regolamento - inrca · web viewai sensi del d.lgs. n. 196/2003, dichiaro di aver preso visione...

REGOLAMENTO APPLICATIVO DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

ai sensi del D.Lgs.n.196/2003 e s.m.i.

Art. 1Oggetto e ambito di applicazione

Oggetto del presente regolamento è la definizione delle modalità operative attraverso cui l’Istituto assicura che il trattamento dei dati personali avvenga nel rispetto dei diritti, delle libertà fondamentali e della dignità della persone, con particolare riferimento al diritto alla riservatezza, secondo quanto previsto dal Decreto Legislativo n.196 del 30 giugno 2003 e s.m.i.:“Codice in materia di protezione dei dati personali”.

Le disposizioni contenute nel presente regolamento si applicano al trattamento dei dati personali relativi a persone fisiche, giuridiche, enti e associazioni, raccolti e trattati a qualsiasi titolo dall’Istituto.

Art.2Definizioni

Ai sensi dell’art.4 Del D.Lgs.n.196/2003 e ai fini del presente regolamento, sono adottate le seguenti definizioni:

Codice: Decreto Legislativo n.196/2003 e s.m.i.:“Codice in materia di protezione dei dati personali”.

dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

dati identificativi: i dati personali che permettono l'identificazione diretta dell'interessato;

dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

dati inerenti la salute e la vita sessuale: ogni notizia contenuta in atti, documenti, certificati, referti e dichiarazioni da cui risulti la condizione fisica o psichica di un soggetto e/o le sue abitudini sessuali.

dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, nonché il compito di vigilare sull’osservanza della normativa in materia di protezione dei dati personali;

REGOLAMENTO ALLEGATO ALLA DETERMINA N. 246/DGEN DEL 03/08/20121

Garante: l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675 per vigilare sulla corretta applicazione del codice in materia di protezione dei dati personali;.

notifica: dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento

responsabile: la persona fisica preposta dal titolare al trattamento di dati personali;

incaricati: le persone fisiche autorizzate dal responsabile a compiere operazioni di trattamento;

interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;

consenso: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di trattamento;

comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati anche diversi dall'interessato, da parte del responsabile e degli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;

blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

banca dati: qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;

comunicazione elettronica: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico.

reti di comunicazione elettronica: i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;

dati relativi all'ubicazione: ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;

posta elettronica: messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.

misure minime: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;


http://www.garanteprivacy.it/garante/doc.jsp?ID=1663787#dato_personale

http://www.garanteprivacy.it/garante/doc.jsp?ID=1663787#dato_personale

amministratore di sistema: la persona fisica preposta dal titolare a garantire la sicurezza dei trattamenti mediante la gestione e la manutenzione degli impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.

strumenti elettronici: gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;

autenticazione informatica: l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;

credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;

parola chiave: componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;

profilo di autorizzazione: l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;

sistema di autorizzazione: l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

scopi scientifici: le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.

videocontrollo: sistema o dispositivo che permette la unicamente visione in tempo reale di aree o zone delimitate;

videosorveglianza: sistema o dispositivo che permette la visione e la registrazione su supporti singoli, abbinati ad altre fonti o conservati in banche di dati di immagini di aree o zone delimitate

centrale di videocontrollo: sistema centrale dove sono convogliate ed eventualmente registrate tutte le riprese effettuate dai dispositivi periferici.

Art. 3Principio di necessità nel trattamento dei dati personali

Oggetto del trattamento devono essere i soli dati essenziali per lo svolgimento delle attività istituzionali. I dati personali devono essere: trattati in modo lecito e corretto; raccolti e registrati per scopi determinati, espliciti e legittimi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o

successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di

tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.Nei trattamenti è autorizzata la sola esecuzione di operazioni strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito. I sistemi informativi ed i programmi informatici devono essere configurati in modo da ridurre al minimo l’utilizzo dei dati identificativi ed escluderne il trattamento quando le finalità possano essere perseguite mediante sistemi di cifratura che garantiscano l’anonimato, consentendo di identificare l’interessato solo in caso di necessità.


Art.4Tipologie e modalità di trattamento

L’istituto nell’ambito della sua attività istituzionale necessita di effettuare il trattamento dei dati personali, anche nelle tipologie definite “dati sensibili e giudiziari”, come notificate al Garante ed elencate nell’allegato 1. A tal fine si richiama anche il regolamento della Regione Marche N.1 del 04.01.2007, recepito con atto N.215 del 10.05.2006, dove i dati sensibili e giudiziari oggetto di trattamento, le finalità di interesse pubblico perseguite, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all’articolo 1, nelle schede contenute negli allegati del suddetto regolamento (per l’INRCA Allegato B, schede da B1 a B41):

I dati personali, riferibili a terzi soggetti o al personale dipendente, sono raccolti e trattati a scopo di diagnosi, cura, prevenzione, igiene e sanità pubblica, assistenza farmaceutica, ricerca clinica ed epidemiologica e per attività di carattere sociale e amministrativo-contabili correlate al perseguimento dei fini istituzionali.Il trattamento e la custodia dei dati deve avvenire mediante l’uso di strumenti e archivi idonei garantire la sicurezza del trattamento in termini di integrità, riservatezza e disponibilità.Il conferimento dei dati per l'esecuzione delle attività istituzionali svolte dall’INRCA ha natura facoltativa, tuttavia il rifiuto di fornirli può comportare l'impossibilità di intraprendere rapporti con l'Istituto, con riferimento alle disposizioni che prevedono l'adempimento di specifiche formalità per l'accesso ai servizi sanitari e amministrativi.Il conferimento dei dati relativi al personale dipendente, è obbligatorio per l’esecuzione degli obblighi nascenti dal contratto di lavoro normativamente stabiliti.In ottemperanza ai principi di necessità, pertinenza e non eccedenza dei dati, la pubblicazione delle determine contenenti dati sensibili deve avvenire previa selezione dei soli dati la cui inclusione nelle determine medesime sia realmente necessaria per il raggiungimento delle finalità proprie di ciascun provvedimento.I soggetti cui si riferiscono le informazioni di carattere sensibile devono essere individuati attraverso l’utilizzo del numero di matricola, se trattasi di dipendenti dell’Istituto, ovvero delle iniziali del nome e del cognome, se trattasi di soggetti esterni o di sigle con carattere identificativo (es. RG se trattasi di procedimenti giudiziari).Allorchè i dati sensibili e giudiziari possano essere isolati dal contesto del provvedimento, senza comprometterne la necessaria motivazione, essi sono riportati in allegati non costituenti parte integrante del provvedimento medesimo.I trattamenti di dati effettuati impiegando banche dati di più titolari diversi dall’Istituto (interconnessione di banche dati), sono utilizzati nelle sole ipotesi previste da espressa disposizione di legge.La comunicazione di dati personali da parte dell’Istituto ad altri soggetti pubblici è ammessa solo quando sia prevista da una norma di legge o di regolamento (art. 19, comma 2, D.lgs. 196/03). In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di 45 giorni dalla data di comunicazione obbligatoriamente preventiva al Garante e non sia stata adottata dall’Autorità diversa determinazione (art. 39, comma 2, D.lgs. 196/03).La comunicazione da parte dell’Istituto di dati personali a privati e la diffusione sono ammesse unicamente quando siano previste da una norma di legge o di regolamento (art. 19, comma 3 D.lgs. 196/03).I dati idonei a rivelare lo stato di salute non possono essere diffusi (art. 22, comma 8 D.lgs. 196/03).

Art. 5Titolare del trattamento dei dati personali

Il Titolare del trattamento dei dati personali è l’INRCA in persona del suo legale rappresentante.


Il Titolare, cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali ed agli strumenti utilizzati, ivi compreso il profilo della sicurezza, si avvale operativamente dell’U.O. Affari Legali e contenzioso, e provvede nei casi previsti dalla legge:• ad assolvere l’obbligo di notificazione al Garante;• a richiedere, ove necessario, le autorizzazioni e ad effettuare le dovute comunicazioni all’Autorità Garante per il trattamento o la comunicazione dei dati;• ad impartire ai Responsabili le necessarie istruzioni per la corretta gestione e tutela dei dati personali, ivi compresa la salvaguardia della loro integrità e sicurezza;• a verificare periodicamente l’osservanza dell’attività svolta dai Responsabili rispetto alle istruzioni impartite, anche con riguardo agli aspetti relativi alla sicurezza dei dati;• a provvedere alla formazione degli incaricati del trattamento dei dati personali, attraverso la previsione di interventi formativi , al fine di renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare medesimo.

Art.6Responsabili del trattamento

I Responsabili del trattamento dei dati personali compiono tutto quanto è necessario per il rispetto delle vigenti disposizioni in tema di riservatezza; in particolare hanno il dovere di osservare e fare osservare le precauzioni individuate dal Titolare.Ogni Responsabile del trattamento dei dati è nominato per iscritto dal Titolare del trattamento; il Responsabile a sua volta nomina per iscritto gli incaricati del trattamento (vedi i relativi moduli contenuti nell’allegato “Istruzioni Operative”).I Responsabili sono tenuti a:• fornire all’U.O. Affari Legali le informazioni richieste;• comunicare tempestivamente all’U.O. Affari Legali tutte le questioni rilevanti ai fini della normativa in materia di protezione dei dati personali;• comunicare all’U.O. Affari Legali i trattamenti in essere all’interno del proprio settore di competenza, l’inizio di ogni nuovo trattamento e la cessazione o modifica di quelli esistenti, ai fini della compilazione e del continuo aggiornamento dell’anagrafe aziendale dei trattamenti (vedi allegato 1 – Elenco e descrizione sintetica dei dati personali effettuati dall’INRCA)I Responsabili del trattamento sono individuati fra i soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza e che ricoprono posizioni organizzative e funzionali di particolare rilevanza;in particolare essi sono:

I Direttori amministrativi e medici di presidio ai quali sono attribuite dal Titolare le funzioni di Responsabili del trattamento con funzioni di referenti e coordinatori in materia di privacy.

I Dirigenti e Direttori di struttura complessa ed i responsabili di struttura semplice dipartimentale;

In caso di assenza a qualsiasi titolo del responsabile del trattamento la funzione di responsabilità nel trattamento dei dati personali è assunta per tutta la durata dell’assenza dal sostituto o facente funzioni senza necessità di incarico formale. I Responsabili, negli ambiti di propria competenza, devono garantire il pieno rispetto del Codice e l’adozione delle misure minime di sicurezza in esso previste. In particolare i responsabili hanno l’obbligo di: definire l’ambito e le modalità di trattamento consentite a ciascuno degli operatori ad essi

assegnati ed eventualmente nominati quali incaricati del trattamento e impartire loro istruzioni circa le misure di sicurezza da porre in essere nelle operazioni di trattamento ad essi affidate;

consentire agli interessati l’esercizio dei diritti di cui all’art.7 del D.Lgs n.196/2003; verificare periodicamente l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza,

completezza, non eccedenza ed indispensabilità in rapporto agli adempimenti, provvedendo alla cancellazione degli archivi contenenti dati obsoleti e di eventuali archivi non autorizzati;

effettuare periodicamente l’analisi dei rischi correlati al trattamento dei dati sensibili;


segnalare tempestivamente ai responsabili coordinatori di presidio le eventuali situazioni di criticità nel trattamento in sicurezza dei dati personali, indipendenti dalla propria potestà organizzativa;

segnalare tempestivamente all’U.O. Affari Legali e contenzioso l’eventuale necessità, per lo svolgimento delle proprie funzioni, di nuove tipologie di trattamento rispetto a quelle già notificate al Garante, al fine di procedere alla nuova notifica.

L’Unità Operativa Amministrazione Risorse Umane comunica tempestivamente all’U.O. Affari Legali e contenzioso gli atti di attribuzione di responsabilità di strutture organizzative, anche se trattasi di provvedimenti provvisori.L’elenco completo delle nomine dei Responsabili del trattamento è disponibile presso l’U.O. Affari Legali e contenzioso.

Art.7Trattamenti affidati a soggetti esterni all’Istituto

Agli Enti, agli organismi, agli altri soggetti pubblici e privati esterni all’Istituto, ai quali siano affidati attività o servizi, con esclusivo riferimento alle connesse operazioni di trattamento di dati, viene attribuita la qualità di Responsabile ai sensi dell’art. 29 del D.lgs. 196/03.Negli accordi con le strutture accreditate e nei contratti di affidamento di attività o di servizi all’esterno dell’Istituto (outsourcing), deve essere inserita apposita clausola di garanzia con la quale il soggetto accreditato o affidatario si impegna, per i trattamenti di dati effettuati in forza del rapporto contrattuale, all’osservanza delle norme di legge sulla protezione dei dati personali e delle disposizioni dell’INRCA in materia.Lo stesso per quanto riguarda i contratti con cui l’Istituto si impegna a svolgere studi osservazionali o sperimentazioni cliniche; il soggetto esterno (società, istituti scientifici, etc.), sponsor della ricerca, in tal caso dovrà assumersi l’obbligo di:

a) trattare i dati ai soli fini della ricerca:b) adempiere agli obblighi previsti dal Codice per la protezione dei dati personali;c) rispettare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati

personali;d) informare sulle misure di sicurezza adottate e sulle eventuali successive modifiche;e) informare immediatamente l’INRCA in caso di situazioni anomale o di emergenza.

Le strutture aziendali competenti alla definizione dei contratti effettuano una costante ricognizione dei contratti in essere, al fine di provvedere agli adempimenti di legge, all’eventuale proposta di nomina a Responsabile esterno del soggetto cui sia affidata l’attività o il servizio, ovvero all’inserimento nei contratti medesimi della clausola di garanzia di cui al precedente capoverso. A tal fine predispongono le lettere di incarico (vedi modulistica allegato “Istruzioni Operative”) che provvedono a far firmare al Titolare.L’elenco di tali Responsabili, con le relative lettere, deve essere redatto, conservato e aggiornato a cura dell’U.O. competente alla adozione dell’atto.

Art.8Incaricati del trattamento

Gli Incaricati sono identificati in tutti coloro che siano autorizzati ad effettuare le operazioni di trattamento di dati. Essi hanno accesso ai soli dati personali la cui conoscenza sia strettamente necessaria al trattamento.Gli Incaricati devono eseguire i trattamenti secondo le disposizioni date dal Responsabile del trattamento della cui area fanno parte, dal quale sono nominati per iscritto (Vedi modulistica allegato “Istruzioni Operative”). I Responsabili dei trattamenti, redigono, custodiscono ed aggiornano gli elenchi degli incaricati che hanno nominato e le relative lettere di incarico.

Art.9Informativa all’interessato

L’informativa è l’elemento propedeutico al trattamento dei dati in quanto garantisce l’evidenza e la trasparenza delle attività di trattamento che vengono poste in essere.


L’informativa è sempre dovuta a prescindere dall’obbligo di acquisizione del consenso. Essa deve contenere gli elementi tassativamente indicati dall’art. 13 del D.lgs. 196/03 e più specificatamente:• le finalità e le modalità con le quali vengono trattati i dati;• l’obbligatorietà o meno del conferimento dei dati;• le conseguenze di un eventuale rifiuto a fornire i dati;• i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei dati medesimi;• i diritti di cui all’articolo successivo;• gli estremi identificativi del Titolare e del Responsabile al trattamento;La predetta informativa può essere resa anche tramite affissione di appositi manifesti in zone ben visibili dei locali di accesso all’utenza.

Art.10Diritti degli interessati

L’interessato ha diritto di accedere a tutti i dati personali che lo riguardano, in qualunque documento, supporto anche visivo o archivio essi siano contenuti, senza dover motivare la richiesta.L'Interessato ha inoltre diritto di richiedere:

notizie sull'esistenza o meno di propri dati personali in possesso dell'azienda e sull’origine degli stessi;

informazioni in merito alle finalità e alle modalità del trattamento e l'eventuale ambito di comunicazione e diffusione dei propri dati;

l'aggiornamento, la rettifica e l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in

violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati

gli estremi identificativi del Titolare e dei responsabili del trattamento;L'interessato può avanzare istanza rivolgendosi agli uffici URP presenti all’interno dei presidi dell’Istituto L’istanza sarà trasmessa dall’URP al Responsabile del trattamento, per l'istruzione degli atti conseguenti, e per conoscenza all’U.O. Affari Legali. I diritti riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi abbia un interesse giuridicamente tutelato, agisca a tutela dell'interessato o per ragioni familiari meritevoli di protezione.Eventuali richieste inerenti i dati personali da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, se trattasi di soggetti delegati o dotati di apposita procura o se ne sussistono le condizioni di diritto ai sensi della Legge n.241/1990, come modificata ed integrata dalle Leggi n.15/2005 e n.80/2005.

Art. 11Diritto di accesso alla documentazione amministrativa

Con Determina del Direttore N.245/DG/2007 è stato approvato il regolamento di accesso alla documentazione amministrativa che disciplina le modalità ed i casi di esclusione dell’accesso ai documenti amministrativi, in conformità all’art. 24 della l. 7 agosto 1990 n. 241.

Art. 12 Diritto di accesso alla documentazione sanitaria

Ai sensi dell’art. 92 d.lgs. 196/03, eventuali richieste di presa visione o di rilascio di copia della cartella clinica e dell’acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall’interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità:a) di far valere o difendere un diritto in sede giudiziaria di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;b) di tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.


Le richieste di accesso alle cartelle cliniche ospedaliere di un terzo sono valutate dal Direttore Sanitario di POR, che ne ha la responsabilità, applicando i criteri enunciati nel capoverso che precede. Ai fini del bilanciamento degli interessi potrà essere chiesto parere all’U.O. Affari Legali e contenzioso.Tutta la documentazione sanitaria (non solo la cartella clinica) può essere ritirata anche da persona diversa dal diretto interessato, purché sulla base di una delega scritta e mediante consegna dei documenti in busta chiusa.I dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato solo attraverso le forme previste dall’art. 84 del d.lgs. 196/03.

Art.13Trattamento dei dati per scopi scientifici e di ricerca

Per i trattamenti per scopi scientifici e di ricerca si rimanda alle linee guida specificamente emanate del Garante. Il Comitato di Bioetica in qualità di organo di vigilanza, in fase di autorizzazione dello studio effettua la verifica preventiva della corretta applicazione di tali disposizioni.

Art.14Cessazione del trattamento

In caso di cessazione del trattamento, per qualsiasi causa, il Responsabile deve assicurare la distruzione dei dati (registrati sia su supporto cartaceo che informatico) e darne contestuale comunicazione all’U.O. Affari Legali e contenzioso.I Responsabili e gli incaricati rispondono delle eventuali operazioni effettuate sui dati che, al termine del trattamento, sono:

ceduti ad altro titolare, in quanto destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;

conservati per fini di interesse pubblico e non destinati ad una comunicazione sistematica o alla diffusione;

conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla normativa vigente

Art.15Misure a tutela della privacy

Le strutture sanitarie e amministrative dell’Istituto, adottano misure specifiche di natura organizzativa e logistica al fine di tutelare la privacy e la dignità personale dei propri utenti e dipendenti, rispetto al rischio di diffusione dei dati personali ed in particolare dei dati sensibili inerenti lo stato di salute e le abitudini sessuali.

Art.16Sistemi di videosorveglianza

L’istituto effettua il trattamento dei dati attraverso sistemi di videosorveglianza e videocontrollo nello svolgimento delle proprie funzioni istituzionali, limitatamente alle situazioni di comprovata indispensabilità derivante da specifiche esigenze di cura e tutela della salute degli interessati. E’ previsto altresì l’utilizzo di sistemi di videosorveglianza quali misure complementari finalizzate alla sicurezza e alla tutela del patrimonio dell’Istituto.La videosorveglianza e il videocontrollo devono essere effettuati nel rispetto, oltre che della disciplina in materia di protezione dei dati, di quella del lavoro, nonché di quanto prescritto dalle vigenti norme dell'ordinamento civile e penale in materia di interferenze illecite nella vita privata, di tutela della dignità, dell'immagine, del domicilio e degli altri luoghi cui è riconosciuta analoga tutela. Gli interessati devono essere sempre informati del fatto che stanno per accedere in una zona video sorvegliata, mediante apposizione nelle immediate vicinanze dei luoghi ripresi di idonea informativa (vedi documentazione allegata), visibile e leggibile quale quella prevista. Possono accedere alle immagini rilevate solo i soggetti espressamente autorizzati. La conservazione delle registrazioni è limitata alle ventiquattro ore successive alla rilevazione a meno di ulteriori esigenze in relazione a festività o chiusura delle strutture aziendali.


Su specifica richiesta investigativa dell'autorità giudiziaria o di polizia giudiziaria, la conservazione delle immagini e le modalità di ripresa potranno subire eccezioni al presente Regolamento. Il responsabile del trattamento dei dati attraverso sistemi di videosorveglianza è il Responsabile dell’U.O. Attività Tecniche, che in tale funzione è coadiuvato dai direttori amministrativo e medico di presidio in qualità responsabili per la privacy con funzioni di referenti e coordinatori.I responsabili delle Unità operative nell’ambito delle quali insistono impianti di videosorveglianza e/o videocontrollo per il monitoraggio delle condizioni di salute sono responsabili del trattamento delle relative immagini.Qualora la gestione dei sistemi di videosorveglianza sia affidata a soggetti esterni, questi sono responsabili del trattamento dei dati e sottoposti alle disposizioni del presente regolamento.

Art.17Misure di sicurezza nella conservazione e nel trattamento dei dati

I dati personali devono essere trattati, custoditi e controllati dai soggetti responsabili e incaricati in modo da prevenire, mediante l'adozione di idonee misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.L’Amministratore di Sistema, nominato con determina del Direttore Generale, assicura che siano adottate tutte le misure prescritte dal Codice per garantire la sicurezza dei trattamenti effettuati con strumenti elettronici.L’amministratore di Sistema redige il Piano per la Sicurezza Informatica, che viene approvato con atto del Direttore Generale e aggiornato ogni qualvolta si verifichino mutamenti nei sistemi di trattamento e di sicurezza adottati.Il Titolare, o suo delegato avente adeguate e comprovate competenze tecnico-informatiche, verifica annualmente l’operato dell’Amministratore di Sistema, al fine di controllarne la rispondenza alle esigenze di sicurezza determinate dalla tipologia dei trattamenti, secondo quanto previsto dalla normativa vigente.

Art.18Gestione di siti, blog e forum dedicati alla salute

La gestione di siti, blog e forum dedicati alla salute deve avvenire nel rispetto della normativa in materia di protezione dei dati personali adottando i seguenti accorgimenti:

fornire l'informativa agli interessati prima della compilazione del modulo (form) di raccolta dei dati di registrazione. Tale informativa deve essere consultabile in qualsiasi momento in un'apposita pagina del sito ad essa dedicata;

indicare le finalità per le quali i dati sono raccolti e le modalità del relativo trattamento; specificare quali dati di registrazione sono ritenuti necessari per partecipare alle attività

del sito e quali dati sono invece ritenuti facoltativi; indicare i tempi di conservazione dei dati personali raccolti; indicare i diritti dell’interessato e rendere sempre visibili e facilmente reperibili gli

estremi identificativi del soggetto nominato responsabile; invitare l'utente a confermare, apponendo un segno di spunta in un'apposita casella,

l'avvenuta presa visione dell'informativa al fine di registrarsi al sito. rendere chiara e visibile anche una specifica "avvertenza" tesa a richiamare l'attenzione

dell'utente sul rischio e l’opportunità che, immettendo dati sensibili collegati a dati identificativi nel sito web, si può essere individuati e si può rivelare, anche indirettamente, l'identità di terzi in associazione ad una specifica patologia, prevedendo la conferma della presa visione.

Rispetto ai dati di registrazione deve essere specificato l'ambito di conoscibilità dei dati, immessi dall'utente, precisando se i dati sono o meno indicizzabili e reperibili anche dai motori di ricerca generalisti

Art.19Rapporti con il Garante

I rapporti con il Garante sono tenuti dal Titolare il quale provvede agli adempimenti previsti dalla normativa vigente con l’assistenza e per il tramite dell’U.O. Affari Legali e contenzioso.

Art.20


Norme finaliPer quanto non espressamente previsto dal presente regolamento e nell’allegato “Istruzioni Operative” si rinvia alla normativa vigente e ai provvedimenti del Garante per la protezione dei dati personali.

Il presente regolamento è adottato con determina del Direttore Generale ed entra in vigore dal giorno della sua pubblicazione all’albo dell’istituto. Il documento è inoltre pubblicato sul sito dell’Istituto e sulla rete intranet aziendale nelle apposite sezioni “privacy” ed è inviato a tutti i responsabili.

Le precedenti disposizioni dell’Istituto in materia di protezione dei dati personali sono abrogate.

Il presente regolamento è costituto da n._ pagine e n.2 allegati, che formano parte integrante e sostanziale dello stesso._____________________________________________________

ALLEGATI

Allegato 1 Elenco e descrizione sintetica dei trattamenti di dati personali effettuati dall'INRCA

Allegato 2 Privacy – GUIDA OPERATIVA


All.1 Privacy – GUIDA OPERATIVA

Nozioni di carattere generale

Che cos'è il trattamento dei dati personali ?Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di strumenti elettronici, che concerne le operazioni di: raccolta dei dati, registrazione, organizzazione, conservazione, consultazione, elaborazione, blocco, modifica, utilizzo, interconnessione, comunicazione, diffusione, cancellazione, distruzione, selezione, estrazione, raffronto.

Quali sono i dati personali ?I dati personali sono tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti e associazioni, che consentano l'identificazione diretta o indiretta di questi stessi soggetti. Sono dati personali rientranti nelle previsioni del Codice, oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i codici identificativi riconducibili a un individuo.Esiste, inoltre, una categoria di dati – i cosiddetti dati sensibili - attinenti alla sfera personalissima dei singoli (informazioni sulle opinioni religiose o politiche, sulle abitudini sessuali, etc.), per i quali la legge prevede una tutela più forte rispetto agli altri.


Il trattamento di dati relativi a procedimenti penali ed a tutti i provvedimenti di cui all’art. 686, comma 1, lett. a) e d), nonché commi 2 e 3, è ammesso solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate.

Quali sono i soggetti del trattamento ?

Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati.

Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

L'incaricato: colui che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal titolare o dal responsabile.

L'interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

Qual’ è l'ambito di applicazione del Codice?Il Codice in materia di protezione dei dati personali si applica al trattamento di dati (anche se detenuti all'estero) da chiunque effettuato nel territorio dello Stato, con o senza mezzi elettronici, o comunque automatizzati. Inoltre, il Codice si applica anche al trattamento di dati personali, effettuato in un qualunque Paese, anche extraeuropeo, con mezzi e strumenti situati nel territorio dello Stato, anche diversi da quelli elettronici o automatizzati, salvo che essi siano utilizzati a soli fini di transito nell’Unione Europea.

Quali sono gli obblighi del titolare nei confronti dell'Autorità Garante per la protezione dei dati personali?Il titolare che intenda procedere ad un trattamento di dati personali, rientranti tra quelli previsti dall’art. 37 del Codice, deve darne comunicazione, mediante notificazione, all'Autorità Garante per la protezione dei dati personali.

Cosa deve essere comunicato al Garante?Al Garante deve essere comunicato il trattamento dei dati personali riguardante particolari settori, specificatamente elencati dall’art. 37 derl D.Lgs.n.196 del 30 giugno 2003. Inoltre, il Garante con proprio provvedimento può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti ed alle libertà dell’interessato

Quali sono gli obblighi relativi al trattamento ?I dati personali devono essere:

trattati in modo lecito e corretto; raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni

del trattamento in termini non incompatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o

successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di

tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.

Quali informazioni devono essere fornite agli interessati ?


Il soggetto interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa:

le finalità e le modalità del trattamento; l'obbligo o la facoltà di conferire i dati; le conseguenze giuridiche del rifiuto a rispondere; i soggetti a cui i dati possono essere comunicati; l'ambito di diffusione dei dati personali; i diritti spettanti al soggetto interessato; l’identificazione anagrafico-logistica del titolare del trattamento, del responsabile nel

territorio dello Stato, di almeno un responsabile del trattamento, se designato; occorre indicare, inoltre, le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento.

E' necessario il consenso dell'interessato per il trattamento dei dati personali ?Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell'interessato, salve le eccezioni di cui al punto seguente. Il consenso è validamente prestato soltanto se è espresso liberamente.Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta.

Quando non è necessario il consenso dell'interessato ?Il consenso dell'interessato non è richiesto quando il trattamento:

riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie;

è necessario per l'esecuzione di un contratto di cui è parte l'interessato, o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;

riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque; riguarda dati relativi allo svolgimento di attività economiche; è condizione per la salvaguardia dell'incolumità o della vita dell'interessato o di un terzo; è effettuato per lo svolgimento di investigazioni difensive, con l’esclusione della diffusione; è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del

titolare o di un terzo, con l’esclusione della diffusione; con esclusione della comunicazione all’esterno e della diffusione, è effettuato da

associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo;

è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici.

Quali sono i diritti dell'interessato ?Il Codice prevede che, circa i suoi dati personali, l'interessato abbia diritto:

di conoscere, mediante l'accesso al registro dei trattamenti presso il Garante, l'esistenza di trattamenti che lo riguardino;

di essere informato dal titolare circa le finalità del trattamento; di ottenere dal titolare la conferma, l'aggiornamento, la cancellazione, la rettifica dei dati

trattati, o la loro trasformazione in forma anonima; di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino. di chiedere il blocco dei dati trattati in violazione di legge.

Cosa è previsto per i dati sensibili ?I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i dati personali idonei a rivelare lo stato


di salute e la vita sessuale, possono essere trattati soltanto con il consenso scritto dell'interessato e con l'autorizzazione del Garante.

Quali sono le garanzie di sicurezza dei dati personali previsti dal Codice?L’Allegato B del Codice ("Disciplinare tecnico in materia di misure minime di sicurezza") ha individuato le misure minime di sicurezza che tutti i titolari del trattamento, siano essi soggetti privati o pubblici, devono adottare.Le misure individuate sono graduate per classi di dati e per tipologie di trattamento.Occorre verificare accuratamente quali misure di sicurezza sono obbligatorie, in relazione ai singoli trattamenti. I dati personali oggetto del trattamento devono, comunque, essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, nonché di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità di raccolta.In particolare per i dati sanitari e sessuali devono essere previsti sistemi di cifratura che non ne consentano il collegamento diretto ai dati anagrafici o altre fonti di riconoscimento dell’interessato.Eventuali danni subiti dagli interessati dovranno ottenere risarcimento.

Cosa è previsto per la comunicazione e la diffusione dei dati personali ?La comunicazione e la diffusione sono consentite, come il trattamento, solo con il consenso dell’interessato. In ogni caso, non possono essere comunicati o diffusi i dati per i quali è stata ordinata la cancellazione, ovvero quando è stato superato il periodo di tempo necessario al raggiungimento degli scopi, ovvero per scopi diversi da quelli indicati nella notificazione del trattamento al Garante, ove prescritta.

Quali sono le disposizioni del Codice per la protezione dei dati personali (D.Lgs 196/2003) cui l’Istituto deve attenersi ?Per effetto delle modifiche al Codice introdotte dal D.L. 9 fevbbraio 2012 n.5 (Decreto Semplificazioni) alcuni adempimenti previsti dal D.Lgs 196/2003 sono stati eliminati. Restano a carico dell’Istituto in quanto titolare del trattamento i seguenti adempimenti:

la notifica dei trattamenti al Garante per la Protezione dei Dati Personali e l’aggiornamento della stessa in caso di variazioni ,

l’informativa agli interessati la nomina con atto scritto dei responsabili e degli incaricati e la definizione dei relativi profili

di accesso ai dati personali l’adozione delle misure minime di sicurezza a tutela degli archivi contenenti dati personali,

Quali sono le misure minime di sicurezza cui l’Istituto deve attenersi?1. Disporre di sistemi di autorizzazione e autenticazione per l’accesso alle risorse informatiche

contenenti dati personali, sensibili e giudiziari.2. 2.Proteggere i dati tramite sistemi antintrusione, antivirus, firewall;3. 3. Aggiornare periodicamente i software e i profili di autenticazione;4. 4. Programmare backup almeno settimanali, ed assicurarsi della disponibilità dei dati

archiviati(backup)5. 5. Distruggere o comunque rendere inutilizzabili i supporti di memorizzazione non più in

uso o contenenti dati non più in uso6. Prevedere sistemi di cifratura o codici identificativi per dati sanitari e sessuali..

Istruzioni operative

Doveri dei soggetti autorizzati dal Titolare al trattamento ResponsabiliI responsabili nel trattamento dei dati personali sono vincolati dal segreto professionale e devono: definire l’ambito e le modalità di trattamento consentite a ciascuno degli operatori ad essi

assegnati quali incaricati del trattamento e impartire loro istruzioni circa le misure di sicurezza da porre in essere nelle operazioni di trattamento ad essi affidate;


provvedere a che l’interessato possa esercitare i diritti previsti dall’art.7 del D.Lgs n.196/2003;

verificare periodicamente l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza ed indispensabilità in rapporto agli adempimenti, provvedendo alla cancellazione degli archivi contenenti dati obsoleti e di eventuali archivi non autorizzati;

effettuare periodicamente l’analisi dei rischi correlati al trattamento dei dati sensibili; segnalare tempestivamente ai responsabili coordinatori di presidio le eventuali situazioni di

criticità nel trattamento in sicurezza dei dati personali, indipendenti dalla propria potestà organizzativa;

segnalare tempestivamente al referente aziendale per la privacy l’eventuale necessità, per lo svolgimento delle proprie funzioni, di nuove tipologie di trattamento rispetto a quelle già notificate al Garante, al fine di procedere alla nuova notifica.

Incaricati Gli incaricati del trattamento dei dati personali sono vincolati dal segreto professionale e devono eseguire i trattamenti secondo le disposizioni date dal responsabile e quanto prescritto nel regolamento INRCA in materia di protezione dei dati personali.In particolare devono: in fase di raccolta dei dati adottare puntualmente tutte le procedure previste dal Codice e

dal regolamento dell’INRCA in materia di protezione dei dati personali; custodire i documenti cartacei e i supporti informatici rimuovibili contenenti dati personali,

specialmente se di natura sensibile, in armadi o cassetti chiusi a chiave. in caso di assenza anche temporanea, evitare che tali documenti restino incustoditi, evitare l’accesso da parte di non autorizzati ai computer loro assegnati mediante il corretto

posizionamento del monitor, la sorveglianza, l’attivazione di dispositivi automatici di blocco e la assoluta segretezza della password di accesso;

I computer a disposizione degli incaricati non potranno essere utilizzati per scopi personali, né dovranno ospitare procedure o programmi che non siano stati forniti dalla competente struttura aziendale o installati previa precisa autorizzazione.

Informativa e consenso L’Informativa deve essere fornita all’interessato a cura del responsabile o dell’incaricato che entra in contatto con questi, prima della raccolta dei dati personali. I responsabili / incaricati dei trattamenti forniscono l’informativa, a seconda dei casi, in uno dei seguenti modi:• consegna di una copia del modulo di informativa;• inserimento dell’informativa nei bandi di concorso e/o avvisi per il reclutamento del personale;• inserimento dell’informativa nella lettera d’invito o nel capitolato o nell’avviso di gara per i partecipanti alle procedure contrattuali;• inserimento dell’informativa nei contratti individuali di lavoro e/o nelle convenzioni da stipulare con altre strutture pubbliche o private o con professionisti o studi professionali;• inserimento dell’informativa nella lettera o comunicazione inviata ad un soggetto non rientrante nei casi precedenti, di cui si raccolgono, si registrano e si trattano i dati per la prima volta.Se l’interessato è persona giuridicamente incapace, l’informativa e il modulo del consenso devono essere consegnati alla persona che legittimamente agisce per conto dell’interessato.Il consenso è valido per tutti i rapporti che l’interessato avrà con L’istituto, anche in relazione a prestazioni fruibili da strutture differenti dell’Istituto, ove sia possibile verificare che sia già stato reso (es. se è presente nella cartella clinica).l’informativa e il consenso possono essere successivi alla prestazione solo nei seguenti casi:

emergenza sanitaria o igiene pubblica per la quale è stata emanata un’ordinanza da parte del Sindaco o altra pubblica Autorità (ad es. un’epidemia);

impossibilità fisica, incapacità di agire o di intendere e di volere dell’interessato (per la gravità delle condizioni di salute) senza che vi sia possibilità di acquisire il consenso dai soggetti abilitati (esercente la potestà, prossimo congiunto, familiare, convivente, responsabile della struttura presso cui dimora);

rischio grave, imminente e irreparabile per la salute e l’incolumità fisica dell’interessato;


rischio che il consenso preventivo possa pregiudicare la prestazione medica in termini di tempestività o efficacia (ad es. casi di prestazioni urgenti e indifferibili).

Modalità di trattamento dei dati e misure di sicurezza La raccolta ed il trattamento di dati personali richiede pertanto che vengano rispettate le seguenti modalità:• i dati personali devono essere raccolti e registrati dopo aver consegnato l’informativa all’interessato;• è vietato raccogliere dati personali non necessari agli scopi e ai trattamenti indicati sull’informativa;• i dati raccolti devono essere esatti ed aggiornati quando necessario;I dati devono essere trattati applicando le misure di sicurezza indicate nel presente documento, oltre che da norme di buon senso e correttezza, volte a ridurre al minimo i seguenti rischi:• distruzione o perdita, anche accidentale, dei dati;• trattamento non consentito o non conforme alle finalità della raccolta;• raccolta, accesso, comunicazione o diffusione dei dati non autorizzata;• conservazione per un periodo di tempo superiore a quello necessario agli scopi della raccolta o inferiore a quello prescritto da altri obblighi di legge.

In particolare, quando si trattano dati sensibili o giudiziari, i Responsabili devono valutare, secondo il principio di necessità (art.3 del regolamento) anche la pertinenza, non eccedenza ed indispensabilità dei dati raccolti.I dati che a seguito delle verifiche risultano eccedenti, non pertinenti, o non indispensabili per il perseguimento dei fini istituzionali non possono essere utilizzati, salvo prevederne la conservazione a norma di legge applicando le appropriate misure di sicurezza che impediscano l’accesso non autorizzato.Ove possibile, i dati devono essere trattati in forma anonima e conservati separatamente dagli altri dati personali, in modo che l’identificazione dell’interessato sia possibile solo se necessaria.

Trattamento di dati su supporto cartaceoIl trattamento di documenti contenenti dati personali richiede le seguenti misure di sicurezza:• i documenti devono essere custoditi in stanze o armadi chiusi a chiave;• l’accesso agli archivi, sia operativi che remoti, contenenti dati sensibili o giudiziari, deve essere controllato e permesso unicamente agli incaricati del trattamento;• l’accesso di persone non autorizzate (es. pazienti / utenti) ai locali dove sono presenti dati personali e sensibili può avvenire solo alla presenza di un incaricato;• le risorse dei fornitori esterni che per esigenze di lavoro accedono ai locali ove sono presenti documenti contenenti dati sensibili o giudiziari, fuori dall’orario di lavoro (es. addetti alla pulizie / manutenzione), devono essere identificate in un allegato al contratto di fornitura;• i documenti contenenti dati sensibili o giudiziari devono essere utilizzati dagli incaricati del trattamento solo per il tempo necessario allo svolgimento dei relativi compiti e poi riposti negli archivi;• gli incaricati devono custodire i documenti in maniera che ad essi non accedano persone prive di autorizzazione (es. mai lasciare un documento incustodito);• la consegna dei documenti (es. referti) deve prevedere l’identificazione dell’interessato o diun suo delegato;• i trasferimenti di documenti tra strutture interne deve prevedere l’utilizzo di buste sigillate o altre precauzioni che impediscano la consultazione degli stessi da parte di persone non autorizzate;• tutti i documenti non più necessari devono essere distrutti / resi illeggibili prima di essere cestinati.

Trattamento di dati con strumenti elettronici

Password


A ciascun utente autorizzato ad operare su una postazione di lavoro sono assegnate credenziali di accesso (username e password temporanea). Le chiavi di accesso possono coincidere per lo stesso utente su diversi sistemi ma non per più utenti.La password temporanea che dovrà essere modificata alla prima connessione. La robustezza e segretezza delle password sono meccanismi fondamentali per la protezione di buona parte dei sistemi. Pertanto, la password deve rispondere ai seguenti requisiti minimi:a. Lunghezza: dovrà avere una lunghezza minima di 8 caratteri.b. Complessità: non dovrà contenere riferimenti agevolmente riconducibili al proprietario (es.nome utente).c. Irripetibilità: non potrà essere riutilizzata. Alla scadenza dovrà sempre essere impostata una password diversa da quelle impostate precedentemente.d. Scadenza: dovrà avere una scadenza massima di 90 giorni dalla prima impostazione. Sarà il sistema a richiedere il cambio della password alla scadenza prefissata.Con cadenza annuale, l’Amministratore del Sistema esegue un censimento per verificare che le chiavi rilasciate siano correttamente assegnate.

Utilizzo delle postazioni di lavoroIl trattamento di dati personali (e ancor più di dati sensibili e giudiziari) attraverso l’uso di Personal Computer (P.C.) o video terminali richiede le seguenti misure di sicurezza:• l’accesso ai sistemi contenenti dati personali deve essere possibile solo tramite password personale; • è fatto divieto di rivelare a terzi la propria password o lasciarne una trascrizione in luoghi accessibili a terzi;• in caso di allontanamento, anche temporaneo, dalla postazione di lavoro è necessario bloccare l’operatività del computer che deve essere riattivata solo attraverso l’inserimento del codice di accesso / password personali;• quando sono in lavorazione stampe e copie di documenti, l’incaricato del trattamento deve presidiare l’operazione e prelevare immediatamente i documenti stampati onde evitare la consultazione degli stessi da parte di persone non autorizzate;• i supporti rimovibili contenenti dati personali devono essere conservati in strutture chiuse a chiave e mai lasciati incustoditi e, se non più utilizzati, devono essere distrutti;• è fatto divieto di modificare la configurazione della postazione di lavoro e le impostazioni di sicurezza (es. tramite l’installazione di software, modem o schede di rete) senza formale autorizzazione dei servizi informativi lo smaltimento o la sostituzione del P.C. deve avvenire con l’ausilio degli addetti ai servizi

informativi che provvederanno ai necessari back up alla corretta distruzione dei dati personali e sensibili in essi contenuti.

Informatica distribuita I trattamenti di dati personali effettuati utilizzando documenti elettronici redatti con strumenti di informatica distribuita (word, excel, access …) esulano dal controllo dei servizi informativi e ricadono pertanto sotto la responsabilità del responsabile della struttura che li utilizza. E’ tuttavia consigliabile: archiviare tutti i documenti elettronici (word, excel, access …) utilizzati per effettuare

trattamenti di dati personali sul server centrale provvedere con frequenza almeno settimanale al salvataggio degli archivi e documenti

elettronici eventualmente presenti localmente sul PC;Misure poste a tutela della riservatezza Misure per la comunicazione all’interessato di informazioni inerenti lo stato di salute I dati idonei a rivelare lo stato di salute e la vita sessuale di un soggetto possono essere comunicati all’interessato solo per il tramite di un medico designato dall’interessato stesso o dall’INRCA. L’INRCA designa il personale medico dell’unità operativa presso la quale sono stati erogati i servizi di diagnosi e cura quali figure che possono comunicare all’interessato le notizie relative alla sua salute.


Non è consentito ai medici e/o altri operatori sanitari fornire informazioni a soggetti diversi dall’interessato (parenti, conoscenti, ecc.) in assenza di consenso espresso che deve essere richiesto contestualmente all’autorizzazione al trattamento dei dati personali.La documentazione contenente notizie sanitarie (referti, certificazioni prescrizioni, cartelle cliniche) è consegnata personalmente all’interessato o ad un suo delegato in busta chiusa.I risultati di analisi cliniche, radiografie e referti medici possono, a richiesta dell’interessato, essere inviati per posta all’indirizzo sulla e-mail da lui indicati o possono essere resi consultabili on line previa attribuzione all’utente di apposito codice di accesso. L’adesione al servizio dovrà in ogni caso essere facoltativa e il referto cartaceo rimarrà comunque disponibile.L’assistito dovrà dare il suo consenso sulla base di una informativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di consultazione o consegna on-line dei referti. Il referto potrà rimanere consultabile on line solo per un periodo di tempo limitato di quarantacinque giorni.

Misure volte a tutelare la riservatezza durante gli accessi alle strutture sanitarie e amministrativeLe strutture sanitarie e amministrative dell’Istituto nell’ambito della loro autonomia organizzativa devono porre in atto ogni misura necessaria ad evitare che i dati personali possano essere conosciuti da soggetti non autorizzati, a causa di situazioni di promiscuità derivanti dall’organizzazione degli spazi o dalle modalità utilizzate nella gestione dell’utenza.Al fine di garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati vengono inoltre indicate le seguenti misure, poste a tutela della riservatezza, da osservare da parte di tutto il personale addetto sia nei reparti, nelle sale d’attesa e negli spazi antistanti agli sportelli accessibili al pubblico e, in particolare:• evitare la chiamata nominativa degli utenti in attesa di prestazioni sanitarie o servizi utilizzando, la chiamata numerica;• far osservare le distanze di cortesia, prevedendo presso gli sportelli di cassa e le segreterie degli ambulatori specialistici appositi spazi, segnalati con una riga gialla, oltre i quali gli utenti possano attendere il proprio turno; effettuare la chiamata dei pazienti in attesa della prestazione utilizzando, in luogo del nominativo, un codice numerico precedentemente assegnato; evitare di effettuare la raccolta dei dati sanitari le prescrizioni e il rilascio di certificati in presenza di estranei;• evitare di erogare la prestazione, commentare la documentazione clinica o colloquiare sullo stato di salute in luoghi o con modi che possano mettere a conoscenza altri soggetti delle condizioni cliniche dell’interessato;• rispettare sempre la dignità del paziente in ogni occasione;• dare notizia o conferma della prestazione erogata in regime di emergenza soltanto a terzi che risultino, da indagini compiute dall’operatore sanitario, a conoscenza delle generalità dell’interessato; • evitare di fornire informazioni ai visitatori circa la collocazione in reparto dell’utente se non vi è un’espressa volontà in tal senso da parte dell’interessato • ritenere esteso a tutto il personale dell’INRCA il segreto professionale dando disposizioni sui comportamenti da tenere nei reparti o nelle strutture.

Lo svolgimento delle procedure sanitarie deve avvenire in ambienti e con modalità atte a tutelare la dignità della persona. In situazioni di particolare gravità, ove non vi sia la disponibilità di spazi idonei, devono essere usati paraventi o strumenti simili volti a limitare la visibilità e il riconoscimento del paziente da parte di estranei.

Riservatezza della documentazione e della corrispondenza Il trasferimento all’interno delle strutture di documentazione sanitaria in forma cartacea quale: referti, certificazioni prescrizioni, cartelle cliniche e più in generale di documenti contenenti dati sensibili deve essere effettuato in busta chiusa con la dicitura “CONTIENE DATI SENSIBILI. L’apertura del presente plico da parte di persona diversa dall’utente è penalmente perseguibile” (art. 616 c.p. e D. Leg. vo 196/03).La corrispondenza in partenza contenente dati sensibili o giudiziari, al fine di non rendere conoscibile il contenuto, deve essere inviata all’Ufficio Protocollo una busta chiusa con la dicitura


“CONTIENE DOCUMENTI SANITARI RISERVATI. L’apertura del presente plico da parte di persona diversa dall’utente è penalmente perseguibile” (art. 616 c.p. e D.Leg.vo 196/03)” Per la corrispondenza in arrivo recante diciture che qualifichino il contenuto come “riservato”, l’Ufficio Protocollo provvederà all’apertura, all’apposizione del numero di protocollo e successivamente all’invio alla Struttura destinataria in busta chiusa.

Misure legate all’utilizzo di sistemi di videosorveglianza e videoripresaRiprese effettuate per motivi di sicurezza Gli interessati devono essere sempre informati del fatto che stanno per accedere in una zona video sorvegliata, mediante apposizione nelle immediate vicinanze dei luoghi ripresi di idonea informativa, visibile e leggibile quale quella prevista. La risoluzione delle immagini e l’angolatura delle riprese tramite sistemi di videosorveglianza e videocontrollo sono regolate in modo da evitare il riconoscimento diretto degli interessati.Possono accedere alle immagini rilevate solo i soggetti espressamente autorizzati. La conservazione delle registrazioni è limitata alle ventiquattro ore successive alla rilevazione a meno di ulteriori esigenze in relazione a festività o chiusura delle strutture aziendali. Su specifica richiesta investigativa dell'autorità giudiziaria o di polizia giudiziaria, la conservazione delle immagini e le modalità di ripresa potranno subire eccezioni al presente Regolamento. Riprese effettuate nelle unità intensive ai fini di monitoraggio di pazienti critici.Al fine di garantire la necessaria riservatezza, i monitor riservati al controllo delle condizioni cliniche degli utenti ricoverati in reparti intensivi devono essere posizionati in ambienti separati e non accessibili al pubblico. Possono accedere alle immagini rilevate per le predette finalità solo i soggetti specificamente autorizzati (es. personale medico ed infermieristico).La visione delle immagini di pazienti ricoverati è consentita, mediante l’adozione di adeguati accorgimenti tecnici, esclusivamente a terzi legittimati (familiari, parenti, conviventi, conoscenti autorizzati).Le immagini idonee a rivelare lo stato di salute non devono essere in alcun modo diffuse I supporti di memorizzazione delle riprese contenenti dati sensibili devono essere opportunamente codificati e privi di riferimenti a nominativi o date. I supporti non più utilizzati devono essere distrutti prima di essere cestinati. Riprese effettuate a fini didattici e formativiLe riprese effettuate ai fini della formazione possono essere compiute solamente previa autorizzazione scritta del Titolare nonché informativa, consenso e liberatoria da parte degli interessati.

Il responsabile del trattamento dei dati attraverso sistemi di videosorveglianza è il Responsabile dell’U.O. Attività Tecniche, che in tale funzione è coadiuvato dai direttori amministrativo e medico di presidio in qualità responsabili per la privacy con funzioni di referenti e coordinatori.I responsabili delle Unità operative nell’ambito delle quali insistono impianti di videosorveglianza e/o videocontrollo sono responsabili del trattamento delle relative immagini.Qualora la gestione dei sistemi di videosorveglianza sia affidata a soggetti esterni, questi sono responsabili del trattamento dei dati e sottoposti alle disposizioni di cui all’art.6 del presente regolamento.

Comunicazione a terzi e diffusione dei dati La diffusione di dati sensibili, giudiziari o idonei a rivelare lo stato di salute (intesa come darne conoscenza a soggetti non determinati) non è ammessa.Nella redazione di registri, elenchi, atti o altri documenti che sono resi pubblici per espressa disposizione di legge, devono essere utilizzate forme di cifratura che garantiscano l’anonimato, evitando riferimenti espliciti a fatti e circostanze dai quali si possa desumere l’identità dell’interessato.

Notificazioni, comunicazioni e richieste di autorizzazione al Garante Alcune tipologie di dati trattati / operazioni di trattamento richiedono la notificazione, la comunicazione al Garante o la richiesta preventiva di autorizzazione.


Notificazioni, comunicazioni e richieste di autorizzazione al Garante vengono effettuate dal Titolare con il supporto del Referente per la Privacy al quale l’Unità Operativa interessata dovrà comunicare tutte le informazioni necessarie.Ciascun Responsabile prima dell’inizio di un trattamento diverso rispetto a quelli che sono stati notificati al Garante (allegato 2 del regolamento) dovrà consultare il Referente aziendale per la Privacy per valutare la necessità di una nuova notifica.

Rapporti con l’interessato nell’esercizio dei suoi dirittiL’interessato esercita i propri diritti per tramite degli uffici U.R.P. dislocati nei vari presidi ospedalieri, preferibilmente avvalendosi della modulistica di cui all’allegato 11.La richiesta può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica e se ha solo scopo informativo può essere formulata anche oralmente e in tal caso è annotata sinteticamente.L’istanza sarà trasmessa dall’URP al Responsabile del trattamento, per l'istruzione degli atti conseguenti, e per conoscenza al Referente aziendale per la Privacy. Nell'esercizio dei propri diritti l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia. I diritti riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.L'identità dell'interessato è verificata tramite esibizione di un documento di riconoscimento. La persona che agisce per conto dell'interessato allega copia della procura, ovvero della delega , unitamente a copia fotostatica del documento di riconoscimento proprio e dell'interessato. Se l'interessato o il terzo legittimato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.

La richiesta può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.I dati sono estratti a cura del responsabile del trattamento o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione anche mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se richiesto, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, dietro pagamento di un contributo di venti euro da effettuarsi presso l’ufficio ticket del presidio, ovvero, se espressamente richiesto, alla loro trasmissione per via telematica .Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato si intende riferito a tutti i dati personali che lo riguardano comunque trattati dal titolare. Quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell'interessato può avvenire anche attraverso l'esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.

Eventuali richieste inerenti i dati personali da parte di soggetti dall'interessato e privi di delega o procura, possono essere accolte, nei modi e nei tempi previsti dalla della L.n.241/1990, come modificata ed integrata dalla Legge 11 febbraio 2005 n. 15. In particolare la richiesta è giustificata dalla documentata necessità di tutelare, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

I diritti non possono essere esercitati per tutto il tempo necessario a far valere o difendere un diritto in sede giudiziaria o durante lo svolgimento di investigazioni difensive.

Al fine di garantire la corretta applicazione della norma, il responsabile del trattamento può, qualora lo ritenga necessario, richiedere il parere dell’Ufficio Legale.

Responsabilità amministrative, penali e civili: illeciti e relative sanzioni.


Responsabilità amministrativa omessa o incompleta notificazione al Garante: da 10.000 a 60.0000 euro omissione di fornire informazioni o di esibire documenti al Garante: da 4.000 a 24.000 euro omissione di fornire l’informativa all’interessato: da 3.000 a 18.0000 euro omissione di fornire l’informativa all’interessato se si tratta di dati sensibili o giudiziari o di

trattamenti che presentano rischi specifici: da 5.000 a 30.000 euro cessione dei dati ad altro Titolare, avvenuta per trattamento incompatibile con gli scopi

della raccolta: da 5.000 a 30.000 euro comunicazione di dati idonei a rivelare lo stato di salute a persone diverse dagli aventi

diritto: da 500 a 3.000 euroResponsabilità penale

infedele notificazione o comunicazione di atti, documenti o dichiarazioni rese al Garante o nel corso di accertamenti: da 6 mesi a tre anni

violazione delle norme che disciplinano il trattamento dei dati personali commessa al fine di trarne per sé o per altri profitto o di recare danno ad altri: da 6 a 18 mesi

violazione delle norme che disciplinano il trattamento dei dati personali commesso al fine di trarne per sé o per altri profitto odi recare danno ad altri mediante comunicazione e diffusione: da 6 a 24 mesi

violazione delle norme che disciplinano il trattamento di dati che presentano rischi specifici, dei dati sensibili e giudiziari e dal fatto deriva un danno: da 1 a 3 anni

omessa adozione delle misure minime di sicurezza: sino a 2 anni o ammenda da 10.000 a 50.000 euro

In caso di accertamento del reato di cui sopra il Garante impartisce una prescrizione per la regolarizzazione che deve essere adempiuta nel termine massimo di 6 mesi.L’adempimento della prescrizione nei 60 giorni successivi allo scadere del termine di cui sopra e il pagamento di una somma pari a un quarto del massimo dell’ammenda estinguono il reato

inosservanza dei Provvedimenti del Garante da 3 mesi a 2 anni

Responsabilità civileChiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto a risarcire i danni se non prova di aver adottato tutte le misure idonee ad evitare il danno.Il Titolare e il Responsabile del trattamento rispondono a prescindere dalla colpa e dal dolo.Possono dar vita a responsabilità civile i seguenti comportamenti:• trattamento, raccolta, registrazione di dati al di fuori dei casi consentiti e dei modi previsti;• mancata adozione delle misure di sicurezza.I danni risarcibili sono, oltre al danno patrimoniale, quello morale, estetico, alla vita di relazione, biologico e all’immagine, subito dall’interessato a causa dell’illecito comportamento attivo od omissivo dell’operatore.

Allegati

Al presente vademecum sono allegati i seguenti documenti:

Il manuale redatto dal Garante per la Protezione dei dati personali in ambito sanitario

- ALLEGATO 1 LETTERA DI NOMINA A RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI

ALLEGATO 2 LETTERA NOMINA A RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI CON FUNZIONI DI REFERENTI E COORDINATORI NEI CONFRONTI DEL TITOLARE

ALLEGATO 3 LETTERA DI NOMINA A RESPONSABILI ESTERNI DEL TRATTAMENTO DEI DATI PERSONALI


ALLEGATO 4 LETTERA DI NOMINA A RESPONSABILI ESTERNI DEL TRATTAMENTO DEI DATI PERSONALI DITTA AGGIUDICATARIA DI APPALTO

ALLEGATO 5 LETTERA DI INCARICO PER IL TRATTAMENTO DEI DATI PERSONALI

ALLEGATO 6 INFORMATIVA E CONSENSO INFORMATO UTENTI

ALLEGATO 7 INFORMATIVA E CONSENSO INFORMATO REFERTI ON LINE

ALLEGATO 8 INFORMATIVA E CONSENSO INFORMATO DIPENDENTI

ALLEGATO 9 MODELLO DI FAX

ALLEGATO 10 INFORMATIVA SULL’UTILIZZO DI SISTEMI DI VIDEOSORVEGLIANZA

ALLEGATO 11 ISTANZA DEGLI INTERESSATI


Allegato 1 -

LETTERA DI NOMINA A RESONSABILI DEL TRATTAMENTO DEI DATI PERSONALI Istruzioni e raccomandazioni di carattere generale.

Egregio Dott./ssaResp. U.O. SEDE

Oggetto:nomina quale responsabile del Trattamento dei dati personali - istruzioni e

raccomandazioni di carattere generale.

Ai sensi e per gli effetti del combinato disposto del Dlgs.vo 30 giugno 2003, n.196 “Codice in materia di protezione dei dati personali” e degli atti n. 176 del 11.04.2006 e n. …. del ..(nuovo regolamento) , la S.V. è stata nominata, Responsabile del trattamento dei dati personali e sensibili per l’intero Settore di Sua pertinenza.

A tal fine e in ossequio al dispositivo di cui all’art. 29, c. 4 della citata legge si forniscono le seguenti istruzioni e raccomandazioni di carattere generale che Lei sarà tenuto a rispettare e far rispettare,raccomandandoLe di illustrare il contenuto della presente a tutto il personale di Sua pertinenza che effettua operazioni di trattamento di dati personali e che su Sua designazione, anche indiretta, assumerà il ruolo di Incaricato.

In quanto “Responsabile”, Lei dovrà:

1) predisporre l’apposito elenco dei soggetti da Lei “incaricati” avendo cura di: riportare il nominativo e la qualifica/attività dell’incaricato; far apporre agli incaricati in corrispondenza del proprio nominativo la firma di

conferma per l’avvenuta istruzione preliminare e la presa in visione; conservare ed aggiornare l’elenco degli incaricati;

2) provvedere ad informare il titolare di ogni significativa variazione nei trattamenti di dati effettuati dalla Sua Unità Operativa.

Si intendono come sicuramente significative le seguenti variazioni: costituzione e/o eliminazione archivi; acquisizione di nuove tipologie di dati personali destinati al trattamento;

3) adottare le seguenti misure di sicurezza per l’accesso controllato ai dati personali . 3.1 misure di sicurezza a salvaguardia degli accessi “fisici”:

a) i locali in cui sono trattati o custoditi dati personali non devono essere liberamente accessibili ad estranei o a dipendenti non incaricati dello specifico trattamento;

b) l’esercizio del diritto di accesso ai dati personali da parte di soggetti autorizzati deve avvenire sotto la diretta sorveglianza del personale incaricato;

c) la conservazione dei documenti contenenti dati personali – siano questi sensibili o ordinari – deve essere effettuata in armadi o scrivanie con la possibilità di chiusura a chiave;


d) le aree interessate alle procedure di sicurezza al termine dell’orario di servizio devono restare interdette all’accesso.

3.2 misure di sicurezza a salvaguardia degli accessi “logici”:a) gli strumenti informatici contenenti dati personali devono essere protetti con

meccanismi che richiedano la digitazione di una parola chiave sia all’atto dell’accensione dell’apparato che al momento della richiesta di accesso a determinate risorse;

b) la conservazione dei supporti magnetici rimovibili contenenti dati personali deve essere effettuata nel rispetto delle precauzioni in uso per i modelli cartacei;

c) l’accesso alla rete deve prevedere a carico dell’utilizzatore: 1. l’identificazione (digitazione del codice identificativo personale, utilizzo di

carta magnetica od a microprocessore, ovvero altro sistema di “presentazione”);

2. l’autenticazione (digitazione della parola chiave corrispondente a quella dell’identificato dichiarato) che consentirà l’attribuzione di idoneo profilo personale;

d) i computers a disposizione degli incaricati non potranno essere utilizzati per scopi personali, né dovranno ospitare procedure o programmi che non siano stati forniti dalla competente struttura aziendale o installati previa precisa autorizzazione

e) il rilascio e la revisione delle autorizzazioni all’accesso devono essere effettuati limitatamente ai soli dati pertinenti e necessari ai compiti affidati a ciascun collaboratore

f) dovrà essere verificata periodicamente la vigenza dei requisiti già presi in considerazione all’atto del rilascio dell’autorizzazione stessa;

g) dovranno essere annullate tempestivamente le autorizzazioni all’accesso ai dati per il personale che non ne abbia più i requisiti (es. per trasferimento ad altre mansioni o ad altra Sede lavorativa, per risoluzione del rapporto di lavoro, ecc.);

h) dovrà essere consentito in caso di emergenza l’accesso agli apparati protetti da password, prevedendo a tale scopo il deposito della password in busta sigillata da custodire sotto la Sua responsabilità. Tale password potrà essere utilizzata solo per eventuali straordinarie esigenze di accesso che si verifichino in assenza dell’incaricato.

‘4) Verificare la legittimità delle operazioni di trattamento svolte dagli incaricati:

a) riscontrando che le operazioni svolte siano compatibili con il livello di autorizzazione concesso;

b) segnalando al titolare i tentativi di violazione delle misure di sicurezza in essere;

c) assicurando il tempestivo intervento - con l’eventuale segnalazione all’Autorità Giudiziaria - in caso di violazione del Dlgs.vo 196/03.

5) Sottoscrivere apposita dichiarazione liberatoria stesa in calce alla presente lettera di incarico .

La presente nota viene inviata in duplice copia, una delle quali, una volta debitamente sottoscritta per ricevuta, accettazione, ed espressa liberatoria di quanto previsto al punto 3.2.d in tema di utilizzo di procedure e programmi non forniti o installati dall’Istituto, dovrà essere restituita all’ufficio mittente.

Cordiali saluti.


IL TITOLARE DEL TRATTAMENTO DEI DATIDIRETTORE GENERALE

(Dott. Giuseppe Zuccatelli)_____________________________

PER ACCETTAZIONE:

Firma_________________________________

Data___________________


Allegato 2

LETTERA NOMINA A RESPONSABILI DEL TRATTAMENTO DEI DATI PERSONALI CON FUNZIONI DI REFERENTI E COORDINATORI NEI CONFRONTI DEL TITOLARE – Istruzioni e raccomandazioni di carattere generale.

Egregio Dott./ssaResp. U.O. SEDE

Oggetto:nomina quale responsabile coordinatore del Trattamento dei dati personali

istruzioni e raccomandazioni di carattere generale.

Ai sensi e per gli effetti del combinato disposto del Dlgs.vo 30 giugno 2003, n.196 “Codice in materia di protezione dei dati personali” e dell’atto n. 176 del 11.04.2006, Lei è nominato Responsabile Referente e Coordinatore del trattamento dei dati personali e sensibili per l’intero Settore di Sua pertinenza.

Come tale Lei dovrà curare lo svolgimento per il titolare di tutte le attività di cui al c.5 dell’art. 29 del Dlgs n. 196/03 riferendone allo stesso, cui spetta comunque la verifica periodica prevista dalla citata normativa.

Più in generale, Lei dovrà curare di riferire al titolare ogni esigenza e/o necessità in tema di privacy; a tal scopo resta a Lei affidato il compito di custodire e far osservare, anche mediante apposite direttive agli altri Responsabili e/o incaricati del Suo settore, il regolamento adottato con atto n. del .

In ossequio al dispositivo di cui all’art. 29, c. 4 della citata legge si forniscono le seguenti istruzioni e raccomandazioni di carattere generale che Lei sarà tenuto a rispettare e far rispettare, raccomandandoLe di illustrare il contenuto della presente a tutto il personale di Sua pertinenza che effettua operazioni di trattamento di dati personali e che su Sua designazione, anche indiretta, assumerà il ruolo di Incaricato.

In quanto “Responsabile”, Lei dovrà:

1) predisporre l’apposito elenco dei soggetti da Lei “incaricati” avendo cura di: riportare il nominativo e la qualifica/attività dell’incaricato; far apporre agli incaricati in corrispondenza del proprio nominativo la firma di

conferma per l’avvenuta istruzione preliminare e la presa in visione; conservare ed aggiornare l’elenco degli incaricati;


2) provvedere ad informare il titolare di ogni significativa variazione nei trattamenti di dati effettuati dalla Sua Unità Operativa.

Si intendono come sicuramente significative le seguenti variazioni: costituzione e/o eliminazione archivi; acquisizione di nuove tipologie di dati personali destinati al trattamento;

3) adottare le seguenti misure di sicurezza per l’accesso controllato ai dati personali .

3.1 misure di sicurezza a salvaguardia degli accessi “fisici”: a) i locali in cui sono trattati o custoditi dati personali non devono essere

liberamente accessibili ad estranei o a dipendenti non incaricati dello specifico trattamento;

b) l’esercizio del diritto di accesso ai dati personali da parte di soggetti autorizzati deve avvenire sotto la diretta sorveglianza del personale incaricato;

c) la conservazione dei documenti contenenti dati personali – siano questi sensibili o ordinari – deve essere effettuata in armadi o scrivanie con la possibilità di chiusura a chiave;

d) le aree interessate alle procedure di sicurezza al termine dell’orario di servizio devono restare interdette all’accesso.

3.2 misure di sicurezza a salvaguardia degli accessi “logici”:a) gli strumenti informatici contenenti dati personali devono essere protetti con

meccanismi che richiedano la digitazione di una parola chiave sia all’atto dell’accensione dell’apparato che al momento della richiesta di accesso a determinate risorse;

b) la conservazione dei supporti magnetici rimovibili contenenti dati personali deve essere effettuata nel rispetto delle precauzioni in uso per i modelli cartacei;

c) l’accesso alla rete deve prevedere a carico dell’utilizzatore: a. l’identificazione (digitazione del codice identificativo personale, utilizzo di

carta magnetica od a microprocessore, ovvero altro sistema di “presentazione”);

b. l’autenticazione (digitazione della parola chiave corrispondente a quella dell’identificato dichiarato) che consentirà l’attribuzione di idoneo profilo personale;

d) i computers a disposizione degli incaricati non potranno essere utilizzati per scopi personali, né dovranno ospitare procedure o programmi che non siano stati forniti dalla competente struttura aziendale o installati previa precisa autorizzazione

e) il rilascio e la revisione delle autorizzazioni all’accesso devono essere effettuati limitatamente ai soli dati pertinenti e necessari ai compiti affidati a ciascun collaboratore

f) dovrà essere verificata periodicamente la vigenza dei requisiti già presi in considerazione all’atto del rilascio dell’autorizzazione stessa;

g) dovranno essere annullate tempestivamente le autorizzazioni all’accesso ai dati per il personale che non ne abbia più i requisiti (es. per trasferimento ad altre mansioni o ad altra Sede lavorativa, per risoluzione del rapporto di lavoro, ecc.);

h) dovrà essere consentito in caso di emergenza l’accesso agli apparati protetti da password, prevedendo a tale scopo il deposito della password in busta sigillata da custodire sotto la Sua responsabilità. Tale password potrà essere utilizzata solo per eventuali straordinarie esigenze di accesso che si verifichino in assenza dell’incaricato.

‘4) Verificare la legittimità delle operazioni di trattamento svolte dagli incaricati:


a) riscontrando che le operazioni svolte siano compatibili con il livello di autorizzazione concesso;

b) segnalando al titolare i tentativi di violazione delle misure di sicurezza in essere;c) assicurando il tempestivo intervento, con l’eventuale segnalazione all’Autorità

Giudiziaria, in caso di violazione del Dlgs.vo 196/03.

6) Sottoscrivere apposita dichiarazione liberatoria stesa in calce alla presente lettera di incarico .

La presente nota viene inviata in duplice copia, una delle quali, una volta debitamente sottoscritta per ricevuta, accettazione, ed espressa liberatoria di quanto previsto al punto 3.2.d in tema di utilizzo di procedure e programmi non forniti o installati dall’Istituto, dovrà essere restituita all’ufficio mittente.

Cordiali saluti.

IL TITOLARE DEL TRATTAMENTO DEI DATIDIRETTORE GENERALE

(Dott. Giuseppe Zuccatelli)_____________________________

PER ACCETTAZIONE:

Firma_________________________________

Data___________________


Allegato 3 LETTERA DI NOMINA A RESPONSABILI ESTERNI DEL TRATTAMENTO DEI DATI PERSONALI

Egregio/a Sig./Dott.

Sede

Oggetto: nomina quale responsabile esterno del Trattamento dei dati personali - DLgs n. 196/03

In riferimento alla convenzione / contratto di collaborazione di cui all’atto n………………… del…………… , con la presente si nomina la S.V. RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI, ai sensi dell’art.29 del D.Lgs n.196 del 30 giugno 2003.

La S.V., in qualità di Responsabile, dovrà:1. predisporre, conservare ed aggiornare l’elenco degli incaricati al trattamento;2. assicurare che il trattamento e l’accesso ai dati personali avvenga nel rispetto

del Decreto Legislativo n.196 del 30 giugno 2003 e s.m.i.:“Codice in materia di protezione dei dati personali”

La presente nota viene inviata in duplice copia, una delle quali, una volta debitamente sottoscritta per ricevuta ed accettazione, dovrà essere restituita all’ufficio mittente.

Distinti saluti.

IL TITOLARE DEL TRATTAMENTO DEI DATI DIRETTORE GENERALE

(Dott. Giuseppe Zuccatelli)

Il Dirigente Amministrativo Dott./ssa

RUP

PER ACCETTAZIONE:Firma_________________________________Data___________________


Allegato 4 LETTERA DI NOMINA A RESPONSABILI ESTERNI DEL TRATTAMENTO DEI DATI PERSONALI - DITTA AGGIUDICATARIA DI APPALTO

Prot. n. Ancona,

Spett.le Ditta Via CAP città

Oggetto: nomina quale responsabile esterno del Trattamento dei dati personali - DLgs n. 196/03

Con Determina n. del , codesta spettabile ditta si è aggiudicata la gara relativa alla fornitura _________________________________________________________

Poiché nell’ambito di tale fornitura è possibile siano trattati dati sensibili, con la presente si nomina codesta Società RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI ai sensi dell’art.29 del D.Lgs n.196 del 30 giugno 2003.

Come "Responsabile" dovrà:3. predisporre, conservare ed aggiornare l’elenco degli incaricati al trattamento;4. assicurare che il trattamento e l’accesso ai dati personali avvenga nel rispetto

del Decreto Legislativo n.196 del 30 giugno 2003 e s.m.i.:“Codice in materia di protezione dei dati personali”

La presente nota viene inviata in duplice copia, una delle quali, una volta debitamente sottoscritta per ricevuta ed accettazione, dovrà essere restituita all’ufficio mittente.

Distinti saluti.

IL TITOLARE DEL TRATTAMENTO DEI DATI DIRETTORE GENERALE

(Dott. Giuseppe Zuccatelli)

Il Dirigente Amministrativo Dott./ssa

RUP



Allegato 5 LETTERA DI INCARICO PER IL TRATTAMENTO DEI DATI PERSONALI Istruzioni e raccomandazioni di carattere generale.

Egregio Sig./ra Dott./ssaSEDE

Oggetto:nomina incaricato del Trattamento dei dati personali istruzioni e raccomandazioni di carattere generale.

Con la presente si informa che Lei, è stato individuato incaricato del trattamento dei dati personali e sensibili, ai sensi e per gli effetti dell’art. 30 del Dlgs.vo 30 giugno 2003, n.196 “Codice in materia di protezione dei dati personali” ,

La suddetta Legge impone una particolare cautela nel trattamento dei dati personali, a tutela della riservatezza individuale e collettiva.

Gli incaricati del trattamento, dovranno pertanto attenersi alle disposizioni di cui in appresso. Tali disposizioni sono conformi alle norme in vigore, in particolare al Regolamento sulle misure minime di sicurezza di cui al D.P.R. n. 318 del 28.07.1999 e all’allegato B “ Disciplinare tecnico in materia di misure minime di sicurezza “ del Dlgs.vo 196/03 sopra citato.

1. Trattamento dei dati.Il trattamento dei dati personali dovrà essere effettuato soltanto dagli incaricati ed esclusivamente per motivi di servizio. In particolare sono vietate tutte le forme di accesso ai dati dettate da mera curiosità o da altre ingiustificate esigenze personali che esulano comunque da comprovate finalità lavorative.

2. Custodia degli archivi cartacei.I documenti contenenti dati personali, specialmente se di natura sensibile, devono essere custoditi in armadi o cassetti chiusi a chiave.Tali documenti non devono in alcun caso essere lasciati incustoditi in assenza dell’incaricato.


L’accesso ai documenti è consentito soltanto al personale incaricato. In tutti i casi in cui si permetta l’accesso ai dati a soggetti che dimostrino di averne titolo in base alle normative vigenti, delle singole operazioni sarà dato conto nell’apposito Registro degli accessi del personale non incaricato, custodito a cura del Responsabile.

Eventuali richieste di accesso, per esigenze individuali, ai propri dati personali da parte di soggetti interni o esterni all’I.N.R.C.A., vanno inoltrate al Responsabile .

3. Custodia degli archivi informatici.I computers che consentono l’accesso ad archivi contenenti dati personali specialmente se di natura sensibile, devono essere utilizzati esclusivamente dagli incaricati che li abbiano in affidamento.In assenza dell’incaricato il computer non deve essere lasciato acceso; in alternativa potranno essere introdotti dispositivi automatici che inibiscano l’utilizzo dei personal computer (screen saver) e protezione attivata per il ripristino (password). In ogni caso, poi, il monitor deve essere posizionato in modo tale da impedire ad estranei la visuale dello schermo.Per l’utilizzo deve essere attivata la password di accesso, eventualmente ricorrendo all’assistenza del personale dei Sistemi Informativi.La password dovrà rimanere segreta. E’ previsto, inoltre, il deposito della stessa in busta sigillata da custodire a cura del sottoscritto Responsabile o del soggetto dal ridetto responsabile appositamente designato, per eventuali straordinarie esigenze di accesso, in assenza dell’incaricato.Nella scelta della password, che va cambiata ogni sei mesi o tre mesi se si tratta di dati sensibili, non devono essere utilizzati riferimenti personali (dati anagrafici propri o di familiari, numeri di matricola, nonché date e neppure elementi significativi legati all’operatore).I supporti rimovibili relativi ad archivi di dati personali devono essere custoditi in armadi, protetti da cassetti chiusi a chiave, e non dovranno essere lasciati inseriti nel computer o a disposizione sulle scrivanie in assenza degli incaricati.I supporti rimovibili contenenti dati sensibili se non utilizzati sono distrutti o resi inutilizzabili. Detti supporti possono essere riutilizzati, anche da altri incaricati non autorizzati al trattamento di quei dati, solo se le informazioni in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Qualora si rendano necessari interventi di manutenzione o riparazione su computer è d’obbligo concordare preventivamente modalità operative e misure di sicurezza adeguate al caso concreto.

I computers a disposizione degli incaricati non potranno essere utilizzati per scopi personali, né dovranno ospitare procedure o programmi che non siano stati forniti dalla competente struttura aziendale o installati previa precisa autorizzazione.

4. Comunicazione dei dati.La trasmissione, tra gli Uffici dell’I.N.R.C.A., di documenti facenti riferimento e/o contenenti dati personali di qualunque natura va sempre effettuata con lettera di accompagnamento regolarmente protocollata, direttamente fra soggetti incaricati.La trasmissione deve essere motivata da effettive esigenze lavorative. Nei casi in cui siano oggetto di trattamento documenti contenenti dati personali critici, la trasmissione deve avvenire in busta chiusa contenente la dicitura “RISERVATO: CONTIENE DATI SENSIBILI EX DLGS. N.196/03”.La eventuale comunicazione di dati sensibili a terzi estranei all’Istituto è subordinata alla presentazione di una richiesta scritta che dia conto della legittimazione del richiedente, per legge o contratto, all’accesso ai dati. Tale comunicazione dovrà peraltro, essere fornita formalmente per iscritto e sarà subordinata alla verifica del diritto del terzo all’accesso dei dati.


Al di fuori dei casi indicati è assolutamente vietato comunicare o diffondere dati personali, anche non sensibili a terzi.

6. Problemi applicativi.In tutti i casi in cui le operazioni di trattamento dei dati personali siano fonte di dubbio per gli incaricati (es.: incertezza sulla legittimità della comunicazione di documenti, necessità di evadere richieste di accesso, perplessità sulla natura sensibile o meno dei dati, ecc.) gli stessi sono tenuti a rivolgersi al Responsabile per i necessari chiarimenti.

Si invita a restituire con cortese sollecitudine l’allegata copia della presente nota, debitamente sottoscritta in calce per accettazione dell’incarico ed espressa liberatoria di quanto previsto al punto 3 in tema di utilizzo di procedure e programmi non forniti o installati dall’Istituto.

Cordialmente.

IL RESPONSABILE DEL TRATTAMENTO DEI DATIIl Dirigente Amministrativo

Dott./ssa



Allegato 6 INFORMATIVA E CONSENSO INFORMATO UTENTI

Gentile Signora, gentile Signore,

desideriamo informarLa che il D.Lgs. n° 196 del 30 giugno 2003 prevede la tutela delle persone rispetto al trattamento dei dati personali. Tale trattamento pertanto sarà improntato ai principi di correttezza, liceità, trasparenza e tutela della Sua riservatezza e dei Suoi diritti.

Ai sensi dell’articolo 13 della suddetta normativa, Le forniamo le seguenti informazioni:

a) i dati personali e sensibili che La riguardano e da Lei forniti, saranno trattati nel rispetto della normativa sopra richiamata e dagli obblighi di riservatezza ai quali l’Ospedale INRCA è tenuto. In particolare, i dati definiti sensibili, idonei a rivelare lo stato di salute, saranno oggetto di trattamento solo con il consenso scritto dell’interessato.

b) I dati saranno trattati per fini diagnostico-terapeutici (ad es. per la stesura di referti e certificazioni o per l’istituzione della cartella clinica e/o della scheda infermieristica,contenente dati di carattere anagrafico, amministrativo, sanitario) ed amministrativi (ad es. per la redazione di documenti obbligatori ai fini fiscali come le fatture o ricevute fiscali, per la gestione dei reclami, per l’identificazione del paziente). Inoltre potranno essere trattati in forma anonima sia per indagini epidemiologiche che per fini di ricerca scientifica o per sondaggi inerenti la qualità delle prestazioni erogate.

c) I dati sono trattati con strumenti sia cartacei che informatici, nel rispetto dei principi e delle regole concernenti le misure minime di sicurezza per evitare rischi di perdita, distruzione o accesso non autorizzato. Tutte le operazioni riguardanti i dati personali sono eseguite da soggetti appositamente incaricati, che trattano i dati in modo da garantire la loro sicurezza e riservatezza. Il trattamento dei dati è effettuato dall’Istituto nella propria sede, ovvero in sedi esterne comunque controllate, tramite il personale sanitario e amministrativo dipendente, nonché da personale consulente o convenzionato.

d) Il consenso al trattamento dei dati è facoltativo ma, in sua assenza, non sarà possibile effettuare le prestazioni richieste e/o necessarie per la tutela della salute della persona assistita, con l’eccezione dei trattamenti urgenti e di quelli disposti dalla Legge o dall’Autorità Pubblica.

e) Il consenso viene acquisito una sola volta in occasione di prestazioni ambulatoriali o di ricoveri, ed ha valore senza limiti di tempo e spazio in conformità all’art. 79 del Codice in materia di protezione dei dati personali che prevede per gli organismi sanitari la possibilità di avvalersi della forma semplificata.

f) I dati anagrafici, anamnestici e clinici di ogni soggetto sono resi disponibili al personale sanitario, nelle diverse unità operative dell’Istituto, per le attività di diagnosi, cura e riabilitazione e possono essere comunicati, per quanto di specifica competenza ed in base alle norme vigenti, agli enti pubblici aventi diritto e, dietro apposita richiesta, all’autorità giudiziaria.


INRCA IRCCSPresidio Ospedaliero e di Ricerca di…………

U.O. ………………………..Informativa sul Trattamento dei Dati PersonaliDecreto Legislativo N°196 del 30 giugno 2003

g) Ogni assistito è titolare dei diritti di cui all’art.7 del Codice della Privacy, per cui , previa richiesta tramite lettera raccomandata, telefax o posta elettronica, al Responsabile del Trattamento o rivolgendosi all’URP può:

conoscere mediante accesso gratuito l’origine dei dati personali, le finalità e le modalità di trattamento, gli estremi identificativi dei soggetti che li trattano;

ottenere l’aggiornamento, la rettifica ovvero l’integrazione dei dati che lo riguardano, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;

opporsi in tutto o in parte, per motivi legittimi, al trattamento dei dati che lo riguardano, ancorché pertinenti allo scopo della raccolta.

Integrazione per eventuali specificità dei singoli presidi INRCA ……………………………………………

Il Titolare del trattamento è INRCA, con sede legale ad Ancona - Via S. Margherita 5.Responsabili del trattamento sono: il Direttore Medico di Presidio, il Direttore Amministrativo di Presidio, i Responsabili delle Unità Operative.


CONSENSO AL TRATTAMENTO DEI DATI PERSONALI –ART.23 D.L.VO 196/03 –

Io sottoscritto/a Cognome_________________________Nome_________________________________

Nato a ____________________________il____________________________________Codice fiscale

Ricevuta l’informativa ai sensi dell’art.13 d.l.vo 196/03, preso atto dei diritti a me riconosciuti dall’Art.7 del suddetto decreto, consapevole che i trattamenti riguarderanno anche dati sensibili idonei a rivelare lo stato di salute, e che il consenso sarà considerato valido per ogni ulteriore accesso sino ad eventuale revoca o rettifica da parte mia,

□ do il consenso □ nego il consenso al trattamento dei miei dati personali

□ autorizzo □ non autorizzo, che siano date informazioni circa il proprio stato di salute al medico curante.

COMUNICAZIONE DEI DATI PERSONALI E SENSIBILI

Acconsento a che sia data comunicazione in ordine alla mia presenza in ospedale e al mio stato di salute alle persone sotto indicate (indicare non più di due soggetti):

coniuge __________________________convivente________________________

figli______________________________fratelli____________________________

altro___________________

___________________________Firma dell’interessato

Data___________________________ALTRE SITUAZIONI DI CONSENSO:(Condizioni psicofisiche inadeguate alla concessione del consenso, genitori di minori, tutori)

Ai sensi dell'art 82 del D.Lgs.196/2003, il sottoscritto ______________________________ in qualità di (grado di parentela o di rapporto) _____________________________________ dichiara di aver preso visione dell'informativa stessa e presta quindi il consenso al trattamento datidell'interessato. ___________________________________

Firma del dichiarante per consensoDatadocumento d'identita' ________________________________________________________________


INRCAPresidio/ Centro

U.O.

Allegato 7 INFORMATIVA E CONSENSO INFORMATO REFERTI ON LINE

L’INRCA offre il servizio gratuito di consultazione via web dei referti, nel pieno rispetto del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003).

Il cittadino potrà scegliere se ritirare il referto presso gli abituali sportelli o per via telematica. Qualora l’utente scelga di scaricare il referto on-line può evitare di recarsi allo sportello per il ritiro del documento in forma cartacea.

ACCESSO AL SISTEMAIl servizio viene raggiunto attraverso la Home Page del sito istituzionale dell’INRCA http://www.inrca.it , mediante apposito collegamento dedicato “Referti On-Line” L’utente che si reca agli sportelli dell’ U.O. …………………………………………dell’INRCA, può farne richiesta al momento dell’accettazione amministrativa e gli verrà consegnato, il modulo per la registrazione al servizio e le credenziali di accesso al sito web.

Successivamente alla fase di autenticazione, sarà possibile visualizzare il referto in formato pdf, stamparlo direttamente oppure archiviarlo sul proprio PC. Il referto così ottenuto è conforme all’originale e può essere utilizzato per gli usi consentiti .

Il referto on line è disponibile a partire dalla data prevista di consegna per 45 giorni ed è visibile a seguito del pagamento del ticket corrispondente o immediatamente nel caso in cui il cittadino sia esente. Tale servizio non sostituisce la normale procedura di consegna del referto in originale, che può essere ritirato presso l’apposito Ufficio. Riservatezza dei datiAllo scopo di garantire la riservatezza dei dati, il collegamento al servizio da parte dei cittadini avviene attraverso un protocollo sicuro (http – ssl). Per garantire la protezione dei dati in transito tra l’INRCA e l’utente, la procedura web utilizza un certificato digitale rilasciato da un’ Autorità di certificazione riconosciuta a livello internazionale. Si declina ogni responsabilità in relazione alla non corretta conservazione delle credenziali di accesso e dei dati salvati dall’utente sul proprio personal computer a altri supporti.L’utente ha facoltà di sottrarre la visibilità in modalità on-line o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i suoi referti. La richiesta di oscuramento deve essere rivolta all’URP, che provvederà ad inoltrarla al responsabile del trattamento dei suoi dati personali. In caso di furto e/o smarrimento delle credenziali si consiglia di darne comunicazione all’INRCA via posta elettronica all’indirizzo __________________ e si provvederà tempestivamente alla loro disattivazione. Continuità del servizioL’INRCA si riserva il diritto di interrompere il servizio temporaneamente in caso di attività di manutenzione e aggiornamenti del sistema volti ad aumentare la sicurezza.

Il Titolare del trattamento è INRCA, con sede legale ad Ancona - Via S. Margherita 5.Il Responsabile del trattamento è il Direttore dell’U.O…………………..


INRCA IRCCSPresidio Ospedaliero e di Ricerca di………………

U.O………………………………Informativa sul Trattamento dei Dati PersonaliDecreto Legislativo N°196 del 30 giugno 2003

SERVIZIO DI REFERTAZIONE ON - LINE

http://www.inrca.it/

Modulo di consenso e richiesta per l’accesso al sistema di consultazione referti tramite WEB

Io sottoscritto /a …………………………………………………………………….……….

Nato/ a …………………………………………………………………………….…………

Il …………………………………………………………………………………………….

Codice fiscale

Ai sensi del D.Lgs. n. 196/2003, dichiaro di aver preso visione dell’informativa e manifesto il consenso al trattamento dei dati personali, anche inerenti lo stato di salute, attraverso la modalità di refertazione on-line, utilizzando il protocollo SSL per la trasmissione sicura dei dati.

Chiedo di essere abilitato al servizio gratuito di consultazione estrazione e stampa dei referti di laboratorio tramite il sito web dell’INRCA ( …………………………………) e di ricevere una username ed una password per accedere al sistema.

Mi impegno inoltre ad utilizzare per l’accesso al servizio unicamente la username e la password che mi verranno assegnate.

DataFirma …...

NB: per usufruire del servizio il presente modulo deve essere riconsegnato debitamente compilato agli sportelli di accettazione del Laboratorio Analisi.

I referti resteranno a disposizione nella casella Internet per 45 giorni a partire dalla data prevista per la consegna..


PRIVACY- ALLEGATO 8 INFORMATIVA E CONSENSO DIPENDENTI

Informativa ai Dipendentiai sensi dell’art. 13del d.lgs. 196/2003 (Codice Privacy)

L’ INRCA in qualità di titolare del trattamento dei dati personali, la informa che I suoi dati personali sono trattati per finalità strettamente correlate alla gestione del rapporto di lavoro con la struttura.In particolare gli scopi del trattamento riguardano:1) lo stato giuridico ed economico del personale;2) l’adempimento di obblighi fiscali, previdenziali e assistenziali;3) la gestione del personale, la valutazione da parte dei dirigenti e le eventuali procedure selettive per la progressione orizzontale;4) gli adempimenti connessi all’eventuale iscrizione ad un sindacato e all’esercizio dei diritti sindacali;5) l’applicazione della normativa specifica in materia di igiene e sicurezza nei luoghi di lavoro (in particolare obblighi di sorveglianza medica, ai sensi del d.lgs. 81/2008);6) gli adempimenti connessi alla stipulazione di forme assicurative obbligatorie e volontarie;7) la difesa di un interesse in sede amministrativa e giudiziaria;8) l’eventuale esercizio dell’attività disciplinare.I dati sono raccolti all’atto dell’assunzione e nel corso dell’esecuzione del rapporto di lavoro e possono riguardare anche il coniuge, i figli e altri familiari o congiunti, in relazione al pagamento di indennità speciali, assegni familiari e altri contributi speciali previsti da legge o regolamento.

La informiamo che, se necessario, possono essere trattati anche dati sensibili e giudiziari e che i dati personali sono raccolti e trattati con mezzi automatizzati e in forma cartacea, e con modalità strettamente connesse alle finalità descritte.I dati di natura comune (diversi da quelli sensibili o giudiziari) possono essere comunicati solo ove vi sia una previsione di legge o di regolamento, o, nel caso in cui i destinatari dell’operazione considerata sono soggetti pubblici, ove ciò sia necessario per l’esercizio di una finalità istituzionale.In particolare le categorie di soggetti destinatari delle operazioni di comunicazione possono essere:1) Enti assistenziali e previdenziali;2) Banche e Istituti bancari;3) Imprese assicurazione;4) Studi professionali e di consulenza;5) Organismi sanitari, personale medico e paramedico;6) Enti territoriali e istituzionali.Il conferimento dei dati è obbligatorio per la esecuzione degli obblighi nascenti dal contratto di lavoro.Il conferimento dei dati relativi ai propri familiari è obbligatorio in relazione a richieste di prestazioni o provvidenze specifiche e un eventuale rifiuto può comportare l’impossibilità di ottenere i provvedimenti o gli atti conseguenti alle istanze presentate.I dati personali non sono diffusi, salvo quelli relativi allo stato giuridico o alle vicende lavorative. È comunque esclusa la diffusione dei dati sensibili sia del dipendente, sia dei familiari o prossimi congiunti, in ottemperanza al divieto previsto dall’art. 22, comma 8 del codice privacy.


La informiamo altresì che, ai sensi dell’art. 4 della legge 300/1970 (cd. Statuto dei Lavoratori), la struttura, per finalità di protezione dei dati e degli apparati di elaborazione, ha provveduto ad installare sistemi di sicurezza, di tipo firewall che prevedono la registrazione di log sul traffico internet e filtrare lo stesso e che possono essere oggetto di manutenzione da parte dell’amministratore di sistema, o di verifica, in caso di segnalazione di condotte illecite o comunque in violazione delle istruzioni impartite ad ogni incaricato del trattamento.

Infine, si rammenta che l’indirizzo e l’account di posta elettronica riferiti al dominio della struttura possono essere utilizzati solo per l’invio o la ricezione di comunicazioni di ufficio e di lavoro, con la conseguenza che il titolare o il responsabile del procedimento, qualora ciò si renda necessario per motivi di servizio, possono conoscere il contenuto delle comunicazioni medesime.

Lei può esercitare, in qualsiasi momento, i diritti previsti dall’art. 7 del Codice in materia di trattamento dei dati personali, presentando apposita istanza al responsabile del trattamento. In particolare, la normativa riconosce ad ogni interessato il diritto di poter accedere alle proprie informazioni e di conoscere le finalità e le modalità del trattamento, nonché la logica del trattamento medesimo, di poter chiedere la cancellazione, il blocco o la trasformazione in forma anonima dei dati trattati in violazione della legge, di opporsi al trattamento per motivi legittimi, di chiedere l’aggiornamento, la rettificazione o, qualora ne abbia interesse, l’integrazione dei dati trattati.

Titolare del trattamentoIl titolare del trattamento è: INRCA con sede in Ancona, via Santa Margherita, 5 – 60100.Il responsabile del trattamento è l’U.O. Amministrazione Risorse Umane.

CONSENSO AL TRATTAMENTO DEI DATI PERSONALI –ART.23 D.L.VO 196/03 –

Io sottoscritto/a Cognome_________________________Nome_________________________________

Nato a ____________________________il____________________________________

Ricevuta l’informativa ai sensi dell’art.13 d.l.vo 196/03, preso atto dei diritti a me riconosciuti dall’Art.7 del suddetto decreto, consapevole che il conferimento è obbligatorio relativamente ai dati necessari per l’esecuzione degli obblighi nascenti dal contratto di lavoro, e che i trattamenti potrebbero riguardare anche dati sensibili e giudiziari,

□ do il consenso □ nego il consenso al trattamento dei miei dati personali il cui conferimento, seppur non obbligatorio, è tuttavia necessario per lo svolgimento dei procedimenti relativi alla fruizione dei diritti previsti da norme e contratti di lavoro.

___________________________Firma dell’interessato

Data___________________________


Allegato 9 MODELLO DI FAX

Transfer of Fax

A: Data:Fax: N. Pagine:

(compresa questa)

AVVISO DI RISERVATEZZA

Questo messaggio fax è ad uso esclusivo di colui al quale è indirizzato, e contiene informazioni riservate.Se aveste ricevuto questo fax per errore, ci scusiamo per l’accaduto e Vi invitiamo cortesemente a darcene notizia e a distruggere il messaggio ricevuto. Su Vostra esplicita richiesta rimborseremo eventuali costi da Voi sostenuti.Vi ricordiamo che la diffusione, l’utilizzo e/o la conservazione dei dati ricevuti per errore costituiscono violazioni alle disposizioni del Decreto legislativo n. 196/2003 denominato “Codice in materia di protezione dei dati personali”.


Allegato 10 INFORMATIVA SULL’UTILIZZO DI SISTEMI DI VIDEOSORVEGLIANZA

TITOLARE: INRCA, Via Santa Margherita,5 Ancona - 60100


Allegato 11 ISTANZA DEGLI INTERESSATI PER L’ESERCIZIO DEI PROPRI DIRITTI IN MATERIA DI DATI PERSONALI

SPETT. LE INRCAvia Santa

Margherita,5 60100 - Ancona

Il sottoscritto _______________________ (cognome e nome)nato a _________________________ il ____________________residente a ________________________ via ____________________________________ n° ____tel. n° _____________________ (prefisso e numero)doc. d’identità _______________________ n° _____________rilasciato in data ____________ da ___________________________________ ,

CHIEDE (barrare le voci he interessano)

ai sensi dell’art. 7 del D.Lgs 30.06.2003 n. 196 “Codice in materia di protezione dei dati personali”

di sapere se esistono suoi dati personali trattati dall’INRCA;

di conoscere l’origine dei dati trattati dall’INRCA;

di conoscere le finalità e modalità di trattamento;

di conoscere la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici

di conoscere il nominativo del responsabile del trattamento dei dati anche se esterno;

di conoscere i soggetti o le categorie di soggetti, cui la Struttura può trasmettere i dati o che possono comunque venirne a conoscenza;

CHIEDE INOLTRE

la cancellazione dei propri dati, qualora siano trattati in violazione di legge;

la trasformazione in forma anonima dei propri dati, qualora siano trattati in violazione di legge;

il blocco dei propri dati, qualora siano trattati in violazione di legge;

SI OPPONE

al trattamento dei propri dati per i seguenti motivi

______________________________________________________________________________

______________________________________________________________________________

Data ________________, li _________________________

Firma: ______________________________________

Indirizzo al quale inviare la risposta _________________________________


regolamento - inrca · web viewai sensi del d.lgs. n. 196/2003, dichiaro di aver preso visione...

Documents