Privacy Policy
INFORMATIVA PER IL TRATTAMENTO DEI DATI PERSONALI
Gentile Utente,
la Fondazione del Piemonte per l’Oncologia, con sede legale in Strada Provinciale, 142 - KM 3.95 - 10060 Candiolo (TO), CF 95596990010 e P.IVA 10202940010 (in seguito, “FPO”), in qualità di titolare del trattamento dei dati personali (“Titolare”), ai sensi degli artt. 13 e 14 Regolamento UE n. 2016/679 (in seguito, “GDPR”) La informa nella Sua qualità di soggetto interessato (“Interessato”) che i Suoi dati personali, comuni e particolari saranno trattati con le modalità e per le finalità di seguito riportate.
1. Dati personali oggetto del Trattamento
FPO, in qualità di Titolare tratterà i Suoi dati personali comuni, raccolti nell’ambito delle prestazioni di prevenzione, diagnosi e cura erogate dal Titolare, tra cui rientrano, a titolo esemplificativo e non esaustivo, nome, cognome, numero di telefono, indirizzo e-mail e, in generale, i Suoi dati di contatto (i “Dati Comuni”). FPO tratterà anche i Suoi dati relativi a particolari categorie di cui all’art. 9 del GDPR (“categorie particolari di dati”), tra cui rientrano i dati idonei a rivelare l’origine razziale ed etnica, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi allo stato di salute e alla vita sessuale (“Dati Particolari”). FPO si limiterà a richiedere esclusivamente i dati personali strettamente necessari a fornire le prestazioni e i servizi da Lei richiesti, impegnandosi a non cederli e a non trasmetterli a terzi.
Finalità del trattamento dei dati personali e base giuridica del trattamento
| Finalità del trattamento | Base giuridica del trattamento |
| Attività di prevenzione, diagnosi, cura e riabilitazione, ivi compresi i servizi diagnostici, terapeutici, di laboratorio, le prestazioni specialistiche ambulatoriali, di ricovero ospedaliero, di continuità assistenziale post dimissione e di attivazione di assistenza continuativa o di assistenza domiciliare. Tali attività potranno essere fornita sia presso la struttura del titolare del trattamento che attraverso piattaforme di telemedicina messe a disposizione dal titolare del trattamento. | Dati comuni Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare, ex art. 6, par. 1, lett. e) del GDPR. Categorie di dati particolari Finalità di diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, ex art. 9, par. 2, lett. h) del GDPR. |
| Attività amministrative e certificatorie strettamente connesse al raggiungimento delle finalità di prevenzione, cura, diagnosi, riabilitazione e assistenza o terapia sanitaria o sociale (ad esempio per gestire le prenotazioni, l’accettazione del paziente, la compilazione di cartelle cliniche e altra documentazione, per la gestione dei pagamenti, per ricevere sms reminder prenotazioni). | Dati comuni Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare, ex art. 6, par. 1, lett. e) del GDPR. Categorie particolari di dati Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, ex art. 9, par. 2, lett. g), del GDPR in combinato disposto con l’art. 2-sexies, del Codice Privacy. |
| Adempimento di obblighi previsti da leggi e regolamenti, nonché esecuzione di disposizioni impartite dalle Autorità o da Organi di vigilanza, controllo e rendicontazione (ad esempio, l’invio di informazioni agli enti competenti del SSN e SSR, Enti previdenziali e assistenziali, Assicurazioni, nei limiti dello svolgimento del loro compito istituzionale). | Dati comuni Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare, ex art. 6, par. 1, lett. e) del GDPR. Categorie particolari di dati Motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, ex art. 9, par. 2, lett. i) del GDPR. |
| Gestione della farmacovigilanza e delle segnalazioni degli eventi avversi (reazioni a terapie, farmaci, segnalazioni malattie infettive etc.). | Dati comuni Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare, ex art. 6, par. 1, lett. e) del GDPR. Categorie particolari di dati Motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, ex art. 9, par. 2, lett. i) del GDPR. |
| Gestione dei reclami e delle segnalazioni da parte dell’utenza. | Dati comuni Esecuzione di un contratto in cui l’interessato è parte o di misure precontrattuali, ex art. 6, par. 1 lett. b) del GDPR. Categorie particolari di dati Finalità di diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, ex art. 9, par. 2, lett. h) del GDPR. |
| Finalità di diagnosi e cura, per quanto riguarda i trattamenti quali la consultazione dei dati e documenti presenti nel FSE e la refertazione online, nonché per i trattamenti effettuati nelle piattaforme di telemedicina, e per attività gestionali ad esse correlate | Dati comuni Consenso dell’interessato ex art. 6, par. 1, lett. a) del GDPR. Categorie particolari di dati Consenso dell’interessato, ex art. 9, par. 2, lett. a) del GDPR. |
| Eventuale comunicazione di documentazione clinica del paziente/assicurato a compagnie assicuratrici limitatamente all’oggetto del rapporto assicurativo intercorrente tra l’interessato e la società assicurativa. | Dati comuni Consenso dell’interessato ex art. 6, par. 1, lett. a) del GDPR. Categorie particolari di dati Consenso dell’interessato, ex art. 9, par. 2, lett. a) del GDPR. |
| Comunicazione delle informazioni sullo stato di salute del paziente o sulla sua presenza in struttura a soggetti terzi (es. familiari o conoscenti), indicati specificamente dallo stesso. | Dati comuni Consenso dell’interessato, ex art. 6, par. 1 lett. a) del GDPR. Categorie particolari di dati Consenso dell’interessato, ex art. 9, par. 2, lett. a) del GDPR. |
| Finalità di ricerca scientifica retrospettiva collegata alla patologia per la quale è in cura presso l’Ospedale. In qualità di IRCCS FPO è autorizzata dal D.Lgs. 196/2003 e s.m.i. a poter trattare ulteriormente i dati raccolti in origine per attività di assistenza sanitaria per l’ulteriore scopo di ricerca scientifica. In ogni caso il trattamento dei dati, a seconda del progetto di ricerca effettuato, potrà avvenire con dati pseudonimizzati (indirettamente riconducibili alla Sua persona). | Dati comuni Esecuzione di un compito di interesse pubblico dell’IRCCS nell’ambito dell’attività di ricerca scientifica quale contributo collettivo ex art. 6, par. 1 lett. e) del GDPR. Categorie particolari di dati Finalità di ricerca scientifica ex artt. 9, par.2, lett. j) e 89 del GDPR nonché sulla base di quanto previsto dal diritto nazionale nei confronti degli IRCCS ex art. 110 bis, c. 4, del Codice Privacy. |
| I Dati Personali potranno essere resi effettivamente ed irreversibilmente anonimi al fine di consentirne l’utilizzo in futuri progetti di ricerca. | |
| Finalità di tutela della salute di un’altra persona della Sua stessa linea genetica, nel caso in cui il Suo consenso al trattamento dei dati genetici per tale fine non possa essere acquisito per impossibilità fisica, incapacità di agire o per incapacità di intendere o di volere; ciò limitatamente alle informazioni di tipo genetico già raccolte, e qualora il trattamento sia indispensabile per consentire all’altra persona di compiere una scelta riproduttiva consapevole o sia giustificato dalla disponibilità di interventi di natura preventiva o terapeutica. | Categorie particolari di dati Consenso dell’interessato, ex art. 9, par. 2, lett. a) del GDPR. |
| Accertamento, esercizio o difesa dei diritti del Titolare, compreso l’esercizio di un’azione di recupero crediti nei confronti dell’Interessato. | Dati comuni Perseguimento del legittimo interesse del titolare del trattamento, ex art. 6, par. 1, lett. f) del GDPR. Categorie particolari di dati Accertamento, esercizio e difesa di un diritto in sede giudiziaria ex art. 9, par. 2, lett. f) del GDPR. |
Qualora la base giuridica del trattamento sia il Suo consenso informato, il Suo eventuale rifiuto non avrà conseguenze sulla Sua possibilità di usufruire delle prestazioni sanitarie. Le sarà inoltre garantita la possibilità di revocare in ogni momento il Suo Consenso espresso, ferma restando la liceità del trattamento basata sul Suo Consenso prestato prima della revoca.
3. Modalità di trattamento e conservazione dei dati personali
Il trattamento dei Dati Personali avverrà secondo i principi correttezza, liceità e trasparenza, tramite supporti e/o strumenti informatici, manuali e/o telematici e/o automatizzati, con logiche strettamente correlate alle finalità del trattamento e, comunque, garantendo la riservatezza e sicurezza dei dati stessi e il rispetto degli obblighi specifici sanciti dalla legge.
Il trattamento dei Suoi dati personali è realizzato per mezzo delle operazioni indicate all’art. 4 n. 2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
La disponibilità, la gestione, l’accesso, la conservazione e la fruibilità dei dati è garantita dall’adozione di misure tecniche e organizzative per assicurare idonei livelli di sicurezza ai sensi degli artt. 25 e 32 del GDPR, nonché, in relazione alle specifiche finalità di trattamento individuate dalla normativa applicabile.
4. Periodo di conservazione dei dati
I Suoi dati personali saranno conservati solo per il tempo necessario per adempiere alle finalità di cui all’art. 2 della presente informativa, rispettando il principio di minimizzazione di cui all’articolo 5, comma 1, lettera c) del GDPR, nonché in esecuzione degli obblighi di legge cui è tenuto il Titolare, e comunque per non oltre 10 anni dalla cessazione del rapporto per le Finalità di Servizio, fatti salvi termini più estesi in adempimento agli obblighi di legge (quali ad esempio la conservazione illimitata della cartella clinica, unitamente ai relativi referti ivi contenuti, ai sensi della Circolare del Ministero della Sanità 19/12/1986).
5. Accesso ai dati personali
I Suoi dati personali, anche di natura particolare saranno trattati per le finalità di cui all’art. 2:
- da professionisti soggetti al segreto professionale o da dipendenti e collaboratori di FPO, nella loro qualità di designati e/o autorizzati e/o amministratori di sistema, debitamente autorizzati e istruiti dal Titolare e in ottemperanza a quanto previsto dall’art. 29 GDPR;
- da società terze o altri soggetti (a titolo indicativo, consulenti, società di assicurazione per la prestazione di servizi assicurativi, etc.) che svolgono attività in outsourcing per conto di FPO, in qualità di responsabili del trattamento ex art. 28 del GDPR;
- da società terze che forniscono i servizi e le piattaforme informatiche e telematiche di telemedicina, in qualità di responsabili del trattamento ex art. 28 GDPR, limitatamente ai dati strettamente necessari per il funzionamento di tali servizi.
6. Comunicazione dei dati personali
Nello svolgimento della propria attività istituzionale e per il perseguimento delle finalità di cui all’art. 2 della presente informativa, il Titolare potrebbe comunicare i Suoi dati personali, anche di natura particolare, ai seguenti soggetti:
- organismi sanitari di controllo, organi della pubblica amministrazione, autorità di pubblica sicurezza, autorità giudiziaria ed enti assicurativi e altri soggetti, enti o autorità che agiscono nella loro qualità di titolari autonomi del trattamento, a cui sia obbligatorio comunicare i Dati Personali in forza di disposizioni di legge o di ordini delle autorità;
- fornitori di servizi strettamente correlati e funzionali all’attività del Titolare i quali agiscono tipicamente in qualità di responsabili del trattamento ex art. 28 del GDPR, tra cui i fornitori di servizi IT per la gestione dell’infrastruttura tecnologica, dei sistemi informativi, delle piattaforme di telemedicina e delle reti di telecomunicazione.
L’elenco completo ed aggiornato dei destinatari dei dati potrà essere richiesto al Titolare ovvero al DPO, ai recapiti indicati all’art. 10 della presente Informativa.
I Suoi Dati Personali non saranno oggetto di diffusione, fatta salva l’ipotesi in cui la comunicazione o diffusione sia richiesta, in conformità alla legge, da soggetti pubblici per finalità di difesa o di sicurezza o di prevenzione, accertamento o repressione di reati.
7. Trasferimento dati
I dati personali sono conservati all’interno dell’Unione Europea, e non saranno oggetto di trasferimento verso Paesi Terzi rispetto all’Unione Europea. Qualora tale trasferimento dovesse rendersi necessario per perseguire le finalità di cui all’art. 2 della presente informativa, l’eventuale trasferimento avverrà esclusivamente verso Paesi oggetto di una decisione di adeguatezza da parte della Commissione Europea o, in ogni caso, secondo le modalità consentite dagli artt. 46 e seguenti GDPR, quali ad esempio l’adozione di Clausole Contrattuali Standard (“SCC”) approvate dalla Commissione Europea.
Il Titolare del trattamento si riserva la possibilità di utilizzare servizi in cloud. In tal caso i fornitori di tali servizi saranno selezionati tra coloro che forniranno garanzie adeguate, così come previsto dall’articolo 46 del GDPR.
8. Diritti dell’interessato
Nella Sua qualità di interessato, Lei potrà far valere i diritti riconosciuti all’interessato dall’art. 7 (diritto alla revoca del consenso), e dagli artt. da 15 a 22 del GDPR, ove applicabili e nei limiti stabiliti dall’art. 2-unedecies del Codice Privacy:
a) diritto di accesso ai dati personali che la riguardano;
b) diritto di rettifica o cancellazione dei dati personali che la riguardano;
c) diritto di limitazione al trattamento dei dati personali che la riguardano;
d) diritto di opposizione al trattamento dei dati personali che la riguardano;
e) diritto alla portabilità dei dati personali che la riguardano;
f) diritto di non essere sottoposto ad un processo decisionale automatizzato.
Potrà in qualsiasi momento esercitare i diritti di cui al paragrafo precedente inviando: -una raccomandata a.r. a Fondazione del Piemonte per l’Oncologia, Strada Provinciale, 142 - KM 3.95 - 10060 Candiolo (TO); - una e-mail all’indirizzo privacy@ircc.it oppure a dpo@ircc.it.
Se ritiene che il trattamento dei dati personali a Lei riferiti avvenga in violazione di quanto previsto dal GDPR, ha diritto di proporre reclamo, come previsto dall’art. 77 GDPR, all’Autorità Garante per la protezione dei dati personali, con sede in Piazza Venezia 11, IT-00187, Roma - Email: protocollo@gpdp.it, PEC: protocollo@pec.gpdp.it.
9. Modalità di esercizio dei diritti dell’interessato
Potrà in qualsiasi momento esercitare i diritti di cui al paragrafo precedente inviando:
- una raccomandata a.r. a: Fondazione del Piemonte per l’Oncologia, Strada Provinciale, 142 - KM 3.95 - 10060 Candiolo (TO); - una e-mail all’indirizzo privacy@ircc.it oppure a dpo@ircc.it.
10. Titolare e Responsabile per la protezione dei dati
Il Titolare del trattamento dei dati personali è: Fondazione del Piemonte per l’Oncologia con sede legale in Strada Provinciale, 142 - KM 3.95 - 10060 Candiolo (TO).
Il Responsabile della protezione dei dati (o Data Protection Officer ”DPO”) può essere contattato al seguente recapito: dpo@ircc.it.