In considerazione del contesto emergenziale in atto e limitatamente a tale situazione, allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, le norme vigenti consentono la comunicazione dei dati personali ai diversi soggetti pubblici e privati che sono deputati ad effettuare i trattamenti di dati personali necessari per l’espletamento delle relative funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19.
Sarà pertanto possibile la comunicazione di dati personali e sanitari, e comunque di quelli compresi all’art. 9 e 10 del Reg. UE 2016/679 (dati particolari e dati giudiziari), tra i soggetti individuati dalla norma che devono gestire l’emergenza sanitaria in atto. Sarà inoltre possibile la diffusione di dati personali diversi da quelli di cui agli articoli 9 e 10 del Reg. UE 2016/679 ad altri soggetti, nei casi in cui ciò risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell’emergenza COVID-19.
I dati che sono trattati sono soltanto quelli indispensabili e necessari per le finalità sopra indicate (principio di minimizzazione dei dati personali); ciascuno dei soggetti che tratta i dati sopra richiamati è autorizzato al trattamento secondo le norme vigenti e provvede al trattamento dei dati nei limiti delle competenze e funzioni attribuite, nel rispetto dei principi di cui all’art. 5 del Reg. UE 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.
Gentile Signora / Egregio Signore,
l’Azienda Sanitaria CN2, in qualità di titolare del trattamento dei Suoi dati ed in attuazione della legge che protegge i dati personali, con il presente documento, La informa su come vengono trattati i Suoi dati personali presso l’Azienda, nell’ambito delle proprie attività istituzionali.
I dati personali che Le vengono richiesti (es. dati anagrafici, recapito, tessera sanitaria, codice fiscale, ecc.) e in particolare i dati relativi alla Sua salute, sono indispensabili per l’erogazione e la gestione delle prestazioni sanitarie richieste e sono utilizzati dal personale dell’Azienda Sanitaria CN2, nel rispetto del segreto professionale, del segreto d’ufficio e secondo i principi della vigente normativa europea e nazionale in materia di protezione dei dati personali, in particolare alla luce della disciplina dettata dal Regolamento UE 2016/679 del 27 aprile 2016 (nel prosieguo, per brevità, “Regolamento” o “GDPR”).
Titolare del trattamento e Responsabile della protezione dati
Per definizione il Titolare del trattamento è il soggetto che, singolarmente o assieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali o comunque, essendo soggetto pubblico, attua le finalità istituzionali attribuite. Il Titolare, quindi, è l’Azienda Sanitaria CN2.
Il Data Protection Officer (DPO)-Responsabile della protezione dei dati (RPD) individuato dall’Azienda Sanitaria CN2 (Titolare del trattamento) è Agostino Oliveri, Tel. +39.0173.316111, Cell. +39.348.7035239; contattabile via mail al seguente indirizzo: dpo@aslcn2.it.
Base giuridica e Finalità del Trattamento dei Dati
Il Titolare può lecitamente trattare i dati solo quando il trattamento ha una specifica base giuridica ed è funzionale ad attività che sono ricomprese tra le proprie finalità istituzionali.
La base giuridica dei trattamenti è rappresentata dalla necessità di:
– assolvimento degli obblighi di legge per attività di programmazione, gestione, controllo e
valutazione dell’assistenza sanitaria di questa Azienda Sanitaria;
– assolvimento dei compiti istituzionali spettanti all’Azienda Sanitaria.
Il trattamento dei Suoi dati personali e di quelli relativi alla salute avviene da parte dell’Azienda ai sensi dell’art. 9, paragrafo 2, lett. h) ed i) del GDPR e dunque senza necessità di consenso per le seguenti finalità:
– tutela della salute e dell’incolumità fisica (ossia attività e prestazioni di prevenzione, diagnosi, cura, assistenza, terapia sanitaria o sociale, riabilitazione), anche nell’ambito di percorsi di cura integrati che coinvolgano le altre Aziende Sanitarie della Provincia di Cuneo (ad esempio per i percorsi di cura in rete)
– tutela socio-assistenziale e interventi di natura sanitaria a favore di soggetti bisognosi, non autosufficienti o incapaci;
– attività legate alla fornitura di beni o servizi all’utente per la salvaguardia della salute (es. fornitura di ausili e protesi);
– attività medico-legale (tra cui rilascio o rinnovo patenti di guida, porto d’armi, idoneità al lavoro);
– medicina preventiva;
– tutela dell’incolumità fisica e della salute di terzi e della collettività, se ricorrono le condizioni stabilite dalla vigente legislazione (compresi interventi di diagnosi precoce di specifiche patologie in gruppi di popolazione a rischio specifico per sesso, età, esposizione al rischio);
– motivi di interesse pubblico nel settore della sanità pubblica.
Inoltre i dati personali da Lei forniti vengono trattati per le seguenti attività:
– adempimenti amministrativi, gestionali e contabili correlati ai compiti istituzionali dell’Azienda e/o connessi ad obblighi di legge;
– attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione, ad esempio per consentirLe quale assistito di questa Azienda Sanitaria, l’assistenza sanitaria di base da parte di soggetti convenzionati o l’assistenza sanitaria da parte di soggetti pubblici e privati in regime di accreditamento e/o da soggetti del Servizio Sanitario Nazionale per cure in altra Regione o all’estero;
– gestione di reclami/esposti/conteziosi;
– attività didattiche e di formazione professionale;
– attività epidemiologica e statistica;
– finalità quali la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, indagini per rilevare l’esperienza e il grado di soddisfazione dell’utente;
– attività certificatorie (ad esempio esenzione per patologia, reddito, gravidanza, invalidità riconosciuta, medicina sportiva);
– gestione delle prenotazioni effettuate.
Ulteriori trattamenti dei Suoi dati personali, che potrebbero presentare rischi specifici per i diritti e le libertà fondamentali, nonché per le dignità degli interessati, saranno effettuati, in conformità alle leggi e ai regolamenti, previa ulteriore nota informativa e, dove richiesto, previo rilascio del Suo specifico consenso, da Lei manifestato liberamente.
Inoltre per eventuali trattamenti di dati personali di carattere accessorio, effettuati comunque per finalità di tutela della salute dell’utente/paziente, La informiamo che verrà fornita apposita e separata informativa e Le verrà richiesto di Voler manifestare specifico e autonomo consenso; in tali evenienze, l’eventuale Suo rifiuto, in ogni caso, non determina pregiudizio e non impedisce la fruizione della prestazione richiesta all’Azienda Sanitaria, ma impedisce solo l’erogazione della prestazione sanitaria accessoria. Si tratta ad esempio di trattamenti connessi:
– all’implementazione del Dossier Sanitario Elettronico e del Fascicolo Sanitario Elettronico;
– all’implementazione dei sistemi di sorveglianza/registri di patologia;
– a scopi di ricerca scientifica anche nell’ambito delle sperimentazioni cliniche (tranne alcuni casi specifici previsti dalla legge);
– ai trattamenti che prevedono l’utilizzo di APP mediche;
– ai trattamenti che prevedono la refertazione on-line, secondo la regolamentazione di settore in relazione alle modalità di consegna del referto.
In tali casi la prestazione sanitaria le verrà comunque erogata senza però poter attingere alle informazioni a cui Lei ha negato il consenso.
La informiamo, altresì, che il Suo consenso è sempre necessario laddove venga previsto quale misura di garanzia ulteriore dall’Autorità Garante per la Protezione dei dati personali e l’eventuale rifiuto al conferimento determina l’impossibilità da parte dell’Azienda Sanitaria di fornire la prestazione sanitaria richiesta. Anche in tale caso verrà fornita apposita informativa e Le verrà richiesto di Voler manifestare specifico e autonomo consenso al trattamento richiesto.
Saranno inoltre disponibili ulteriori e specifiche informative in relazione a particolari attività amministrative che comportano il trattamento di cosiddetti dati particolari (quali ad esempio, informativa relativa al trattamento delle segnalazioni, informativa relativa al contenzioso, …).
I soggetti che trattano i Suoi dati personali sono individuati come autorizzati al trattamento e ad essi vengono fornite opportune istruzioni; a titolo esemplificativo, sono autorizzati al trattamento i dipendenti dell’Azienda, i consulenti che svolgono attività presso l’Azienda stessa, eventuali tirocinanti e borsisti che lavorano presso l’Azienda sanitaria o altri soggetti che collaborano con l’Azienda; ciascuno è autorizzato limitatamente ed in relazione al ruolo effettivamente ricoperto, ed è tenuto al rispetto del segreto professionale o del segreto d’ufficio o è impegnato da vincolo contrattuale all’obbligo di riservatezza.
Infine, nel caso in cui un soggetto esterno svolga attività per conto dell’Azienda, il trattamento dei dati personali necessari si svolge sulla base di un contratto che precisa le rispettive responsabilità nel trattamento e costituisce la base giuridica che lo consente. Tali soggetti sono individuati quali Responsabili del trattamento (secondo l’art. 28 del GDPR).
Modalità di trattamento e utilizzo dei Dati – Conservazione dei Dati
I Suoi dati personali possono essere trattati con mezzi cartacei, elettronici o informatici; possono essere utilizzate altre modalità audio e video, ritenute utili caso per caso.
I Suoi dati sono protetti in modo da garantire la riservatezza, la sicurezza e l’accesso al solo personale specificatamente autorizzato.
L’Azienda persegue una politica di minimizzazione dei dati cercando il più possibile di contenerne l’utilizzo. I Suoi dati e la documentazione sono conservati per il tempo necessario al perseguimento delle finalità per i quali sono trattati, fatto salvo il maggior tempo necessario per adempiere ad obblighi di legge, in ragione della natura del dato o del documento o per motivi di interesse pubblico o per l’esercizio di pubblici poteri, tenuto conto di quanto previsto dai Piani di conservazione della documentazione aziendale (cosiddetto Massimario di conservazione e scarto), e comunque qualsiasi dato sarà utilizzato non oltre il raggiungimento delle finalità sopra indicate.
A chi possono essere comunicati i Dati
Posto che, per legge, non è consentita la diffusione di dati relativi allo stato di salute (cioè non possono essere resi noti ad un numero indeterminato di soggetti), i Suoi dati personali possono essere comunicati, nei casi previsti da norme di legge o di regolamento, a soggetti pubblici e privati, enti ed istituzioni per il raggiungimento delle finalità per le quali sono trattati. A titolo di esempio, si riportano alcuni soggetti a cui l’Azienda può comunicare dati personali:
– soggetti pubblici (altre aziende sanitarie/enti sanitari) e privati (strutture sanitarie private, case di riposo) coinvolti nel Suo percorso diagnostico-terapeutico;
– comune di residenza;
– Regione Piemonte o Regione di residenza (se diversa) e Ministero della Salute, per finalità amministrative di competenza regionale (esempio: flussi delle Schede di dimissione ospedaliera- SDO e mobilità sanitaria);
– Servizi Sociali dei Comuni e Consorzi Socio Assistenziali per le attività connesse all’assistenza di soggetti deboli;
– Medici di Medicina Generale e Pediatri di Libera Scelta, quando previsto;
– Enti previdenziali, INPS, INAIL, per gli scopi connessi alla tutela della persona assistita;
– Soggetti qualificati ad intervenire in controversie in cui è parte l’Azienda (compagnie assicurative, legali e consulenti, ecc.);
– Forze dell’Ordine e Autorità Giudiziaria.
Le persone ricoverate presso le strutture dell’Azienda o che accedono al Pronto Soccorso hanno il diritto, se espressamente richiesto, di comunicare le informazioni sullo stato di salute solo ad eventuali soggetti da loro individuati e di non rendere nota la propria presenza in reparto a soggetti terzi.
L’Azienda Sanitaria CN2 non effettua trasferimento di dati personali all’estero.
Qualora ciò sia necessitato in relazione al fatto che un responsabile del trattamento, con cui questa Azienda Sanitaria intrattiene vincolo contrattuale per la fornitura di un bene o di un servizio, questa Azienda Sanitaria potrebbe autorizzare il trasferimento all’estero di dati sanitari, qualora il paese estero in cui i dati siano trasferiti sia da considerarsi adeguato in relazione alle decisioni adottate dalla Commissione Europea e, pertanto garantisca gli stessi o analoghi diritti che la normativa europea sulla protezione dei dati garantisce agli interessati in ambito europeo.
Laddove, invece il trasferimento dei dati personali riguardi un Paese estero per cui non sussista una
decisione di adeguatezza della Commissione Europea, il trasferimento potrà avvenire solo a seguito di ulteriori clausole contrattuali e con il presidio di adeguate salvaguardie, garanzie o in presenza di deroghe (ai sensi degli artt. 44 e seguenti del GDPR).
Nel caso sia necessario il coinvolgimento di soggetti terzi che effettuino operazioni di trattamento dei dati personali per conto dell’Azienda, essi sono appositamente qualificati come Responsabili del trattamento (art. 28 GDPR) e tenuti pertanto al rispetto degli adempimenti in materia di protezione dati, in virtù di apposito contratto/atto/documento sottoscritto e stipulato con l’Azienda sanitaria.
La informiamo, inoltre, che i Suoi dati personali (ivi inclusi quelli sanitari) verranno trattati dall’Azienda alla quale ha richiesto la prestazione sanitaria, nonché, dalle altre Aziende Sanitarie della Provincia di Cuneo, in qualità di titolari autonomi del trattamento o di contitolari o con vincoli dettati da contratti di Responsabilità di cui all’art. 28 GDPR, con le quali sia intervenuto apposito accordo che definisca le modalità di condivisione e trattamento dei dati nel rispetto della “legge privacy”, oppure nell’ambito delle Strutture interaziendali definite nell’Atto Aziendale dell’Azienda CN2, al fine di garantire l’efficacia delle prestazioni sanitarie da questa erogate e la minimizzazione del loro utilizzo.
Diritti degli interessati
Procedura per l’esercizio dei diritti degli interessati
La procedura intende regolamentare la presa in carico e la corretta gestione delle richieste con le quali gli interessati esercitano i diritti loro riconosciuti dal Regolamento UE 2016/679 agli artt 15-22 in materia di tutela dei dati personali, con modalità coerenti alle previsioni del Regolamento stesso.
