Informativa Privacy Paziente Istituti Clinici Zucchi Monza - Wellness Clinic
ai sensi dell’art. 13, Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
Gentile Signora/ Egregio Signore,
Gli Istituti Clinici Zucchi S.p.A.., con sede legale a Monza, via Bartolomeo Zucchi, n. 24, e-mail , dirgen.zucchi@grupposandonato.it, in persona del legale rappresentante, in qualità di titolare del trattamento dei dati personali (il “Titolare”), intende fornire ai propri pazienti (l’“Interessato” o collettivamente gli “Interessati”) le specifiche informazioni sul trattamento dei dati personali che si rendono necessarie con riferimento all’ attività che complessivamente può essere esercitata anche all’interno delle sue articolazioni territoriali di Carate Brianza, con sede operativa in Piazza Madonnina, 1, Carate Brianza (MB) e di Brughiero, con sede operativa in via Tre Re, 37, Brughiero (MB), nonché nella Wellness Clinic, sita in Via Andrea Appiani, 17, Monza, in quanto correlata al servizio di prevenzione, cura, diagnosi, riabilitazione, e assistenza o terapia sanitaria o sociale che Lei intendesse richiedere, ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (“GDPR”) e del Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, “Codice Privacy”).
Il Titolare ha nominato, inoltre, un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: rpd.icz@grupposandonato.it .
1. Dati personali oggetto del trattamento
Il Titolare tratterà i Suoi dati personali comuni, raccolti in occasione e nell’ambito della Sua richiesta di accedere alle prestazioni di prevenzione, cura, diagnosi, riabilitazione, assistenza o terapia sanitaria o sociale, erogate dal Titolare, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono mobile, indirizzo e-mail e, in generale, i Suoi dati di contatto (i “Dati Comuni”).
Il Titolare tratterà anche Suoi dati relativi a particolari categorie di cui all’art. 9 del GDPR, vale a dire dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi allo stato di salute e alla vita sessuale (i “Dati Particolari”) (i Dati Comuni e i Dati Particolari, di seguito, congiuntamente, i “Dati Personali”).
2. Finalità e base giuridica del trattamento
I Suoi Dati Personali sono/saranno trattati nell'ambito della normale attività del Titolare, per le finalità e sulle basi giuridiche di seguito indicate:
a) finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale, ai sensi degli artt. 6, par. 1, let. e) e 9, par. 2, lett. h) del GDPR;
b) sulla base di un interesse pubblico rilevante ai sensi dell’art. 2-sexies del Codice Privacy, con riferimento agli specifici dati personali, operazioni eseguibili e misure appropriate e specifiche per tutelare i diritti degli interessati determinati dalla legge o da regolamenti di legge, per
- b1) lo svolgimento di attività amministrative e certificatorie strettamente connesse alle, ed essenziali per, il raggiungimento delle finalità di prevenzione, cura, diagnosi, riabilitazione, assistenza o terapia sanitaria o sociale sopra indicate, ivi incluse quelle correlate ai trapianti di organo e di tessuti e alle trasfusioni di sangue umano, nonché alla gestione dei rapporti con il paziente, nelle fasi di accettazione e prenotazione di visite ed esami;
- b2) svolgere compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
- b3) finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra i soggetti interessati e l’amministrazione del Titolare.
c) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici sulla base del diritto dell’Unione Europea o del diritto nazionale, che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale, ai sensi dell’art. 9, par. 2, lett. i), del GDPR;
d) per adempiere a obblighi previsti da leggi, regolamenti e dalla normativa comunitaria, ai sensi degli artt. 6, lett. c) e 9, par. 2, lett. b), del GDPR;
e) per far valere o difendere un diritto in giudizio o in una fase propedeutica al giudizio, ai sensi dell’art. 9 par. 2, lett. f), del GDPR;
f) per finalità ulteriori di ricerca scientifica, in particolare per studi osservazionali, ai sensi dell’art. 9 par. 2, lett. j) del GDPR;
g) svolgimento di indagini di customer satisfaction in ambito sanitario ai sensi degli art. 6, par 1 let.e) e 9, par.2, let. i) del GDPR.
I Dati Personali raccolti per le finalità di cui alla lettera a) che precede, saranno trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da altri soggetti all’obbligo di segretezza conformemente al diritto dell’Unione Europea o del diritto nazionale o alle norme stabilite dagli organismi nazionali competenti, ai sensi dell’art. 9, par. 3, del GDPR.
Per le finalità di cui alle lettere a), b), c), d), e), f) e g) non viene richiesto all’Interessato un consenso preventivo, in quanto il trattamento è necessario e legittimato da una delle basi giuridiche sopra indicate.
I Dati Personali sono/saranno altresì trattati, nell'ambito della normale attività del Titolare, e solo previo Suo specifico consenso, per le ulteriori finalità e sulle basi giuridiche di seguito indicate:
h) per la comunicazione delle informazioni sul Suo stato di salute a soggetti terzi, da Lei specificamente indicati, ove applicabile;
i) per la comunicazione della Sua presenza in struttura a soggetti terzi (es. familiari o conoscenti), da Lei indicati specificamente, ove applicabile;
j) per la comunicazione, in modalità cartacea e/o telematica, dei suoi Dati Personali a compagnie assicurative private che ne facciano richiesta, al fine di gestire pratiche relative a polizze assicurative da Lei stipulate. Potranno essere oggetto di comunicazione anche dati garantiti da maggior tutela dell’anonimato (ad esempio, dati relativi a infezione da HIV o interruzione volontaria della gravidanza);
k) con esclusivo riferimento ai Dati Comuni, per conto ed in nome di GSD Foundation, per attività di promozione ed informazione – in ambito clinico/scientifico – anche con il fine di sensibilizzare la raccolta fondi per il sostegno e per lo sviluppo della ricerca scientifica.
Per le finalità di cui alle lettere h), i), j) e k) sopra indicate, la base di legittimità dei trattamenti è il Suo specifico consenso ex art. 6, par. 1, lett. a) e, ove applicabile, ex art. 9, par. 2, lett. a), del GDPR. Questo potrà essere raccolto oralmente dal personale autorizzato del Titolare che provvederà a documentare la Sua volontà annotandola sul Sistema Informatico Ospedaliero, oppure raccolto per iscritto.
3. Fascicolo Sanitario Elettronico (FSE)
La informiamo che con il suo esplicito consenso può rendere disponibili i Suoi dati e documenti sanitari, che vengono formati, integrati e aggiornati nel tempo da più soggetti, in modo da documentare, in prospettiva, la Sua intera storia clinica, attraverso lo strumento del Fascicolo Sanitario Elettronico (“FSE”).
Il FSE è un utilissimo strumento al fine di offrire all’organismo sanitario che la assiste, al medico e a Lei stesso una migliore valutazione del caso, attraverso una più efficace ricognizione dei dati clinici.
Per ulteriori informazioni sul FSE consulti l’informativa sul trattamento dei dati personali per il Fascicolo Sanitario Elettronico predisposta dalla Regione Lombardia (“Informativa FSE Lombardia”) consultabile sul sito di Regione Lombardia https://www.fascicolosanitario.regione.lombardia.it/fascicolo
Per prestare, revocare i consensi e gestire le autorizzazioni e gli oscuramenti relativi al Suo FSE può accedere online tramite il sito FSE della Regione Lombardia all’interno dell’area denominata “Privacy FSE”, dal seguente indirizzo: https://www.fascicolosanitario.regione.lombardia.it/fascicolo oppure tramite l’APP SALUTILE Referti.
In relazione ai trattamenti relativi al FSE, il Titolare La informa che è disponibile specifica informativa al Sito https://www.grupposandonato.it/strutture/istituti-clinici-zucchi-monza
4. Natura del conferimento dei dati e conseguenze dell'eventuale rifiuto di rispondere
Salvo i casi di urgenza e/o emergenza sanitaria, il conferimento dei dati richiesti per le finalità di cura della salute e quelle amministrative a queste strettamente correlate, indicate al paragrafo 2, lettere a) e b1), nonché il conferimento dei dati per le finalità indicate al medesimo paragrafo 2, alle lettere b2), b3), c), d), e), f) e g) è indispensabile; il mancato conferimento potrebbe rendere impossibile all'interessato l'accesso alle prestazioni sanitarie.
Il mancato consenso al trattamento dei dati per le finalità indicate alle lettere h), i), j) e k) invece, non impedisce l'accesso alla prestazione sanitaria, ma renderà esclusivamente impossibile per il Titolare effettuare il relativo trattamento.
5. Modalità del trattamento
Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e, comunque, garantendo la riservatezza e sicurezza dei dati stessi, nonchè il rispetto degli obblighi specifici sanciti dalla legge.
La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla Normativa Privacy Applicabile, per assicurare la conformità alle misure di garanzia del Garante per la protezione dei dati personali e alle pertinenti disposizioni di settore.
Il trattamento è svolto ad opera di soggetti appositamente autorizzati dal Titolare e in ottemperanza a quanto previsto dall’art. 29 GDPR.
6. Conservazione dei dati personali
I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lettera c) del GDPR, nonché gli obblighi di legge cui è tenuto il Titolare.
Il Titolare fa riferimento ai tempi stabiliti nel Massimario di scarto “Versione 04” del “Titolario e Massimario del Sistema Sociosanitario Lombardo, già Sistema Sanitario e Sociosanitario di Regione Lombardia”, approvato con Decreto del D.G. Welfare n. 15229 del 1 dicembre 2017 e ss.ii.mm.., adottato da Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato.
7. Ambito di circolazione dei dati personali
I Suoi Dati Personali non sono/saranno oggetto di diffusione (intendendosi per tale, il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione), fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione accertamento o repressione di reati.
Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 2, il Titolare potrebbe comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a:
-
persone fisiche autorizzate dal Titolare al trattamento di dati personali ex art. 29 GDPR in ragione dell’espletamento delle loro mansioni lavorative;
-
soggetti terzi, nell’ambito di un rapporto contrattuale o convenzionale con il Titolare, per consentire l’esecuzione di alcune prestazioni sanitarie in favore dell’interessato da parte di soggetti esterni altamente qualificati per quella specifica prestazione, i quali agiranno tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR ovvero, in specifiche situazioni, in qualità di titolari o contitolari del trattamento;
-
organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi di trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità;
-
fornitori di servizi strettamente correlati e funzionali all’attività del Titolare, quali consulenti e fornitori esterni (enti certificatori, la società di gestione dell’archivio delle cartelle cliniche, gestione delle conferme telefoniche delle prenotazioni di esami e/o visite, fornitori di servizi IT per la gestione dell’infrastruttura tecnologica, dei sistemi informativi e delle reti di telecomunicazione), i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR; l’elenco dei responsabili nominati può essere richiesto al Titolare rivolgendosi ai recapiti sopra indicati;
-
enti assicurativi e fondi sanitari che concorrono a coprire il costo della/e prestazione/i sanitaria/e erogata/e.
Il Titolare, inoltre, potrà comunicare a strutture di ricovero o residenziali alcune informazioni che La riguardano, per valutare se dette strutture siano idonee, o meno, ad accogliere l’Interessato al fine di intraprendere percorsi post-dimissione, di assistenza continuativa o di attivazione di assistenza domiciliare, fatto salvo, in ogni caso e in ogni momento, il diritto di opposizione dell’Interessato.
I Dati Personali potrebbero essere comunicati a società controllate e collegate del Titolare per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.
Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR.
Previo Suo specifico e preventivo consenso, i Suoi Dati Personali potranno essere comunicati anche a soggetti terzi aventi diritto ed a chiunque l’Interessato indichi espressamente.
La informiamo, altresì, che eventuali controversie per responsabilità civile – compresa quella per responsabilità professionale sanitaria – verranno gestite, in nome e per conto del Titolare, da GSD Sistemi e Servizi S.C. a r.l., con sede in Via Federico Fellini, 4, 20097 San Donato Milanese (MI), a cui verranno comunicati tutti i Dati Personali, anche appartenenti alle particolari categorie di cui all’art. 9 del GDPR, che riguardano l’evento oggetto di controversia. GSD Sistemi e Servizi S.C. a r.l. è stata nominata dal Titolare Responsabile del trattamento dei dati personali ex art. 28 del GDPR.
Nel caso in cui l’Interessato dovesse rilasciare il consenso al trattamento dei Suoi Dati Personali per i fini di “promozione e informazione” in ambito sanitario di cui alla lettera l) del paragrafo 2, gli stessi verranno raccolti, in nome e per conto di GSD Foundation con sede in Milano, Corso di Porta Vigentina n. 18, e comunicati alla stessa; la struttura è nominata Responsabile del trattamento ex art. 28 del GDPR per tale trattamento dei dati effettuato per conto di GSD Foundation, Titolare. L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.
I Suoi Dati Personali non sono/saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario e/o inevitabile per esigenze organizzative del Titolare, si rende noto che l’eventuale trattamento avverrà esclusivamente verso Paesi considerati sicuri dalla Commissione Europea o, in ogni caso, secondo una delle modalità consentite dalla Normativa Privacy Applicabile, quali ad esempio il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea e la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA Privacy Shield).
Maggiori informazioni sono disponibili presso il Titolare o al DPO scrivendo agli indirizzi sopraindicati.
8. Diritti dell'Interessato
Lei ha il diritto di accedere in qualunque momento ai dati che La riguardano, ai sensi degli artt. 15-22 GDPR. In particolare, potrà chiedere la rettifica, la cancellazione, la limitazione del trattamento dei dati stessi nei casi previsti dall'art. 18 del GDPR, la revoca del consenso prestato ai sensi dell’art. 7 del GDPR, ottenere la portabilità dei dati che La riguardano nei casi previsti dall'art. 20 del GDPR, nonché proporre reclamo all'autorità di controllo competente ex articolo 77 del GDPR (Garante per la Protezione dei Dati Personali).
Lei può formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare la Sua istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà.
Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.