Privacy Policy

INTRODUZIONE

La Clinica polispecialistica Cesmed ha l’obiettivo di supportare il paziente eseguendo gli esami e le cure richieste tra quelle erogabili dalla struttura, ma con il massimo rispetto della persona e della sua possibile posizione di debolezza.

Cesmed assicura la massima riservatezza dei rapporti e l’integrità dei

In conformità al Testo Unico sulla Privacy: D.L. 196/03 e al regolamento Europeo 2016/679 denominato GDPR, il personale è tenuto a rispettare le regole di comportamento che garantiscono la riservatezza e la privacy del degente, quali:

• rispetto del segreto professionale;
• rispetto della corporeità del paziente e del suo senso del pudore;
• rispetto della dignità civile e umana del paziente, delle sue convinzioni personali, politiche e religiose;
• garanzia di riservatezza per pazienti che vogliono mantenere l’incognito;
• rispetto dei rapporti del paziente con i propri visitatori, con possibilità per il paziente di indicare medici o professionisti sanitari non graditi;
• rispetto dello spazio vitale di ogni paziente(intimità per la svestizione vestizione) pur garantendo la necessaria igiene e disinfezione;
• informazioni riservate e personali al paziente ed ai suoi familiari relativamente alle procedure diagnostico-terapeutiche intraprese o da intraprendere

 

CAMPO DI APPLICAZIONE

Il regolamento si applica al trattamento dei dati personali, ed al trattamento non automatizzato dei dati conservati in un “archivio”, definito (artt. 2 e 4) in modo simile all’espressione “banca di dati”, presente nel codice della privacy italiano (decreto legislativo n. 101 del 10 agosto 2018). Il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall’UE che trattano dati personali di residenti nell’Unione Europea. Ciò anche a prescindere dal luogo o dai luoghi ove sono collocati i sistemi di archiviazione (storage) e di elaborazione (server). Il regolamento non riguarda la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico (“le autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali”).

Secondo la Commissione Europea “i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.”

Il regolamento disciplina il trattamento dei soli dati personali unicamente delle persone fisiche e ditte individuali (ivi compresi quelli di persone fisiche trattati in ambito professionale o nei rapporti tra imprese, enti e associazioni).

I dati personali forniti o comunicati possono essere relativi a persone fisiche terze (rispetto all’interessato) oppure trattati da soggetti terzi (rispetto al titolare).

Il GDPR definisce terzo “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Per il trattamento di dati relativi a terzi o forniti a terzi (comunicazione a destinatari) occorre che l’informativa lo precisi e siano definite le responsabilità nonché attestata la conformità del trattamento da parte dei titolari coinvolti. Anche un particolare trattamento quale è la “diffusione” deve essere previsto o escluso nell’informativa.

In base al principio di stabilimento le sue norme si applicano ai trattamenti di dati personali posti in essere da titolari e responsabili stabiliti nell’Unione Europea, senza alcun rilievo per il luogo in cui si effettua il trattamento stesso o per il luogo in cui si trova il soggetto oggetto del trattamento.

Il regolamento, invece, non si applica nei seguenti casi:

• trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
• trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Trattato dell’UE (politica estera e sicurezza);
• trattamenti effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse (vedi direttiva 2016/680);
• trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (vedi esenzione per uso personale).

 

Figure competenti

Si distinguono diverse figure competenti a cui, ai sensi dell’art. 4 del ‘Codice della Privacy’, è consentito trattare i dati personali:

1. Titolare del trattamento: CESMED è la persona giuridica, a cui è consentito determinare le finalità e le modalità del trattamento dei dati personali. (art. 4 comma f)
2. Responsabile del trattamento: è la persona fisica, preposto dal titolare al trattamento di dati personali. (art. 4 comma g).
3. Destinatario del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente che riceve i dati personali dal titolare del trattamento.
4. Terzi: sono tutti coloro che non sono identificati come titolari, responsabili o destinatari del trattamento.
5. Interessato: è la persona fisica a cui si riferiscono i dati personali. (art. 4 comma i)
6. Designato: è il soggetto al quale si affidano tutte le funzioni di controllo ad alto livello del trattamento dei dati personali.

Responsabilità

CESMED , secondo l’articolo 5, definisce che trattamento dei dati deve essere lecito (5.a), con finalità determinate (come archiviazione, ricerca scientifica, statistica, 5.b), limitato all’uso (“minimizzazione dei dati”, 5.c) ed esatto, aggiornato (5.d).

 

CESMED

in adempimento a quanto previsto dall’art.13 del Reg. UE 2016/679 (Regolamento Europeo per la protezione dei dati personali – GDPR), fornisce al paziente le dovute informazioni in ordine al trattamento dei suoi dati personali.

Ricordiamo che per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); mentre per “trattamento” si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4 GDPR).

 

1.Titolare del trattamento

Il Titolare del trattamento è CESMED s.r.l. con sede legale in Via Giardino n.10, 20085 – Locate di Triulzi (MI), P.I. 10258620961 5

 

2.Oggetto del trattamento

I dati trattati ai sensi dall’art. 6 GDPR sono:

• dati anagrafici e identificativi, dati di pagamento e dati necessari alla fatturazione (nome, cognome, età, luogo e data di nascita, contatti, codice fiscale);
• dati personali appartenenti a categorie particolari (principalmente dati relativi allo stato di salute, dati biometrici, dati genetici);
• dati relativi agli estremi della polizza assicurativa, alla compagnia assicurativa con cui è stata stipulata, alle prestazioni con la stessa assicurate, nonché il massimale di rimborso e della franchigia ivi determinati, al fine di attivare la polizza per far ottenere al paziente interessato il pagamento della prestazione fornita.

 

3.Base giuridica, finalità del trattamento e origine dei dati

Le basi giuridiche che legittimano il trattamento dei suoi dati da parte di Cesmed s.r.l. sono:

• l’adempimento di obbligazioni previste dalla legge (ex art. 6.1, lett. c) del GDPR);
• l’esecuzione di obblighi derivanti da un contratto (ai sensi dell’art. 6.1, lett. b) del GDPR);
• l’esecuzione di una prestazione ai fini di medicina preventiva, diagnosi, assistenza e terapia sanitaria (ex artt. 9.2, lett. h) e 9.3 del GDPR).

I dati personali comunicati a Cesmed s.r.l. sono raccolti e trattati per le seguenti ed esclusive finalità:

• prevenzione, diagnosi, cura, assistenza sanitaria, tutela della salute e incolumità fisica dei singoli;
• espletamento attività amministrative (es. prenotazioni, promemoria, fatturazioni, consegna referti, inserimento in liste di attesa) e certificatorie, nonché di programmazione e gestione dell’assistenza sanitaria, correlate alla finalità di cura;
• gestione comunicazioni;
• adempimento degli obblighi precontrattuali, contrattuali e fiscali, derivanti dal rapporto in essere;
• adempimenti degli obblighi derivanti dalla legge, regolamenti, normativa comunitaria o da un ordine dell’Autorità;
• accertamento, esercizio e/o difesa di un diritto nelle sedi competenti.

PREVIO SUO SPECIFICO E DISTINTO CONSENSO, Cesmed s.r.l potrà trattare i suoi dati per le seguenti finalità:

• Inviarle una newsletter periodica contenente articoli informativi e divulgativi relativi al settore medico e iniziative di prevenzione sanitaria;
• Analizzare e prevedere le sue abitudini in relazione ai servizi offerti da Cesmed s.r.l. (attività di profilazione);
• Inviarle comunicazioni pubblicitarie e di marketing in relazione ai servizi offerti da Cesmed s.r.l.;
• Fruizione del servizio di “Ritiro referti online”;
• Invio di sms/mail di comunicazione della disponibilità del referto online;
• Utilizzo delle sue foto e video con volto oscurato sul nostro sito e sulle nostre pagine social;
• Formazione, implementazione e consultazione del Dossier Sanitario;
• Inserimento nel Dossier Sanitario Elettronico di informazioni relative anche ad eventi per cui l’ordinamento vigente ha posto specifiche disposizioni a tutela della loro riservatezza (come ad esempio violenza sessuale, HIV, interruzione della gravidanza etc.);
• Inserimento nel Dossier Sanitario Elettronico di dati clinici pregressi o comunque formati; precedentemente alla costituzione del consenso;
• Invio sms/mail di promemoria dell’appuntamento.

I dati personali in possesso del Titolare sono raccolti direttamente presso l’interessato.

 

4. Modalità del trattamento e tempo di conservazione

Il trattamento dei suoi dati verrà effettuato tramite applicativi informatici e tramite modulistica cartacea.

I dati saranno raccolti presso l’interessato, registrati ed elaborati su supporto informatizzato e cartaceo e verranno organizzati in archivi in forma prevalentemente informatizzata, attraverso applicativi aziendali e anagrafiche informatizzate. Non saranno adottati processi decisionali automatizzati.

Il trattamento dei dati avverrà mediante strumenti idonei a garantirne la riservatezza, l’integrità e la disponibilità e comprenderà tutte le operazioni o complesso di operazioni previste all’art. 4 del GDPR, ivi inclusa la comunicazione nei confronti dei soggetti incaricati al trattamento stesso. I dati in questione non saranno oggetto di diffusione per finalità diverse da quelle indicate e potranno essere comunicati a soggetti pubblici o privati che operano nell’ambito delle finalità sopra descritte.

Il Titolare tratterà i dati personali comuni e appartenenti a categorie particolari per il tempo necessario ad adempiere alle finalità di cui sopra. Tutti i dati personali relativi ai nostri pazienti e rientranti nel Dossier Sanitario saranno conservati per un tempo illimitato ed, in ogni caso, tutti i dati sanitari che Cesmed s.r.l. tratterà nello svolgimento dei servizi offerti saranno conservati nel rispetto delle specifiche normative di settore.

 

5. Accesso al trattamento e comunicazione dei dati

I dati saranno resi accessibili:

• ai medici che effettuano la singola prestazione sanitaria e ad altri medici coinvolti nel percorso di cura complessivo;
• ulteriori medici che abbiano svolto prestazioni in occasione di altri eventi clinici trattati all’interno dell’Azienda;
• altre persone fisiche autorizzate al trattamento (es. personale amministrativo, infermieristico, tecnico, ecc.), obbligate per legge o per contratto alla riservatezza;
• fornitori di servizi connessi e/o conseguenti alla prestazione sanitaria, che agiscono in qualità di Responsabili del trattamento, o come autonomi Titolari (es. fornitori di servizi informatici, bancari, assicurativi, contabili, fiscali, tributari, legali, ecc.);
• soggetti cui la facoltà di accedere ai suoi dati personali sia riconosciuta da disposizioni di legge o di normativa secondaria o comunitaria. 

In ogni caso i dati non verranno comunicati a terzi non autorizzati ne diffusi in alcun modo.

6. Trasferimento dei dati

La gestione e la conservazione dei dati personali avverranno su server ubicati all’interno dell’Unione Europea del Titolare e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento.

 

7. Natura del conferimento dei dati e conseguenze del rifiuto di rispondere

Il conferimento dei dati per le finalità che non hanno quale base giuridaca il suo consenso è obbligatorio. In loro assenza, non sarà possibile usufruire dei servizi forniti da Cesmed s.r.l.

Il conferimento dei dati per le finalità che necessitano il suo consenso è facoltativo. In mancanza di suo consenso non sarà, infatti, possibile per Cesmed s.r.l. fornirle i servizi indicati.

Nel caso specifico del servizio “Referti Online”, la mancata prestazione del consenso darà, comunque, la possibilità di ritirare e consultare il referto in forma cartacea (Per ulteriori informazioni sul servizio “Referti online” consulta l’apposita informativa disponibile presso Cesmed s.r.l.).

Nel caso specifico relativo alla formazione ed implementazione del Dossier Sanitario, la mancata prestazione del consenso non incide sulla possibilità di accedere alle cure mediche richieste (Per ulteriori informazioni sul Dossier Sanitario Elettronico consulta l’apposita informativa disponibile presso Cesmed s.r.l.).

 

8. Diritti dell’interessato

Le segnaliamo che in qualità di interessato può esercitare i seguenti diritti, previsti dal GDPR, nei confronti del Titolare del trattamento:

• Diritto di accesso art. 15: ottenere la conferma che sia o meno in corso un trattamento riguardante propri dati personali ed in caso di risposa affermativa ottenere l’accesso agli stessi;
• Diritto di rettifica art. 16: ottenere la rettifica dei propri dati personali inesatti;
• Diritto all’oblio art. 17: ottenere la cancellazione dei propri dati personali;
• Diritto alla limitazione del trattamento art. 18: ottenere la limitazione del trattamento in determinate ipotesi indicate dalla normativa;
• Diritto alla portabilità dei dati art. 20: ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che si sono forniti e trasmettere tali dati ad un altro Titolare del trattamento, senza impedimenti nei casi previsti dalla normativa;
• Diritto di opposizione art. 21: opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei propri dati personali;
• Ricevere senza ingiustificato ritardo comunicazione della violazione dei dati personali subita dal Titolare del trattamento (art. 34);
• Condizioni per il consenso art. 7: revocare il consenso espresso in qualsiasi momento; Diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati.

 

9. Modalità di esercizio del diritto

L’interessato che volesse esercitare i propri diritti può contattare il titolare del trattamento all’indirizzo email: privacy@cesmed.net.

10. Responsabile per la protezione dei dati (“DPO”, Data Protection Officer)

CESMED identificherà un DPO esterno per al fine di verificare l’osservanza interna al regolamento qui definito.

 

11. Violazione dei dati (“Data Breach”) art. 33 e art. 34

Nel caso avvenisse un Data Breach, CESMED rendererà noto delle fughe di dati all’autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. I resoconti delle fughe di dati:

1. Descriverano la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
2. Comunicheranno il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
3. Descriveranno le probabili conseguenze della violazione dei dati personali;
4. Descriveranno le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
5. Se emergerà che la violazione dei dati abbia delle conseguenze gravi, CESMED ha l’obbligo di avvertire tempestivamente l’interessato.

 

12. Valutazione dell’impatto sulla protezione dei dati

Un’anlisi accurata è stata condotta in via anticipata, ovvero prima di procedere al trattamento dei dati e dei possibili rischi connessi ad esso. 

Il sistema informatico centrale non è ancora attivo e quindi la valutazione d’impatto sulla protezione dei dati (DPIA, “Data Protection Impact Assessment”) è un processo di nuovo in corso CESMED in previsione dell’utilizzo di tale sistema.

 

RIFERIMENTI

1. La sigla RGPD è quella adottata dal Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it/regolamentoue/formazione) e dai Portali UE (https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protectiongdpr/index_it.htm).
2. https://protezionedatipersonali.it/regolamento-generale-protezione-dati.
3. Protezione dei dati di carattere personale – EUR-Lex, su EUR.Lex.Europa.eu.
4. Le sanzioni privacy nel nuovo regolamento europeo, in PRIVACY NEWS Studio Legale SIB.
5. https://protezionedatipersonali.it/privacy-by-design-e-by-default.
6. DECRETO LEGISLATIVO 18 maggio 2018, n. 51, su gazzettaufficiale.it. URL
7. https://protezionedatipersonali.it/trattamento-dei-dati.
8. Il nuovo Regolamento 2016/679 GDPR – Data Protection Law | Privacy e protezione dati personali, in Data Protection Law | Privacy e protezione dati personali.
9. Violazioni di dati personali – Data Breach – Garante Privacy, su www.garanteprivacy.it.
10. https://protezionedatipersonali.it/direttive-europee.
11. https://protezionedatipersonali.it/regolamento-eprivacy.