Il Centro di Riferimento Oncologico è un Istituto di Ricovero e Cura a Carattere Scientifico (IRCCS) che offre ai suoi pazienti un percorso di eccellenza nella prevenzione, diagnosi, cura e riabilitazione delle malattie oncologiche a cui si aggiungono numerose attività di ricerca clinica, preclinica, traslazionale e attività di formazione specialistica di alto livello.
Per svolgere tutte queste attività e, in particolare, quelle legate alla cura e alla ricerca, il Centro di Riferimento Oncologico necessita di trattare, in conformità alle indicazioni delle norme vigenti, i dati personali dei suoi pazienti.
Il Centro di Riferimento Oncologico, da sempre attento ad assicurare la protezione dei dati personali dei pazienti, anche in ragione della loro delicatezza e importanza, ha realizzato – e si impegna per tenere costantemente aggiornato – il proprio sistema di protezione dei dati personali seguendo i criteri della privacy by design e della privacy by default, adottando, fin dalla fase di progettazione di un nuovo servizio, misure organizzative e tecniche adeguate a garantire la sicurezza del trattamento dei dati per prevenire possibili violazioni o incidenti di sicurezza.
La normativa di riferimento
Le norme che regolano, a partire dal 19 settembre 2018, il trattamento dei dati personali sono il Regolamento Europeo 2016/679 (di seguito GDPR), e il Decreto Legislativo 196 del 2003, più conosciuto come "Codice Privacy".
L’entrata in vigore delle nuove norme è stata considerata dal Centro di Riferimento Oncologico un’occasione e un’opportunità per operare una profonda riforma del sistema interno di protezione dei dati personali e implementare, previa analisi dei rischi presentati dalle operazioni di trattamento seguendo l’approccio risk-based delineato dal GDPR, le misure di sicurezza tecniche e organizzative e le policy di protezione dei dati personali.
L'Autorità Garante per la Protezione dei Dati Personali è un’autorità amministrativa indipendente istituita dalla legge n. 675 del 31 dicembre 1996, il cui compito è quello di assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.
Il GDPR dedica specifiche regole alle Autorità di controllo rafforzando i requisiti di indipendenza e conferendogli poteri più incisivi rispetto alle precedenti legislazioni nazionali per assicurare una migliore tutela dell’Interessato.
L’Autorità è dotata di poteri ispettivi che può utilizzare per ottenere informazioni sull’organizzazione interna dei Titolari e dei Responsabili del trattamento in modo da verificare che questi aspetti siano progettati e gestiti secondo le norme di legge.
A questi poteri si affiancano quelli correttivi, con i quali l’Autorità può invitare il Titolare a eliminare le irregolarità presenti nelle misure tecniche e organizzative o, nei casi più gravi, comminare sanzioni amministrative.
L’Autorità svolge inoltre una funzione di tutela diretta del cittadino: se l’interessato ritiene che il Titolare o il Responsabile del trattamento abbiano violato il suo diritto alla protezione dei dati personali, può presentare ricorso così da ottenere l’eliminazione della violazione.
Il Titolare del trattamento dati
Il Titolare del trattamento dei dati personali è il Centro di Riferimento Oncologico di Aviano - IRCCS, in persona del Direttore Generale, con sede legale in 33081, Aviano, Via Franco Gallini 2, centralino tel. 0434 659111, pec: protocollo@pec.cro.it.
In base al regolamento di Istituto per la protezione dei dati personali è stato individuato un Referente Aziendale Privacy contattabile ai numeri di telefono 0434 659217 e 0434 659117 oppure all'indirizzo di posta elettronica privacy@cro.it.
Il Responsabile della Protezione dei Dati (RPD) - Data Protection Officer (DPO)
Il Data Protection Officer è il punto di contatto fra l'Istituto e l’Interessato ed è per questo motivo che è stato creato un canale diretto di comunicazione (la casella di posta elettronica dpo@cro.it) utilizzabile per richiedere chiarimenti relativi al sistema di protezione dei dati personali, avanzare specifiche richieste, trasmettere segnalazioni qualora si ritenga che i propri dati vengano trattati in modo illecito, oltre a esercitare i diritti garantiti dalla normativa.
I principi del trattamento
Quando il Titolare tratta i dati personali degli Interessati deve seguire dei principi guida dettati dal Regolamento Europeo 2016/679 (GDPR) per garantire la tutela dei loro diritti, delle loro libertà e della loro dignità.
Liceità del trattamento
I dati personali sono trattati dal Titolare quando sussiste una base giuridica che ne legittimi il trattamento. Ci sono diversi tipi di basi giuridiche come, ad esempio, la necessità di stipulare un contratto, un obbligo di legge o il consenso dell’Interessato stesso.
Quando il consenso è previsto dalla normativa vigente come condizione di legittimità del trattamento deve essere esplicito, preventivo e inequivocabile anche nel caso in cui sia espresso attraverso mezzi elettronici, ad esempio, selezionando un’apposita casella in un sito web.
L’Interessato potrà esprimere liberamente il proprio consenso solo nel momento in cui viene informato sul perché e sul come il Titolare tratta i dati personali.
Il Titolare dovrà quindi predisporre specifiche modalità organizzative per informare l’Interessato sulle caratteristiche del trattamento e in particolare su quale sia la sua finalità, con quali modalità verranno trattati i dati, per quanto tempo verranno conservati e a chi verranno comunicati o diffusi.
Il consenso dovrà essere esplicito ed è esclusa ogni forma di consenso tacito; pertanto il silenzio non equivale al consenso e non è legittima l’acquisizione che prescinda da una libera scelta del soggetto, come nel caso si dia per acquisito il consenso con la sottoscrizione di moduli con opzioni precompilate.
In situazioni di urgenza o impossibilità nelle quali siano a rischio gli interessi vitali dell’Interessato o quelli di un’altra persona, è frequente che non possa essere espresso un valido consenso: data l’importanza dei diritti e degli interessi in gioco, i dati necessari alla gestione della situazione critica saranno trattati anche in assenza del consenso.
Il consenso è una base giuridica "temporanea", nel senso che potrà in qualsiasi momento essere revocato senza comunque rendere illecito il trattamento dei dati svolto dal Titolare fino al momento della revoca.
Se il consenso è l’unica base giuridica legittimante, i trattamenti posti in essere dopo la revoca saranno illeciti.
Minimizzazione dei dati trattati
Il principio di minimizzazione comporta che il Titolare debba perseguire la propria finalità trattando il numero minore di dati possibile. Il Titolare tratta i dati personali degli Interessati per realizzare una specifica finalità. Secondo il principio della limitazione del trattamento possono essere trattati solo i dati che siano adeguati e pertinenti alla realizzazione della finalità perseguita dal Titolare.
L’applicazione del principio di minimizzazione ha come ulteriore conseguenza quella della limitazione della conservazione. Una volta che il Titolare ha raggiunto la finalità perseguita, i dati dell’Interessato non saranno più necessari e quindi la loro conservazione sarebbe illegittima.
Vi possono comunque essere esigenze contingenti o addirittura obblighi di legge che impongano la conservazione, nel qual caso il raggiungimento della finalità non fa venire meno la possibilità di conservare i dati personali.
I diritti dell’interessato
Un importante diritto dell’Interessato è quello di essere informato dal Titolare con apposite informative chiare, comprensibili e facilmente accessibili.
La corretta e completa informazione è infatti condizione necessaria affinché l’Interessato possa esprimere un valido consenso, controllare che i dati siano utilizzati per la finalità dichiarata dal Titolare nel rispetto del principio di minimizzazione ed essere messo a conoscenza delle modalità di esercizio dei propri diritti.
Il GDPR prevede inoltre una serie di diritti di cui gode l’interessato che possono essere esercitati, qualora consentito dalla normativa vigente, attraverso i canali dedicati appositamente predisposti da ogni Titolare:
- diritto di accesso: è il diritto di sapere se un certo Titolare sta trattando i suoi dati, ottenere l’accesso e ricevere una copia degli stessi;
- diritto alla rettifica: permettere di comunicare al Titolare che i dati personali trattati sono inesatti e quindi ottenerne la correzione;
- diritto alla cancellazione: è possibile chiedere al Titolare di cancellare i dati oggetto di trattamento che riguardano il richiedente. La cancellazione deve essere eseguita tempestivamente. In alcuni casi cancellazione è invece esclusa;
- diritto alla limitazione: è il diritto di impedire al Titolare di effettuare una o più operazioni di trattamento con i dati personali del richiedente e può essere esercitato solo a certe condizioni;
- diritto alla portabilità: è il diritto di ricevere in formato digitale facilmente leggibile i dati personali forniti a un Titolare per ottenere un certo servizio in modo da poterli trasferire a un altro Titolare. Questo diritto è esercitabile se il trattamento si basa sul consenso oppure sull’esecuzione di un contratto ma non se, ad esempio, il Titolare è obbligato dalla legge a trattare i dati personali;
- diritto di opposizione: è il diritto di opporsi a un trattamento svolto dal Titolare. Questo diritto può essere esercitato qualora il trattamento venga eseguito per perseguire un legittimo interesse del Titolare o un compito di interesse pubblico. Nel momento in cui il diritto viene esercitato il Titolare deve interrompere il trattamento dei dati, salvo non sussista un legittimo e motivato interesse o il trattamento sia necessario all’esercizio dei propri diritti di difesa in giudizio.
L’interessato può quindi rivolgersi al Titolare del trattamento per:
- presentare una richiesta formale di esercizio dei diritti sopra elencati;
- presentare richieste di informazioni e/o chiarimenti circa il trattamento dei propri dati personali da parte del Titolare del trattamento;
- segnalare presunti inadempimenti e violazioni circa il trattamento dei propri dati personali.
Modalità: inviare una mail all’indirizzo privacy@cro.it.
Qualora l’interessato non disponesse di un indirizzo di posta elettronica, le richieste potranno essere inviate a mezzo posta ordinaria al seguente indirizzo: Centro di Riferimento Oncologico di Aviano IRCCS, via Franco Gallini 2, 33081 Aviano (PN).
Al fine di poter reperire velocemente eventuali informazioni mancanti e riscontrare quanto prima l’istanza, l’interessato è invitato a indicare:
- un recapito telefonico;
- un indirizzo di residenza;
- un indirizzo di posta elettronica ordinaria o certificata.
Le richieste devono essere necessariamente corredate da una copia del documento di identità.
Informative e modelli
Erogazione e gestione delle prestazioni sanitarie. Informazioni sul trattamento dei dati personali
Dossier Sanitario Elettronico del Centro di Riferimento Oncologico (DSE CRO)
Fascicolo Sanitario Elettronico della Regione Autonoma Friuli Venezia Giulia (FSE FVG)
Il Fascicolo Sanitario Elettronico (di seguito anche "FSE") è un insieme di dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici, che la riguardano, riferiti a prestazioni erogate dal Servizio Sanitario Nazionale (SSN) e da strutture sanitarie private.
Le attuali funzionalità del Fascicolo Sanitario Elettronico nella Regione Friuli Venezia Giulia sono riportate nell'informativa al trattamento dei dati personali FSE FVG che si rende qui disponibile.
Per opportuna conoscenza, si rende disponibile anche il modello di informativa nazionale, condiviso dal Garante per la Protezione dei Dati Personali, che fa riferimento a quella che sarà la struttura informativo-informatica definitiva del FSE 2.0 ai sensi del citato DM 7 settembre 2023.
Richiesta di oscuramento/de-oscuramento di eventi clinici e/o documenti sanitari
A tutela della riservatezza dell’interessato che abbia manifestato il proprio consenso in merito al trattamento dei dati personali mediante Dossier Sanitario Elettronico e Fascicolo Sanitario Elettronico, è prevista la possibilità di oscurare taluni dati o documenti sanitari consultabili tramite questi strumenti.
L’oscuramento viene effettuato con modalità tecniche tali da garantire che i soggetti abilitati alla consultazione del Dossier Sanitario Elettronico o del Fascicolo Sanitario Elettronico non possono visualizzare né venire a conoscenza del fatto che l’interessato ha effettuato tale scelta (cd. oscuramento dell’oscuramento).
I documenti oscurati rimangono, comunque, disponibili per il professionista sanitario o per la struttura interna al titolare che li ha raccolti o elaborati e vanno, in ogni caso, conservati dal Titolare del trattamento in conformità a quanto previsto dalla normativa di settore.
L’interessato può anche decidere, successivamente, di de-oscurare e, quindi, di rendere nuovamente visibili gli eventi clinici e/o i documenti sanitari in precedenza oscurati.
La richiesta va formulata utilizzando il modulo sottostante e va inviata, unitamente alla copia di un documento di identità in corso di validità, all'indirizzo di posta elettronica privacy@cro.it oppure tramite pec all’indirizzo protocollo@pec.cro.it.
Videosorveglianza
Fornitori
Utilizzo e pubblicazione di fotografie e video