Sicurezza dell'informazione
Su questa pagina troverete informazioni e istruzioni importanti relative alla sicurezza informatica e delle informazioni.
Guida ai provvedimenti tecnici e organizzativi concernenti la protezione dei dati (TOM)
La presente guida illustra i rischi e le soluzioni inerenti alla protezione dei dati nell’ambito degli attuali sistemi di informazione. I temi principali della protezione dei dati vengono esposti nell’ottica dei provvedimenti tecnici e organizzativi possibili – ad es. cifratura, anonimizzazione, autenticazione ecc. La guida intende essere un ausilio all’implementazione di provvedimenti adeguati, al fine di garantire una protezione ottimale e adeguata dei dati personali, conformemente alle normative e agli standard correnti.
La guida si rivolge in primo luogo alle persone responsabili dei sistemi di informazione, siano esse tecnici o meno, direttamente chiamate ad affrontare il problema della gestione dei dati personali.
Linee guida sulla notifica di violazioni della sicurezza dei dati
Questa guida dell'IFPDT tratta i requisiti legali per la notifica delle violazioni dei dati all'IFPDT, in particolare il concetto di «rischio verosimilmente elevato» ai sensi dell'art. 24 cpv. 1 LPD. Definisce inoltre i requisiti per l'informazione degli interessati in caso di violazione della sicurezza dei dati ai sensi dell'art. 24 cpv. 4 LPD.
Raccomandazioni tecniche per la verbalizzazione secondo l’articolo 4 OPDa
Nel caso di trattamento automatico dei dati personali il titolare privato del trattamento e il suo responsabile privato del trattamento devono verbalizzare la registrazione, modificazione, lettura, comunicazione, cancellazione e distruzione dei dati. Le presenti raccomandazioni intendono fornire una visione d’insieme su ciò che comprende la verbalizzazione e sulle misure tecniche necessarie per l’adempimento dell’articolo 4 OPDa.
Istruzioni per stabilire un regolamento per il trattamento dei dati per privati
Il titolare privato del trattamento e il suo responsabile privato (cfr. art. 5 OPDa) stabiliscono un regolamento per i trattamenti automatizzati se trattano su grande scala dati personali degni di particolare protezione oppure eseguono una profilazione a rischio elevato.
Istruzioni per stabilire un regolamento per il trattamento dei dati per organi federali
L’organo federale titolare del trattamento e il suo responsabile (cfr. art. 6 OPDa) stabiliscono un regolamento per il trattamento automatizzato di dati se trattano dati personali degni di particolare protezione; effettuano una profilazione; trattano dati personali ai sensi dell’articolo 34 capoverso 2 lettera c LPD ; concedono l’accesso a dati personali a Cantoni, autorità estere, organizzazioni internazionali o privati; connettono tra loro raccolte di dati; o gestiscono insieme ad altri organi federali un sistema d’informazione o raccolte di dati.
Il piano SIPD è la base su cui poggia il regolamento per il trattamento dei dati, che rientra nell’ambito dei progetti TIC dell’Amministrazione federale.
Portali di notifica
DataBreach
L'FDPIC mette a disposizione dei titolari del trattamento un modulo online con il quale è possibile inviare le segnalazioni in modo sicuro e digitale. Dopo aver inviato la segnalazione, i titolari del trattamento dei dati possono scaricare una conferma con le informazioni segnalate.
Consulenti per la protezione dei dati
La legge federale sulla protezione dei dati (LPD) prevede la possibilità dell’autodisciplina per le imprese. Le imprese che nominano un consulente per la protezione dei dati e lo notificano all’IFPDT usufruiscono di facilitazioni riguardo alla valutazione d’impatto sulla protezione dei dati, a condizione che siano soddisfatti determinati requisiti concernenti la posizione gerarchica e le qualifiche personali del consulente. Il consulente per la protezione dei dati sorveglia il rispetto delle prescrizioni sulla protezione dei dati all’interno dell’impresa e funge da consulente del titolare del trattamento in questioni relative a questo ambito.
DataReg - Notificare le attività di trattamento
Gli organi federali sono tenuti a comunicare all'IFPDT le annotazioni contenute nel registro delle attività di trattamento, ai sensi dell'articolo 12 della LPD. I privati sono stati esentati dall'obbligo di notifica con l'entrata in vigore della revisione della legge sulla protezione dei dati (LPD) il 1° settembre 2023.