INFORMATIVA SUL DOSSIER SANITARIO ELETTRONICO

ai sensi dell’art. 13 Reg. (UE) 2016/679

(Regolamento sulla protezione dei dati personali – GDPR)

 

In ottemperanza al Regolamento europeo sulla protezione dei dati (“GDPR”), Ospedale P. Pederzoli – Casa di Cura Privata S.p.A. (“Ospedale Pederzoli”) con la presente informa il paziente, in qualità di soggetto interessato (“interessato”), circa il trattamento dei suoi dati personali effettuato tramite il Dossier Sanitario Elettronico (“DSE” o “dossier”).

 

Il DSE è lo strumento costituito presso un’unica struttura sanitaria che raccoglie le informazioni sulla salute del paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura.

 

Il trattamento dei dati sanitari effettuato tramite il DSE costituisce, pertanto, un trattamento ulteriore rispetto a quello effettuato dalla struttura sanitaria con le informazioni acquisite in occasione della cura del singolo evento clinico per il quale l’interessato si rivolge a essa. In assenza del dossier, infatti, il professionista avrebbe accesso alle sole informazioni fornite in quel momento dal paziente e a quelle elaborate in relazione all’evento clinico per il quale lo stesso ha richiesto una prestazione sanitaria; attraverso l’uso del dossier, invece, il professionista pone in essere un ulteriore trattamento di dati sanitari mediante la consultazione delle informazioni elaborate nell’ambito dell’intera struttura sanitaria e non solo del suo reparto e, quindi, da professionisti diversi, in occasione di altri eventi clinici occorsi in passato all’interessato che siano riferibili anche a patologie differenti rispetto all’evento clinico in relazione al quale l’interessato riceve la prestazione sanitaria.

 

Il trattamento dei dati personali effettuato mediante il dossier differisce da quello relativo alla compilazione e tenuta della cartella clinica, intesa come lo strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche significative relative ad un paziente e ad un singolo episodio di ricovero.

 

Il dossier qui descritto non va confuso con il fascicolo sanitario elettronico, che è l’archivio informatizzato di tutti i dati relativi alla salute che riguardano un individuo, raccolti per finalità di cura, ma utilizzati anche per finalità di ricerca e governo, purché debitamente privati degli elementi identificativi del paziente, quale che sia il Titolare del trattamento che ha proceduto alla loro acquisizione.

 

  1. Titolare del trattamento e Responsabile della protezione dei dati

 

Il Titolare del trattamento dei dati personali è Ospedale P. Pederzoli – Casa di Cura Privata S.p.A., C.F. e P. IVA: 04219070234, con sede a Peschiera del Garda (VR), via Monte Baldo n. 24.

Per contattare il Titolare, i riferimenti sono i seguenti:

  • centralino: 045 6449111;
  • casella di posta elettronica ordinaria: urp@ospedalepederzoli.it;
  • casella di posta elettronica certificata: amministrazione-legalecdcpederzoli@pec.it;

Ulteriori dati di contatto sono rinvenibili nella home page del sito aziendale https://www.ospedalepederzoli.it/.

 

Il Responsabile della protezione dei dati (RPD o Data Protection Officer) nominato da Ospedale Pederzoli è l’avv. Francesco Falavigna del foro di Verona, che può essere contattato ai seguenti recapiti:

  1. Finalità e base giuridica del trattamento

Conformemente alle prescrizioni del Garante per la protezione dei dati personali, Ospedale Pederzoli intende costituire un insieme di informazioni personali riguardanti l’interessato il più possibile completo che documenti parte della storia sanitaria dello stesso al fine di migliorare il suo processo di cura attraverso un accesso integrato di tali informazioni da parte del personale sanitario coinvolto.

 

Il trattamento dei dati personali mediante il DSE è possibile solo con il consenso, libero e facoltativo, dell’interessato. Il paziente può scegliere, in piena libertà, se far costituire o meno il DSE con le informazioni cliniche che lo riguardano, garantendo in ogni caso la possibilità che i dati sanitari restino disponibili solo all’unità operativa che effettua la prestazione, senza la loro necessaria inclusione in tale strumento, nel senso che, in assenza di consenso da parte dell’interessato, i dati continueranno ad essere registrati sull’archivio informatizzato, ma non verranno condivisi con altri professionisti della struttura che, anche in momenti distinti, se ne prenderanno cura.

 

Ospedale Pederzoli tratta sia dati personali comuni (quelli che rientrano nella categoria generale delle informazioni identificative di una persona, come nome, cognome, data di nascita, codice fiscale, indirizzo, etc.), sia dati personali che appartengono a categorie particolari (quelli che rivelano l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, nonché dati genetici, dati biometrici intesi a indentificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale), definiti congiuntamente quali “dati personali”, forniti dall’interessato o provenienti da certificazioni mediche nel corso di accertamenti, visite o da altre fonti legittime, solo previo specifico CONSENSO, per adempiere alle seguenti finalità:

  1. attivazione/costituzione del DSE;
  2. inserimento all’interno del DSE delle informazioni relative a eventi sanitari occorsi precedentemente alla sua costituzione;
  3. inserimento all’interno del DSE delle informazioni relative a patologie o eventi clinici per i quali la legge riconosce in capo all’interessato una speciale tutela della sua riservatezza (infezione da HIV, uso di alcool o stupefacenti, interruzione volontaria della gravidanza, violenza sessuale e pedofilia, parto anonimo), che potrà essere raccolto unitamente al consenso relativo all’attivazione del DSE o anche in occasione dell’erogazione della specifica prestazione sanitaria In mancanza di consenso, o se comunque l’interessato ha scelto di ricorrere alle prestazioni in anonimato, le informazioni in questione, sia che si tratti di referti di laboratorio, sia che originino da ricoveri determinati dalle patologie o dagli eventi suddetti, non confluiranno nel dossier sanitario, fermo restando che alle stesse potranno sempre accedere le Unità Operative che le hanno elaborate.

Per le finalità di cui alle lett. a), b), c) sopra indicate, la base giuridica del trattamento è il consenso specifico dell’interessato ai sensi dell’art. 6 par. 1 lett. a) per i dati comuni e dell’art. 9 par. 2 lett. a) GDPR per i dati personali che appartengono a categorie particolari.

 

Oltre che per migliorare il processo di cura, i dati raccolti attraverso il DSE possono essere trattati, al pari di ogni altra informazione clinica, anche per fini di ricerca nel rispetto di quanto stabilito dal Regolamento (UE) 2016/679 e dal Codice Privacy per tali tipi di trattamenti, ovvero, in via generale – al di fuori di ricerche effettuate in base al diritto dell’UE o alla legge nazionale, dove il consenso dell’interessato non serve, ma va condotta e resa pubblica una valutazione d’impatto sulla protezione dei dati – previa acquisizione di specifico consenso informato del paziente. In tal caso, prima di acquisire il relativo consenso, le verrà sottoposta una specifica informativa.

 

In caso di soggetti minori o incapaci d’agire il consenso dovrà essere espresso da parte di chi esercita la potestà genitoriale o legale, tenendo conto che, al momento del raggiungimento della maggiore età, dovrà essere acquisito nuovamente, al primo contatto utile, il consenso informato dell’interessato divenuto maggiorenne.

 

  • Prestazioni in emergenza

Ai sensi dell’art. 82 Codice Privacy, l’informativa e il consenso alla formazione e implementazione del dossier possono intervenire, senza ritardo, successivamente alla prestazione:

  1. per l’emergenza sanitaria o di igiene pubblica (ad es., nei casi di rischio di insorgenza di patologie su soggetti terzi a causa della condivisione di ambienti con l’interessato);
  2. nel caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’interessato, quando non è possibile acquisire il consenso di chi esercita legalmente la potestà, da un prossimo congiunto, da un familiare, da un convivente, o in loro assenza, dal Responsabile della struttura presso cui dimora l’interessato;
  3. nel caso di rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato;
  4. in caso di prestazione medica, che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia.

Ciò vale anche nel caso del paziente che giunga al pronto soccorso in gravi condizioni e non sia in grado di esplicitare alcuna specifica volontà.

 

  1. Destinatari dei dati: ambito di comunicazione e diffusione

Il DSE del paziente può essere consultato da parte di tutto il personale sanitario, debitamente autorizzato al trattamento, che fornirà nel tempo e a vario titolo assistenza sanitaria allo stesso.

 

Il DSE potrebbe essere consultato anche da parte di professionisti che agiscono in libera professione intramuraria ovvero nell’erogazione di prestazioni al di fuori del normale orario di lavoro utilizzando le strutture ambulatoriali e diagnostiche della struttura sanitaria a fronte del pagamento del paziente di una tariffa.

 

Qualora l’interessato acconsenta al trattamento dei suoi dati personali mediante il DSE, questo potrà essere consultato, nel rispetto dell’Autorizzazione generale del Garante, anche qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività.

 

Per quanto concerne la comunicazione all’esterno di dati trattati tramite il DSE, essa può avvenire nell’ambito di attività previste dalla Legge, in condivisione con le Aziende Socio-Sanitarie Territoriali di appartenenza dei singoli pazienti, e nel rispetto delle misure di sicurezza prescritte dal Garante per la protezione dei dati personali.

 

Sono esclusi dall’accesso enti o soggetti terzi, quali periti, compagnie d’assicurazione, datori di lavoro, associazioni, organizzazioni scientifiche, organismi amministrativi e personale medico nell’esercizio di attività medico-legale.

 

In nessun caso, invece, è prevista la diffusione dei dati trattati tramite DSE, in quanto appunto dati idonei a rivelare lo stato di salute.

 

  • Trasferimento dei dati a un paese terzo o a un’organizzazione internazionale

 

Ospedale Pederzoli non intende trasferire dati personali di propri pazienti a paesi estranei all’Unione europea o comunque fuori dallo Spazio Economico Europeo, dove valgono le regole del diritto comunitario, o a organizzazioni internazionali.

 

  1. Modalità di trattamento dei dati contenuti nel DSE

 

Previo consenso alla formazione e implementazione del dossier con tutte le informazioni che riguardano lo stato di salute, i dati personali saranno registrati, elaborati, gestiti e archiviati in forma cartacea e/o con l’ausilio di strumenti elettronici informatici e comunque in modo tale da garantirne la sicurezza e la riservatezza. In particolare, tramite il dossier sanitario il personale sanitario medico, infermieristico e amministrativo di Ospedale Pederzoli avrà accesso al percorso clinico effettuato dall’interessato presso il medesimo nosocomio.

 

  1. Diritti dell’interessato

In relazione al trattamento dei propri dati personali tramite il Dossier Sanitario Elettronico, l’interessato può far valere i diritti a lui riconosciuti dall’art. 7 (diritto alla revoca del consenso), dagli artt. da 15 a 22 del GDPR (diritto di accesso ai dati, diritto di rettifica o cancellazione degli stessi, diritto di limitazione al trattamento o di opposizione allo stesso, diritto alla portabilità dei dati, diritto di non essere sottoposto ad un processo decisionale automatizzato), dall’art 34 GDPR (diritto di ricevere, senza ingiustificato ritardo, la comunicazione di una violazione di dati personali, salva la sussistenza di condizioni che non la rendono necessaria) e dall’art 77 par. 1 GDPR (diritto di proporre reclamo al Garante per la protezione dei dati personali o ricorso dinanzi all’autorità giudiziaria), inoltrando una richiesta per iscritto al Titolare ovvero al DPO ai recapiti sopra indicati.

 

Inoltre, l’interessato può:

  • prestare il proprio consenso alla costituzione del DSE, inizialmente negato;
  • richiedere l’integrazione, rettifica e aggiornamento dei dati trattati mediante DSE;
  • chiedere di conoscere gli accessi eseguiti al proprio DSE con l’indicazione della struttura/reparto/professionista che ha effettuato l’accesso, nonché della data e dell’ora dello stesso (Linee Guida in materia di dossier sanitario del 4 giugno 2015 del Garante per la protezione dei dati personali). I dati clinici (ad es., referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso, referti e immagini di preparati istologici da biopsia o pezzo operatorio) confluiscono in un archivio informatizzato di Ospedale Pederzoli che, previa autorizzazione, è consultabile da tutti i sanitari che operano all’interno dello stesso mediante idonee procedure informatizzate che permettono, non solo di identificare e tracciare l’identità dell’operatore sanitario (personale medico, infermieristico, ausiliario e amministrativo) che accede alle informazioni del paziente tramite il dossier, ma altresì di chiedere motivazione di tale accesso;
  • decidere di oscurare taluni dati o documenti sanitari, che dunque non saranno visibili e consultabili tramite il DSE, ferma restando l’indubbia utilità di un dossier sanitario il più possibile completo. L’interessato ha il diritto di non far confluire nel suo dossier sanitario tutte o alcune delle informazioni relative all’evento clinico occorsogli le quali, pertanto, resteranno conosciute solo dal professionista e/o dall’unità operativa che ha effettuato la prestazione. Della richiesta di “oscuramento” non verranno messi a conoscenza i medici che dovessero venire a contatto, in seguito, con il paziente (c.d. “oscuramento dell’oscuramento”). La documentazione clinica relativa all’evento oscurato, se non va ad alimentare il DSE, deve essere comunque custodita dalla struttura, per il tempo stabilito, in conformità a quanto previsto dalla normativa di settore sulla conservazione dei documenti sanitari. L’interessato può revocare la decisione di oscurare, in tutto o in parte, un determinato evento clinico;
  • revocare in qualsiasi momento il consenso precedentemente prestato. In questo caso il DSE non può essere implementato ulteriormente: le informazioni devono restare disponibili al professionista che le ha redatte ma non devono più essere condivise con i professionisti degli altri reparti che prenderanno in seguito in cura l’interessato.

Le richieste vanno rivolte per iscritto al Titolare ovvero al DPO ai recapiti sopraindicati.

 

6. Periodo di conservazione dei dati

Il dossier verrà conservato e alimentato fino alla revoca del consenso, liberamente manifestabile in qualsiasi

momento.

In caso di esercizio della revoca da parte dell’interessato le informazioni sanitarie presenti resteranno disponibili al professionista o alla struttura interna al Titolare che le ha redatte e per eventuali conservazioni per obbligo di legge, ma non saranno più condivise con altri professionisti e/o altre unità operative che prenderanno in seguito in cura l’interessato.

Scroll to Top