Protezione dei Dati

LA PROTEZIONE DEI DATI PERSONALI IN ORAS

UN PERCORSO IN CONTINUA EVOLUZIONE DAL 2004

L’Ospedale Riabilitativo di Alta Specializzazione di Motta di Livenza (ORAS S.p.a.), nato nel gennaio 2004 ha da subito sviluppato un proprio sistema organizzativo per la protezione dei dati personali nel rispetto del Codice privacy (D.Lgs 196/2003). Le modalità organizzative per la tutela della privacy sono state definite sulla base delle specifiche esigenze, determinate dalle dimensioni, dalla peculiarità delle attività, e dai compiti svolti, e, per ciascuno degli adempimenti previsti dalla normativa, è stata predisposta apposita documentazione per la protezione dei dati personali trattati. Il modello organizzativo adottato si è evoluto nel tempo prevedendo la revisione continua di regolamenti e procedure, nonché adottando adeguate e specifiche misure al fine di assicurare il rispetto dei diritti e delle libertà fondamentali degli interessati.

IL REGOLAMENTO EUROPEO PER LA PROTEZIONE DEI DATI RGPD 2016/679

Dal 25.05.2018 è efficace il Regolamento Generale europeo per la protezione dei dati personali 2016/679, che ha come principali finalità quella di consolidare e rendere più omogenea la protezione dei dati personali dei cittadini e dei residenti dell’Unione europea favorendo la libertà di circolazione “sicura” dei dati personali tra i paesi dell’Unione. Il citato Regolamento europeo impone modalità operative concrete lontane dai formalismi del mero adempimento normativo, ciò comporta la necessità di tradurre in prassi operative, controlli e comportamenti efficaci i principi introdotti dalla nuova normativa, con l’assunzione di responsabilità delle scelte fatte.

2020, ADOZIONE DEL SISTEMA DI GESTIONE PER LA PROTEZIONE DEI DATI

Il 6 marzo 2020 l’ORAS, dopo un percorso di revisione e sviluppo dell’esistente modello organizzativo, ha adottato il “Sistema di gestione privacy”, un modello di gestione, organizzazione e verifica predisposto per governare le attività di protezione dei dati personali ed il rispetto dei principi e delle regole imposte dalle normative di riferimento. Il sistema di gestione è stato adottato per conseguire le seguenti finalità:
  • applicare i principi e le regole imposte della normativa di riferimento;
  • incrementare la competenza e la consapevolezza del personale riguardo la sicurezza ed i rischi connessi al trattamento dei dati personali;
  • dettagliare per tutte le Risorse operanti all’interno dell’ORAS e per gli esterni che operano in qualità di responsabili di trattamento (ai sensi dell’art. 28 del regolamento generale UE 2016/679) gli obblighi da osservare per la protezione dei dati personali;
  • dare evidenza delle modalità organizzative e tecniche messe in atto dalla società per proteggere i dati personali e particolari trattati.
  • consentire che l’aggiornamento del sistema di gestione per la protezione dei dati avvenga in modo costante e fluido, ovvero sia parte integrante di un processo dove le attività si svolgono automaticamente ogni volta che si verifica un cambiamento (ad esempio nuovo inserimento di personale in organico e designazione dell’incarico sulla base dell’Organigramma Privacy definito)
  • sviluppare una cultura della privacy a livello aziendale.
Rappresenta dunque un vero e proprio strumento operativo in grado di sostenere l’impianto di protezione dei dati e descrivere adeguatamente, alle autorità ed alle parti interessate la propria diligenza perseguendo gli obiettivi di conformità normativa su base autonoma, responsabile e documentata, e dimostrare l’attitudine dell’intera organizzazione alla valorizzazione e tutela del patrimonio informativo.

IL “TITOLARE” DEL TRATTAMENTO

L’Ospedale Riabilitativo di Alta Specializzazione S.p.a., con sede legale in Via Padre Leonardo Bello 3/C 31045 Motta di Livenza Tel:0422-287271, Fax 0422287321, e-mail: amministratore.delegato@ospedalemotta.it, pec: direzione.generale@pec.ospedalemotta.it in qualità di titolare del trattamento determina le finalità ed i mezzi del trattamento dei dati personali ed è responsabile del legittimo e corretto uso dei dati personali e particolari direttamente forniti e occasionalmente forniti da terzi.

RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI (RPD)

Tra le molteplici novità previste dal citato Regolamento vi è la figura del Responsabile della protezione dei dati personali, obbligatoria quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico e per altre specifiche situazioni. Il Responsabile della Protezione Dati (RPD) è al centro di questo nuovo quadro giuridico e rispecchia l’approccio di responsabilizzazione del regolamento. Infatti, L’attività dell’RPD, è finalizzata a facilitare l’attuazione del regolamento da parte del titolare e presidiare i processi organizzativi interni per garantire un corretto trattamento dei dati personali. In conformità a quanto previsto dal Regolamento Generale europeo 2016/679 per la protezione dei dati personali l’ORAS ha nominato il Responsabile della Protezione dei Dati (RPD), è una figura in staff all’Amministratore Delegato ed i suoi compiti comprendono:
  • l’informazione e consulenza al titolare del trattamento nonché al personale che esegue il trattamento in merito agli obblighi derivanti dalla normativa europea e nazionale nonché da altre disposizioni relative alla protezione dei dati;
  • la sorveglianza sul rispetto delle disposizioni europee e nazionali, nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • la predisposizione, se richiesta, di un parere in merito alla valutazione d’impatto sulla protezione dei dati;
la cooperazione con l’autorità garante per la protezione dei dati personali e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali. L’RPD, è la persona a cui è possibile rivolgersi per avere informazioni e segnalare eventuali problemi o disguidi inerenti i propri dati personali o per far valere i propri diritti come previsto al CAPO III del Regolamento Generale UE 2016/679.

DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI PERSONALI

Il responsabile della protezione dei dati personali è contattabile telefonicamente,tramite lettera, e-mail, ai seguenti recapiti
Dott.ssa Provvidenza Mariella Stella
Ospedale Riabilitativo di Alta Specializzazione S.p.a.
Via Padre Leonardo Bello 3/c
e-mail: rpd@ospedalemotta.it

tel: 0422 287339

DIRITTI DEGLI INTERESSATI

L’ORAS, titolare del trattamento, è tenuto ad agevolare l’esercizio dei diritti dell’interessato, ponendo in atto misure appropriate che assicurino una corretta informazione e comunicazione ed una tempestiva risposta alle richieste dell’interessato nei casi previsti dal RGPD.

Quali sono i diritti degli interessati?

1. Accesso: conoscere quali dati trattiamo, come e perché li trattiamo.
2. Rettifica: correggere i dati personali inesatti, ove applicabile.
3. Cancellazione (diritto all’oblio): non applicabile in ambito sanitario.
4. Limitazione del trattamento: attuabile solo per alcune specifiche situazioni.
5. Ricevere comunicazione in caso di rettifica, cancellazione, limitazione.
6. Diritto alla portabilità dei dati: non applicabile per i trattamenti effettuati sulla base di una norma di legge o di regolamento e per i dati “derivati” quali ad esempio le valutazioni riguardanti lo stato di salute (referti e documentazione sanitaria in genere).
7. Diritto di opposizione: l’interessato ha il diritto di opporsi in qualunque momento al trattamento per finalità ulteriori a quelle direttamente o indirettamente connesse al ricovero per fini di diagnosi, assistenza e terapia sanitaria, fatta salva l’esistenza di motivi legittimi che prevalgono sugli interessi, sui diritti e sulle libertà fondamentali dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
8. Diritto di revoca del consenso: applicabile esclusivamente ai trattamenti effettuati sulla base del rilascio del consenso rimanendo tuttavia valido per i trattamenti effettuati precedentemente alla revoca.
9. Diritto di proporre un reclamo ad un’autorità di controllo: nel caso in cui ritenesse di non avere ricevuto risposte adeguate alle Sue richieste potrà rivolgersi all’Autorità Garante privacy dello stato in cui risiede o lavora o proporre un ricorso dinanzi all’autorità giudiziaria.

Come si possono esercitare?

Gli interessati possono esercitare i loro diritti inviando una richiesta al Responsabile della protezione dei dati dell’ORAS, via Padre Leonardo Bello 3/C 31045 Motta di Livenza e-mail: rpd@ospedalemotta.it, pec: direzione.generale@pec.ospedalemotta.it. Per predisporre la richiesta, gli interessati potranno utilizzare il seguente modulo (scarica modello per l’esercizio dei diritti o scarica la procedura). ll termine per la risposta all’interessato è, per tutti i diritti, trenta giorni, estendibili per ulteriori sessanta giorni in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. Le informazioni fornite all’interessato e le eventuali comunicazioni e azioni intraprese sono gratuite. Nel caso in cui le richieste siano manifestamente infondate o eccessive (anche ripetitive), ovvero se sono chieste più “copie” dei dati personali, il titolare deve tenere conto dei costi amministrativi sostenuti e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato. La risposta fornita all’interessato di regola avviene in forma scritta, facilmente comprensibile, concisa e con un linguaggio semplice e chiaro, ma può avvenire anche attraverso strumenti elettronici che ne favoriscano l’accessibilità oppure oralmente soltanto se viene richiesto dall’interessato. Il titolare (ORAS s.p.a.) ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee.

INFORMAZIONI SUL TRATTAMENTO DEI DATI EFFETTUATO TRAMITE IL SITO

In questo paragrafo si descrivono le modalità di gestione del sito dell’ospedale Riabilitativo di Alta Specializzazione di Motta di Livenza in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di informazioni sul trattamento dei dati personali rese, ai sensi dell’articolo 13 del Regolamento generale UE 2016/679, a coloro che navigano nel sito www.ospedalemotta.it ed esclusivamente per questo sito e non anche per altri siti web eventualmente consultati dall’utente tramite link (Informazioni sul trattamento dei dati personali).
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone identificate o identificabili.
Il “titolare” del loro trattamento è l’Ospedale Riabilitativo di Alta Specializzazione di Motta di Livenza, con sede legale in Via Padre Leonardo Bello 3/C 31045 Motta di Livenza Tel 0422 28 71 11 Fax 0422-287321 e-mail: amministratore.delegato@ospedalemotta.it, pec: direzione.generale@pec.ospedalemotta.it
Il responsabile della protezione dei dati personali (RPD), è la persona a cui è possibile rivolgersi per avere informazioni e segnalare eventuali problemi o disguidi inerenti i propri dati personali o per far valere i propri diritti come previsto al CAPO III del Regolamento Generale UE 2016/679.

Base giuridica del trattamento

I dati personali degli utenti che consultano il sito www.ospedalemotta.it sono trattati dall’ORAS nell’esecuzione dei propri compiti di interesse pubblico, ivi incluso il compito di favorire la comprensione del pubblico riguardo l’Organizzazione dell’Ospedale, la tipologia e la modalità di erogazione delle attività svolte nonché per adempiere a specifici obblighi di legge (tra i quali ad esempio quelli riguardanti l’Ufficio Relazioni con il Pubblico (D.Lgs 165/2001) e la trasparenza delle attività (D.Lgs n. 33/2013 e Codice appalti 50/2016).

Tipi di dati e finalità del trattamento

Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento di questo sito web acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo l’elaborazione. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti web non persistono per più di sette giorni.

Dati forniti volontariamente dall’utente

L’invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati su questo sito comporta la successiva acquisizione dell’indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva. I dati inviati volontariamente dall’utente sono trattati per il tempo strettamente necessario a conseguire gli scopi per cui sono stati forniti e, verranno trattati da personale dipendente o collaboratori di ORAS “autorizzato al trattamento”. In ogni caso il trattamento avverrà sempre nel rispetto dei diritti e delle libertà fondamentali degli interessati.

Cookies

Nessun dato personale degli utenti viene in proposito acquisito dal sito. Non viene fatto uso di cookies per la trasmissione di informazioni di carattere personale, né vengono utilizzati cookies persistenti di alcun tipo, ovvero sistemi per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc L’uso di cookies di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e svaniscono con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente del sito. I cookies di sessione utilizzati in questo sito evitano il ricorso ad altre tecniche informatiche potenzialmente pregiudizievoli per la riservatezza della navigazione degli utenti e non consentono l’acquisizione di dati personali identificativi dell’utente

Elenco dei cookie rilasciati dal sito web

CoockieNomeFinalità e tipologiaDescrizioneApprofondimento
ospedalemotta.itPHPSESSIDTecnici di Prima parte
Di sessione e persistenti
È un cookie nativo di PHP e consente ai siti Web di memorizzare dati sullo stato della serializzazione. Viene utilizzato per stabilire una sessione utente e per comunicare i dati sullo stato attraverso un cookie temporaneo, comunemente denominato cookie di sessione. Poiché il cookie PHPSESSID non ha una scadenza temporale, scompare quando si chiude il client. 
     

Comunicazione a terzi

Il Trattamento dei dati raccolti a seguito della consultazione del sito www.ospedalemotta.it viene effettuato da Fabvla s.r.l. designato dall’ORAS, ai sensi dell’articolo 28 del Regolamento, Responsabile del trattamento per la fornitura dei servizi di sviluppo e manutenzione del sopracitato sito. I dati di navigazione, quali gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente non vengono inviati, nemmeno in forma anonima a nessuno strumento terzo di analisi statistica.

Canali Social

L’Ospedale Riabilitativo di Motta di Livenza utilizza i principali social media per comunicare con i cittadini/pazienti attraverso la rete e non gestisce ne trattiene informazioni scambiate con i singoli canali. La pagina facebook di ORAS riceve periodicamente tramite il servizio “Facebook Insight”, attivato da Facebook unilateralmente, dati statistici derivanti dalla navigazione della pagina da parte dei visitatori e riguardanti le informazioni quali: paese, città, sesso, interessi, fasce di età in forma aggregata e anonima. l’ORAS non effettua il trattamento dei dati statistici aggregati anonimi per ulteriori finalità. Per ulteriori informazioni consultare le specifiche privacy policy disponibili nei siti dei vari social media.

Diritti degli interessati

Gli interessati hanno il diritto di ottenere dall’ORAS, nei casi previsti, l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (art 15-22 CAPO III del Regolamento Generale UE 2016/679). L’apposita richiesta è presentata al Responsabile della Protezione dei Dati presso l’Ospedale Riabilitativo di Alta Specializzazione S.p.a. Via padre Leonardo Bello 3/c e-mail:rpd@ospedalemotta.it, pec: direzione.generale@pec.ospedalemotta.it, tel: 0422 287339.

Diritto di reclamo

Gli interessati che ritengono che il trattamento dei dati personali a loro riferiti effettuato attraverso questo sito avvenga in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo al Garante, come previsto dall’art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

Normativa di riferimento

Regolamento Europeo 2016/679 del Parlamento Europeo e del Consiglio

Link utili

Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali

Modalità di gestione delle violazioni di dati personali (data breach)

L’ORAS, al fine di tutelare i dati personali dei propri utenti, ha predisposto una procedura aziendale per affrontare e gestire nel miglior modo possibile le eventuali violazioni dei dati personali che, per trasparenza, vuole rendere nota all’utenza di ORAS e a tutti i soggetti interessati (Qui il link alla procedura).

Ciò, in quanto, una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, causare danni alla persona fisica.

La violazione dei dati personali può consistere nella distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale od illegale, a dati personali trasmessi, conservati o comunque trattati.

Riteniamo opportuno informare i nostri utenti, collaboratori, fornitori sui rischi che potrebbero derivare dalle violazioni sopra elencate.

Ai sensi del Regolamento europeo, infatti, i principali rischi per i diritti e le libertà di tutti gli interessati, a seguito dell’avvenuta violazione dei dati sono:

  • danni fisici, materiali o immateriali alle persone fisiche;
  • perdita del controllo dei dati degli interessati;
  • limitazioni dei diritti/discriminazione;
  • furto o usurpazione di identità;
  • perdite finanziarie/danno economico o sociale o reputazionale (sia per l’interessato che per il Titolare);
  • decifratura non autorizzata della pseudonimizzazione;
  • perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari);
  • o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata

Nel caso in cui si verifichi una violazione dei dati personali degli interessati l’ORAS si atterrà a quanto previsto dalla specifica procedura d’intervento.

Per la gestione di questo tipo di eventi è stato costituito un gruppo di lavoro denominato “team di crisi”, così composto:

  • Rappresentante legale dell’ORAS, che è anche la funzione che ha la responsabilità di comunicare con organi di stampa, responsabile del team
  • Responsabile della Protezione dei Dati Personali (RPD)
  • ADS/Responsabile dell’ufficio Sistemi Informativi
  • Responsabile Area Risorse Umane nel caso in cui l’evento coinvolga i dati dei dipendenti dell’ORAS
  • Direttore Sanitario nel caso in cui l’evento coinvolga i dati dei pazienti/utenti di prestazioni sanitarie
  • Direttore Amministrativo nel casi in cui l’evento riguardi i servizi esternalizzati dal titolare a Responsabili esterni del trattamento o per le attività/Servizi svolti dall’ORAS in qualità di responsabile del trattamento;

Fanno parte del gruppo di lavoro anche altre funzioni aziendali quali:

  • Responsabile delle funzioni per la sicurezza del paziente RFSP
  • Responsabile della sicurezza prevenzione e protezione (RSPP)
  • Responsabili Unità operative/Servizi/Aree Amministrative)

e/o figure esterne (responsabile esterno e/o sub responsabile o Contitolare), che verranno di volta in volta coinvolte in base al tipo di evento

Il gruppo di lavoro “team di crisi”, in caso di incidente/violazione dei dati personali si occuperà di analizzare la gravità dell’evento prendendo in considerazione i dati, gli interessati coinvolti, la portata e l’arco temporale secondo precisi parametri individuati.

A seguito di tale analisi l’ORAS realizzerà un’approfondita valutazione del rischio al fine di comprendere l’effettiva sussistenza o meno della violazione.

In caso di esito positivo il “team di crisi” procederà alla risoluzione del problema.

Inoltre, in caso di violazione dei dati personali potrebbe essere necessario dover comunicare al Garante Privacy l’evento entro 72 ore dall’accadimento.

Per tale ragione, qualora, della violazione ne sia venuto a conoscenza un nostro Responsabile esterno del trattamento o sub responsabile essi sono tenuti a comunicarci la violazione, il primo entro 24 ore, il secondo entro 12 ore dalla scoperta del fatto.

Qualora, la violazione dei dati abbia cagionato un rischio elevato per i diritti e le libertà fondamentali delle persone interessate, saremo tenuti a dare un’opportuna comunicazione al fine di consentire loro di adottare idonee precauzioni volte a ridurre al minimo il potenziale danno derivante dalla violazione.

Nella comunicazione siamo tenuti ad indicare:

  • il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • le probabili conseguenze della violazione dei dati personali;
  • le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Non siamo obbligati ad informare gli interessati nel caso in cui abbiamo messo in atto misure tecniche ed organizzative adeguate di protezione sui dati oggetto della violazione o quando abbiamo successivamente adottato misure atte a scongiurare nuovi rischi elevati per i diritti e le libertà fondamentali ed inoltre, quando la comunicazione richiederebbe sforzi sproporzionati. In questo caso procederemo con una comunicazione pubblica o misura simile.

In ogni caso valuteremo l’opportunità, anche se non strettamente obbligatoria di tenere aggiornati gli interessati.

Il Responsabile della Protezione dei Dati (RPD) è la persona a cui gli interessati potranno rivolgersi per avere informazioni e segnalare eventuali problemi o incidenti inerenti i propri dati personali.
il RPD è contattabile tramite e-mail al seguente indirizzo di posta elettronica rpd@ospedalemotta.it o telefonicamente al seguente numero 0422 287339.

INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI NEI DIVERSI AMBITI DI TRATTAMENTO (Regolamento UE 2016/679, artt. 13 e 14)

L’Ospedale Riabilitativo di Alta Specializzazione (ORAS), ai sensi della citata normativa che si occupa della protezione delle persone con riguardo al trattamento dei dati personali (Regolamento generale UE 2016/679 articoli 13 e 14), è tenuto a fornire ai propri utenti precise informazioni, sull’utilizzo che verrà fatto dei loro dati personali.

PRINCIPALI REGOLAMENTI E PROCEDURE AZIENDALI

Di seguito si rendono disponibili i principali regolamenti e procedure aziendali per dare evidenza ad alcune tra le più importanti misure organizzative adottate dall’ORAS per la protezione dei dati personali:

DOSSIER SANITARIO ELETTRONICO

Skip to content