INFORMATIVA IN MATERIA DI PROTEZIONE DI DATI PERSONALI
(ex Regolamento UE 2016/679 il c.d. “GDPR” e D. Lgs. n. 196 del 30/06/2003 ss.mm.ii. il c.d. “Codice Privacy”)
Gentile Signora/Egregio Signore,
la presente “Informativa” intende fornirle indicazioni in merito al trattamento dei dati, come di seguito specificati, che verranno da Lei forniti al Poliambulatorio Sfera Medica, nell’atto di compilare il form presente sul sito web, e che verranno dallo stesso trattati. Questa Informativa ha quindi lo scopo di descrivere le modalità di gestione del Sito, con riferimento al trattamento dei dati personali degli utenti che lo consultano e a seguito della richiesta di fruizione dei servizi avanzata dagli stessi, sia mediante la compilazione del form, sia mediante la comunicazione spontanea dei propri dati, che siano inviati o in altro modo comunicati al Poliambulatorio Sfera Medica. Ai sensi delle disposizioni contenute nel GDPR e nel Codice Privacy, la “Poliambulatorio Sfera Medica S.r.l.”, con sede legale in Via Statale Marecchia n. 8/A, 47826 Verucchio (RN), codice fiscale, partita IVA e numero di iscrizione presso il Registro Imprese di Rimini 03936140403, PEC poliambulatoriosferamedica@pec.it, in quanto titolare del sito internet www.sferamedica.it, in persona del legale rappresentate protempore, è Titolare del trattamento dei Suoi Dati Personali (d’ora innanzi, il “Titolare”) e, in quanto tale, è tenuta a fornirle le informazioni qui riportate in merito al trattamento dei suoi Dati Personali, comuni (quali ad esempio: dati anagrafici, codice fiscale, numero di tessera sanitaria, informazioni aggregate durante la navigazione del Sito ecc.) e quelli relativi alla sua salute (quali ad esempio: informazioni sul suo stato di salute), che verranno, rispettivamente, definiti anche solo come “Dati” e “Dati Sensibili” (o, congiuntamente, anche solo “Dati Personali”).
Per completezza di informazione, si riporta la definizione di “dati relativi alla salute” fornita dall’art. 4, n. 15) del GDPR ovvero “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. Lei, in quanto utente del sito e futuro potenziale paziente, potrà essere di seguito definito anche come “Interessato” al trattamento dei Suoi Dati Personali.
- Origine e natura dei suoi Dati e dei Dati sensibili
Con riferimento ai “dati di navigazione”, i sistemi informatici e le procedure software preposte al funzionamento di questo Sito acquisiscono, nel corso del loro normale esercizio, alcuni dati che vengono poi trasmessi implicitamente nell’uso dei protocolli di comunicazione Internet. Rientrano in questa categoria di dati, ad esempio, gli indirizzi IP, i nomi a dominio dei computer utilizzati dagli utenti che si connettono al Sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, la fascia oraria della richiesta al server, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Si tratta di informazioni che, di base, non sono raccolte per essere associate a interessati identificati e che possono essere utilizzate al fine di ricavare informazioni statistiche anonime sull’uso del Sito e per controllarne il corretto funzionamento.
I dati potrebbero, inoltre, essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Sito stesso.
I suoi Dati Personali sono raccolti dal Titolare direttamente dal sito web, nel momento in cui Lei compila la scheda dati (il c.d. form) sul predetto sito e chiede una specifica prestazione (ad esempio, la fissazione di una visita medica ambulatoriale) e, a seguito della visita o della prestazione medica, i dati da Lei spontaneamente forniti via e-mail oppure quelli comunicati al Titolare dal suo medico di medicina generale o pediatra di libera scelta. La raccolta dei suoi Dati Personali è indispensabile per dare esecuzione alle richieste da Lei avanzate mediante il sito web, per poterla contattare, ove necessario, e per la eventuale erogazione e la gestione delle prestazioni medico-sanitarie richieste.
- Finalità e base giuridica del trattamento
I suoi Dati sono trattati nell’ambito della normale attività del Titolare e dei medici che prestano la propria attività presso il Poliambulatorio, per le finalità di seguito indicate:
- finalità strettamente connesse e strumentali alla gestione dei rapporti con l’utente, futuro potenziale paziente (quali, ad esempio le attività amministrative, contabili e fiscali): la base giuridica del trattamento è rappresentata dalla necessità di trattare i Suoi Dati per poterla ricontattare via telefono, e-mail, sms, WhatsApp o attraverso qualsiasi strumento elettronico equivalente oppure a mezzo posta elettronica, ovvero per procedere alla esecuzione delle richieste da Lei avanzate attraverso questo sito internet, ex art. 6, I° comma, lettera b) GDPR;
- finalità connesse alla tutela della salute del paziente (attività di prevenzione, diagnosi, cura e riabilitazione, assistenza o terapia sanitaria, prescrizione di farmaci ed eventuali accertamenti sanitari, nonché attività certificatorie) – la base giuridica del trattamento è rappresentata dalla necessità di trattare i Suoi Dati per la finalità di diagnosi e cura, dunque ai sensi dell’art. 9, par. 2, lettere a) ed h), nonché ai sensi del paragrafo 3 del medesimo articolo, nonché ex art. 6, I° comma, lettera a) del GDPR e articolo 2-septies del D. Lgs. 30/06/2003 n. 196 ss.mm.ii.;
- in ottemperanza agli obblighi previsti da leggi, regolamenti e dalla normativa comunitaria (in particolare in materia di igiene e sanità ed in relazione ad adempimenti fiscali; verifiche di carattere amministrativo, ispezioni di organi preposti alla vigilanza in materia sanitaria; investigazioni della polizia giudiziaria; ecc.) – la base giuridica del trattamento è rappresentata da obblighi di legge e dal legittimo interesse del Titolare, ex art. 6, I° comma, lettere b) ed f) del GDPR.
- Consenso al trattamento dei dati e conseguenze dell’eventuale rifiuto di rispondere
Il trattamento dei suoi Dati Personali, principalmente ai fini di tutela della salute, diagnosi e cura, potrà essere effettuato soltanto con il suo consenso. Il mancato consenso da parte sua al trattamento dei suoi Dati Personali comporta, pertanto, l’impossibilità di contattarla e di erogare la prestazione medico-sanitaria richiesta e non consentirà, in un primo momento, al Titolare neanche la possibilità di risponderle via e-mail e/o di contattarla per fissare una prima visita. Perché il Titolare ed i medici operanti presso il Poliambulatorio Sfera Medica possano erogare le prestazioni finalizzate alla cura della sua salute è – quindi – imprescindibile il rilascio, da parte sua, del consenso al trattamento dei Dati Personali riguardanti, in particolare, il suo stato di salute.
- Modalità di trattamento e periodo di conservazione dei Dati
I Suoi Dati Personali saranno utilizzati, nel rispetto del segreto professionale e d’ufficio, secondo i principi di correttezza, liceità, legittimità, trasparenza, indispensabilità e non eccedenza rispetto alle finalità per i quali sono raccolti, in forma cartacea e/o elettronica e su più tipi di supporto, con modalità atte a garantirne riservatezza e sicurezza. I Suoi Dati verranno conservati per tutta la durata del rapporto e successivamente per 10 anni decorrenti dal termine del rapporto medico-sanitario (al termine di tale rapporto i dati dell’Interessato saranno dunque conservati per adempiere ad obblighi normativi, quali, ad es. gli obblighi fiscali, e per tutelare’ gli interessi legittimi del Titolare).
I Dati da lei conferiti sono tenuti in server ubicati presso il Titolare e Aruba. Per ragioni di Disaster Recovery & Business Continuity, i dati potranno essere ospitati all’interno di server (fisici o virtuali) presso strutture esterne, ubicate su territorio UE, che garantiscano piena conformità al Regolamento 2016/679 (GDPR). Per ragioni di gestione, implementazione ed aggiornamento del sito, potranno accedere esclusivamente gli incaricati dal Titolare. Gli incaricati, grazie ad un accesso selettivo, potranno svolgere solo le attività oggetto dell’incarico. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server nell’Unione Europea e/o Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alla normativa applicabile.
In ogni caso, per prevenirne distruzione, trafugamento, perdita o il loro utilizzo abusivo, sarà garantita la loro sicurezza, custodia e riservatezza mediante l’adozione di idonee misure di sicurezza e di idonei dispositivi elettronici. I suoi Dati Personali saranno conservati per tutta la durata del rapporto e comunque per il tempo necessario all’assolvimento degli obblighi di legge ovvero illimitatamente nel caso della cartella clinica creata dal Titolare ovvero dai medici operanti presso il Poliambulatorio Sfera Medica, ai sensi e per gli effetti di quanto previsto all’art. 92 del D. Lgs. n. 196/2003. In tale ultimo caso, il Titolare potrà utilizzarli in occasione di un Suo eventuale successivo accesso presso lo studio del Titolare al fine di garantirle e assicurarle un’assistenza medica più appropriata. Le è comunque sempre garantito il diritto alla cancellazione dei suoi Dati Personali.
- Nomina dell’Incaricato e del Responsabile al Trattamento dei Dati Personali
Ai sensi dell’articolo 2-quaterdecies del D. Lgs. 193/2003, il Titolare potrà nominare quali “Responsabili” o “Incaricati” al trattamento dei suoi Dati Personali persone fisiche o giuridiche, il proprio personale dipendente nonché i collaboratori interni ed esterni allo studio medico, limitatamente allo svolgimento delle proprie mansioni o dei propri incarichi. Il Titolare le comunica, sin da ora, che nominerà quale “Responsabile” del trattamento dei suoi Dati Personali, la società di diritto sammarinese “L.A. Factory S.r.l.” in breve “LAF”, con sede legale in Via del Camerario 31, 47891 Falciano, Repubblica di San Marino (RSM), C.O.E. SM-27335, affinché la predetta Società possa svolgere funzioni di amministrazione, gestione e manutenzione del sito web, in nome e per conto del Titolare.
- Categorie di soggetti ai quali i Dati possono essere comunicati
Nello svolgimento della propria attività e per il perseguimento delle finalità di cui al precedente punto 2), il Titolare potrà comunicare i Suoi Dati Personali, anche riguardanti il Suo stato di salute a soggetti terzi, quali i suoi familiari, il suo Medico Curante o Pediatra di libera scelta, solo se espressamente da Lei autorizzato mediante rilascio del relativo consenso ovvero alla struttura sanitaria, pubblica o privata, presso la quale si svolgerà la prestazione medico sanitaria.
Il Titolare potrà liberamente comunicare i Suoi Dati Personali a società esterne – nominate quali Incaricati e/o Responsabili Esterne del trattamento dei dati personali – che svolgono servizi strettamente correlati e funzionali all’attività del Titolare, a organismi sanitari di controllo, a organi della pubblica amministrazione, autorità di pubblica sicurezza o autorità giudiziaria, nei soli casi espressamente previsti dalla legge, enti previdenziali, compagnie ed enti assicurativi eventualmente incaricati dal Titolare.
I Suoi Dati Personali potranno essere comunicati a soggetti terzi per l’assolvimento di obblighi di legge, contrattuali, amministrativi, contabili e fiscali e/o per espletare ogni altro adempimento previsto dalla legge e potranno, altresì, essere trattati in sede di eventuali controversie in tema di responsabilità o, comunque, per far valere o difendere un diritto in sede giudiziaria, confermandole che gli stessi saranno trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.
- Ambito di diffusione dei Dati Personali
Ai sensi di quanto previsto dall’art. 2-septies, comma 8) del D. Lgs. n. 196/2003, i Dati e i Dati Sensibili non sono, né saranno oggetto di diffusione (intendendosi per tale, il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione), fatta salva l’ipotesi in cui la diffusione dovesse essere richiesta, in conformità a disposizioni di legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati. Con i suoi Dati Personali non verrà costituito, da parte del Titolare, alcun dossier o fascicolo sanitario elettronico, né verranno condivisi i suoi Dati con altri ambulatori o con altre strutture sanitarie, pubbliche e/o private, quando tale comunicazione non risulta essere necessaria ai fini della prestazione medico sanitaria da Lei richiesta.
- Diritti dell’Interessato
Ai sensi del GDPR e del Codice Privacy, l’utente o Paziente, in qualità di Interessato, ha il diritto di ottenere, a cura del Titolare e/o del Responsabile del Trattamento dei Dati Personali, la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intelligibile dei medesimi.
In particolare, l’Interessato ha il diritto di: (i) ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile; (ii) ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità, delle modalità del trattamento e del periodo di conservazione; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi della normativa applicabile; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati; (iii) ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi è interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; (iv) opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che la riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che la riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore mediante email e/o mediante modalità di marketing tradizionali mediante telefono e/o posta cartacea. Si fa presente che il diritto di opposizione dell’Interessato, esposto al precedente punto b), per finalità di marketing diretto mediante modalità automatizzate si estende a quelle tradizionali e che comunque resta salva la possibilità per l’Interessato di esercitare il diritto di opposizione anche solo in parte. Pertanto, l’Interessato può decidere di ricevere solo comunicazioni mediante modalità tradizionali ovvero solo comunicazioni automatizzate oppure nessuna delle due tipologie di comunicazione.
La informiamo, inoltre, che – ove tecnicamente possibile – potrà esercitare i diritti riconosciuti dalla normativa applicabile tra cui, a mero titolo esemplificativo, il diritto (v) di chiedere che il trattamento sia limitato ad una parte delle informazioni che La riguardano; (vi) nella misura in cui sia tecnicamente possibile, di ricevere in un formato strutturato o di trasmettere a Lei o a terzi da Lei indicati le informazioni che la riguardano (c.d. “portabilità” delle informazioni che La riguardano e di quelle che sono state da Lei volontariamente fornite); (vii) nonché di revocare il proprio consenso in qualsiasi momento, nel caso in cui questo costituisca la base del trattamento. La revoca del consenso comunque non pregiudica la liceità del trattamento basata sul consenso svolto prima della revoca stessa. I suddetti diritti potranno essere da Lei esercitati mediante invio di richiesta scritta alla stessa Società ai contatti indicati in epigrafe. Il Titolare dovrà procedere in tal senso senza ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta. Il termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste ricevute dal Titolare. In tali casi il Titolare entro un mese dal ricevimento della Sua richiesta, La informerà e La metterà al corrente dei motivi della proroga. Il Titolare le ricorda, inoltre, che laddove il riscontro alle Sue richieste non sia stato a Suo avviso soddisfacente, potrà rivolgersi e proporre reclamo all’Autorità Garante per la Protezione dei Dati Personali, con sede in Roma 00186, Piazza di Montecitorio n. 21 (http://www.garanteprivacy.it/) nei modi previsti dalla normativa applicabile.