Informativa sul trattamento dei dati personali
Articoli 13-14 del Regolamento UE 2016/679 (GDPR)
In coerenza e in attuazione di quanto previsto dal Regolamento Europeo sulla protezione dei dati personali 2016/679 e dal D.Lgs 30 giugno 2003, n. 196 e ss.mm.ii. (rispettivamente “GDPR” e “Codice Privacy”), Le forniamo le seguenti informazioni con riferimento alle finalità ed alle modalità di utilizzo dei Suoi dati personali (es. dati anagrafici, recapiti, tessera sanitaria, codice fiscale, ecc.) e, in particolare, dei dati relativi alla Sua salute, indispensabili per l’erogazione e la gestione delle prestazioni sanitarie rese dalle Aziende Sanitarie Locali nelle loro diverse articolazioni organizzative e/o dalle altre strutture ed Enti del Servizio Sanitario della Regione Puglia, nell’ambito delle attività di prevenzione e promozione della salute.
Titolari del trattamento
Le decisioni riguardo alle finalità ed alle modalità del trattamento nonché l’adozione delle misure di sicurezza dei dati personali spettano, ai sensi dell’art. 39 della Legge regionale 25 febbraio 2010, n. 4 e ss.mm.ii. e dell’art. 1, comma 4, della Legge regionale 15 luglio 2011 n. 16, ai seguenti Titolari del trattamento quali Enti contitolari dei progetti regionali di Sanità Elettronica nell’ambito delle attività di prevenzione e promozione della salute:
- Regione Puglia (per la programmazione, l’organizzazione ed il monitoraggio delle attività sanitarie) Lungomare Nazario Sauro, 33 – 70121 Bari
- ASL Bari Lungomare Starita n. 6 – 70132 Bari protocollo.asl.bari@pec.rupar.puglia.it
- ASL Barletta-Andria-Trani Via Fornaci n. 201 – 76123 Andria protocollo.aslbat@pec.rupar.puglia.it
- ASL Brindisi Via Napoli n. 8 -72100 Brindisi protocollo.asl.brindisi@pec.rupar.puglia.it
- ASL Foggia Via Michele Protano 13 - 71121 Foggia aslfg@mailcert.aslfg.it
- ASL Lecce Via Miglietta n. 5 - 73100 Lecce protocollo@pec.asl.lecce.it
- ASL Taranto Viale Virgilio n. 31 – 74121 Taranto direttoregenerale.asl.taranto@pec.rupar.puglia.it
- A.O.U. Policlinico Riuniti - Foggia Viale Pinto n. 1 - 71122 Foggia protocollo@pec.ospedaliriunitifoggia.it
- A.O.U. Consorziale Policlinico - Bari Piazza Giulio Cesare n. 11 – 70124 Bari direzione.generale.policlinico.bari@pec.rupar.puglia.it
- IRCCS Istituto Tumori Giovanni Paolo II Viale Orazio Flacco, 65 - 70124 Bari protocollo@pec.oncologico.bari.it
- IRCCS Saverio De Bellis Via Turi, 27 - 70013 Castellana Grotte dirgenerale.debellis@pec.rupar.puglia.it
- A.Re.S.S. Lungomare Nazario Sauro, 33 – 70121 Bari direzione.aress@pec.rupar.puglia.it
ciascuno per quanto riguarda i tipi e le operazioni di trattamento dei dati personali di propria competenza, nonché sulla base dei rispettivi ruoli e rapporti con gli interessati. I Suoi dati personali verranno trattati dall’Azienda Sanitaria Locale di Sua iscrizione, nonché dagli altri soggetti sopra richiamati in qualità di contitolari, giusta convenzione/accordo che definisca le modalità di condivisione e trattamento dei dati personali nel rispetto del GDPR e del Decreto Legislativo n. 196/2003 e ss.mm.ii.
La informiamo, inoltre, che in mancanza di Sua esplicita opposizione, nel caso in cui in futuro dovesse procedere all’iscrizione presso altra Azienda Sanitaria del territorio regionale, (es. per un cambio di residenza), i dati pregressi relativi a precedenti prestazioni verranno resi disponibili alla nuova ASL di iscrizione.
Responsabile del trattamento
I responsabili del trattamento, nelle rispettive qualità e funzioni, sono le Società che progettano, realizzano e forniscono i sistemi informatici e ne garantiscono i relativi servizi tecnici (servizi di manutenzione, assistenza tecnica, conduzione operativa e sicurezza dei sistemi).
Oggetto e finalità del trattamento
I dati personali oggetto di trattamento sono quelli comuni (nome e cognome, data di nascita, codice fiscale, indirizzo di residenza e/o domicilio, numero di telefono, indirizzo e-mail, ecc.), nonché i dati relativi alla Sua salute e quelli, più in generale, rientranti nel novero dei dati particolari di cui all’articolo 9 del GDPR.
Il trattamento dei Suoi dati personali avviene sulla base di quanto previsto e consentito da una norma di legge o di regolamento, per il perseguimento delle seguenti finalità:
- erogazione di prestazioni di prevenzione, diagnosi, cura e riabilitazione a tutela della Sua salute e della Sua incolumità fisica nonché, qualora ricorrano le condizioni stabilite dalla vigente legislazione, di terzi o della collettiva;
- tutela socio-assistenziale e interventi di rilievo sanitario a favore di soggetti bisognosi, non autosufficienti o incapaci;
- attività amministrative-contabili correlate alle prestazioni di prevenzione, diagnosi, cura e riabilitazione;
- attività medico-legale (es.: patenti di guida, porto d’armi, idoneità al lavoro);
- attività certificatorie (ad es.: esenzione per patologia, gravidanza, invalidità riconosciuta, medicina sportiva);
- adempimenti amministrativi, gestionali e contabili, correlati ai compiti istituzionali e/o connessi ad obblighi di legge;
- attività di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria e della qualità del servizio, del Servizio Sanitario Nazionale e del Servizio Sanitario Regionale;
- gestione di esposti/contenziosi;
- ulteriori motivi di c.d. interesse pubblico rilevante previsti da norma di legge o di regolamento.
Per le finalità in precedenza elencate, il conferimento e trattamento dei Suoi dati è necessario per poter erogare le relative prestazioni e, pertanto, il rifiuto di comunicarli potrebbe comportare l’impossibilità o grave difficoltà nel fornirLe adeguata assistenza sanitaria, fatta eccezione per le prestazioni urgenti e/o disposte per legge.
Ulteriori trattamenti dei Suoi dati personali, che potrebbero presentare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità degli interessati, sono effettuati, in conformità alle leggi e ai regolamenti, previa ulteriore nota informativa e, dove richiesto, previo rilascio di esplicito consenso, da Lei manifestato liberamente. Si tratta di trattamenti:
A. ai fini dell’invio di comunicazioni digitali: SMS-Short Message Service, servizi di messaggistica istantanea (WhatsApp Business), a mezzo posta elettronica e per effettuare chiamate telefoniche di “recall” (presidiato o automatico);
B. all’interazione con sistemi software progettati per simulare una conversazione con un essere umano (Chatbot, Voicebot);
C. ai fini di implementazione dei sistemi di sorveglianza e di registri di patologia;
D. ai fini del recupero mediante il Portale Regionale della Salute di documentazione connessa a prestazioni sanitarie a Lei erogate (attestati esito, referti, ecc..);
E. per scopi di ricerca scientifica anche nell’ambito delle sperimentazioni cliniche;
F. nell’ambito della teleassistenza/telemedicina, al fine di consentire la trasmissione a distanza di tracciati e immagini, anche tramite un collegamento telematico bidirezionale con altre strutture.
Basi giuridiche
La base giuridica che legittima i trattamenti eseguiti per le finalità di cui ai punti da 1 a 9 della presente informativa è rappresentata dagli artt. 2-ter, 2-sexies e 75 del Codice in materia di protezione dei dati personali (di seguito Codice) e dai seguenti articoli del Regolamento UE 2016/679 (di seguito Regolamento):
- art. 6.1 lettere c) ed e) – trattamento necessario per adempiere ad un obbligo legale e/o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- art. 9.2 lettera c) trattamento necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- art.9.2 lettera g) – rilevante interesse pubblico nel settore della sanità pubblica;
- art.9.2 lettera h) – finalità di cura, medicina preventiva, medicina del lavoro, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari e secondo le modalità previste dall’art. 9.3;
- art.9.2 lettera i) – per motivi di interesse pubblico nel settore della sanità pubblica.
Per i trattamenti di cui alle lettere da A a F della presente informativa, la base giuridica è da individuarsi nel consenso esplicito dell’interessato (artt. 6.1.a e 9.2.a del Regolamento).
Modalità di trattamento
Il trattamento dei Suoi dati personali avviene nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità e della conservazione, minimizzazione dei dati (i dati raccolti saranno adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità per le quali sono trattati), esattezza, integrità e riservatezza.
I dati sono raccolti e trattati sia in modalità cartacea (analogica), sia con l’ausilio di strumenti elettronici, automatizzati ed informatici e sono protetti in modo da garantirne la sicurezza, la riservatezza e l’accesso al solo personale dipendente o da altri soggetti che collaborano con i Contitolari tutti debitamente a ciò autorizzati, ai sensi degli artt. 29 e 32 del GDPR 2016/679 e dell’art. 2-quaterdecies del Decreto Legislativo n. 196/2003 e ss.mm.ii., nonché da soggetti appositamente designati dai Titolari quali Responsabili del trattamento dei dati personali, tenuti al rispetto degli adempimenti in materia di protezione dati.
Per finalità informative e comunicative, si utilizzerà anche la piattaforma WhatsApp Business. Il servizio avvicina ulteriormente la Pubblica Amministrazione al cittadino, facilitando la condivisione di informazioni in materia di prevenzione sanitaria e l’accesso alle relative prestazioni sanitarie.
L’abilitazione di canali diretti di comunicazione mediante servizi di messaggistica istantanea (WhatsApp Business) avverrà unicamente previa acquisizione di Suo esplicito consenso per l’utilizzo di tale specifico canale che è attivato per fornire informazioni e servizi personalizzati connessi alle finalità sopra riportate, utilizzando il contatto di telefonia mobile da Lei comunicato.
Come da condizioni del servizio di messaggistica accettate al momento dell'iscrizione all'applicazione WhatsApp, a seconda delle impostazioni privacy del Suo account, le informazioni relative a numero di telefono, immagine del profilo, stato, info, ultimo accesso, potrebbero essere conoscibili dal personale autorizzato al trattamento dei dati. Specifiche misure di sicurezza sono osservate per prevenire la perdita di dati, l’uso illecito, l’accesso non autorizzato o trattamenti non consentiti o non conformi alla finalità della raccolta. I termini del servizio WhatsApp Business sono disponibili in questa pagina.
Conservazione dei dati
Successivamente al completamento/cessazione della prestazione sanitaria e salvi gli adempimenti connessi a specifici obblighi di legge, i Suoi dati personali verranno conservati per i periodi di seguito riportati:
- illimitatamente, per le cartelle cliniche e per i relativi referti (Circolare n. 900 del 19 dicembre 1986 del Ministero della Sanità);
- dieci anni, per le immagini radiologiche (Decreto 14 febbraio 1997 del Ministero della Salute);
- illimitatamente, per i referti radiologici (Decreto 14 febbraio 1997 del Ministero della Salute);
- dieci anni, per la documentazione inerente all’attività certificatoria e medico-legale;
- dieci anni, per i referti che non confluiscono in cartella clinica;
- dieci anni dal termine della partecipazione per i dati relativi alle attività di prevenzione e di promozione della salute (es. screening oncologici, vaccinazioni, ecc..);
- illimitato, per i dati sanitari conferiti al Registro Tumori;
- dieci anni, per i dati connessi allo svolgimento dell’attività amministrativo-contabile correlata alle prestazioni di prevenzione, diagnosi, cura e riabilitazione (controllo dichiarazioni sostitutive; pagamento del ticket, ecc.);
- per la durata del contenzioso, fino all’esaurimento dei termini di esperibilità delle azioni di impugnazione per i dati necessari alla gestione di esposti/contenziosi.
Per quanto riguarda i referti, essi sono resi disponibili dai servizi “on line” per un tempo massimo di 45 giorni, secondo quanto previsto dal D.P.C.M. del 8 agosto 2013. Trascorso il suddetto termine il referto non sarà più disponibile “on line” ma potrà comunque essere ritirato in forma cartacea e/o prelevato dal Suo Fascicolo Sanitario Elettronico.
Comunicazione dei dati
I suoi dati possono essere comunicati, per le sole finalità sopra indicate e nei casi previsti da norme di legge o regolamento, a:
- Soggetti pubblici (altre aziende sanitarie) e privati (strutture sanitarie private, case di riposo) coinvolti nel suo percorso diagnostico-terapeutico;
- Servizio Sanitario Regionale di erogazione e/o Servizio Sanitario della Regione di residenza (se diversa), per finalità amministrative di competenza regionale;
- Servizi Sociali dei Comuni per le attività connesse all’assistenza di soggetti deboli;
- Medici di Medicina Generale/Pediatri di Libera Scelta, quando previsto;
- Soggetti qualificati ad intervenire in controversie che coinvolgono i Titolari (compagnie assicurative, legali e consulenti, ecc);
- Forze dell'Ordine e Autorità Giudiziaria nei casi previsti dalla legge;
- INPS/INAIL per gli scopi connessi alla tutela della persona assistita;
- Agenzie e Organismi della Regione Puglia;
- Soggetti terzi che effettuino operazioni di trattamento dati personali per conto dei Titolari, appositamente qualificati “Responsabili del Trattamento” e tenuti al rispetto degli adempimenti in materia di protezione dati, in virtù di apposito contratto;
- I soggetti pubblici e privati che fanno parte del Servizio Sanitario Regionale;
- Altri soggetti nei casi previsti da norma di legge o di regolamento.
Al di fuori dei soggetti summenzionati, i Suoi dati non saranno comunicati a terzi né trasferiti in server e/o organizzazioni extra Unione Europea, se non nei casi specificamente previsti dalla legge.
Per quanto riguarda il servizio di messaggistica istantanea, esso è gestito tramite WhatsApp Business ed è regolato da un contratto business; il responsabile del trattamento, ai sensi dell’art. 28 del GDPR 2019/679 è WhatsApp Business Ireland Limited che è anche il titolare del trattamento dei dati delle informazioni degli utenti che si avvalgono di tale servizio. WhatsApp Business ha dichiarato di utilizzare una connessione cifrata e una procedura crittografata “end to end” e, operando in qualità di Responsabile esterno del trattamento dati, ai sensi dell’art. 28 GDPR, si è impegnata ad adottare specifiche clausole contrattuali laddove fosse necessario trasferire i dati trattati al di fuori dell’U.E. in ossequio a quanto espressamente stabilito nel contratto al paragrafo “Termini di servizio per il trattamento dei dati di WhatsApp Business”.
I dati personali e sensibili trattati con sistemi informativi sono comunicati o scambiati tra le amministrazioni pubbliche e gli altri soggetti del Sistema Sanitario Regionale - SSR, ai sensi di quanto previsto dalla legge regionale 15 luglio 2011, n. 16 “Norme in materia di sanità elettronica, di sistemi di sorveglianza e registri”.
Diritti dell'interessato
Lei può esercitare i seguenti diritti sui Suoi dati personali, nella misura in cui è consentito dal Regolamento:
- Accesso (art. 15 del Regolamento)
- Rettifica (art. 16 del Regolamento)
- Cancellazione (oblio) (art. 17 del Regolamento)
- Limitazione del trattamento (art. 18 del Regolamento)
- Portabilità (art. 20 del Regolamento)
- Opposizione al trattamento, (art. 21 del Regolamento)
Lei ha il diritto di revocare il consenso al trattamento dei dati in qualsiasi momento. La revoca del consenso non pregiudica la liceità dei trattamenti basati sul consenso fornito prima della revoca.
Per esercitare i diritti di cui agli articoli sopra citati e/o per tutte le spiegazioni di cui avesse bisogno, potrà inviare richiesta al Responsabile Protezione Dati competente, sulla base delle attività di trattamento svolte. Di seguito si riportano i dati di contatto dove inviare la richiesta:
Titolare | Indirizzo | RDP | Contatti |
---|---|---|---|
Regione Puglia | Lungomare N. Sauro, 33 – 70121 Bari | Dott.ssa Rossella Caccavo | rpd@regione.puglia.it sezaffariistituzionaligiuridici@pec.rupar.puglia.it |
ASL Bari | Lungomare Starita n. 6 – 70132 Bari | Avv. Elisabetta Fortunato | dpo@asl.bari.it protocollo.asl.bari@pec.rupar.puglia.it |
ASL Barletta-Andria-Trani | Via Fornaci n. 201 – 76123 Andria | Avv. Andrea Scarpellini Camilli | andrea.scarpellini@aslbat.it dpo@mailcert.aslbat.it |
ASL Brindisi | Via Napoli n. 8 -72100 Brindisi | Dr.ssa Fersini Sandra | responsabileprotezionedati@asl.brindisi.it |
ASL Foggia | Via Michele Protano 13 - 71121 Foggia | NB Consulting | |
ASL Lecce | Via Miglietta n. 5 - 73100 Lecce | Dott. Cappelluti Tasti Antonio Luigi | dpo@asl.lecce.it |
ASL Taranto | Viale Virgilio n. 31 – 74121 Taranto | Avv. Tullio Casamassima | dpo.asl.taranto@pec.rupar.puglia.it dpo@asl.taranto.it |
AOU Policlinico di Bari | Piazza Giulio Cesare n. 11 – 70124 Bari | Dott.ssa Patrizia Ciufici | rpd.policlinico.bari@pec.rupar.puglia.it |
AOU Ospedali Riuniti di Foggia | Viale Pinto n. 1 - 71122 Foggia | Dott.ssa Laura Silvestris | affarigenerali@ospedaliriunitifoggia.it |
IRCCS Istituto tumori G. Paolo II | Viale Orazio Flacco, 65 - 70124 Bari | Dr.ssa Mannarini Iris | privacy@pec.oncologico.bari.it |
IRCCS Saverio de Bellis Castellana Grotte (Ba) | Via Turi, 27 - 70013 Castellana Grotte | Dott. Ernesto Barbone | ernesto@studioconsulenzabarbone.it |
Agenzia regionale strategica per la salute e il sociale - AReSS | Lungomare Nazario Sauro, 33 – 70121 Bari | Avv. Nicola Parisi | parisi@actioavvocati.it dpo.aress@pec.rupar.puglia.it |
Potrà, inoltre, rivolgersi all’Autorità Garante con le modalità descritte sul sito www.gpdp.it