Art. 4 Certificazione dell’organizzazione e della procedura

¹ È possibile certificare:

a.: l’insieme delle procedure di trattamento dei dati di cui un organismo è responsabile;

b. singole procedure di trattamento specifiche.

² La perizia riguarda il sistema di gestione della protezione dei dati. Tale sistema comprende segnatamente:

a.: la politica di protezione dei dati;
b.: la documentazione degli obiettivi e delle misure atte a garantire la protezione dei dati e la sicurezza dei dati;
c.: i provvedimenti organizzativi e tecnici finalizzati a realizzare gli obiettivi e le misure fissate, in particolare i provvedimenti tesi a eliminare le lacune riscontrate.

³ L’incaricato emana direttive sui requisiti minimi che un sistema di gestione della protezione dei dati deve adempiere. Tiene conto dei requisiti determinanti a livello internazionale in materia di installazione, gestione, sorveglianza e ottimizzazione dei sistemi di gestione, così come figurano in particolare nelle seguenti norme tecniche³:

a.: UNI EN ISO 9001: Sistemi di gestione per la qualità – Requisiti;
b.: UNI CEI ISO/IEC 27001: Tecnologie informatiche – Tecniche per la sicurezza – Sistemi di gestione per la sicurezza delle informazioni – Requisiti.⁴

⁴ La deroga all’obbligo di notifica delle collezioni di dati secondo l’articolo 11a capoverso 5 lettera f LPD si applica soltanto a condizione che siano state certificate tutte le procedure di trattamento dei dati cui è destinata una collezione di dati.

³ Le norme menzionate possono essere consultate gratuitamente od ottenute a pagamento presso l’Associazione svizzera di normalizzazione (SNV), Sulzerallee 70, 8404 Winterthur; www.snv.ch.

⁴ Nuovo testo giusta il n. I dell’O del 30 set. 2016, in vigore dal 1° nov. 2016 (RU 2016 3447).

Art. 4 Certification de l’organisation et de la procédure

¹ Peuvent faire l’objet d’une certification:

a.: l’ensemble des procédures de traitement des données pour lesquelles un organisme est responsable;
b.: des procédures de traitement déterminées.

² L’évaluation porte sur le système de gestion de la protection des données. Ce dernier comprend notamment:

a.: une charte de protection des données;
b.: une documentation concernant les objectifs et les mesures visant à garantir la protection et la sécurité des données;
c.: les dispositions techniques et organisationnelles nécessaires à la réalisation des objectifs et des mesures fixés et en particulier des mesures visant à éliminer les manquements constatés.

³ Le préposé émet des directives sur les exigences minimales qu’un système de gestion de la protection des données doit remplir. Il tient compte des critères internationaux pertinents relatifs à l’installation, l’exploitation, la surveillance et l’amélioration des systèmes de gestion, tels qu’ils figurent en particulier dans les normes techniques suivantes³:

a.: SN EN ISO 9001, systèmes de management de la qualité, exigences;
b.: SN EN ISO/IEC 27001, technologies de l’information, techniques de sécurité, système de gestion de sécurité de l’information, exigences.⁴

⁴ L’exception à l’obligation de déclarer prévue à l’art. 11a, al. 5, let. f, LPD ne s’applique que si l’organisme au bénéfice d’une certification a obtenu cette certification pour l’ensemble des procédures de traitement portant sur les données du fichier à déclarer.

³ Les normes peuvent être consultées gratuitement ou obtenues contre paiement auprès de l’Association suisse de normalisation (SNV), Sulzerallee 70, 8404 Winterthour, www.snv.ch.

⁴ Nouvelle teneur selon le ch. I de l’O du 30 sept. 2016, en vigueur depuis le 1^er nov. 2016 (RO 2016 3447).

Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.