MANUALE PER LA GESTIONE DEI CONSENSI INFORMATI EX GDPR 697/2016
Premessa
“Ecosistema Calabria Sanità” è il Portale e l'APP regionale, che permette all’utente di accedere al funzioni di Scelta e Revoca del proprio medico di medicina generale e del pediatra di soggetti minori, oltre ad Attestazioni sul proprio stato vaccinale, esenzioni per malattia attive e servizi informativi sugli orari ambulatoriali osservati dai propri medici.
Il presente manuale regola esclusivamente la gestione delle informative e dei consensi di pertinenza del Portale “Ecosistema Calabria Sanità” e non anche di altri portali web o servizi esterni, eventualmente raggiungibili, in funzione di eventuali modifiche o interventi effettuati sullo stesso portale, tramite link presenti durante la navigazione sul Portale.
Il presente documento ha lo scopo di informare l’utente, per renderlo consapevole in merito a quali dati personali e quali categorie particolari di dati personali sono trattati, le finalità e le modalità di trattamento, le misure di sicurezza adottate.
Presupposto indispensabile per usufruire dei servizi offerti dal Portale “Ecosistema Calabria Sanità” (di seguito, anche solo “Portale” o “Ecosistema Calabria Sanità”) è il previo rilascio del consenso dell’utente e/o del/i soggetto/i di cui è rappresentante legale o tutore nella piena consapevolezza di quanto riportato nell’apposita informativa privacy.
Attraverso il Portale, è reso disponibile all’utente un canale di accesso semplice e intuitivo ai dati e documenti sanitari e socio-sanitari resi recuperabili tramite il dialogo tra il portale stesso e il sistema informativo Sanitario Regionale Sec-Sisr.. Il Portale, inoltre, è uno degli strumenti attraverso cui l’utente può gestire i propri consensi nonché compiere le operazioni meglio dettagliate al paragrafo “Finalità e base giuridica del trattamento”.
Premessa
L’autenticazione in “Ecosistema Calabria Sanità” può avvenire solo ed esclusivamente attraverso credenziali SPID.
È possibile autenticarsi sul Portale “Ecosistema Calabria Sanità” solo attraverso SPID/CIE
In questo caso, i dati inseriti dall’utente per l’accesso al Portale sono quelli richiesti dall’Identity Provider SPID di cui egli si avvale, che definisce, altresì, le regole e le modalità di accesso con tali credenziali ai servizi della Pubblica Amministrazione, secondo quanto riportato nelle specifiche informative.
Il Portale “Ecosistema Calabria Sanità” – ai fini della verifica dell’identità dell’utente e per offrire a quest’ultimo un miglior servizio – processa il solo “codice fiscale” dell’utente ricavati tramite interrogazione al sistema dell’Identity Provider e a quello anagrafico regionale.
Categorie particolari di dati
Durante la sessione di navigazione sul Portale, sono resi disponibili all’utente anche i propri dati e informazioni sanitarie e socio-sanitari recuperabili tramite Sec-Sisr e/o quelli del/i soggetto/i da questi legalmente rappresentato/i, dai quali, pertanto, si possono evincere dati relativi allo stato di salute in particolare sullo stato vaccinale di un individuo (art. 9, par. 1, Regolamento UE 2016/679). Attraverso il Portale, tali dati sono resi disponibili all’utente per la sola durata di ciascuna sessione, nel costante rispetto della normativa in materia di privacy.
Finalità e base giuridica del trattamento
Il trattamento dati che si effettua con il presente Portale ha i seguenti scopi:
- consentire all’utente la visualizzazione dei dati e documenti sanitari e sociosanitari resi recuperabili tramite il Sistema Sanitario Regionale e/o tramite quello del/i soggetto/i da questi legalmente rappresentato/i;
- consentire all’utente di gestire (rilasciare, modificare, revocare) i propri consensi;
- consentire all’utente di scaricare – in originale e/o in formato pdf – i documenti sanitari e socio-sanitari resi recuperabili tramite Sec-SISR, propri e/o del/i soggetto/i legalmente rappresentato/i;
- consentire agli utenti di sistema di conoscere quali accessi sono stati effettuati per conto dei minori per i quali sono state utilizzate funzionalità di revoca e scelta medico e produzione di attestazioni vaccinali o anche proprie;
- consentire all’utente di ricevere assistenza sull’utilizzo del Portale “Ecosistema Calabria Sanità”, anche attraverso piattaforme esterne al Portale medesimo, che rispondono a privacy policy e misure di sicurezza loro proprie;
- elaborare e alimentare un sistema statistico in forma aggregata, volto al monitoraggio del funzionamento e al miglioramento del servizio, attraverso dati – anonimi, ovvero pseudonimizzati – afferenti all’utilizzo del Portale e quelli di carattere anagrafico.
Poiché, come anticipato in premessa, il Portale “Ecosistema Calabria Sanità” permette all’utente l’accesso ai dati e documenti sanitari e socio-sanitari resi recuperabili tramite Sec-SISR, la base giuridica del trattamento si identifica nel consenso prestato dall’utente medesimo sulla base dell’informativa privacy Sec-SISR.
Modalità di trattamento dei dati e utilizzo del Portale
I dati forniti dall’utente sono trattati con strumenti informatici, per il tempo strettamente necessario a conseguire gli scopi per cui sono stati raccolti.
I flussi di dati che permettono il “dialogo” tra l’infrastruttura del Sec-SISR e il Portale sono criptati.
Specifiche misure tecniche e organizzative sono osservate per garantire un livello di sicurezza del Portale adeguato e conforme a quanto previsto dall’art. 32 Regolamento UE 2016/679.
Conferendo i dati al momento dell’autenticazione, ogni utente acconsente:
- che cognome, nome, residenza e dati di natura anagrafica, mediante recupero del codice fiscale esposto da IDP SPID, dati e documenti sanitari e socio-sanitari resi recuperabili tramite Sec-SISR, propri e/o del/i soggetto/i rappresentato/i legalmente, siano dallo stesso accessibili, attraverso il canale del Portale;
- che gli siano resi visibili a monitor e scaricabili – a sua discrezione – sul dispositivo da cui accede al Portale “Ecosistema Calabria Sanità”, info relativi a documenti sanitari e socio-sanitari resi recuperabili tramite Sec-SISR, propri e/o del/i soggetto/i rappresentato/i legalmente;
- che, al fine di garantire una navigazione protetta, sia tracciato l’indirizzo IP del dispositivo con cui accede al Portale “Ecosistema Calabria Sanità”;
- che i dati afferenti all’utilizzo del Portale e quelli di carattere anagrafico confluiscano, in maniera anonima, ovvero pseudonimizzata, nel sistema statistico previsto nell’architettura del Portale medesimo e/o in quello sanitario regionale.
Si consiglia di aver cura – durante la sessione di navigazione – di non lasciare incustodito il dispositivo con cui si è effettuato l’accesso al Portale, al fine di evitare abusivi accessi da parte di terzi
Si raccomanda a tutti gli utenti, altresì, di adottare le necessarie cautele per assicurare la segretezza della propria password SPID.
Il regolamento sull’utilizzo e gli aspetti di sicurezza delle credenziali SPID sono disciplinati dall’Identity Provider di cui l’utente si avvale.
Comunicazione e diffusione dei dati
Nei limiti e per le finalità indicate nel presente documento, i dati personali degli utenti dagli stessi autonomamente inseriti all’atto di autenticazione in “Ecosistema Calabria Sanità” e quelli automaticamente recuperati tramite un collegamento con il sistema regionale di gestione delle identità “Calabria Login”, con il sistema anagrafico regionale o con il sistema dell’Identity Provider, potranno essere comunicati a:
- soggetti, enti o autorità a cui la comunicazione dei dati sia obbligatoria per legge;
- soggetti delegati e/o incaricati dal Titolare di svolgere attività correlate all'erogazione dei servizi e/o all’aggiornamento tecnico del Portale.
La comunicazione e/o la diffusione volontaria e consapevole da parte dell’utente dei propri dati – e/o di quelli del/i soggetto/i rappresentato/i legalmente – sulla rete internet e/o tramite altri canali, tecnologicamente esterni a “Ecosistema Calabria Sanità”, non costituiscono comunicazione e/o diffusione di dati effettuata dal Titolare del trattamento
I dati trattati non sono diffusi.
Conservazione dei dati
I dati relativi all’anagrafica dell’utente, inseriti sul Portale “Ecosistema Calabria Sanità”, ovvero quelli recuperati automaticamente attraverso un collegamento con il sistema regionale di gestione delle credenziali “Calabria Login”, con il sistema anagrafico regionale o con il sistema dell’Identity Provider di cui l’utente si avvale, sono conservati per il periodo di tempo necessario a perseguire le finalità di cui alla presente informativa.
Per il periodo di conservazione riguardante I dati recuperabili tramite Sec-SISR e accessibili tramite Portale “Ecosistema Calabria Sanità”, invece, si rinvia all’informativa privacy Sec-SISR.
Si ricorda che l’utente, in qualsiasi momento, può gestire (rilasciare, modificare, revocare) i consensi prestati nell’apposita sezione e obbligatori in fase di primo accesso, senza che ciò pregiudichi la liceità del trattamento effettuato sulla base del consenso prestato prima della revoca, secondo le modalità previste nell’apposita informativa privacy.
L’eventuale revoca dei consensi Sec-SISR non incide sui dati relativi all’anagrafica dell’utente, inseriti sul Portale “Ecosistema Calabria Sanità”, ovvero quelli recuperati automaticamente attraverso un collegamento con il sistema regionale di gestione delle credenziali “Calabria Login”, con il sistema anagrafico regionale o con il sistema dell’Identity Provider di cui l’utente si avvale per l’accesso al Portale. Ciò per permettere all’utente, in qualsiasi momento, di rilasciare nuovamente i consensi attraverso i canali telematici disponibili.
L’utente può richiedere la cancellazione di tali dati – senza che ciò pregiudichi la liceità del trattamento precedentemente effettuato – contattando il supporto tecnico, attraverso i canali messi a disposizione dal Portale senza poter a valle sfruttare alcuna funzionalità del portale.
Le operazioni sopra descritte non comportano la rimozione automatica dei documenti scaricati e salvati sui dispositivi utilizzati dall’utente. La cancellazione sicura dei dati e dei documenti esportati al di fuori del Portale e memorizzati sui dispositivi utilizzati, pertanto, è a cura dell’utente.
Cookie e altri sistemi di tracciamento
Il sito consente inoltre l’invio di cookie analitici di prime parti, utilizzando il servizio Web Analytics Italia (maggiori informazioni all’indirizzo https://webanalytics.italia.it/faq) per misurare l’interazione degli utenti con il sito web, unicamente al fine di effettuare analisi quantitative aggregate, mediante dati in forma anonima, senza identificazione degli utenti. La raccolta e l’uso delle informazioni effettuati dalla terza parte sono regolati dall’informativa di quest’ultima disponibile all’indirizzo https://webanalytics.italia.it/privacy.
Modifiche
La presente Informativa potrà essere soggetta a modifiche e/o aggiornamenti.
L’informativa aggiornata è a disposizione dell’utente all’interno del Portale “Ecosistema Calabria Sanità”.
Diritti dell’interessato
Fermo quanto previsto al paragrafo “conservazione dei dati”, gli utenti hanno il diritto di esercitare – per sé o per il/i soggetto/i legalmente rappresentato/i – in qualunque momento i diritti di cui agli artt. 15-22 e 77 Regolamento UE 2016/679.
In particolare, si tratta, nei limiti della loro applicabilità:
- del diritto di ottenere dal Titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali dell’interessato unitamente alle informazioni di cui all’art. 15 del Regolamento UE 2016/679;
- del diritto di rettifica dei dati personali inesatti che riguardano l’interessato stesso (art. 16 del Regolamento UE 2016/679);
- del diritto alla cancellazione dei dati personali (c.d. diritto all’oblio) nei casi normativamente previsti dall’art. 17 del Regolamento UE 2016/679;
- del diritto di limitazione del trattamento, al ricorrere di una delle ipotesi di cui all’art. 18 del Regolamento UE 2016/679;
- del diritto a ricevere la comunicazione in merito ai destinatari cui sono state notificate le eventuali rettifiche o cancellazioni o limitazioni del trattamento (art. 19 Regolamento UE 2016/679);
- del diritto di ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali, che riguardano l’interessato, forniti al Titolare del trattamento, nonché del diritto di trasmettere tali dati a un altro Titolare del trattamento senza impedimenti (c.d. diritto alla portabilità dei dati, art. 20 del Regolamento UE 2016/679);
- del diritto di opposizione al trattamento dei dati personali che riguardano l’interessato (art. 21 del Regolamento UE 2016/679);
- del diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione, che producano effetti giuridici che riguardano l’interessato o che incidano in modo analogo e significativamente sulla sua persona (art. 22 del Regolamento UE 2016/679);
- del diritto di proporre reclamo all’autorità di controllo (Autorità Garante per la protezione dei dati personali) i cui dati di contatto sono rinvenibili all’interno del sito internet www.garanteprivacy.it, sezione “Contatti”.
Per questioni relative al trattamento dei dati personali, compreso l’esercizio dei diritti dell’interessato, l’utente può contattare – in base al rispettivo ambito territoriale e tipologia di finalità o di trattamento – i Titolari del trattamento, nonché eventualmente, e in particolare quando sorgano difficoltà, il loro Responsabile della Protezione dei Dati, utilizzando i dati di contatto riportati nell’apposita sezione sottostante del presente documento.
Titolari del trattamento
Ogni operazione di trattamento di dati personali è improntata alla tutela della riservatezza e dei diritti dell’utente, secondo i principi di correttezza, liceità e trasparenza, nel rispetto della vigente normativa in materia di privacy.
Ai sensi e per gli effetti dell’art. 12 del D.L. 18 ottobre 2012, n. 179 (convertito con modificazioni con la Legge 17 dicembre 2012, n. 221 e ss.mm.ii.) e del D.P.C.M. 29 settembre 2015, n. 178, Titolari del trattamento dei dati sono:
- per le finalità prevenzione, diagnosi, cura e riabilitazione(c.d. finalità di cura), i soggetti facenti parte del Servizio Sanitario Nazionale e dei Servizi Socio-sanitari Regionali che prendono in cura l’assistito e presso cui sono redatti i dati e i documenti sanitari che alimentano il FSE (Aziende Sanitarie, Aziende Ospedaliere, etc.);
- per le finalità di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria (c.d. finalità di governo), la Regione Calabria – Giunta Regionale, nonché il Ministero del Lavoro e delle Politiche Sociali e il Ministero della Salute nei limiti delle rispettive competenze attribuite dalla legge;
- per le finalità di esposizione e fruizione dei servizi ECS, il Dipartimento Transizione Digitale e Attività Strategiche della Regione Calabria.
dati di contatto del Titolare e del Responsabile della Protezione dei Dati sono i seguenti:
Titolare del Trattamento dei Dati
Regione Calabria - Dipartimento Transizione digitale e Attività Strategiche
Viale Europa, Località Germaneto
88100 – Catanzaro
agendadigitale@regione.calabria.it
Responsabile della protezione dei dati personali
Avv. Angela Stellato
rpd@pec.regione.calabria.it
Sedi fisiche di runtime e di funzionamento dell’applicativo
Le operazioni di trattamento sono esclusivamente condotte mediante sistema informatico istanziato sul sistema pubblico di connettività sul territorio Italiano.
Le istanze sono ospitate a tale riguardo utilizzando servizi IAAS (IaaS o Infrastructureas-a-Service ovvero su risorse hardware virtualizzate del Sistema Pubblico di Connettività) in regime di Convenzione Consip SPC Cloud Lotto 1 – presso i data center gestiti dal’RTI di cui è Mandataria TIM SPA, di V. PONTINA KM.29,100 - 00040 POMEZIA, ROMA.
Riferimenti normativi
- d.lgs. 30 giugno 2003, n. 196 e s.m.i.;
- d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, (art. 12);
- D.P.C.M. 29 settembre 2015, n. 178;
- Regolamento UE 27 aprile 2016, n. 679;
- d.lgs. 10 agosto 2018, n. 101.