La presente informativa viene resa, ai sensi dell’art. 13 GDPR 2016/679 – “Regolamento europeo sulla protezione dei dati personali”, ai pazienti con riferimento alle attività poste in essere dalla Casa di Cura della “Fondazione dei Santi Lorenzo e Teobaldo” nell’ambito del servizio di prevenzione, cura, diagnosi e riabilitazione richiesto.
Tipologia e fonte dei dati
I dati personali trattati, ivi compresi quelli concernenti lo stato di salute, la biometria e la genetica, sono forniti direttamente dal paziente o da terzi aventi titolo (amministratore di sostegno, tutore, curatore), da quest’ultimi nei casi di certificata incapacità del paziente, al momento dell’accettazione presso la Struttura o nel corso della degenza. In particolare, in occasione di:
- Proposta di ricovero;
- Proposta di percorso riabilitativo individuale;
- Prenotazione di visite, prestazioni, terapie;
- Accoglienza in struttura;
- Richieste di informazioni sui servizi;
- Conferimento di anamnesi e documentazione clinica;
- Accertamenti diagnostici;
- Precedenti accessi ai servizi e prestazioni proposti dalla struttura.
Finalità del trattamento
I dati personali dei pazienti sono trattati dal Titolare del trattamento per fornire servizi di assistenza medica, infermieristica e tutelare, in particolare:
1. gestire e organizzare appuntamenti, visite e terapie;
2. eseguire prestazioni diagnostiche, preventive, terapeutiche, riabilitative su prescrizione medica. In alcuni casi potranno essere trattati dati riguardanti familiari soprattutto con riferimento all'anamnesi;
3. raccolta, trasporto, gestione dei campioni biologici dei pazienti per esami ed accertamenti;
4. erogare eventuali servizi alberghieri richiesti nel rispetto delle esigenze sanitarie;
5. produzione, consultazione, aggiornamento della documentazione clinica e dei registri sanitari;
6. gestire le attività di registrazione, accettazione e gestione amministrativa dei dati del paziente;
7. monitorare e controllare l'efficacia dei trattamenti terapeutici e la corretta esecuzione delle prestazioni;
8. gestire la fatturazione delle prestazioni erogate (pazienti privati);
9. invio di comunicazioni (via e- mail o telefono), da parte del personale amministrativo, concernenti variazioni dell’appuntamento, comunicazioni su prestazioni eseguite o da eseguire su consiglio del medico specialista;
10. gestire le attività di refertazione ([LC1] es. notifica di disponibilità del referto, consegna del referto o invio, se espressamente richiesto, tramite e - mail o servizio postale ad un indirizzo comunicato dal paziente,). Il ritiro del referto in busta chiusa potrà avvenire anche da parte di un delegato, purché espressamente autorizzato dal paziente. Se il paziente è un incapace certificato, il ritiro della documentazione dovrà avvenire solo dagli aventi causa previo accertamento dell’identità del soggetto;
11. servizio di trasferimento in altra struttura su richiesta del paziente o di terzi aventi titolo;
12. interventi di soccorso nei confronti di pazienti degenti in situazioni di urgenza ed emergenza medica con eventuale trasferimento in ospedale;
13. aggiornare l’anagrafica del paziente;
14. effettuare attività di programmazione, amministrazione, gestione, controllo e valutazione delle prestazioni sanitarie anche ai fini della trasmissione elettronica o comunicazioni dei dati agli enti istituzionali competenti (es. rimborsi, deconti, rendicontazione della spesa sanitaria etc..), nei limiti di quanto previsto da norme e regolamenti europei, statali e regionali vigenti in materia;
15. comunicazione di categorie particolari di dati personali a familiari, parenti, legali rappresentanti, soggetti terzi espressamente indicati e identificati dal paziente all’atto dell’ingresso e/o successivamente.
16. diffusione dei suoi dati personali (riprese audio, video, fotografie) mediante pubblicazione sul sito internet, social network, notiziari, brochure, pubblicazioni, giornalino interno, che la ritraggono in immagini relative alla vita quotidiana della struttura per promuovere e pubblicizzare l’attività della Casa di Cura della Fondazione dei Santi Lorenzo e Teobaldo.
Base giuridica del trattamento
La base giuridica che legittima il trattamento dei dati personali comuni è:
- l’esecuzione di un contratto/rapporto di servizio di cui l’interessato è parte per le finalità da 1 a 12;
- obbligo di legge per le finalità 13, 14;
- consenso del paziente per le finalità 15 e 16 (espresso in forma scritta).
La base giuridica che legittima il trattamento delle categorie particolari di dati (ex sensibili), per tutte le finalità di ambito sanitario relative ad anamnesi, accertamenti, visite, diagnosi, assistenza medica, infermieristica, terapia sanitaria, refertazione, è rappresentata dall’ art. 9 par. 2 lett. h) ed i) GDPR.
La base giuridica che legittima il trattamento delle categorie particolari di dati per la finalità di cui al punto 12 è costituita dall’ art. 9 par. 2 lett. c) GDPR in quanto il trattamento è necessario per tutelare un interesse vitale del paziente o di altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica.
Destinatari dei dati
I dati personali trattati dal Titolare non sono diffusi, ovvero non ne viene data conoscenza a soggetti indeterminati, in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione se non espressamente previsto da norme di legge.
Possono essere comunicati al personale amministrativo e sanitario che opera alle dipendenze del Titolare e ad alcuni soggetti esterni che con essi collaborano. In particolare, sulla base dei ruoli e delle mansioni lavorative espletate, i lavoratori sono stati legittimati a trattare i dati personali, nei limiti delle loro competenze ed in conformità alle istruzioni ad essi impartite dal Titolare del trattamento.
I suoi dati potranno essere comunicati ai soggetti che per finalità di evasione delle richieste debbano fornire beni o eseguire su incarico del Titolare prestazioni o servizi ed in particolare, a:
- Medici o altro personale sanitario esterno autorizzato operante presso il Titolare, nel rispetto delle normative in tema di salute pubblica.
- Centri medici che collaborano con il Titolare per l’esecuzione di alcuni trattamenti specialistici e analisi di laboratorio.
I soggetti esterni che operano sotto l’autorità del Titolare sono stati anch’essi opportunamente autorizzati in base al tipo di prestazione fornita, al trattamento effettuato, alla natura dei dati trattati.
I soggetti esterni ai quali il Titolare ha affidato un trattamento di dati personali e che sono stati designati Responsabili di trattamento.
Infine, possono essere comunicati ai soggetti legittimati ad accedervi in forza di disposizioni di legge, regolamenti, normative comunitarie. ASL competenti e alla Regione, per esigenze gestionali, amministrative, contabili, di rimborso delle prestazioni offerte o di altri adempimenti previsti espressamente da leggi e/o regolamenti vigenti in materia.
In particolare, possono essere comunicati a:
· Pubbliche Amministrazioni (es. ASL competente, Regione, Ministero);
· CSI;
· Ospedali;
· Organi dell’amministrazione ispettiva;
· Assicurazioni;
· Farmacie, per gestione del carico farmaci;
Modalita’ di trattamento dei dati personali
Il trattamento dei dati avverrà con il supporto di mezzi cartacei, informatici o telematici con logiche strettamente correlate alle finalità del trattamento e al tipo di dato trattato, nel rispetto dei principi di necessità e pertinenza adottando idonee misure di sicurezza.
La protezione dei dati è garantita dall’adozione di misure di sicurezza finalizzate a consentire l’accesso e l’utilizzo dei dati ai soli operatori autorizzati al fine di garantire lo svolgimento di attività sanitarie ed amministrative correlate agli scopi di tutela della salute previsti dalla normativa regionale di settore. Il trattamento dei dati può avvenire anche mediante l’utilizzo di appositi strumenti elettronici (quali dossier sanitario elettronico, registro terapie e fascicolo sanitario elettronico ‐ FSE/CSS.
Trasferimento dei dati
In nessun caso il Titolare del trattamento trasferisce i dati personali in paesi terzi o a organizzazioni internazionali. Tuttavia, si riserva la possibilità di utilizzare servizi in cloud; nel qual caso, i fornitori dei servizi saranno selezionati tra coloro che forniscono garanzie adeguate, così come previsto dall’art. 46 GDPR 2016/679.
Conservazione dei dati
Il Titolare del trattamento conserva e tratta i dati personali per il tempo necessario al perseguimento delle finalità indicate. Successivamente, i dati personali saranno conservati, e non ulteriormente trattati, per il tempo stabilito da prescrizione amministrativa o altro termine di legge applicabile da normativa vigente.
Si rende noto, a tal proposito, che le cartelle sanitarie sono per legge soggette a conservazione senza limiti temporali.
Revoca del consenso
Con riferimento all’art. 7 del GDPR 2016/679, il paziente può revocare in qualsiasi momento il consenso prestato relativamente ai trattamenti dei quali costituisce base legale (finalità 15 e 16). La revoca del consenso determina la cessazione del trattamento al quale si riferisce.
Conferimento dei dati
Il conferimento dei dati personali (anche particolari) del paziente è facoltativo. Tuttavia, sebbene facoltativi, i dati personali richiesti sono indispensabili per la gestione degli aspetti organizzativi e sanitari legati all’esecuzione del rapporto contrattuale, pertanto il loro mancato conferimento potrebbe impedire l’accesso ai servizi richiesti compromettendo in tutto o in parte la fruizione degli stessi.
Il conferimento di dati sulla salute, sebbene sia facoltativo, è indispensabile per ottenere la prestazione richiesta, pertanto, una loro parziale o inadeguata comunicazione potrebbe impedire l’effettuazione della prestazione o comprometterne il risultato.
Il conferimento di ulteriori dati (recapiti telefonici, e-mail) è facoltativo, tuttavia il mancato conferimento può compromettere in tutto o in parte l’erogazione dei servizi e la comunicazione con gli aventi causa.
Il conferimento dei dati è obbligatorio per il perseguimento delle finalità amministrative e socio-sanitarie previste da norme di legge e di regolamento.
Proposizione di reclamo
Ciascun interessato ha il diritto di proporre reclamo all’autorità di controllo dello stato di residenza.
Processi decisionali automatizzati
In nessun caso il Titolare effettua trattamenti che consistono in processi decisionali automatizzati sui dati personali oggetto di trattamento.