Privacy - Dossier
Il presente documento costituisce un’integrazione di quanto contenuto nell’informativa privacy (pazienti o utenti), che puoi visionare nelle relative pagine. Ti suggeriamo pertanto di far riferimento a quei documenti per quanto riguarda i trattamenti svolti in linea generale nei tuoi confronti come “paziente” o “utente”: qui ci occuperemo di informarti circa il trattamento dei tuoi dati personali esclusivamente in relazione alla tua richiesta di attivazione del Fascicolo Personale Online nell’Area Personale dell’utente sul sito del Titolare.
Caro utente,
la normativa sulla Privacy (in particolare il Regolamento UE 2016/679, il “Regolamento Generale sulla Protezione dei dati” - noto con l’acronimo inglese GDPR) ci richiede di fornirti le seguenti informazioni sul trattamento dei tuoi dati personali, ai sensi dell’articolo 13 di detto Regolamento.
Per “trattamento di dati personali” si intende una qualsiasi operazione riguardante ogni informazione relativa a persona fisica, identificata o identificabile. Per esempio: nome e cognome e indirizzo e-mail con un “nome utente” che può identificarti (mariorossi@....) sono considerati “dati personali comuni”, e il fatto di raccoglierli, registrarli e utilizzarli per inviarti una comunicazione sono considerate operazioni di “trattamento”, così come l’archiviazione e la condivisione con altri soggetti. Le informazioni relative al tuo stato di salute rappresentano invece dati personali appartenenti ad una categoria particolare, che richiede protezione specifica. Ti invitiamo a visitare il sito web dell’Autorità Garante per la Protezione dei dati personali (“GPDP”) per trovare ulteriori informazioni utili per meglio comprendere il tema (http://www.garanteprivacy.it/home/diritti).
- Noi, Società e Salute S.p.A. (anche “Centro Medico Santagostino” o “CMS”) siamo il titolare del trattamento, cioè il soggetto che stabilisce come e per quali finalità trattare informazioni relative a persone fisiche.
- Tu, in quanto persona fisica a cui si riferiscono i dati personali, sei l’interessato, e hai diritto di ricevere le informazioni riportate nella tabella sottostante.
Puoi trovare le definizioni delle espressioni utilizzate nel Glossario.
Chi siamo? (“Titolare del trattamento”)
Società e Salute S.p.A., con sede legale in via Temperanza, 6 - 20127 Milano - C.F. e P.I. 05128650966 (anche “Centro Medico Santagostino” o “CMS”).
Quali categorie di dati personali trattiamo?
Per le finalità indicate sotto (punto D), tratteremo le seguenti categorie di dati:
Dati personali comuni (nome e cognome, recapito telefonico, indirizzo e-mail).
Dati personali appartenenti a categorie particolari (principalmente dati relativi al tuo stato di salute).
Questi dati vengono trattati nel rispetto degli obblighi di segretezza e sotto la responsabilità di professionisti della sanità e/o del Direttore Sanitario. I trattamenti di dati relativi alla salute vengono effettuati in conformità all’Autorizzazione Generale del GPDP n. 2/2016, in attesa dell’adozione delle misure di garanzia di cui all’art. 2-septies del D.lgs. 196/2003 (ai sensi dell’art. 21 comma 4 D.lgs. 101/2018).
Perché abbiamo i tuoi dati personali?
Ce li hai trasmessi Tu stesso in occasione di una prestazione eseguita presso di noi, o ce li trasmetterai in futuro.
Perché trattiamo dati personali? Perché è lecito trattarli? Per quanto tempo li conserviamo?
Finalità: Attivazione e mantenimento online del Fascicolo Personale Online sul sito del Titolare per il caricamento automatico e la fruizione autonoma online, da parte dell’interessato, di referti, immagini biomediche e fatture in formato digitale, con possibilità di download degli stessi
Categoria di dati personali:
- Dati comuni — Base giuridica: Necessità di esecuzione di un contratto di cui l’Interessato è parte o necessità di esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6.1.b GDPR). Periodo di conservazione dei dati: Quindici anni successivi all’ultima prestazione erogata in tuo favore, salvo quando sia necessario un periodo maggiore per adempiere ad obblighi di legge o per accertare, esercitare o difendere un diritto
- Dati particolari — Base giuridica: Consenso esplicito dell’interessato (artt. 6.1.a e 9.2.a GDPR). Periodo di conservazione dei dati: Sino a revoca del consenso
A chi comunichiamo i tuoi dati (categorie di destinatari)?
I dati che ci hai trasmesso verranno comunicati o messi a disposizione, nella misura minima necessaria per il raggiungimento delle finalità, sulla base della normativa applicabile e/o di un accordo contrattuale con il Titolare, a:
persone fisiche autorizzate al trattamento (personale amministrativo, tecnico), obbligate per legge o per contratto alla riservatezza; i dati particolari verranno trattati sotto la responsabilità di uno o più professionisti sanitari;
fornitori di servizi che agiscono in qualità di Responsabili del trattamento (es. fornitori di servizi informatici).
Non diffondiamo dati personali, fatta salva l'ipotesi in cui ciò sia richiesto dalla legge, da Autorità o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
Trasferiamo i tuoi dati personali fuori dell’Unione Europea?
I dati personali potrebbero essere trasferiti in un paese al di fuori dello Spazio Economico Europeo (SEE), essenzialmente tramite i servizi informatici. CMS garantisce che l’eventuale trasferimento di dati a società e/o soggetti terzi che si trovino in paesi extra SEE è sempre posto in essere nei limiti e alle condizioni previste agli artt. 44 e ss. del GDPR. In particolare, il trasferimento sarà effettuato verso paesi che garantiscono un livello adeguato di protezione per i quali esista una decisione di adeguatezza della Commissione europea ai sensi dell’articolo 45 GDPR, o adottando le altre garanzie previste dal capo V del GDPR (come ad esempio la stipula di clausole contrattuali standard con il soggetto importatore dei dati).
In ogni caso le funzionalità di base del Fascicolo sono fornite da tuOtempO s.r.l. (con sede a Bologna), che si appoggia a server di Amazon Web Services in Irlanda e a Francoforte, all’interno dell’Unione Europea. Per ulteriori informazioni sulle attività di compliance GDPR di tuOtempO, vedi https://www.tuotempo.com/it/tuotempo-gdpr/
Sei obbligato a fornirci i tuoi dati?
L’attivazione del Fascicolo sul sito del Titolare comporta l’automatico caricamento sullo stesso di documentazione già presente nei nostri sistemi, in virtù di prestazioni eseguite presso di noi. Il Titolare ha già avviato, sulla base di quanto previsto nell’informativa privacy pazienti, un trattamento su tali dati: mediante l’attivazione del Fascicolo non ci trasmetterai dati ulteriori, né sarai obbligato a fornirne in futuro.
Cosa succede se rifiuto di comunicarvi i miei dati?
Come indicato al punto G) immediatamente precedente, il Titolare ha già avviato un trattamento sui dati interessati dall’attivazione del Fascicolo. Fornendo il consenso all’attivazione non ci comunicherai alcun dato ulteriore. L’attivazione del Fascicolo, infatti, si basa sull’inserimento del tuo codice fiscale (che hai già fornito in fase di registrazione sul Sito Web, o di prenotazione di una prestazione) e del tuo codice paziente (che ti verrà automaticamente assegnato quando ti registrerai sui nostri sistemi, compreso il Sito Web), entrambi dati già trattati dal Titolare.
Quali sono i tuoi diritti?
Hai diritto di:
- accedere ai dati personali in nostro possesso, e chiederne copia, salvo (in quest’ultimo caso) il fatto che l’esercizio del diritto leda i diritti e le libertà di altre persone fisiche;
- chiedere la rettifica dei dati personali eventualmente incompleti o inesatti;
- chiederne la cancellazione, salve le esclusioni stabilite dall’art. 17.3 GDPR;
- chiedere la limitazione del trattamento, salve le esclusioni stabilite dall’art. 18.2 GDR;
- ottenere un elenco dei responsabili del trattamento, con ulteriori dati utili alla loro identificazione;
- richiedere la portabilità dei dati (ossia riceverli in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, es. un computer, per poterli trasmettere ad altro titolare senza impedimenti), nella misura massima tecnicamente possibile, e nei limiti dei trattamenti basati sul consenso o sull’esecuzione di un contratto, e salvi i casi: - di trattamento necessario per l’esecuzione di un compito di interesse pubblico; - in cui l’esercizio del diritto leda i diritti e le libertà di altre persone fisiche;
- proporre reclamo al Garante per la Protezione dei Dati Personali (in Italia, www.garanteprivacy.it), o all’Autorità Garante dello Stato dell’UE in cui risiedi abitualmente o lavori, oppure del luogo ove si è verificata la presunta violazione.
Puoi sempre opporti al trattamento, non prestando il consenso inizialmente o revocandolo successivamente, con l’avvertenza che l’eventuale successiva revoca del consenso non pregiudica la liceità del trattamento svolto prima della revoca.
In aggiunta ai diritti qui sopra elencati, dalla tua Area Personale del sito del Titolare, nella sezione “Privacy e strumenti”, puoi autonomamente decidere di azzerare lo storico dei documenti all’interno del Fascicolo. Questa operazione non ne comporterà la cancellazione dai sistemi del Titolare.
L’esercizio dei diritti di cui sopra può essere inoltre ritardato, limitato o escluso nei casi previsti dall’art. 2-undecies d.lgs. 196/2003.
Chi posso contattare per domande o per esercitare i miei diritti?
Puoi contattare Società e Salute S.p.A. per questioni inerenti al trattamento dei tuoi dati personali inviando una email all’indirizzo privacy@cmsantagostino.it, oppure al nostro Responsabile della Protezione dei Dati (DPO), all’indirizzo dpo@cmsantagostino.it.
Questa Privacy Policy relativa all’attivazione del Fascicolo Personale online nell’Area Personale dell’utente sul sito del Titolare, ad integrazione della Privacy Policy di pazienti e utenti, è in vigore dal giugno 2020; ci riserviamo di modificarne il contenuto, in parte o completamente, anche a seguito di variazioni della Normativa Privacy.
Glossario
“Autorità di Controllo”: l’autorità pubblica indipendente istituita da uno Stato dell’Unione Europea, o dall’Unione Europea stessa, incaricata di sorvegliare l’applicazione della normativa privacy (per l’Italia, il Garante per la Protezione dei Dati Personali, http://www.garanteprivacy.it).
“Autorità”: ente o organizzazione, pubblica o privata, con poteri amministrativi, giudiziari, di polizia, disciplinari, di vigilanza.
“Autorizzato”: la persona fisica, posta sotto la diretta autorità del titolare, che riceve da quest’ultimo istruzioni sul trattamento di dati personali, ai sensi e per gli effetti dell’art. 29 del GDPR.
“Codice Privacy”: il D. Lgs. 196/2003 e successive modificazioni e/o integrazioni (in particolare ad opera del D. Lgs. n. 101/2018).
“Comitato” o “EDPB”: il Comitato europeo per la protezione dei dati, istituito dall’art. 68 del GDPR e disciplinato dagli artt. da 68 a 76 del GDPR, che sostituisce il WP29 dal 25/5/2018.
“Comunicazione”: “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione” (come definita all’art. 2-ter, comma 4, lett. a del Codice Privacy).
“Dati Particolari”: i dati personali “che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, […] relativi [...] alla vita sessuale o all’orientamento sessuale della persona” (art. 9.1 GDPR), “relativi alla salute” (“i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, come definiti dall’art. 4, sottoparagrafo 1, n. 15, del GDPR) e i “dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza” (art. 10 del GDPR), nonché i dati “genetici” (“i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione”, come definiti dall’art. 4, sottoparagrafo 1, n. 13, del GDPR); “biometrici” (“i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”, come definiti dall’art. 4, sottoparagrafo 1, n. 14, del GDPR).
“Dati”: una o più delle categorie indicate come dati personali e dati particolari.
“Dato Personale”: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, come definito dall’art. 4, sottoparagrafo 1, n. 1, del GDPR). Si considerano dati personali comuni tutti i dati personali non rientranti nella categoria di “Dati Particolari”.
“Destinatario”: “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di Terzi”, come definita dall’art. 4, sottoparagrafo 1, n. 9, del GDPR.
“Diffusione”: “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (come definita all’art. 2-ter, comma 4, lett. b del Codice Privacy).
“GDPR”: il Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
“Interessato”: “persona fisica identificata o identificabile”, come definito dall’art. 4, sottoparagrafo 1, n. 1, del Regolamento UE 2016/679 (c.d. “GDPR”).
“Limitazione”: “il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro”, come definita all’art. 4, sottoparagrafo 1, n. 3, del GDPR.
“Normativa Applicabile”: una qualunque disposizione, di qualunque rango, appartenente al diritto italiano o a quello dell’Unione Europea, in qualunque modo applicabile ai Servizi.
“Normativa Privacy”: il Regolamento UE 2016/679 (“GDPR”), il D. Lgs. 196/2003 e successive modificazioni e/o integrazioni (“Codice Privacy”), nonché i provvedimenti adottati dall’Autorità di Controllo in esecuzione dei compiti stabiliti dal GDPR e dal Codice Privacy, e l’ulteriore normativa applicabile, di qualunque rango, inclusi i pareri e le linee guida elaborati dal Comitato.
“Responsabile”: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, come definito dall’art. 4, sottoparagrafo 1, n. 8, del GDPR.
“Servizi”: le prestazioni fornite dal Centro Medico Santagostino.
“Terzo”: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”, come definito dall’art. 4, sottoparagrafo 1, n. 10, del GDPR.
“Titolare”: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, come definito dall’art. 4, sottoparagrafo 1, n. 7, del GDPR.
“Trattamento”: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”, come definito dall’art. 4, sottoparagrafo 1, n. 2, del GDPR.
“Utente”: la persona che usufruisce dei servizi del Centro Medico Santagostino.
“WP29”: il Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, istituito in virtù dell’art. 29 della direttiva 95/46/CE, i cui compiti sono fissati all’art. 30 della direttiva 95/46/CE e all’art. 15 della direttiva 2002/58/CE.