Informativa per i pazienti e utenti di Ospedale San Raffaele relativa al trattamento dei dati personali mediante refertazione on-line ai sensi dell’art. 13, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR)

Gentile Signora/Egregio Signore,

Ospedale San Raffaele S.r.l., con sede legale in Milano, in via Olgettina n. 60, 20132, Cod. Fisc. 07636600962, P.IVA 07636600962, e-mail hsrsanraffaele@hsr.postecert.it, rappresentato da Marco Centenari, Amministratore Delegato e legale rappresentante, in qualità di titolare del trattamento dei dati personali (il “Titolare”), intende fornire ai propri pazienti e utenti (l’“Interessato” o collettivamente gli “Interessati”) le specifiche informazioni sul trattamento dei dati personali che si rendono necessarie con riferimento all’erogazione dei servizi facoltativi di refertazione on-line, messi a disposizione dei pazienti e utenti dalla struttura sanitaria del Titolare nelle sue diverse articolazioni organizzative ospedaliere o territoriali , ai sensi dell’art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (“GDPR”) e della normativa europea e nazionale che lo integra e/o lo modifica (“Normativa Privacy Applicabile”), ivi compresa la disciplina sulla protezione dei dati personali di cui al Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, “Codice Privacy”).

1. Responsabile del trattamento e Data Protection Officer

Il Titolare ha provveduto a designare più Responsabili del trattamento dei dati personali. Lei potrà rivolgersi ai recapiti sopra indicati per avere evidenza dei nominativi di tali Responsabili.

Il Titolare ha nominato, inoltre, un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: dpo@hsr.it  

2. Dati personali oggetto del trattamento

Il Titolare tratterà i Suoi dati personali, raccolti in occasione e nell’ambito della Sua specifica richiesta di accedere e usufruire dei servizi di refertazione on-line con riferimento alle seguenti categorie di referti: risultati di tutti gli esami di laboratorio e analisi cliniche svolti presso uno dei Punti Prelievo del San Raffaele (“Referto”).

Tali dati sono sia dati comuni, tra cui, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono mobile, indirizzo e-mail e, in generale, i Suoi dati di contatto (i “Dati Comuni”), sia dati relativi a particolari categorie di cui all’art. 9 del GDPR, vale a dire dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi allo stato di salute e alla vita sessuale (i “Dati Particolari”) (i Dati Comuni e i Dati Particolari, di seguito, congiuntamente, i “Dati Personali”).

3. Finalità e base giuridica del trattamento

I Suoi Dati Personali saranno trattati nell'ambito della normale attività del Titolare, per consentirLe di consultare direttamente on-line, mediante sito Web, posta elettronica anche certificata (eventualmente, su Sua specifica richiesta e autorizzazione, anche senza la necessità di inserire una apposita password a protezione del file allegato alla email) e/o supporto elettronico, i Referti dei propri accertamenti diagnostici eseguiti nelle strutture del Titolare.

Per le finalità sopra indicate, la base di legittimità dei trattamenti è il Suo specifico consenso ex artt. 6, par. 1, lett. a) e art. 9, par. 2, lett. a), del GDPR. Questo è di norma raccolto dal personale autorizzato del Titolare, che provvederà a documentare la Sua volontà annotandola sul Sistema Informatico Ospedaliero che registrerà data e ora dell’annotazione. Previa prestazione del Suo consenso al momento della accettazione, il Titolare Le fornirà il codice identificativo dell'esame e le istruzioni per accedere servizio di refertazione on-line, nonché apposite istruzioni circa le modalità tecniche di funzionamento dei servizi stessi, alle quali si rinvia. Lei potrà inoltre manifestare il Suo consenso direttamente online all’atto della registrazione/autenticazione sul portale messo a diposizione del Titolare per la consegna dei Referti.

E’, comunque, diritto dell´Interessato che abbia scelto di aderire ai servizi di refertazione, manifestare una volontà contraria, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, ovvero che i relativi referti non siano oggetto del servizio di refertazione on-line precedentemente scelto.

Previo Suo specifico consenso preventivo, i Referti, recanti i Suoi Dati Personali, potranno essere comunicati anche al Suo medico curante, mediante invio presso la casella di posta elettronica dello stesso ovvero fornendogli direttamente le credenziali di autenticazione, affinché egli effettui il download del Suo Referto. In tal caso, tuttavia, l’Interessato dovrà esercitare tale opzione di volta in volta, in occasione di ogni singolo accertamento diagnostico.

Fermo restando quanto sopra, La informiamo che la presente informativa, unitamente al consenso da Lei rilasciato, hanno efficacia con riferimento alla pluralità di prestazioni erogate anche da ogni distinta Unità Operativa del Titolare.

4. Natura del conferimento dei dati e conseguenze dell'eventuale rifiuto di rispondere

Il mancato consenso al trattamento dei dati per le finalità indicate al paragrafo 3 che precede, non impedisce l'accesso alla prestazione sanitaria, ma renderà esclusivamente impossibile per il Titolare fornire i servizi di refertazione on-line.

L´interessato ha, in ogni caso, il diritto di ottenere copia cartacea del Referto consegnato in modalità digitale.

5. Modalità del trattamento

Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e comunque garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge.

La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché per assicurare la conformità alle pertinenti disposizioni di settore secondo il diritto dell’Unione Europea e il diritto nazionale, ivi comprese le Linee Guida in tema di referti on-line del Garante per la Protezione dei Dati Personali del 25 giugno 2009.

Il trattamento è svolto ad opera di soggetti appositamente autorizzati dal Titolare e in ottemperanza a quanto previsto dall’art. 29 del GDPR. In ogni caso sarà garantita la loro sicurezza logica e fisica e la loro riservatezza.

6. Conservazione dei dati personali 

I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lett. c), del GDPR nonché gli obblighi di legge cui è tenuto il Titolare, fatto salvo, in ogni caso, il diritto di revoca del consenso, in ogni momento, da parte dell’Interessato.

In via generale, il Titolare fa riferimento ai tempi stabiliti nel Massimario di scarto “Versione 04” del “Titolario e Massimario del Sistema Sociosanitario Lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, approvato con Decreto del D.G. Welfare n. 15229 del 1 dicembre 2017 e ss.mm.ii.,
adottato da Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato. In caso di consultazione on-line tramite il sito Web della struttura sanitaria, si rende noto che i Referti saranno disponibili per un tempo limitato, pari a 45 giorni.

Maggiori informazioni sono disponibili presso il Titolare ovvero presso il DPO ai recapiti sopra indicati.

7. Ambito di comunicazione dei dati personali

I Suoi Dati Personali non sono/saranno oggetto di diffusione (intendendosi per tale, il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione), fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione accertamento o repressione di reati.

Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 3, il Titolare potrebbe comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a:

• soggetti terzi, nell’ambito di un rapporto contrattuale o convenzionale con il Titolare, per consentire l’esecuzione di alcune prestazioni sanitarie in favore dell’interessato da parte di soggetti esterni altamente qualificati per quella specifica prestazione, i quali agiranno tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR ovvero, in specifiche situazioni, in qualità di titolari o contitolari del trattamento;
• organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed enti assicurativi e altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi di trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità.

I Dati potrebbero essere comunicati a società controllate e collegate del Titolare per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR.

La informiamo, altresì, che eventuali controversie per responsabilità civile terzi – compresa quella per responsabilità professionale sanitaria – verranno gestite, in nome e per conto del Titolare, da GSD Sistemi e Servizi S.C. a r.l., con sede in Via Spadolini n. 4 - 20141 Milano, a cui verranno comunicati tutti i Dati Personali, anche appartenenti alle particolari categorie di cui all’art. 9 del GDPR, che riguardano l’evento oggetto di controversia. GSD Sistemi e Servizi S.C. a r.l. è stata nominata dal Titolare Responsabile del trattamento dei dati personali ex art. 28 del GDPR. 

L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.

I Suoi Dati Personali non sono/saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario e/o inevitabile per esigenze organizzative del Titolare, si rende noto che l’eventuale trattamento avverrà esclusivamente verso Paesi considerati sicuri dalla Commissione Europea o, in ogni caso, secondo una delle modalità consentite dalla Normativa Privacy Applicabile, quali ad esempio il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea e la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA Privacy Shield). Maggiori informazioni sono disponibili presso il Titolare o al DPO scrivendo agli indirizzi sopraindicati.       

8. Diritti dell'Interessato

Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di ottenere, a cura del Titolare, la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai suoi Dati, nonché, qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine; di conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo; nei casi previsti dalla legge, di chiedere al titolare del trattamento la rettifica, la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano; di opporsi al trattamento dei dati, fatto salvo il diritto del titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà; di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca; di essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione; nei casi previsti dalla legge, di ottenere la portabilità dei dati; di proporre reclamo ad un’autorità di controllo (Garante Privacy).

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

Qualsiasi modifica o cancellazione o limitazione al trattamento effettuata su richiesta dell’interessato, ovvero a seguito di revoca del consenso – a meno che ciò non sia impossibile o comporti uno sforzo sproporzionato – sarà comunicata dal Titolare del trattamento a ciascuno dei destinatari cui sono stati comunicati i dati personali. Il Titolare del trattamento può comunicare all’interessato tali destinatari su richiesta.