Privacy paziente

Ai sensi dell’art. 13, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016

Gentile Signora/ Egregio Signore,

Ospedale San Raffaele S.r.l, con sede legale in via Olgettina 60, 20132 Milano, e-mail hsrsanraffaele@hsr.postecert.it, in persona del legale rappresentante e in qualità di titolare del trattamento dei dati personali (il “Titolare”), intende fornire ai propri pazienti (l’“Interessato” o collettivamente gli “Interessati”) le specifiche informazioni sul trattamento dei dati personali che si rendono necessarie con riferimento alla attività che complessivamente può essere esercitata all’interno della struttura sanitaria del Titolare nelle sue diverse articolazioni organizzative ospedaliere o territoriali, in quanto correlata al servizio di prevenzione, cura, diagnosi,  riabilitazione, e assistenza o terapia sanitaria o sociale che Lei intendesse richiedere, ai sensi dell’art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (“GDPR”) e della normativa europea e nazionale che lo integra e/o lo modifica (“Normativa Privacy Applicabile”), ivi compresa la disciplina sulla protezione dei dati personali di cui al Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, “Codice Privacy”).

  1. Responsabile del trattamento e Data Protection Officer

Il Titolare ha provveduto a designare più Responsabili del trattamento dei dati personali. Lei potrà rivolgersi ai recapiti sopra indicati per avere evidenza dei nominativi di tali Responsabili.

Il Titolare ha nominato, inoltre, un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: dpo@hsr.it.

  1. Dati personali oggetto del trattamento

Il Titolare tratterà i Suoi dati personali comuni, raccolti in occasione e nell’ambito della Sua richiesta di accedere alle prestazioni di prevenzione, cura, diagnosi, riabilitazione, assistenza o terapia sanitaria o sociale, erogate dal Titolare, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono mobile, indirizzo e-mail e, in generale, i Suoi dati di contatto (i “Dati Comuni”).

Il Titolare tratterà anche Suoi dati relativi a particolari categorie di cui all’art. 9 del GDPR, vale a dire dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi allo stato di salute e alla vita sessuale (i “Dati Particolari”) (i Dati Comuni e i Dati Particolari, di seguito, congiuntamente, i “Dati Personali”).

  1. Finalità e base giuridica del trattamento

I Suoi Dati Personali sono/saranno trattati nell'ambito della normale attività del Titolare, per le finalità e sulle basi giuridiche di seguito indicate:

  1. finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale, sulla base del diritto dell’Unione Europea o del diritto nazionale o conformemente al contratto con un professionista della sanità, ai sensi degli artt. 6, par. 1, let. e) e 9, par. 2, lett. h) del GDPR;
  2. sulla base di un interesse pubblico rilevante ai sensi dell’art. 2-sexies del Codice Privacy, con riferimento agli specifici dati personali, operazioni eseguibili e misure appropriate e specifiche per tutelare i diritti degli interessati determinati dalla legge o da regolamenti di legge, per

b1) lo svolgimento di attività amministrative e certificatorie strettamente connesse alle, ed essenziali per il raggiungimento delle finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale sopra indicate, ivi incluse quelle correlate ai trapianti di organo e di tessuti e alle trasfusioni di sangue umano, nonché alla gestione dei rapporti con il paziente, nelle fasi di accettazione, prenotazione di visite ed esami, registrazione delle esenzioni, certificatorie relative allo stato di salute etc.;

b2) svolgere compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;

b3) finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra i soggetti interessati e l’amministrazione del Titolare;

  1. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici sulla base del diritto dell’Unione Europea o del diritto nazionale, che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale, ai sensi dell’art. 9, par. 2, lett. i), del GDPR;
  2. per adempiere a obblighi previsti da leggi, regolamenti e dalla normativa comunitaria, ai sensi degli artt. 6, lett. c) e 9, par. 2, lett. b), del GDPR (ad esempio, adempimenti fiscali; verifiche di carattere amministrativo; ispezioni di organi preposti alla vigilanza in materia sanitaria; investigazioni della polizia giudiziaria etc.);
  3. per far valere o difendere un diritto in giudizio o in una fase propedeutica al giudizio, ai sensi dell’art. 9 par. 2, lett. f), del GDPR.
  4. per finalità ulteriori di ricerca scientifica, in particolare per studi osservazionali e studi interventistici ai sensi dell’art. 110-bis del D. Lgs. n. 196/2003.

I Dati Personali raccolti per le finalità di cui alla lettera a) che precede, saranno trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da altri soggetti all’obbligo di segretezza conformemente al diritto dell’Unione Europea o del diritto nazionale o alle norme stabilite dagli organismi nazionali competenti, ai sensi dell’art. 9, par. 3, del GDPR.

Per le finalità di cui alle lettere a), b), c), d), e) ed f) non viene richiesto all’Interessato un consenso preventivo, in quanto il trattamento è necessario e legittimato da una delle basi giuridiche sopra indicate.

I Dati Personali sono/saranno altresì trattati, nell'ambito della normale attività del Titolare, e solo previo Suo specifico consenso, per le ulteriori finalità e sulle basi giuridiche di seguito indicate:

  1. per la comunicazione delle informazioni sul Suo stato di salute a soggetti terzi (es. familiari o conoscenti), indicati specificamente dall'Interessato, ove applicabile;
  2. per la comunicazione della Sua presenza in struttura a soggetti terzi (es. familiari o conoscenti) , indicati specificamente dall'Interessato, ove applicabile; 
  3. per la comunicazione dei suoi Dati Personali, inclusi i dati garantiti da maggior tutela dell’anonimato (ad esempio, dati relativi a infezione da HIV, interruzione volontaria della gravidanza, etc.) a compagnie assicurative private, che ne facciano richiesta al fine di gestire pratiche relative a polizze assicurative da Lei stipulate;
  4. per consentire il ricontatto del paziente in relazione a trattamenti sanitari già intrapresi, anche con finalità di prevenzione da attuarsi con cadenza periodica (ad esempio, per ricordare l’opportunità di trattamenti periodici di pulizia del cavo orale, a determinate scadenze), nonché per attività di promozione e informazione, in ambito sanitario (ad esempio, per proporre promozioni su programmi di screening, contratti alberghieri di degenza, etc.);
  5. con esclusivo riferimento ai Dati Comuni, per conto e in nome di GSD Foundation, per attività di promozione ed informazione – in ambito clinico/scientifico – anche con il fine di sensibilizzare la raccolta fondi per il sostegno e per lo sviluppo della ricerca scientifica;
  6. per consentire l’accesso ai, e il trattamento dei, Suoi Dati Personali da parte di studenti e tirocinanti, con finalità esclusivamente didattiche.

Per le finalità di cui alle lettere g), h), i), j), k) e l) sopra indicate, la base di legittimità dei trattamenti è il Suo specifico consenso ex art. 6, par. 1, lett. a) e, ove applicabile, ex art. 9, par. 2, lett. a), del GDPR. Questo è di norma raccolto oralmente dal personale autorizzato del Titolare, che provvederà a documentare la Sua volontà annotandola sul Sistema Informatico Ospedaliero che registrerà data e ora dell’annotazione. Il consenso viene rilasciato al primo accesso alla nostra struttura e ha una validità a tempo indeterminato sino a sua revoca. Per tutte le prestazioni successive al primo accesso, relative alle finalità di trattamento di cui alla presente informativa, pertanto, non Le verrà più chiesto il consenso al trattamento dei relativi dati.
Fermo restando quanto sopra, La informiamo che la presente informativa, unitamente al consenso da Lei rilasciato, hanno efficacia con riferimento alla pluralità di prestazioni erogate anche da ogni distinta Unità Operativa del Titolare.

  1. Natura del conferimento dei dati e conseguenze dell'eventuale rifiuto di rispondere

Salvo i casi di urgenza e/o emergenza sanitaria, il conferimento dei dati richiesti per le finalità di cura della salute e quelle amministrative a queste strettamente correlate, indicate al paragrafo 3, lettere a) e b1), nonché il conferimento dei dati per le finalità indicate al medesimo paragrafo 3, alle lettere b2), b3), c), d), e) e f), è indispensabile; il mancato conferimento potrebbe rendere impossibile all'interessato l'accesso alle prestazioni sanitarie.

Il mancato consenso al trattamento dei dati per le finalità indicate alle lettere g), h), i), j), k) e l), invece, non impedisce l'accesso alla prestazione sanitaria, ma renderà esclusivamente impossibile per il Titolare ad effettuare il relativo trattamento.

  1. Modalità del trattamento

Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e, comunque, garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge.

La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla Normativa Privacy Applicabile, per assicurare la conformità alle misure di garanzia del Garante per la protezione dei dati personali e alle pertinenti disposizioni di settore secondo il diritto dell’Unione Europea e il diritto nazionale (ad esempio, le disposizioni specifiche in tema di tutela dell’anonimato per le persone affette da HIV).

Il trattamento è svolto ad opera di soggetti appositamente autorizzati dal Titolare e in ottemperanza a quanto previsto dall’art. 29 GDPR. In ogni caso sarà garantita la loro sicurezza logica e fisica e la loro riservatezza.

  1. Conservazione dei dati personali 

I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lettera c) del GDPR, nonché gli obblighi di legge cui è tenuto il Titolare.

Il Titolare fa riferimento ai tempi stabiliti nel Massimario di scarto “Versione 04” del “Titolario e Massimario del Sistema Sociosanitario Lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, Allegato 1, parte integrante del presente atto, che sostituisce integralmente il precedente, approvato con Decreto del D.G. Welfare n. 11466 del 17.12.2015 e s.i.m., adottato da Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato.

Maggiori informazioni sono disponibili presso il Titolare ovvero presso il DPO ai recapiti sopra indicati.

  1. Ambito di comunicazione dei dati personali

I Suoi Dati Personali non sono/saranno oggetto di diffusione (intendendosi per tale, il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione), fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione accertamento o repressione di reati.

Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 3, il Titolare potrebbe comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a:

  • soggetti terzi, nell’ambito di un rapporto contrattuale o convenzionale con il Titolare, per consentire l’esecuzione di alcune prestazioni sanitarie in favore dell’interessato da parte di soggetti esterni altamente qualificati per quella specifica prestazione, i quali agiranno tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR ovvero, in specifiche situazioni, in qualità di titolari o contitolari del trattamento;
  • organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed enti assicurativi e altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi di trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità;
  • fornitori di servizi strettamente correlati e funzionali all’attività del Titolare (quali consulenti esterni, istituti di credito, enti certificatori, la società di gestione dell’archivio delle cartelle cliniche, gestione delle conferme telefoniche delle prenotazioni di esami e/o visite, ecc..), i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR;
  • gestori dei servizi aziendali (e.g. servizio mensa).

I Dati potrebbero essere comunicati a società controllate e collegate del Titolare per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.

Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR.

Previo Suo specifico consenso preventivo, i Suoi Dati Personali potranno essere comunicati anche a soggetti terzi aventi diritto e a chiunque l’Interessato indichi espressamente, come familiari, medico curante, etc. In caso di ricovero, l’Interessato ha diritto di richiedere che non vengano rilasciate notizie della propria presenza in ospedale e della dislocazione del ricovero stesso.

La informiamo, altresì, che eventuali controversie per responsabilità civile – compresa quella per responsabilità professionale sanitaria – verranno gestite, in nome e per conto del Titolare, da GSD Sistemi e Servizi S.C. a r.l., con sede in Via Federico Fellini, 4, 20097 San Donato Milanese (MI), a cui verranno comunicati tutti i Dati Personali, anche appartenenti alle particolari categorie di cui all’art. 9 del GDPR, che riguardano l’evento oggetto di controversia. GSD Sistemi e Servizi S.C. a r.l. è stata nominata dal Titolare Responsabile del trattamento dei dati personali ex art. 28 del GDPR.

Nel caso in cui dovesse rilasciare il consenso al trattamento dei Suoi Dati Personali per i fini di “promozione e informazione” in ambito clinico/scientifico di cui alla lettera k) del paragrafo 3, gli stessi verranno raccolti in nome e per conto di GSD Foundation con sede in Milano, Corso di Porta Vigentina n. 18, e comunicati alla stessa; la struttura è nominata Responsabile del trattamento ex art. 28 del GDPR per tale trattamento dei dati effettuato per conto di GSD Foundation, Titolare.

L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.

I Suoi Dati Personali non sono/saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario e/o inevitabile per esigenze organizzative del Titolare, si. rende noto che l’eventuale trattamento avverrà esclusivamente verso Paesi considerati sicuri dalla Commissione Europea o, in ogni caso, secondo una delle modalità consentite dalla Normativa Privacy Applicabile, quali ad esempio il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea e la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA Privacy Shield).

Maggiori informazioni sono disponibili presso il Titolare o al DPO scrivendo agli indirizzi sopraindicati.

  1. Diritti dell'Interessato

Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di ottenere, a cura del Titolare, la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai suoi Dati, nonché, qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine; di conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo; di chiedere al titolare del trattamento la rettifica, la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano; di opporsi al trattamento dei dati, fatto salvo il diritto del titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà; di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca; essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione; di ottenere la portabilità dei dati; di proporre reclamo ad un’autorità di controllo.

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

Qualsiasi modifica o cancellazione o limitazione al trattamento effettuata su richiesta dell’Interessato, ovvero a seguito di revoca del consenso – a meno che ciò non sia impossibile o comporti uno sforzo sproporzionato – sarà comunicata dal Titolare del trattamento a ciascuno dei destinatari cui sono stati comunicati i dati personali. Il Titolare del trattamento può comunicare all’Interessato tali destinatari su richiesta.