Informazioni sul trattamento dei dati personali (Art. 13 Regolamento Europeo UE 2016/679 – c.d. GDPR)

Gentile Signora / Egregio Signore,
l’Azienda Sanitaria CN2, in qualità di titolare del trattamento dei Suoi dati ed in attuazione della legge che protegge i dati personali, con il presente documento, La informa su come vengono trattati i Suoi dati personali presso l’Azienda, nell’ambito delle proprie attività istituzionali.
I dati personali che Le vengono richiesti (es. dati anagrafici, recapito, tessera sanitaria, codice fiscale, ecc.) e in particolare i dati relativi alla Sua salute, sono indispensabili per l’erogazione e la gestione delle prestazioni sanitarie richieste e sono utilizzati dal personale dell’Azienda Sanitaria CN2, nel rispetto del segreto professionale, del segreto d’ufficio e secondo i principi della vigente normativa europea e nazionale in materia di protezione dei dati personali, in particolare alla luce della disciplina dettata dal Regolamento UE 2016/679 del 27 aprile 2016 (nel prosieguo, per brevità, “Regolamento” o “GDPR”).

Titolare del trattamento e Responsabile della protezione dati

Per definizione il Titolare del trattamento è il soggetto che, singolarmente o assieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali o comunque, essendo soggetto pubblico, attua le finalità istituzionali attribuite.
Il Titolare, quindi, è l’Azienda Sanitaria CN2.
Il Data Protection Officer (DPO)-Responsabile della protezione dei dati (RPD) individuato dall’Azienda
Sanitaria CN2 (Titolare del trattamento) è la Dott.ssa Pinuccia Carena tel. 3342197364; contattabile via mail al seguente indirizzo: dpo@aslcn2.it.

Base giuridica e Finalità del Trattamento dei Dati

Il Titolare può lecitamente trattare i dati solo quando il trattamento ha una specifica base giuridica ed è
funzionale ad attività che sono ricomprese tra le proprie finalità istituzionali.
La base giuridica dei trattamenti è rappresentata dalla necessità di:
– assolvimento degli obblighi di legge per attività di programmazione, gestione, controllo e
valutazione dell’assistenza sanitaria di questa Azienda Sanitaria;
– assolvimento dei compiti istituzionali spettanti all’Azienda Sanitaria.
Il trattamento dei Suoi dati personali e di quelli relativi alla salute avviene da parte dell’Azienda ai sensi dell’art. 9, paragrafo 2, lett. h) ed i) del GDPR e dunque senza necessità di consenso per le seguenti finalità:
– tutela della salute e dell’incolumità fisica (ossia attività e prestazioni di prevenzione, diagnosi, cura,
assistenza, terapia sanitaria o sociale, riabilitazione), anche nell’ambito di percorsi di cura integrati
che coinvolgano le altre Aziende Sanitarie della Provincia di Cuneo (ad esempio per i percorsi di
cura in rete)
– tutela socio-assistenziale e interventi di natura sanitaria a favore di soggetti bisognosi, non
autosufficienti o incapaci;
– attività legate alla fornitura di beni o servizi all’utente per la salvaguardia della salute (es. fornitura
di ausili e protesi);
– attività medico-legale (tra cui rilascio o rinnovo patenti di guida, porto d’armi, idoneità al lavoro);
– medicina preventiva;
– tutela dell’incolumità fisica e della salute di terzi e della collettività, se ricorrono le condizioni
stabilite dalla vigente legislazione (compresi interventi di diagnosi precoce di specifiche patologie in
gruppi di popolazione a rischio specifico per sesso, età, esposizione al rischio);
– motivi di interesse pubblico nel settore della sanità pubblica.

Inoltre i dati personali da Lei forniti vengono trattati per le seguenti attività:
– adempimenti amministrativi, gestionali e contabili correlati ai compiti istituzionali dell’Azienda e/o
connessi ad obblighi di legge;
– attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione, ad esempio
per consentirLe quale assistito di questa Azienda Sanitaria, l’assistenza sanitaria di base da parte di
soggetti convenzionati o l’assistenza sanitaria da parte di soggetti pubblici e privati in regime di
accreditamento e/o da soggetti del Servizio Sanitario Nazionale per cure in altra Regione o
all’estero;
– gestione di reclami/esposti/conteziosi;
– attività didattiche e di formazione professionale;
– attività epidemiologica e statistica;
– finalità quali la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, indagini
per rilevare l’esperienza e il grado di soddisfazione dell’utente;
– attività certificatorie (ad esempio esenzione per patologia, reddito, gravidanza, invalidità
riconosciuta, medicina sportiva);
– gestione delle prenotazioni effettuate.
Ulteriori trattamenti dei Suoi dati personali, che potrebbero presentare rischi specifici per i diritti e le
libertà fondamentali, nonché per le dignità degli interessati, saranno effettuati, in conformità alle leggi e ai regolamenti, previa ulteriore nota informativa e, dove richiesto, previo rilascio del Suo specifico consenso, da Lei manifestato liberamente.

Inoltre per eventuali trattamenti di dati personali di carattere accessorio, effettuati comunque per finalità di tutela della salute dell’utente/paziente, La informiamo che verrà fornita apposita e separata informativa e Le verrà richiesto di Voler manifestare specifico e autonomo consenso; in tali evenienze, l’eventuale Suo rifiuto, in ogni caso, non determina pregiudizio e non impedisce la fruizione della prestazione richiesta all’Azienda Sanitaria, ma impedisce solo l’erogazione della prestazione sanitaria accessoria. Si tratta ad esempio di trattamenti connessi:
– all’implementazione del Dossier Sanitario Elettronico e del Fascicolo Sanitario Elettronico;
– all’implementazione dei sistemi di sorveglianza/registri di patologia;
– a scopi di ricerca scientifica anche nell’ambito delle sperimentazioni cliniche (tranne alcuni casi
specifici previsti dalla legge);
– ai trattamenti che prevedono l’utilizzo di APP mediche;
– ai trattamenti che prevedono la refertazione on-line, secondo la regolamentazione di settore in
relazione alle modalità di consegna del referto.
In tali casi la prestazione sanitaria le verrà comunque erogata senza però poter attingere alle informazioni a cui Lei ha negato il consenso.
La informiamo, altresì, che il Suo consenso è sempre necessario laddove venga previsto quale misura di garanzia ulteriore dall’Autorità Garante per la Protezione dei dati personali e l’eventuale rifiuto al conferimento determina l’impossibilità da parte dell’Azienda Sanitaria di fornire la prestazione sanitaria richiesta. Anche in tale caso verrà fornita apposita informativa e Le verrà richiesto di Voler manifestare specifico e autonomo consenso al trattamento richiesto.
Saranno inoltre disponibili ulteriori e specifiche informative in relazione a particolari attività amministrative che comportano il trattamento di cosiddetti dati particolari (quali ad esempio, informativa relativa al trattamento delle segnalazioni, informativa relativa al contenzioso, …).
I soggetti che trattano i Suoi dati personali sono individuati come autorizzati al trattamento e ad essi
vengono fornite opportune istruzioni; a titolo esemplificativo, sono autorizzati al trattamento i dipendenti dell’Azienda, i consulenti che svolgono attività presso l’Azienda stessa, eventuali tirocinanti e borsisti che lavorano presso l’Azienda sanitaria o altri soggetti che collaborano con l’Azienda; ciascuno è autorizzato limitatamente ed in relazione al ruolo effettivamente ricoperto, ed è tenuto al rispetto del segreto professionale o del segreto d’ufficio o è impegnato da vincolo contrattuale all’obbligo di riservatezza.
Infine, nel caso in cui un soggetto esterno svolga attività per conto dell’Azienda, il trattamento dei dati
personali necessari si svolge sulla base di un contratto che precisa le rispettive responsabilità nel
trattamento e costituisce la base giuridica che lo consente. Tali soggetti sono individuati quali Responsabili del trattamento (secondo l’art. 28 del GDPR).

Modalità di trattamento e utilizzo dei Dati – Conservazione dei Dati

I Suoi dati personali possono essere trattati con mezzi cartacei, elettronici o informatici; possono essere utilizzate altre modalità audio e video, ritenute utili caso per caso.
I Suoi dati sono protetti in modo da garantire la riservatezza, la sicurezza e l’accesso al solo personale specificatamente autorizzato.
L’Azienda persegue una politica di minimizzazione dei dati cercando il più possibile di contenerne l’utilizzo. I Suoi dati e la documentazione sono conservati per il tempo necessario al perseguimento delle finalità per i quali sono trattati, fatto salvo il maggior tempo necessario per adempiere ad obblighi di legge, in ragione della natura del dato o del documento o per motivi di interesse pubblico o per l’esercizio di pubblici poteri, tenuto conto di quanto previsto dai Piani di conservazione della documentazione aziendale (cosiddetto Massimario di conservazione e scarto), e comunque qualsiasi dato sarà utilizzato non oltre il raggiungimento delle finalità sopra indicate.

A chi possono essere comunicati i Dati

Posto che, per legge, non è consentita la diffusione di dati relativi allo stato di salute (cioè non possono essere resi noti ad un numero indeterminato di soggetti), i Suoi dati personali possono essere comunicati, nei casi previsti da norme di legge o di regolamento, a soggetti pubblici e privati, enti ed istituzioni per il raggiungimento delle finalità per le quali sono trattati. A titolo di esempio, si riportano alcuni soggetti a cui l’Azienda può comunicare dati personali:
– soggetti pubblici (altre aziende sanitarie/enti sanitari) e privati (strutture sanitarie private, case di
riposo) coinvolti nel Suo percorso diagnostico-terapeutico;
– comune di residenza;
– Regione Piemonte o Regione di residenza (se diversa) e Ministero della Salute, per finalità
amministrative di competenza regionale (esempio: flussi delle Schede di dimissione ospedaliera-
SDO e mobilità sanitaria);
– Servizi Sociali dei Comuni e Consorzi Socio Assistenziali per le attività connesse all’assistenza di
soggetti deboli;
– Medici di Medicina Generale e Pediatri di Libera Scelta, quando previsto;
– Enti previdenziali, INPS, INAIL, per gli scopi connessi alla tutela della persona assistita;
– Soggetti qualificati ad intervenire in controversie in cui è parte l’Azienda (compagnie assicurative,
legali e consulenti, ecc.);
– Forze dell’Ordine e Autorità Giudiziaria.
Le persone ricoverate presso le strutture dell’Azienda o che accedono al Pronto Soccorso hanno il diritto, se espressamente richiesto, di comunicare le informazioni sullo stato di salute solo ad eventuali soggetti da loro individuati e di non rendere nota la propria presenza in reparto a soggetti terzi.
L’Azienda Sanitaria CN2 non effettua trasferimento di dati personali all’estero.
Qualora ciò sia necessitato in relazione al fatto che un responsabile del trattamento, con cui questa Azienda Sanitaria intrattiene vincolo contrattuale per la fornitura di un bene o di un servizio, questa Azienda Sanitaria potrebbe autorizzare il trasferimento all’estero di dati sanitari, qualora il paese estero in cui i dati siano trasferiti sia da considerarsi adeguato in relazione alle decisioni adottate dalla Commissione Europea e, pertanto garantisca gli stessi o analoghi diritti che la normativa europea sulla protezione dei dati garantisce agli interessati in ambito europeo.
Laddove, invece il trasferimento dei dati personali riguardi un Paese estero per cui non sussista una
decisione di adeguatezza della Commissione Europea, il trasferimento potrà avvenire solo a seguito di ulteriori clausole contrattuali e con il presidio di adeguate salvaguardie, garanzie o in presenza di deroghe (ai sensi degli artt. 44 e seguenti del GDPR).
Nel caso sia necessario il coinvolgimento di soggetti terzi che effettuino operazioni di trattamento dei dati personali per conto dell’Azienda, essi sono appositamente qualificati come Responsabili del trattamento (art. 28 GDPR) e tenuti pertanto al rispetto degli adempimenti in materia di protezione dati, in virtù di apposito contratto/atto/documento sottoscritto e stipulato con l’Azienda sanitaria.

La informiamo, inoltre, che i Suoi dati personali (ivi inclusi quelli sanitari) verranno trattati dall’Azienda alla quale ha richiesto la prestazione sanitaria, nonché, dalle altre Aziende Sanitarie della Provincia di Cuneo, in qualità di titolari autonomi del trattamento o di contitolari o con vincoli dettati da contratti di
Responsabilità di cui all’art. 28 GDPR, con le quali sia intervenuto apposito accordo che definisca le
modalità di condivisione e trattamento dei dati nel rispetto della “legge privacy”, oppure nell’ambito delle Strutture interaziendali definite nell’Atto Aziendale dell’Azienda CN2, al fine di garantire l’efficacia delle prestazioni sanitarie da questa erogate e la minimizzazione del loro utilizzo.

Diritti dell’interessato

In qualsiasi momento, in forza dei diritti previsti dagli articoli 15 – 21 del GDPR, l’interessato può richiedere agli Ufficio Relazioni con il Pubblico (URP) di:
a) accedere ai dati personali in possesso dell’Azienda, e chiederne copia (salvo, in quest’ultimo           caso, in cui il suo esercizio leda i diritti e le libertà di altre persone fisiche; tenuto conto inoltre delle
normative esistenti sul rilascio e copia dei documenti di carattere clinico);
b) chiederne la rettifica, ove inesatti o incompleti;
c) ottenere la cancellazione dei dati, salve le eccezioni del caso in cui il trattamento sia necessario per il titolare, per l’esercizio dei diritti alla libertà di espressione e di informazione, per l’adempimento
di un obbligo legale o per l’esecuzione di un compito svolto nel pubblico interesse, a fini di
archiviazione, di ricerca scientifica o storica o a fini statistici, per l’accertamento, l’esercizio o la
difesa di un diritto in sede giudiziaria;
d) chiedere la limitazione del trattamento, salve le esclusioni stabilite dall’art. 18.2 del GDPR;
e) opporsi a uno o più trattamenti basati sull’interesse pubblico, per motivi connessi alla propria
situazione particolare, salva la dimostrazione da parte dell’Azienda dell’esistenza di motivi legittimi
cogenti per procedere al trattamento, prevalenti sugli interessi, i diritti e le libertà dell’interessato,
o in caso di trattamento necessario per l’accertamento, esercizio o difesa in sede giudiziaria;
f) richiedere ed ottenere un elenco aggiornato dei soggetti che trattano dati personali per conto
dell’Azienda (“responsabili del trattamento”), corredato dei dati utili alla loro identificazione;
g) proporre reclamo all’Autorità Garante per la protezione dei dati personali
(http://www.garanteprivacy.it) o all’Autorità Garante dello Stato dell’UE dove risiede abitualmente,
o lavora oppure del luogo ove si è verificata la presunta violazione.
L’esercizio dei diritti di cui sopra può essere inoltre ritardato, limitato o escluso nei casi previsti dall’art. 2-undecies d.lgs 196/2003.

Qualora desiderasse ottenere ulteriori informazioni sul trattamento dei Suoi dati personali da parte
dell’Azienda potrà rivolgersi:
ASL CN2 – Ufficio Relazioni con il Pubblico – via P. Belli n. 26 – Alba – tel. 0173/316498; e-mail:
urp@aslcn2.it; oppure inoltrare richiesta all’indirizzo di posta certificata dell’Azienda: aslcn2@legalmail.it.
Ogni ulteriore informazione riguardante il trattamento dei dati e l’elenco aggiornato dei responsabili del trattamento dei dati è pubblicato sul sito istituzionale dell’Azienda Sanitaria, nella sezione privacy del sito: www.albacn2.it