ai sensi dell'art. 13 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016

Gentile Signora/ Egregio Signore,

il Policlinico San Donato S.p.A., con sede legale in San Donato Milanese, via Morandi, n. 30, e-mail info.psd@grupposandonato.it , in persona del legale rappresentante pro-tempore, in qualità di titolare del trattamento dei dati personali (il “Titolare”), intende fornire  ai propri pazienti (l’“Interessato” o collettivamente gli “Interessati”) le specifiche informazioni sul trattamento dei dati personali che si rendono necessarie con riferimento all’ attività che complessivamente può essere esercitata all’interno della struttura sanitaria del Titolare, in quanto correlata al servizio di prevenzione, cura, diagnosi,  riabilitazione, e assistenza o terapia sanitaria o sociale che Lei intendesse richiedere, ai sensi dell’art. 13 del Regolamento (UE) 2016/679 e del Decreto Legislativo n. 196/2003, come modificato dal Decreto Legislativo n. 101/2018 (di seguito, “Codice Privacy”).

Il Titolare ha nominato, inoltre, un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: rpd.psd@grupposandonato.it .

1. Dati personali oggetto del trattamento

Il Titolare tratterà i Suoi dati personali comuni, raccolti in occasione e nell’ambito della Sua richiesta di accedere alle prestazioni di prevenzione, cura, diagnosi, riabilitazione, assistenza o terapia sanitaria o sociale, erogate dal Titolare, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono mobile, indirizzo e-mail e, in generale, i Suoi dati di contatto (i “Dati Comuni”).

Il Titolare tratterà anche Suoi dati relativi a particolari categorie di cui all’art. 9 del GDPR, vale a dire dati idonei a rivelare, tra l’altro, l’origine razziale ed etnica, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi allo stato di salute e alla vita sessuale (i “Dati Particolari”) (i Dati Comuni e i Dati Particolari, di seguito, congiuntamente, i “Dati Personali”).

2. Finalità e base giuridica del trattamento

I Suoi Dati Personali sono/saranno trattati nell'ambito della normale attività del Titolare, per le finalità e sulle basi giuridiche di seguito indicate:

1. finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale, ai sensi degli artt. 6, par. 1, lett. e) e 9, par. 2, lett. h) del GDPR;
2. sulla base di un interesse pubblico rilevante ai sensi dell’art. 2-sexies del Codice Privacy, con riferimento agli specifici dati personali, operazioni eseguibili e misure appropriate e specifiche per tutelare i diritti degli interessati determinati dalla legge o da regolamenti di legge, per

b1)      lo svolgimento di attività amministrative e certificatorie strettamente connesse alle, ed essenziali per, il raggiungimento delle finalità di prevenzione, cura, diagnosi, riabilitazione, assistenza o terapia sanitaria o sociale sopra indicate, ivi incluse quelle correlate ai trapianti di organo e di tessuti e alle trasfusioni di sangue umano, nonché alla gestione dei rapporti con il paziente, nelle fasi di accettazione, prenotazione di visite ed esami, registrazione delle esenzioni, certificatorie relative allo stato di salute;

b2)      svolgere compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica;

b3)      finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, ivi incluse l’instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra i soggetti interessati e l’amministrazione del Titolare;

3. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici sulla base del diritto dell’Unione Europea o del diritto nazionale, che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale, ai sensi dell’art. 9, par. 2, lett. i), del GDPR;
4. per adempiere a obblighi previsti da leggi, regolamenti e dalla normativa comunitaria, ai sensi degli artt. 6, lett. c) e 9, par. 2, lett. b), del GDPR;
5. per far valere o difendere un diritto in giudizio o in una fase propedeutica al giudizio, ai sensi dell’art. 9 par. 2, lett. f), del GDPR;
6. per finalità ulteriori di ricerca scientifica, in particolare per studi osservazionali, ai sensi dell’art. 9  par. 2, lett. j), del GDPR e 110-bis comma 4 del D.lgs. 196/2003;
7. per consentire il ricontatto del paziente tramite email, in relazione a trattamenti sanitari già intrapresi, anche con finalità di prevenzione da attuarsi con cadenza periodica, nonché per attività di promozione e informazione di servizi analoghi a quelli già fruiti, ai sensi dell’art. 130 comma 4 del D.lgs. 196/2003. L’interessato può opporsi in ogni momento a questo trattamento, scrivendo al Titolare ai recapiti indicati in epigrafe o utilizzando l’opzione di disiscrizione contenuta nel footer delle email;
8. per lo svolgimento di indagini di customer satisfaction in ambito sanitario ai sensi degli art. 6, par 1 lett. e) e 9, par.2, lett. i) del GDPR. L’utente, a seguito della prestazione ricevuta, riceverà un sms sul numero di telefono fornito al momento dell’accettazione, con cui potrà scegliere se partecipare o meno all’indagine e decidere liberamente se fornire o meno al Titolare maggiori dettagli sulla sua esperienza, anche attraverso il ricontatto telefonico. Il conferimento di tali ulteriori informazioni è del tutto facoltativo. Esse verranno in ogni caso distrutte o rese anonime subito dopo la raccolta e comunque non oltre la registrazione.

I Dati Personali raccolti per le finalità di cui alla lettera a) che precede, saranno trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale o da altri soggetti all’obbligo di segretezza conformemente al diritto dell’Unione Europea o del diritto nazionale o alle norme stabilite dagli organismi nazionali competenti, ai sensi dell’art. 9, par. 3, del GDPR. Per le finalità di cui alle lettere a), b), c), d), e), f), g) e h) non viene richiesto all’Interessato un consenso preventivo, in quanto il trattamento è necessario e legittimato da una delle basi giuridiche sopra indicate.

I Dati Personali sono/saranno altresì trattati, nell'ambito della normale attività del Titolare, e solo previo Suo specifico consenso, per le ulteriori finalità e sulle basi giuridiche di seguito indicate:

1. per la comunicazione delle informazioni sul Suo stato di salute a soggetti terzi, da Lei specificamente indicati, ove applicabile;

10. per la comunicazione della Sua presenza in struttura a soggetti terzi (es. familiari o conoscenti), da Lei indicati specificamente, ove applicabile;
11. per la comunicazione, in modalità cartacea e/o telematica, dei suoi Dati Personali a compagnie assicurative private che ne facciano richiesta, al fine di gestire pratiche relative a polizze assicurative da Lei stipulate. Potranno essere oggetto di comunicazione anche dati garantiti da maggior tutela dell’anonimato (ad esempio, dati relativi a infezione da HIV o interruzione volontaria della gravidanza);

50. con esclusivo riferimento ai Dati Comuni, per conto ed in nome di GSD Foundation, per attività di promozione ed informazione – in ambito clinico/scientifico – anche con il fine di sensibilizzare la raccolta fondi per il sostegno e per lo sviluppo della ricerca scientifica.

Per le finalità di cui alle lettere i), j), k) e l) sopra indicate, la base di legittimità dei trattamenti è il Suo specifico consenso ex art. 6, par. 1, lett. a) e, ove applicabile, ex art. 9, par. 2, lett. a), del GDPR. Questo potrà essere raccolto oralmente dal personale autorizzato del Titolare che provvederà a documentare la Sua volontà annotandola sul Sistema Informatico Ospedaliero, oppure raccolto per iscritto.

3. Fascicolo Sanitario Elettronico (FSE)

La informiamo che con il suo esplicito consenso può rendere disponibili i Suoi dati e documenti sanitari, che vengono formati, integrati e aggiornati nel tempo da più soggetti, in modo da documentare, in prospettiva, la Sua intera storia clinica, attraverso lo strumento del Fascicolo Sanitario Elettronico (“FSE”).

Il FSE è un utilissimo strumento al fine di offrire all’organismo sanitario che la assiste, al medico e a Lei stesso una migliore valutazione del caso, attraverso una più efficace ricognizione dei dati clinici.

Per ulteriori informazioni sul FSE consulti l’informativa sul trattamento dei dati personali per il Fascicolo Sanitario Elettronico predisposta dalla Regione Lombardia (“Informativa FSE Lombardia”) consultabile sul sito di Regione Lombardia https://www.fascicolosanitario.regione.lombardia.it/fascicolo.

Per prestare, revocare i consensi e gestire le autorizzazioni e gli oscuramenti relativi al Suo FSE può accedere online tramite il sito FSE della Regione Lombardia all’interno dell’area denominata “Privacy FSE”, dal seguente indirizzo: https://www.fascicolosanitario.regione.lombardia.it/fascicolo oppure tramite l’APP SALUTILE Referti.

In relazione ai trattamenti relativi al FSE, il Titolare La informa che è disponibile specifica informativa al Sito https://www.grupposandonato.it/strutture/policlinico-san-donato

4. Natura del conferimento dei dati e conseguenze dell'eventuale rifiuto di rispondere

Salvo i casi di urgenza e/o emergenza sanitaria, il conferimento dei dati richiesti per le finalità di cura della salute e quelle amministrative a queste strettamente correlate, indicate al paragrafo 2, lettere a) e b1), nonché il conferimento dei dati per le finalità indicate al medesimo paragrafo 2, alle lettere b2), b3), c), d), e), f), g) e h) è indispensabile; il mancato conferimento potrebbe rendere impossibile all'interessato l'accesso alle prestazioni sanitarie. Il mancato consenso al trattamento dei dati per le finalità indicate alle lettere i), j), k) ed l), invece, non impedisce l'accesso alla prestazione sanitaria, ma renderà esclusivamente impossibile per il Titolare effettuare il relativo trattamento.

5. Modalità del trattamento

Il trattamento dei Dati Personali avverrà – secondo i principi correttezza, liceità e trasparenza – tramite supporti e/o strumenti informatici, manuali e/o telematici, con logiche strettamente correlate alle finalità del trattamento e, comunque, garantendo la riservatezza e sicurezza dei dati stessi, nonché il rispetto degli obblighi specifici sanciti dalla legge.

La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla Normativa Privacy Applicabile, per assicurare la conformità alle misure di garanzia del Garante per la protezione dei dati personali e alle pertinenti disposizioni di settore.

Il trattamento è svolto ad opera di soggetti appositamente autorizzati dal Titolare e in ottemperanza a quanto previsto dall’art. 29 GDPR.

6. Conservazione dei dati personali 

I Dati Personali saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lett. c) del GDPR, nonché gli obblighi di legge cui è tenuto il Titolare.

Il Titolare fa riferimento ai tempi stabiliti nel Titolario e Massimario del Sistema Sociosanitario Lombardo, adottato da Regione Lombardia che si applica a tutto il Sistema Sociosanitario Lombardo e che si intende nella presente informativa integralmente richiamato.

7. Ambito di circolazione dei dati personali

I Suoi Dati Personali non sono/saranno oggetto di diffusione (intendendosi per tale, il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione), fatta salva l'ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione accertamento o repressione di reati.

Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente paragrafo 2, il Titolare potrebbe comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute, a:

• persone fisiche autorizzate dal Titolare al trattamento di dati personali ex art. 29 GDPR in ragione dell’espletamento delle loro mansioni lavorative;

-          soggetti terzi, nell’ambito di un rapporto contrattuale o convenzionale con il Titolare, per consentire l’esecuzione di alcune prestazioni sanitarie in favore dell’interessato da parte di soggetti esterni altamente qualificati per quella specifica prestazione, i quali agiranno tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR ovvero, in specifiche situazioni, in qualità di titolari o contitolari del trattamento;

-          organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi di trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità;

-          fornitori di servizi strettamente correlati e funzionali all’attività del Titolare, quali consulenti e fornitori esterni (enti certificatori, la società di gestione dell’archivio delle cartelle cliniche, gestione delle conferme telefoniche delle prenotazioni di esami e/o visite, fornitori di servizi IT per la gestione dell’infrastruttura tecnologica, dei sistemi informativi e delle reti di telecomunicazione), i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR; l’elenco dei responsabili nominati può essere richiesto al Titolare rivolgendosi ai recapiti sopra indicati.

Il Titolare, inoltre, potrà comunicare a strutture di ricovero o residenziali alcune informazioni che La riguardano, per valutare se dette strutture siano idonee, o meno, ad accogliere l’Interessato al fine di intraprendere percorsi post-dimissione, di assistenza continuativa o di attivazione di assistenza domiciliare, fatto salvo, in ogni caso e in ogni momento, il diritto di opposizione dell’Interessato.

I Dati Personali potrebbero essere comunicati a società controllate e collegate del Titolare per finalità amministrative e contabili, intendendosi per tali quelle connesse all’attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.

Tali soggetti agiranno, di regola, quali autonomi Titolari delle rispettive operazioni di trattamento, salvo il caso in cui agiscano per conto del Titolare in qualità di Responsabili del trattamento e abbiano pertanto sottoscritto un apposito contratto che disciplini puntualmente i trattamenti loro affidati, ai sensi dell’art. 28 del GDPR.

Previo Suo specifico e preventivo consenso, i Suoi Dati Personali potranno essere comunicati anche a soggetti terzi aventi diritto ed a chiunque l’Interessato indichi espressamente.

La informiamo, altresì, che eventuali controversie per responsabilità civile – compresa quella per responsabilità professionale sanitaria – verranno gestite, in nome e per conto del Titolare, da GSD Sistemi e Servizi S.C. a r.l., con sede in Via Federico Fellini, 4, 20097 San Donato Milanese (MI), a cui verranno comunicati tutti i Dati Personali, anche appartenenti alle particolari categorie di cui all’art. 9 del GDPR, che riguardano l’evento oggetto di controversia. GSD Sistemi e Servizi S.C. a r.l. è stata nominata dal Titolare Responsabile del trattamento dei dati personali ex art. 28 del GDPR.

Nel caso in cui l’Interessato dovesse rilasciare il consenso al trattamento dei Suoi Dati Personali per i fini di “promozione e informazione” in ambito sanitario di cui alla lettera l) del paragrafo 2, gli stessi verranno raccolti, in nome e per conto di GSD Foundation con sede in Milano, Corso di Porta Vigentina n. 18, e comunicati alla stessa; la struttura è nominata Responsabile del trattamento ex art. 28 del GDPR per tale trattamento dei dati effettuato per conto di GSD Foundation, Titolare. L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti sopra indicati.

I Suoi Dati Personali non sono/saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione europea od organizzazioni internazionali. Qualora tale trasferimento dovesse rendersi necessario e/o inevitabile per esigenze organizzative del Titolare, si rende noto che l’eventuale trattamento avverrà esclusivamente verso Paesi considerati sicuri dalla Commissione Europea o, in ogni caso, secondo una delle modalità consentite dalla Normativa Privacy Applicabile, quali ad esempio il consenso dell’interessato, l’adozione di Clausole Standard approvate dalla Commissione Europea e la selezione di soggetti aderenti a programmi internazionali per la libera circolazione dei dati (es. EU-USA Privacy Shield).

Maggiori informazioni sono disponibili presso il Titolare o al DPO scrivendo agli indirizzi sopraindicati.

8. Diritti dell'Interessato

Ai sensi degli articoli dal 15 al 22 del GDPR, Lei ha il diritto di:

-          ottenere, da parte del Titolare, la conferma che sia o meno in corso un trattamento di dati personali che la riguardano e in tal caso, ottenere l’accesso ai suoi dati, nonché, qualora i dati non siano raccolti presso l’Interessato, ricevere tutte le informazioni disponibili sulla loro origine;

-          conoscere le finalità del trattamento, le categorie dei dati in questione, i destinatari o le categorie di destinatari cui i dati sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, il periodo di conservazione dei dati previsto o i criteri utilizzati per determinare tale periodo;

-          chiedere al Titolare la rettifica, la cancellazione dei dati o la limitazione del trattamento dei dati che la riguardano;

-          opporsi al trattamento dei dati, fatto salvo il diritto del Titolare di valutare la Sua istanza, che potrebbe non essere accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui Suoi interessi, diritti e libertà;

-          revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso prestato prima della revoca;

-          essere messo a conoscenza dell’esistenza di un processo decisionale automatizzato, compresa la profilazione;

-          ottenere la portabilità dei dati, nei casi previsti dalla legge;

-          proporre reclamo all’autorità di controllo (Garante Privacy).

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati