Azienda Ospedaliero Universitaria Careggi

REGOLAMENTO EUROPEO PER LA PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI (N.2016/679, RGPD)

Informazioni ai sensi degli art. 13-14 del RGPD

Trattamento dei dati personali
Si parla di trattamento di dati personali in riferimento ad ogni operazione compiuta sui dati personali. Sono dati personali le informazioni (come dati anagrafici, recapito, numero di tessera sanitaria, codice fiscale, ecc. o altri dati particolari, quali ad es. le informazioni sullo stato di salute) che riguardano una persona fisica, il cd. interessato. Tali dati sono:

• utilizzati dal personale autorizzato nel rispetto del segreto professionale, del segreto d’ufficio e dei diritti e delle libertà fondamentali della persona, con particolare riferimento alla riservatezza e alla protezione dei dati personali, nonché della dignità individuale
• raccolti per finalità determinate e per le ulteriori finalità con esse compatibili
• conservati per il periodo di tempo necessario al conseguimento delle finalità suddette ovvero per il maggior periodo di tempo stabilito dalle normative di settore
• trattati nel rispetto dei principi di liceità, correttezza e trasparenza
• adeguati, pertinenti e limitati rispetto alle finalità per cui sono raccolti
• esatti e, se necessario, aggiornati

Finalità e base giuridica del trattamento dei dati
Il titolare del trattamento è il soggetto che, singolarmente o assieme ad altri, determina le finalità (o, più propriamente, per i soggetti pubblici, attua le finalità istituzionali attribuite) ed i mezzi del trattamento dei dati personali. Il Titolare, ovvero l’Azienda, può lecitamente trattare i dati solo quando il trattamento ha una specifica base giuridica, ed è funzionale ad attività che sono ricomprese tra le proprie finalità istituzionali, nel rispetto della vigente normativa. In generale, le informazioni sono trattate dall’Azienda per i seguenti scopi:

• tutela della salute (attività di diagnosi, cura, riabilitazione ), anche nell’ambito di percorsi di cura integrati che coinvolgano altri soggetti/ strutture sanitarie pubbliche o private
• adempimenti amministrativi, gestionali e contabili legati alla prestazione ricevuta
• tutela dell’incolumità fisica e della salute di terzi e della collettività
• attivazione e alimentazione di registri di patologia istituiti a livello nazionale o regionale
• gestione di reclami/esposti/contenzioso
• attività didattiche e di formazione professionale (l’utilizzo di riprese foto-video richiede che le immagini siano acquisite anonime, o che si proceda ad una loro compiuta anonimizzazione prima dell’utilizzo)
• videosorveglianza
• altre finalità di rilevante interesse pubblico previste dalla normativa (programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, indagini per rilevare l’esperienza e il grado di soddisfazione dell’utente ecc.)
• altri adempimenti previsti da norme di legge o di regolamento

I dati che vengono raccolti e che l’interessato fornisce alla nostra Azienda sono indispensabili per l’erogazione e la gestione delle prestazioni sanitarie richieste.

Per trattare dati di salute al fine di erogare la prestazione (sempre che non siano trattati dati genetici), non è necessario il consenso al trattamento da parte dell’interessato. Ulteriori trattamenti di dati relativi alla salute saranno effettuati mettendo a disposizione dell’interessato informazioni integrative e chiedendo uno specifico ed esplicito consenso. Si tratta ad esempio di:

• implementazione del Dossier Sanitario Elettronico o del Fascicolo Sanitario Elettronico
• implementazione di alcuni registri di patologia
• scopi di ricerca scientifica anche nell’ambito delle sperimentazioni cliniche (tranne alcuni casi specifici previsti dalla legge)
• comunicazione di dati al medico di fiducia o ad altri soggetti

Nel caso in cui un soggetto esterno svolga attività per conto dell’Azienda, il trattamento dei dati personali necessari si svolge sulla base di un contratto che precisa le rispettive responsabilità nel trattamento e costitusce la base giuridica che lo consente. Tali soggetti sono individutati quali Responsabili del trattamento, e sono ricondotti nell’ambito di trattamento del titolare: la messa a disposizione di dati personali a tali soggetti non richiede il consenso dell’interessato.

Nell’ambito della teleassistenza/telemedicina o anche delle second opinion in ambito laboratoristico o di diagnostica per immagini, la trasmissione di dati ad altra Azienda sanitaria non richiede ordinariamente uno specifico consenso (in quanto normalmente si tratta o di percorsi stabilmente integrati e condivisi per i quali si realizza una situazione di contitolarità del trattamento, oppure tra le due strutture si stabilisce un rapporto Titolare/Responsabile).

A chi possono essere comunicati i dati
I dati relativi alllo stato di salute non sono oggetto di diffusione (non possono cioè essere resi noti ad un numero indeterminato di soggetti); possono invece essere comunicati, nei casi previsti da norme di legge o di regolamento, a soggetti pubblici e privati, enti ed istituzioni per il raggiungimento delle rispettive finalità. A titolo di esempio, si riportano alcuni soggetti cui l’Azienda può comunicare dati personali:

• Regione Toscana
• Ministero della Salute
• Azienda sanitaria di residenza
• Comune di residenza (es. dati relativi a nascite e decessi, trattamenti sanitari obbligatori)
• Forze dell’Ordine ed Autorità Giudiziaria
• soggetti qualificati ad intervenire in controversie in cui è parte l’Azienda (compagnie assicurative, studi legali ecc.)
• Enti previdenziali INPS/INAIL per gli scopi connessi ai diritti della persona assistita

Le persone ricoverate presso le strutture dell’Azienda o che accedono al Pronto Soccorso hanno il diritto di: comunicare le informazioni sullo stato di salute solo ai soggetti da esse individuate; non rendere nota la propria presenza in reparto a soggetti terzi.

Modalità di trattamento dei dati
I dati personali sono trattati su supporti informatici o cartacei; possono inoltre essere utilizzate modalità audio e video.

I dati personali sono comunque protetti, in modo da garantirne la sicurezza, la riservatezza e l’accesso al solo personale specificamente autorizzato.

I dati sono conservati per il tempo previsto dalla vigente normativa; in particolare, i dati relativi a ciascun episodio di ricovero, raccolti nella relativa cartella clinica, verranno conservati a tempo indeterminato.

È possibile che i dati personali possano essere trasferiti a soggetti di un altro paese, anche all’esterno dell’Unione Europea, se previsto da un obbligo di legge oppure in assolvimento di obblighi contrattuali verso un Responsabile del trattamento nominato dall’Azienda, ovvero nell’ambito di attività di ricerca e sperimentazione. I trasferimenti verso paesi extra UE ed organizzazioni internazionali saranno effettuati soltanto nel pieno rispetto del RGPD, anzitutto verificando se quel paese offra un livello adeguato di protezione dei dati; in mancanza di tale requisito, il titolare o il responsabile del trattamento attuerà le garanzie a tutela dell’interessato previste dal RGPD (tra queste, in alcuni casi, la richiesta del consenso al trasferimento).

I diritti dell’interessato
L’interessato ha diritto di:

• ottenere in qualsiasi momento informazioni sull’utilizzo dei dati che lo riguardano
• accedere ai dati personali che lo riguardano
• chiederne la rettifica o l’integrazione
• chiedere, in alcune ipotesi previste dalla normativa, la limitazione del trattamento
• opporsi al trattamento dei dati personali che lo riguardano
• revocare il consenso (senza pregiudicare la liceità del trattamento effettuato prima della revoca)

Per esercitare i diritti di cui agli articoli sopra citati, l’interessato può inviare richiesta al Responsabile della protezione dei dati personali, i cui dati di contatto sono più sotto riportati.
L’interessato ha altresì diritto di presentare reclamo al Garante per la protezione dei dati personali.

Titolare e delegati al trattamento dei dati
Titolare del trattamento dei dati è l’Azienda Ospedaliero-Universitaria Careggi.

I soggetti interni delegati al trattamento nell’ambito delle attività di competenza sono i Direttori di Struttura Complessa e di Struttura Semplice e i titolari di posizione organizzativa. Sul sito web aziendale è pubblicato l’elenco nominativo dei delegati al trattamento dati.

I restanti soggetti che, a vario titolo, intervengono nei processi di cura e nei processi gestionali e tecnico-amministrativi di supporto all’erogazione delle prestazioni, sono autorizzati al trattamento per lo specifico ambito di competenza ed adeguatamente istruiti sui principi normativi che regolano il trattamento dei dati personali.

---

Titolare del trattamento dei dati è l’Azienda Ospedaliero-Universitaria Careggi, con sede legale in L.go Brambilla, 3 – 50134 Firenze.

Rappresentante Legale: Direttore Generale pro tempore, tel. 055 794 9501, e-mail  

Responsabile per la protezione dei dati personali RPD tel. 055 797 9067 cell. 366 682 3917, e-mail: 

Autorità di controllo: Garante per la protezione dei dati personali, www.garanteprivacy.it, e-mail , centralino tel. 06696771