Privacy

Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell'Unione Europea.

Il diritto alla protezione dei dati personali nel nostro Paese è tutelato dal Codice in materia di protezione dei dati personali (Decreto Legislativo 30 giugno 2003, n. 196), oltre che da altri atti normativi italiani e internazionali.

L’Istituto per lo Studio e la Prevenzione Oncologica (ISPO), nel perseguimento della propria missione di tutela della salute, opera affinché “il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali” (art. 2 del Codice).

Informativa per gli utenti dei servizi sanitari ai sensi dell’art. 13 del Decreto Legislativo 30 giugno 2003, n. 196 (Codice Privacy)

ISPO tratta dati personali anche sensibili (ivi compresi i dati idonei a rivelare lo stato di salute e la vita sessuale nonché i dati genetici) per varie finalità istituzionali, tra le quali:

  • la ricerca, la valutazione e la sorveglianza epidemiologica, la promozione e realizzazione di progetti di intervento nel campo della prevenzione primaria in ambito oncologico, sia nella popolazione generale che in sottogruppi a rischio specifico;
  • la ricerca, la valutazione epidemiologica e dell’appropriatezza delle tecnologie Health Technology Assessment (HTA), la definizione dei percorsi diagnostici nel campo della prevenzione secondaria in ambito oncologico e la promozione e realizzazione di programmi di screening oncologico;
  • la sorveglianza epidemiologica relativa agli aspetti di stile di vita, incluse le abitudini alimentari e voluttuarie e i livelli di attività fisica, le esposizioni ambientali e occupazionali e gli aspetti socio-economici collegati.

Per l’esercizio di tali attività la Legge Regionale Toscana n. 32/2012 ha disposto che ISPO acquisisce i dati necessari, pertinenti e non eccedenti, tramite comunicazione da parte della Regione Toscana o tramite interconnessione, ove indispensabile, con le banche dati regionali. Tali dati, privati degli elementi identificativi diretti, sono quelli idonei a rivelare lo stato di salute attuale e pregresso, e, se necessario, l’origine etnica, la vita sessuale degli assistiti dal servizio sanitario regionale e lo stato di salute relativo ai loro familiari.

Ulteriori attività istituzionali sono:

  • l’organizzazione, l’esecuzione, il monitoraggio delle procedure diagnostiche correlate agli screening istituzionali;
  • la centralizzazione delle attività diagnostiche correlate agli screening oncologici effettuati sul territorio regionale;
  • la prevenzione terziaria con specifico riferimento al follow-up, al sostegno psicologico ed alla riabilitazione dei pazienti oncologici;
  • la gestione del registro toscano tumori, del registro di mortalità regionale, nonché la gestione delle mappe di rischio oncogeno e la gestione del centro operativo regionale (COR) per i tumori professionali;
  • la sperimentazione clinica riconducibile alle attività complessive dell’ISPO, compresa quella relativa a farmaci utilizzabili nella chemioprevenzione.

Per l’esercizio delle attività di cui sopra ISPO acquisisce i dati necessari, pertinenti e non eccedenti, tramite comunicazione da parte delle Aziende Sanitarie e degli altri enti del servizio sanitario regionale o tramite interconnessione, ove indispensabile, con le loro banche dati. Tali dati individuali sono quelli idonei a rivelare lo stato di salute attuale e pregresso, e, se necessario, l’origine etnica, la vita sessuale degli assistiti dal servizio sanitario regionale e lo stato di salute relativo ai loro familiari.

Le operazioni di trattamento consentite sono: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione.

L’acquisizione dei dati di cui sopra avviene a seguito di richiesta da parte di ISPO e può essere regolata da apposita convenzione. L’accesso ai dati e il trattamento dei dati sono effettuati nel rispetto delle disposizioni di cui al Decreto Legislativo 30 giugno 2003, n. 196 (Codice Privacy).

ISPO è legittimato a trattare i soli dati essenziali allo svolgimento delle attività istituzionali sopra indicate, qualora non possano essere adempiute mediante il trattamento di dati anonimi o di dati personali di natura diversa.

I dati sono trattati utilizzando supporti cartacei come elettronici, rispettando le misure di sicurezza previste agli artt. 33-36 ed all’allegato B del Codice.

I dati idonei a rivelare lo stato di salute potranno essere utilizzati per finalità didattiche o di aggiornamento professionale solo a seguito di una loro rigorosa anonimizzazione.

Il trattamento dei dati idonei a rivelare lo stato di salute per finalità di tutela e cura della salute dell’interessato è possibile solo previa acquisizione del consenso dell’interessato stesso (artt. 76 c. 1 del Codice). Il conferimento dei dati da parte dell’interessato, attraverso una dichiarazione di consenso riferita alla presente informativa, è facoltativo, ma il mancato conferimento rende impossibile l’erogazione delle prestazioni richieste.

I dati personali possono essere accessibili, all’interno dell’Istituto, a più responsabili e incaricati del trattamento - secondo le rispettive competenze e comunque in accordo con i principi di pertinenza, non eccedenza e di indispensabilità ai sensi degli artt. 11 comma 1 e 85 comma 4 del Codice – tanto dipendenti che non (ivi compresi, con le necessarie limitazioni, medici o altri professionisti sanitari in specializzazione universitaria, ricercatori di enti di ricerca o universitari, tirocinanti, borsisti, studenti, frequentatori volontari).

I dati personali oggetto di trattamento possono essere comunicati, per lo svolgimento delle funzioni istituzionali, a: enti del Servizio Sanitario Nazionale, nei casi in cui ciò sia previsto dalle normative vigenti; altri enti pubblici, nei casi in cui ciò sia previsto dalle normative vigenti; enti privati (tra cui associazioni di volontariato) che, nei limiti e nelle forme previste da normative vigenti, effettuino per l’Istituto servizi definiti da contratti o convenzioni (es. Enti di Volontariato); persone fisiche diverse dal diretto interessato, nei casi previsti dalle normative vigenti.

L’interessato ha diritto, ai sensi dell’art. 7 del Codice, di ottenere l’indicazione: dell’origine dei dati personali (nel senso della occasione e della modalità della acquisizione dei dati); delle finalità e modalità del trattamento; della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; degli estremi identificativi del titolare e dei responsabili del trattamento di quei dati; dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati. In riferimento a tali dati, l’interessato ha inoltre diritto di ottenere: l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati qualora siano stati trattati in violazione della legge, oppure quando si tali dati non sia necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti (o successivamente trattati);
l’attestazione che le operazioni di aggiornamento ecc. o cancellazione ecc. di cui sopra sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi (eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato).
Per esercitare il diritto di accesso ai dati personali clicca qui per scaricare il modulo.

Titolare del trattamento dei dati personali è ISPO.

ISPO individua quali responsabili dei trattamenti di rispettiva competenza:

  • il Direttore Amministrativo
  • il Direttore Sanitario
  • i Direttori di strutture organizzative complesse
  • i Direttori di strutture organizzative semplici
  • i Responsabili di coordinamento delle aree del comparto

ISPO ha individuato un Referente Aziendale per la Privacy, con la funzione, tra l’altro, di riscontro agli utenti per tutte le problematiche inerenti la tutela della riservatezza; il Referente per la Privacy può essere contattato presso il Settore Affari Generali.

Definizioni

Dati personali: qualunque informazione relativa ad una persona fisica, identificata o identificabile (anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale).

Dati sensibili: i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Trattamento: qualunque operazione o complesso di operazioni effettuati sui dati personali (raccolta, registrazione, organizzazione, conservazione; consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco comunicazione, diffusione, cancellazione, distruzione di dati). Rientrano nella nozione di trattamento anche le operazioni effettuate senza l’ausilio di strumenti elettronici, nonché quelle relative ad informazioni non organizzate in banche dati.
Comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati (diversi dall’interessato, dal responsabile e dagli incaricati), in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Titolare: il soggetto cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso.

Responsabile: il soggetto preposto dal titolare al trattamento di dati personali.
Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile, in pratica chi materialmente effettua le operazioni di trattamento di dati.
Interessato: la persona fisica cui si riferiscono i dati personali.