Main container

Informazioni sul trattamento e sulla protezione dei dati personali

(art. 13 del Regolamento UE 2016/679 del 27.04.2016 – c.d. GDPR)

Egr. Signore/Gentile Signora,

L’Istituto Ortopedico Rizzoli è un Ente a rilevanza nazionale che persegue finalità di ricerca e di formazione nel campo biomedico di organizzazione e gestione dei servizi sanitari, insieme a prestazioni di ricovero e di cura ad alta specialità. Tutte le funzioni sono svolte identificando quale componente fondamentale il rispetto della persona e la centralità del cittadino.

Nel quadro della missione aziendale sopra descritta, l’Istituto Ortopedico Rizzoli, Titolare del trattamento dei dati, con il presente documento La informa sulle finalità e le modalità di utilizzo dei Suoi dati personali nell'ambito delle proprie attività istituzionali, in conformità a quanto previsto dall’art. 13 del Regolamento UE 2016/679/GDPR e dalle disposizioni del D.Lgs. 196/2003.

I dati personali che Le vengono richiesti e in particolare i dati relativi alla Sua salute, sono indispensabili per l’erogazione e la gestione delle prestazioni sanitarie richieste e delle attività correlate e sono utilizzati dal personale dell’Istituto nel rispetto del segreto professionale, del segreto d’ufficio e secondo i principi della normativa privacy.

Trattamento dei dati personali

Si parla di trattamento di dati personali in riferimento ad ogni operazione compiuta sui predetti dati. Sono dati personali le informazioni (come dati anagrafici, recapito, numero di tessera sanitaria, codice fiscale, ecc. o altri dati particolari, quali ad es. le informazioni sullo stato di salute) che riguardano una persona fisica, il cd. interessato.

Finalità e base giuridica del trattamento dei dati

Il Titolare del trattamento è il soggetto che, singolarmente o assieme ad altri, determina le finalità (o, più propriamente, per i soggetti pubblici, attua le finalità istituzionali attribuite) ed i mezzi del trattamento dei dati personali. Il Titolare, ovvero l’Istituto Ortopedico Rizzoli, può lecitamente trattare i dati in quanto il trattamento ha una specifica base giuridica ed è funzionale ad attività che sono ricomprese tra le proprie finalità istituzionali nel rispetto della vigente normativa.

Il trattamento dei Suoi dati personali e di quelli relativi alla salute avviene da parte dell’Istituto ai sensi dell’art. 9 paragrafo 2 lett. h) ed i) del GDPR e dunque senza necessità di consenso (sempre che non siano trattati dati genetici e/o biometrici) per le seguenti finalità:

  • tutela della salute e della incolumità fisica (ossia attività di prevenzione, diagnosi, cura, assistenza, terapia sanitaria o sociale riabilitazione), anche nell’ambito di percorsi di cura integrati che coinvolgano altri soggetti/ strutture sanitarie pubbliche o private;
  • attività di ricerca;
  • tutela dell’incolumità fisica e della salute di terzi e della collettività;
  • motivi di interesse pubblico nel settore della sanità pubblica;

Inoltre, i dati personali dal Lei forniti vengono trattati per adempiere ad obblighi di legge, nonché per il perseguimento di legittimi interessi dell’Istituto e sono pertanto indispensabili per tali ulteriori attività:

  • adempimenti amministrativi, gestionali e contabili correlati ai compiti istituzionali dell’Istituto e degli enti del SSN e/o connessi ad obblighi di legge;
  • gestione di reclami/esposti/contenzioso (giudiziale e stragiudiziale);
  • attività didattiche e di formazione professionale (si precisa che per l’utilizzo di riprese foto- video le immagini sono acquisite anonime o che si procede ad una loro compiuta anonimizzazione prima dell’utilizzo);
  • attività epidemiologica e statistica;
  • videosorveglianza;
  • finalità di rilevante interesse pubblico quali la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, indagini per rilevare l’esperienza e il grado di soddisfazione dell’utente ecc.;
  • ulteriori motivi di c.d. interesse pubblico rilevante previsti da norma di legge o di regolamento;

Si specifica inoltre che i dati personali potranno essere trattati per fini diversi da quelli per i quali l’utente li ha rilasciati. In particolare, potranno essere trattati al fine di poterLa contattare su eventi, iniziative, progetti di sensibilizzazione e di divulgazione scientifica, sollecitazione di donazioni, sondaggi e ricerche in base alla condizione del “legittimo interesse” (art. 6, comma 1, lettera f, GDPR, considerando C47 e Opinion 6/2014 del Working Party 29) dell’Istituto. Tale legittimo interesse sta nel mantenere costante il rapporto instaurato con Lei, per mantenerLa informata sulle azioni di sensibilizzazione che si ritiene utile far conoscere per dimostrare il proprio costante impegno nella realizzazione della propria missione di interesse collettivo e sociale in ambito medico. Tale legittimo interesse è ammesso ai sensi della normativa sopra richiamata, quale meccanismo alternativo al consenso esplicito dell’interessato. Tale legittimo interesse è acquisito dall’Istituto (e controbilanciato dall’interesse della persona) nella misura in cui – tramite le proprie azioni sul sito (es.: adesione a progetto, donazione del 5Xmille) – l’utente ha dimostrato di essere interessato e condividere i principi aziendali. Per tali attività, i dati saranno conservati nei nostri archivi per il periodo temporale necessario a erogare tali servizi di informazione. Ovviamente, tale periodo di conservazione è esteso fintanto che dura l’interesse della persona a rimanere in contatto con l’Istituto: se non ha più interesse, è sufficiente sia comunicato all’indirizzo dpo@aosp.bo.it e saranno adottate le appropriate misure tecniche e organizzative per non disturbarLa oltre e porre fine al trattamento per tali ulteriori fini.

Nell’ambito della teleassistenza/telemedicina o anche delle second opinion/team multidisciplinari in ambito laboratoristico, di diagnostica per immagini o in generale in altri percorsi di integrazioni tra Aziende metropolitane (ad es. prestazioni di medicina nucleare, fornitura di antiblastici e preparati galenici, pacs, laboratorio unico metropolitano, trasfusionale unico metropolitano) la trasmissione, anche tramite collegamenti telematici bidirezionali, di dati ad altra azienda sanitaria avviene in conformità alle leggi e ai regolamenti e attraverso percorsi stabilmente integrati e condivisi per i quali si realizza una situazione di contitolarità del trattamento oppure si stabilisce tra le strutture un rapporto titolare/responsabile senza la necessità di acquisire uno specifico consenso

Ulteriori trattamenti di dati relativi alla salute saranno effettuati mettendo a disposizione dell’interessato informazioni integrative e richiedendo, se previsto, uno specifico ed esplicito consenso. Si tratta ad esempio di trattamenti connessi:

  • all’implementazione del Dossier Sanitario Elettronico o del Fascicolo Sanitario Elettronico;
  • all’implementazione dei sistemi di sorveglianza/registri di patologia;
  • a scopi di ricerca scientifica anche nell’ambito delle sperimentazioni cliniche (tranne alcuni casi specifici previsti dalla legge);
  • al trattamento di dati genetici e/o biometrici;
  • alla comunicazione di dati al medico di fiducia o ad altri soggetti (es. Rete SOLE);
  • a servizi di refertazione on line.

Saranno altresì disponibili ulteriori e specifiche informative in relazione a particolari attività amministrative che comportano il trattamento di c.d. particolari (quali ad es. informativa relativa al trattamento delle segnalazioni, informativa relativa al contenzioso).

Infine nel caso in cui un soggetto esterno svolga attività per conto dell’Istituto, il trattamento dei dati personali necessari si svolge sulla base di un contratto che precisa le rispettive responsabilità nel trattamento e costituisce la base giuridica che lo consente. Tali soggetti sono individuati quali Responsabili del trattamento e sono ricondotti nell’ambito di trattamento del titolare: la messa a disposizione di dati personali a tali soggetti non richiede il consenso dell’interessato.

A chi possono essere comunicati i dati

I dati relativi allo stato di salute non sono oggetto di diffusione (non possono cioè essere resi noti ad un numero indeterminato di soggetti); possono invece essere comunicati, nei casi previsti da norme di legge o di regolamento, a soggetti pubblici e privati, enti ed istituzioni per il raggiungimento delle rispettive finalità. A titolo di esempio, si riportano alcuni soggetti cui l’Istituto può comunicare dati personali:

  • Soggetti pubblici (altre aziende sanitarie, Regione, Ministero della Salute) e privati coinvolti nel Suo percorso diagnostico terapeutico cui sono affidati compiti per obblighi di legge o per il perseguimento di fini istituzionali in attuazione di accordi, contratti, convenzioni ecc.;
  • Comune di residenza;
  • Regione Emilia-Romagna o regione di residenza (se diversa), per finalità amministrative di competenza regionale (es. flussi SDO e mobilità);
  • Servizi sociali dei Comuni per le attività connesse all’assistenza dei soggetti deboli;
  • Medici di medicina generale / Pediatri di libera scelta, quando previsto;
  • Soggetti qualificati ad intervenire in controversie in cui è parte l’Istituto (compagnie assicurative, legali, consulenti ecc.);
  • Forze dell'Ordine e Autorità Giudiziaria nei casi previsti dalla legge;
  • INPS/INAIL per gli scopi connessi alla tutela della persona assistita;
  • Soggetti terzi che effettuino operazioni di trattamento dati personali per conto dell’Istituto, appositamente qualificati “responsabili del trattamento” e tenuti al rispetto degli adempimenti in materia di protezione dati, in virtù di apposito contratto stipulato con l’Istituto;
  • Altri soggetti nei casi previsti da norma di legge o di regolamento.

Le informazioni relative al Suo stato di salute Le saranno comunicate tramite medico o altro professionista sanitario. Potranno essere comunicate anche ad un medico di Sua fiducia, da Lei prescelto. I dati inerenti al Suo stato di salute non possono essere comunicati a nessun altro, salvo che Lei ne dia specifica autorizzazione indicando al personale sanitario i nominativi dei soggetti cui vuole siano comunicate le informazioni sul Suo stato di salute.

Le precisiamo che Lei ha la facoltà di richiedere che la Sua presenza presso l’Istituto non sia resa nota ad alcuno.

Modalità di trattamento dei dati

I dati personali sono trattati su supporti informatici o cartacei; possono inoltre essere utilizzate modalità audio e video.

I dati personali sono comunque protetti, in modo da garantirne la sicurezza, la riservatezza e l’accesso al solo personale specificamente autorizzato.

I dati sono trattati da personale dipendente o da altri soggetti che collaborano con l’Istituto (ad es. medici in formazione specialistica, tirocinanti ecc.) tutti debitamente designati e a ciò autorizzati dal titolare o da un suo delegato / referente / tutor.

I Suoi dati sono conservati per il tempo necessario al perseguimento delle finalità per le quali sono trattati, fatto salvo il maggior tempo necessario per adempiere ad obblighi di legge, in ragione della natura del dato o del documento che lo contiene o per motivi di interesse pubblico o per l’esercizio di pubblici poteri, tenuto conto di quanto previsto dal Piano di conservazione della documentazione aziendale (cd. Massimario di scarto), pubblicato in allegato al Manuale di gestione dei documenti dell’Istituto Ortopedico Rizzoli al link:

https://www.ior.it/sites/default/files/media/documenti/FILE1%20e%20MASSIMARIO.pdf

In particolare, i dati relativi a ciascun episodio di ricovero, raccolti nella relativa cartella clinica, sono soggetti a conservazione illimitata.

È possibile che i dati personali possano essere trasferiti a soggetti di un altro Paese, anche all'esterno dell'Unione Europea, se previsto da un obbligo di legge oppure in assolvimento di obblighi contrattuali verso un Responsabile del trattamento nominato dall’Istituto, ovvero nell'ambito di attività di ricerca e sperimentazione. I trasferimenti verso paesi extra UE ed organizzazioni internazionali saranno effettuati soltanto nel pieno rispetto del GDPR, anzitutto verificando se quel Paese offra un livello adeguato di protezione dei dati; in mancanza di tale requisito, il titolare o il responsabile del trattamento attuerà le garanzie a tutela dell'interessato previste dal GDPR (tra queste, in alcuni casi, la richiesta del consenso al trasferimento).

I diritti dell’interessato

In ogni momento Lei può esercitare il diritto di richiedere l’accesso ai suoi dati personali, la rettifica di dati inesatti, l’integrazione di dati incompleti, ai sensi e nei limiti degli artt. 15 e 16 del Regolamento. Inoltre, nelle ipotesi e per i motivi stabiliti dalla legge, in particolare agli artt. 18 e 21 del Regolamento, può richiedere la limitazione del trattamento dei suoi dati e può esercitare il diritto di opposizione al trattamento.

Ricorrendone i presupposti, Lei ha, altresì, il diritto di proporre reclamo all’Autorità Garante per la protezione dei dati personali ovvero all’autorità di controllo dello Stato membro UE in cui risiede abitualmente, lavora ovvero del luogo ove si è verificata la presunta violazione, secondo le procedure previste ai sensi dell’art. 77 del Regolamento.

Titolare del trattamento e Responsabile della Protezione dei Dati (DPO)

Il Titolare del trattamento è l’Istituto Ortopedico Rizzoli con sede a Bologna, Via di Barbiano n. 1/10, telefono 051.6366704, PEC: direzione.generale@pec.ior.it

Il Responsabile della Protezione dei Dati, con sede a Bologna c/o IRCCS Azienda Ospedaliero-Universitaria di Bologna, può essere contattato all’indirizzo e-mail: dpo@aosp.bo.it - PEC: dpo@pec.aosp.bo.it

Ogni ulteriore informazione riguardante il trattamento dei Suoi dati, anche relativamente al trattamento dei dati per ulteriori attività, è reperibile sul sito istituzionale dell’Istituto www.ior.it

Documenti e video allegati