Informativa sul trattamento dei dati personali
Aggiornamento del 18.05.2022
3D PADOVA S.r.l. (di seguito il “Titolare”) con sede in Viale del Lavoro 36 a Ponte San Nicolò (PD) nella persona del legale rappresentante pro-tempore, in qualità di Titolare del trattamento dei dati personali ai sensi e per gli effetti del Regolamento (UE) 2016/679 (di seguito “Regolamento” oppure “GDPR”), in accordo alle disposizioni della normativa vigente, artt. 13 e 14 del GDPR, fornisce ai soggetti interessati le informazioni sul trattamento dei loro dati personali.
Categorie dei soggetti interessati e dei dati trattati – finalità e base giuridica del trattamento
Clienti (alias “pazienti”) e genitori/tutori o familiari dei clienti minori di anni 16, che si rivolgono al Titolare per esami diagnostici mediante radiologia per immagini, ovvero radiografie dell’apparato dentale (di seguito “immagini PACS”) che sono tra i dati biometrici caratteristici della persona e possono rivelare lo stato di salute dell’interessato.
Dei soggetti interessati trattiamo le seguenti categorie di dati personali, per le finalità indicate e nel rispetto della base giuridica applicabile:
Per la gestione degli appuntamenti e del rapporto con i clienti usiamo solo i dati personali di contatto (nome e cognome, indirizzi e-mail, numeri di telefono), per la gestione dei pagamenti usiamo i dati anagrafici insieme con i dati bancari dell’interessato in caso di bonifico o pagamento elettronico, in tali casi la base giuridica è rappresentata dagli accordi contrattuali o dall’esecuzione di misure precontrattuali ai sensi di art. 6 par. 1 lett. b) del GDPR;
Per il trattamento dei dati biometrici e dati sanitari o stato di salute dell’interessato, ai sensi di artt. 7 e 9 del GDPR la base giuridica è il consenso libero, informato, specifico, dell’interessato;
Per l’emissione e la conservazione dei documenti fiscali o richiesti ai sensi di legge, usiamo i dati anagrafici e fiscali del soggetto interessato, la cui base giuridica ai sensi di art. 6 par. 1 lett. c) del GDPR sono gli adempimenti obbligatori del Titolare richiesti da leggi e norme applicabili;
Per la trasmissione a terzi (il medico o il dentista di fiducia dell’interessato segnalato nel modulo di consenso) delle immagini PACS e/o dei referti sanitari con i dati dell’interessato, ai sensi di art. 6 par. 1 lett. a) del GDPR la base giuridica è il consenso libero, informato, specifico, dell’interessato in conformità ai requisiti di artt. 7 e 9 del GDPR;
Per la finalità di conservazione a lungo termine dei referti sanitari e/o delle immagini PACS insieme con i dati comuni dell’interessato presso spazi di archiviazione digitale collocati negli USA quindi al di fuori dall’Unione Europea, nel rispetto dei principi dettati dagli artt. 44 e 49 del GDPR per il trasferimento extra-UE; ai sensi di art. 6 par. 1 lett. a) del GDPR la base giuridica è il consenso libero, informato, specifico, dell’interessato in conformità ai requisiti di artt. 7 e 9 del GDPR;
Per la trasmissione al Servizio Sanitario Nazionale, Sistema Tessera Sanitaria, dei dati personali dell’interessato con finalità di detrazione delle spese mediche previste dalla legge, ai sensi di art. 6 par. 1 lett. a) del GDPR la base giuridica è il consenso libero, informato, specifico, dell’interessato in conformità ai requisiti di artt. 7 e 9 del GDPR (NOTA: in questo caso specifico il soggetto deve comunicare la volontà di non acconsentire alla trasmissione dei suoi dati personali verso il S.S.N.);
I dati personali potrebbero essere trattati anche per tutelare il legittimo interesse del Titolare o di terzi, ad esempio per l’esercizio della difesa in giudizio, in caso di contenzioso o per il recupero del credito, sulla base giuridica dell’art. 6 par. 1 lett. f) del GDPR e sempre comunque nel rispetto degli interessi, dei diritti e delle libertà fondamentali dell’interessato.
Il trattamento dei dati biometrici, sanitari o stato di salute, viene effettuato solo con il consenso del soggetto interessato, oppure del genitore/tutore o familiare accompagnatore se l’interessato è minori di anni 16. Si precisa che il consenso libero, informato, specifico, è la base giuridica necessaria per il trattamento di questi dati: in assenza di consenso il Titolare non può fornire il servizio richiesto.
Il conferimento dei dati per l’adempimento di obblighi legislativi o contrattuali è necessario: l’eventuale comunicazione parziale o errata dei dati richiesti, può impedire al Titolare di garantire la congruità del trattamento stesso e la corretta erogazione dei servizi all’interessato.
Il conferimento dei dati per i trattamenti non obbligatori (la trasmissione al medico o dentista o la conservazione digitale a lungo termine fuori dall’Unione Europea) è facoltativo ed è basato sul consenso libero, informato, specifico: l’autorizzazione potrà essere revocata in ogni momento rivolgendosi al Titolare ma la revoca non avrà effetto sul trattamento già effettuato.
Modalità di trattamento e di conservazione
I dati saranno trattati unicamente da personale autorizzato e istruito dal Titolare, tenuti in archivi cartacei e digitali, protetti dalle adeguate misure di sicurezza atte a garantire la riservatezza, l’integrità e la disponibilità dei dati. Per le finalità indicate i dati potranno essere comunicati solo a soggetti terzi competenti per l’espletamento dei servizi necessari, sia in qualità di nostri Responsabili per i trattamenti di competenza ai sensi dell’Art. 28 del GDPR oppure anche Titolari autonomi del trattamento: società, consulenti, professionisti, per servizi funzionali alle nostre attività di trattamento; enti privati e/o pubblici la cui comunicazione è dovuta per legge; banche, assicurazioni, società finanziarie e del credito, società di recupero crediti; medico o dentista di fiducia, familiari dell’interessato o altri soggetti indicati dall’interessato. I dati non saranno diffusi in alcun modo.
Nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, il periodo di conservazione dei dati personali è stabilito per i tempi di legge relativi alla conservazione di documenti sanitari, ovvero per la conservazione ai sensi di legge di documenti fiscali e contabili, in ogni caso per un arco di tempo non superiore al conseguimento delle finalità di trattamento. I dati tenuti con il consenso in archivi digitali fuori dallo spazio UE saranno conservati sino alla revoca del consenso da parte dell’interessato, oppure al raggiungimento delle finalità di trattamento del Titolare.
Trasmissione dei dati dell’interessato al S.S.N. – opposizione alla trasmissione
Ai sensi del D.M. 31 luglio 2015 per la detraibilità delle spese sanitarie, in caso di pagamento con mezzo elettronico o tracciabile questi dati sono automaticamente trasmessi al Servizio Sanitario Nazionale – S.S.N.- per la precompilazione della dichiarazione dei redditi. La persona può opporsi al trattamento e chiedere di non comunicare questi dati al S.S.N. – Sistema Tessera Sanitaria (diritti dell’interessato, artt. 15, 18, 21 del GDPR) rifiutando il consenso specifico.
Conservazione dei dati fuori dall’Unione Europea per la condivisione con il Medico/Dentista
Attraverso il proprio sito Internet all’indirizzo https://www.3dradiologiadentale.it il Titolare fornisce il servizio di archiviazione dei referti e delle immagini radiografiche, con lo scopo di condivisione dei dati ovvero di trasmissione diretta ai Medici e Dentisti (“utenti”) che inviano presso 3D Padova Srl i loro pazienti per esami diagnostici; ogni utente è registrato sul sito con proprie credenziali univoche così da poter accedere direttamente in autonomia a referti ed immagini (“dati PACS”) dei propri pazienti appena queste sono disponibili; ogni utente accede solo ai dati dei propri pazienti. Il servizio offre il vantaggio di fornire direttamente i dati PACS al Medico/Dentista e renderli sempre disponibili per il tempo necessario, senza che il Medico/Dentista li debba richiedere ogni volta al paziente.
Attualmente il provider che ospita il servizio con i server di archiviazione dei dati si trovano negli Stati Uniti d’America (“USA”): ai sensi degli artt. 44 e 49 del GDPR, il trasferimento di dati extra-UE può avvenire con il consenso dell’interessato che è stato informato in modo adeguato sul trattamento, sui rischi e sulle misure di sicurezza adottate per garantire la protezione dei dati personali da accessi non autorizzati, perdita, distruzione, alterazione. In conformità al GDPR il Titolare ha designato il provider negli USA quale Responsabile del trattamento mediante accordo specifico (“Data Processing Addendum”) ai sensi di art. 28 del GDPR, con cui il provider fornisce le garanzie di un livello di protezione adeguato rispondente ai requisiti, con particolare riguardo alle misure di sicurezza adottate ai sensi di artt. 6 e 32 del GDPR. Il consenso per questo trattamento è facoltativo e non pregiudica il servizio di esami diagnostici, può essere revocato in ogni momento.
Regolamento (UE) 2016/679 – Articoli da 15 a 22 – Diritti dell’interessato
L’interessato ha diritto di rivolgersi al Titolare del trattamento per ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L’interessato ha il diritto di conoscere l’origine dei dati personali; le finalità e modalità del trattamento; la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; gli estremi identificativi del titolare, dei responsabili e del rappresentante ai sensi dell’art. 5,c. 2; i soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. L’interessato ha il diritto di ottenere l’aggiornamento, la rettifica ovvero, quando vi ha interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato; la portabilità dei dati. L’interessato ha il diritto di opporsi, in tutto o in parte per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. L’interessato ha il diritto di revocare in ogni momento il consenso prestato per eventuali trattamenti facoltativi, ma la revoca non pregiudica in trattamenti già effettuati in precedenza.
Per esercitare i propri diritti, l’interessato deve rivolgersi al Titolare presso i recapiti qui indicati. Il Titolare del trattamento non è tenuto, ai sensi di art. 37 del GDPR, alla nomina del Responsabile delle Protezione dei Dati (RDP / DPO).
L’interessato può anche presentare reclamo, nei modi e nei termini previsti, presso il Garante Privacy: si invita a visitare il sito www.gpdp.it per maggiori dettagli.
Aggiornamento del 18.05.2022