Seguici sui:
Cerca

Policy privacy e protezione del dato personale

“noi siamo le nostre informazioni” Stefano Rodotà

Questa pagina web è parte integrante della Carta dei Servizi

La presente sezione contiene informazioni circa la protezione dei dati personali e la tutela della riservatezza degli interessati da parte dell’IRCCS Azienda Ospedaliero Universitario di Bologna.

Il trattamento dei dati personali è disciplinato da:

  • Regolamento (UE) 2016/679 del 25 maggio 2016 sul trattamento dei dati personali (GDPR), che detta regole comuni per tutti i Paesi della Comunità Europea con lo scopo di eliminare disparità di trattamento nei confronti dei soggetti interessati al trattamento e assicurare una maggiore e specifica tutela dei cittadini europei e dei loro dati personali.
  • Codice Privacy, ovvero il D.Lgs. 196 del 30 giugno 2023 e s.m.i., che disciplina il trattamento dei dati personali in Italia, in conformità al regolamento europeo (GDPR).
  • Atti emanati dal Garante Privacy (ad es. Autorizzazioni Generali, Linee Guida, Provvedimenti sanzionatori) finalizzati ad applicare le disposizioni del GDPR e del Codice Privacy
  • Disposizioni Regionali: in particolare la Regione Emilia-Romagna attraverso l’approvazione del Regolamento Regione Emilia-Romagna n. 1 del 30/05/2014 ha autorizzato il trattamento di dati sensibili o giudiziari per determinate finalità amministrative correlate alla cura, senza necessità di acquisire il consenso dell’interessato.
  • Disposizioni aziendali il cui scopo è quello di fornire alle strutture dell’IRCCS Azienda Ospedaliero Universitario di Bologna gli strumenti necessari a garantire che la relazione con gli interessati (lavoratori, utenti, cittadini) sia sempre improntata al rispetto della dignità della persona e della sua riservatezza.

Di seguito sono esposte alcune informazioni, o rinvii a pagine dedicate, che descrivono le modalità con le quali l’IRCCS Azienda Ospedaliero Universitario di Bologna tratta i dati personali degli interessati (lavoratori, utenti, cittadini).

Informazioni utili

L’IRCCS Azienda Ospedaliero Universitario di Bologna, nel definire le finalità del trattamento ed i mezzi necessari per esso, si configura quale Titolare del trattamento dei dati.

Tutti i soggetti operanti all’interno dell’IRCCS Azienda Ospedaliero Universitario di Bologna (ad. es. dipendenti, collaboratori, titolari di rapporto di lavoro autonomo, medici in formazione specialistica, studenti tirocinanti, frequentatori volontari, dottorandi, assegnisti di ricerca autorizzati all’attività di assistenza, etc.) sono autorizzati al trattamento all’atto dell’instaurazione del rapporto con l’IRCCS Azienda Ospedaliero Universitario di Bologna

Il Titolare del trattamento, nei casi in cui abbia bisogno di know-how o expertise specifici per lo svolgimento delle proprie attività può avvalersi di soggetti esterni (pubblici o privati, in virtù di rapporti contrattuali o convenzionali), che assumono il ruolo di Responsabili del trattamento ai sensi dell’art. 28 del GDPR. In ogni caso, essi sono autorizzati al trattamento attraverso la sottoscrizione di un accordo proposto dal Titolare che contiene adeguate istruzioni per il trattamento:.

In taluni casi residuali, quando il Titolare concorre a definire congiuntamente ad altri soggetti (pubblici o privati) la definizione delle finalità del trattamento e dei mezzi da utilizzare per esso può stipulare un accordo di contitolarità ai sensi dell’art. 26 del GDPR.

Il Titolare ha individuato il Responsabile della Protezione dei Dati – Data Protection Officer interaziendale (DPO). Il DPO agisce in posizione di indipendenza ed autonomia e riferisce direttamente al Titolare del trattamento dei dati. Esso è coinvolto in tutte le questioni che riguardano la protezione dei dati personali al fine di assicurare il corretto adeguamento alla normativa e funge da raccordo tra l'Autorità Garante e il Titolare, con compiti di consulenza e garanzia. Inoltre, il DPO è il soggetto cui possono essere rivolte le istanze per l’esercizio dei diritti dal 15 al 22 del GDPR. Tali diritti si esercitano utilizzando la modulistica (vedasi sezione "Diritti degli interessati") e trasmettendo una richiesta a:

Dall’entrata in vigore del GDPR, il consenso del paziente per i trattamenti necessari per l'erogazione di una prestazione sanitaria, di norma non è richiesto, mentre permane sempre l’obbligo di informare adeguatamente gli interessati.

Alle seguenti sezioni è possibile consultare le informative per i singoli trattamenti effettuati per:

Tuttavia, per alcuni trattamenti in ambito sanitario (FSE, DSE, referti on line) rimane la necessità di raccogliere il consenso dell'interessato:

Ai fini del corretto trattamento dei dati personali è necessario stabilire un periodo per la conservazione dei dati personali, oltre il quale questi devono essere obbligatoriamente cancellati. Questa specifica operazione di trattamento si definisce anche Data Retention.

Per la conservazione dei dati da parte degli Enti del Servizio Sanitario Nazionale detto termine è disciplinato dal cosiddetto massimario aziendale di scarto e/o da norme di legge. Ogni informativa contiene le informazioni in relazione a questo specifico trattamento.

Dunque, con l’espressione data retention ci si riferisce al periodo della conservazione dei dati. Inoltre, il GDPR all'articolo 11 specifica anche le modalità con cui detta operazione di trattamento deve avvenire. Ovvero, i dati sono conservati in una forma che permette l'identificazione del soggetto interessato.

Si definisce data breach qualunque violazione di sicurezza che comporti - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Di seguito sono elencati alcuni possibili esempi:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

In caso di violazione dei dati, l'IRCCS Azienda Ospedaliero-Universitaria di Bologna (Titolare del trattamento) adotta immediate misure di sicurezza tese a interrompere la causa di violazione e ridurre l’impatto di essa sui diritti e le libertà fondamentali degli interessati. A tal fine il Titolare ha codificato una procedura aziendale.

La procedura, nei casi previsti dalla legge, prevede anche la notifica all’Autorità Garante e/o ai singoli interessati.

  • Istruzione operativa aziendale per la gestione di un data breach clicca qui
  • Report del responsabile del trattamento per la comunicazione del data breach clicca qui

Gli interessati al trattamento dei dati sono le persone fisiche cui si riferiscono i dati personali oggetto di trattamento.

Nell’ambito del Servizio Sanitario Nazionale gli interessati sono ad esempio gli assistiti. Quando una persona fisica fornisce i propri dati personali, ad esempio, per la presa in carico per finalità di cura si qualifica come interessato.

Il GDPR riconosce i seguenti diritti agli interessati:

  • Diritto di accesso (art. 15)
  • Diritto di rettifica (art. 16)
  • Diritto di cancellazione (o diritto all’oblio art. 17)
  • Diritto alla limitazione del trattamento (art. 18)
  • Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento da parte del titolare del trattamento (art. 19)
  • Diritto alla portabilità dei dati (art. 20)
  • Dritto di opposizione (art. 21)
  • Diritto di non essere sottoposti a decisioni automatizzate (art. 22)
  • Diritto a proporre il reclamo all’autorità di controllo (art. 77)

Anche l’esercizio dei diritti degli interessati ai sensi degli artt. 12-22 del Regolamento UE 2016/679, in ambito aziendale, è disciplinato da un’apposita procedura.

  • Procedura aziendale per la gestione dei diritti dell'interessato al trattamento dei dati personali clicca qui
  • Modulo per l'esercizio di diritti in materia di protezione dei dati personali clicca qui
  • Diritto di accesso alle immagini raccolte tramite videosorveglianza:
    All’interessato sono riconosciuti i diritti di cui agli artt. 15-22 del Regolamento (UE) 2016/679 e, in particolare, il diritto di accedere ai propri dati personali, di verificare le finalità, le modalità e la logica del trattamento, di opporsi al trattamento e di richiedere la cancellazione nel caso i dati siano stati raccolti in violazione di legge.
    L’interessato potrà esercitare tali diritti secondo le modalità e le forme previste dalla relativa procedura aziendale indirizzando la richiesta al Responsabile delle Videosorveglianza aziendale che provvederà a condividere la stessa con il DPO (dpo@aosp.bo.it) e la Funzione Privacy (ufficio.privacy@aosp.bo.it).
    Resta ovviamente inteso che, in riferimento alle immagini registrate, non è in concreto esercitabile il diritto di aggiornamento, rettifica o integrazione in di cui all’art. 16 del Regolamento Europeo n. 679/2016 in considerazione della natura intrinseca dei dati raccolti, in quanto si tratta di immagini raccolte in tempo reale riguardanti un fatto obiettivo.
    Nel caso di richiesta di copia di immagini registrate in cui compaiano soggetti terzi, le stesse possono essere rilasciate solo previo oscuramento di tutti gli elementi identificativi dei soggetti terzi coinvolti.
    Qualora invece la richiesta di accesso sia espressamente diretta ad acquisire informazioni o dati di terzi, al fine di far valere e difendere un proprio diritto in sede giudiziaria, l’interessato dovrà presentare al Responsabile della videosorveglianza aziendale richiesta motivata in tal senso, volta ad ottenere la conservazione delle immagini al fine di consentire l’acquisizione delle stesse, previa presentazione di ufficiale richiesta, da parte dell’Autorità Giudiziaria e/o della Polizia Giudiziaria, oppure del proprio difensore di fiducia (ai sensi degli artt. 391-bis e ss del Codice di Procedura Penale).

Pagina web del Garante della privacy dedicata ai diritti degli interessati

Al fine di proteggere i dati personali degli assistiti, dei cittadini, dei dipendenti o collaboratori, interessati il Titolare ha adottato alcune policy specifiche:

  • Disposizioni in merito all’utilizzo nelle strutture aziendali di smartphone e di dispositivi elettronici in grado di raccogliere, riprodurre, diffondere file audio, immagini e video.
  • Videosorveglianza.
  • Linee Guida sull’utilizzo della posta elettronica e di internet.
  • Regolamento per amministratore di sistema.

Provvedimento dell'Autorità Garante che ne ha affermato la Titolarità Autonoma

Informazioni sul trattamento dei dati personali relative alle attività di sorveglianza sanitaria e alla gestione delle cartelle sanitarie a cura del medico competente/autorizzato clicca qui

Ufficio Privacy
e-mail: ufficio.privacy@aosp.bo.it
PEC: PEIdirezione.generale@pec.aosp.bo.it


Responsabile della Protezione dei Dati (RPD) | Data Protection Officer (DPO)
e-mail: dpo@aosp.bo.it
PEC: dpo@pec.aosp.bo.it