Dal 25 maggio 2018 è direttamente applicabile in ciascuno degli stati membri dell’Unione Europea il Regolamento (UE) 2016/679 “Regolamento Generale sulla Protezione dei Dati” (anche detto GDPR). Il Regolamento dichiara che "la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale", così che impone a tutte le organizzazioni pubbliche e private un radicale cambio di impostazione delle strategie di protezione del dato personale, incentrato sul principio di “responsabilizzazione” (c.d. accountability) del Titolare del trattamento.
Così anche l’Azienda Ospedaliero Universitaria Meyer, che crede fortemente nei valori a tutela dei diritti e delle libertà fondamentali, è da tempo attiva nell’adozione delle necessarie misure tecniche ed organizzative al fine di garantire un adeguato livello di sicurezza dei trattamenti effettuati sia nei confronti degli utenti e pazienti che accedono alle strutture aziendali, sia degli operatori che vi lavorano.
In questa sezione, suddivisi per aree tematiche, verranno via via pubblicate tutte le informazioni, i provvedimenti e gli atti aziendali adottati nel rispetto della normativa privacy allo scopo di attuare nel concreto le disposizioni di legge.

Titolare del trattamento e Responsabile della protezione dei dati (DPO)

Il Titolare del trattamento dei dati è:

Azienda Ospedaliero Universitaria Meyer
Viale Gaetano Pieraccini, 24 50139 Firenze
C.F./P.I. 02175680483 - PEC - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

L’Azienda Meyer ha designato il Responsabile della protezione dei dati (DPO), soggetto che riferisce direttamente al Titolare, in posizione di indipendenza e autonomia, coinvolto in tutte le questioni che riguardano la protezione dei dati personali, a garanzia di qualità del risultato del processo di adeguamento in atto, figura altamente specializzata e punto di contatto per l’Autorità Garante e i privati, con compiti di consulenza e garanzia.

Il Responsabile della Protezione dei Dati Personali è il Consorzio Metis.
Per lo svolgimento della funzione il Consorzio Metis ha nominato con incarico professionale il Dott. Luigi Rufo.

Azienda Ospedaliero Universitaria Meyer
Viale Gaetano Pieraccini, 24 50139 Firenze
Mail – Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
PEC - Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

L’Azienda si è altresì dotata di un'organizzazione interna avvalendosi di un “ufficio privacy”, il cui Referente aziendale funge da raccordo tra le varie strutture aziendali in tema di privacy.

Per informazioni:
Dott. Alberto Ferraioli – Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Dott. Bruno Manno – Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
L’Autorità nazionale di Controllo è il Garante per la protezione di dati personali, con sede a Roma in Piazza Venezia n. 11 - 00187 Roma.

Allegati:

01_Delibera di Nomina Responsabile Privacy

La privacy aziendale

L'Azienda Meyer, in quanto Titolare di trattamento, attua le proprie politiche per la protezione dei dati personali, coerentemente alle nuove disposizioni europee e nazionali sui principi di seguito riportati;

Principio dell’Accountability - Responsabilità verificabile
Tutti i soggetti che effettuano trattamenti dei dati devono conservare la documentazione di tutti i trattamenti effettuati. Tale obbligo è sanzionato a prescindere dall’utilizzo che si fa dei dati, in quanto per l’applicazione della sanzione è sufficiente non documentare i trattamenti.

Principio del by design
La protezione dei dati personali è parte integrante della progettazione dei processi aziendali e dei supporti informatici utilizzati.

Principio privacy by default
Il trattamento dei dati personali avviene unicamente nella misura necessaria per realizzare le finalità del trattamento e per il periodo strettamente necessario a tale finalità.

Valutazione di impatto
Il trattamento che presenta un rischio elevato per i diritti e le libertà delle persone richiede una valutazione preventiva dell'impatto sulla protezione dei dati personali connessi.

Allegati:

01_Regolamento aziendale Privacy
02_Linee operative Registro attività di trattamento
03_Clausala per modulistica aziendale
04_Testo per bandi, avvisi, selezioni

Informative e consensi privacy

Diversamente dal passato, il trattamento dei dati necessari per l'erogazione di una prestazione sanitaria richiesta dall'interessato (per finalità di diagnosi e cura) effettuati da un professionista sanitario soggetto al segreto professionale o da altra persona soggetta all'obbligo di segretezza, non richiedono più il consenso del paziente.
Resta tuttavia l'obbligo di raccogliere il consenso per quei trattamenti che, pur essendo attinenti alla diagnosi e alla cura, non sono strettamente necessari, anche se son effettuati da professionisti sanitari. Per maggior informazioni sulla distinta base giuridica e conseguente applicazione di altro presupposto di liceità si rimanda al Provvedimento del Garante privacy del 7 marzo del 2019. (Leggi qui)
Coerentemente con gli articoli 13 e 14 della normativa europea e nazionale, le informazioni fornite agli interessati sono costantemente aggiornate e integrate dal Titolare di trattamento.

Allegati:

01_Informativa privacy Generale
02_Informativa Privacy URP
03_Informativa privacy dipendenti
04_Informativa privacy fornitori e professionisti esterni
05_Informativa privacy gestione contenzioso

Aggiornamento gestione dati per Emergenza Covid-19:

01_Informativa privacy accesso ai locali aziendali
02_Informativa privacy televisita

Studi clinici - trasparenza

L’Azienda Ospedaliera Universitaria Meyer IRCCS, in conformità agli artt. 12 e ss. del GDPR, rende visionabile e scaricabile la relativa documentazione sul trattamento dei dati nella ricerca scientifica compiuta dai suoi Principal Investigator. L’obiettivo è garantire la massima trasparenza delle informazioni, comunicazioni e modalità per l’esercizio dei diritti dell’interessato.

Allegati:

Elenco Studi clinici con informativa ed eventuale link DPIA

Soggetti attivi del trattamento

L’Azienda Meyer ha al proprio interno provveduto ad adottare una serie di atti di designazione del proprio personale interno e di tutti i soggetti esterni.
In particolare, alla luce della normativa europea (Reg. UE 2016/679), ha internamento previsto apposite nomine e istruzioni operativi suddividendo il personale in:
- Referenti interni: i soggetti apicali di ogni singola unità operativa.
- Soggetti autorizzati al trattamento: gli operatori operanti presso le strutture operative e contrattualizzati dall’Azienda Meyer.

Per i soggetti esterni è stato elaborato a livello regionale un apposito schema di designazione che va utilizzato nei casi in cui soggetti pubblici o privati (Enti/Società/Ditte), in virtù di rapporti contrattuali o convenzionali, siano chiamati a svolgere, per conto dell’Azienda Meyer, attività di trattamento di dati personali.
Appositi elenchi e informazioni possono essere richiesti al Titolare del Trattamento.

Allegati:

01_Atto di nomina a Responsabile del trattamento art 28 GDPR
02_Elenco delegati (Preposti privacy)
03_Istruzioni per Referente privacy
04_Nomina soggetto autorizzato
05_Istruzioni per soggetto autorizzato al trattamento
06_Addendum per smart working soggetti autorizzati

Data Breach (violazione dei dati personali)

Le eventuali violazioni dei dati devono essere tempestivamente individuate e comunicate, a seconda dei casi, alla autorità di controllo e ai singoli interessati.
In conformità agli artt. 33 e 34 del Regolamento UE 2016/679, l'Azienda Meyer ha adottato una sua apposita procedura per la gestione di violazione dei dati personali.

Allegati:

01_Linee guida gestione Data Breach
02_Scheda evento
03_Bozza registro annotazione Data Breach

Per maggior approfondimento in caso di notificazione all’Autorità Garante si rimanda al sito.

Diritti degli interessati

Nella presente sezione gli interessati possono leggere le linee guida su come poter gestire le proprie istanze ai sensi degli art. 15-22 del Regolamento UE 679 del 2016.
Per maggior approfondimento si rimanda al sito del Garante.

Allegati:

01_Linee guida Diritti Interessati
02_Modulo esercizi dei diritti

Videosorveglianza

Nella presente sezione gli interessati possono consultare la documentazione aziendale in merito all’installazione dell’impianto di videosorveglianza in uso presso l’Azienda Meyer.

Allegati:

01_Linee guida gestione ed uso impianti Videosorveglianza
02_Informativa estesa videosorveglianza
03_Infomativa breve videosorveglianza

Privacy Sito internet Meyer

Nella presente sezione gli utenti che consultano il sito web dell’Azienda Meyer possono trovare informazioni sul trattamento dei dati personali.

Allegati:

01_Policy privacy sito
02_Policy cookies
03_Note legali