956.124

# Ordinanza della FINMA relativa al trattamento dei dati personali nell’ambito della vigilanza

(Ordinanza FINMA sui dati)

del 4 maggio 2023 (Stato 1° settembre 2023)

L’Autorità federale di vigilanza sui mercati finanziari (FINMA),

visto l’articolo 23 capoverso 4 della legge del 22 giugno 2007[^1]sulla vigilanza dei mercati finanziari (LFINMA),

ordina:

## **Sezione 1:** Oggetto e competenze {#sec_1}
##### **Art. 1** Oggetto {#sec_1/art_1 omnilex-key=ch-fedlex--956.124--1}
La presente ordinanza disciplina i dettagli del trattamento dei dati personali da parte della FINMA nell’ambito della vigilanza ai sensi della LFINMA e delle leggi sui mercati finanziari secondo l’articolo 1 capoverso 1 LFINMA.

##### **Art. 2** Responsabilità {#sec_1/art_2 omnilex-key=ch-fedlex--956.124--2}
1. La sezione Tecnologie dell’informazione e della comunicazione garantisce la gestione tecnica dei sistemi d’informazione in cui vengono trattati dati personali.
2. La direzione della FINMA disciplina in un regolamento per il trattamento dei dati:
a. i provvedimenti tecnici e organizzativi per la garanzia della sicurezza dei dati;
b. il controllo del trattamento dei dati;
c. i diritti di accesso delle singole categorie di collaboratori della FINMA.
3. Le persone interessate possono far valere i loro diritti secondo la legge federale del 25 settembre 2020[^2]sulla protezione dei dati presso la sezione Diritto e compliance.

## **Sezione 2:** Trattamento dei dati {#sec_2}
##### **Art. 3** Competenza {#sec_2/art_3 omnilex-key=ch-fedlex--956.124--3}
Ogni unità organizzativa della FINMA è competente per i propri dati.

##### **Art. 4** Accesso ai dati {#sec_2/art_4 omnilex-key=ch-fedlex--956.124--4}
1. I collaboratori della FINMA hanno accesso ai dati della corrispondente funzione di vigilanza.
2. I collaboratori della FINMA con mansioni trasversali hanno inoltre accesso ad altri dati, per quanto sia necessario all’adempimento dei loro compiti.
3. I diritti d’accesso possono essere limitati a singoli collaboratori della FINMA o concessi a ulteriori singoli collaboratori della FINMA, per quanto sia necessario nel caso specifico.

##### **Art. 5** Categorie di dati personali trattati {#sec_2/art_5 omnilex-key=ch-fedlex--956.124--5}
1. La FINMA tratta i seguenti dati personali:
a. i dati relativi all’identità: cognome, nome, data di nascita, sesso, luogo d’origine, nazionalità, lingua materna, indirizzo, indirizzo e-mail, numero di telefono, numero AVS;
b. i dati relativi alla formazione, all’attività professionale e ai rapporti di lavoro: formazione e formazione continua, qualifiche e attività professionali, situazione e sviluppo professionale, comportamento commerciale, luogo di lavoro, datore di lavoro compreso il suo numero d’identificazione delle imprese (IDI), costituzione, esecuzione e cessazione dei rapporti di lavoro;
c. i dati relativi alla situazione finanziaria, alla situazione patrimoniale e alle assicurazioni;
d. gli estratti del registro di commercio, del registro esecuzioni e fallimenti e del casellario giudiziale;
e. i dati provenienti dagli organi di sorveglianza del commercio;
f. i rapporti, le valutazioni e altri documenti di società di audit e di incaricati della FINMA;
g. i rapporti e le decisioni di organismi di vigilanza, di organismi di autodisciplina e di organizzazioni professionali;
h. gli atti di autorità penali e di altre autorità;
i. le sentenze, le decisioni e altri documenti ufficiali;
j. i dati relativi a provvedimenti di diritto del lavoro, provvedimenti amministrativi e provvedimenti di diritto penale;
k. i rapporti concernenti verifiche e inchieste interne di assoggettati;
l. i dati necessari alla selezione degli incaricati della FINMA e all’adempimento dei compiti da parte degli incaricati;
m. i dati di cui la FINMA giunge in possesso in virtù dell’obbligo legale d’informazione e di notifica;
n. i dati portati all’attenzione della FINMA da terzi; e
o. altri dati di cui la FINMA giunge a conoscenza nel quadro dell’adempimento del suo mandato legale.
2. Il trattamento di cui al capoverso 1 può comprendere anche i seguenti dati personali degni di particolare protezione:
a. i dati concernenti le opinioni o attività religiose, filosofiche, politiche o sindacali;
b. i dati concernenti la salute, la sfera intima o l’appartenenza a una razza o a un’etnia;
c. i dati concernenti perseguimenti e sanzioni amministrativi e penali;
d. i dati concernenti le misure d’assistenza sociale.

##### **Art. 6** Raccolta dei dati personali {#sec_2/art_6 omnilex-key=ch-fedlex--956.124--6}
1. La FINMA può raccogliere dati personali presso:
a. gli assoggettati;
b. i datori di lavoro;
c. la persona interessata;
d. i richiedenti;
e. le autorità svizzere ed estere;
f. le parti di un procedimento;
g. le società di audit e le persone incaricate della FINMA;
h. altre persone soggette all’obbligo d’informazione e di notifica.
2. Essa può raccogliere anche dati personali a partire da altre fonti pubblicamente non accessibili e da fonti pubblicamente accessibili.
3. Per quanto sia necessario al raggiungimento dello scopo del trattamento dei dati, la FINMA può raccogliere dati personali senza indicare la propria identità.

##### **Art. 7** Forma della comunicazione dei dati personali {#sec_2/art_7 omnilex-key=ch-fedlex--956.124--7}
La comunicazione dei dati personali, compresi quelli degni di particolare protezione, avviene in forma scritta o elettronica.

##### **Art. 8** Conservazione e distruzione dei dati personali {#sec_2/art_8 omnilex-key=ch-fedlex--956.124--8}
I dati personali sono conservati presso la FINMA finché sono utili e necessari ai fini della vigilanza. Dopodiché i dati vengono offerti all’Archivio federale per l’archiviazione e distrutti presso la FINMA.

## **Sezione 3:** Banca dati per la valutazione delle garanzie per un’attività irreprensibile {#sec_3}
##### **Art. 9** Scopo {#sec_3/art_9 omnilex-key=ch-fedlex--956.124--9}
La FINMA tiene una banca dati per la valutazione delle garanzie per un’attività irreprensibile ai sensi delle leggi sui mercati finanziari. A tale scopo inserisce nella banca dati i dati che sono necessari in caso di una valutazione futura delle garanzie per un’attività irreprensibile.

##### **Art. 10** Accesso ai dati {#sec_3/art_10 omnilex-key=ch-fedlex--956.124--10}
1. Hanno accesso alla banca dati:
a. i collaboratori della sezione Diritto e compliance;
b. i collaboratori della FINMA competenti per la valutazione delle garanzie per un’attività irreprensibile.
2. I collaboratori di cui al capoverso 1 possono, su richiesta, informare altri collaboratori della FINMA in merito ai dati della banca dati, per quanto sia necessario all’adempimento dei loro compiti.

##### **Art. 11** Contenuto {#sec_3/art_11 omnilex-key=ch-fedlex--956.124--11}
La banca dati contiene i seguenti dati:
a. i dati relativi all’identità: cognome, nome, data di nascita, sesso, luogo d’origine, nazionalità, lingua materna, indirizzo, indirizzo e-mail, numero di telefono, numero AVS;
b. i dati relativi alla formazione e all’attività professionale: formazione e formazione continua, qualifiche e attività professionali, luogo di lavoro, datore di lavoro compreso l’IDI;
c. i dati relativi alla situazione finanziaria, alla situazione patrimoniale e alle assicurazioni;
d. gli estratti del registro di commercio, del registro esecuzioni e fallimenti e del casellario giudiziale;
e. i rapporti, le valutazioni e altri documenti di società di audit e di incaricati della FINMA;
f. i rapporti e le decisioni di organismi di vigilanza, di organismi di autodisciplina e di organizzazioni professionali;
g. le accuse e le denunce penali di autorità;
h. le sentenze, le decisioni e altri documenti ufficiali;
i. i dati relativi a provvedimenti di diritto del lavoro, provvedimenti amministrativi e provvedimenti di diritto penale;
j. i rapporti concernenti verifiche e inchieste interne di assoggettati;
k. l’ammissione scritta, nei confronti di un’autorità, di un comportamento scorretto e l’autodenuncia;
l. i giustificativi da cui risulta che, nonostante sussistano indizi di una violazione del diritto in materia di vigilanza, non può essere condotto alcun procedimento della FINMA nei confronti di una determinata persona in quanto la stessa si sottrae al procedimento;
m. la rinuncia per iscritto, per un periodo di tempo determinato o indeterminato, a operare in un ambito assoggettato alla vigilanza della FINMA.

##### **Art. 12** Informazione della persona interessata {#sec_3/art_12 omnilex-key=ch-fedlex--956.124--12}
La persona interessata viene informata una volta avvenuta la prima registrazione nella banca dati. È fatto salvo l’articolo 20 della legge federale del 25 settembre 2020[^3]sulla protezione dei dati.

##### **Art. 13** Conservazione e cancellazione dei dati {#sec_3/art_13 omnilex-key=ch-fedlex--956.124--13}
1. I dati personali sono conservati nella banca dati:
a. per un periodo di 10 anni dall’ultima registrazione rilevante per la valutazione delle garanzie per un’attività irreprensibile;
b. per un periodo di 20 anni dall’ultima registrazione rilevante per la valutazione delle garanzie per un’attività irreprensibile, se in base a una sentenza penale o a un accertamento definitivo essa riguardava l’esercizio di un’attività in assenza dell’autorizzazione necessaria da parte della FINMA.
2. Se dalla valutazione delle garanzie per un’attività irreprensibile da parte della FINMA risulta una valutazione positiva, i dati della persona vengono cancellati dalla banca dati prima della scadenza del termine.

## **Sezione 4:** Disposizioni finali {#sec_4}
##### **Art. 14** Abrogazione di un altro atto normativo {#sec_4/art_14 omnilex-key=ch-fedlex--956.124--14}
L’ordinanza FINMA dell’8 settembre 2011[^4]sui dati è abrogata.

##### **Art. 15** Entrata in vigore {#sec_4/art_15 omnilex-key=ch-fedlex--956.124--15}
La presente ordinanza entra in vigore il 1° settembre 2023.

[^1]: RS  **956.1**
[^2]: RS  **235.1**
[^3]: RS  **235.1**
[^4]: [RU  **2011**  4363; **2017**  4809; **2019**  451,3511]