Pubblicato il 27 febbraio 2024
Protezione dei dati
La protezione della personalità e dei diritti fondamentali delle persone fisiche di cui armasuisse tratta i dati personali ha una grande importanza per noi. In qualità di collaboratore o mandatario, lei può fare affidamento sul fatto che armasuisse tutela i suoi dati personali conformemente alle disposizioni della legge sulla protezione dei dati e richiede ai propri partner commerciali di fare altrettanto.
Lei può/Puoi richiedere ad armasuisse che le/ti comunichi se tratta dati riguardanti la sua/tua persona. Tale informazione è gratuita e di norma viene fornita entro 30 giorni.
Le richieste devono essere rivolte in forma scritta al seguente indirizzo:
Dipartimento federale della difesa,
della protezione della popolazione e dello sport DDPS
Ufficio federale dell’armamento armasuisse
Consulente per la protezione dei dati
Guisanplatz 1
CH-3003 Berna
dsgvo@ar.admin.ch- Legge federale del 25 settembre 2020 sulla protezione dei dati
- Ordinanza del 31 agosto 2022 sulla protezione dei dati
- Ordinanza del 31 agosto 2022 sulle certificazioni in materia di protezione dei dati
- Legge federale del 3 ottobre 2008 sui sistemi d’informazione militari e su altri sistemi d’informazione nel DDPS
- Ordinanza del 3 marzo 2023 sui sistemi d’informazione militari
- Legge sull'organizzazione del governo e dell'amministrazione del 21 marzo 1997
- Ordinanza sull'organizzazione governativa e amministrativa del 25 novembre 1998
- Ordinanza sul trattamento dei dati personali e dei dati delle persone giuridiche nell'utilizzo dell'infrastruttura elettronica federale del 22 febbraio 2022
- Legge sulla sicurezza delle informazioni del 18 dicembre 2020 (in particolare capitolo 3, sezione 5, capitolo 4, sezione 7)
- Ordinanza sulla sicurezza delle informazioni dell'8 novembre 2023 (in particolare la sezione 9 e l'allegato 1) (in tedesco)
- Legge sul personale federale del 24 marzo 2000
- Ordinanza sulla protezione dei dati personali del personale federale del 22 novembre 2017
- Direttive sull'organizzazione della protezione dei dati nel DDPS del 18 dicembre 2023 (in tedesco)
FAQ
I dati personali possono riguardare tra gli altri collaboratori interni o esterni, clienti, fornitori, partner commerciali o persone terze.
Per dati personali si intendono tutte le informazioni concernenti una persona fisica identificata o identificabile, quali per esempio nome, indirizzo e-mail, indirizzo di residenza, data di nascita, numero AVS, dati bancari o indirizzo IP.
Per dati personali degni di particolare protezione si intendono i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali, i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia, i dati genetici, i dati biometrici che identificano in modo univoco una persona fisica, i dati concernenti perseguimenti e sanzioni amministrativi e penali, così come i dati riguardanti le misure d’assistenza sociale.
Con trattamento di dati personali si definisce qualsiasi operazione relativa a dati personali, indipendentemente dai mezzi e dalle procedure impiegati, segnatamente la raccolta, la registrazione, la conservazione, l’utilizzazione, la modificazione, la comunicazione, l’archiviazione, la cancellazione o la distruzione di dati.
La responsabilità per il trattamento di dati personali in conformità alle leggi compete all’organo federale responsabile (armasuisse) e ai suoi collaboratori responsabili del trattamento che decidono autonomamente o assieme ad altri in merito allo scopo e ai mezzi del trattamento stesso.
I dati personali devono essere trattati conformemente ai seguenti principi:
Legittimità: gli organi federali necessitano di una base legale per il trattamento dei dati personali. È possibile un’eccezione nel caso in cui la persona interessata abbia acconsentito al trattamento nel singolo caso oppure abbia reso pubblicamente accessibili i propri dati personali e non ne abbia espressamente proibito il trattamento.
Proporzionalità: il trattamento dei dati personali deve essere obiettivamente idoneo e necessario per l’adempimento del compito (secondo il principio: «il meno possibile, ma quanto necessario»). Deve sussistere un rapporto ragionevole tra lo scopo perseguito e il trattamento dei dati.
Finalità: i dati personali possono essere raccolti soltanto per uno scopo determinato e riconoscibile per la persona interessata e possono essere trattati ulteriormente soltanto in modo compatibile con tale scopo.
Termini di conservazione limitati: i dati personali sono distrutti o resi anonimi appena non sono più necessari per lo scopo del trattamento.
Esattezza: chi tratta dati personali deve accertarsi della loro esattezza e adottare tutte le misure adeguate per rettificare, cancellare o distruggere i dati inesatti o incompleti rispetto allo scopo per il quale sono stati raccolti o trattati.
Trasparenza: il titolare del trattamento informa la persona interessata adeguatamente in merito all’acquisizione di dati personali; tale obbligo di informazione vale anche se i dati non vengono acquisiti dalla persona interessata. Chiunque può richiedere al titolare del trattamento che questi lo informi se vengono trattati dati che lo riguardano.
Sicurezza dei dati: il titolare del trattamento garantisce che la sicurezza dei dati personali sia adeguata al rischio tramite appropriati provvedimenti tecnici e organizzativi, che adotta fin dalla progettazione («Privacy by Design»). Il titolare del trattamento è tenuto a garantire, mediante appropriate impostazioni predefinite, che il trattamento di dati personali sia circoscritto al minimo indispensabile per lo scopo perseguito, salvo che la persona interessata disponga altrimenti («Privacy by Default»).Particolare prudenza è richiesta per il trattamento di dati personali da parte di terzi, i cosiddetti responsabili del trattamento (p. es. centri di valutazione, produttori di software, servizi cloud), così come in caso di ricorso a servizi online (p. es. ChatGPT, DeepL). In questi casi sussiste un rischio elevato che i dati personali sotto la responsabilità di armasuisse siano illecitamente comunicati all’estero, condivisi con altre persone o protetti in misura insufficiente.
I responsabili del trattamento devono assicurare ad armasuisse per contratto di rispettare la legge sulla protezione dei dati e di garantire la sicurezza dei dati. armasuisse può trasmettere i dati personali a terzi solo previo consenso. armasuisse deve essere informata il più rapidamente possibile in merito a eventuali violazioni della sicurezza dei dati. Il rispetto di tali direttive può essere oggetto di controlli da parte di armasuisse o di un’impresa da questa incaricata. Se necessario, possono essere adottate ulteriori misure.
In caso di violazione intenzionale delle disposizioni del diritto in materia di protezione dei dati, le persone private rischiano multe fino a 250 000 franchi.