Al fine di introdurre l'autoregolamentazione, che accresce la responsabilità dei detentori di collezioni di dati e stimola la concorrenza, la nuova LPD prevede una procedura di certificazione delle organizzazioni e dei prodotti. L'ordinanza del dipartimento della giustizia sulla LPD emendata deve sancire le condizioni alle quali sottostanno gli organismi di certificazioni approvati dal Servizio di accreditamento svizzero. Al tempo stesso, stiamo elaborando norme di valutazione del necessario grado di protezione dei dati, per determinare le esigenze minime in materia di gestione della protezione dei dati.
Proposta di introduzione di una procedura di certificazione nell'ambito della revisione parziale della legge federale sulla protezione dei dati in corso
In collaborazione con l'Ufficio federale della giustizia (UFG), al quale incombe la responsabilità della revisione parziale della LPD, stiamo preparando le prossime tappe necessarie alla concretizzazione della "procedura di certificazione". Con la nuova LPD dovrebbe essere introdotto il principio dell'autoregolamentazione per accrescere la responsabilità dei titolari di collezioni di dati, vivificare la concorrenza e migliorare la protezione e la sicurezza dei dati. Il progetto intende incoraggiare la procedura di certificazione delle strutture organizzative, dei processi di gestione e dei sistemi e programmi d'informazione (cioè i prodotti); la priorità, tuttavia, è accordata alla certificazione delle organizzazioni, per le quali l'attrattiva dovrebbe essere maggiore. In occasione dei lavori preliminari per la revisione dell'ordinanza sulla LPD sono discusse, d'intesa con il Servizio di accreditamento svizzero (SAS) e con l' Ufficio federale di metrologia e di accreditamento (METAS), le principali condizioni alle quali devono sottostare gli organismi di certificazione. Per quanto concerne gli aspetti specifici e pratici della procedura di certificazione vera e propria - ovvero le norme di valutazione del grado di protezione dei dati - stiamo esaminando l'opportunità di introdurre un modello di riferimento. Il modello potrebbe essere calcato sulla norma d'audit del sistema d'esercizio 7799-2:2002 con le specificazioni per i sistemi di gestione della sicurezza dell'informazione (ISMS) basate sulla norma internazionale ISO 17799:2000 e il suo codice di pratica (CdP: 10 capitoli comprendenti 128 controlli) per la gestione della sicurezza dell'informazione. Nell'ambito del previsto sistema di gestione della protezione dei dati (SGPD) l'accento dovrebbe essere posto sui principi e sui metodi che garantiscono o migliorano la protezione dei dati; fra questi figurano, in particolare, quelli che si rifanno ai modelli o ai modelli di riferimento utilizzati da organi nazionali o internazionali per procedure analoghe.
[luglio 2005]