Informazioni destinate agli organi federali

Il nuovo diritto in materia di protezione dei dati prevede alcuni requisiti particolari per gli organi federali. Pertanto vari documenti sono a disposizione degli organi federali per fornire indicazioni utili di carattere generale e specifico, segnatamente quando si tratta di predisporre le basi legali per il trattamento dei dati.

Documentazione concernente la valutazione d’impatto sulla protezione dei dati personali (VIPD)

Tra i nuovi compiti attribuiti agli organi federali vi è l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali (VIPD) se il trattamento dei dati previsto può comportare un rischio elevato per i diritti fondamentali della persona interessata.

Direttive VIPD

Le "Direttive del Consiglio federale per l’esame preliminare dei rischi e la valutazione d’impatto sulla protezione dei dati in caso di trattamento di dati personali da parte dell’Amministrazione federale" (Direttive VIPD), adottate il 28 giugno 2023, prevedono l'integrazione della VIPD nella procedura legislativa, oltre a prevedere norme di coordinamento con HERMES, se il progetto in questione è realizzato secondo questo metodo di gestione. Le Direttive VIPD sono entrate in vigore il 1° settembre 2023 insieme alle nuove norme riguardo la protezione dei dati (legge federale del 25 settembre 2020 sulla protezione dei dati (LPD); ordinanza sulla protezione dei dati (OPDa) e ordinanza sulle certificazioni in materia di protezione dei dati (OCPD), entrambe del 31 agosto 2022).

Le Direttive VIPD si applicano alle unità dell’Amministrazione federale centrale (ai sensi dell’art. 7 dell’ordinanza sull’organizzazione del Governo e dell’Amministrazione (OLOGA)).

Sebbene non siano soggette alle Direttive VIPD, le unità dell’Amministrazione federale decentralizzata (ai sensi dell’art. 7a OLOGA) – così come le persone a cui è affidato un compito pubblico della Confederazione – sono tenute ugualmente a rispettare la legge sulla protezione dei dati (LPD) nella misura in cui sono considerate organi federali (v. art. 5 lett. i nuova LPD, che definisce l’organo federale come "autorità o servizio della Confederazione, oppure persona cui sono affidati compiti federali"). Se sono soddisfatte le condizioni dell'articolo 22 della nuova LPD, questi diversi enti devono dunque effettuare una VIPD. A tal fine sono liberi di applicare le prescrizioni delle Direttive VIPD. Ciò può essere particolarmente utile se applicano il metodo di gestione dei progetti HERMES, poiché queste norme di coordinamento permettono di evitare doppioni. Infatti, determinati elementi di HERMES sono parte integrante della VIPD. Inoltre, i documenti ausiliari dell’UFG (indicati qui di seguito) forniscono informazioni pratiche e utili per effettuare la VIPD.

Allo stesso modo, anche i titolari privati del trattamento – soggetti come gli organi federali alla nuova LPD e tenuti a effettuare una VIPD se sono soddisfatte le condizioni della LPD – possono usare gli strumenti messi a disposizione su questo sito, se lo desiderano.

Questo strumento permette all’unità amministrativa federale responsabile di determinare la natura, la portata, le circostanze e lo scopo del trattamento previsto in modo da poter valutare il rischio per i diritti fondamentali della persona interessata.

Le Direttive VIPD disciplinano il coordinamento dell’esame preliminare dei rischi con la procedura legislativa e la realizzazione di un progetto secondo il metodo HERMES:

• Coordinamento con la procedura legislativa (n. 4.1 delle Direttive VIPD):
   
  In caso di procedura legislativa, ossia se il trattamento dei dati personali richiede l’emanazione o la modifica di un atto normativo (legge, ordinanza), lo strumento per l’esame preliminare dei rischi, debitamente compilato, deve essere allegato all’incarto per la consultazione degli uffici. Se ci sono più consultazioni degli uffici, segnatamente a causa di una procedura di consultazione esterna (art. 3 cpv. 1 o 2 della legge sulla consultazione (LCo)), l’esame preliminare dei rischi deve essere effettuato prima della prima consultazione degli uffici o, perlomeno, prima della consultazione degli uffici che precede l’apertura della procedura di consultazione esterna. Se l’esame preliminare dei rischi giunge alla conclusione che è necessario effettuare una VIPD, non sarà lo strumento per l’esame preliminare dei rischi dovutamente compilato a essere allegato all’incarto per la consultazione degli uffici, bensì i risultati della VIPD.
   
  
• Coordinamento con HERMES (n. 5.1 delle Direttive VIPD):
   
  Se un progetto è realizzato con il metodo HERMES, l’esame preliminare dei rischi può essere effettuato o con lo strumento per l’analisi preliminare dei rischi o nel quadro dell’analisi del bisogno di protezione. In quest’ultimo caso, anziché lo strumento per l’analisi preliminare dei rischi, è possibile allegare al fascicolo soltanto un estratto dell’analisi del bisogno di protezione. L’obiettivo è di evitare di dover compilare diversi documenti allo stesso scopo, che hanno tutti come obbiettivo di analizzare i rischi dovuti a un trattamento dei dati.
  

La Guida VIPD fornisce informazioni utili sul metodo da applicare per effettuare una VIPD nonché sugli elementi che deve contenere. L'Incaricato federale della protezione dei dati e della transparenza è responsabile delle questioni di attuazione e supervisione relative alla VIPD. L'UFG non fornisce consulenza in questo ambito.

Le Direttive VIPD disciplinano il coordinamento della VIPD con la procedura legislativa e la realizzazione di un progetto con il metodo HERMES:

• Coordinamento con la procedura legislativa (n. 4.2 delle Direttive VIPD):
   
  In caso di procedura legislativa, ossia se il trattamento dei dati personali richiede l’emanazione o la modifica di un atto normativo (legge, ordinanza), i risultati della VIPD devono essere allegati all’incarto per la consultazione degli uffici. Se ci sono più consultazioni degli uffici, segnatamente a causa di una procedura di consultazione esterna (art. 3 cpv. 1 o 2 della legge sulla consultazione (LCo)), la VIPD deve essere effettuata prima della prima consultazione degli uffici o, perlomeno, prima della consultazione degli uffici che precede l’apertura della procedura di consultazione esterna.
   
  I risultati indicano in particolare i rischi identificati, i provvedimenti adottati e i rischi residui.
   
  Se il trattamento previsto dei dati personali richiede una procedura legislativa e avviene nel quadro di un progetto condotto secondo il metodo HERMES (v. qui sotto), è possibile allegare i risultati o in un documento a sé stante (prima opzione qui sotto) o in un estratto del documento elaborato dal Centro nazionale per la cybersicurezza NCSC (seconda opzione qui sotto).
   
  
• Coordinamento con HERMES (n. 5.2 delle Direttive VIPD):
   
  Se un progetto è realizzato secondo il metodo HERMES (senza procedura legislativa) e l’esame preliminare dei rischi o l’analisi del bisogno di protezione giunge alla conclusione che esiste un rischio elevato per i diritti fondamentali della persona interessata, questo significa che sussiste un bisogno di protezione elevato ai sensi dell’analisi del bisogno di protezione secondo la procedura di sicurezza dell’Amministrazione federale.
   
  Nel quadro di un progetto HERMES, la VIPD può essere documentata in due modi diversi:
   
  
  • o attraverso diversi documenti (n. 5.2 cpv. 5 delle Direttive) e precisamente: l’analisi delle basi legali, gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 3 delle Direttive) e un documento complementare che illustra i rischi che non sono stati valutati con gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 4 delle Direttive);
     
    
  • o in un solo documento elaborato dal NCSC, che include l’analisi delle basi legali, gli strumenti allestiti in caso di bisogno di protezione elevato nonché i rischi che non sono stati valutati con gli strumenti allestiti in caso di bisogno di protezione elevato (n. 5.2 cpv. 3, 4 e 5 delle Direttive);