Protezione dati

Il diritto comunitario a protezione dei dati del cittadino europeo

Il 27 aprile 2016 il Parlamento europeo e il Consiglio d’Europa hanno approvato il “General Data Protection Regulation”, in italiano “Regolamento Generale per la protezione dei dati”, UE/2016/679.

Dalle iniziali del testo in inglese deriva l’acronimo “GDPR”.

Il GDPR è entrato in vigore contemporaneamente in tutti i 28 Paesi aderenti all’Unione il 24 maggio 2016.

Il legislatore europeo ha previsto un termine di 24 mesi perché ciascun Paese e ciascuna organizzazione pubblica o privata operante nell’Unione potesse adeguare la propria organizzazione, le procedure e gli strumenti in modo tale da poter assicurare pari diritti ed eguale protezione dei dati ai 510 milioni di cittadini europei nel rispetto dei sei princìpi ispiratori della “Carta fondamentale dei diritti dell’UE”: dignità, libertà, uguaglianza, solidarietà, cittadinanza, giustizia.

A partire da venerdì 25 maggio 2018

il Regolamento ha trovato piena attuazione in tutti i 28 Paesi aderenti all’Unione europea.

Il GDPR ha stabilito norme relative alla protezione delle persone fisiche nel momento in cui sono trattati (raccolti, utilizzati, conservati, trasmessi) dati personali e ne ha regolamentato la libera circolazione all’interno della UE, nell’intento di proteggere i diritti e le libertà fondamentali della Persona.

Una particolare attenzione è stata rivolta ai dati richiesti all’assistito nel momento in cui necessita di servizi di diagnosi, cura o assistenza sociale poiché un’inadeguata protezione di tali dati, una raccolta con modalità inadeguate o un’utilizzazione non pertinente alle reali necessità informative, possono provocare danni irreparabili per la dignità della Persona e per il suo diritto all’autodeterminazione e alla riservatezza.

Linee guida del Regolamento sono la responsabilizzazione e la protezione.

La “privacy”, seppure sia un’espressione molto utilizzata dai media, è una “semplice” conseguenza della corretta attuazione dei due principi cardine individuati dal legislatore europeo.

In quanto ho analizzato e modellato correttamente la mia attività e nella misura nella quale ho adottato idonee misure organizzative, tecnologiche, di indirizzo e di vigilanza, ho responsabilizzato gli operatori e sono in grado di proteggere adeguatamente i dati.

Dunque nelle pagine che seguono non faremo mai riferimento al termine “privacy”, ma forniremo informazioni all’utente dell’ospedale circa l’organizzazione, i ruoli, i diritti e le modalità di esercizio previste dal GDPR e dal Codice per la protezione dei dati personali, per la parte tuttora in vigore perché non in contrasto con le norme comunitarie.

L’Azienda Policlinico e la protezione dei dati dei suoi assistiti

L’Azienda Policlinico Umberto I garantisce ai suoi assistiti che il trattamento dei dati personali sia effettuato nel rispetto dei diritti e delle libertà fondamentali della Persona, assicurando la riservatezza e la sicurezza delle informazioni nel presupposto che identità fisica e identità digitale godano degli stessi diritti e debbano essere protette da adeguate ed idonee misure di rispetto e di protezione.

Tali princìpi trovano particolare fondamento negli articoli 2 e 3 della Costituzione italiana.

Il trattamento dei dati personali da parte del Policlinico, improntato a principi di correttezza, liceità e legittimità, riserva una particolare attenzione a che ogni azione sui dati da parte del personale dell’ospedale non vada mai oltre le finalità per le quali è necessario che gli stessi dati siano raccolti.

In questa sezione del portale internet Le illustriamo le ragioni per le quali il personale sanitario avrà bisogno di acquisire informazioni sulla Sua persona e dovrà registrarle utilizzando la modulistica e i sistemi informatici adottati dall’ospedale, costituendo così la cartella clinica e i referti clinico-diagnostici.

La costituzione della documentazione sanitaria risponde infatti a specifici obblighi di legge ai quali l’ospedale non può sottrarsi sia per ragioni medico-legali che di remunerazione delle prestazioni erogate e di contenimento del rischio clinico.

Le pagine che seguono, unitamente a quanto Le comunicherà il medico al momento dell’accettazione, Le consentiranno di acquisire gli elementi necessari per poter esprimere liberamente e consapevolmente il consenso informato che Le sarà richiesto.

Infine, per consentire un’adeguata responsabilizzazione delle figure apicali dell’ospedale e una maggiore attenzione ai processi operativi riguardanti i dati degli assistiti, il Policlinico ha nominato la nuova figura prevista dal GDPR, il “Data Protection Officer” (DPO), ed ha adottato un sistema di delega di funzioni che coinvolga livelli decisionali e operativi più prossimi alla produzione di servizi.

Nelle pagine che seguono troverà le informazioni riguardanti tutti gli aspetti finora affrontati.

Perché è necessario acquisire (trattare) dati personali nel corso di un episodio di cura?

Per “trattamento” si intende qualunque operazione effettuata dal personale dell’Azienda Policlinico utilizzando modulistica cartacea o sistemi informatici, riguardante la raccolta, la conservazione, l’utilizzazione o la trasmissione dei dati.

I dati che Le verranno richiesti saranno oggetto di trattamento per finalità di cura della Sua persona.

Una parte dei dati saranno inoltre comunicati alla Regione Lazio per ottenere il rimborso delle prestazioni erogate, così come prescritto da specifiche norme di legge.

Nei limiti di specifiche norme di legge o regolamentari a livello nazionale o regionale, alcuni dati potranno essere comunicati al Ministero della Salute e ad altre amministrazioni per fini di tutela della salute pubblica e di analisi epidemiologica.

Per quanto riguarda il Policlinico, i Suoi dati saranno trattati dal personale sanitario (medici, medici specializzandi, personale delle professioni sanitarie, etc.):

  • del Reparto che La prenderà in cura;
  • delle strutture diagnostiche dell’ospedale alle quali saranno richieste consulenze, esami di diagnostica per immagini, di laboratorio o di Anatomia patologica, o eventuali procedure chirurgiche;
  • dei Reparti che, a turno, assicureranno servizi di guardia anche nelle ore notturne e nei giorni festivi;
  • dal personale operante nel blocco operatorio
  • delle funzioni specialistiche della Farmacia ospedaliera alle quali sarà richiesta l’eventuale preparazione di particolari farmaci o di specifici presìdi medici, etc.

Tutti coloro che, nei diversi profili professionali sanitari, partecipando alla cura della Sua persona, hanno necessità e sono tenuti a conoscere e utilizzare i dati strettamente necessari per l’esecuzione della procedura di loro competenza.

Tutti i profili professionali sanitari che parteciperanno al percorso di cura come anche tutte le funzioni logistiche e tecniche di supporto sono comunque tenute al rispetto del segreto professionale e del vincolo di riservatezza.

 

In quali modalità saranno trattati i miei dati?

Durante il percorso di cura i dati saranno trattati prevalentemente in forma elettronica:

  • in attuazione di specifiche norme regionali e ministeriali riguardanti la registrazione e la rendicontazione delle attività di emergenza, di ricovero e ambulatoriali;
  • tenendo conto delle esigenze di funzionamento delle moderne strumentazioni diagnostiche utilizzate dell’ospedale (laboratorio, diagnostica per immagini, anatomia, etc.).

I dati potranno essere raccolti anche utilizzando l’apposita modulistica cartacea predisposta dall’ospedale per la redazione della cartella clinica di legge e di alcuni referti.

L’integrazione dei dati raccolti in forma elettronica e cartacea consentirà ai medici che hanno cura della Sua persona di redigere e di costituire la documentazione sanitaria di legge (cartella clinica, scheda di dimissione ospedaliera, referti).

Dove sono registrati e conservati i miei dati?

I dati raccolti dal personale sanitario nel corso dell’episodio di cura, le osservazioni, le procedure, i referti e le terapie saranno registrati, a seconda dei casi, su apposita modulistica adottata dall’ospedale o sui suoi sistemi informatici.

La modulistica e i sistemi informatici sono lo strumento di redazione della documentazione sanitaria, la cui costituzione è prescritta da specifiche norme di legge e non può essere evitata.

L’utilizzo di uno dei due sistemi di redazione o di ambedue discende da obblighi normativi regionali o nazionali.

Per quanto riguarda i referti, l’utilizzazione di sistemi diagnostici basati esclusivamente su tecnologie informatiche non consente di utilizzare metodi analogici appartenenti ormai a un lontano passato.

L’integrazione in rete locale dei sistemi informatici e lo scambio di informazioni tra gli stessi, costituisce l’attuazione di specifiche norme regionali/nazionali e risponde alle esigenze di sicurezza e di qualità delle procedure stesse e di cura, indispensabili per contenere il rischio clinico.

La conservazione della modulistica è effettuata a cura del Dipartimento assistenziale, mentre la raccolta e conservazione delle cartelle cliniche, successivamente alla loro sottoscrizione da parte del medico che ha provveduto alla dimissione, è effettuata in apposito archivio la cui organizzazione e responsabilità è affidata al Direttore Sanitario.

Per quanto riguarda i dati registrati sui sistemi informatici aziendali, questi sono accessibili esclusivamente all’interno della rete locale dell’ospedale.

Possono accedervi i soli operatori specificamente autorizzati dal rispettivo Direttore del Dipartimento o dalla Direzione, e per questo incaricati del trattamento.

L’accesso ai sistemi informatici può essere eseguito esclusivamente utilizzando credenziali di autenticazione personali (codice identificativo e password) di cui ciascun operatore autorizzato è stato dotato.

Chi può trattare i miei dati raccolti in forma cartacea?

In fase di pubblicazione…

Chi può trattare i miei dati registrati in forma elettronica?

Il Policlinico Le assicura la massima tutela dei dati trattati in forma elettronica.

Tutti i sistemi informatici dell’ospedale possono essere acceduti esclusivamente da personale autorizzato del trattamento dei dati utilizzando uno specifico sistema informatico sulla base dello profilo professionale e del ruolo operativo conferitogli dal rispettivo dirigente.

A ciascun operatore autorizzato è rilasciata un’identità digitale (ID e password) corrispondente a uno specifico “profilo applicativo” che consente all’operatore di effettuare le sole operazioni a lui consentite dal rispettivo dirigente. La password scade automaticamente ogni 90 giorni di calendario.

Il Policlinico Umberto I è un’Azienda ospedaliera universitaria che integra, tra le sue finalità istituzionali, funzioni e attività assistenziali, didattiche e di ricerca.

Per questa ragione potranno trattare i Suoi dati anche operatori in formazione, nei limiti previsti dalle norme riguardanti l’assistenza sanitaria, gli ordinamenti didattici delle Scuole di specializzazione, la formazione permanente e la partecipazione a progetti di ricerca medica, biomedica e farmacologica.

Potranno inoltre trattare una parte dei Suoi dati operatori di ditte erogatrici di servizi e di associazioni di volontariato, specificamente autorizzati dall’ospedale nell’ambito di contratti di servizio o di convenzioni.

In ogni caso sia gli operatori sanitari in formazione che il personale di ditte o di associazioni di volontariato potranno accedere ai Suoi dati esclusivamente nei limiti dell’autorizzazione da parte del dirigente la rispettiva struttura, utilizzando credenziali personali rilasciate dal Policlinico, associate a uno specifico profilo professionale e ruolo operativo.

I dati sono protetti da criteri di cifratura e di sicurezza finalizzati a scongiurare accessi indebiti o sottrazione di dati. I data-base sono gestiti da specialisti specificamente “Incaricati” quali “Amministratori di sistema”.

Tutti coloro che sono autorizzati, con diversi profili e specifiche finalità, ad accedere ai sistemi informativi dell’ospedale sono tenuti al rispetto del segreto professionale e del vincolo di riservatezza.

Il personale sanitario ha il diritto di trattare tutti i miei dati?

Il personale sanitario che partecipa al percorso di cura è tenuto a trattare i dati riguardanti l’episodio di cura in corso (anagrafici, anamnestici, osservazioni, procedure, terapie, referti, etc.) utilizzando gli strumenti previsti dall’ospedale o prescritti da specifiche norme regionali o nazionali.

A seconda della tipologia di prestazione e di dati, gli strumenti previsti sono elettronici o tradizionali (cartacei).

Lei ha il diritto di decidere se consentire al personale sanitario di visualizzare i dati riguardanti eventuali episodi di cura precedenti, registrati dall’ospedale in forma elettronica.

La visualizzazione della Sua storia clinica è effettuata utilizzando una specifica funzione applicativa denominata “Dossier Sanitario Elettronico” (DSE), le cui finalità sono esclusivamente quelle di mettere a disposizione del personale sanitario il maggior numero di informazioni riguardanti la Sua storia clinica, così da rendere più efficaci e tempestive le attività di cura.

L’accesso alla funzione di DSE non è generalizzato per tutti i pazienti e non è consentito a tutti gli operatori dell’ospedale.

Ove ne condivida le finalità e l’utilità, solo Lei potrà consentire al personale sanitario di conoscere la Sua storia clinica esprimendo un apposito, specifico consenso informato al momento dell’accettazione.

In ogni caso la storia clinica che il personale sanitario potrà conoscere sarà limitata ai soli dati registrati nel corso di accessi all’ospedale a partire dall’anno 2000, ove questi siano stati trattati in forma elettronica per mezzo di sistemi informatici aziendali.

In nessun caso, quindi, la storia clinica che il medico potrà conoscere sarà esaustiva, non potendo comprendere né episodi precedenti trattati in forma cartacea né quelli avvenuti presso altre strutture del sistema sanitario o private.

Ovviamente Lei potrà comunque integrare le informazioni a disposizione del medico riferendo patologie, sintomi, procedure, terapie o episodi non presenti nei sistemi informatici dell’ospedale.

È opportuna la più stretta collaborazione e interazione tra assistito e personale sanitario.

Tuttavia, anche se Lei dovesse negare la visualizzazione della Sua storia clinica attraverso la funzione di DSE, il personale sanitario farà del suo meglio per assicurarLe le migliori cure possibili.

Lei potrà prendere visione delle strutture che hanno partecipato al processo di cura attraverso le osservazioni, i referti e le prescrizioni documentati nella cartella clinica.

La cartella Le sarà consegnata, su Sua richiesta, successivamente alla dimissione.

Il personale sanitario che non partecipa al percorso di cura non ha la possibilità e il diritto di accedere ai Suoi dati.

Come vengono conservati e protetti i miei dati?

I sistemi software dell’ospedale sono accessibili esclusivamente utilizzando credenziali di autenticazione (ID e password) personali associate a uno specifico profilo professionale e ruolo operativo.

Ciascun operatore dell’ospedale può accedere ai soli Reparti per i quali è stato autorizzato e può compiere le sole azioni per le quali è stato incaricato dal rispettivo dirigente.

Grazie al sistema di identificazione e di autenticazione, i sistemi dell’ospedale sono in grado di ricostruire l’accesso e le operazioni effettuate da ciascun operatore.

I dati (log) degli accessi sono conservati utilizzando particolari tecniche di cifratura e possono essere esaminati dagli amministratori di sistema per fini di sicurezza o per rispondere alle Sue richieste.

Possono inoltre essere estratti su richiesta dell’Autorità giudiziaria.

È Suo diritto chiedere di conoscere quale struttura, per quali ragioni e in quale data abbia acceduto i Suoi dati.

Cosa può essere comunicato ai miei familiari?

È Suo diritto autorizzare i medici del Reparto ad informare i Suoi familiari circa lo stato di salute, le patologie, le terapie e le procedure che saranno effettuate.

Per consentire al medico di informare i familiari da Lei indicati, dovrà esprimere l’apposito consenso informato che Le sarà richiesto al omento dell’accettazione.

In assenza del Suo consenso informato il medico non potrà informare i Suoi familiari.

Chi è il Titolare del trattamento dei dati dell'Azienda Policlinico?

“Titolare del trattamento dei dati” è l’Azienda ospedaliero-universitaria Policlinico Umberto I nella persona del Direttore Generale pro-tempore, domiciliato per la sua carica presso l’Azienda stessa, in viale del Policlinico 155, Roma.

Il “Titolare del trattamento”:

  • è la persona giuridica che determina le finalità e i mezzi autorizzati per il trattamento di dati personali;
  • mette in atto misure tecniche e organizzative adeguate per garantire che il trattamento di dati è effettuato conformemente al Regolamento europeo tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento stesso, considerando i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche;
  • è in grado di dimostrare la conformità e l’adeguatezza delle decisioni assunte in ordine alla protezione e al trattamento dei dati;
  • attua politiche adeguate di protezione dei dati;
  • effettua l’analisi dei processi e dei rischi al fine di migliorare la consapevolezza e la responsabilizzazione di tutti i soggetti operanti nell’ospedale;
  • effettua periodicamente la valutazione di impatto dei trattamenti e delle procedure eseguite sulla protezione dei dati personali;
  • assume decisioni organizzative e modella i processi in modo adeguato per assicurare la protezione dei dati; la non eccedenza e la pertinenza della loro raccolta, conservazione, utilizzazione e trasmissione; la loro sicurezza;
  • valuta l’efficacia delle decisioni organizzative e dei processi autorizzati;
  • aggiorna le misure di protezione e di sicurezza sulla base delle modificazioni organizzative e procedurali;
  • rende conformi all’evoluzione normativa i processi, le scelte organizzative e le misure di protezione dei dati e le adegua al progresso tecnologico;
  • definisce il sistema di delega di funzioni necessario per migliorare il livello di consapevolezza e di responsabilizzazione dei diversi livelli organizzativi e per un maggiore indirizzo e vigilanza sugli operatori autorizzati, incaricati del trattamento dei dati;
  • assicura l’informazione degli utenti dell’ospedale e, in particolare, quella degli assistiti;
  • assicura e agevola l’esercizio dei diritti dell’interessato in materia di trattamento dei dati;
  • redige e mantiene aggiornato un “Registro delle attività di trattamento” coerente con l’analisi dei rischi, con le valutazioni di impatto sulla protezione dei dati e con il sistema di identificazione, autorizzazione, profilazione e accesso degli operatori ai sistemi informatici dell’ospedale;
  • mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento;
  • mette in atto misure tecniche e organizzative adeguate (pseudonimizzazione) volte ad attuare in modo efficace i principi di protezione dei dati (minimizzazione) e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento ed a tutelare i diritti degli interessati;
  • coopera con l’Autorità di controllo (Garante per la protezione dei dati personali) nell’esecuzione dei compiti di sua pertinenza;
  • notifica all’Autorità di controllo garante eventuali violazioni dei dati personali entro 72 ore dal momento in cui ne viene a conoscenza e ne dà contestuale comunicazione all’interessato quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà della Persona;
  • consulta l’Autorità di controllo prima di procedere al trattamento qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento potrebbe presentare un rischio elevato qualora il Titolare non adottasse misure per attenuare il rischio;
  • nomina il “Responsabile della protezione dei dati” con il compito di fornirgli supporto di conoscenza in materia di protezione dei dati, di processi e trattamenti, e di cooperare con l’Autorità di controllo.

Contatti del Titolare del trattamento:

email: ufficioprotocollo@policlinicoumberto1.it

PEC: protocollo@pec.policlinicoumberto1.it

Chi sono i Delegati per la protezione dei dati dell’Azienda Policlinico?

Vista la complessità dell’ospedale e delle attività che vi si svolgono, il Titolare del trattamento ha attribuito specifiche deleghe di funzioni che consentano la necessaria prossimità alle funzioni produttive, una maggiore responsabilizzazione delle stesse, un migliore indirizzamento degli operatori e un’adeguata vigilanza sui processi, sulle procedure e sull’utilizzazione degli strumenti autorizzati per il trattamento dei dati.

“Delegati per la protezione dei dati” sono, ciascuno per le strutture e le funzioni ad essi sottoposte:

a) per la Direzione Generale
– Dirigente UOC SIO e flussi informativi sanitari, per gli uffici afferenti la UOC;
– Dirigente UOC Controllo di gestione, per gli uffici afferenti la UOC;
– Dirigente UOC Organizzazione, sviluppo e qualità, per gli uffici afferenti la UOC;
– Dirigente UOSD Risk management e audit clinico, per i componenti dell’ufficio e le relative attività;
– Dirigente Struttura tecnica MASTERPLAN, per i componenti dell’ufficio e le relative attività;
– Dirigente Struttura tecnica Unità di Ricerca Clinica e Clinical Competence (URCCC), per i componenti dell’ufficio e le relative attività;
– Dirigente Centro interdipartimentale Malattie Rare, per i componenti dell’ufficio e le relative attività;
– Dirigente Comunicazione – URP e Ufficio stampa;
– Dirigente Responsabile del Servizio di Prevenzione e Protezione;
– Dirigente Responsabile della prevenzione della corruzione e della trasparenza;

b) per la Direzione Sanitaria
– Direttore Sanitario per gli Uffici direttamente afferenti alla Direzione Sanitaria per le funzioni di governo clinico comuni a tutto l’ospedale;
– Direttore del Dipartimento delle Professioni sanitarie, per le funzioni afferenti al Dipartimento;
– Dirigente UOC Farmacia ospedaliera, per gli uffici afferenti alla UOC;
– Dirigente UOC Igiene ospedaliera, per gli uffici afferenti alla UOC;
– Dirigente UOC Organizzazione attività sanitarie, per gli uffici afferenti alla UOC;
– Presidente del Comitato etico, per i componenti e le funzioni del Comitato stesso;

c) per la Direzione Amministrativa
– Direttore Amministrativo per il personale direttamente afferente alla Direzione Amministrativa, nonché per le funzioni comuni a tutto   l’ospedale non rientranti nei punti a), b e d);
– Dirigente UOC Amministrazione del Personale, per gli Uffici afferenti alla UOC;
– Dirigente UOC Beni e Servizi, per gli Uffici afferenti alla UOC;
– Dirigente UOC Risorse economiche e finanziarie, per gli Uffici afferenti alla UOC;
– Dirigente UOC Ingegneria Clinica, per gli Uffici afferenti alla UOC;
– Dirigente UOC Tecnico-patrimoniale, per gli Uffici afferenti alla UOC;
– Dirigente UOC Affari istituzionali, Legali e coordinamento del contenzioso, per gli Uffici afferenti alla UOC;
– Dirigente UOC Sistemi informatici e Informativi, per gli Uffici afferenti alla UOC;
– Dirigente UOSD ALPI (Attività libero-professionale intramuraria) per le funzioni e le attività riguardanti l’esercizio della libera professione;
– RUP di ciascuna, specifica fornitura o convenzione di servizi;

d) per i Dipartimenti assistenziali ad attività integrata (DAI):

–   Direttori di Dipartimento per le strutture organizzative e le funzioni sanitarie afferenti a ciascun Dipartimento:

–   Responsabili amministrativi di Dipartimento per:

  • le strutture amministrative e logistiche afferenti al DAI;
  • la valutazione dipartimentale di impatto sui dati personali derivante da tecnologie utilizzate e gestite in autonomia dal Dipartimento nell’ambito delle funzioni integrate dell’ospedale;
  • l’accreditamento di tutto il personale del DAI per il rilascio delle credenziali di autenticazione necessarie per l’accesso ai sistemi IT dell’ospedale

 

I “Delegati” sono stati designati con atto individuale contenente specifiche informazioni e istruzioni riguardanti:

  • le procedure, le funzioni, le modalità e le responsabilità riguardanti l’esercizio del ruolo affidato;
  • l’obbligo di designazione degli operatori autorizzati, incaricati dell’effettuazione dei trattamenti previsti;
  • le funzioni di indirizzo, vigilanza, valutazione dei processi, delle procedure e degli strumenti autorizzati.

Contatti dei delegati per la protezione dei dati, ciascuno per gli ambiti di rispettiva competenza:

email: ufficioprotocollo@policlinicoumberto1.it

PEC: protocollo@pec.policlinicoumberto1.it

 

Chi è il personale autorizzato, incaricato del trattamento dei dati dell'Azienda Policlinico?

Coloro che operano nell’ospedale nei diversi ruoli professionali (dipendenti, in formazione, fornitori di servizi, volontari di associazioni) sono stati autorizzati ad esercitare uno specifico ruolo operativo, sono stati incaricati di attuare i processi previsti e di trattare i dati degli assistiti utilizzando le forme e gli strumenti specificamente autorizzati.

Tutti gli incaricati ricevono dal rispettivo Delegato per la protezione dei dati specifiche informazioni ed istruzioni circa le procedure, le funzioni, le modalità, le responsabilità e gli strumenti autorizzati.

Sono stati inoltre istruiti circa l’obbligo di recare ben visibile il badge aziendale, così che Lei abbia possibilità di distinguerne la funzione. È Suo diritto far valere questa obbligazione.

Il Data Protection Officer (DPO) dell’Azienda Policlinico

Come previsto dall’art. 37 del Regolamento europeo, l’Azienda Policlinico ha nominato il proprio Data Protection Officer (DPO) o “Responsabile della Protezione dei dati” (RPD) nella persona dell’Avv. Isabella Lucati.

Come previsto dall’art. 39 del GDPR il DPO ha il compito di:

– informare e fornire consulenza al Titolare e ai suoi Delegati in merito agli obblighi derivanti dal Regolamento, dal Codice per la protezione dei dati personali e da altre disposizioni dell’Unione relative alla protezione dei dati;

– sorvegliare l’osservanza del Regolamento e delle altre disposizioni dell’Unione relative alla protezione dei dati;

– fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati effettuata dalle funzioni operative dell’ospedale e sorvegliarne lo svolgimento;

– cooperare con l’Autorità di controllo;

– fungere da punto di contatto per l’Autorità di controllo;

 

Contatti del DPO:

email: responsabileprotezionedati@policlinicoumberto1.it

PEC: isabellalucati@ordineavvocatiroma.org

Perché viene richiesto il consenso informato per il trattamento dei dati?

“Il medico può trattare i dati sensibili idonei a rivelare lo stato di salute della persona solo con il consenso informato della stessa o del suo rappresentante legale” (art. 12 del Codice di deontologia medica).

“Il medico registra nella cartella clinica i modi e i tempi dell’informazione e i termini del consenso o dissenso della persona assistita o del suo rappresentante legale anche relativamente al trattamento dei dati” (art. 26, c. 3, del Codice di deontologia medica)

“Il medico acquisisce la titolarità del trattamento dei dati personali previo consenso informato dell’assistito o del suo rappresentante legale ed è tenuto al rispetto della riservatezza, in particolare dei dati inerenti alla salute e alla vita sessuale. […]. Il medico non collabora alla costituzione, alla gestione o all’utilizzo di banche di dati relativi a persone assistite in assenza di garanzie sulla preliminare acquisizione del loro consenso informato e sulla tutela della riservatezza e della sicurezza dei dati stessi” (art. 11 del Codice di deontologia medica).

“Il consenso al trattamento dei dati idonei a rivelare lo stato di salute […] può essere manifestato con un’unica dichiarazione, anche oralmente. In tal caso il consenso è documentato, anziché con atto scritto dell’interessato, con annotazione dell’esercente la professione sanitaria o dell’organismo sanitario pubblico, riferita al trattamento di dati effettuato da uno o più soggetti e all’informativa all’interessato” (art. 81, D.Lgs. 196/2003).

In cosa consiste il consenso informato per il trattamento di dati?

Al momento dell’accettazione, un medico del Reparto Le illustrerà:

  • il significato e le modalità di trattamento dei dati nel corso del processo di cura;
  • l’obbligo di raccogliere i dati necessari per la costituzione della documentazione sanitaria prevista dalle leggi e dai regolamenti nazionali e regionali (referti, cartella clinica e scheda di dimissione ospedaliera);
  • il trattamento dei Suoi dati che sarà obbligatoriamente effettuato dal personale sanitario (medici, medici specializzandi, personale delle professioni sanitarie, etc.):

– del Reparto che La prenderà in cura;

– delle strutture diagnostiche dell’ospedale alle quali saranno richieste consulenze, esami di diagnostica per immagini, di laboratorio o di Anatomia patologica, o eventuali procedure chirurgiche;

– dei Reparti che, a turno, assicureranno servizi di guardia anche nelle ore notturne e nei giorni festivi;

– dal personale operante nel blocco operatorio

– delle funzioni specialistiche della Farmacia ospedaliera alle quali sarà richiesta l’eventuale preparazione di particolari farmaci o di specifici presìdi medici, etc.

– da parte di tutti coloro che, nei diversi profili professionali sanitari, partecipando alla cura della Sua persona, hanno necessità e sono tenuti a conoscere e utilizzare i dati strettamente necessari per l’esecuzione della procedura di loro competenza;

assicurandoLe che, in ogni caso, tutti i soggetti sopra indicati come anche tutte le funzioni logistiche e tecniche di supporto sono tenute al rispetto del segreto professionale e del vincolo di riservatezza, e sono informate del divieto di trattare dati non strettamente necessari per l’esecuzione delle procedure autorizzate.

Queste informazioni Le saranno fornite per renderLa consapevole dei trattamenti obbligatori di dati che saranno effettuati in esecuzione di specifici obblighi di legge.

Di contro, per i trattamenti sotto indicati il medico Le fornirà specifiche informazioni e Le chiederà di esprimere la sua volontà in ordine a:

1)    Storia clinica (DSE)

Potrà decidere se consentire al personale sanitario di visualizzare i dati raccolti in forma elettronica nel corso di precedenti episodi di cura nel Policlinico.

La visualizzazione di questi dati, effettuata mediante un’apposita funzione applicativa chiamata “Dossier Sanitario Elettronico” (DSE), metterà in condizione il personale sanitario di conoscere dati che potrebbero rendere più efficaci e tempestive le cure.

L’autorizzazione alla visualizzazione della storia clinica è richiesta nel Suo unico interesse.

Tuttavia Lei può esprimere il proprio dissenso, impedendo quindi al medico di accedervi.

2) Utilizzazione dei dati per fini di ricerca scientifica, statistici e didattici

Potrà decidere se consentire l’utilizzazione dei Suoi dati per fini di formazione, statistici e di ricerca scientifica nel rispetto delle norme deontologiche riconosciute per la ricerca scientifica e limitando la possibilità di identificazione della persona mediante tecniche di minimizzazione, pseudonimizzazione o anonimizzazione.

Questo consenso non riguarda il suo “arruolamento” in eventuali sperimentazioni cliniche espressamente autorizzate dal Comitato Etico, gestite nell’ambito delle disposizioni del Regolamento UE/2014/536. Per tali fini Le sarà chiesto un consenso legato alla specifica ricerca.

I dati trattati per finalità statistiche non saranno personali ma aggregati e non saranno utilizzati a sostegno di misure o decisioni riguardanti specifiche persone fisiche.

I dati trattati per fini didattici non saranno personali ma aggregati o anonimi.

3) Comunicazione della presenza in ospedale

Potrà decidere se consentire al personale sanitario di informare eventuali richiedenti della Sua presenza in ospedale specificando il reparto e il letto di ricovero, ma senza fornire alcun’altra informazione riguardo il Suo stato di salute.

È Suo diritto negare la possibilità di informare eventuali richiedenti della Sua presenza in ospedale.

4) Informazioni ai familiari

Potrà decidere se consentire al medico di comunicare ai familiari da Lei specificamente indicati informazioni riguardanti il Suo stato di salute, le procedure e le terapie che Le saranno praticate.

È Suo diritto negare la possibilità di informare i Suoi familiari.

Potrà liberamente esprimere la Sua volontà senza inficiare le cure.

Quanto da Lei espresso sarà registrato dal medico sui sistemi informatici dell’ospedale e sarà valido per tutte le procedure eseguite nel corso dell’episodio di cura.

Il consenso potrà essere da Lei modificato o revocato in qualsiasi momento, senza doverne fornire motivazioni e senza particolari procedure formali.

Il medico registrerà Le chiederà quindi di sottoscrivere per conferma il consenso da lui attestato.

Il consenso informato costituisce un documento sanitario obbligatorio, conservato all’interno della cartella clinica nei modi e per i tempi di legge.

Nei locali dell’ospedale troverà esposta l’Informativa sul trattamento dati nella quale sono esposti questi princìpi.

Il personale sanitario è comunque a Sua disposizione per fornirLe chiarimenti e ulteriori spiegazioni.

Come sono conservati i miei dati?

La conservazione della documentazione sanitaria è effettuata sotto la vigilanza del Direttore Sanitario.

Vi provvede un apposito servizio di “archivio di deposito”, per il periodo e nei modi prescritti dalle leggi vigenti.

La conservazione dei dati in forma elettronica è effettuata dai Sistemi informativi dell’Azienda Policlinico per il periodo e secondo le modalità prescritte dalle leggi vigenti.

Ove una parte dei dati siano registrati e conservati su sistemi elettronici acquisiti e gestiti autonomamente dai Dipartimenti o dalle strutture universitarie, il personale sanitario che ha in cura la Sua persona Le fornirà la specifica informativa prevista dal Dipartimento o dall’Università.

Quali sono i miei diritti?

In ogni momento Lei potrà esercitare i diritti previsti dal “Regolamento europeo in materia di protezione dei dati” (GDPR UE/2016/679, artt. dal 13 al 22) e dal “Codice in materia di protezione dei dati personali” (D.Lgs. 196/2003, artt. dal 7 al 10):

  1. chiedere quali dati riguardanti la Sua persona sono stati raccolti e conservati dall’Azienda Policlinico
  2. ove siano presenti, chiedere da quali fonti sono stati acquisiti e se trattasi di fonti accessibili al pubblico
  3. revocare o modificare in qualsiasi momento il consenso già prestato senza pregiudicare la liceità dei trattamenti già effettuati in precedenza
  4. chiedere informazioni circa le finalità della raccolta dei Suoi dati personali
  5. chiedere per quale periodo i Suoi dati saranno conservati, con quali modalità e da quale funzione dell’ospedale
  6. chiedere a quali destinatari sono o saranno comunicati i Suoi dati
  7. in caso di comunicazione, chiedere se trattasi di destinatari di Paesi terzi o di organizzazioni internazionali
  8. chiedere l’aggiornamento, la rettifica o l’integrazione dei dati personali che La riguardano, ove questi siano incompleti o inesatti
  9. chiedere l’oscuramento dei dati riguardanti specifici episodi o referti (ovvero renderli non visualizzabili dal personale sanitario)
  10. chiedere il deoscuramento dei dati riguardanti specifici episodi o referti (ovvero renderli nuovamente visualizzabili)
  11. chiedere di conoscere quale struttura, per quali ragioni e in quale data abbia acceduto i Suoi dati
  12. chiedere che i dati raccolti dall’ospedale in forma elettronica Le siano consegnati in formato strutturato
  13. chiedere la trasmissione di tali dati a cura dell’ospedale direttamente ad altro Titolare del trattamento da Lei indicato.

I dati che riguardano la Sua persona non potranno mai essere diffusi né essere utilizzati per fini di profilazione o di marketing.

Più specifiche e dettagliate istruzioni circa il trattamento dei dati da parte dell’ospedale e l’esercizio dei diritti potranno essere richieste al personale sanitario che ha in cura la Sua persona.

 

Cosa è il Punto territoriale di accesso dell'Azienda Policlinico?

Il “Punto Territoriale di Accesso” (PTA) è lo sportello polifunzionale istituito dal Policlinico per rispondere alle esigenze informative dell’assistito ed accogliere le richieste di esercizio dei suoi diritti.

In particolare presso il “PTA” l’assistito può:

  • ottenere informazioni sul trattamento dei dati nell’ospedale, sui diritti dell’assistito e sulle modalità di esercizio;
  • ottenere informazioni sul trattamento dei dati da parte dei servizi in rete attivati dal SSR, sui diritti dell’assistito e sulle modalità di esercizio;
  • attivare la “Tessera Sanitaria” (TS), attribuendole così funzione di “Carta Nazionale dei Servizi” (CNS);
  • ottenere informazioni sul Fascicolo Sanitario Elettronico (FSE) regionale, sulle modalità di attivazione, di accesso e di consultazione, compresi i diritti dell’assistito e le modalità di esercizio;
  • esercitare, al di fuori di un episodio di cura, il diritto di modifica o di revoca del consenso informato per il trattamento dei dati acquisito, compreso quello riguardante l’accesso alla storia clinica utilizzando la funzione “DSE”.

La modifica o la revoca del consenso non inficia gli effetti dei trattamenti già effettuati con l’espressione precedente;

  • esercitare il diritto di oscuramento di uno o più episodi o di uno o più referti;
  • esercitare, al di fuori di un episodio di cura, il diritto di al deoscuramento di uno o più episodi oe di uno o più referti;
  • esprimere il consenso informato:
    • per l’attivazione del FSE;
    • per l’autorizzazione dei soggetti del SSR accreditati ad accedervi;
    • per la visualizzazione dei dati e dei documenti in esso contenuti da parte dei soggetti autorizzati;
    • per l’oscuramento o il deoscuramento di uno o più episodi, o di uno o più documenti;
    • per la modifica o la revoca dei contenuti del consenso FSE già espresso;
  • essere informato circa:
    • l’obbligatorietà della redazione della documentazione sanitaria utilizzando sistemi informatici e moduli predisposti dall’Azienda Policlinico;
    • i dati che saranno trattati nel corso di un episodio di cura;
    • le finalità del trattamento;
    • le modalità di trattamento;
    • i soggetti autorizzati, Incaricati del trattamento dei dati;
    • l’impegno dell’ospedale nell’assicurare il rispetto del diritto alla riservatezza e del segreto professionale che vincola tutti coloro che, con diversi rapporti giuridici, ruoli e funzioni partecipano al processo di diagnosi e cura, comprese le funzioni amministrative, tecniche, logistiche e ausiliarie;
    • il diritto di ricevere comunicazioni inerenti i dati che lo riguardano rese in forma comprensibile, utilizzando una grafia intelligibile e con spiegazione del significato di eventuali codici o sigle utilizzate;
  • esercitare i diritti previsti dalle norme comunitarie e nazionali in vigore;
  • chiedere l’aggiornamento, la rettificazione oppure, ove vi abbia interesse, l’integrazione dei dati.

Il PTA è aperto dal lunedì al venerdì dalle ore 9 alle ore 12.

Il martedì e il giovedì è aperto anche dalle 14.30 alle 16.30.

Il PTA ha sede al piano terra dell’edificio centrale, viale del Policlinico, 155.

Posso chiedere la cancellazione dei dati?

La normativa che disciplina la redazione e la tenuta della documentazione sanitaria in formato cartaceo o elettronico non consente mai la cancellazione di dati riguardanti le prestazioni erogate dal Servizio Sanitario Nazionale (SSN) anche per ragioni medico legali e di gestione del rischio clinico.

Nessun dato potrà essere cancellato.

Su richiesta dell’assistito i dati trattati in forma elettronica possono tuttavia essere oscurati, impedendone così la visualizzazione al personale sanitario in occasione di successivi episodi di cura.

Su specifico mandato del magistrato, gli Organi di Polizia possono chiedere l’accesso a qualsiasi dato sanitario dell’ospedale.

Cosa è l'oscuramento e come posso esercitare il diritto?

L’assistito ha diritto di chiedere, in qualsiasi momento e senza particolari formalità, che i dati riferiti a uno o più episodi di cura, o a uno o più referti, siano resi non visualizzabili (oscurati) attraverso i sistemi informatici dell’ospedale.

I dati continuano, tuttavia, ad essere presenti nei sistemi informatici dell’ospedale.

La richiesta di “oscuramento” può essere effettuata, senza particolari formalità, presso il Punto Territoriale di Accesso (PTA) istituito nel Policlinico con funzione di sportello polifunzionale a disposizione dell’assistito.

Su specifico mandato del magistrato, gli Organi di Polizia possono chiedere l’accesso a qualsiasi dato sanitario dell’ospedale.

 

I miei dati possono essere comunicati o diffusi?

I dati che riguardano la Sua salute e la Sua persona possono essere comunicati alle persone da Lei specificamente individuate al momento di esprimere il consenso informato richiestoLe dal medico.

Alcuni dati personali e di salute saranno comunicati alla Regione Lazio per ottenere il rimborso delle prestazioni erogate, così come prescritto da specifiche norme di legge.

Altri dati potranno inoltre essere comunicati a Pubbliche Amministrazioni, nei limiti di specifiche norme di legge o regolamentari, anche per fini di tutela della salute pubblica e di analisi epidemiologica.

I dati che riguardano la Sua salute e la Sua persona non possono mai essere diffusi.

I miei dati possono essere utilizzati per fini di ricerca scientifica?

I dati che riguardano la Sua salute e la Sua persona possono essere utilizzati, con il suo consenso, per fini di ricerca scientifica nel rispetto delle norme deontologiche riconosciute per la ricerca scientifica e limitando la possibilità di identificazione della persona mediante tecniche di minimizzazione, pseudonimizzazione o anonimizzazione.

Per quanto riguarda il suo “arruolamento” in eventuali sperimentazioni cliniche espressamente autorizzate dal Comitato Etico, queste saranno gestite nell’ambito delle disposizioni del Regolamento UE/2014/536. Per tali fini Le sarà chiesto un consenso legato alla specifica ricerca.

I miei dati possono essere utilizzati per fini di formazione?

I dati che riguardano la Sua salute e la Sua persona possono essere utilizzati, con il suo consenso, per fini di didattici e di formazione nel rispetto delle norme deontologiche e in forma aggregata o anonima.

I miei dati possono essere utilizzati per fini di marketing o di profilazione?

I dati che riguardano la Sua salute e la Sua persona non possono mai essere utilizzati per fini di marketing o di profilazione.

Come posso ottenere chiarimenti e ulteriori informazioni sul trattamento dei dati da parte dell'Azienda Policlinico?

Nelle sedi dell’ospedale sono esposti manifesti contenenti la sintesi delle informazioni riguardanti il trattamento, la protezione dei dati e i diritti dell’interessato.

Il personale sanitario è comunque a Sua disposizione per fornirLe chiarimenti e ulteriori spiegazioni.

  • al Punto Territoriale di Accesso (PTA).

Il PTA è aperto dal lunedì al venerdì dalle ore 9 alle ore 12.

Il martedì e il giovedì è aperto anche dalle 14.30 alle 16.30.

Il PTA hanno sede al piano terra dell’edificio centrale, viale del Policlinico, 155

Quali sono le principali norme di riferimento in materia di trattamento e protezione dei dati?

  • Convenzione europea dei diritti dell’Uomo – Consiglio d’Europa, 4 novembre 1950 (aggiornata al 18 maggio 2018 per la protezione delle persone rispetto al trattamento dei dati personali)
  • Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati) –  D.Lgs.10 agosto 2018, n. 101

E inoltre…

  • Codice di deontologia medica – 18 maggio 2014 (aggiornato al 15 dicembre 2017)
  • Disposizioni integrative e correttive al D.Lgs. 26 agosto 2016, n. 179, concernente modifiche ed integrazioni al Codice dell’Amministrazione Digitale (CAD) – D.Lgs. 13 dicembre 2017, n. 217

 

Queste informazioni ti sono state d'aiuto?
Si No
Arrow Up