La presente sezione contiene informazioni circa la protezione dei dati personali e la tutela della riservatezza degli interessati da parte dell’IRCCS Azienda Ospedaliero Universitario di Bologna.
Il trattamento dei dati personali è disciplinato da:
- Regolamento (UE) 2016/679 del 25 maggio 2016 sul trattamento dei dati personali (GDPR), che detta regole comuni per tutti i Paesi della Comunità Europea con lo scopo di eliminare disparità di trattamento nei confronti dei soggetti interessati al trattamento e assicurare una maggiore e specifica tutela dei cittadini europei e dei loro dati personali.
- Codice Privacy, ovvero il D.Lgs. 196 del 30 giugno 2023 e s.m.i., che disciplina il trattamento dei dati personali in Italia, in conformità al regolamento europeo (GDPR).
- Atti emanati dal Garante Privacy (ad es. Autorizzazioni Generali, Linee Guida, Provvedimenti sanzionatori) finalizzati ad applicare le disposizioni del GDPR e del Codice Privacy
- Disposizioni Regionali: in particolare la Regione Emilia-Romagna attraverso l’approvazione del Regolamento Regione Emilia-Romagna n. 1 del 30/05/2014 ha autorizzato il trattamento di dati sensibili o giudiziari per determinate finalità amministrative correlate alla cura, senza necessità di acquisire il consenso dell’interessato.
- Disposizioni aziendali il cui scopo è quello di fornire alle strutture dell’IRCCS Azienda Ospedaliero Universitario di Bologna gli strumenti necessari a garantire che la relazione con gli interessati (lavoratori, utenti, cittadini) sia sempre improntata al rispetto della dignità della persona e della sua riservatezza.
- Atti di organizzazione (Modello organizzativo privacy (organigramma)).
- Linee Guida per l’applicazione del Regolamento (UE) 2016/679 (GDPR).
- Regolamento per amministratore di sistema.
Di seguito sono esposte alcune informazioni, o rinvii a pagine dedicate, che descrivono le modalità con le quali l’IRCCS Azienda Ospedaliero Universitario di Bologna tratta i dati personali degli interessati (lavoratori, utenti, cittadini).
Ruoli privacy aziendali e architettura dei trattamenti
L’IRCCS Azienda Ospedaliero Universitario di Bologna, nel definire le finalità del trattamento ed i mezzi necessari per esso, si configura quale Titolare del trattamento dei dati.
Tutti i soggetti operanti all’interno dell’IRCCS Azienda Ospedaliero Universitario di Bologna (ad. es. dipendenti, collaboratori, titolari di rapporto di lavoro autonomo, medici in formazione specialistica, studenti tirocinanti, frequentatori volontari, dottorandi, assegnisti di ricerca autorizzati all’attività di assistenza, etc.) sono autorizzati al trattamento all’atto dell’instaurazione del rapporto con l’IRCCS Azienda Ospedaliero Universitario di Bologna
Il Titolare del trattamento, nei casi in cui abbia bisogno di know-how o expertise specifici per lo svolgimento delle proprie attività può avvalersi di soggetti esterni (pubblici o privati, in virtù di rapporti contrattuali o convenzionali), che assumono il ruolo di Responsabili del trattamento ai sensi dell’art. 28 del GDPR. In ogni caso, essi sono autorizzati al trattamento attraverso la sottoscrizione di un accordo proposto dal Titolare che contiene adeguate istruzioni per il trattamento:.
- Istruzioni in uso fino al 21/02/2024
- Istruzioni in uso dal 21/02/2024: a decorre dal 21/02/2024 le istruzioni vengono allegate all'atto giuridico che regolamenta il rapporto tra Titolare e Responsabile
In taluni casi residuali, quando il Titolare concorre a definire congiuntamente ad altri soggetti (pubblici o privati) la definizione delle finalità del trattamento e dei mezzi da utilizzare per esso può stipulare un accordo di contitolarità ai sensi dell’art. 26 del GDPR.
Il Titolare ha individuato il Responsabile della Protezione dei Dati – Data Protection Officer interaziendale (DPO). Il DPO agisce in posizione di indipendenza ed autonomia e riferisce direttamente al Titolare del trattamento dei dati. Esso è coinvolto in tutte le questioni che riguardano la protezione dei dati personali al fine di assicurare il corretto adeguamento alla normativa e funge da raccordo tra l'Autorità Garante e il Titolare, con compiti di consulenza e garanzia. Inoltre, il DPO è il soggetto cui possono essere rivolte le istanze per l’esercizio dei diritti dal 15 al 22 del GDPR. Tali diritti si esercitano utilizzando la modulistica (vedasi sezione "Diritti degli interessati") e trasmettendo una richiesta a:
L’informativa e il consenso dell’interessato
Dall’entrata in vigore del GDPR, il consenso del paziente per i trattamenti necessari per l'erogazione di una prestazione sanitaria, di norma non è richiesto, mentre permane sempre l’obbligo di informare adeguatamente gli interessati.
Alle seguenti sezioni è possibile consultare le informative per i singoli trattamenti effettuati per:
- attività di cura;
- attività amministrativa;
- cookies policy;
- applicativi sanitari o di diversa categoria;
- attività di ricerca e sperimentazione clinica (con link ipertestuale anche da sezione ricerca).
Tuttavia, per alcuni trattamenti in ambito sanitario (FSE, DSE, referti on line) rimane la necessità di raccogliere il consenso dell'interessato:
- Per i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico (FSE), è richiesto il rilascio del consenso da parte dell’interessato per la sola consultazione da parte dei professionisti (l’attivazione e l’alimentazione del FSE è prevista dalla Legge).
- I trattamenti effettuati attraverso il Dossier Sanitario Elettronico (DSE) - english version, richiedono l'acquisizione del consenso dell'interessato per la sua costituzione.
- L’accesso ai referti on line richiede il rilascio del consenso dell’interessato.
- Il trattamento di dati genetici per finalità assistenziale:
Data retention
Il tempo di conservazione dei dati personali raccolti è disciplinato dal massimario aziendale di scarto e/o da norme di legge. Ogni informativa contiene le informazioni in relazione a questa specifica attività.
La violazione dei dati (data breach)
In caso di violazione dei dati, il Titolare adotta immediate misure di sicurezza tese a interrompere la causa di violazione e ridurre l’impatto di essa sui diritti e le libertà fondamentali degli interessati. A tal fine il Titolare ha codificato una procedura aziendale.
La procedura, nei casi previsti dalla legge, prevede anche la notifica all’Autorità Garante e/o ai singoli interessati.
- Istruzione operativa aziendale per la gestione di un data breach clicca qui
- Report del responsabile del trattamento per la comunicazione del data breach clicca qui
Diritti degli interessati
Anche l’esercizio dei diritti degli interessati ai sensi degli artt. 12-22 del Regolamento UE 2016/679, in ambito aziendale, è disciplinato da un’apposita procedura.
- Procedura aziendale per la gestione dei diritti dell'interessato al trattamento dei dati personali clicca qui
- Esercizio di diritti in materia di protezione dei dati personali clicca qui
- Diritto di accesso alle immagini raccolte tramite videosorveglianza:
All’interessato sono riconosciuti i diritti di cui agli artt. 15-22 del Regolamento (UE) 2016/679 e, in particolare, il diritto di accedere ai propri dati personali, di verificare le finalità, le modalità e la logica del trattamento, di opporsi al trattamento e di richiedere la cancellazione nel caso i dati siano stati raccolti in violazione di legge.
L’interessato potrà esercitare tali diritti secondo le modalità e le forme previste dalla relativa procedura aziendale indirizzando la richiesta al Responsabile delle Videosorveglianza aziendale che provvederà a condividere la stessa con il DPO (dpo@aosp.bo.it) e la Funzione Privacy (ufficio.privacy@aosp.bo.it).
Resta ovviamente inteso che, in riferimento alle immagini registrate, non è in concreto esercitabile il diritto di aggiornamento, rettifica o integrazione in di cui all’art. 16 del Regolamento Europeo n. 679/2016 in considerazione della natura intrinseca dei dati raccolti, in quanto si tratta di immagini raccolte in tempo reale riguardanti un fatto obiettivo.
Nel caso di richiesta di copia di immagini registrate in cui compaiano soggetti terzi, le stesse possono essere rilasciate solo previo oscuramento di tutti gli elementi identificativi dei soggetti terzi coinvolti.
Qualora invece la richiesta di accesso sia espressamente diretta ad acquisire informazioni o dati di terzi, al fine di far valere e difendere un proprio diritto in sede giudiziaria, l’interessato dovrà presentare al Responsabile della videosorveglianza aziendale richiesta motivata in tal senso, volta ad ottenere la conservazione delle immagini al fine di consentire l’acquisizione delle stesse, previa presentazione di ufficiale richiesta, da parte dell’Autorità Giudiziaria e/o della Polizia Giudiziaria, oppure del proprio difensore di fiducia (ai sensi degli artt. 391-bis e ss del Codice di Procedura Penale). - Diritto di oscuramento sul DSE esercitabile previa compilazione di apposito modulo di richiesta.
Pagina web del Garante della privacy dedicata ai diritti degli interessati
Specifiche policy
Al fine di proteggere i dati personali degli assistiti, dei cittadini, dei dipendenti o collaboratori, interessati il Titolare ha adottato alcune policy specifiche:
- Modalità di consegna dei referti HIV
- Disposizioni in merito all’utilizzo nelle strutture aziendali di smartphone e di dispositivi elettronici in grado di raccogliere, riprodurre, diffondere file audio, immagini e video.
- Videosorveglianza.
- Linee Guida sull’utilizzo della posta elettronica e di internet.
Ricerca scientifica
Medico competente
Provvedimento dell'Autorità Garante che ne ha affermato la Titolarità Autonoma
Informazioni sul trattamento dei dati personali relative alle attività di sorveglianza sanitaria e alla gestione delle cartelle sanitarie a cura del medico competente/autorizzato clicca qui
