Informativa privacy pazienti

ai sensi dell’art.13 del Regolamento UE 2016/679

 

Gentile Signora/ Egregio Signore,

      ai sensi dell'art. 13 del Regolamento UE 2016/679 “Regolamento o GDPR”, l’Istituto Clinico San Siro di Istituto Ortopedico Galeazzi Spa, in qualità di Titolare del trattamento dei Suoi Dati Personali (d’ora innanzi, per brevità, il “Titolare”), con sede in Milano email:info.icss@grupposandonato.it, Le fornisce le seguenti informazioni relative al trattamento dei Suoi dati personali comuni e particolari (ossia dati idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona), con riferimento alla attività che complessivamente può essere esercitata all’interno della azienda nelle sue diverse articolazioni organizzative e/o strutture ospedaliere, in quanto correlata al servizio di prevenzione, cura, diagnosi e riabilitazione che Lei intendesse richiedere.

I dati personali sopra indicati saranno di seguito definiti congiuntamente come “Dati Personali".

Il Titolare ha nominato responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”) raggiungibile all’indirizzo email: rpd.iog@grupposandonato.it

1. Finalità del trattamento e basi di legittimità

I Dati personali sono/saranno trattati nell'ambito della normale attività del Titolare, e solo previo Suo specifico e libero consenso per le finalità di seguito indicate:

  1. finalità di prevenzione, cura, diagnosi e riabilitazione e attività amministrativo-contabili strettamente connesse e strumentali alla gestione dei rapporti con il paziente (accettazione, prenotazione di visite ed esami registrazione delle esenzioni, certificatorie relative allo stato di salute ecc…);
  2. comunicazione delle informazioni sul Suo stato di salute a soggetti terzi (es. familiari o conoscenti) indicati specificamente dall'interessato, ove applicabile;
  3. per conto e in nome di GSD Foundation e escluso ogni dato personale particolare, per attività di promozione ed informazione - in ambito clinico/scientifico - anche con il fine di sensibilizzare la raccolta fondi per il sostegno e per lo sviluppo della ricerca scientifica;

I Dati personali sono/saranno trattati nell'ambito della normale attività del Titolare, senza il Suo consenso per le finalità di seguito indicate:

  1. in ottemperanza agli obblighi previsti da leggi, regolamenti e dalla normativa comunitaria (in particolare in materia di igiene e sanità ed in relazione ad adempimenti fiscali; verifiche di carattere amministrativo, ispezioni di organi preposti alla vigilanza in materia sanitaria; investigazioni della polizia giudiziaria ecc.);
  2. finalità difensive;

I Dati personali sono/saranno trattati dal Titolare, solo in forma anonima, per le finalità di seguito indicate:

  1. attività di programmazione, gestione e controllo dell’assistenza sanitaria, svolte anche attraverso indagini e questionari di valutazione del gradimento;
  2. attività di ricerca scientifica non interventistica. A tal proposito, è possibile che i dati clinici raccolti in occasione delle prestazioni che Le sono state erogate siano utilizzati in progetti di ricerca osservazionali retrospettivi, correlati alla patologia da Lei sofferta. In tal caso, i Suoi Dati, opportunamente codificati per evitare la Sua immediata individuazione. Questi studi - caratterizzati dal fatto che i medicinali sono prescritti secondo le indicazioni dell’autorizzazione al commercio e che l'assegnazione del paziente a una determinata strategia terapeutica non è decisa in anticipo da un protocollo di sperimentazione ma rientra nella normale pratica clinica i cui risultati saranno condivisi con altri Centro di Ricerca soltanto in forma anonima e aggregata.

Per le finalità di cui alle lettere a) b) e c) indicate la base di legittimità dei trattamenti è il Suo specifico consenso ex artt. 6.1.a) e 9.2.a) del GDPR.  Questo è di norma raccolto oralmente dal personale del Titolare autorizzato, che provvederà a documentare la Sua volontà annotandola sul Sistema Informatico Ospedaliero che registrerà data e ora dell’annotazione. Il consenso viene rilasciato al primo accesso alla nostra struttura ed ha una validità a tempo indeterminato sino a sua revoca. Per tutte le prestazioni successive al primo accesso, pertanto, non le verrà più chiesto il consenso al trattamento dei relativi dati. Fermo restando quanto sopra, La informiamo la presente informativa unitamente al consenso da Lei rilasciato, hanno efficacia in riferimento alla pluralità di prestazioni erogate anche da ogni distinta Unità Operativa del Titolare.

Per la finalità di cui alle lettere d) la base di legittimità è l’art. 6.1.c) e 9.2.g); 9.2.h) e 9.2.i) del GDPR; mentre, per la finalità di cui alla lettera e) la base di liceità del trattamento è negli artt. 6.1.f) e 9.2.f) del GDPR.

2. Natura del conferimento dei dati e conseguenze dell'eventuale rifiuto di rispondere

Salvi i casi di urgenza e/o emergenza sanitaria,  il conferimento dei dati richiesti per le finalità di cura della salute, ivi comprese quelle amministrative a queste strettamente correlate, indicate al paragrafo 1 lettera a) è indispensabile; il mancato conferimento rende impossibile all'interessato l'accesso alla prestazione sanitaria; mentre il mancato consenso al trattamento dei dati per altre finalità eventualmente perseguite  (es. comunicazione dello stato di salute dell'interessato a familiari)  non impedisce l'accesso alla prestazione sanitaria.

3. Modalità del trattamento

I Suoi Dati Personali saranno trattati - secondo i principi correttezza, liceità e la trasparenza sia in forma cartacea che elettronica. La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR.

4. Conservazione dei dati personali

I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lettera c) del GDPR nonché gli obblighi di legge cui è tenuto il Titolare. Il Titolare fa riferimento ai tempi stabiliti nel Massimario di scarto “Versione 04” del “Titolario e Massimario del Sistema Sociosanitario Lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, Allegato 1, parte integrante del presente atto, che sostituisce integralmente il precedente, approvato con Decreto del D.G. Welfare n. 11466 del 17.12.2015 e s.i.m., adottato da Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato. Maggiori informazioni sono disponibili presso il Titolare ovvero presso il DPO ai recapiti sopra indicati.

5. Categorie di soggetti destinatari dei dati

Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 1, il Titolare potrebbe comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a:

  • persone fisiche autorizzate dal Titolare al trattamento di dati personali ex art. 29 GDPR in ragione dell’espletamento delle loro mansioni lavorative (es. personale sanitario e amministrativo, amministratori di sistema ecc…);
  • soggetti terzi in rapporto contrattuale o convenzionale con il Titolare (es. alcune delle prestazioni sanitarie potrebbero essere poi eseguite da altri soggetti esterni altamente qualificati per quella prestazione);
  • organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed enti assicurativi e altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi di trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità;
  • l’ambito della comunicazione potrà essere esteso a favore di soggetti terzi aventi diritto e di chiunque l’interessato indichi espressamente come familiari, medico curante ecc... In caso di ricovero l’interessato ha diritto di richiedere che non vengano rilasciate notizie della propria presenza in ospedale e della dislocazione del ricovero stesso.
  • fornitori di servizi (come consulenti, istituti di credito, enti certificatori, la società di gestione dell’archivio delle cartelle cliniche, gestione delle conferme telefoniche delle prenotazioni di esami e/o visite, ecc..) i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del Regolamento - strettamente correlati e funzionali all’attività del Titolare.

La informiamo, altresì, che eventuali controversie per responsabilità civile terzi – compresa quella per responsabilità professionale sanitaria – verranno gestite, in nome e per conto del Titolare, da GSD Sistemi e Servizi S.C. a r.l., con sede in Milano, Corso di Porta Vigentina n.18, a cui verranno comunicati tutti i dati, anche di natura sensibile, che riguardano l’evento oggetto di controversia. GSD Sistemi e Servizi S.C. a r.l. è stata nominata Responsabile del trattamento dei dati personali ex art. 28 del GDPR.

Nel caso in cui dovesse rilasciare il consenso al trattamento dei Suoi dati personali per i fini di “promozione e informazione” in ambito clinico/scientifico di cui alla lettera d) del paragrafo 1, gli stessi verranno raccolti dalla struttura in nome e per conto di GSD Foundation con sede in Milano, Corso di Porta Vigentina n.18, e comunicati alla stessa; la struttura è nominata Responsabile del trattamento ex art. 28 del GDPR per tale trattamento dei dati effettuato per conto di GSD Foundation, Titolare.

I dati potranno essere accessibili alle altre aziende del Gruppo San Donato per le medesime finalità di cui sopra e/o per finalità amministrativo-contabili ai sensi all’art. 6 ed ai Considerando 47 e 48 del Regolamento. L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.

Fascicolo Sanitario Elettronico (FSE)

La informiamo, da ultimo, che il Titolare ha aderito al Progetto CRS/SISS della Regione Lombardia che consiste nella condivisione - da parte di tutte le strutture sanitarie lombarde - di una "banca dati" centralizzata contenente tutti i dati sanitari relativi alle prestazioni eseguite sui pazienti. Tale progetto consente di costituire un Fascicolo Sanitario Elettronico (FSE) personale per ogni paziente, nel quale vengono raccolti tutti i dati clinici relativi alle prestazioni eseguite dalle strutture sanitarie lombarde. Al FSE potrà accedere esclusivamente il personale medico ospedaliero che l'avrà in cura e/o il Suo medico di famiglia.

6. Ambito di diffusione dei dati e trasferimento dei dati personali extra UE

I Dati e Dati Sensibili non sono/saranno oggetto di diffusione (intendendosi per tale, il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione), fatta salva  l'ipotesi in cui la diffusione sia richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione accertamento o repressione di reati.

Per quanto concerne l’eventuale futuro trasferimento dei Dati verso Paesi Terzi, il Titolare rende noto che l’eventuale trattamento nel rispetto della normativa ovvero secondo una delle modalità consentite dalla legge vigente, quali ad esempio il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea, la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA). Maggiori informazioni sono disponibili presso il Titolare o al DPO scrivendo agli indirizzi sopraindicati.

7. Diritti dell'interessato

Lei ha il diritto di accedere in qualunque momento ai dati che La riguardano, ai sensi degli artt. 15-22 GDPR. In particolare, potrà chiedere la rettifica, la cancellazione, la limitazione del trattamento dei dati stessi nei casi previsti dall'art. 18 del GDPR, la revoca del consenso prestato ai sensi dell’art. 7 del GDPR, di ottenere la portabilità dei dati che La riguardano nei casi previsti dall'art. 20 del GDPR, nonché proporre reclamo all'autorità di controllo competente ex articolo 77 del GDPR (Garante per la Protezione dei Dati Personali).

Lei può formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare la Sua istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà.

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

 

ultimo aggiornamento Maggio 2018

X