Quadro normativo di riferimento
Il Regolamento UE 2016/679 (noto con il nome di GDPR "General Data Protection Regulation") relativo alla protezione dei dati personali, nonché alla loro circolazione, è entrato in vigore il 25 maggio 2018. GDPR è direttamente applicabile e non necessita di alcun recepimento a livello nazionale.
Il legislatore italiano in attuazione della precedente direttiva 95/46/CE, oggi abrogata, aveva disciplinato la materia della privacy con il D.Lgs. n. 196 del 30 giugno 2003 (aggiornato).
Il legislatore italiano, per conformarsi alle prescrizioni del Regolamento UE 2016/679, ha approvato il D.Lgs. n. 101 del 10 agosto 2018 recante "Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Principali novità del GDPRCon il GDPR il titolare del trattamento è diventato il primario centro di responsabilità e ha l’onere di dimostrare di aver adottato le misure giuridiche, organizzative e tecniche adeguate per la protezione dei dati personali.
Uno dei principali strumenti di responsabilizzazione del titolare del trattamento è rappresentato dal Registro delle attività di trattamento dei dati personali, ossia il documento in grado di fornire il quadro aggiornato dei trattamenti in essere all’interno di ogni organizzazione.
Questa Azienda ha adottato il proprio registro delle attività di trattamento con la determina 447/DG del 21 maggio 2018. Tale documento, come previsto dalla normativa citata, è soggetto a continue revisioni poiché deve fornire una fedele rappresentazione dei trattamenti effettuati.
Il GDPR ha introdotto per le autorità o gli organismi pubblici l’obbligo di nominare la figura del Responsabile della protezione dei dati (indicato con l’acronimo "RPD" o "DPO") a cui vengono attribuiti compiti specifici volti a verificare l’osservanza degli adempimenti prescritti dal Regolamento e a fungere da punto di contatto tra l’Azienda e l’Autorità Garante per la Privacy.
L’Azienda ha nominato tale figura con determina n. 240/DG del 22 marzo 2018.
Il GDPR ha introdotto novità in materia di informazioni da fornire agli interessati relativamente al trattamento dei loro dati.
♦ "Informative" adottate in materia di trattamenti dei dati raccolti presso questa Azienda ♦
Gli interessati possono esercitare i loro diritti (diritto di accesso, diritto di rettifica, diritto alla cancellazione o all’oblio, diritto alla limitazione, diritto alla portabilità, diritto di opposizione) mediante istanza rivolta al Direttore Generale depositandola direttamente al protocollo dell’Azienda o tramite posta (Via Conca n. 71 - 60126 Torrette di Ancona) o tramite PEC (aou.ancona@emarche.it).
Il GDPR ha introdotto delle novità in materia di termine e modalità per la notificazione all’autorità di controllo e per la comunicazione agli interessati delle violazioni di dati personali.
Questa Azienda ha approvato la "procedura per la gestione delle violazioni" (data breach) con determina n. 841 del 18/10/2018, con tale documento sono stati indicati gli adempimenti che ciascun soggetto coinvolto è tenuto a compiere in caso di riscontrata violazione.
La citata procedura per la gestione delle violazioni è stata modificata e sostituita con quella adottata con la determina del Direttore Generale n. 876 del 16/09/2022.
♦ Archivio modelli ♦
Il GDPR prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti dello stesso regolamento e garantisca la tutela dei diritti dell’interessato.
L'Azienda ha predisposto il modello per la nomina del responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Reg. UE 2016/679.
"Questa Azienda, visto il mutato quadro normativo (l’entrata in vigore del Regolamento UE 2016/679 e del D. Lgs. 101/2018 e le modifiche apportate all’art. 4 della Legge 300/1970) ha provveduto a modificare ed integrare il regolamento aziendale in materia di videosorveglianza con la determina del Direttore Generale 69 del 28 gennaio 2020."
♦ Regolamento Aziendale (Videosorveglianza) ♦
L’Azienda si è dotata di un atto regolamentare per l’individuazione dell’organizzazione in ambito di protezione dei dati personali.
♦ Determina n. 775/DG del 3 agosto 2022
♦ Regolamento per la protezione dei dati personali presso l'Azienda Ospedaliero - Universitaria
Ospedali Riuniti di Ancona
IL FASCICOLO SANITARIO ELETTRONICO (FSE)
è lo strumento digitale messo a disposizione da Regione Marche per la raccolta di documenti e dati sanitari e socio-sanitari generati da eventi clinici ed episodi assistenziali avvenuti per ciascun assistito, al fine di documentare la sua storia clinica e di salute.In tale modo, il Fascicolo facilita l'esercizio del diritto alla salute di ciascun cittadino, permettendo di accedere in modo semplice e sicuro alle proprie informazioni.
Il Fascicolo consente a ciascun cittadino di avere sempre a disposizione le informazioni sanitarie e socio sanitarie a lui riguardanti, tra cui ad esempio: referti di laboratorio e di radiologia, referti specialistici, prescrizioni, nonché le annotazioni di Profilo Sanitario Sintetico effettuate dal medico di famiglia, riprese dalla scheda sanitaria individuale dell’assistito tenuta ai sensi dell’Accordo Collettivo Nazionale vigente.
Sul Fascicolo inoltre il cittadino può caricare anche documenti sanitari e socio-sanitari relativi a eventi ed episodi di cura ricevuti in strutture private o in altre Regioni, e altri documenti sanitari ritenuti di interesse.
A partire dal 19 maggio 2020, sulla base di quanto stabilito dal D. L. 34/2020, il Fascicolo è alimentato in modo continuativo e tempestivo dagli esercenti le professioni sanitarie che prendono in cura l’interessato, con i dati degli eventi clinici relativi all’assistenza sanitaria ricevuta.
Salvo un’espressa volontà contraria, il Fascicolo sarà alimentato anche con i dati e i documenti relativi alle prestazioni sanitarie erogate dal SSN antecedentemente al 19 maggio 2020.
La prestazione espressa del consenso, invece, è richiesta per permettere la consultazione dei dati e dei documenti presenti nel Fascicolo da parte degli esercenti le professioni sanitarie, tenuti al segreto professionale o comunque all’obbligo di segretezza, che prendono in cura l’interessato.
Il consenso alla consultazione del Fascicolo è libero e facoltativo; una eventuale assenza di consenso alla consultazione non comporta alcuna conseguenza sul diritto a ricevere qualsiasi prestazioni di carattere sanitario e socio-sanitario che risulti necessaria.
Ulteriori informazione in merito al FSE, al trattamento dei dati ed alle modalità che permettono l’accesso a tale strumento, sono reperibili al sito "Portale Sanità Marche".
♦ Procedura raccolta consenso Fascicolo Sanitario Elettronico
♦ Modulistica ♦
PROCEDURA PER L'ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
L'Azienda ha adottato una procedura per l'esercizio dei diritti da parte degli interessati con la determina del Direttore Generale n. 710 del 22/08/2019. Tale procedura indica le modalità, i termini, le funzioni e le attività che ciascun soggetto dell'Azienda coinvolto in tale procedura deve compiere e rispettare per soddisfare o negare, nei limiti consentiti dalla normativa vigente, le richieste, di cui agli artt. da 15 a 22 del Regolamento UE 2016/679, avanzate dagli interessati.
♦ Procedura esercizio diritti degli interessati
PROCEDURA PER IL TRATTAMENTO DEI DATI GENETICI e per ricerca scientifica
L'Azienda ha adottato una procedura per il trattamento dei dati genetici e per ricerca scientifica con la determina del Direttore Generale n. 650 del 13/08/2020:
Tale procedura individua le misure organizzative da adottare con riferimento al trattamento dei dati genetici e a quello dei dati personali effettuato per scopi di ricerca scientifica dando, quindi, attuazione al provvedimento del Garante per la Protezione dei dati personali recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101.
♦ Procedura trattamento dati genetici e ricerca scientifica
linee operative in materia di trattamento di dati personali negli studi cliniciL'Azienda ha adottato, con determina del Direttore Generale n. 759 del giorno 8 luglio 2021 (rettificata con determina del Direttore Generale n. 868 del 12 agosto 2021), delle linee operative per il trattamento di dati personali nell'ambito degli studi clinici condotti presso le sue strutture in modo tale da rendere le procedure aziendali conformi alla normativa vigente in materia.
♦ Linee operative
REGISTRO TUMORI (Legge regionale 10 aprile 2012 n. 6)Il funzionamento del registro tumori è disciplinato dal regolamento approvato dalla Regione Marche con DGR n. 36 del 27 gennaio 2020 che prevede, altresì, che "il titolare del trattamento dei dati del Registro tumori deve fornire l'informativa agli interessati per il tramite delle strutture del SSR, pubbliche o private accreditate che erogano le prestazioni sanitarie, secondo le modalità previste dagli articoli 13 e 14 del RGPD ed è tenuto a garantire agli interessati il pieno e tempestivo esercizio dei diritti previsti" ai sensi degli art. 15-22 del Reg. UE 2016/679.
♦ Informativa
EMERGENZA COVID-19
Si comunica che il D.L. n. 14 del 9 marzo 2020, avente ad oggetto
"Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all'emergenza COVID-19",
ha dettato specifiche disposizioni sul trattamento dei dati personali nel contesto emergenziale, in particolare prevedendo modalità di comunicazione di dati personali di pazienti con sintomatologia, sospetti o accertati affetti da COVID-19 più flessibili tra tutti i soggetti istituzionali tenuti a svolgere compiti e funzioni per la gestione dell'emergenza, nonché per autorizzare al trattamento dei dati i medesimi soggetti.
Inoltre il suddetto Decreto Legge consente al titolare del trattamento di rendere informative semplificate a tali pazienti al fine di far conoscere loro le modalità e le finalità del trattamento di tale particolare categoria di dati personali.
A tal fine questa Azienda di seguito allega l'informativa per i pazienti COVID-19 da intendersi quale informativa resa ai sensi e per gli effetti degli artt. 13 e 14 del Reg. UE 679/2016.
L'utilizzo delle certificazioni verdi (green pass) quale misura di prevenzione della diffusione dell'infezione da SARS-CoV-2 è stato oggetto di numerosi interventi normativi che ne hanno progressivamente esteso l'utilizzo.
L'Azienda ha provveduto ad informare gli interessati per quanto concerne il trattamento di dati personali conseguente a tali provvedimenti diffondendo idonea informativa su questa pagina.
In particolare, per quanto di interesse, si riassume quanto segue.
Il D.L. 22 aprile 2021 n. 52 convertito con modificazioni dalla L. 17 giugno 2021, n. 87 ha introdotto l'obbligo del green pass per gli accompagnatori dei pazienti per accedere alle strutture sanitarie e socio-sanitarie (art. 2-bis).
Sull'argomento sono stati emanati, ad ulteriore specificazione, il D.P.C.M. 17 giugno 2021 e la circolare del Ministero dell'Interno del 10 agosto 2021.
L'obbligo della certificazione verde COVID-19 per l'accesso ai luoghi di lavoro per il personale delle amministrazioni pubbliche, nonchè per tutti i soggetti che svolgono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso le stesse amministrazioni è stato introdotto dal D.L. 21 settembre 2021 n. 127 che ha inserito l’art. 9 quinquies al D.L. 22 aprile 2021 n. 52.
Su tale ultimo argomento sono state emanate apposite linee guida con D.P.C.M. 12 ottobre 2021.
Recentemente la legge 19 novembre 2021 n. 165 di conversione del D.L. 21 settembre 2021
n. 127 ha introdotto in materia di certificazioni verdi COVID-19 significative novità.
Infatti diversamente da quanto accadeva con la previgente normativa è ora possibile conservare tale certificazione, qualora il dipendente volontariamente intenda depositarla al proprio datore di lavoro.
La norma prevede infatti per i lavoratori tale facoltà e precisamente:
"Al fine di semplificare e razionalizzare le verifiche di cui al presente comma, i lavoratori possono richiedere di consegnare al proprio datore di lavoro copia della propria certificazione verde COVID-19. I lavoratori che consegnano la predetta certificazione, per tutta la durata della relativa validità, sono esonerati dai controlli da parte dei rispettivi datori di lavoro".
L’Azienda intende quindi fornire e adeguare l’informativa al trattamento dati personali già in uso tenendo conto di tali modifiche. La stessa è di seguito consultabile.
"Il decreto legge 26 novembre 2021 n. 172 ha esteso l'obbligo vaccinale, già previsto per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario, a tutto il personale che svolge a qualsiasi titolo attività lavorativa nelle strutture di cui all’art. 8 ter del 502/30.12.1992 e s.m.i. (strutture autorizzate all’esercizio delle attività sanitarie e socio sanitarie).
Da ciò derivano trattamenti di dati personali a cui l'Azienda è tenuta nell’esercizio di un compito di interesse pubblico nell’ambito della sanità pubblica che le è stato affidato dalla legge e per i quali ha predisposto specifica informativa".
♦ Informative
pagina 
- ........
