Certificazioni in materia di protezione dei dati

I fornitori di programmi o sistemi di trattamento di dati personali come pure i titolari e i responsabili del trattamento possono sottoporre i loro sistemi, prodotti e servizi a una valutazione da parte di organismi di certificazione riconosciuti e indipendenti (art. 13 cpv. 1 LPD).

In vista del riconoscimento delle procedure di certificazione e dell’introduzione di un marchio di qualità inerente alla protezione dei dati, il Consiglio federale, fondandosi sull’articolo 13 capoverso 2 LPD, ha emanato l’ordinanza del 31 agosto 2022 sulle certificazioni in materia di protezione dei dati (OCPD).

Gli organismi accreditati in virtù dell’OCPD possono certificare da un lato l’organizzazione e la procedura (sistemi di gestione), dall’altro lato i prodotti, segnatamente i sistemi e i programmi di trattamento di dati e l’hardware, nonché i servizi e i processi (art. 1 cpv. 2 OCPD). L’accreditamento è eseguito dal Servizio d’accreditamento svizzero (SAS), che coinvolge l’IFPDT in merito alla procedura, ai controlli e alle sanzioni (art. 2 OCPD).

Conformemente all’articolo 6 capoverso 2 OCPD, l’IFPDT emana direttive specifiche sui requisiti minimi che un sistema di gestione deve adempiere, tenendo conto delle norme tecniche. Conformemente all’articolo 7 capoverso 2 OCPD, emana inoltre direttive sui criteri in materia di protezione dei dati di cui tenere conto nell’ambito della perizia di prodotti, servizi e processi.
L’IFPDT riconosce gli organismi di certificazione stranieri e le certificazioni estere dopo aver consultato il SAS (art. 3 cpv. 2 e art. 9 OCPD).

L’IFPDT informa l’organismo di certificazione se constata gravi lacune presso un fornitore di programmi o sistemi di trattamento di dati personali, un titolare del trattamento o un responsabile del trattamento certificati. Se il titolare non elimina la lacuna entro 30 giorni e l’organismo di certificazione non adotta alcuna misura, l’IFPDT stesso può ordinare la sospensione o la revoca della certificazione (art. 12 cpv. 4 OCPD). 

I titolari certificati di un trattamento di dati sono esentati dall’obbligo di procedere a una valutazione d’impatto sulla protezione dei dati (art. 22 cpv. 5 LPD). Oltre a questo vantaggio, una certificazione offre ai fornitori e ai titolari anche la possibilità di documentare e comunicare la loro osservanza della legge sulla protezione dei dati, rafforzando in tal modo il loro senso di responsabilità.

La certificazione favorisce in particolare la trasparenza, nella misura in cui le operazioni di trattamento dei dati, sempre più complesse, vengono analizzate da un organismo indipendente. Le persone interessate da un trattamento di dati hanno in tal modo la possibilità di scegliere, con cognizione di causa, sistemi, prodotti o servizi rispettosi della protezione dei dati, favorendo in tal modo il rafforzamento della protezione e della sicurezza dei dati.