INFORMATIVA AI SENSI DEGLI ARTT. 13 e 14 DEL REGOLAMENTO UE 2016/679
Ai sensi della normativa indicata, il trattamento dei Suoi dati personali sarà improntato ai principi di correttezza, liceità, trasparenza e di tutela della Sua riservatezza e dei Suoi diritti. Pertanto, in attuazione del Regolamento UE 2016/679, è gradito fornirle le seguenti informazioni.
Qualora l’Utente o i Suoi referenti comunicassero a codesto Ente dati personali di terzi (per es. indicando i nominativi e i relativi recapiti di soggetti da contattare in caso di necessità, indicando i riferimenti di chi è autorizzato a conoscere lo stato di salute dell’ospite, …), si assumono la responsabilità sulla correttezza dei dati condivisi e confermano di essere autorizzati a comunicare gli stessi all’Ente. Per il tramite dell’Utente/Referente, codesto Ente informa gli interessati che il trattamento dei sopraindicati dati viene effettuato secondo quanto indicato, limitatamente ai dati condivisi, nella presente informativa reperibile presso gli uffici amministrativi dell’Ente stesso.
Titolare del Trattamento
L’Istituto Assistenza Anziani “Villa Spada” con sede in Caprino Veronese (VR), tel. 0456230288, e-mail info@villaspada.vr.it, PEC villaspada@pec.it nella persona del Suo Legale Rappresentante pro tempore
Responsabile della Protezione dei Dati (DPO)
tel. 0490998416, e-mail dpo@robyone.net, PEC dpo.robyone@ronepec.it
TRATTAMENTO DATI PERSONALI ANAGRAFICI, IDENTIFICATIVI, DI CONTATTO, FISCALI, BANCARI NONCHE’ PARTICOLARI (ART. 9 GDPR)
Informazioni sui dati raccolti
Finalità trattamento
I Dati forniti dall’interessato e/o dal familiare di riferimento, del Tutore, dell’Amministratore di sostegno, verranno utilizzati avendo come fine istituzionale l’erogazione dei servizi di assistenza, cura e riabilitazione per gli ospiti della Struttura.
In particolare, i dati conferiti verranno trattati per:
- La presa in carico della richiesta di ingresso in Struttura finalizzata alla successiva eventuale instaurazione del rapporto tra le parti;
- Finalità amministrativo- contabili legate alla gestione della richiesta presentata;
- Adempimento degli obblighi di legge connessi al rapporto precontrattuale e contrattuale;
- Collaborazioni professionali esterne per l’adempimento degli obblighi di legge;
- Analisi statistiche anonime;
- Difesa di un diritto anche di un terzo in sede giudiziaria o amministrativa per il periodo necessario al perseguimento di tale finalità.
Liceità trattamento
Finalità A, B ed E:
Senza il consenso espresso, quando il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6 lett. b del Regolamento UE 2016/679 – GDPR) nonché per permettere al Titolare di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito (art. 6 lett. e, del GDPR).
Finalità C e D:
Senza il consenso espresso, quando il trattamento è necessario per adempiere ad un obbligo legale al quale è soggetto il Titolare del trattamento (art. 6 lett. c del GDPR).
Finalità F:
Senza il consenso espresso, poiché il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6 par. 1 lett. e del GDPR).
Il trattamento dei Suoi dati particolari, di cui all’art. 9 del GDPR, inerenti alle finalità A, B, C, E, avverrà senza il consenso espresso poiché inerenti alla terapia ed assistenza socio sanitaria dell’ospite ed altresì poiché necessario per motivi di interesse pubblico rilevante (art. 9, par. 2 lett. g– h del Regolamento UE 2016/679 – GDPR).Il trattamento dei Suoi dati particolari, di cui all’art. 9 del GDPR, inerenti alla finalità G avverrà senza il consenso espresso, poiché necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali (art. 9 par. 2 lett. f del GDPR).
Base giuridica del trattamento
Codice Civile Libro V; Legge 8 novembre 2000 n. 328 “Legge quadro per la realizzazione del sistema integrato di interventi e servizi sociali”; D.lgs. 30-12-1992 n. 502 “Riordino della disciplina in materia sanitaria, a norma dell’articolo 1 della L. 23 ottobre 1992, n. 421, art. 8”; DPCM del 12 gennaio 2017 “ Definizione e aggiornamento dei livelli essenziali di assistenza, di cui all’articolo 1, comma 7, del decreto legislativo 30 dicembre 1992, n. 502” ed eventuali aggiornamenti dei LEA/LEPS; Legge 69/2009 “Disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile”; Legge 241/1990 “Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi”; D. Lgs 14 marzo 2013, n. 33 ss.mm. “Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”; Legge 104/1992 “Legge quadro per l’assistenza, l’integrazione sociale e i diritti delle persone handicappate”; Regolamento Europeo 679/2016/679 in materia di protezione dei dati personali e D. lgs 196/2003 e s.m.i.; D. Lgs. 101/2018 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”; Normativa nazionale e regionale di rilevanza per la materia, anche in punto di accreditamento/autorizzazione all’esercizio; Piani nazionali in materia di non autosufficienza/demenza.
Categorie destinatari dei dati
Personale/collaboratori esterni dell’Ente espressamente autorizzato al trattamento dei dati; Assistenti sociali; Enti previdenziali ed assistenziali; Società che gestiscono reti informatiche e telematiche e elaboratori di dati; Società di servizi postali; Comune per esigenze di assistenza sociale ed integrazione rispetto alle prestazioni socio-sanitarie; Regione per finalità di controllo della spesa sanitaria e dell’attività di erogazione delle prestazioni; Enti pubblici collegati all’Ente e/o al servizio cui la domanda di inserimento inerisce.
Si segnala, inoltre, che essendo il Titolare un Ente pubblico lo stesso è tenuto all’adempimento delle disposizioni rilevati in punto di pubblicità legale e trasparenza.
Trasferimento dei dati ad un paese terzo
I dati personali sono conservati su server ubicati all’interno dell’Unione Europea. Resta in ogni caso inteso che il Titolare, ove si rendesse necessario, avrà facoltà di trasferire i dati anche extra UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra UE avverrà in conformità alle disposizioni di legge, previa stipula delle clausole contrattuali standard previste dalla Commissione Europea, se del caso.
Periodo di conservazione dei dati
I dati conferiti in sede di “domanda di ingresso”, saranno conservati fino al perfezionamento della stessa e successivamente inseriti all’interno della cartella dell’ospite. Nel caso di mancato inserimento, i dati verranno conservati per un tempo non superiore ad anni uno dal loro conferimento.
Obbligatorietà fornitura dei dati, motivazione e conseguenze mancata comunicazione
Il conferimento dei dati è obbligatorio per l’adempimento delle misure precontrattuali richieste. In mancanza di comunicazione non sarà possibile procedere all’erogazione del servizio.
Fonte di origine dei dati
Raccolti presso l’interessato, il familiare di riferimento, il Tutore, l’Amministratore di Sostegno; forniti da Enti connessi alla gestione del servizio.
Esistenza di processi decisionali automatizzati
Nessun processo decisionale automatizzato è stato implementato presso l’Ente.
Modalità del trattamento
I dati personali verranno trattati in forma cartacea, informatizzata e telematica ed inseriti nelle pertinenti banche dati. Alle stesse potranno avere accesso i soggetti espressamente designati dall’Ente come autorizzati, delegati o responsabili del trattamento dei dati personali, i quali effettueranno le operazioni ivi inerenti nel rispetto di quanto disposto dal Regolamento e dalla normativa vigente in materia.
Eventuali trattamenti da effettuare in esterno, per attività specifiche non eseguibili all’interno, vengono affidati a soggetti di comprovata affidabilità designati al trattamento esterno con specifica nomina. Per ogni trattamento diverso da quello per il quale i dati sono stati raccolti, il titolare fornisce all’interessato tutte le informazioni necessarie a tale diversa finalità.
Diritti degli Interessati
In qualsiasi momento, l’interessato potrà revocare il consenso, ove previsto (art. 7 par. 3 del GDPR) ed esercitare il diritto di opposizione al trattamento dei dati che lo riguardano (art. 21 del GDPR).
Inoltre, lo stesso potrà avere accesso ai propri dati personali (art. 15 del GDPR), ottenerne la rettifica o la cancellazione, la limitazione del trattamento (art. 16, 17 e 18 del GDPR), la portabilità (art. 20 del GDPR).
Lei potrà esercitare i sopradescritti diritti contattando il Titolare o il Responsabile della Protezione dei Dati.
Potrà, infine, proporre reclamo all’autorità di controllo (Garante Privacy) (artt. 15, par. 1, lett. f , e 77 del GDPR).
PRIVACY NOTICE Pursuant to Articles 13 and 14 of Regulation (EU) 2016/679 (GDPR)
Pursuant to Regulation (EU) 2016/679 (the “GDPR”), the processing of your personal data will be carried out in accordance with the principles of lawfulness, fairness, transparency, and the protection of your privacy and rights. Accordingly, we provide you with the following information.
Should the User or their representatives provide this Institution with personal data relating to third parties (for example, by indicating the names and contact details of persons to be contacted in case of necessity, or the details of persons authorized to receive information regarding a resident’s health condition), they assume responsibility for the accuracy of the shared data and confirm that they are authorized to communicate such data to the Institution. Through the User or representative, the Institution informs the data subjects that the processing of the aforementioned data is carried out in accordance with this Privacy Notice, limited to the data shared. This Privacy Notice is also available at the Institution’s administrative offices.
Data Controller
Istituto Assistenza Anziani “Villa Spada”
Caprino Veronese (VR), Italy
Tel.: +39 045 6230288
Email: info@villaspada.vr.it
Certified Email (PEC): villaspada@pec.it
Represented by its legal representative pro tempore.
Data Protection Officer (DPO)
Tel.: +39 049 0998416
Email: dpo@robyone.net
Certified Email (PEC): dpo.robyone@ronepec.it
Processing of Personal, Identification, Contact, Tax, Banking and Special Category Data (Article 9 GDPR)
Categories of Data Collected
The Institution processes personal data, identification data, contact details, tax information, banking data, and special categories of personal data, including health-related information where necessary.
Purposes of Processing
Personal data provided by the data subject and/or by a family member, legal guardian, or support administrator will be processed for the institutional purpose of providing care, assistance, and rehabilitation services to residents of the facility.
More specifically, the data will be processed for the following purposes:
A. Managing the application for admission to the facility, with a view to the possible establishment of a contractual relationship;
B. Administrative and accounting activities connected with the management of the admission request;
C. Compliance with legal obligations arising from the pre-contractual and contractual relationship;
D. Cooperation with external professionals where necessary to fulfil legal obligations;
E. Anonymous statistical analyses;
F. Establishing, exercising, or defending legal claims before judicial or administrative authorities for the period necessary to pursue such purposes.
Lawfulness of Processing
Purposes A, B and E
Processing is carried out without the need for explicit consent where it is necessary:
- for the performance of a contract or in order to take steps at the request of the data subject prior to entering into a contract (Article 6(1)(b) GDPR); and/or
- for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Data Controller (Article 6(1)(e) GDPR).
Purposes C and D
Processing is carried out without explicit consent where it is necessary for compliance with a legal obligation to which the Data Controller is subject (Article 6(1)(c) GDPR).
Purpose F
Processing is carried out without explicit consent where necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the Data Controller (Article 6(1)(e) GDPR).
Special categories of personal data referred to in Article 9 GDPR, processed for purposes A, B, C and E, are processed without explicit consent because such processing is necessary for the provision of health and social care services and for reasons of substantial public interest (Article 9(2)(g) and (h) GDPR).
Special categories of personal data processed for the purpose of establishing, exercising, or defending legal claims are processed pursuant to Article 9(2)(f) GDPR.
Legal Basis
Processing is carried out in accordance with the applicable provisions of Italian and European legislation, including but not limited to:
- Regulation (EU) 2016/679 (GDPR);
- Italian Legislative Decree No. 196/2003, as amended;
- Italian Legislative Decree No. 101/2018;
- Italian Civil Code;
- Law No. 328/2000;
- Legislative Decree No. 502/1992;
- Prime Ministerial Decree of 12 January 2017 concerning Essential Levels of Care (LEA);
- Law No. 241/1990;
- Legislative Decree No. 33/2013;
- Law No. 104/1992;
- Law No. 69/2009;
- applicable national and regional legislation governing healthcare, social assistance, accreditation, authorization, and non-self-sufficiency policies.
Categories of Recipients
Personal data may be disclosed to:
- authorized employees and collaborators of the Institution;
- external data processors appointed by the Institution;
- social workers;
- social security and welfare institutions;
- IT service providers and data processing companies;
- postal service providers;
- municipalities for social assistance purposes;
- regional authorities for healthcare expenditure monitoring and service oversight;
- public authorities connected with the services requested.
As the Data Controller is a public body, it is also subject to legal obligations regarding transparency and public disclosure where required by law.
Transfer of Personal Data Outside the European Union
Personal data are stored on servers located within the European Union.
Should it become necessary to transfer personal data outside the European Union, such transfers will take place in compliance with applicable data protection legislation, including, where required, the adoption of the European Commission’s Standard Contractual Clauses or other appropriate safeguards.
Data Retention
Personal data submitted as part of an admission application will be retained until the application process is completed and, where admission is granted, will become part of the resident’s personal file.
If the admission request is not successful, the data will be retained for no longer than one year from the date of submission.
Mandatory Nature of Data Provision
Providing the requested personal data is mandatory for the implementation of the requested pre-contractual measures.
Failure to provide such data will prevent the Institution from processing the admission request and providing the requested services.
Source of Personal Data
Personal data are collected directly from the data subject or from:
- family members;
- legal guardians;
- support administrators;
- public authorities or other entities involved in the management of the requested services.
Automated Decision-Making
The Institution does not use automated decision-making processes, including profiling.
Methods of Processing
Personal data are processed in paper, electronic, and digital formats and stored in dedicated databases.
Access to personal data is limited to individuals expressly authorized by the Institution, including authorized personnel, delegated persons, and appointed data processors, who process the data in compliance with the GDPR and applicable legislation.
Where processing activities cannot be carried out internally, they may be entrusted to carefully selected external service providers formally appointed as Data Processors under Article 28 GDPR.
Should personal data be processed for purposes other than those for which they were originally collected, the Data Controller will provide the data subject with all information required under the GDPR before such further processing takes place.
Rights of the Data Subject
Where applicable, the data subject may withdraw consent at any time (Article 7(3) GDPR) and object to the processing of personal data concerning them (Article 21 GDPR).
The data subject also has the right to:
- obtain confirmation as to whether personal data concerning them are being processed;
- access their personal data (Article 15 GDPR);
- request rectification of inaccurate or incomplete data (Article 16 GDPR);
- request erasure of personal data where legally applicable (Article 17 GDPR);
- request restriction of processing (Article 18 GDPR);
- receive their personal data in a structured, commonly used and machine-readable format and transmit those data to another controller where applicable (Article 20 GDPR).
To exercise any of these rights, data subjects may contact either the Data Controller or the Data Protection Officer using the contact details provided above.
Data subjects also have the right to lodge a complaint with the competent Supervisory Authority, including the Italian Data Protection Authority (Garante per la Protezione dei Dati Personali), pursuant to Articles 77 and following of the GDPR.