Ordinanza del Consiglio dei PF sulla protezione dei dati personali del personale nel settore dei PF (Ordinanza sulla protezione dei dati personali nel settore dei PF, OPDP-PF) dell’8 dicembre 2022 (Stato 1° settembre 2023) Approvata dal Consiglio federale il 22 febbraio 2023

La presente ordinanza disciplina il trattamento dei dati personali delle categorie di personale seguenti:

1. collaboratori del settore dei PF secondo l’articolo 1 capoverso 1 dell’ordinanza del 15 marzo 2001³ sul personale del settore dei PF (OPers PF);
2. professori secondo l’articolo 1 dell’ordinanza del 18 settembre 2003⁴ sul corpo professorale dei PF;
3. collaboratori del settore dei PF e professori assunti con un contratto di diritto privato;
4. persone che si candidano per un posto nelle categorie del settore dei PF di cui alle lettere a–c;
5. ex collaboratori nel settore dei PF appartenenti alle categorie di cui alle lettere a–c.

Il capitolo 4 della presente ordinanza è applicabile inoltre alle persone che hanno stipulato un mandato o sono state assunte mediante un contratto di fornitura di personale a prestito con gli istituti del settore dei PF.

Il personale o i suoi rappresentanti sono informati prima dell’introduzione o della modifica di un sistema d’informazione o di una raccolta di dati, se lo statuto giuridico o l’attività del personale sono interessate in modo significativo.

I consulenti per la protezione dei dati dei due PF, degli istituti di ricerca e del Consiglio dei PF sono a disposizione del personale per le questioni relative alla protezione dei dati.

Le direzioni dei due PF, le direzioni degli istituti di ricerca e il presidente del Consiglio dei PF sono responsabili dei sistemi d’informazione da loro utilizzati.

I rispettivi servizi del personale e gli altri servizi abilitati sono responsabili del trattamento dei dati per il loro settore.

I due PF, gli istituti di ricerca e il Consiglio dei PF emanano, per i loro sistemi d’informazione, i regolamenti sul trattamento secondo l’articolo 6 dell’ordinanza del 31 agosto 2022 ⁵ sulla protezione dei dati (OPDa).

I servizi del personale e i servizi specializzati dei due PF preposti all reclutamento e all’assistenza dei professori (servizi specializzati professori) elaborano i dati necessari all’adempimento dei loro compiti. Elaborano in particolare:

1. informazioni contenute nella documentazione di candidatura, nel contratto di lavoro, nella descrizione del posto e nei moduli di valutazione del personale;
2. le decisioni basate sulla valutazione del personale;
3. le assenze;
4. i certificati medici;
5. i risultati di test della personalità e di test di valutazione delle potenzialità;
6. gli estratti dei registri pubblici;
7. i dati riguardanti misure amministrative, penali o sociali.

I superiori o le persone da loro incaricate elaborano i dati necessari per l’attribuzione dei posti e per l’adempimento dei loro compiti direttivi e, in particolare, i dossier di candidatura, i moduli per la definizione degli obiettivi e per la valutazione delle prestazioni e i dati sull’adeguamento salariale basato sulle prestazioni individuali.

I diritti d’accesso necessari sono attribuiti come segue:

1. per i sistemi d’informazione, dal membro della direzione responsabile dei sistemi informatici del rispettivo PF o del rispettivo istituto di ricerca;
2. per i sistemi informatici del Consiglio dei PF, dal direttore amministrativo dello stato maggiore del Consiglio dei PF.

I servizi del personale e il servizio specializzato dei professori possono assegnare diritti d’accesso limitati alle persone che, nel quadro dei loro compiti, necessitano dell’accesso a determinati dati.

I due PF, gli istituti di ricerca e il Consiglio dei PF si adoperano per il rispetto delle disposizioni della legge federale del 25 settembre 2020 ⁶ sulla protezione dei dati (LPD) e dell’OPDa ⁷ . Essi rispondono dell’adozione di precauzioni e di misure organizzative e tecniche adeguate da parte dei servizi e delle persone incaricati del trattamento dei dati.

I dati su supporto cartaceo sono conservati sotto chiave.

La sicurezza dei dati per i sistemi d’informazione si basa sull’OPDa, in particolare sugli articoli 1–4 e 6;

I due PF, gli istituti di ricerca e il Consiglio dei PF definiscono nei loro regolamenti sul trattamento le misure organizzative e tecniche per garantire la sicurezza dei dati personali.

I due PF, gli istituti di ricerca e il Consiglio dei PF notificano per la registrazione tutti gli elenchi delle attività di trattamento all’Incaricato federale della protezione dei dati e della trasparenza nel momento in cui è presa la decisione di sviluppo o validazione del progetto (art. 12 LPD ⁸ ).

Il trattamento automatizzato dei dati personali (sistemi d’informazione) è notificato già in fase di progetto (art. 31 OPDa ⁹ ).

Le persone interessate possono far valere il proprio diritto d’accesso alle informazioni, di rettifica e di cancellazione dei dati presso il rispettivo servizio del personale , i servizi specializzati dei professori o presso il medico di fiducia (art. 48). È fatto salvo l’articolo 23.

I dati inesatti sono rettificati d’ufficio.

Gli accessi e le modifiche ai sistemi d’informazione sono costantemente verbalizzati.

I verbali sono conservati, per un anno, in un luogo diverso da quello in cui vengono trattati i dati personali.

Al fine di verificare il rispetto delle norme in materia di protezione dei dati, i verbali possono essere esaminati dall’ufficio del PF, dell’istituto di ricerca o del Consiglio dei PF preposto alla vigilanza su queste norme.

Per la conservazione dei dati valgono i seguenti termini:

1. per i dati sulle misure sociali, amministrative, di diritto delle esecuzioni e di diritto penale, cinque anni dopo la conclusione della misura;
2. per la valutazione delle prestazioni e per i risultati dei test della personalità e dei test di valutazione delle potenzialità, cinque anni dopo la valutazione o il test;
3. per tutti gli altri dati del dossier personale e del sistema d’informazione sul personale, dieci anni dopo la cessazione del rapporto di lavoro o il decesso del collaboratore.

Allo scadere del termine di conservazione, i dati con un valore archivistico secondo la legge federale del 26 giugno 1998 ¹⁰ sull’archiviazione e l’ordinanza dell’8 settembre 1999 ¹¹ relativa alla legge federale sull’archiviazione sono offerti all’archivio competente, mentre gli altri dati sono distrutti, fatto salvo l’articolo 38 capoverso 2 LPD ¹² .

I dossier di candidatura cartacei sono restituiti ai candidati non assunti entro tre mesi dall’attribuzione del posto, eccezion fatta per la lettera di candidatura. Gli altri dati sono distrutti entro tre mesi. Sono fatti salvi accordi particolari con i candidati. La durata di conservazione dei dati può essere prolungata se questi sono necessari per il trattamento di un ricorso secondo l’articolo 13 capoverso 2 della legge federale del 24 marzo 1995 ¹³ sulla parità dei sessi.

I dossier, i dati per la candidatura a una cattedra e i dati raccolti durante l’attività di professore o di professore titolare sono conservati e offerti all’archivio del rispettivo PF dopo il decesso della persona.

La pubblicazione di dati privati sul personale in intranet, in un organo di pubblicazione interno o in una bacheca può avvenire soltanto previo consenso scritto dell’interessato. Il consenso può essere dato per e-mail.

I due PF, gli istituti di ricerca e il Consiglio dei PF possono pubblicare la funzione e i recapiti professionali del personale in un elenco di indirizzi pubblicamente accessibile; quest’ultimo può essere cartaceo o elettronico. La pubblicazione di fotografie è consentita soltanto previo consenso scritto dell’interessato. Il consenso può essere dato per e-mail.

Se in particolare un nuovo datore di lavoro, un istituto bancario, un istituto di credito o un locatore chiede informazioni, queste possono essere comunicate soltanto previo consenso scritto dell’interessato o in virtù di una base legale. Chi comunica dati si assicura previamente che la persona interessata abbia dato il proprio consenso oppure che esista un’apposita base legale.

Il consenso dell’interessato è considerato dato se questo ha designato un altro collaboratore quale referenza per eventuali informazioni sul proprio conto.

La comunicazione dei dati si limita alle informazioni necessarie allo scopo della domanda.

Le disposizioni del presente articolo si applicano anche al personale che cambia impiego all’interno del settore dei PF.

È fatto salvo l’articolo 37.

I due PF, gli istituti di ricerca e il Consiglio dei PF possono comunicare ai fornitori di servizi informatici che offrono i loro servizi in reti informatiche esterne i dati necessari per l’utilizzo di tali servizi, in particolare il nome e l’indirizzo e-mail professionale.

I documenti della procedura di nomina e valutazione dei professori e, in particolare, quelli riguardanti le peer-review e le referenze, sono confidenziali.

I due PF, gli istituti di ricerca e il Consiglio dei PF stabiliscono in quale forma possa essere presentato il dossier di candidatura.

Possono digitalizzare i dossier di candidatura presentati in forma cartacea.

Ai sensi della presente ordinanza si considerano dossier di candidatura anche i documenti sulla procedura di nomina e di valutazione, nonché sulla nomina di professori.

Invece di un colloquio in sede, i due PF, gli istituti di ricerca e il Consiglio dei PF possono avvalersi della registrazione di colloqui effettuati tramite videotelefonia oppure di video-colloqui in differita. Le registrazioni sono parte integrante del dossier di candidatura e sono distrutte alla fine della procedura di selezione.

Il dossier di candidatura può contenere dati personali degni di particolare protezione, in particolare nel curriculum vitae.

Esso può contenere, in particolare, i dati elencati nell’allegato 1.

I servizi del personale, i servizi specializzati dei professori e le persone responsabili della selezione elaborano i dati dei dossier di candidatura, per quanto sia necessario all’adempimento dei loro compiti.

Al termine della procedura di candidatura, i dati dei candidati assunti sono trasferiti nel dossier personale (art. 25–32) e nel sistema d’informazione per la gestione dei dati del personale (art. 33–37).

Il trattamento dei dati dei candidati non assunti avviene secondo l’articolo 10 capoversi 3 e 4.

Il consenso esplicito dei candidati è necessario per i seguenti accertamenti:

1. l’esecuzione di test della personalità, inclusa l’analisi grafologica;
2. la richiesta di referenze.

Prima dell’esecuzione dei test della personalità i candidati devono essere informati su:

1. lo scopo dei test;
2. l’utilizzazione dei risultati dei test;
3. la cerchia di persone che viene informata su questi risultati.

I due PF, gli istituti di ricerca e il Consiglio dei PF gestiscono ognuno un sistema d’informazione per mettere a concorso i posti di lavoro e semplificare il processo di candidatura.

I sistemi d’informazione sono costituiti dall’applicazione per mettere a concorso i posti di lavoro e dall’applicazione per la gestione delle candidature.

Con l’applicazione per la pubblicazione dei bandi vengono redatti e pubblicati i bandi di concorso.

Nell’applicazione per la gestione delle candidature sono registrati i posti da mettere a concorso, con le informazioni necessarie, e sono trattati i dati dei candidati.

I servizi responsabili di cui all’articolo 5 capoverso 3 attribuiscono diritti d’accesso per un periodo illimitato dietro richiesta dei servizi del personale e dei servizi specializzati dei professori.

In singoli casi i servizi del personale e i servizi specializzati dei professori possono attribuire diritti d’accesso ad altre persone coinvolte nel processo di selezione, nella misura e per il tempo necessario all’adempimento dei loro compiti.

In caso di candidatura elettronica, i candidati possono esercitare il loro diritto d’informazione, di rettifica e di cancellazione dei dati se hanno ricevuto i corrispondenti diritti d’accesso.

I due PF, gli istituti di ricerca e il Consiglio dei PF possono avvalersi dei sistemi informatici di fornitori esterni per bandire i posti e ricevere le candidature. Si accertano che il fornitore di servizi rispetti le disposizioni sul trattamento dei dati.

Il dossier personale può contenere le seguenti categorie di dati personali, inclusi dati degni di particolare protezione:

1. indicazioni sulla persona, sulla sua nazionalità, la sua famiglia e i suoi congiunti;
2. informazioni contenute nella documentazione di candidatura e ottenute nell’ambito della procedura di selezione, ivi inclusi i risultati del test della personalità secondo l’articolo 19;
3. dati sullo stato di salute per quanto attiene al rapporto di lavoro, in particolare certificati medici nonché dati sulle assenze a seguito di malattia o infortunio, rapporti del medico di fiducia, valutazioni di idoneità e dati del case management;
4. indicazioni sulle prestazioni, le competenze e il potenziale;
5. attestati di lavoro;
6. decisioni passate in giudicato delle autorità, delle istanze giudiziarie e di ricorso, in particolare pignoramenti del salario, decisioni del Servizio specializzato per i controlli di sicurezza relativi alle persone, estratti di sentenze giudiziarie per determinare il diritto agli assegni familiari, atti sulle controversie derivanti dal rapporto di lavoro nonché atti concernenti inchieste disciplinari;
7. comunicazioni alle casse di compensazione dell’assicurazione per la vecchiaia e per i superstiti (AVS), dell’assicurazione per l’invalidità (AI), dell’indennità per perdita di guadagno (IPG) e dell’assicurazione contro la disoccupazione, alla cassa di compensazione per gli assegni familiari, all’Istituto nazionale svizzero di assicurazione contro gli infortuni (INSAI) o a un’altra assicurazione contro gli infortuni, alla Cassa pensioni della Confederazione (PUBLICA), all’assicurazione militare (assicurazioni sociali), nonché comunicazioni e decisioni di tali assicurazioni e di eventuali assicurazioni estere.

Il dossier personale può contenere in particolare i dati elencati nell’allegato 2, in forma cartacea o elettronica.

I servizi del personale, i servizi specializzati dei professori, gli specialisti interni e i terzi da loro incaricati, nonché i superiori responsabili e i servizi giuridici elaborano i dati del dossier personale, per quanto sia necessario all’adempimento dei loro compiti.

Se un impiegato passa a un altro PF, a un altro istituto di ricerca o allo stato maggiore del Consiglio dei PF, il dossier personale non è trasmesso al nuovo datore di lavoro. Qualsiasi deroga deve essere convenuta con l’impiegato.

Previo consenso dell’impiegato, il nuovo datore di lavoro può chiedere i documenti già consegnati dall’impiegato al datore di lavoro precedente.

La conservazione, l’archiviazione e la distruzione dei dati del dossier personale sono disciplinati nell’articolo 10.

I due PF, gli istituti di ricerca e lo stato maggiore del Consiglio dei PF gestiscono ognuno un sistema d’informazione per i dossier personali per gestire elettronicamente, amministrare e conservare i dati personali del personale.

I dati non degni di particolare protezione possono essere ripresi dal sistema d’informazione per la gestione dei dati del personale (SIGDP).

I servizi del personale e i servizi specializzati dei professori hanno accesso ai dati dei dossier personali del rispettivo sistema d’informazione, per quanto sia necessario all’adempimento dei loro compiti.

Essi possono, se necessario, assegnare un diritto d’accesso ai superiori, al pertinente servizio giuridico e agli specialisti interni.

I servizi del personale possono consentire al personale che ne fa richiesta di accedere al proprio dossier per un periodo limitato.