Privacy

Sei qui: Home Page | Privacy
L’Azienda Ospedaliera di Reggio Emilia garantisce che il trattamento dei dati personali avviene nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche e giuridiche, con particolare riferimento alla riservatezza ed all'identità personale degli utenti e di tutti coloro che hanno rapporti con l'Azienda. A tal fine, assicura l'adozione di misure di sicurezza idonee ad evitare situazioni di rischio, di perdita o di alterazione dei dati, in linea con quanto previsto dalla normativa vigente. 
DOSSIER SANITARIO
 

Quali sono i dati personali?

Dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (interessato).  
I dati sensibili sono quei dati idonei a rivelare l'origine razziale, le convinzioni religiose e/o filosofiche, le opinioni politiche, l'adesione ai partiti politici e/o sindacati, lo stato di salute e la vita sessuale dell'interessato. 
 

Che cosa significa trattamento dei dati personali? 

Con l'espressione trattamento deve intendersi qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. 
 

Chi è il Titolare del trattamento dei dati personali?

Il Titolare del trattamento è l'Azienda Ospedaliera di Reggio Emilia.  
ll Titolare provvede, nei casi previsti dalla legge: 
  • ad assolvere l'obbligo di notificazione al Garante; 
  • a richiedere al Garante l'autorizzazione al trattamento dei dati sensibili, ove necessaria; 
  • ad adottare, per quanto di competenza, le misure necessarie a garantire la sicurezza dei dati personali; 
  •  ad impartire ai Responsabili le necessarie istruzioni per la corretta gestione e tutela dei dati personali, ivi compresa la salvaguardia della loro integrità e sicurezza; 
  • a verificare periodicamente, anche tramite appositi uffici, l'osservanza dell'attività svolta rispetto alle istruzioni impartite, anche con riguardo agli aspetti relativi alla sicurezza dei dati. 
 

Chi sono i Responsabili del trattamento dei dati personali?

I Responsabili del trattamento dei dati personali sono individuati nelle figure dei Responsabili di Struttura, avuto presente che tale funzione dirigenziale esprime il possesso di quelle caratteristiche di esperienza, conoscenza ed affidabilità che meglio possano coniugare i livelli di qualità produttiva al rispetto dei diritti degli interessi che il Codice promuove e tutela. L'atto di designazione a Responsabile di trattamento ha luogo al momento della sottoscrizione del contratto di lavoro.
I Responsabili del trattamento, alla luce delle indicazioni organizzative e procedurali fornite dal Titolare (all’atto della nomina il Responsabile riceve il documento " Istruzioni operative per i Responsabili di Trattamento"), sovrintendono alle  operazioni di trattamento svolte dagli incaricati del trattamento, che operano presso la struttura loro affidata. 
 

Chi sono gli Incaricati del trattamento?

Gli incaricati di trattamento sono identificati in tutti coloro che alle dipendenze o comunque in nome e per conto dell'azienda Titolare, in virtù della propria funzione, ruolo, servizio, effettuano operazioni di trattamento di dati.
Gli incaricati sono tenuti ad eseguire i trattamenti di dati secondo le disposizioni, le regole ed i principi che Responsabile e Titolare hanno loro fornito con il "Manuale ad uso dell'incaricato", che viene consegnato al momento della nomina che ha luogo al momento della sottoscrizione del contratto di lavoro.

Il Responsabile di trattamento, inoltre, cura che l'organizzazione interna della struttura preveda per gli incaricati ambiti specifici di accesso ai dati e che tale accesso avvenga alla luce dei principi di pertinenza e necessità.  
 

Che cosa è previsto nei casi di trattamento di dati affidati all'esterno?

Ad ogni soggetto, sia pubblico che privato, esterno all'Azienda ma a questa legato da una forma contrattuale di qualsiasi tipo che preveda una forma di trattamento dati, con esclusivo riferimento alle connesse operazioni di trattamento, è attribuita la qualità di Responsabile.
Nei disciplinari di gara, negli accordi con le strutture accreditate e nei contratti di affidamento di attività o di servizi all'esterno dell'azienda (outsourcing) è inserita apposita clausola di garanzia in cui il soggetto accreditato od affidatario si impegna all'osservanza delle norme sulla protezione dei dati personali e di quanto disposto dall'Azienda in materia di trattamento di dati, esplicitando dichiarazione di rispetto delle norme e di adozione delle misure minime di sicurezza.  

Come avviene il trattamento dei dati personali? 

Il trattamento dei dati viene effettuato con modalità atte ad assicurare il rispetto dei diritti e della dignità dell'interessato e attraverso gli accorgimenti tecnici e le misure di sicurezza che il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) prevede. 
Oggetto di trattamento sono i soli dati essenziali e necessari per svolgere le singole attività istituzionalmente e funzionalmente attribuite.

I dati personali sono raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in eventuali ulteriori operazioni di trattamento in termini non incompatibili con tali scopi.  

I trattamenti di dati effettuati utilizzando le banche dati di diversi titolari, sono utilizzati nelle sole ipotesi previste da espressa disposizione di legge.
  
I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da ogni altro dato personale quando questo è trattato per finalità che non richiedono il loro utilizzo. 
Informativa e Consenso al trattamento dei dati
All'interessato, antecedentemente o al momento della raccolta dei dati, ad esclusione di casi di emergenza-urgenza, di rilevante gravità o di reale impossibilità, è resa l'"informativa" di cui agli artt. 77 e segg. del Codice. 
Essa, che si sostanzia in un modulo con il quale l'Azienda ha inteso riassumere in modo omogeneo e completo per l'insieme delle strutture le prescritte informazioni, può essere approfondita nei suoi contenuti, spiegata e ampliata anche oralmente da chiunque abbia titolo. 
Il modulo è presente sul sito internet e sulla rete intranet aziendale (e quindi sempre disponibile per gli operatori) oltre ad essere affisso tramite appositi cartelli nei luoghi di maggior accesso da parte dell'utenza.

Il consenso al trattamento dei dati (consenso “base”), che l'interessato rende oralmente una tantum, è annotato informaticamente in modo tale che possa essere posto alla conoscenza di tutte le strutture che abbiano anche in tempo diverso e successivo a dover trattare i dati del medesimo assistito. 
 

Quali sono i diritti dell'interessato?

In qualsiasi momento l’utente può ottenere informazioni sull’utilizzo dei propri dati; ai sensi dell'art. 7 del Codice Privacy, l’interessato può chiedere di:  
  • conoscere i suoi dati in trattamento;
  • conoscere il nome dei soggetti che hanno il compito di conservarli e di proteggerli;
  • sapere a chi vengono comunicati e chi può venirne a conoscenza;
  • chiedere l’integrazione o l’aggiornamento, oppure la rettificazione dei suoi dati;
  • chiedere la cancellazione (purché non sussistano obblighi di conservazione per legge), la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché opporsi in ogni caso, per giusti motivi, al loro utilizzo.

Per esercitare i diritti di cui all’art. 7del Codice Privacy l’utente può rivolgersi a:
  • per Azienda Ospedaliera: Direzione Affari Legali o Direzione Medica Ospedaliera, padiglione Spallanzani, viale Umberto I 50 (per appuntamento tel. 0522 296217/6234). 
 

Rapporti tra diritto di accesso e diritto alla riservatezza 

Come espressamente previsto dalla legge che in tema di dati personali fa esplicitamente salve le vigenti norme in materia di accesso ai documenti amministrativi, l'Azienda Ospedaliera valuterà caso per caso la possibilità di accedere ai documenti da parte di terzi, avendo anche riguardo al proprio regolamento di attuazione della legge 241/90 e verificando la sussistenza delle condizioni per l'esercizio del diritto di accesso.

L'accesso sarà ammesso nelle modalità di legge e secondo quanto disposto in materia dal Garante per la riservatezza dei dati personali.

I dati personali idonei a rilevare lo stato di salute sono resi noti all'interessato in luoghi e con forme atte a garantire la debita riservatezza, la comprensione completa delle notizie e comunque in una complessiva condizione di rispetto della sua capacità di autodeterminazione, libertà e dignità. Questi dati possono essere comunicati solo da personale titolato. 

La documentazione sanitaria può essere ritirata anche da persona diversa dal diretto interessato, purché sulla base di una delega scritta e mediante consegna dei documenti in busta chiusa.

È previsto, come eccezione, che un degente possa chiedere che la sua presenza in ospedale non venga resa nota. Pertanto, in assenza di contraria espressa volontà dell'interessato che comunque trova accoglimento in apposita procedura interna, l'ospedale garantisce l'informazione sulla presenza dei degenti e la loro reperibilità all'interno dei reparti ospedalieri.

L'Azienda, inoltre, quando deliberazioni, atti, o altri significativi documenti a valenza sia interna che esterna possano contenere dati sensibili, seleziona - alla luce dei principi di pertinenza e non eccedenza- i dati personali la cui inclusione sia realmente necessaria per le finalità proprie di ciascun provvedimento e per la sua validità. 
 

Sicurezza degli archivi cartacei 

L'accesso agli archivi aziendali di deposito è controllato e i soggetti che vi siano ammessi dopo l'orario di chiusura vengono identificati e registrati.
 
Con riferimento agli archivi amministrativi correnti la responsabilità della conservazione, della sicurezza dei medesimi e della loro accedibilità è affidata al Responsabile di Struttura, che, come Responsabile del trattamento, definisce il grado ed i mezzi di protezione di quei dati che entrano nei processi lavorativi di competenza.  

Per le cartelle cliniche e la documentazione equipollente giacente temporaneamente presso le unità operative le stesse responsabilità fanno capo al Responsabile di Struttura già designato Responsabile del trattamento. 

Nel caso di documentazione archiviata o comunque detenuta ad altro titolo anche temporaneamente, da  ditta convenzionata, il legale rappresentante della medesima è Responsabile della conservazione e della sicurezza di detta documentazione e nel contratto di affidamento del servizio dovrà essere prevista un'apposita clausola di garanzia e la possibilità per l'Azienda di accedere ai locali per verificare anche il rispetto alle prescrizioni della legge sulla privacy e del presente regolamento.
 

Dossier Sanitario 

Al fine di assicurare un livello di assistenza e cura sempre più efficace e sicuro, le Aziende sanitarie pubbliche della provincia di Reggio Emilia (Azienda USL e Azienda Ospedaliera) hanno predisposto un nuovo utile strumento, denominato Dossier Sanitario. Si tratta di uno strumento informatico che contiene ed organizza i dati sanitari delle prestazioni ricevute presso le due Aziende Sanitarie; tali dati possono essere consultati unicamente dai professionisti delle stesse Aziende per finalità di prevenzione, diagnosi, cura o riabilitazione e solo per il tempo necessario all'espletamento di tali attività assistenziali.

Con questo strumento, pertanto, i professionisti che prendono in cura un utente hanno immediatamente a disposizione un quadro il più possibile completo delle informazioni sanitarie che lo riguardano e possono valutare la situazione clinica in modo più efficace, tempestivo e dunque qualitativamente migliore. 
 

Esiste una normativa specifica che disciplini il trattamento dei dati attraverso il Dossier Sanitario? 

Accanto a quanto previsto dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), il Garante per la protezione dei dati personali ha emanato, fin dal 2009, linee guida specifiche, recentemente aggiornate attraverso l’adozione delle “Linee guida in materia di Dossier Sanitario (Provvedimento del Garante n. 331 del 4 luglio 2015).
 

Quali dati fanno parte del Dossier Sanitario?

Il Dossier Sanitario contiene i dati personali e sanitari presenti nell'archivio informatico delle Aziende sanitarie provinciali (archivio già denominato DataWareHouse Clinico interaziendale - DWH - ed oggetto di informativa al pubblico fin dalla sua creazione ovvero dall’anno 2004) e viene alimentato nel tempo con i dati relativi alle nuove prestazioni erogate.

Il Dossier contiene, ad esempio, le cartelle cliniche dei ricoveri, i verbali di Pronto Soccorso, le lettere di dimissione, i risultati degli esami di laboratorio e di radiologia, i referti di visite specialistiche ambulatoriali. Altri dati sanitari particolarmente delicati (dati relativi ad atti di violenza sessuale o pedofilia, patologia HIV, uso di sostanze stupefacenti, psicotrope o alcool, interruzione volontaria di gravidanza o parto in anonimato) non sono inseriti all’interno del Dossier sanitario oppure sono inseriti con specifici accorgimenti tecnologici che consentono l’accesso – sempre motivato per e con lo stato di necessità - al solo personale sanitario autorizzato. In ogni caso, l’utente ha sempre la possibilità di richiedere che i suoi dati vengano gestiti in forma anonima.
 

Chi può avere accesso al Dossier Sanitario?

Possono accedere al Dossier Sanitario solamente operatori sanitari che svolgono la loro attività presso le due Aziende sanitarie provinciali (AUSL e Azienda Ospedaliera Santa Maria Nuova - IRCCS di Reggio Emilia) e che sono direttamente coinvolti nel percorso di cura dell’utente i cui dati si riferiscono; la consultazione del Dossier Sanitario è dunque possibile per gli operatori abilitati in base al loro profilo professionale e per il tempo indispensabile ad espletare le relative operazioni di cura (anche in regime di libera professione intramurararia, anche detta intramoenia).
 

Informativa sul Dossier Sanitario

L’informativa sul Dossier Sanitario, parte integrante della informativa finalizzata all’acquisizione del consenso “base” al trattamento dei dati, è disponibile sul sito internet e sulla rete intranet aziendale (e quindi sempre disponibile per gli operatori) oltre ad essere affissa tramite appositi cartelli nei luoghi di maggior accesso da parte dell'utenza.
 

Consenso al Dossier Sanitario: rilascio e revoca 

La costituzione del Dossier Sanitario avviene previo rilascio del consenso specifico. L’utente ha diritto di decidere liberamente se far costituire il proprio Dossier Sanitario; nel caso dia il suo consenso, l’utente può però decidere di non fare inserire nel Dossier Sanitario informazioni relative ad eventi sanitari pregressi all’istituzione del dossier. Il consenso viene annotato nel sistema informatico gestionale aziendale e come per il consenso “ base” ha valore fino a sua nuova e diversa determinazione ovvero eventuale revoca.

La legge prevede che il Dossier Sanitario possa inoltre essere consultato, anche senza  consenso, qualora ciò sia indispensabile per la salvaguardia della salute di un terzo o della collettività.

Nel caso in cui l’utente non intenda fornire il suo consenso al Dossier, accederà comunque alle prestazioni erogate dal Servizio Sanitario provinciale. Corre tuttavia l'obbligo di informare che, in tal caso, si potrebbe incorrere in rischi per la propria salute, in quanto gli operatori sanitari, non potendo accedere ai precedenti sanitari dell’utente, potrebbero non venire a conoscenza di tutte le informazioni necessarie per formulare la migliore strategia diagnostica o terapeutica. 

L’utente ha comunque la facoltà di revocare il proprio consenso in qualunque momento: in caso di revoca del consenso, il Dossier Sanitario non sarà più aggiornato e i documenti in esso contenuti non potranno più essere consultati.
 

Chi rilascia il consenso in caso di utenti con incapacità di agire?

In caso di incapacità di agire dell’interessato deve essere acquisito il consenso di chi esercita la potestà legale. In caso di minori, raggiunta la maggiore età, gli eventuali consensi già acquisiti vengono automaticamente revocati per essere successivamente acquisiti al primo contatto con una delle Strutture delle due Aziende Sanitarie. 

I dati contenuti nel Dossier Sanitario possono essere utilizzati a fini di ricerca?

I dati sanitari raccolti attraverso il Dossier Sanitario possono essere trattati, al pari di ogni altra informazione clinica, anche per fini di ricerca nel rispetto di quanto previsto dal Codice in materia di protezione dei dati personali (D.Lgs. 196/2003) per tali tipi di trattamenti, ovvero, in via generale, previa acquisizione del consenso informato del paziente (art. 110 del Codice).
 

Quali obblighi sono previsti in caso di violazione dei dati personali attraverso il Dossier Sanitario?

Al verificarsi di violazione dai dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che possano comunque esporre al rischio di violazione, vi è l’obbligo di comunicazione al Garante entro 48 ore dalla conoscenza dei fatti.
 

L’interessato ha il diritto di visionare gli accessi al proprio Dossier Sanitario?

L’Autorità Garante riconosce all’interessato il diritto alla visione degli accessi al proprio Dossier Sanitario, a seguito di formale richiesta al Titolare del trattamento o ad un suo delegato. L’Azienda Ospedaliera, entro 15 giorni dal ricevimento della richiesta, come previsto dalle “Linee guida in materia di Dossier Sanitario”, fornisce l’elenco delle strutture/reparti che hanno effettuato l’accesso, nonché della data e dell’ora dello stesso.

Per esercitare tale diritto l’utente può rivolgersi all’Azienda sanitaria erogatrice/titolare del trattamento dei dati:
per Azienda Ospedaliera: Direzione Affari Legali o Direzione Medica Ospedaliera, padiglione Spallanzani, viale Umberto I 50 (per appuntamento tel. 0522 296217/6234). 
 

Diritto di Oscuramento

Una volta espresso il consenso alla costituzione del Dossier Sanitario, l’utente ha la possibilità di non rendere visibili all'interno di esso i dati relativi a singoli episodi di cura (ad es: una prestazione di pronto soccorso, un ricovero, una prestazione specialistica): tale opportunità, prevista come ulteriore tutela della riservatezza, si definisce “diritto all’oscuramento”.

Per esercitare il diritto all’oscuramento l’utente può rivolgersi, senza particolari formalità, all’Azienda sanitaria erogatrice/titolare del trattamento dei dati:
  • per Azienda Ospedaliera: Direzione Affari Legali o Direzione Medica Ospedaliera, padiglione Spallanzani, viale Umberto I 50 (per appuntamento tel. 0522 296217/6234). 

L’oscuramento dell’evento clinico avviene con modalità tecniche tali da garantire che i soggetti abilitati alla consultazione del Dossier Sanitario non possano né visualizzare l’evento oscurato, né venire a conoscenza del fatto che l’interessato ha effettuato tale scelta. È sempre possibile rendere nuovamente visibili i dati oscurati, rivolgendo richiesta alle strutture di cui sopra.
Ultimo aggiornamento: 10/11/2015