Dichiarazione sulla protezione dei dati SWICA per candidate e candidati

1. Considerazioni generali

1.1 Scopo e ambito di validità

SWICA Organizzazione sanitaria (gruppo SWICA, qui di seguito «SWICA»), composta da SWICA Assicurazione malattia SA, SWICA Assicurazioni SA, SWICA Management SA e santé24 quale parte di SWICA Management SA, nell’ambito della protezione dei dati si impegna a garantire un trattamento dei dati conforme alle leggi e una comunicazione aperta e trasparente nella gestione dei dati personali nei suoi rapporti con il personale e la clientela. Con la presente dichiarazione sulla protezione dei dati, SWICA desidera illustrare le modalità adottate per il trattamento dei dati relativi al personale chi si candida per una posizione, e le relative procedure consentite dalla legge. La presente dichiarazione sulla protezione dei dati si applica all’intera SWICA e a tutte le candidate e i candidati.

1.2 Definizioni

Lo scopo della protezione dei dati è quello di tutelare la personalità e i diritti fondamentali di chi si candida per una posizione nel trattamento di dati personali da parte di SWICA.

Per dati personali SWICA intende tutte le informazioni che si riferiscono a una persona fisica o giuridica identificata o identificabile. Una persona fisica o giuridica è considerata identificabile se può essere riconosciuta direttamente o indirettamente, in particolare tramite l’abbinamento a un identificativo come un nome, un numero di matricola, dati relativi a una posizione geografica, un codice distintivo online oppure a una o più caratteristiche particolari che esprimono l’identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di tale persona fisica o giuridica.

Per dati personali degni di particolare protezione si intendono le informazioni sulle opinioni o sulle attività religiose, filosofiche, politiche o sindacali, i dati sulla salute, sulla sfera intima o sull’appartenenza a una razza o a un’etnia, i dati genetici e biometrici che identificano in modo evidente una persona fisica, i dati sui procedimenti amministrativi e penali o sulle sanzioni e i dati sui provvedimenti di assistenza sociale.

Per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali che consista nell’impiego di tali dati per analizzare alcuni aspetti personali relativi a una persona fisica, in particolare per studiare o prevedere aspetti relativi alle prestazioni lavorative, alla situazione economica, alla salute, alle preferenze personali, agli interessi, all’affidabilità, al comportamento della persona fisica, al luogo in cui si trova o ai suoi spostamenti.

Per dati relativi alla salute si intendono tutti i dati che costituiscono un riscontro medico e che potrebbero avere un effetto negativo sulle persone interessate. In particolare, si considerano dati relativi alla salute le seguenti informazioni: documentazione sul decorso di un trattamento, anamnesi, descrizioni di sintomi, diagnosi, prescrizioni mediche, referti medici e ospedalieri, terapie, medicamenti, rinvii, risultati di laboratorio, posizioni tariffali, registrazioni di attività di imaging, dati sul percorso di trattamento come medicazioni, ulteriori terapie o anche l’efficacia e l’opportunità del trattamento, ecc.

Un profilo della personalità rappresenta una compilazione di dati che permette di valutare caratteristiche essenziali della personalità di una persona fisica. Per riscontro medico si intende il risultato di esami medici, come esami obiettivi, valutazioni psicologiche o esami medici di laboratorio e strumentali.

Per trattamento dei dati SWICA intende ogni operazione eseguita con o senza l’aiuto di procedimenti automatizzati oppure ogni serie di tali operazioni eseguita in relazione con dati personali come la raccolta, la registrazione, l’organizzazione, la classificazione, il salvataggio, l’adeguamento o la modifica, la lettura, la consultazione, l’impiego, la pubblicazione mediante trasmissione, la diffusione o altre forme di messa a disposizione, il confronto o il collegamento, la limitazione, la cancellazione o la distruzione di dati personali.

Per candidate e candidati si intendono persone fisiche che vengono contattate attivamente da SWICA per il loro profilo professionale pubblico (ad es. su LinkedIn) o che sono interessate a un impiego professionale presso SWICA.

Sussiste un caso di interesse privato o pubblico preponderante qualora SWICA giustifichi il trattamento dei dati facendo riferimento a un legittimo interesse privato di SWICA o a un legittimo interesse pubblico. Sussiste un interesse privato laddove l’interesse di SWICA al trattamento dei dati risulta preponderante rispetto ai rischi e ai pericoli che il trattamento stesso rappresenta per la persona interessata. Sussiste un interesse pubblico al trattamento dei dati laddove l’interesse della collettività al trattamento dei dati risulta preponderante rispetto ai rischi e ai pericoli che il trattamento stesso rappresenta per la persona interessata.

1.3 Basi legali nell'ambito della protezione dei dati

Ai sensi dell’art. 30 LPD, il trattamento dei dati è consentito se non si lede illecitamente la personalità della persona interessata. In particolare, il trattamento dei dati è consentito se è previsto da una base legale, se la persona interessata ha dato il suo consenso, se il trattamento dei dati avviene nel quadro dell’adempimento di un contratto o se SWICA può far valere un legittimo interesse al trattamento dei dati. Nell’ambito del trattamento dei dati, i dati possono essere trattati esclusivamente in ottemperanza ai principi descritti nell’art. 6 LPD. Ciò significa che i dati possono essere trattati soltanto in conformità al principio della buona fede e della proporzionalità e per le finalità indicate. Quando i dati vengono trattati nell’ambito del rapporto di lavoro o del processo di assunzione, ciò avviene o sulla base del consenso diretto (fornito sotto forma di presentazione della documentazione di candidatura) o mediante la stipula di un contratto di lavoro con SWICA. Inoltre, i dati vengono trattati per dare esecuzione al contratto di lavoro.

 

2. Contesti di trattamento

2.1 Categorie di dati personali

2.1.1 Considerazioni generali

Nella cornice delle proprie attività SWICA tratta anche dati personali di candidate e candidati. Qui di seguito vengono presentate le categorie di dati trattati da SWICA nell’ambito della sua attività come datore di lavoro. Per quanto riguarda chi si candida per una posizione, SWICA tratta in particolare le categorie di dati seguenti: dati personali standard, dati medici, profili della personalità, dati relativi all’ambito di vita personale e dati finanziari. Queste categorie di dati comprendono, inter alia, le informazioni seguenti.

SWICA può trattare, nell’ambito dell’acquisizione e del processo di candidatura, anche le seguenti informazioni su chi si candida per una posizione:

dati anagrafici e contrattuali (ad es. nome, cognome, indirizzo, numero postale di avviamento, data di nascita, indirizzo e-mail, numero di telefono – cellulare e fisso) e dati completi della candidatura (comprese le informazioni sulla vita privata, come hobby, stato civile, numero di figli, nazionalità, percorsi di formazione, ex datori di lavoro, eventuali informazioni su reputazione, attività sindacali o in seno a partiti, religione, certificati di lavoro di ex datori di lavoro, dati sul servizio militare ecc.).

2.2 Finalità del trattamento

2.2.1 Considerazioni generali

SWICA tratta i dati personali descritti al punto 2.1 per dare esecuzione al rapporto di lavoro in conformità alle disposizioni pertinenti al contratto di lavoro. Per SWICA ciò significa in particolare:

I dati delle candidate e dei candidati vengono trattati da SWICA nell’ambito dell’acquisizione e del processo di candidatura. In particolare, si esaminano la documentazione di candidatura o profili professionali pubblici (ad es. su LinkedIn) per valutare l’idoneità a svolgere un impiego professionale presso SWICA. Inoltre, i dati vengono utilizzati per fini probatori nelle controversie giudiziarie laddove siano utili per provare o smentire una circostanza affermata da SWICA o dalla persona interessata.

 

3. Diritti delle persone interessate

3.1 Diritto d'accesso

Ogni persona interessata da un trattamento dei dati effettuato da SWICA ha il diritto di richiedere la conferma che dati che la concernono vengono trattati. Se esistono dati trattati, SWICA fornisce le informazioni seguenti:

  • copia di tutti i dati trattati, a meno che non vi siano legittimi interessi o diritti di terzi in senso contrario;
  • le finalità del trattamento;
  • le categorie cui afferiscono i dati personali;
  • i destinatari o le categorie di destinatari (in caso di trasferimento dei dati verso paesi terzi, il paese terzo o le organizzazioni internazionali in questione) cui i dati personali sono stati o saranno comunicati;
  • la durata prevista per la conservazione dei dati o, se tale durata non è stata ancora stabilita, le finalità che ne giustificano la conservazione;
  • informazioni sul diritto di opposizione, il diritto di porre limiti al trattamento, il diritto di far cancellare i dati personali e il diritto di rettifica;
  • informazioni sull'esistenza del diritto di ricorso all'autorità di sorveglianza;
  • se i dati personali non vengono raccolti direttamente presso la persona interessata, tutte le informazioni disponibili sull'origine dei dati;
  • l'informazione di un eventuale trattamento dei dati per automatizzare processi decisionali, comprese le attività di profilazione;
  • se i dati vengono trasferiti in un paese terzo, informazioni sulle idonee garanzie concernenti il trasferimento.

Per l'esercizio dei diritti si applica il punto 3.9.

3.2 Diritto di rettifica

Ogni persona interessata da un trattamento dei dati effettuato da SWICA ha il diritto di richiedere la rettifica immediata dei dati personali inesatti che la riguardano. Inoltre, ogni persona interessata i cui dati vengano trattati da SWICA ha il diritto, tenendo conto delle finalità del trattamento, di chiedere che i suoi dati personali incompleti vengano integrati – anche per mezzo di una dichiarazione integrativa. Tale diritto può essere limitato qualora una disposizione di legge o un legittimo interesse prevalgano sugli interessi, sui diritti e sulle libertà della persona interessata.

Per l'esercizio dei diritti si applica il punto 3.9.

3.3 Diritto alla cancellazione

Ogni persona interessata da un trattamento dei dati effettuato da SWICA ha il diritto di richiedere a SWICA la cancellazione immediata dei dati personali che la riguardano per uno dei seguenti motivi:

  • i dati personali non sono più necessari per le finalità indicate al momento della loro raccolta;
  • se i dati personali vengono trattati in modo illecito, ma la persona interessata non richiede la distruzione dei dati bensì la limitazione del loro trattamento;
  • la persona interessata si oppone al trattamento dei dati e non vi sono interessi legittimi predominanti che giustifichino la prosecuzione del trattamento;
  • i dati sono stati trattati in modo illecito;
  • la cancellazione è prescritta dalla legge.


Per l'esercizio dei diritti si applica il punto 3.9.

3.4 Diritto alla limitazione del trattamento

Ogni persona interessata da un trattamento dei dati effettuato da SWICA ha il diritto di richiedere a SWICA la limitazione del trattamento dei dati. La persona interessata può richiedere una limitazione delle attività di trattamento per uno dei seguenti motivi o in una delle seguenti circostanze:

  • se la persona interessata contesta la correttezza dei dati personali, l'attività di trattamento deve essere limitata per il tempo necessario a SWICA per verificarne la correttezza;
  • i dati personali vengono trattati in modo illecito, ma la persona interessata non richiede la cancellazione dei dati bensì la limitazione del loro trattamento;
  • qualora SWICA non abbia più bisogno dei dati personali ma questi servano alla persona interessata per far valere, esercitare o difendere propri diritti;
  • se la persona interessata si oppone al trattamento dei dati, esso viene interrotto fino a quando non venga accertato se SWICA può far valere un interesse legittimo preponderante o altre giustificazioni.

Se viene revocata una limitazione delle attività di trattamento, SWICA ne informa preventivamente la persona interessata. Per l'esercizio dei diritti si applica il punto 3.9.

3.5 Diritto di opposizione

Ogni persona interessata da un trattamento dei dati effettuato da SWICA ha il diritto, in virtù della propria situazione personale, di opporsi al trattamento dei dati, a meno che una disposizione di legge o un legittimo interesse non prevalgano sugli interessi, sui diritti e sulle libertà della persona interessata. Per l'esercizio dei diritti si applica il punto 3.9

3.6 Decisioni automatizzate in riferimento a singole persone e profilazione

Se la persona interessata è oggetto di un trattamento automatizzato – compresa la profilazione – per adempiere a un contratto o una base legale o per effetto dell'esplicito consenso della persona interessata, e se tale decisione produce effetti giuridici nei confronti della persona interessata, questa ha il diritto di richiedere a SWICA l'intervento di una persona che illustri tale decisione e dia alla persona interessata il diritto di opporsi alla decisione in questione.

Per l'esercizio dei diritti si applica il punto 3.9.

3.7 Diritto di revoca del consenso

Qualsiasi consenso al trattamento dei dati concesso a SWICA può essere revocato, a meno che la prosecuzione del trattamento dei dati non sia giustificata da interessi legittimi o da una base legale. La revoca può avvenire con modalità semplicissime, se il trattamento dei dati è effettuato da SWICA. Se un soggetto terzo ha ricevuto una procura o il diritto di consultazione dei dati, SWICA ha bisogno di ricevere la revoca della procura per iscritto. La legittimità del trattamento dei dati resta inalterata fino al momento della revoca del consenso.

3.8 Diritto di ricorso all'autorità di sorveglianza

Oltre ai diritti esercitabili nei confronti di SWICA, esiste anche il diritto di rivolgersi direttamente all'autorità incaricata della protezione dei dati.

3.9 Ufficio di contatto per l'esercizio dei diritti delle persone interessate

Per esercitare i diritti descritti è possibile contattare direttamente l’ufficio per la protezione dei dati di SWICA all’indirizzo datenschutz@swica.ch. Per quanto attinente ai punti da 3.1 a 3.4 si prega di presentare una richiesta scritta e una copia del proprio documento d’identità, necessari a SWICA per identificare chi presenta l’istanza. La richiesta e la copia del documento d’identità sono conservate per almeno 11 anni.

 

4. Incaricato aziendale della protezione dei dati

Per adempiere ai propri doveri e garantire una migliore protezione dei dati personali SWICA ha nominato un incaricato aziendale della protezione dei dati che è stato notificato all'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) e all'Ufficio del Liechtenstein per la protezione dei dati. Per qualsiasi domanda od osservazione è possibile contattare direttamente il reparto del personale o l'incaricato della protezione dei dati di SWICA.

SWICA Organizzazione sanitaria Risorse umane / Protezione dei dati Römerstrasse 38
8401 Winterthur
e-mail: hr@swica.ch / datenschutz@swica.ch

 

5. Trattamento dei dati all'interno di SWICA

SWICA attribuisce grande importanza al principio di proporzionalità e concede l’accesso ai dati personali esclusivamente a quelle collaboratrici e quei collaboratori che hanno bisogno di accedervi a causa del loro ruolo, funzione e attività presso SWICA. Nello specifico caso di SWICA, si tratta esclusivamente del personale delle Risorse umane di SWICA o, in relazione al processo di candidatura, eventuali superiori o futuri membri del team o, per quanto attinente ai colloqui annuali o altri colloqui con il personale, le/i superiori dirette/i.

Per mezzo di formazioni periodiche, materiale informativo e istruzioni, SWICA assicura il rispetto di tali disposizioni di legge in materia di protezione e sicurezza dei dati.

 

6. Comunicazione di dati

SWICA non comunica dati a terzi non autorizzati. Qualsiasi trasmissione di dati avviene esclusivamente in conformità con le leggi in generale e con le disposizioni di legge in materia di trattamento dei dati su mandato.

 

7. Trattamento dei dati su mandato

7.1 Tipologia di trattamento dei dati

Nell'ambito della sua attività come datore di lavoro, SWICA fa eseguire determinate operazioni di trattamento dei dati a una terza parte. Tuttavia, SWICA rimane responsabile della legittimità del trattamento dei dati. Il terzo che agisce su mandato può trattare i dati soltanto per le finalità per le quali SWICA lo ha autorizzato. SWICA garantisce contrattualmente che i dati possano essere trattati soltanto con le medesime modalità consentite a SWICA. Le disposizioni della presente dichiarazione sulla protezione dei dati devono essere rispettate anche dal mandatario.

Inoltre, SWICA obbliga i mandatari a garantire la sicurezza dei dati con adeguate misure tecniche e organizzative. SWICA ha la facoltà di verificare periodicamente il rispetto di tali misure da parte del mandatario. I controlli avvengono sulla base di un'autodichiarazione del mandatario o attraverso un audit effettuato da SWICA o da un terzo incaricato da SWICA.

Eventuali richieste di informazioni sui diritti delle persone interessate ai sensi del punto 3 della presente dichiarazione sulla protezione dei dati devono essere rivolte direttamente a SWICA.

Attualmente, le seguenti forme di trattamento dei dati sono esternalizzate a terzi.

 

Nome / Ragione sociale Indirizzo Finalità del trattamento dei dati
Cornerstone OnDemand Europe Amsterdam: Herengracht 28, 1016BX Amsterdam Fornitura di software HR basato su cloud. I dati personali vengono archiviati in una cloud al di fuori del territorio svizzero. Per mezzo del software di Cornerstone vengono effettuate tutte le operazioni di trattamento dei dati relative al personale.
Amazon Web Services (AWS) Frankfurt:
Landstrasse 100
60489 Frankfurt am Main		 Subappaltatore di Cornerstone: Fornitura di hardware e software per il trattamento dei dati.
Equinix
 Frankfurt:
Lärchenstrasse 110
65933 Frankfurt
 Subappaltatore di Cornerstone: Fornitura di hardware e software per il trattamento dei dati.
Microsoft Azure Dublin:
New Nangor Road
Dublin 22		 Assicurare l’accesso al cloud.


7.2 Luogo di trattamento dei dati Cornerstone

I dati trattati dal soggetto che esegue il trattamento dei dati su mandato vengono archiviati in Europa. Il luogo di conservazione in Europa è:

  • Germania: Francoforte sul Meno
  • Francia: Parigi (server di back-up)

Nel caso di richieste di supporto impegnative (note come «Third-Level Support») da parte di SWICA, i dati possono essere comunicati anche a soggetti ubicati in paesi terzi al di fuori dell'Unione europea o degli Stati dell'AELS. In questi casi i dati vengono visualizzati nelle corrispondenti postazioni di supporto. Tuttavia, i dati non vengono memorizzati in tali paesi. I paesi terzi in questione sono:

  • Israele
  • Nuova Zelanda
  • USA
  • India

I soggetti che eseguono il trattamento dei dati su mandato menzionati al punto 7.1 soddisfano i requisiti legali previsti dalla legge svizzera sulla protezione dei dati per poter effettuare il trattamento dei dati nei rispettivi paesi. Di conseguenza, sono state concordate con i soggetti che eseguono il trattamento dei dati su mandato garanzie contrattuali che prevedono che tale trattamento avvenga in modo conforme alla legge svizzera sulla protezione dei dati. Inoltre, i soggetti che eseguono il trattamento dei dati su mandato godono di certificazione secondo la norma ISO 27001/2013 e rispettano le norme europee sulla protezione dei dati.

 

8. Durata della conservazione dei dati

I dati vengono conservati presso SWICA per un periodo di tempo giustificato dalle finalità, da una base legale o da altra giustificazione.

I dati personali degni di particolare protezione conservati in forma cartacea vengono smaltiti esclusivamente da un servizio appositamente istituito a tale scopo, a regola d’arte e nel rispetto delle norme sulla protezione dei dati. I dati memorizzati su supporti elettronici vengono cancellati in modo irreversibile prima dello smaltimento di tali supporti. I supporti dati vengono distrutti.

 

9. Disposizioni finali

9.1 Applicabilità

La presente dichiarazione sulla protezione dei dati si applica agli scambi di dati tra chi si candida per una posizione e SWICA (indipendentemente dall’esistenza o meno di un accordo contrattuale scritto).

9.2 Accesso alla dichiarazione sulla protezione dei dati

La presente dichiarazione sulla protezione dei dati è pubblicamente accessibile sul portale dei posti vacanti o sul sito Internet di SWICA e può essere richiesta dalle persone interessate in qualsiasi momento scrivendo a datenschutz@swica.ch.

9.3 Clausola salvatoria

Qualora singole disposizioni della presente dichiarazione sulla protezione dei dati non fossero valide, ciò non pregiudicherà le rimanenti disposizioni.

9.4 Diritto applicabile e foro competente

Il diritto applicabile alla presente dichiarazione sulla protezione dei dati è esclusivamente il diritto materiale svizzero, ad esclusione di eventuali norme relative al conflitto di leggi.

In caso di controversie derivanti dalla presente dichiarazione sulla protezione dei dati, il foro competente sarà determinato in base alle disposizioni vigenti del codice di procedura civile. Sono escluse eventuali norme relative al conflitto di leggi.