Privacy paziente

Informativa per i pazienti di Ospedale San Raffaele S.r.l. relativa al trattamento dei dati personali ai sensi dell’art. 13 Regolamento (UE) 2016/679 (GDPR)

Gentile Signora/ Egregio Signore,

Ospedale San Raffaele S.r.l., con sede legale in Milano, in via Olgettina n. 60, 20132, Cod. Fisc. 07636600962, P.IVA 07636600962, e-mail hsrsanraffaele@hsr.postecert.it, rappresentato da Elena Angela Maria Bottinelli, Amministratore Delegato e legale rappresentante, in qualità di titolare del trattamento dei dati personali (il “Titolare” ), intende fornirLe, nella Sua qualità di soggetto interessato (l’“Interessato”) le specifiche informazioni sul trattamento dei suoi dati personali che si rende necessario con riferimento alle attività esercitate all’interno della struttura sanitaria del Titolare nelle sue diverse articolazioni ospedaliere o territoriali, ai sensi dell’art. 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (“GDPR”) e della normativa europea e nazionale che lo integra e/o lo modifica, ivi compreso il Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, “Codice Privacy”) (“Normativa Privacy Applicabile”).

  1. Data Protection Officer - Responsabile per la protezione dei dati

Il Titolare ha nominato un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: dpo@hsr.it

  1. Dati personali oggetto del trattamento

Il Titolare tratterà i Suoi dati personali comuni, raccolti in occasione e nell’ambito della Sua richiesta di accedere alle prestazioni di prevenzione, cura, diagnosi, riabilitazione, assistenza o terapia sanitaria o sociale, erogate dal Titolare, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono mobile, indirizzo e-mail e, in generale, i Suoi dati di contatto (i “Dati Comuni”). Il Titolare tratterà anche i Suoi dati relativi a particolari categorie di cui all’art. 9 del GDPR, vale a dire dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi allo stato di salute e alla vita sessuale (i “Dati Particolari”) (i Dati Comuni e i Dati Particolari, di seguito, congiuntamente, i “Dati Personali”).

  1. Finalità e base giuridica del trattamento

I Suoi Dati Personali saranno trattati nell'ambito della normale attività del Titolare, per le finalità e nel rispetto delle condizioni di liceità di seguito indicate:

  1. finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale, sulla base del diritto dell’Unione Europea o del diritto nazionale o conformemente al contratto con un professionista della sanità, ai sensi degli artt. 6, par. 1, lett. e) e 9, par. 2, lett. h) del GDPR;
  2. sulla base di un interesse pubblico rilevante ai sensi dell’art. 2-sexies del Codice Privacy, con riferimento agli specifici dati personali, operazioni eseguibili e misure appropriate e specifiche per tutelare i diritti degli interessati determinati dalla legge o da regolamenti di legge, per:
    1. lo svolgimento di attività amministrative e certificatorie strettamente connesse al raggiungimento delle finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale sopra indicate, ivi incluse quelle correlate ai trapianti di organo e di tessuti e alle trasfusioni di sangue umano, nonché alla gestione dei rapporti con il paziente, nelle fasi di accettazione, prenotazione di visite ed esami, registrazione delle esenzioni, certificatorie relative allo stato di salute etc.);
    2. svolgere compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
    3. finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra i soggetti interessati e l’amministrazione del Titolare;
  1. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici sulla base del diritto dell’Unione Europea o del diritto nazionale, che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale, ai sensi dell’art. 9, par. 2, lett. i), del GDPR;
  2. per adempiere a obblighi previsti da leggi, regolamenti e dalla normativa comunitaria, ai sensi degli artt. 6, lett. c) e 9, par. 2, lett. b), del GDPR;
  3. per far valere o difendere un diritto in giudizio o in una fase propedeutica al giudizio, ai sensi dell’art. 9 par. 2, lett. f), del GDPR.
  4. per finalità ulteriori di ricerca scientifica, in particolare per studi osservazionali, ai sensi dell’art. 9  par. 2, lett. j), del GDPR e 110-bis comma 4 del D.lgs. 196/2003;
  5. per consentire il ricontatto del paziente tramite email, in relazione a trattamenti sanitari già intrapresi, anche con finalità di prevenzione da attuarsi con cadenza periodica, nonché per attività di promozione e informazione di servizi analoghi a quelli già fruiti, ai sensi dell’art. 130 comma 4 del D.lgs. 196/2003. L’interessato può opporsi in ogni momento a questo trattamento, scrivendo a dpo@hsr.it o utilizzando l’opzione di disiscrizione contenuta nel footer delle email.

I Dati Personali raccolti per le finalità di cui alla lettera a) che precede, saranno trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da altri soggetti all’obbligo di segretezza conformemente al diritto dell’Unione Europea o del diritto nazionale o alle norme stabilite dagli organismi nazionali competenti, ai sensi dell’art. 9, par. 3, del GDPR. Per le finalità di cui alle lettere a), b), c), d), e), f) e g) non viene richiesto all’Interessato un consenso preventivo, in quanto il trattamento è necessario e legittimato da una delle basi giuridiche sopra indicate.

I Dati Personali saranno altresì trattati, nell'ambito della normale attività del Titolare, e solo previo Suo specifico consenso, per le ulteriori finalità e nel rispetto delle condizioni di liceità di seguito indicate:

  1. per la comunicazione delle informazioni sul Suo stato di salute a soggetti terzi (es. familiari o conoscenti), indicati specificamente dall'Interessato, ove applicabile;
  2. per la comunicazione della Sua presenza in struttura a soggetti terzi (es. familiari o conoscenti) , indicati specificamente dall'Interessato, ove applicabile;
  3. per la comunicazione, in modalità cartacea e/o telematica, dei suoi Dati Personali a compagnie assicurative private, che ne facciano richiesta al fine di gestire pratiche relative a polizze assicurative da Lei stipulate. Solo in caso di Sua richiesta e conferimento del Suo espresso e distinto consenso, potranno essere oggetto di comunicazione anche dati garantiti da maggior tutela dell’anonimato (ad esempio, dati relativi a infezione da HIV, interruzione volontaria della gravidanza, etc.). In tal caso, i dati saranno trasmessi previa apposita cifratura ed esclusivamente tramite canali protetti da adeguate misure di sicurezza.
  4. con esclusivo riferimento ai Dati Comuni, per conto e in nome di GSD Foundation, per attività di promozione ed informazione – in ambito clinico/scientifico – anche con il fine di sensibilizzare la raccolta fondi per il sostegno e per lo sviluppo della ricerca scientifica;

Per le finalità di cui alle lettere h), i), j), k) sopra indicate, la condizione di liceità dei trattamenti è il Suo specifico consenso ex art. 6, par. 1, lett. a) e, ove applicabile, ex art. 9, par. 2, lett. a), del GDPR. Il consenso viene rilasciato al primo accesso alla nostra struttura e ha una validità a tempo indeterminato sino a sua revoca. Fermo restando quanto sopra, La informiamo che la presente informativa, unitamente al consenso da Lei rilasciato, hanno efficacia con riferimento alla pluralità di prestazioni erogate anche da ogni distinta Unità Operativa del Titolare.

  1. Fascicolo Sanitario Elettronico (FSE)

La informiamo che con il suo esplicito consenso può rendere disponibili i Suoi dati e documenti sanitari, che vengono formati, integrati e aggiornati nel tempo da più soggetti, in modo da documentare, in prospettiva, la Sua intera storia clinica, attraverso lo strumento del Fascicolo Sanitario Elettronico (“FSE”). Il FSE è un utilissimo strumento al fine di offrire all’organismo sanitario che la assiste, al medico e a Lei stesso una migliore valutazione del caso, attraverso una più efficace ricognizione dei dati clinici.

Per ulteriori informazioni sul FSE consulti l’informativa sul trattamento dei dati personali per il Fascicolo Sanitario Elettronico predisposta dalla Regione Lombardia (“Informativa FSE Lombardia”) consultabile sul sito: https://www.fascicolosanitario.regione.lombardia.it 

Per prestare, revocare i consensi e gestire le autorizzazioni e gli oscuramenti relativi al Suo FSE può accedere online tramite il sito FSE della Regione Lombardia all’interno dell’area denominata “Privacy FSE”, dal seguente indirizzo: https://www.fascicolosanitario.regione.lombardia.it/fascicolo oppure tramite l’APP SALUTILE Referti.

  1. Natura del conferimento dei dati e conseguenze dell'eventuale rifiuto

Il conferimento dei dati richiesti per le finalità di cura della salute e quelle amministrative a queste strettamente correlate è indispensabile; il mancato conferimento potrebbe rendere impossibile all'interessato l'accesso alle prestazioni sanitarie.

Il mancato consenso al trattamento dei dati per le finalità indicate alle lettere g), h), i), j), k) del paragrafo 3 invece, non impedisce l'accesso alla prestazione sanitaria, ma renderà esclusivamente impossibile per il Titolare effettuare il relativo trattamento.

  1. Modalità del trattamento

Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e, comunque, garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge. La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla normativa applicabile. Il trattamento è svolto ad opera di soggetti debitamente autorizzati e istruiti dal Titolare e in ottemperanza a quanto previsto dall’art. 29 GDPR.

  1. Conservazione dei dati personali

I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lettera c) del GDPR, nonché in esecuzione degli obblighi di legge cui è tenuto il Titolare, ad eccezione dei Dati Comuni raccolti per finalità di informazione commerciale, promozione e marketing in generale, che saranno conservati per tali finalità per un periodo massimo di 5 anni dalla data del loro conferimento.

Il Titolare fa riferimento ai tempi stabiliti nel Massimario di scarto “Versione 04” del “Titolario e Massimario del Sistema Sociosanitario Lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, approvato con Decreto del D.G. Welfare n. 15229 del 1 dicembre 2017 e ss.ii.mm., adottato da Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato. Maggiori informazioni sono disponibili presso il Titolare ovvero presso il DPO ai recapiti sopra indicati.

  1. Ambito di comunicazione dei dati personali

I Suoi Dati Personali non saranno oggetto di diffusione, fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da soggetti pubblici per finalità di difesa o di sicurezza o di prevenzione, accertamento o repressione di reati.

Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 3, il Titolare potrebbe comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a:

  • soggetti terzi, nell’ambito di un rapporto contrattuale o convenzionale con il Titolare, per consentire l’esecuzione di alcune prestazioni sanitarie in favore dell’interessato da parte di soggetti esterni altamente qualificati per quella specifica prestazione, ovvero per effettuare analisi presso laboratori esterni in “service”, i quali agiranno tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR ovvero, in specifiche situazioni, in qualità di titolari o contitolari del trattamento;
  • enti sanitari e ospedalieri pubblici e privati, enti del servizio sanitario regionale e nazionale, organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed enti assicurativi e altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi del trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità;
  • enti o strutture di ricovero o residenziali al fine di garantire la continuità delle cure una volta terminato il percorso ospedaliero, tramite percorsi post-dimissione, assistenza continuativa o attivazione di assistenza domiciliare, per le finalità di assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali che agiscono tipicamente nella loro qualità di titolari autonomi;
  • fornitori di servizi strettamente correlati e funzionali all’attività del Titolare i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR, tra cui i fornitori di servizi IT per la gestione dell’infrastruttura tecnologica, dei sistemi informativi e delle reti di telecomunicazione;
  • società controllate e collegate del Titolare per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.

Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR. L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.

La informiamo, altresì, che eventuali controversie per responsabilità civile – compresa quella per responsabilità professionale sanitaria – verranno gestite, in nome e per conto del Titolare, da GSD Sistemi e Servizi S.C. a r.l., con sede in Via Federico Fellini, 4, 20097 San Donato Milanese (MI), a cui verranno comunicati tutti i Dati Personali, anche appartenenti alle categorie particolari di cui all’art. 9 del GDPR, che riguardano l’evento oggetto di controversia. GSD Sistemi e Servizi S.C. a r.l. è stata nominata dal Titolare Responsabile del trattamento dei dati personali ex art. 28 del GDPR.

Nel caso in cui dovesse rilasciare il consenso al trattamento dei Suoi Dati Personali per i fini di “promozione e informazione” in ambito clinico/scientifico di cui alla lettera k) del paragrafo 3, gli stessi verranno raccolti in nome e per conto di GSD Foundation con sede in Milano, Corso di Porta Vigentina n. 18, e comunicati alla stessa; Ospedale San Raffaele è nominato Responsabile del trattamento ex art. 28 del GDPR per tale trattamento effettuato per conto di GSD Foundation, Titolare.

I Suoi Dati Personali non saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione Europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario per perseguire le finalità sopra descritte, si rende noto che l’eventuale trattamento avverrà esclusivamente verso Paesi oggetto di una decisione di adeguatezza da parte della Commissione Europea o, in ogni caso, secondo le modalità consentite dagli artt. 46 e seguenti GDPR., quali ad esempio il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea e la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA Privacy Shield).

  1. Diritti dell'Interessato

Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di:

  • ottenere, da parte del Titolare, la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai suoi dati, nonché, qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;
  • conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo;
  • chiedere al Titolare la rettifica, la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;
  • opporsi al trattamento dei dati, fatto salvo il diritto del Titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà;
  • revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;
  • essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione;
  • ottenere la portabilità dei dati, nei casi previsti dalla legge;
  • proporre reclamo ad un’autorità di controllo (Garante Privacy).

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

Ultimo aggiornamento a Ottobre 2019.