INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI E SENSIBILI ai sensi dell art. 13 del Codice della Privacy (DLgs. 196/2003) e Regolamento (UE) 2016/679 1) DEFINIZIONI - «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); - «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; - «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro; - «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati; - «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; - «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; - «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile; - «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; - «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; - «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
2) OGGETTO DEL TRATTAMENTO I dati che La riguardano, forniti da Lei o da Suoi incaricati, o acquisiti durante le eventuali diagnosi e/o terapie effettuate presso A.I.A.S. O.N.L.U.S., ovvero attraverso certificazioni mediche nel corso di accertamenti o visite, formeranno oggetto di trattamento nel rispetto della normativa vigente. 3) FINALITA DEL TRATTAMENTO A.I.A.S. O.N.L.U.S. La informa che il trattamento dei dati personali, anche sensibili, da Lei comunicati direttamente o eventualmente raccolti presso i propri Uffici è effettuato soltanto per le finalità sotto riportate e strettamente necessarie allo svolgimento delle attività istituzionali. a) attività di prevenzione, diagnosi, cura e riabilitazione, ivi compresi servizi diagnostici, programmi terapeutici e qualsivoglia altro servizio erogato da A.I.A.S. O.N.L.U.S., anche in caso di prestazioni specialistiche ambulatoriali; b) altre attività sanitarie, diverse da quelle indicate al precedente punto, comunque connesse alla salute degli utenti (esempio: attività di auditing connesse a qualità e sicurezza delle cure); c) attività amministrative e di gestione operativa legate ai servizi forniti; d) adempimenti di legge connessi a procedure contabili e fiscali; e) finalità difensive 4) MODALITA DEL TRATTAMENTO Il trattamento dei dati avviene con o senza l ausilio di strumenti elettronici o, comunque, automatizzati, informatici e telematici, con logiche strettamente correlate alle finalità menzionate nel paragrafo precedente e, comunque, con specifica adozione di una logica finalizzata a consentire l accesso e l utilizzo ai soli operatori autorizzati e che ne hanno necessità per garantire un adeguata presa in carico. Nell informatizzare il dato, nel rispetto delle finalità espresse, A.I.A.S. O.N.L.U.S. opera quotidianamente, sia dal punto di vista organizzativo che da quello tecnico, al fine di garantire i requisiti di sicurezza previsti per legge e comunque per fare in modo che le operazioni compiute sui dati avvengano nel rispetto di regole di sicurezza in continuo e costante miglioramento. In tal senso vi è una capillare distribuzione delle responsabilità e le possibili attività sui dati sono definite attraverso regolamenti e istruzioni operative agli incaricati; periodicamente gli operatori seguono corsi di formazione e aggiornamento sulle problematiche della privacy, sui potenziali pericoli e sulle responsabilità legate al trattamento dei dati informatizzati. Inoltre tutti gli operatori che accedono ai sistemi informatizzati sono identificabili, tenuti al segreto professionale e/o d ufficio e comunque autorizzati al trattamento; il personale sanitario che non ha in carico il paziente non può aver accesso ai suoi dati sanitari, tuttavia possono rendersi necessarie sostituzioni per consentire la continuità del piano di trattamento, in tal caso il sostituto dovrà aver accesso al dossier sanitario del paziente. I dati sanitari e amministrativi sono conservati per 5 anni dall ultimo trattamento, i dati inseriti tramite software sono anonimizzati dopo 5 anni dall ultimo trattamento o 5 anni dal pagamento (l ultimo tra i due eventi che si verifica). I dati di contabilità sono conservati per 15 anni
5) NATURA DEL CONFERIMENTO L utente è tenuto a conferire obbligatoriamente ogni dato indispensabile al perseguimento delle finalità legate alla cura di cui al punto 3 lettere a d, tali finalità sono intrinseche allo svolgimento della prestazione richiesta ma, essendo coinvolti dati sensibili, occorre comunque un espresso consenso scritto. Fatti salvi i casi di urgenza/emergenza sanitaria, il mancato conferimento dei dati richiesti e il mancato consenso al trattamento per le finalità di cura della salute, di cui al punto 3 lettere a - d, rende di fatto impossibile l'accesso alla prestazione sanitaria. Per il trattamento del dato per la finalità di cui al punto 3 lettera e non è necessario prestare il consenso (legittimo interesse del titolare del trattamento), resta comunque inteso che sarà rispettato il principio di bilanciamento degli interessi. 5.1) [IMPORTANTE] 730 PRECOMPILATO (finalità di cui alla lettera c) Per adempiere agli obblighi di legge A.I.A.S invia al sistema Tessera Sanitaria (gestito dal Ministero dell Economia e delle Finanze) ogni fattura inerente alle prestazioni erogate, il MEF tratterà il dato o inviandolo in forma aggregata (aggregando ogni dato inviato da ogni medico/ente che abbia erogato servizi sanitari all interessato) all Agenzia delle Entrate ai fini dell elaborazione del 730 precompilato, o distruggendolo nel caso in cui il soggetto non predisponga il 730 precompilato. L interessato ha il diritto di opporsi a all invio della fattura al sistema TS; non è contemplata un opposizione una tantum, l interessato deve opporsi all invio di ciascuna fattura, ciò è annotato in calce alla fattura, e controfirmato dall interessato. 6) AMBITO DI COMUNICAZIONE E DIFFUSIONE DEI DATI PERSONALI E SENSIBILI I dati personali e sensibili non possono essere diffusi né comunicati a terzi, salvo quanto previsto specificatamente nel capitolo 3 della presente informativa. AIAS si avvale di un responsabile del trattamento che si occupa del software gestionale, ciò le consente di gestire i dati in modo più efficiente, tramite database elettronico; Per avere ulteriori informazioni sui responsabili del trattamento contattare il RPD (dati di contatto in calce all informativa)
7) DIRITTI DELL INTERESSATO L interessato ha diritto ai sensi del capo III del Regolamento (UE) 2016/679 (GDPR) Lei ha diritto, tra l altro, di: Ottenere la presente informativa in forma concisa, trasparente e intellegibile; L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali; L'interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti; L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione/limitazione dei dati personali che lo riguardano (conformemente a quanto previsto dall art. 17-18); L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento; L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano (ai sensi dell'articolo 6, paragrafo 1, lettere e) o f)). Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; Proporre reclamo Garante della Protezione dei Dati Personali. ai sensi dell art. 7 del Codice della Privacy, Lei ha diritto, tra l altro, di: L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. Le istanze per far valere i propri diritti devono essere rivolte dal RPD (dati di contatto in calce all informativa)
8) ACCESSO AI DATI E OPPOSIZIONE AL TRATTAMENTO L interessato può avanzare richiesta scritta di accesso ai dati, ovvero opporsi (per motivi legittimi) al loro trattamento. Per la richiesta di certificati, referti clinici o il dossier sanitario è necessario rivolgersi all Ufficio Pazienti, compilando una richiesta in carta libera, i certificati e i referti saranno consegnati in busta chiusa entro 5 giorni, i dossier sanitari, sempre in busta chiusa, entro 15 giorni. Per la richiesta di dati di natura non clinica, le istanze devono essere rivolte dal RPD (dati di contatto in calce all informativa) In ogni caso i dati personali, di qualsiasi natura, potranno essere ritirati solo dall interessato o dal suo rappresentante legale, di persona o tramite delegato fornito di apposita delega accompagnata da documento d identità in corso di validità. Per opporsi motivatamente al trattamento dei dati personali contattare il RPD per ottenere un appuntamento. 9) TITOLARE DEL TRATTAMENTO Titolare del trattamento è il centro A.I.A.S. O.N.L.U.S. sez. di Massa-Carrara, con sede in Via delle Pinete, 348, 54100 Marina di Massa; legale rappresentante Gianfranco Tognoni. 10) ESPRESSIONE DEL CONSENSO Il consenso al trattamento dei dati personali e sensibili si manifesta mediante la sottoscrizione del modulo consenso privacy, allegato alla presente informativa. Soltanto l interessato al quale i dati sanitari si riferiscono può prestare il consenso. Se l interessato è infrasedicenne: Il consenso al trattamento dei dati personali e sensibili deve essere firmato da almeno un genitore esercente la potestà genitoriale. Se l interessato ultrasedicenne, non è in grado di comprendere l informativa perché incapace d intendere o di volere: un genitore (se minorenne), il tutore, curatore o amministratore di sostegno, ovvero un prossimo congiunto, un familiare, un convivente o, in loro assenza, il responsabile della struttura presso cui dimora l'interessato, presenta il modulo del consenso al trattamento dei dati per conto dell utente, intestandolo all utente stesso e completandolo con i propri dati anagrafici e con la propria firma: con detta sottoscrizione si assume la responsabilità della propria dichiarazione e, a richiesta, esibisce la documentazione attestante la rappresentanza legale ovvero la parentela, ovvero la convivenza. Se l interessato non può firmare: L utente che non può firmare il modulo del consenso per analfabetismo, per impedimento fisico temporaneo o permanente, privo di legale rappresentante, può esprimere il proprio consenso verbalmente o con altri modi (gesti), di cui l operatore dà atto (magari con l aiuto di un familiare che conosca le modalità di esprimersi del paziente). 11) VALIDITA DEL CONSENSO Il consenso al trattamento dei dati personali e sensibili ha validità dal momento della sottoscrizione fino ad eventuale revoca dello stesso. Il consenso relativo ai minori decade con il raggiungimento dei 16 anni, per cui dovrà essere nuovamente espresso.
12) DELEGA ALLA CONSEGNA DEL MODULO Mentre l espressione del consenso in sé è un atto non delegabile, è possibile delegare la consegna del modulo di consenso privacy ad altra persona, che si presenti con delega contenente i dati anagrafici propri e del delegante, munita di proprio documento valido in originale e un documento valido, anche in fotocopia, del delegante. 13) URP I reclami depositati presso l URP sono inviati alla Direzione (Direttore Sanitario, o Amministrativo, o entrambi), la Direzione può comunicare il contenuto del reclamo ad altro ufficio delegato e/o gli uffici Qualità e Sicurezza delle Cure/RSPP (se emergono delle criticità nei rispettivi ambiti). E onere di chi deposita il reclamo indicare all interno di esso se vi sono degli ufficio o degli operatori che l interessato non vuole che siano messi a conoscenza del reclamo. 14) RESPONSABILE DELLA PROTEZIONE DEI DATI Il Responsabile della Protezione dei Dati è l.avv. Andrea Fusani. Telefono: 0585/243831 Email: gruppoqualita@aias-onlus.it PEC: aiasonlusms@pcert.postecert.it