazione.

3 Se un terzo non è sottoposto alla LPD, l'organo responsabile vigila che altri disposti legali assicurino una protezione equivalente o, in mancanza di essi, garantisce tale protezione mediante clausole contrattuali.

35 Abrogato dal n. I dell'O del 28 set. 2007, con effetto dal 1° gen. 2008 (RU 2007 4993).

Art. 2336 Consulente per la protezione dei dati

1 La Cancelleria federale e i dipartimenti designano ciascuno almeno un consulente per la protezione dei dati. Il consulente ha i seguenti compiti:

a.
fornire consulenza agli organi responsabili e agli utenti;
b.
promuovere l'informazione e la formazione dei collaboratori;
c.
contribuire all'applicazione delle prescrizioni sulla protezione dei dati.

2 Se gli organi federali vogliono essere esonerati dall'obbligo di notifica delle loro collezioni di dati conformemente all'articolo 11a capoverso 5 lettera e LPD, si applicano gli articoli 12a e 12b.

3 Gli organi federali comunicano con l'Incaricato per il tramite del loro consulente per la protezione dei dati.

36 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Sezione 5: Disposizioni particolari

Art. 2437 Raccolta di dati

Se la persona interrogata non è tenuta a fornire un'informazione, l'organo federale che raccoglie sistematicamente dati mediante moduli deve informarla del carattere facoltativo della sua risposta.

37 Nuovo testo giusta il n. I dell'O del 4 giu. 2010, in vigore dal 1° dic. 2010 (RU 2010 3399).

Art. 25 Numero personale d'identificazione

1 L'organo federale che, per la gestione delle sue collezioni di dati, introduce un numero personale d'identificazione, crea un elemento identificante non significante riservato al suo campo d'attività. È un elemento identificante non significante un insieme di caratteri attribuito in modo biunivoco a ogni persona registrata in una collezione di dati e che non dà, preso in sé, nessuna informazione sulla persona.

2 L'utilizzazione di un numero personale d'identificazione da parte di un altro organo federale o cantonale nonché di un privato è sottoposta all'approvazione dell'organo interessato.

3 L'organo interessato può concedere l'approvazione se i trattamenti previsti dei dati sono in rapporto stretto con il settore per cui è stato creato l'elemento identificante richiesto.

4 Se del caso, l'utilizzazione del numero dell'AVS è retta dalla legislazione sull'AVS.

Art. 26 Comunicazione dei dati

L'organo federale responsabile informa il destinatario dei dati sull'attualità e l'affidabilità dei dati personali nella misura in cui non è dato desumerle da quest'ultimi o dalle circostanze.

Art. 2738 Procedura d'autorizzazione di sistemi pilota

1 Prima di consultare le unità amministrative interessate, l'organo federale competente del sistema pilota comunica all'Incaricato come viene garantito il rispetto delle esigenze di cui all'articolo 17a LPD e lo invita a esprimere un preavviso.

2 L'Incaricato esprime un preavviso sul rispetto delle condizioni di cui all'articolo 17a capoversi 1 e 2 LPD. A tal fine, l'organo federale competente gli mette a disposizione tutti i documenti necessari, e in particolare:

a.
una descrizione generale del sistema pilota;
b.
un rapporto attestante che l'adempimento dei compiti previsti dalla legge richiede il trattamento di dati degni di particolare protezione o profili della personalità e rende imperativa una fase sperimentale prima dell'entrata in vigore della legge in senso formale (art. 17a cpv. 1 lett. c LPD);
c.
una descrizione dell'organizzazione interna e delle procedure di trattamento e di controllo dei dati (art. 21);
d.
una descrizione delle misure di sicurezza e di protezione dei dati;
e.
un progetto di ordinanza che disciplini le modalità di trattamento o le grandi linee di tale atto legislativo;
f.
le informazioni concernenti la pianificazione delle diverse fasi del sistema pilota.

3 L'Incaricato può esigere altri documenti e procedere a verifiche complementari.

4 L'organo federale competente informa l'Incaricato di ogni modifica importante che concerne il rispetto delle condizioni poste dall'articolo 17a LPD. Se necessario, l'Incaricato esprime un nuovo preavviso.

5 Il preavviso dell'Incaricato è allegato alla proposta indirizzata al Consiglio federale.

38 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 27a39 Rapporto di valutazione sul sistema pilota

L'organo federale competente sottopone per parere all'Incaricato il progetto di rapporto di valutazione destinato al Consiglio federale (art. 17a cpv. 4 LPD). Il preavviso dell'Incaricato è comunicato al Consiglio federale.

39 Introdotto dal n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Capitolo 3:
Registro delle collezioni di dati, Incaricato federale della protezione dei dati e della trasparenza40 e Procedura davanti al Tribunale amministrativo federale41

40 Nuova espr. giusta il n. 3 dell'all. 2 all'O del 24 mag. 2006 sulla trasparenza, in vigore dal 1° lug. 2006 (RU 2006 2331).

41 Nuova espr. giusta il n. II 24 dell'O dell'8 nov. 2006 concernente l'adeguamento di ordinanze del Consiglio federale alla revisione totale dell'organizzazione giudiziaria federale, in vigore dal 1° gen. 2007 (RU 2006 4705). Di detta mod. é stato tenuto conto in tutto il presente testo.

Sezione 1: Registro e registrazione delle collezioni di dati

Art. 2842 Registro delle collezioni di dati

1 Il registro delle collezioni di dati gestito dall'Incaricato contiene le informazioni di cui agli articoli 3 e 16.

2 Il registro è accessibile al pubblico online. Su richiesta, l'Incaricato allestisce estratti gratuitamente.

3 L'incaricato stila un elenco dei detentori di collezioni di dati esonerati dall'obbligo di notifica secondo l'articolo 11a capoverso 5 lettere e ed f LPD. Questo elenco è accessibile al pubblico online.

4 Se il detentore della collezione di dati non notifica la collezione o lo fa incompiutamente, l'Incaricato lo invita a rimediare entro un determinato termine. Trascorso il termine e sulla base delle informazioni di cui dispone, l'Incaricato può procedere d'ufficio alla registrazione della collezione o raccomandare la cessazione del trattamento dei dati.

42 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Sezione 2:
Incaricato federale della protezione dei dati e della trasparenza

Art. 30 Sede e statuto

1 Sede dell'Incaricato e del segretariato è Berna.

2 I rapporti di lavoro del segretariato dell'Incaricato sono retti dalla legge del 24 marzo 200044 sul personale federale e dalle relative disposizioni esecutive.45

3 Il budget dell'Incaricato figura in una voce specifica del budget della Cancelleria federale.46

44 RS 172.220.1

45 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

46 Introdotto dal n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 31 Relazioni con altre autorità e privati

1 L'Incaricato comunica con il Consiglio federale per il tramite del cancelliere della Confederazione.47 Questi trasmette al Consiglio federale rapporti e raccomandazioni dell'Incaricato, anche se non li approva.

1bis L'Incaricato trasmette i rapporti all'attenzione dell'Assemblea federale direttamente ai Servizi del Parlamento.48

2 L'Incaricato comunica direttamente con le altre unità amministrative, i Tribunali della Confederazione, le autorità estere di protezione dei dati e ogni altra autorità o persona privata sottoposta alla legislazione federale sulla protezione dei dati o a quella sul principio di trasparenza dell'amministrazione.49

47 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

48 Introdotto dal n. I dell'O del 4 giu. 2010, in vigore dal 1° dic. 2010 (RU 2010 3399).

49 Nuovo testo giusta il n. II 24 dell'O dell'8 nov. 2006 concernente l'adeguamento di ordinanze del Consiglio federale alla revisione totale dell'organizzazione giudiziaria federale, in vigore dal 1° gen. 2007 (RU 2006 4705).

Art. 32 Documentazione

1 Gli organi federali comunicano all'Incaricato tutti i disegni di atti legislativi concernenti il trattamento di dati personali, la protezione dei dati e l'accesso a documenti ufficiali.50 In materia di protezione dei dati, i dipartimenti e la Cancelleria federale gli comunicano le loro decisioni in forma anonima nonché le loro direttive.51

2 L'Incaricato deve disporre della documentazione necessaria per la sua attività. Gestisce un sistema d'informazioni e di documentazione autonomo per la registrazione, la gestione, l'indicizzazione e il controllo della corrispondenza e delle pratiche, così come per la pubblicazione online di informazioni d'interesse generale e del registro delle collezioni di dati.52

3 Il Tribunale amministrativo federale ha accesso alla documentazione scientifica dell'Incaricato.53

50 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

51 Nuovo testo giusta il n. 3 dell'all. 2 all'O del 24 mag. 2006 sulla trasparenza, in vigore dal 1° lug. 2006 (RU 2006 2331).

52 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

53 Nuovo testo giusta il n. II 24 dell'O dell'8 nov. 2006 concernente l'adeguamento di ordinanze del Consiglio federale alla revisione totale dell'organizzazione giudiziaria federale, in vigore dal 1° gen. 2007 (RU 2006 4705).

Art. 33 Emolumenti

1 I pareri dell'Incaricato (art. 28 LPD) sono sottoposti a emolumento. Si applicano le disposizioni dell'ordinanza generale dell'8 settembre 200454 sugli emolumenti.55

2 Non si prelevano emolumenti presso autorità federali o cantonali.

54 RS 172.041.1

55 Nuovo testo giusta il n. I dell'O del 28 set. 2007, in vigore dal 1° gen. 2008 (RU 2007 4993).

Art. 34 Esame del trattamento di dati personali

1 Se, in applicazione degli articoli 27 e 29 LPD, deve procedere all'accertamento di fatti, in particolare per valutare la legittimità di un trattamento, l'Incaricato può chiedere al detentore di una collezione di dati informazioni relative segnatamente a:

a.
misure tecniche e organizzative prese o previste (art. 8 a 10, 20);
b.
norme relative alla rettificazione, al blocco, all'anonimizzazione, alla salvaguardia, alla conservazione e alla distruzione dei dati;
c.
configurazione dei mezzi informatici;
d.
connessioni delle collezioni di dati;
e.
modo di comunicazione dei dati;
f.
descrizione dei campi di dati e di unità organizzative che hanno accesso;
g.
accesso degli utenti alla collezione di dati, nonché natura e estensione di questo accesso.

2 In caso di comunicazioni all'estero l'Incaricato può chiedere informazioni complementari relative in particolare alle possibilità di trattamento dei dati da parte del destinatario o alle misure di protezione dei dati.

Sezione 3:
Procedura davanti al Tribunale amministrativo federale

Art. 3556

1 Il Tribunale amministrativo federale può esigere che gli siano presentati trattamenti di dati.

2 Esso comunica le decisioni all'Incaricato.

56 Nuovo testo giusta il n. II 24 dell'O dell'8 nov. 2006 concernente l'adeguamento di ordinanze del Consiglio federale alla revisione totale dell'organizzazione giudiziaria federale, in vigore dal 1° gen. 2007 (RU 2006 4705).

Capitolo 4: Disposizioni finali

Art. 37 Disposizioni transitorie

1 Le collezioni di dati in esercizio al momento dell'entrata in vigore della LPD e della presente ordinanza devono essere annunciate all'Incaricato entro il 30 giugno 1994.

2 Le misure tecniche e organizzative (art. 8 a 11, 20 e 21) sono prese entro il termine di cinque anni a decorrere dalla data dell'entrata in vigore della presente ordinanza per l'insieme dei trattamenti automatizzati di dati e delle collezioni esistenti.